个人数据保护法案与第三方风险管理
《新加坡个人数据保护法》(PDPA)是一部规范个人数据收集、使用及披露的法律。该法于2012年首次颁布,2020年修订,既承认个人保护自身数据的权利,也认可机构为合理目的收集、使用及披露数据的必要性。
《个人数据保护法》包含十项义务,其中一项——保护义务(第24条)——最直接适用于第三方数据处理外包。因此,必须确保第三方在存储、管理或维护贵组织客户数据时采用最严格的安全控制措施。
相关要求
- 在收集、使用或披露个人数据时,须有合理目的,并通知当事人并征得其同意。
- 妥善处理个人数据(涉及确保准确性),保护个人数据(包括在国际传输情况下的保护),且在不再需要时不得保留个人数据。
- 制定政策和措施以遵守《个人数据保护法》
- 允许个人访问并更正其个人数据
- 向新加坡数据保护委员会及受影响的个人通报数据泄露事件
满足《个人数据保护法》的风险管理要求以实现数据保护
下表将主流第三方风险管理平台的功能与《个人数据保护法》第24条——保护义务中的特定条款进行对照映射。
注:本文仅为最相关条款的摘要,不应视为全面且权威的指导。如需完整条款列表,请详细查阅完整文件并咨询您的审计师。
PDPA 章节
我们如何提供帮助
个人数据保护,第24条:
“组织必须通过制定合理的安全安排,保护其持有或控制的个人数据,以防止——
(a) 未授权的访问、收集、使用、披露、复制、修改或处置,或类似风险;以及——
(b) 存储个人数据的任何存储介质或设备的丢失。”
《个人资料(私隐)条例》关键概念咨询指引
数据保护义务,17.3 c)
实施强有力的政策和程序,以确保不同敏感程度的个人数据获得相应级别的安全保护。
《个人资料(私隐)条例》关键概念咨询指引
数据保护义务,17.3 d)
“做好准备,能够对信息安全漏洞进行及时有效的响应”
Prevalent通过集中管理供应商、执行事件评估、对识别风险进行评分、关联持续网络监控数据以及获取修复指导,使您的团队能够快速识别、响应、报告并减轻第三方供应商事件的影响。核心功能包括:
- 不断更新和可定制的事件和事故管理调查表
- 实时跟踪问卷完成进度
- 定义风险所有者,并通过自动追逐提醒,使调查如期进行
- 积极主动的供应商报告
- 每个供应商的风险评级、计数、评分和标记回复的综合视图
- 工作流规则用于触发自动化操作手册,根据风险对业务的潜在影响采取相应行动。
- 来自内置补救建议的指导,以降低风险
- 内置报告模板
- 数据与关系映射,用于识别贵组织与第三方、第四方或第N方之间的关联,可视化信息流路径并确定高风险数据。
《个人资料(私隐)条例》关键概念咨询指引
数据保护义务,17.4
此外,组织机构开展风险评估工作以确认其信息安全措施是否充分,可能具有实用价值。
在此过程中,可考虑以下因素:
a) 组织的规模及其持有的个人数据的数量和类型;
b) 组织内部哪些人员有权访问个人数据;以及
c) 个人数据是否由第三方代表组织持有或使用。
Prevalent提供全面的第三方数据保护风险评估方案,涵盖以下功能:
发现与第三方、第四方及第n方数据映射
Prevalent提供定期评估服务及独特的关联关系映射功能,可追踪商业关系中的数据传输路径,识别数据存储位置、流动轨迹以及组织外部共享对象。评估结果将自动生成风险登记册,重点标注关键风险领域。
借助Prevalent平台,企业可针对最高风险的敏感隐私数据及业务流程开展内部隐私影响评估(PIA)。该评估将分析潜在风险的来源、性质及严重程度,同时提供风险缓解建议,确保未来符合隐私法规要求。
供应商风险评估
Prevalent通过Prevalent合规框架(PCF)及专属PDPA调查问卷,依据《个人数据保护法》(PDPA)评估供应商数据隐私控制措施。特定问卷内容有助于识别风险并将其映射至控制措施,从而清晰呈现潜在风险热点。
风险响应
Prevalent基于平台设定的阈值实现风险自动识别。该功能通过预设工作流规则加速响应流程,将识别出的风险上报至相应利益相关方,以便立即进行审查和处置。
合规性追踪与报告
Prevalent通过Prevalent合规框架(PCF)生成针对《个人数据保护法》(PDPA)的合规报告。该框架能自动将风险与应对措施映射至控制措施,提供百分比合规评级,并生成针对特定利益相关方的报告,从而提升数据安全的可视性。
持续数据泄露事件监控服务
Prevalent平台提供全球数千家企业逾十年数据泄露历史数据库访问权限。该数据库涵盖被盗数据类型与数量、合规与监管问题,以及供应商实时数据泄露通知。
