为了进一步加强新加坡的数据隐私保护制度，新加坡国会于2020年11月2日通过了对《个人数据保护法》（PDPA）的重大修改，自2021年2月1日起生效。这些修改将使PDPA更接近当前的国际标准（如欧洲的《通用数据保护条例》GDPR），确保新加坡的监管架构与时俱进。

1. 数据泄露义务的加强：

修正案对数据泄露事件引入了更严格的规定，企业将承担更多义务。如果数据泄露事件导致个人遭受重大损害，或影响到500人或更多人，企业必须立即通知新加坡个人资料保护委员会（PDPC）和受影响的个人。

被视为重大损害的数据泄露包括以下个人信息的泄露组合：

*全名；

*完整的身份证号码；

结合以下任一信息：

*财务信息；

*人寿或健康保险信息；

*医疗专业人员提供的医疗信息；

*涉及弱势个体或儿童/未成年人的法院诉讼信息；

*用于电子交易的私人密钥或密码。

在数据泄露涉及多个企业组织的情况下，企业可以共同评估泄露的严重程度及其影响。如果企业已采取补救措施，使数据泄露不太可能造成重大损害，或采取了适当的技术保护措施使数据无法被外人访问，或者PDPC或相关执法机构禁止通知受影响的个人，则企业可以不进行通知。

2. 数据许可的扩展：

修正案扩展了数据许可的范围。企业在以下情况下视为已获得数据主体的同意，可以收集、使用或披露个人资料：

1.在签订或执行合同时，允许对方使用和披露信息。

2.个人已被告知数据的收集、使用和披露目的，并有合理时间选择退出，但未选择退出。

3. 数据许可的例外条件：

修正案重新定义了无需个人同意即可收集、使用或披露个人资料的例外条件，旨在满足合法利益。例外条件包括：

1.涉及个人切身利益：例如，紧急医疗情况、联系近亲或朋友。

2.涉及公共活动：公开、可用的国家利益信息、新闻活动等。

3.涉及公共利益：公共机构间的数据共享。

4.涉及个人合法利益：法律评估、调查或诉讼所需。

5.涉及商业资产交易：企业并购、资产转让等。

6.涉及业务改进：用于开发新商品、改进服务的个人行为或偏好数据。

7.作为研究目的：用于学术或历史研究。

4. 加大财政处罚：

修正案提高了对违反PDPA的罚款标准，最高罚款可达100万新元或企业在新加坡年营业额的10％，以较高者为准。

5. 新增数据转移权：

为了增加个人对其数据的控制权，个人现在可以要求企业将其数据传输到指定的第三方，但前提是这些数据以电子形式存在，且个人与数据转移企业之间保持持续联系。

6. 加强对电话营销和垃圾邮件的管制：

修正案加大了对未经请求的电话营销和垃圾邮件的管控力度。企业必须在确认接收者的电话号码未列入“拒收来电”（DNC）登记册后，才能发送营销信息。

7. “拒收来电”登记册（Do Not Call, DNC）：

由新加坡个人数据保护委员会（PDPC）设立的一项服务，旨在保护个人免受未经请求的营销电话、短信和传真骚扰。个人可以将其新加坡电话号码加入DNC注册表，任何企业在发送营销信息之前都必须核实该号码是否已在DNC列表中注册。如果号码在DNC注册表中，企业就不得向其发送未经请求的营销信息，否则将面临法律处罚。这一措施在于保护消费者的隐私和个人选择权。

鉴于本次修正案，各企业需要采取以下措施：

1.审查隐私政策：确保企业的隐私政策和流程符合修订后的PDPA要求。

2.修订数据泄露响应计划：按照新的强制性数据泄露通知要求，审查和更新数据泄露应急响应计划。

3.评估新增的数据转移权：确保能够满足个人的数据转移请求。

4.定期风险评估：评估数据收集、使用或披露可能带来的风险。

5.内部培训：开展员工培训，以确保理解并遵守最新的PDPA修正案要求。

通过这些措施，企业可以确保在新的数据隐私法规下合规，保护客户数据，增强信任关系。