个人资料保护委员会昨天发表公共咨询结果,并给予回应。委员会已把公共咨询的结果和反应上载到www.pdpc.gov.sg,并发布“个人资料分享指南”修正版。它将针对法令的其他范围,继续向公众征询意见。
个人资料保护委员会(pdpc)去年展开首个公共咨询,所提的修改条文获多数反馈商家和个人的支持,料政府明年会向国会提出修改个人资料保护(pdpa)法令。
修正案一旦通过,将强制商家在消费者或客户的个人资料被盗后,必须尽快通知当事人,好让他们采取行动自我保护。商家也必须通知委员会,以获得有关补救方法的指导。
目前,这类通知属自愿性,并非强制性。
这项强制性通知的建议获多数人支持,但他们重申委员会应给予有关通知的指南,好让他们可以遵从。
委员会表明会提供相关指南,包括评估个人资料被盗是否符合通知要求、通知的时限,以及发通知时该包含的信息类。
委员会去年7月27日展开“数码经济中管理个人资料的方式”公共咨询,为期八周,68个消费者和代表不同业界的组织(包括商贸协会)对修改条文提意见。
委员会昨天发表公共咨询结果,并给予回应。
它原本建议,一旦有大量资料被盗,即使不会造成损害(如只有姓名泄漏),但涉及至少500人的话,商家须在72小时内通知委员会。不过,多数人反对以500人为通知规定,一些则要求废除人数底线。
委员会有意保留“大量资料被盗”的规定,但不会限定人数要求。它认为更有效地监督资料被盗的情况是有必要的,并会提供更多这方面的指南。
一些公众要求有更宽裕的通知时间,一些则要委员会澄清,72小时应从何时计算?
委员会回应说,它打算保留72小时的规定。至于通知时间,则从商家一旦决定报告资料被盗事件,就开始计时。
另外,拟修改的条文也允许商家在某些情况下无须征得消费者或客户同意,便可把收集到的个人资料用于其他用途,包括与其他商家共享。
比如,被金融或电信公司列入黑名单的欠债者,这些公司不必得到他们的同意,就可以让同业共享他们的个人资料。
目前所有政府机构都不受个人资料保护法令的约束。委员会也提议,如果要把个人资料用作某些法律或商业用途,如查案、诉讼、讨债或研究,商家也无须征求同意。在这种情况下,公众利益须明显大于个人利益。
一些反馈者建议扩大免通知的覆盖面,也包括授权展开调查的其他机构;那些已展开补救行动,减少资料被盗者损害的机构也可豁免通知客户。
委员会考虑接受此建议,并表明如果通知资料被盗的当事人会影响正进行或可能展开的调查,该机构可不必通知当事人。
个人资料保护法令2012年在国会通过,2014年7月1日生效,主要规定商家在收集、使用与披露个人资料时,须征求消费者或客户同意。
委员会已把公共咨询的结果和反应上载到www.pdpc.gov.sg,并发布“个人资料分享指南”修正版。它将针对法令的其他范围,继续向公众征询意见。
