新加坡認可CBPR認證可以作為個資跨境傳輸合法要件

新加坡個人資料保護委員會(Personal Data Protection Commission, PDPC)於今年6月2日宣布其已增修個人資料保護規則(Personal Data Protection Regulations),將亞太經濟合作組織( Asia Pacific Economic Cooperation, APEC)跨境隱私保護規則(Cross Border Privacy Rules , CBPR)體系與資料處理者隱私認可(Privacy Recognition for Processors, PRP)體系的認證(Certifications)納入新加坡跨境傳輸的合法方式之一。

依據新加坡個人資料保護法(Personal Data Protection Act, PDPA)第26條,除符合特定條件外,組織原則不得將個人資料傳輸到新加坡以外的國家或地區,而依照新修正的新加坡個人資料保護規則第10A條,通過CBPR或PRP認證的組織被視為符合提供相當於PDPA保護的法律義務,新加坡的組織可以將個人資料傳輸給這些經認證的海外接收者,而不須要再額外滿足其他條件。

資料來源:新加坡PDPC

APEC CBPR體系為美國主導推行的跨境隱私保護制度,我國於2018年12月獲准加入該體系,目前美國、墨西哥、日本、加拿大、南韓、新加坡、澳洲與菲律賓等國均為APEC CBPR體系的成員。我國國家發展委員會先前曾表示,透過參與該體系,可望提升消費者對跨境資料傳輸之信賴,進而促進區域內電子商務活動之發展。

新加坡PDPC也提供雙方契約條款範本,並在其新修正的指引中,針對CBPR適用的情境舉例如下:

情境1

總部位於新加坡的旅遊網站Alpha.com與日本Air Bravo航空公司推出聯合旅遊促銷優惠,Alpha.com須要將消費者的個人資料傳輸到位於日本的Air Bravo。

Air Bravo告訴Alpha.com,他已經取得CBPR的認證,同時Alpha.com也進行盡職調查,確認Air Bravo確實通過CBPR認證,被列在CBPR網站上的認證組織列表上。在這種情況下,Alpha.com已確保Air Bravo提供相當於新加坡PDPA的保護,且受法律可執行義務的拘束,符合跨境傳輸的要求。

情境2

組織MNO委託一家位於美國的公司PQR作為資料中介機構(Data intermediary,概念近似於GDPR的資料處理者),使用其客戶關係管理(CRM)系統來處理與儲存客戶的資料。組織MNO須要將客戶的個人資料傳輸到PQR公司才能使用該CRM系統。

組織MNO調查後確認PQR公司已經通過CBPR認證,但沒有取得PRP認證。在這種情況下,組織MNO已確保PQR公司提供相當於新加坡PDPA的保護,且受法律可執行義務的拘束,符合跨境傳輸的要求。

情境3

電子商務零售業者STU委託一間總部位於美國的資料分析公司XYZ作為資料中介機構,就消費者的偏好進行分析。STU必須將消費者的個人資料傳輸到XYZ公司進行分析。

STU調查後確認XYZ確實已通過APEC PRP的認證。此時STU已確保XYZ公司提供相當於新加坡PDPA的保護,且受法律可執行義務的拘束,符合跨境傳輸的要求。

情境4

位於新加坡的旅行社Charlie公司提供美國Delta度假村的旅遊套票,為了替消費者預訂房間,Charlie公司必須將消費者個人資料傳輸給美國Delta度假村。

Charlie公司調查確認Delta度假村已通過APEC PRP認證,但並沒有取得CBPR認證,由於Delta度假村並不是作為資料中介機構接收個人資料,因此Charlie公司不能僅依據PRP認證就將個人資料傳輸到Delta度假村,Charlie公司必須考量跨境傳輸的其他合法方式。

雙方契約條款範本

雙方同意並確認,經APEC 〔CBPR/PRP〕認證的〔組織/資料中介機構〕受法律可執行的義務拘束,以提供具有與2012年《個人資料保護法》(2012年第26號,新加坡共和國法規)相當的保護。

接收方應在本契約有效期限內保持其在APEC〔CBPR/PRP〕下的認證,並應將接收方關於認證狀態的任何變更立即通知予揭露方。

結論

綜合前面情境,在新加坡PDPA下,海外組織如僅取得PRP認證,只能作為資料中介機構從新加坡組織接收個人資料,而取得CBPR認證,則沒有該項限制,可以順利得從新加坡組織接收資料。

※歡迎來喵喵科技法律隨筆的粉絲團按讚、追蹤還有分享!

※你可能會對這些文章有興趣
1.談性向、約炮、多人運動與性隱私的保護
2.個資外洩,該怎麼辦?
3.投資個資保護的價值?

投資個資保護的價值?

前些日子看到一篇報告,算是稍稍解答一些筆者先前內心的疑惑,那就是一間公司投資在個人資料保護(或稱隱私保護),到底能有多少報酬率呢?同時這也是許多企業經營者或高階主管常常會詢問到的問題之一。

思科(CISCO)在2020年1月27日發布其2020年資料隱私基準研究報告(Cisco Data Privacy Benchmark Study 2020),該報告內指出幾個重點:

  • 公司每年度關於隱私的支出平均為120萬美元。
  • 公司每投入1美元平均會獲得2.7美元的收益。
  • 投資隱私對於公司業務則有下列正面的影響:
    1. 減少銷售延遲(Sales Delays)
    2. 實現捷思與創新
    3. 吸引投資人
    4. 減輕資料洩漏損失
    5. 增進營運效率
    6. 建立客戶忠誠與信任度
  • 同時隱私保護水準高的組織在下列情況均有明顯的優勢
    1. 系統恢復期間:減少19%
    2. 受事故影響資料:減少28%
    3. 違規成本:減少10%
    4. 銷售遲延:減少35%
  • 82%的組織認為,選擇供應商或產品時,其是否取得隱私認證(例如APEC CBPR、EU/Swiss-U.S. Privacy Shield或ISO 27701)是一項重要的因素。

隨著歐盟一般資料保護規則(General Data Protection Regulation, GDPR)、加州消費者隱私保護法(California Consumer Privacy Act, CCPA)陸續施行,各國針對個人資料與隱私保護相繼提出的修正法案,亦朝大幅提升裁罰金額、賦予民眾個資權利以及提升民眾對其個資的自主權等方向邁進,未來投資隱私保護的報酬率是否還會繼續攀升,值得拭目以待。同時也建議企業與組織,面對全球的隱私保護浪潮,及早踏浪而行,或許是一筆非常值得的投資。

補充說明:前述所謂銷售遲延,係指與隱私疑慮相關的銷售遲延,通常是因為客戶想瞭解公司的產品或服務中蒐集哪些資料、如何儲存與傳輸資料與哪些人具有存取資料的權限等疑問所導致。