新加坡認可CBPR認證可以作為個資跨境傳輸合法要件

新加坡個人資料保護委員會(Personal Data Protection Commission, PDPC)於今年6月2日宣布其已增修個人資料保護規則(Personal Data Protection Regulations),將亞太經濟合作組織( Asia Pacific Economic Cooperation, APEC)跨境隱私保護規則(Cross Border Privacy Rules , CBPR)體系與資料處理者隱私認可(Privacy Recognition for Processors, PRP)體系的認證(Certifications)納入新加坡跨境傳輸的合法方式之一。

依據新加坡個人資料保護法(Personal Data Protection Act, PDPA)第26條,除符合特定條件外,組織原則不得將個人資料傳輸到新加坡以外的國家或地區,而依照新修正的新加坡個人資料保護規則第10A條,通過CBPR或PRP認證的組織被視為符合提供相當於PDPA保護的法律義務,新加坡的組織可以將個人資料傳輸給這些經認證的海外接收者,而不須要再額外滿足其他條件。

資料來源:新加坡PDPC

APEC CBPR體系為美國主導推行的跨境隱私保護制度,我國於2018年12月獲准加入該體系,目前美國、墨西哥、日本、加拿大、南韓、新加坡、澳洲與菲律賓等國均為APEC CBPR體系的成員。我國國家發展委員會先前曾表示,透過參與該體系,可望提升消費者對跨境資料傳輸之信賴,進而促進區域內電子商務活動之發展。

新加坡PDPC也提供雙方契約條款範本,並在其新修正的指引中,針對CBPR適用的情境舉例如下:

情境1

總部位於新加坡的旅遊網站Alpha.com與日本Air Bravo航空公司推出聯合旅遊促銷優惠,Alpha.com須要將消費者的個人資料傳輸到位於日本的Air Bravo。

Air Bravo告訴Alpha.com,他已經取得CBPR的認證,同時Alpha.com也進行盡職調查,確認Air Bravo確實通過CBPR認證,被列在CBPR網站上的認證組織列表上。在這種情況下,Alpha.com已確保Air Bravo提供相當於新加坡PDPA的保護,且受法律可執行義務的拘束,符合跨境傳輸的要求。

情境2

組織MNO委託一家位於美國的公司PQR作為資料中介機構(Data intermediary,概念近似於GDPR的資料處理者),使用其客戶關係管理(CRM)系統來處理與儲存客戶的資料。組織MNO須要將客戶的個人資料傳輸到PQR公司才能使用該CRM系統。

組織MNO調查後確認PQR公司已經通過CBPR認證,但沒有取得PRP認證。在這種情況下,組織MNO已確保PQR公司提供相當於新加坡PDPA的保護,且受法律可執行義務的拘束,符合跨境傳輸的要求。

情境3

電子商務零售業者STU委託一間總部位於美國的資料分析公司XYZ作為資料中介機構,就消費者的偏好進行分析。STU必須將消費者的個人資料傳輸到XYZ公司進行分析。

STU調查後確認XYZ確實已通過APEC PRP的認證。此時STU已確保XYZ公司提供相當於新加坡PDPA的保護,且受法律可執行義務的拘束,符合跨境傳輸的要求。

情境4

位於新加坡的旅行社Charlie公司提供美國Delta度假村的旅遊套票,為了替消費者預訂房間,Charlie公司必須將消費者個人資料傳輸給美國Delta度假村。

Charlie公司調查確認Delta度假村已通過APEC PRP認證,但並沒有取得CBPR認證,由於Delta度假村並不是作為資料中介機構接收個人資料,因此Charlie公司不能僅依據PRP認證就將個人資料傳輸到Delta度假村,Charlie公司必須考量跨境傳輸的其他合法方式。

雙方契約條款範本

雙方同意並確認,經APEC 〔CBPR/PRP〕認證的〔組織/資料中介機構〕受法律可執行的義務拘束,以提供具有與2012年《個人資料保護法》(2012年第26號,新加坡共和國法規)相當的保護。

接收方應在本契約有效期限內保持其在APEC〔CBPR/PRP〕下的認證,並應將接收方關於認證狀態的任何變更立即通知予揭露方。

結論

綜合前面情境,在新加坡PDPA下,海外組織如僅取得PRP認證,只能作為資料中介機構從新加坡組織接收個人資料,而取得CBPR認證,則沒有該項限制,可以順利得從新加坡組織接收資料。

※歡迎來喵喵科技法律隨筆的粉絲團按讚、追蹤還有分享!

※你可能會對這些文章有興趣
1.談性向、約炮、多人運動與性隱私的保護
2.個資外洩,該怎麼辦?
3.投資個資保護的價值?