不可否认,一些人会对最近提出的《个人资料保护法令》(简称PDPA)修正案的时机和影响提出质疑。在企业挣扎求存之际,对涉及数据泄露事件的机构处以更高的罚款,或规定机构须在发生数据泄露事件后,通知个人资料保护委员会(简称PDPC)等措施,结果可能会适得其反。
作为资料保护咨询委员会(Data Protection Advisory Committee)的成员,同时也是职工运动的一分子和国会议员,我非常理解各方的观点和关注。遵守修正后的PDPA是否须要付出额外的时间和资源,以及作出令人惧怕的“改变”?诚然。会抗议声四起吗?可能。
然而,现在是落实这些变革的最佳时机。事实上,这些改变对于我们的生存,以及我国争取成为未来领先的数码经济,起着至关重要的作用。
消费者对他们的个人资料如何被收集、使用和分享,有着越来越高的意识,也日益关切。他们要求方便、快捷、个性化的用户体验和灵活性,同时在保护和使用其个人资料方面,要求得到更多的信心和保证。
但消费者可以放心,对机构责任的更严格要求,就是为了满足这些需要。
首先,收集、使用和披露个人资料的框架将会更新,以便在有意义和必要的情况下征求同意。至于没有征求同意的情况,则将会制订追究机构行为责任的保障措施。
例如,在引入带有“选择退出”选项的通知后,机构将能够获得消费者确切的同意,并以新的方式使用这些数据。不过,机构在以这种方式获取同意之前,必须首先确定不会对个人产生不利影响。
即使赋予企业利用数据的空间,消费者仍将有随时能够选择退出的灵活性。机构仍须获取消费者的明确同意,才能发送直销信息。
修改《垃圾电子信息管制法令》(Spam Control Act)和“谢绝来电”(Do Not Call)条例,将为消费者提供更大的保护,让他们在电话、短信、即时通信和电邮等所有直接通信平台上,避免收到不必要的信息。
同时,有了数据流通(data portability)的新规定,消费者再也不用担心被绑定在单一的服务供应商,而可以轻松地转换到另一家服务供应商。
面对冠病疫情,企业不得不走向数码化,以度过这场风暴,并在竞争中脱颖而出。数据使用和跨境数据流动的更大便捷性和确定性,将使企业在创新过程中占得先机。这反过来将有助于提升新加坡的经济竞争力。
但是,企业须要展现它们对数据保护的承诺。结合与全球数据保护框架的互操作性,修正案将加强我国作为数据中心的地位,促进经济振兴和创造就业机会。
至于对调高罚款表示关注的企业,它们不必感到惊慌,因为这是针对严重违规的不负责任机构。同样,引入新的罪行,目的只是针对严重不当处理个人资料的人员,而不是针对在工作范围内行事的雇员,或从事合法活动的数据专业人员、网络安全专家、人工智能工程师或研究人员。
往好的方面看,企业现在可以使用个人资料,来改善某些特定的业务,更好地了解客户,以及改良产品或服务。
在符合机构的合法利益,且对公众的益处大于对个人的不利影响的情况下,企业也可以收集、使用和披露个人资料。这将促进资讯科技和网络安全,以及防止欺诈和洗黑钱等非法活动。要以“合法利益”作为收集、使用和披露个人资料的理由,企业必须满足某些要求,例如按照《个人资料保护法令》的规定,进行风险和影响评估。
随着企业积极推动利用跨领域的数据流通,来满足消费者的体验和期望,这为通过新的职业机会和职业发展途径,以吸引和进一步培养一批数据保护专家和专业人员,提供了机会。
在过去的几个月里,职工运动一直与劳资政三方伙伴合作,推出关怀和支持计划,提供职业支援和工作配对服务,并帮助我们的工人提升他们的竞争力和技能。在整个过程中,我们都确保工人资料的安全。
凡事豫则立,不豫则废,这一点尤其适用于这个前所未有的时代。法律的修改只是整体变化的一部分,不仅在新加坡,在世界其他地方也是如此。也许问题不是“我们是否为进入下一个阶段做好了准备”,因为我们永远不会完全准备好。也许真正的问题应该是,“我们是否准备好一起进入我们增长的下一个阶段?”
(作者是职总助理秘书长、法律服务处处长)
黄金顺译
