新加坡数据跨境规则简析

新加坡数据合规体系以经多次修订的《2012年个人数据保护法》（Personal Data Protection Act 2012）为基础，近年来陆续出台了一系列条例¹及相关合规指引²，同时新加坡作为APEC及RCEP成员还需要遵守相关的多边协定³。就其中涉及的数据跨境相关重要规定，概括如下：

主体
数据传输方	需要事先采取适当步骤确保数据接收方：（1）受到法律、符合规定的合同、公司规则或其他文件等约束；（2）对传输的个人数据提供至少与PDPA同等的保护。
数据接收方	数据接收方的定义仅限于直接从新加坡相关实体接受个人数据的主体，且不包括单纯的网络服务及运营方。根据PDPA的要求，数据接收方的保护义务由数据传输方承担。
跨境合法性基础
个人同意及视为同意	可撤回：个人同意可以作为数据跨境的合法性基础，但该同意可以被撤回。视为同意的情形：包括（1）为履行合同所必需：在此情形下接收方可以进行二次传输，且二次传输接收方的收集、使用、向第三方披露同样被视为同意；（2）用户基于合同主动提供个人数据，视为同意数据传输方因履行合同合理需要或在个人要求或为个人利益前提下的跨境传输。不视为同意的情形：（1）在给予同意之前，个人没有得到一份合理的书面摘要，说明将被转移到该国家或地区的个人数据将受到与PDPA下的保护相当的标准的保护；（2）数据传输方将个人同意跨境传输作为提供产品或服务的条件，但跨境传输是向个人提供产品或服务的合理必要条件除外；或（3）数据传输方通过具有虚假、误导性的信息或其他欺骗或误导的方式获得或试图获得个人对跨境传输的同意。
合同	要求：数据接收方对传输数据提供PDPA同等保护；必备内容：数据可能被传输的国家和地区。
集团内公司规则（“BCRs”）	要求：数据接收方对传输数据提供PDPA同等保护；必备内容：数据接收方、接收国家/地区、数据保护权利义务；限制：接收方与传输方须存在关联关系（控制、被控制或受同一主体控制）。
重大利益	基于个人（或其他人）生命健康、安全或其他明显符合个人利益所必需或国家利益，将个人数据转移给接收方，并且数据传输方已采取合理措施确保个人数据不会被数据接收方用于任何其他目的。
数据过境	过境数据：是指个人数据在转送过程中通过新加坡传输至新加坡以外的国家或地区，且个人数据在新加坡期间未被传输服务组织及其员工以外的主体接触、使用或向任何机构披露。PDPA对过境数据无额外限制。
公开数据	个人数据在新加坡是公开的。
认证	数据接收方作为数据中介：持有APEC Privacy Recognition for Processors System（APEC PRP）或APEC Cross Border Privacy Rules System（APEC CBPR）认证；数据接收方作为其他组织：持有APEC Cross Border Privacy Rules System（APEC CBPR）认证。

注解：

条例主要包括《2021年个人数据保护条例》（Personal Data Protection Regulations 2021）、《2021年个人数据保护（执行）条例》（Personal Data Protection (Enforcement) Regulations 2021）、《2021年个人数据保护（上诉）条例》（Personal Data Protection (Appeal) Regulations 2021）、《2021年个人数据保护（违法构成）条例》（Personal Data Protection (Composition Of Offences) Regulations 2021）、《2021年个人数据保护（数据泄露通知）条例》（Personal Data Protection (Notification Of Data Breaches) Regulations 2021）、《2013年个人数据保护（拒绝来电登记）条例》（Personal Data Protection (Do Not Call Registry) Regulations 2013）等）。
合规指引主要包括《PDPA关键概念咨询指引》（Advisory Guidelines On Key Concepts In The PDPA）、《PDPA选定主题咨询指引》（Advisory Guidelines On The Personal Data Protection Act For Selected Topics）、《拒绝来电条款咨询指引》（Advisory Guidelines On The Do Not Call Provisions）、《营销请求同意咨询指引》（Advisory Guidelines On Requiring Consent For Marketing Purposes）、《数据保护规定执行的咨询指引》（Advisory Guidelines On Enforcement Of The Data Protection Provisions）等通用指引以及适用于电信、房产咨询、教育等特定行业的咨询指引。
多边协定主要包括《亚太经合组织跨境隐私规则体系》（APEC Cross-Border Privacy Rules System）、《亚太经合组织数据处理者隐私识别体系》（APEC Privacy Recognition For Processors System）、《亚太经合组织跨境隐私执法安排》（APEC Cross-border Privacy Enforcement Arrangement）和《区域全面经济伙伴关系协定》（Regional Comprehensive Economic Partnership）等。