新加坡：数据保护风险影响评估的实施

2012年10月15日，新加坡颁布了《个人数据保护法》（以下简称“PDPA”），并于2014年7月2日生效。该法成为新加坡个人数据保护的关键立法，规定了包括数据控制者义务、数据主体权利与保护、同意要求、跨境传输等方面的事项。2020年11月2日，新加坡通过《个人数据保护（修正）法案》，是PDPA自2012年颁布以来的首次全面修订，PDPA修正案中最突出的关键点是其引入了强制性数据泄露通知制度，要求组织发生数据泄露事件时，必需通知PDPC以及受影响的个人。

后续，新加坡个人数据保护委员会（以下简称“PDPC”）先后出台了一系列条例及指引，包括《个人数据保护条例》、《个人数据保护（数据泄露通知）条例》、《个人数据保护（违法构成）条例》《个人数据保护（执行）条例》等。

此外，PDPC还发布了相关咨询指南，如2021年新加坡个人数据保护委员会发布《数据保护风险影响评估指南》并与当年9月14日予以修正。数据保护风险影响评估（以下简称“DPIA”）用于评估个人数据处理活动对个人隐私的潜在影响和风险。该指南介绍了组织在系统和业务流程中，开展DPIA时的主要原则和考虑事项。旨在帮助组织在实施新项目、服务或流程之前识别和评估可能存在的数据保护风险，并提供措施来减轻这些风险，以确保符合新加坡PDPA及相关条例。

根据指南，DPIA适用于两大场景当中：

第一类是系统（Systems），如面向公众的网站、云存储平台、客户关系管理（CRM）系统等。

第二类是流程（Processes），如进行健康检查并收到体检报告的流程、从在线门户网站购买商品并接收快递的流程。

指南明确，DPIA应包括组织各职能部门的相关方，例如项目经理、组织中的数据保护官（DPO）、IT部门等，必要时还包括相关外部方（如外部专家)。

此外，指南指出，DPIA应当由项目经理或者数据保护官主导。

· 确定系统或流程处理的个人数据以及收集个人数据的必要性

· 明确个人数据如何在系统或流程中流动

· 根据新加坡PDPA的要求，通过分析处理的个人

· 数据及其数据来源与流向，识别潜在的数据保护风险

· 通过修改系统与流程设计，或引入新的组织政策等解决方案，消除已识别的风险

· 审查已识别的风险，确保在系统或流程生效或实施之前得到充分解决

指南将DPIA生命周期分为六个阶段，分别是第一阶段：评估DPIA需求、第二阶段：制度DPIA计划、第三阶段：识别数据与个人数据流、第四阶段：识别并评估数据保护风险、第五阶段：创设改进计划、第六阶段：实施与监督改进计划。

在第二阶段，制定DPIA计划，进行关键活动或步骤时，需涵盖以下内容：

l 项目描述：全面考察项目，例如项目的目标与背景、涉及的组织部门与职能、时间安排、为什么需要进行DPIA，以及围绕DPIA需考虑的因素

l 确定DPIA的范围：详细描述需要执行DPIA的特定系统或流程

l 定义风险评估框架或方法：包括建立风险评估标准和计算风险的方法

l 相关方：确定相关内部部门、职能部门或外部利益相关方。如专家、顾问、监管机构或客户，在咨询或访谈会议期间，必须征求他们的意见

l 明确DPIA时间表：综合评估提供关键任务所需时间，以及DPIA实施的总体时间表

在第三阶段，DPIA负责人需要整理和审查与项目相关的文档，以确定个人数据流。相关文档包括项目计划、与第三方的合同、评估报告和系统功能规格文件等。此外，DPIA负责人应咨询项目团队和相关职能部门，以确保DPIA的全面性和准确性。有必要时，还需对项目进行现场检查。

最后，指南还建议DPIA负责人：

l 确定与特定项目相关的已处理（或计划处理）各类型的个人数据，并确定组织收集、使用或披露数据的目的

l 绘制个人数据在其生命周期（从收集到存储、处置）中流经项目各个阶段或触点的方式

在第四阶段，DPIA主管可以通过以下方式识别和评估个人数据保护风险:

l 根据PDPA要求、数据保护最佳实践评估项目，完成DPIA调查问卷

l 识别个人数据流中可能导致违反PDPA，或与行业最佳实践相比存在差距的领域

l 根据预定义的风险框架，分析已识别差距和风险的潜在影响和可能性