Các sửa đổi cũng cho phép áp dụng các hình phạt tài chính nghiêm khắc hơn đối với xâm phạm dữ liệu, cao hơn mức giới hạn trước đó là 1 triệu đô la Singapore.
Sửa luật để phù hợp với tình hình mới
Các thay đổi đã được Quốc hội thông qua đầu tuần này, khoảng 8 năm sau khi luật được ban hành vào tháng 10/2012.
Trong bài phát biểu đề cập về các sửa đổi, Bộ trưởng Bộ TT&TT Singapore S. Iswaran cho biết dữ liệu là tài sản kinh tế quan trọng trong nền kinh tế số vì cung cấp những thông có giá trị cho các DN và tạo ra hiệu quả.
Chương trình quốc gia thông minh (smart nation) có nghĩa là một lượng lớn dữ liệu sẽ được thu thập và phân tích, đặt ra câu hỏi về quyền riêng tư và bảo mật dữ liệu. Với việc khu vực công của Singapore bị loại khỏi đạo luật bảo vệ dữ liệu của đất nước, dữ liệu sẽ được quản lý như thế nào?
Theo Bộ trưởng Iswaran, việc sửa đổi luật cũng sẽ thúc đẩy đổi mới và nâng cao sản phẩm, đồng thời sẽ là nguồn lực quan trọng cho các công nghệ mới nổi như trí tuệ nhân tạo (AI).
Các sửa đổi đối với PDPA cũng nhằm đảm bảo chế độ pháp lý của luật "phù hợp với mục đích" cho một nền kinh tế số với bối cảnh dữ liệu phức tạp. Theo đó, luật phải được xây dựng trên sự tin tưởng. Người tiêu dùng phải tin tưởng rằng dữ liệu cá nhân của họ được bảo mật và được sử dụng một cách có trách nhiệm, ngay cả khi họ được hưởng lợi từ các cơ hội số và các dịch vụ dựa trên dữ liệu.
"Các công ty cũng cần chắc chắn việc khai thác dữ liệu cá nhân cho các mục đích kinh doanh tuân thủ các biện pháp bảo vệ và chịu trách nhiệm giải trình cần thiết", Bộ trưởng Iswaran cho biết.
Ông lưu ý rằng các sửa đổi luật nhằm tạo ra sự cân bằng để tối đa hóa lợi ích và giảm thiểu rủi ro khi thu thập và sử dụng dữ liệu cá nhân.Trong số những thay đổi chính là yêu cầu "ngoại lệ đối với sự đồng ý", hiện cho phép các DN sử dụng, thu thập và tiết lộ dữ liệu cho "các mục đích hợp pháp" để cải thiện kinh doanh, phạm vi nghiên cứu và phát triển rộng hơn.
Ngoài các ngoại lệ về sự đồng ý, việc sửa đổi luật còn đáp ứng các mục đích điều tra và ứng phó với các trường hợp khẩn cấp, các nỗ lực chống gian lận, nâng cao chất lượng sản phẩm và dịch vụ cũng như thực hiện nghiên cứu thị trường để hiểu các phân khúc khách hàng tiềm năng.
Ngoài ra, các sửa đổi bổ sung "được coi là đồng ý", PDPA giờ đây sẽ cho phép các tổ chức chia sẻ dữ liệu với các nhà thầu bên ngoài nhằm mục đích hoàn thành các hợp đồng của khách hàng. Điều này phục vụ cho "các thỏa thuận thương mại hiện đại" và các mục đích thiết yếu bao gồm cả an ninh.
Các DN cũng sẽ có thể sử dụng dữ liệu mà không có sự đồng ý để tạo điều kiện cho nghiên cứu và phát triển (R&D) mà chưa đến giai đoạn sản xuất.
Bộ trưởng Iswaran giải thích rằng điều này có thể áp dụng cho các viện R&D, nghiên cứu khoa học xã hội cũng như các DN thực hiện nghiên cứu thị trường để xác định và hiểu các phân khúc khách hàng tiềm năng.
Tất cả các mục đích khác ngoài "được coi là" và "ngoại lệ", chẳng hạn như thông điệp tiếp thị trực tiếp, sẽ vẫn cần sự đồng ý trước của người tiêu dùng.
Mức phạt cao hơn đối với xâm phạm dữ liệu
Các tổ chức gặp phải xâm phạm dữ liệu và đối mặt với các hình phạt tài chính tiềm ẩn, giờ đây có thể bị phạt ở mức lớn hơn theo một sửa đổi cho phép phạt lên đến 10% doanh thu hàng năm của công ty hoặc 1 triệu đô la Singapore (735.490 USD), tùy theo mức nào cao hơn. Các khoản phạt tài chính trước đây được giới hạn ở mức 1 triệu đô la Singapore.
Các sửa đổi cũng cho phép người tiêu dùng quyền tự chủ cao hơn đối với dữ liệu do người sử dụng dịch vụ tạo ra và kiểm soát lớn hơn đối với các thông tin liên lạc thương mại mà họ nhận được.
Nghĩa vụ chuyển dữ liệu mới cho phép các cá nhân được yêu cầu sao chép dữ liệu của họ để được chuyển đến một tổ chức khác. Điều này dự kiến sẽ thúc đẩy cạnh tranh và mang lại lợi ích cho người tiêu dùng bằng cách khuyến khích phát triển các dịch vụ thay thế hoặc thông thường.
Vì đây là một khái niệm tương đối mới ở Singapore, Bộ trưởng Iswaran cho biết khả năng chuyển dữ liệu sẽ được triển khai theo từng giai đoạn và chi tiết sẽ được công bố ở giai đoạn sau, bao gồm các danh mục dữ liệu cũng như các hướng dẫn kỹ thuật, cách bảo vệ người tiêu dùng.
Một số thành viên của Nghị viện bày tỏ lo ngại rằng các sửa đổi, đặc biệt liên quan đến các trường hợp ngoại lệ và được coi là đồng ý là quá rộng và có thể bị các tổ chức lạm dụng.
Lazada đã gặp phải những vấn đề kể từ khi tích hợp ứng dụng tạp hóa vào nền tảng của riêng mình, vì vậy, không có gì ngạc nhiên khi một cơ sở dữ liệu "không được cập nhật" bị bỏ qua đã dẫn đến sự xâm phạm 1,1 triệu tài khoản RedMart và khách hàng mong đợi nhiều hơn nữa nếu nhà khai thác thương mại điện tử không làm rõ hành động.
Bộ trưởng Iswaran cho biết việc sử dụng dữ liệu được coi là hoặc ngoại lệ đối với sự đồng ý sẽ được gắn thẻ với các biện pháp bảo vệ như yêu cầu các công ty thực hiện đánh giá rủi ro để xác định điều gì là "hợp pháp" và đưa ra các giới hạn rõ ràng về cách dữ liệu có thể được sử dụng.
"Để đạt được sự đồng ý về ngoại lệ, các tổ chức phải tiến hành đánh giá để loại bỏ hoặc giảm thiểu rủi ro liên quan đến việc thu thập, sử dụng hoặc tiết lộ dữ liệu cá nhân và phải hài lòng rằng lợi ích tổng thể của việc làm như vậy lớn hơn mọi tác động bất lợi còn lại đối với cá nhân", ông Iswaran cho biết thêm rằng PDPC sẽ đưa ra các hướng dẫn về cách các công ty nên thực hiện đánh giá rủi ro. Các cá nhân vẫn có thể rút lại sự đồng ý ngay cả sau khoảng thời gian chọn không tham gia.
Bộ trưởng Iswaran cho biết: Luật pháp phải được sửa đổi với các thông lệ tốt và phải cập nhật theo thời gian. Ông kêu gọi mọi người cần đóng một vai trò và trách nhiệm trong việc duy trì tính bảo mật và khả năng sử dụng của chế độ dữ liệu của đất nước.
Ông cho biết chính phủ đã xây dựng và thực thi các quy tắc như một phần của nỗ lực thích ứng với các điều kiện thị trường đang thay đổi để đảm bảo Singapore vẫn đáp ứng các yêu cầu kỹ thuật số mới.
Theo Bộ trưởng, PDPC năm ngoái đã điều tra 185 trường hợp liên quan đến xâm phạm dữ liệu và ban hành 58 quyết định. Cơ quan này yêu cầu 39 tổ chức phải trả 1,7 triệu đô la Singapore tiền phạt, bao gồm khoản tiền phạt cao nhất là 750.000 đô la Singapore và 250.000 đô la Singapore, đối với Hệ thống Thông tin Y tế Tích hợp (IHiS) và Dịch vụ Y tế Singapore (SingHealth).
