沈飏_出海主流地區數據合規要點分享-202406 (Final).pdf

1、BEIJING SHANGHAI SHENZHEN GUANGZHOU HAIKOU NANJING XIAMEN HONGKONG北京 上海 深圳 廣州 ?？?南京 廈門 香港出海主流地區數據合規要點分享沈飏丨 合伙人主 講 人主 講 人p 沈飏律師執業領域包括TMT行業監管與合規、網絡安全及數據合規、知識產權保護及收購兼并。沈律師擔任復旦大學法學院的數字與法治課程的導師，課程主要涵蓋歐盟及美國的數據保護立法。p 執業經歷執業經歷：金杜律師事務所 搜狐暢游 EA 安杰世澤律師事務所p 相關認證：相關認證：國際隱私專家協會（IAPP）：CIPP/US 國際隱私專家協會（IAPP）：CIPP/E

2、 國際云安全聯盟（CSA）:CDPOp 榮譽稱號：榮譽稱號：2023/2024 Chambers and Partners:TMT（Band 3）2023 ALB China十五佳TMT律師 2024 Legal 500亞太中國區：數據保護領域領先律師 2024 LEGALBAND：中國律師特別推薦榜15強-游戲與電競出 海 熱 門 區 域Source:百煉智能，其中部分企業多區域出海，所以數據有重復計算的情況全 球 數 據 立 法 概 況Souce:David Banisar,National Comprehensive Data Protection/Privacy Laws and Bi

3、lls 202401/歐盟數據立法歐盟數據立法02/美國數據立法美國數據立法03/東南亞數據立法東南亞數據立法04/實務建議實務建議目錄01歐盟數據立法2024（一）歐盟主要數據立法（一）歐盟主要數據立法領域領域立法立法主要內容主要內容數據保護數據保護通用數據保護條例GDPR適用于歐盟境內實體或向歐盟境內個人提供商品或服務的境外實體，旨在規范數據控制者的數據處理行為，確立自然人對其個人數據享有知情權、刪除權等權益。數據流通數據流通數據治理法Data Governance Act聚焦于公共部門持有的數據（主要是非個人數據），建構了數據流通利用的宏觀框架。數據法案Data Act適用于基于互聯產品

4、或服務產生的個人數據和非個人數據，明確了數據利用的權益、方式以及公共部門利用數據的條件。競爭競爭與與平臺治理平臺治理數字市場法Digital Market Act適用于被歐盟委員會指定的大型數字平臺，即“守門人”，旨在打擊數字市場中科技巨頭壟斷和不正當競爭問題。數字服務法Digital Service Act適用于在歐盟范圍內提供數字服務的網絡媒介服務提供者，包括在線購物網站、社交網絡、在線搜索引擎等；旨在為強化數字平臺在打擊非法內容、虛假信息及其傳播方面的責任，設定內容審查、信息公開等義務。（二）執法機構（二）執法機構各成員國各成員國SA在在執行執行GDPR時產時產生的爭議生的爭議EDPB發

5、布有約發布有約束力的決議束力的決議GDPR在各成員在各成員國的實施國的實施各成員國設立各成員國設立的獨立監管機的獨立監管機構構(Supervisory Authorities,SAs/Data Protection Authorities,DPAs)EDPB的職能的職能：提供有關GDPR的一般指導意見；向歐盟委員會或各成員國SA提出意見；促進和支持各成員國SA之間的合作，確保其決定的一致性。GDPR執法案例TOP10控制者控制者所屬行業所屬行業管轄地管轄地罰款金額（歐元）罰款金額（歐元）違法行為違法行為處罰年度處罰年度Meta Platforms Ireland Limited媒體、電信和廣播

6、業 愛爾蘭1,200,000,000處理數據的法律基礎不充分處理數據的法律基礎不充分2023Amazon Europe Core S.r.l.工商業盧森堡746,000,000違反數據處理一般性原則違反數據處理一般性原則2021Meta Platforms,Inc.媒體、電信和廣播業 愛爾蘭405,000,000違反數據處理一般性原則違反數據處理一般性原則2022Meta Platforms Ireland Limited媒體、電信和廣播業 愛爾蘭390,000,000違反數據處理一般性原則違反數據處理一般性原則2023TikTok Limited媒體、電信和廣播業 愛爾蘭345,000,00

7、0違反數據處理一般性原則違反數據處理一般性原則2023Meta Platforms Ireland Limited媒體、電信和廣播業 愛爾蘭265,000,000未實施充分的管理、技術措施未實施充分的管理、技術措施以確保信息安全以確保信息安全2022WhatsApp Ireland Ltd.媒體、電信和廣播業 愛爾蘭225,000,000未能履行知情權對應的義務未能履行知情權對應的義務2021Google LLC媒體、電信和廣播業法國90,000,000處理數據的法律基礎不充分處理數據的法律基礎不充分2021Enel Energia SpA能源意大利79,100,000未實施充分的管理、技術措

8、施未實施充分的管理、技術措施以確保信息安全以確保信息安全2024（三）執法案例分析（三）執法案例分析2021年，荷蘭數據保護局AP根據GDPR第第12條條，對某全球知名社交平臺處以75萬歐萬歐元元的罰款。荷蘭數據保護局認為，該平臺僅向荷蘭數據主體提供英文版隱私政策，這意味著其提供的信息無法輕易被16歲以下只掌握荷蘭語的兒童理解。由此，不會英語的兒童必須主動搜集信息才能知曉數據控制者的完整義務，從而增加了兒童未能被及時告知的風險。p 告知義務的履行告知義務的履行Takeaways:應以一種簡潔、透明、易懂和容易獲取的形式，通過清晰和平白的語言來告知數據主體處理其個人數據的相關信息，特別是與兒童個

9、人數據處理相關的信息。（三）執法案例分析（三）執法案例分析2023年4月，英國數據監管機構ICO依據UK DPA第第8、12、13條條對該平臺處以1270萬萬英鎊英鎊的罰款，原因是該平臺向約140萬13歲以下兒童提供了服務并處理了他們的個人數據，但沒有獲得其父母的同意，以及未盡到DPA所規定的告知義務。p 合法性基礎合法性基礎Takeaways:用戶協議中規定不向兒童用戶提供服務并不能排除GDPR/DPA中的相應保護兒童個人信息的義務；在依據“履行合同所必需”處理個人數據時，需注意，締結的合同應在適用法項下應是有效的，否則應該依據其他合法性基礎處理個人數據；在基于“同意”處理個人數據的情況下，

10、為向不滿13歲的兒童提供資訊社群服務（information society service）而處理其個人數據的，應將其具有父母監護職責主體的“同意”作為合法性基礎。（三）執法案例分析（三）執法案例分析2023年9月，愛爾蘭數據保護委員會DPC根據GDPR第第5、24、25等條款等條款，對該平臺處以3.45億歐元億歐元的罰款。相關違規行為包括：將13-17 歲兒童用戶的個人資料設置默認為公開模式；在向兒童用戶顯示的兩個彈出通知（注冊彈窗和視頻發布彈窗）中“未能以客觀和未能以客觀和中立的方式向用戶提供選項中立的方式向用戶提供選項”；提供了“家庭配對”功能，但未經驗證與兒童賬戶配對的成年人賬戶是否

11、確為該兒童的監護人賬戶。p 兒童保護兒童保護Takeaways:兒童賬戶的隱私狀態應默認處于“較高”的狀態，對于兒童用戶較多的平臺，需要在設計兒童賬戶時考慮“privacy-by-default”；執法機構在對數據控制者的違規行為進行調查時，還會同步核查數據控制者是否針對相關數據處理行為開展了DPIA，以及DPIA是否全面考量了可能存在的風險。（三）（三）執法案例分析執法案例分析p 用戶權利保護用戶權利保護2024年1月31日，荷蘭數據保護局AP根據GDPR第第12、13條條，對Uber處以1,000萬歐萬歐元元的巨額罰款。根據調查，Uber未能恰當地履行告知義務，并阻礙了司機行使相關權利，包

12、括Uber的隱私政策未提供數據可攜權的行使方式。Takeaways:對于數據主體提出的行使可攜權的要求，數據控制者應：提供應經過整理的、可普遍使用的且機器可讀的數據（in a structured,commonly used and machine-readable format）；如果技術可行，數據主體有權要求控制者直接將個人數據傳輸至另一個控制者。但目前數據控制者間對“通用的數據格式”沒有達成共識，且不同數據控制者的系統不互通，所以用戶數據的直接傳輸在技術上較難實現。數據跨境傳輸主要路徑數據跨境傳輸主要路徑傳輸至歐傳輸至歐盟認定的盟認定的具有充分具有充分保護能力保護能力的接收方的接收方傳輸

13、至提傳輸至提供了適當供了適當保障措施保障措施的第三方的第三方（BCR，SCCs）滿足特定滿足特定要求的一要求的一次性數據次性數據出境出境個人數據傳輸必要性評估個人數據傳輸必要性評估評估是否需要開展評估是否需要開展DPIA&開展開展DPIA開展開展TIA簽署簽署SCCs開展個人數據傳輸開展個人數據傳輸（四）數據跨境傳輸（四）數據跨境傳輸（四）數據跨境傳輸要點（四）數據跨境傳輸要點p 數據跨境傳輸數據跨境傳輸境外收集處理的個人信息是否需本地化存儲？集團公司應如何使用境外數據？境內外數據是否能混同存儲？02美國數據立法2024（一）歐盟與美國兩種數據保護立法模式對比（一）歐盟與美國兩種數據保護立法模

14、式對比 歐盟在立法模式上，采用的是統一式立法，以人格權人格權為權利基礎，對所有成員國進行保護，在各領域適用一致的數據處理規則和保護救濟，對個人數據進行統統一的立法保護一的立法保護。在監管體制上，各成員國之間相互協作，通過“一站式”監管對歐盟全境進行統一監管，增加GDPR的統一適用性。美國的數據保護實質上指保護消費者和特殊領域內的隱私，隱私權理念建立在自由自由基礎之上，希望通過有效的商業交易規則來平衡隱私保護與數據使用。故聯邦采取了“分散立法模式分散立法模式”，在私領域則采取行業自律的形式，以行業的自律規范來保證個人的隱私權。歐盟歐盟統一立法、嚴格責任統一立法、嚴格責任美國美國隱私保護與產業同行

15、隱私保護與產業同行（二）（二）數據保護立法框架數據保護立法框架聯邦立法各州立法 各州立法進度不一各州立法進度不一 隱私保護和數據泄隱私保護和數據泄露通知義務為主露通知義務為主 綜合性立法缺失綜合性立法缺失 行業單行法為主行業單行法為主（三）（三）聯邦綜合性隱私立法聯邦綜合性隱私立法 立法意圖：立法意圖：從聯邦層面推動分散的隱私立法走向統一的嘗試。特特 點：點：美國數據隱私和保護法案（草案）ADPPA2022年6月3日美國隱私權法案（草案）APRA2024年4月7日適用范圍適用范圍廣泛廣泛數據最小數據最小化原則化原則選擇退出選擇退出機制機制Opt-out私人訴權私人訴權（三）聯邦制定法概覽（三）

16、聯邦制定法概覽名稱名稱時間時間適用領域適用領域主要內容主要內容公平信用報告法1970征信規制消費者信用信息的收集與使用行為。家庭教育權利和隱私法1974教育禁止教育機構在未經學生家長或學生的書面同意的情況下發布或披露與學生記錄有關信息。電子通信隱私法1986電子通信禁止第三方未經授權訪問或截取通訊信息。電話推銷規則1995電話推銷禁止推銷員致電DNC平臺登記用戶進行電話推銷。健康保險流通和責任法1996醫療健康規制受保護的個人健康信息的收集與披露行為。金融服務現代化法1999金融服務約束金融機構處理公民個人信息的行為兒童在線隱私保護法2000在線服務規制兒童在線隱私信息收集、使用行為（四）州隱

17、私立法概覽（四）州隱私立法概覽Source:https:/iapp.org/resources/article/us-state-privacy-legislation-tracker/（四）數據泄露通知（四）數據泄露通知通知時限通知時限是否需要通知州總檢察長是否需要通知州總檢察長私人訴權私人訴權路易斯安娜州60天內需在60天內通知有加利福尼亞州無不合理的遲延（without unreasonable delay）若本州受影響居民數達到500人，無通知時限要求（醫療信息15天內）有紐約州若本州受影響居民數達到500人無特拉華州60天內若本州受影響居民數達到500人，應在不遲于通知受影響個人的時

18、限內無弗羅里達州30天內若本州受影響居民數達到500人，需在30天內通知無聯邦層面對于特殊領域的企業有數據泄露的通知要求，例如：醫療健康領域的HIPPA；電信領域的“數據泄露報告要求”。美國50個州均制定了適用于本州的數據泄露通知要求，其內容差異較大，但均要求在發生數據泄露事件后，企業應將相關情況及時通知受影響個人。（四）數據泄露通知（四）數據泄露通知 案例案例Takeaways:企業應注意所在州的通知時間、對象與內容要求，及時根據法律規定向有關部門和受影響的個人準確地提供數據泄露事件的信息。Blackbaud是一家云計算服務商，為非營利組織提供軟件和云存儲服務。2020 年 5 月 14 日

19、，Blackbaud發現勒索軟件攻擊導致部分高度敏感的個人信息被非法訪問和外流。但直到 2020 年 7 月，公司才公開宣布這一泄露事件，并逐步通知超過 13,000 名受影響的軟件客戶。經調查，新澤西州總檢察長發現Blackbaud沒有及時或準確地向客戶提供有關數據泄露的信息，甚至部分客戶根本沒有收到相關通知。于是，總檢察長認定Blackbaud 公司違反了HIPAA以及新澤西州的個人信息保護法、數據泄露通知法和消費者保護法，并最終與Blackbaud 公司達成了4950萬美元的和解協議。醫療保險流通和責任法醫療保險流通和責任法-HIPAA（五）重要法規：醫療數據保護（五）重要法規：醫療數據

20、保護適用主體適用主體Covered Entities(CE)：醫療保險機構、醫療服務提供者、醫療保健信息交流中心Business Associates(BA)：為上述主體提供服務的商業實體。例如：云服務商。告知義務：在使用、披露PHI前必須告告知知數據主體進行二次營銷時獲得書面授權書面授權為e-PHI設置行政、物理和技術保護措施數據泄露發生后，及時通知信息主體并報告政府部門與CE簽訂書面商業伙伴協議遵守安全事件和數據泄露的保護與通知要求開展風險評估建立個人信息刪除制度旨在約束互聯網運營商收集、處理13歲以下兒童信息的行為。運營者必須向父母直接提示自身的隱私政策隱私政策，告知父母其收集、使用、共

21、享數據的方式及目的。在獲得父母可驗證的同意可驗證的同意前，運營者不得收集使用13歲以下的兒童個人信息。保證父母能夠持續性行使其合法權利合法權利，包括訪問、刪除兒童個人信息、拒絕進一步使用的權利；不能以提供獎品、參與游戲等為條件，要求披露合理必要的個人信息；保護從兒童收集的個人信息的機密性、安全性和完整性。（五）重要法規：兒童數據保護（五）重要法規：兒童數據保護兒童在線隱私保護法兒童在線隱私保護法 COPPA2023年的修訂提案：年的修訂提案：1.將生物識別標識符納入“個人信息”；2.增加了對定向廣告的單獨統一要求；3.收集持久性標識符時需要發出通知；4.禁止公司無限期保留兒童數據，要求制定兒童

22、數據的數據保留政策。Epic Games是美國著名游戲公司，其研發的游戲堡壘之夜有眾多兒童玩家。FTC調查發現自游戲發行后兩年，Epic未采取任何措施在收集兒童個人信息之前獲得家未采取任何措施在收集兒童個人信息之前獲得家長同意長同意，也未對家長說明未對家長說明其收集了什么信息、將如何處理兒童個人信息。Epic在其隱私政策中明確否認否認其向兒童提供任何服務和收集兒童的個人信息。當家長聯系Epic要求查看或刪除兒童個人信息、注銷兒童賬戶時，Epic設定了復雜的流設定了復雜的流程來驗證父母的身份程來驗證父母的身份。FTC指控堡壘之夜違反COPPA的要求，對其處以 2.75 億美元的罰款。（五）重要法

23、規：兒童數據保護（五）重要法規：兒童數據保護FTC vs.Epic GamesTakeaways:隱私政策或用戶協議等在線協議中規定不向兒童用戶提供服務并不能排除COPPA的適用。反垃圾郵件法頒布于2003年，它并沒有禁止商業機構向消費者發送商業郵件，但為商業郵件的發送設置了如下規則：反垃圾郵件法反垃圾郵件法 CAN-SPAM（五）重要法規：營銷合規（五）重要法規：營銷合規禁止使用虛假或具有誤導性的郵件標題郵件標題；禁止使用欺騙性的主題行主題行；將商業郵件標識為“廣告廣告”；告訴收件人如何拒收如何拒收后續的營銷郵件；滿足opt-out請求；履行監督義務。n 適用主體適用主體：適用于所有在加州開

24、展經營業務、收集處理個人信息且滿足相應條件的企業。n CPRA vs.CCPA新設監管機構：CPRA設立了一個新的監管機構，即加利福尼亞隱私保護局（CPPA），CPPA被賦予充分的行政權力和管轄權來實施CPRA和進行執法?？s小適用范圍：CPRA更改了“企業”的范圍（增加至10萬人），進一步排除較小的企業。新增“敏感信息”：創建“敏感信息”的新類別，賦予其比個人信息更嚴格的監管。變更消費者權利：CPRA賦予加州居民四項新的權利和五項修改后的權利。（五）重要法規：加州隱私立法（五）重要法規：加州隱私立法加利福尼亞消費者隱私保護法CCPA2020年1月1日生效加利福尼亞隱私權法CPRA2023年1月

25、1日生效n 選擇退出權選擇退出權&限制使用權的行權方法限制使用權的行權方法（五）重要法規：加州隱私立法（五）重要法規：加州隱私立法 告知義務告知義務：出售或分享消費者個人信息、收集使用敏感個人信息的企業需要告知消費者其相關的信息收集處理行為，并告知消費者擁有選擇退出權，且消費者行使選擇退出權后，企業至少應在12個月個月后才能再次請求消費者授權；在網站主頁及隱私政策中設置行權鏈接在網站主頁及隱私政策中設置行權鏈接：CPRA 設置名為“Do Not Sell or Share My Personal Information”;“Limit the Use of My Sensitive Perso

26、nal Information”的鏈接，或將這兩者合為一個鏈接；企業可以單獨設置一個“加州居民專用主頁”，以涵蓋告知文本及行權鏈接。（五）重要法規：加州隱私立法（五）重要法規：加州隱私立法n 加州隱私政策專章加州隱私政策專章（六）執法機構（六）執法機構聯聯邦邦州州聯邦貿易委員會聯邦貿易委員會FTC對不公平和欺騙性貿易行為進行執法的一般權力（聯邦貿易委員會法第五條）COPPA,Gramm-Leach-Bliley法案等法律授權聯邦通信委員會聯邦通信委員會FCC負責州際和國際通信的監管，對電信領域的數據保護擁有監管權衛生與公眾服務部衛生與公眾服務部HHS負責實施HIPAA，對醫療健康領域擁有監管權

27、州檢察長州檢察長Attorney General有權就數據保護問題依據本州數據保護法律提起執法活動獨立數據保護機構獨立數據保護機構如：加州隱私保護局（六）執法機構（六）執法機構n Consent Decrees 和解協議和解協議FTC起訴后，企業有兩種選擇，即和解或者向法院提出異議。若企業接受和解協議后，FTC就將放棄其訴權轉而監督和解協議的執行。FTC vs Zoom2020年11月，FTC指控Zoom公司誤導消費者相信他們的技術可以有效防止Zoom公司自己查看視頻會議的內容。隨后Zoom與FTC達成和解協議，Zoom公司同意不再就隱私和安全問題作出任何誤導性陳述，并且制定一個全面的安全計劃

28、，在未來20年內每年進行獨立的網絡安全評估。FTC vs Meta2018年3月，Facebook承認有8700萬用戶的信息被劍橋分析公司不當分享。2019年，Facebook與FTC達成50億美元的和解協議，Facebook承諾不再作出不實陳述，同時承諾不會在用戶同意前將其個人信息與第三方共享。（七）中美地緣政治下針對中國的立法草案（七）中美地緣政治下針對中國的立法草案2月月28日日拜登政府發布關于防止關注國家獲取美國公民大量敏感個人數據和美國政府相關數據的行政命令3月月5日日美國眾議院議員提出H.R.7520保護美國人免受外國對手侵害的數據法案3月月5日日美國司法部發布事實概況（Fact

29、sheet）和擬議規則制定預通知（proposed rule）3月月20日日美國國會眾議院以414票對0票的全體一致通過了該法案。未來未來 法案交由參議院討論和表決。其他部門依據行政令制定實施規則。2024年2月28日，拜登政府依據國際緊急經濟權力法（IEEPA）發布關于防止關注國家獲取美國公民大量敏感個人數據和美國政府相關數據的行政命令，禁止或限制中國、俄羅斯、伊朗等六個“關注國家”以及與其有關的實體/人員訪問和利用美國公民與政府的“敏感數據”。03東南亞數據立法2024數 據 立 法 概 況數 據 立 法 概 況GDPR/95指令新加坡泰國印尼馬來西亞越南域外效力、域外效力、數據處理原則與

30、合數據處理原則與合法性基礎、法性基礎、數據主體的權利、數據主體的權利、數據控制者的義務數據控制者的義務新加坡新加坡 數據立法數據立法類別類別法律法規名稱法律法規名稱法律法律2012年個人數據保護法（2021年2月1日最新修訂版生效）（PDPA）條例條例2021年個人數據保護條例2021年個人數據保護（數據泄露通知）條例2021年個人數據保護（執行）條例2021年個人數據保護（違法構成）條例2021年個人數據保護（上訴）條例2013年個人數據保護（謝絕來電登記）條例附屬附屬法例法例2013年個人數據保護（法定機構）通知2014年個人數據保護（指定執法機構）通知2015年個人數據保護（指定醫療機構

31、）通知2020年個人數據保護（指定執法機構）通知指南指南關于在數字環境中使用兒童個人數據的咨詢指南關于在人工智能推薦和決策系統中使用個人數據的咨詢指南新加坡新加坡 執法機構執法機構主管部門主管部門:個人數據保護委員會（“PDPC”）負責管理和執行個人數據保護法。涉及領域涉及領域具體內容具體內容1替代性爭議解決通常涉及為解決投訴人投訴，例如通過調解或其他爭議解決方式解決糾紛。2審查PDPC有權審查機構對個人根據PDPA第21或22條提出的請求的答復，并確認該機構的答復，或指令機構對個人的請求采取某些行動。3調查PDPC有權調查以確定機構或個人是否遵守PDPA，并指令不遵守的機構或個人采取適當的行

32、動，或對其罰款。4自愿承諾PDPC有權接受機構或個人的自愿承諾，若機構或個人未能遵守承諾，委員會可以發出任何指令以確保其遵守該承諾。PDPC的職權：的職權：新加坡新加坡 合法性基礎合法性基礎同意同意第第13、14條條視為同意視為同意第第15條條豁免同意豁免同意第第17條條基于行為基于合同所必需基于通知業務改進個人重大利益公共利益合法利益開展研究39新加坡新加坡 視為同意視為同意類型類型具體內容具體內容案例案例基于基于行為行為個人自愿為機構提供個人數據，且該自愿是合理的。甲在美容院消費后將信用卡交給收銀員付款，收銀員在收集、使用甲的信用卡號碼及處理付款交易所需的相關個人數據（如姓名）時無需征得甲

33、的同意?；诤贤诤贤匦杷匦铻榱擞喠⒒蚵男袀€人與數據控制者之間的合同，個人視為在合理且必要的范圍內同意：a)數據控制者向第三方提供數據；b)第三方收集處理數據；c)第三方再傳輸數據 甲在美容院消費后使用信用卡付款。在付款的過程中，甲的信用卡詳細信息被傳輸到處理付款的銀行。只要收集、使用或披露甲的個人數據是履行甲與美容院之間合同所合理且必要的，甲就將被視為同意該支付處理鏈中相關方收集、使用或披露甲的個人數據（如丙信用卡所在銀行、美容院銀行、銀行處理商和信用卡支付系統提供商等）?；谕ㄖ谕ㄖ獢祿刂普呦Ｍ麑€人數據用于新的處理目的，且評估不會對個人產生不利影響，則可以向個人發送通知。若

34、個人在合理期限內未表明反對，則視為同意。某連鎖酒店希望向其合作伙伴某旅游網站提供其會員的個人數據（如酒店住宿的頻率和時間、房間類型、偏好和評論），以開發在線旅游資源和定制旅游套餐。相關個人數據不會用于直接向會員發送營銷信息。經酒店評估，該提供不會對會員造成不利影響。于是酒店向其會員發送電子郵件，通知將向旅游網站提供其個人數據，并提供聯系電話以便查詢相關信息。電子郵件中提供了一個超鏈接，供會員選擇退出，酒店要求希望退出的會員在電子郵件發出之日起10天內退出。會員如在10天內未選擇退出，即被視為同意收集、使用及披露其個人數據。新加坡新加坡 豁免同意豁免同意類型類型具體內容具體內容案例案例業務改進業

35、務改進例外例外允許數據控制者在未經同意的情況下，基于業務改進目的，使用使用其合法收集的個人數據。商業改進目的包括：a)改進、加強或開發新的商品或服務；b)改進、加強或開發與商品和服務相關的業務操作新方法或新流程；c)學習或理解個人的行為和偏好；d)識別用戶個性化需求或定制此類商品或服務。限制條件：業務改進例外僅適用于：a)如果不以可識別個人身份的形式使用個人數據，則相關目的就無法合理實現；b)一個有理智的人會認為為了相關目的使用個人數據是適當的。銀行使用個人數據建立信用風險模型以提高運作效率；穿戴設備制造公司使用個人數據來訓練機器學習模型；信用卡公司利用個人數據了解客戶消費習慣，開發新的信貸服

36、務產品；集團公司在內部共享個人數據，以了解潛在客戶的行為與偏好，并提高產品使用效率。例如一家醫療保健服務公司與一家保險公司同屬一個集團，保險公司打算向醫療保健服務公司收集醫療記錄、付款記錄等個人數據，以建立自動理賠評估系統，提高保險公司的工作效率，同時開發新的保險產品。向新加坡電話號碼發送營銷信息適用范圍核對相關的謝絕來電登記簿以確認該新加坡電話號碼是否登記在謝絕來電登記簿上 提供發送者或授權發送者的有關信息，并提供退訂機制不隱瞞或拒絕提供營銷信息發送者的主叫線路身份在發送特定短信前的21天內，向PDPC提出申請，請求確認該新加坡電話號碼是否被列入謝絕來電登記簿；或者已經獲得確認，并且沒有理由

37、認為該相關信息是在21天前獲得的或相關信息是虛假或不準確的。合規義務 個人明確同意公司發送營銷信息；為完成或確認交易所必需；提供產品召回信息、或其他安全或保障信息；提供事前合同約定的個人有權獲得的產品和服務信息，如產品更新；組織與用戶存在持續關系并且發送的營銷信息僅與此持續關系有關；為開展市場調查；B2B市場推廣的目的?；砻馇闆r新加坡新加坡 營銷信息合規營銷信息合規新加坡新加坡-責任承擔責任承擔 PDPA民事責任民事責任遭受損失的個人可以向法院提起民事訴訟以獲得民事救濟行政責任行政責任PDPC有權對違反PDPA的機構進行的處罰包括：指令：停止違反PDPA收集、使用或披露個人數據的行為；銷毀違反

38、PDPA的相關個人數據；遵守PDPC依據PDPA作出的指令。經濟處罰：a)對機構最高處以其在新加坡年度營業額的10%或100萬新加坡元（以較高者為準）的罰款等；b)對于個人，罰款不超過20萬新加坡元。刑事責任刑事責任2020年修訂后，規定了個人的刑事責任：個人構成犯罪可被判處不超過5,000新加坡元的罰款或不超過2年的監禁，或兼處兩者：個人未經機構或公共機關授權，向另一人披露由該機構或公共機關控制的個人數據；個人未經機構或公共機關授權，使用由該機構或公共機關控制的個人數據，使用者獲得利益并且造成數據主體損失；個人未經機構或公共機關授權，重新識別（re-identify）由該機構或公共機關控制的

39、匿名信息。04實務建議2024Key Takeaways合法性基礎的明確合法性基礎的明確Opt-in or Opt-out用戶權利的保障用戶權利的保障隱私政策的語言及合理行權方式的確定兒童保護兒童保護當地數據立法、監管機構發布的指南是否存在特殊規定實 務 建 議實 務 建 議多方數據合規要求平衡多方數據合規要求平衡內部管理制度、技術措施的落地完善出 海 合 規 體 系 的 建 立出 海 合 規 體 系 的 建 立境內境內合規體系合規體系境外境外合規要求合規要求合規團隊境內律師境外律師KEY CONTACT沈飏沈飏|Sunny Shen安 杰 世 澤 律 師 事 務 所 合 伙 人|P A R T N E RM+86 138 1882 4056 T +86 21 2415 1557 E sunny_BEIJING SHANGHAI SHENZHEN GUANGZHOU HAIKOU NANJING XIAMEN HONGKONG