通信和信息部长S Iswaran周一(11月2日)表示,作为《个人数据保护法》(PDPA)拟议修改的一部分,公司将因数据泄露受到更重的处罚。
"我们的数字经济必须建立在一个坚实的信任基础上。消费者必须有信心,他们的个人数据将是安全的,并负责任地使用...... "Iswaran在议会就修订PDPA的法案进行辩论时说。
"组织需要确定性,以便将个人数据用于合法的商业目的,并采取必要的保障措施和问责制。"
该法案的一个主要变化是在数据泄露事件中对公司进行更严厉的处罚--公司面临的罚款将是其在新加坡年营业额的10%或100万美元,以较高者为准。目前,公司因数据泄露而被罚款的最高限额为100万美元。
伊斯瓦兰说,此次修订的处罚框架与《竞争法》和《电信法》中的处罚框架类似。
去年,个人数据保护委员会(PDPC)调查了185起案件,发布了58项决定,并命令39家机构支付总计170万美元的经济处罚,其中包括对IHiS和SingHealth分别处以创纪录的75万美元和25万美元。
2018年对SingHealth数据库的网络攻击导致近150万名独特患者的个人详细资料被盗--包括总理李显龙的资料。这些数据包括患者的人口统计记录和其中约15.9万名患者的配药记录。
虽然有人担心在法案出台前的公众咨询中强调了较高的经济处罚,但Iswaran说:"我想向成员们保证,PDPC将确保所施加的经济处罚与数据泄露的严重程度相称。"
他补充说,该法案规定部长可酌情审查生效日期,提高的上限将在该法案生效后不早于一年生效。
当数据泄露导致或可能导致对个人的重大伤害时,组织还必须将数据泄露通知PDPC和受影响的个人。
500 人将构成重大规模的数据泄露。如果数据泄露很可能通过身份盗用或欺诈对个人造成重大伤害,包括泄露个人全名和其他机密财务信息,则被归类为严重数据泄露。