Опыт Города-льва. Правила обработки персональных данных в Сингапуре

Опыт Города-льва. Правила обработки персональных данных в Сингапуре

Продолжая рубрику зарубежного регулирования сферы персональных данных (далее — ПДн), мы хотим поделиться с читателем опытом удивительного города-государства Сингапур [1]. Но прежде чем перейти непосредственно к анализу сферы регулирования защиты личной информации, стоит кратко рассмотреть контекст развития самого Сингапура, в рамках которого происходило становление сферы регулирования ПДн в республике. 

ПДН В ИСТОРИЧЕСКОМ КОНТЕКСТЕ

Сингапур обрёл независимость лишь в середине 60-х годов ХХ века. В то время Сингапур, бывшая колония Великобритании и отделившаяся часть Малайзии, представлял собой беднейшую страну третьего мира с ограниченными природными ресурсами, высочайшим уровнем коррупции, и находящуюся при этом в крайне сложном геополитическом положении. Несмотря на эти вызовы, всего за полвека Сингапуру удаётся встать в один ряд с мировыми экономическими гигантами и занять своё место в четвёрке так называемых азиатских тигров (англ. Four Asian Tigers) [2]. Этот стремительный рост экономисты назовут феноменом «сингапурского экономического чуда», который, к слову, стал результатом крайне жёсткой политики, проводимой Ли Куан Ю, первым премьер-министром Республики Сингапур. Именно ему принадлежат известные слова: «Чтобы выжить, Сингапур должен быть экстраординарным государством. Если мы будем обычными, нас просто не станет» [3].  

Следуя данному утверждению, Сингапур делает ставку на развитие высоких технологий, производство электроники и, конечно, привлечение иностранных инвестиций. Политика Ли Куан Ю, несмотря на всю суровость, дала свои плоды, и теперь Сингапур является одним из мировых лидеров технологической индустрии, государством с сильнейшей экономикой, с одним из самых высоких в мире ВВП на душу населения и одним из самых низких показателей уровня коррупции. На фоне этого в Сингапуре набирает существенные обороты цифровизация экономики, что было бы невозможным без оборота больших массивов данных, включая персональные. Как отмечает Валютно-финансовое управление Сингапура в своей белой книге Foundational digital infrastructures for inclusive digitale conomies, данные становятся всё более ценными в условиях развития цифровой экономики. Для поддержания функционирования цифровых инфраструктур активно продвигается создание цифровых ID. Всё это, разумеется, невозможно в отсутствие эффективного механизма регулирования вопросов, связанных с обработкой персональных данных, что подводит нас к основной теме повествования. 

До 2012 года в стране уже существовал «секторальный» подход к обработке ПДн, тем не менее требовалась единая система защиты ПДн, которая устанавливала бы общие требования к их обработке во всех областях. Предполагалось, что это будет способствовать как эффективному развитию цифровой экономики, так и защите интересов физических лиц, чьи права были бы определены и защищены новым законом. В результате в 2012 году в Сингапуре принимается единый закон о защите личных данных Personal Data Protection Act 2012 (No. 26 of 2012) (далее — PDPA), который претерпел существенные изменения в 2020 году. При этом PDPAне отменяет иные секторальные акты, регулирующие сферу ПДн в Сингапуре, а скорее объединяет их в единую систему. К слову, вопросы, связанные с обработкой ПДн в финансовом секторе, могут регулироваться законодательством соответствующей отрасли, как и финансовым регулятором. Так, вопросы обработки клиентской информации, собираемой банками, регулируются Законом о банках (the Banking Act 1970), и его положения будут превалировать над положениями PDPA в случае разночтений.

При этом в республике сосуществуют два режима регулирования сферы ПДн: один направлен на регулирование обработки ПДн частными организациями, второй — государственными органами и агентствами (Public Sector (Governance) Act; Government Instruction Manual 8). В рамках настоящей статьи будет рассмотрен первый из них.

ЗАКОН О ЗАЩИТЕ ЛИЧНОЙ ИНФОРМАЦИИ (PERSONAL DATA PROTECTION 2012)

Сфера действия

PDPA носит экстерриториальный характер действия, что предполагает применение его требований к операторам, расположенным за пределами Сингапура, в случае если они осуществляют сбор или использование ПДн в пределах Сингапура. Например, если российские операторы осуществляют сбор ПДн граждан Сингапура через цифровые платформы, такая обработка будет попадать под регулирование PDPA. 

Положения PDPA не применяются к обработке ПДн, осуществляемой физическими лицами для личных целей, работниками в рамках осуществления должностных обязанностей, публичными агентствами и органами. PDPA также не распространяется на обработку: а) рабочих контактов (business contact information), под которыми понимаются Ф. И. О., должность, корпоративные номера телефона или email и иная схожая информация, предоставляемая для целей рабочих коммуникаций; b) ПДн, содержащихся в архивах/ документах, возраст которых превышает 100 лет; и c) ПДн физических лиц, умерших более 10 лет назад.

Понятие персональных данных

В соответствии с PDPA, под персональными данными (ПДн) понимается любая информация о физическом лице, по которой он может быть идентифицирован, будь то правдивая информация или нет. Это интересная отличительная черта сингапурского закона, которая прямо предполагает, что даже вымышленная информация о физическом лице, например его псевдоним, признаётся ПДн. В отличие от большинства зарубежных законов в области ПДн, PDPA прямо не предусматривает категоризацию ПДн на чувствительные, специальные или биометрические данные, тем не менее в Руководстве по уведомлению о нарушении безопасности ПДн предусматриваются виды информации, которые в случае нарушения безопасности ПДн могут повлечь за собой существенный вред интересам физических лиц. К такой информации, в частности, относятся: финансовая информация, информация о здоровье, информация о страховании, информация, связанная с вопросами усыновления, информация, идентифицирующая уязвимые слои населения, номер личного счёта и информация, необходимая для получения доступа к нему. 

Правовые основания обработки

Как и в российском законодательстве, в Сингапуре предусмотрена такие виды правовых оснований, как:

• согласие физического лица на обработку его ПДн;
• договор с субъектом ПДн;
• требование закона;
• публичные интересы;
• законный интерес оператора.

При этом существенным отличием от отечественной практики является особый подход Сингапура к концепции «согласия» физического лица на обработку ПДн. Так, в Сингапуре распространена практика так называемой презумпции согласия deemed consent и optout consent, что подразумевает согласие физического лица на обработку его ПДн до тех пор, пока он не выразит возражения против такой обработки.

Права субъектов

PDPA предусматривает схожие с иными юрисдикциями права физических лиц в отношении обработки их ПДн (право на получение информации об обработке ПДн, право на доступ к обрабатываемым данным, право на уточнение/исправление, право на уничтожение, право на возражение против обработки ПДн). При этом, на удивление, PDPA не предусматривает специальных прав физических лиц в отношении решений, вынесенных исключительно на основании автоматизированной обработки ПДн (right not to be subject to automated decision-making).

Обязанности операторов ПДн

Помимо требований к обеспечению наличия правового основания на обработку ПДн, операторы обязаны осуществлять свою деятельность в строгом соответствии с принципами обработки ПДн. Например, операторы могут обрабатывать ПДн только для обоснованных целей, при этом ПДн не могут обрабатываться и храниться дольше, чем того требуют цели обработки. Оператор ПДн должен перед началом сбора ПДн уведомить физическое лицо о целях обработки ПДн. В соответствии с принципом подотчётности операторы обязаны разработать локальные акты, определяющие политику обработки ПДн, включая порядок обработки запросов физических лиц (субъектов ПДн).

Передача ПДн третьим лицам допускается только на основании заключённого договора, если иное не установлено законом.

Операторам также следует проводить оценку воздействия (DPIA), детальные рекомендации по проведению DPIA содержатся в руководствах, опубликованных регулятором (Guide to Data Protection Impact Assessments, Guide to Developing a Data Protection Management Programme). Проведение DPIA обязательно в случае, когда обработка может повлечь за собой существенные риски для интересов физических лиц, а также если она основана на: a) «презумпции согласия» физического лица на обработку его ПДн; или b) законном интересе оператора. 

Операторы обязаны обеспечивать безопасность обрабатываемых ПДн посредством имплементации соответствующих мер, направленных на недопущение несанкционированного доступа, сбора, использования, раскрытия, копирования, модификации и удаления ПДн, а также любой утраты материальных носителей, на которых содержатся ПДн. 

При нарушении безопасности ПДн, например при утечках данных, оператор обязан провести расследование по данному факту. Под нарушением безопасности ПДн понимаются несанкционированный доступ, сбор, использование, раскрытие, копирование, модификация или удаление ПДн; или утеря любого материального носителя ПДн, в случае если есть вероятность того, что эти данные станут доступны третьим лицам. В случае если нарушение безопасности может повлечь за собой существенный вред физическим лицам, ПДн которых были затронуты инцидентом, или затрагивает более 500 физических лиц, оператор обязан уведомить о таком нарушении и регулятор, и физические лица, чьи ПДн были затронуты инцидентом. 

Трансграничная передача ПДн

Передача ПДн за пределы Сингапура допускается только при условии, что получающая сторона гарантирует обеспечение такого уровня защиты передаваемых ПДн, который соответствует требованиям PDPA. На практике это реализуется путём заключения соответствующего договора с иностранным получателем ПДн, в котором предусматриваются положения, соответствующие требованиям PDPA, и указывается перечень стран, на территорию которых может осуществляться передача ПДн в соответствии с заключённым договором. 

Для компаний, входящих в одну группу, допускается заключение BCR (по аналогии с GDPR), представляющее собой обязательные корпоративные правила, распространяющиеся на все компании группы — участницы трансграничного обмена данными.

Помимо этого, трансграничная передача ПДн также допускается на основании информированного согласия физического лица, чьи данные подлежат передаче за пределы Сингапура, или в случае, когда такая передача является необходимой и не требует согласия физического лица в соответствии с PDPA, при условии, что зарубежный получатель обязуется не использовать полученные ПДн для иных целей. 

Лицо, ответственное за обработку ПДн

Операторы ПДн обязаны назначить лицо, ответственное за соблюдение требований законодательства о ПДн (Data Protection Officer, далее — DPO). Данная функция может быть возложена на работника в качестве самостоятельной или дополнительной роли. Полномочия DPO также могут быть делегированы другим работникам оператора. В Сингапуре отсутствует требование по подаче уведомления в уполномоченный орган о намерении осуществлять обработку ПДн, тем не менее рекомендуется доводить до сведения регулятора контактную информацию DPO, которая также должна быть опубликована оператором в публичном домене. 

Уполномоченный орган по вопросам ПДн (регулятор)

Уполномоченным органом по вопросам ПДн является Комиссия по защите ПДн (Personal Data Protection Commission), которая была учреждена с принятием PDPA. Комиссия отвечает за обеспечение соблюдения PDPA, кроме того, регулятор также осуществляет консультативную деятельность по вопросам обработки ПДн, в частности — по вопросам толкования требований PDPA.

Ответственность за нарушения

Контроль за исполнением PDPA осуществляет регулятор, который может обязать оператора ПДн прекратить сбор, использование или раскрытие ПДн, уничтожить ПДн, собранные в нарушение PDPA, предоставить доступ или исправить неточные ПДн; либо возложить на оператора ПДн административный штраф. Сингапур также следует практике оборотных штрафов, максимальный штраф за нарушение требований к обработке ПДн может достигать 10% годового оборота компании (если он превышает $10 млн) или до $1 млн для всех остальных случаев. 

Помимо административной ответственности за ряд правонарушений в сфере обработки ПДн, в Сингапуре предусмотрена уголовная ответственность в виде штрафа или тюремного заключения. К числу правонарушений, за совершение которых предусмотрена уголовная ответственность, относятся: незаконное раскрытие ПДн, незаконная реидентификация анонимизированных данных, воспрепятствование деятельности регулятора, представление в адрес регулятора недостоверных сведений и др. 

ИНЫЕ АКТЫ В СФЕРЕ ПДН

Помимо PDPA, в Сингапуре действует целый ряд подзаконных актов, регулирующих вопросы обработки и защиты ПДн, среди которых отмечаются следующие:

• Регламент защиты ПДн 2021 года (Personal Data Protection Regulations 2021);
• Уведомление о защите ПДн (Уставные органы) 2013 года (Personal Data Protection (Statutory Bodies) Notification 2013);
• Регламент защиты ПДн (Реестр «Не звонить») 2013 года (Personal Data Protection (Do Not Call Registry) Regulations 2013);
• Уведомление о защите ПДн (Правоохранительные органы) 2014 года (Personal Data Protection (Prescribed Law Enforcement Agencies) Notification 2014);
• Уведомление о защите ПДн (Органы здравоохранения) 2015 года (Personal Data Protection (Prescribed Healthcare Bodies) Notification 2015);
• Регламент защиты ПДн (Обеспечение соблюдения) 2021 (Personal Data Protection (Enforcement) Regulations 2021);
• Регламент защиты ПДн (Составы правонарушений) 2021 (Personal Data Protection (Composition of Offences) Regulations 2021);
• Регламент защиты ПДн (Уведомление о нарушении безопасности ПДн) 2021 (Personal Data Protection (Notification of Data Breaches) Regulations 2021);
• Регламент защиты ПДн (Обжалование) 2021 (Personal Data Protection (Appeal) Regulations 2021).

В дополнение к PDPA регулятор Сингапура публикует практические рекомендации и руководства, которые не являются юридически обязывающими по своей природе и тем не менее представляют собой информативные разъяснения в отношении корректного применения положений PDPA. В их числе:

• Руководство по ключевым концепциям PDPA (Advisory Guidelines on Key Concepts in the Personal Data Protection Act);
• Руководство по отдельным вопросам PDPA (Advisory Guidelines on the Personal Data Protection Act for Selected Topics);
• Руководство по обеспечению исполнения положений о защите ПДн (Advisory Guidelines on Enforcement of Data Protection Provisions);
• Руководство по защите ПДн для ИКТ-систем (Guide to Data Protection by Design for ICT Systems);
• Руководства по назначению лица, ответственного за обработку ПДн (Data Protection Officers, DPO Competency Framework and Training Roadmap, Data Protection Officers Frequently Asked Questions);
• Руководство по проведению оценок воздействия DPIA (Guide to Data Protection Impact Assessments);
• Руководство по принципу Подотчётности по смыслу PDPA (Guide to Accountability under the Personal Data Protection Act);
• Руководство по созданию системы управления защитой ПДн (Guide to Developing a Data Protection Management Programme);
• Руководство по основам анонимизации (Guide to basic anonymisation);
• И др. [4]

В ЗАКЛЮЧЕНИЕ

Систему регулирования вопросов обработки ПДн в Сингапуре можно назвать всеобъемлющей и очень развитой. Скачок в развитии законодательства о ПДн в Сингапуре наблюдается после 2020 года, когда принимаются существенные поправки к основному закону о ПДн — PDPA, а также издаётся целый ряд подзаконных актов и разъяснений регулятора по вопросам обработки личной информации. Во многом это становится результатом глобальной тенденции развития сферы privacy, которая наблюдается в мире после вступления в силу в 2018 году Европейского регламента о защите данных (GDPR).

Как отмечалось ранее, в республике, помимо основного закона о защите ПДн, действует целый ряд подзаконных актов и секторальных законов, регулирующих вопросы обработки ПДн в соответствующих отраслях, а также большое количество руководств и разъяснения регулятора по вопросам ПДн, которые, несмотря на свой необязательный характер, представляют более детальное толкование положений PDPA и являются частью единой системы регулирования ПДн в Сингапуре. 

Примечателен тот факт, что Сингапур не является стороной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПДн, тем не менее обширная система регулирования данной сферы позволяет признать Сингапур государством, обеспечивающим достаточный уровень защиты ПДн и прав физических лиц, о чём также свидетельствует и наличие Сингапура в Перечне иностранных государств, обеспечивающих адекватную защиту прав субъектов ПДн, утверждённом приказом Роскомнадзора от 05.08.2022 № 128. 

[1] Название Сингапура происходит от «Singa Pura» (что означает «Город льва»). Согласно малайским анналам, Санг Нила Утама, принц из Палембанга, дал это название острову после того, как вышел на берег и увидел существо, которое, по его мнению, было львом.

[2] «Четыре азиатских тигра» — собирательное название Южной Кореи, Сингапура, Гонконга и Тайваня, которые показывали очень высокие темпы экономического роста в период с 1960-х до 1990-х.

[3] Более детально ознакомиться с историей «сингапурского чуда» читатель может в книге «Из третьего мира — в первый», которая представляет собой политические мемуары, написанные бывшим премьер-министром Сингапура Ли Куан Ю.

[4] Ещё больше информации можно найти на официальном сайте регулятора www.pdpc.gov.sg