《个人资料保护法》(PDPA)是新加坡一项规范个人资料收集、使用及披露的法律。本文将梳理该法中涉及第三方的重要考量因素,并指出满足相关要求的关键能力。
关于《个人数据保护法》
《个人数据保护法》于2012年首次颁布,2020年修订,该法既承认个人保护其个人数据的权利,也认可组织为合理目的收集、使用和披露数据的必要性。这意味着组织必须与第三方数据处理方合作,确保其建立健全的数据保护措施。 若违反《个人数据保护法》规定,组织可能面临两项处罚中较高者:年度营业额10%的罚款,或最高100万新元的罚金。
为向拥有新加坡客户的组织提供指导,PDPA包含了涉及以下方面的"数据保护条款":
- 在收集、使用或披露个人资料时,须有合理目的、通知目的及取得同意;
- 允许个人访问并更正其个人数据;
- 处理个人数据(涉及确保准确性)、保护个人数据(包括国际传输中的保护),以及在不再需要时不再保留个人数据;
- 向新加坡数据保护委员会及受影响的个人通报数据泄露事件;
- 制定政策和措施以符合《个人数据保护法》的要求。
《个人数据保护法》包含十项义务,其中一项——保护义务(第24条)——最直接适用于第三方数据处理外包。然而,该法并未强制规定处理第三方数据保护的具体流程或技术方案。相反,当局发布了《个人数据保护法关键概念咨询指南》(2022年5月17日修订版),允许机构在实施适当数据保护控制措施时享有灵活性。
《个人数据保护条例》关键概念咨询指南:如何遵守交易方风险管理要求
确保第三方在存储、管理或维护贵组织客户数据时采用最严格的安全控制措施至关重要。本节将最佳实践与《个人数据保护法》中的相关条款进行对照,以协助您的数据隐私团队确保第三方履行数据保护义务。
注:本文仅为最相关条款的摘要,不应视为全面且权威的指导。如需完整条款列表,请详细查阅完整文件并咨询您的审计师。
数据保护义务,17.3 c)
《个人数据保护法》要求组织“实施强有力的政策和程序,以确保不同敏感程度的个人数据获得适当级别的安全保护”。
为满足这些要求,组织应考虑在其第三方风险管理计划中制定以下标准:
- 管理保护数据的政策、标准、系统和流程
- 明确团队所有成员的职责分工(例如RACI模型)
- 基于组织风险承受能力的风险评分和阈值
- 基于第三方关键性的评估和监测方法
- 第四方映射以确定上游依赖关系
- 持续监测数据的来源(例如网络安全、业务运营、声誉管理、财务状况等),旨在为数据安全提供对新兴风险的实时洞察。
- 合同关键绩效指标(KPI)和关键风险指标(KRI)作为衡量标准
- 为满足多个内部(及外部)利益相关方的需求而进行的报告
- 风险缓解与补救策略,包括补偿性控制措施的适用性
许多组织选择采用公认的风险管理框架(如ISO)来实现这一目标。若您希望将TPRM计划的评估流程与行业框架自动化对接,请务必选择提供多种预设问卷选项的评估平台,这些选项需兼容多个框架体系。
数据保护义务,17.3 d)
《个人数据保护法》要求组织“做好准备,能够及时有效地应对信息安全漏洞”。
快速识别、响应、报告第三方供应商事件及其影响,若仅靠人工操作或缺乏坚实的事件管理基础,则难以实现。作为事件响应计划的重要组成部分,需重点考察以下关键能力:
- 持续更新且可定制的事件与事故管理问卷,以应对不断变化的威胁并保持灵活性
- 实时问卷完成进度跟踪,以确保取得可接受的进展
- 定义风险所有者,并通过自动追逐提醒,使调查如期进行
- 主动供应商报告机制,使第三方能够自主识别事件
- 每个供应商的风险评级、计数、评分和标记回复的综合视图
- 工作流规则用于触发自动化操作手册,根据风险对业务的潜在影响采取相应行动。
- 来自内置补救建议的指导,以降低风险
- 内置报告模板
- 数据与关系映射,用于识别贵组织与第三方、第四方或第N方之间的关联,可视化信息流路径并确定高风险数据。
数据保护义务,17.4
《个人数据保护法》建议机构进行风险评估,以确定其信息安全措施是否充分。在此过程中,可考虑以下因素:
a) 该组织的规模及其持有的个人数据的数量和类型;
b) 组织内部哪些人员有权访问个人数据;以及
c) 个人数据是否由第三方代表该组织持有或使用,或将来是否会如此。
为解决这些建议,请考虑以下功能:
自我评估
针对风险最高的敏感隐私相关数据和业务流程,开展内部隐私影响评估(PIA)。该评估将分析潜在风险的来源、性质及严重程度,同时提出缓解已识别风险的建议,确保未来符合隐私法规要求。
第三方、第四方及第N方数据发现与映射
评估与被动扫描可实现关系映射,追踪商业关系中的数据传输路径,识别数据存储位置、流动轨迹以及在组织外部共享的对象。
供应商风险评估
运用ISO等通用框架,依据《个人数据保护法》(PDPA)审查第三方数据隐私控制措施。通过特定问卷内容识别风险并将其映射至控制措施,从而清晰掌握潜在风险点。在此过程中,需持续监测互联网及暗网中的网络威胁与漏洞,同时追踪公共及私有渠道的声誉信息、制裁信息和财务信息。
风险应对与补救
建立阈值并据此实现风险识别自动化。运用工作流规则将识别出的风险上报至相应责任方,以便立即审查并处置。向第三方提供规范性整改建议,以确保其履行责任。
合规性追踪与报告
采用ISO等通用行业框架构建符合PDPA要求的合规报告体系。该体系可自动将风险与应对措施映射至控制措施,提供百分比合规评级,并生成针对特定利益相关方的报告,从而提升数据安全的可视性。
持续性安全事件通知监控
通过监控数据泄露数据库,及时掌握潜在数据风险。这些数据库将提供以下关键信息:被盗数据的类型与数量;合规与监管问题;以及供应商数据泄露的实时通知。
普瑞文如何助力满足《个人数据保护法》的TPRM要求
必须遵守《个人数据保护法》的组织应确保与其共享个人信息的第三方已建立保护该信息的管控措施。Prevalent为组织提供可扩展的第三方风险管理平台,以应对数据保护风险。Prevalent平台:
- 通过全面的第三方风险管理计划,为第三方数据保护奠定坚实基础
- 对隐私数据的位置、流动方式和访问权限提供可见性
- 加快风险识别和补救,降低违规成本和声誉损失
- 为监管机构、供应商和内部利益相关者生成有针对性的报告
- 持续监控安全漏洞,加速事件响应,以降低发生破坏性强且代价高昂的数据安全事件的风险。
有了 Prevalent,供应商、安全和隐私团队就有了一个单一的协作平台,可以进行隐私评估并降低第三方和内部隐私风险。
如需了解有关Prevalent解决方案如何满足《个人数据保护法》(PDPA)合规要求的更多信息,请下载我们的全面PDPA合规检查清单或 预约产品演示。
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
