新加坡PDPC发布管理数据中介的指南

个人数据保护委员会（PDPC）于年9月21日发布了其管理数据中介人的指南。该指南特别强调了组织在将其数据处理活动外包给数据中介机构时的相关义务和考虑因素。此外，该指南还概述了数据控制者和数据中介者在治理和风险评估，策略和实践，服务管理以及退出管理方面的角色和职责。此外，该指南还包括组织在制定合同条款时应考虑的其他事项，其中包括禁止数据中介机构出于任何未经授权的目的使用或披露个人数据，禁止未经数据控制者批准而进行分包。

管理数据中介的指南

个人数据保护委员会PDPC

简介

本指南强调了《个人数据保护法》（PDPA）下的相关义务，以及将数据处理活动外包给其他实体（即数据中介机构）的组织（即数据控制者）的关键考虑事项。数据控制器（DC）通过管理数据中介体（DI）来确保责任性，从而为客户提供更大的保障，并增强其业务竞争力。DIs必须确保遵守PDPA规定的义务，并在代表DC2处理数据时采用良好做法。有关主要考虑事项的概述，请参阅附件A。

PDPA规定的数据保护义务

PDPA将DI定义为根据合同代表DC处理个人数据的组织。DI可执行与个人数据有关的任何操作或一组操作，包括但不限于以下内容：a）记录；b）保存；c）组织、改编或更改；d）检索；e）组合；f）传输；以及g）删除或销毁。

当DI代表DC处理个人数据并为DC的目的处理个人数据时，DI应遵守与保护个人数据（“保护义务”）和保留个人数据（“保留限制义务”）相关的数据保护规定。如果DI使用或披露其拥有或控制的个人数据超出DC授权的范围，DI将负责遵守PDPA下的所有数据保护规定。

数据中介（DI）管理生命周期

本指南涵盖了DC和DI的角色、职责和关键注意事项，贯穿DI管理生命周期，即（A）治理和风险评估，（B）策略和实践，（C）服务管理，以及（D）退出管理。

所讨论的考虑因素并非详尽无遗，发展中国家应根据其具体情况确定在管理其疾病方面应采取的最适当措施。所提供的例子借鉴了PDPC的数据保护执法案例。各组织可参考PDPC网站上公布的案例，以了解为防止类似事件发生而采取的措施的详细信息。

A：治理和风险评估

良好的问责实践始于组织的领导和治理结构。将数据处理活动外包给DIs的决定以及此类数据处理活动的范围应由DC的高级管理层决定。DC的高级管理层还应了解外包数据处理活动所涉及的风险。这需要定期识别和评估个人数据风险7，并制定本指南中涵盖的相关措施，以减轻风险。

在DI管理生命周期的这个阶段，DC的角色和职责包括：

确定拟议数据处理外包的业务目标和要求。

确定外包的规模和将要处理的个人数据的敏感性。

识别与建立DI评估和选择标准相关的潜在高级风险。

确定可以在与设计院签订的合同中规定的要求。

一般来说，对角色和职责的良好理解将有助于确定DI管理数据处理活动的具体策略和实践。例如，了解外包的规模和DI将要处理的个人数据的敏感性将有助于DC确保任何潜在的DI都必须有能力为个人数据提供适当的保护标准。

示例：根据DI处理的个人数据的规模和敏感性确定范围要求

XYZ组织是一家儿童保育中心，负责收集、使用和披露儿童在其托儿中心的个人资料。

在聘用DI之前，XYZ的管理层应就选定DI将处理的个人数据的规模和敏感度确定其业务目标和要求。作为一家大型连锁儿童保育中心，XYZ需要一家能够处理其全部名儿童的个人数据的DI提供专业服务，包括儿童的家庭详情、病史和父母收入。

鉴于XYZ收集的个人数据的规模和敏感性，XYZ根据他们的成就记录和为将要处理的个人数据提供高标准保护的能力来评估潜在的DI。

作为选择过程的一部分，XYZ还可能需要潜在的DIs来演示足够健壮和全面的安全安排，以防止可能的入侵或攻击。

XYZ还可以考虑个人数据的规模和敏感性是否要求它采用按设计的数据保护方法，以帮助确定其DIs的适当措施和保护措施。

有关设计数据保护的更多信息，请参阅PDPC的ICT系统设计数据保护指南。

DI的评估和选择

DC应确保DI能够满足其数据处理要求，并提供与DI要处理的个人数据量和敏感度相称的保护和护理。在评估潜在DI时，DC应确信DI具有必要的数据保护框架，包括对其员工的政策、实践和培训，以及适当的安全安排，以确保其处理的个人数据得到适当保护。

作为尽职调查的一部分，通过检查DI的跟踪记录，DC可以考虑DI的数据保护实践是否需要定期的外部审查和验证，例如数据保护信任标记（“DPTM”）认证或其他形式的认证。

B：策略和实践

业务目标、数据处理要求和数据处理中涉及的风险将决定DC如何管理其DI。本节概述了各种数据保护政策和实践如何运作，以及如何在内部与参与管理DI的员工沟通。

承包

DC确保其DI处理的个人数据得到适当保护和保留的主要手段是通过合同。由于可能外包的数据处理活动的范围非常广泛，有必要明确界定和商定外包数据处理活动的范围。DC和DI之间应就外包数据处理活动的范围和个人数据保护要求进行明确沟通。对于DC来说，这对于确保其与外包相关的业务需求和管理决策向DI明确表示是至关重要的。

DC可以外包的东西也有限制。因此，委托DI执行的处理范围是DC-DI关系的核心，并构成PDPA要求合同明确记录的基础。

DC与其DI之间的具有约束力的合同协议应明确规定各方的义务和责任，尤其是DI代表DC处理个人数据的义务和责任。如果合同不是以书面形式订立的，则规定DI义务和责任的关键条款必须以书面形式证明。这些术语也可以引用像iso（云服务）这样的技术标准作为保护存储在云上的个人数据的标准。如果没有规定DI关键义务和责任的合同协议或文件，则违反PDPA。

在制定合同时，跟单信用证还应考虑和审查合同附表等细节以及合同以外的任何其他行政指示。这些可以与移民局协商制定，因为移民局可能在处理个人数据方面拥有必要的技术和/或运营专业知识和经验。但是，DC最终负责确定个人数据处理的责任范围和安全要求。因此，DC应采取所有合理措施将任何具体要求传达给其DI。关于制定合同条款的进一步考虑，请参阅附录B。

示例：关于个人数据海外传输的合同条款

在签署其服务之前，ABC组织向DF提供了云服务提供商（“CSP”），它希望将个人数据存储在新加坡和香港的数据中心，并在合同中包含一个条款。

合同条款旨在确保DEF受到法律强制执行的义务的约束，以保护其收到的个人数据，其标准与PDPA中的标准相当。这是因为ABC等组织需要对其拥有或控制下的个人数据跨境转移的风险进行评估，并确定如何应对已识别的风险（如果有）。

有关云服务的更多信息，请参阅PDPC关于PDPA的咨询指南第8章，了解所选主题（云服务）。

标准操作程序

在确保DI履行其义务方面，治理和操作措施与合同文件一样重要。

作为确保责任措施到位的一部分，DC可制定标准操作程序（“SOP”）。SOP可进一步细分为以下领域：

a）操作程序；

b）报告

i、定期管理报告

ii、特别事件报告

a）操作程序

操作程序是DC维护控制和有效管理操作程序的重要手段。这些可以由设计院共同开发或提出，因为在大多数情况下，设计院将拥有相关的技术和操作经验和专业知识，以确保遵守义务。然而，由于DC最终负责，DC批准最终程序及其任何重大变更是一种良好的做法。设计院负责实施DC批准的这些程序。

对于外包的IT操作，一个操作过程可能包括IT维护过程，例如定期的安全修补。修补是系统所有者需要执行的一项任务，以便使他们的安全措施针对外部威胁保持最新状态。它还可能包括定期对It应用程序和数据库进行渗透测试，以修复潜在的漏洞。有关保护电子个人数据的良好做法，请参阅PDPC的《在电子介质中保护个人数据的指南》。

示例：建立操作程序

金融机构ABC聘请XYZ处理、打印和向ABC客户提供月度财务报告。作为其业务的一部分，ABC计划提供一份个性化报告，记录每个客户在ABC的投资历史。ABC签订了一项协议，要求XYZ在打印和交付过程中采取必要的数据保护措施，保护客户的个人数据。

鉴于个性化报告中信息的敏感性，仅仅制定一项数据保护政策可能不是一项充分的安全安排，ABC还可以考虑让XYZ制定一项操作程序，管理这些报告的处理、打印和邮寄。

例如，如果需要一个新的交付流程，那么XYZ的一名员工将被要求在实际交付之前首先测试交付计划。此外，XYZ还制定了相关流程，以确保从ABC收集的任何个人数据都是准确和完整的。

这样，新流程或信息产生的任何错误或问题都将得到控制。这使XYZ能够在实际实施之前检测并纠正交付过程中的任何问题。此外，通过确保包含客户个人数据的文件通过安全格式（即安全文件传输协议）发送，建立了ABC和XYZ之间个人数据安全传输的操作程序。

有关保护个人数据的更多信息，请参阅PDPC的《处理和发送个人数据时防止意外泄露指南》和《组织打印流程指南》。

b）报告

DC的另一个作用是定义其DI报告的格式（如所需的详细程度）和频率（如每日、每周、特别）。

i、定期管理报告

管理报告应定期浮出水面，为DC管理层提供监控和管理业务运营的信息。这种定期报告有助于确保有效管理综合信息系统。

ii、特别事件报告

事件报告基于需要特别注意的问题（如数据事件）呈现。在这方面，DC应建立事件报告的上报流程和报告链，以确保DIs在发现任何数据事件时立即通知他们。SOP还应包括事件调查和管理，以及数据泄露通知程序。此外，在数据泄露的情况下，DCs应制定数据泄露管理的抽屉计划，以便其DIs采取补救措施解决数据泄露问题。

示例：建立报告特殊事件的SOP

ABC组织聘请了一个IT供应商DEF来管理其客户门户。在更新门户网站的过程中，DEF错误地向ABC的其他客户披露了ABC的一个客户的个人数据。DEF随后纠正了错误，但没有将事件通知ABC。

ABC只是通过从能够在其在线客户门户上查看受影响客户的个人数据的客户那里收到的查询才知道这起事件。

ABC本可以与DEF就IT和数据事件相关的特殊事件的通知建立一个SOP。在SOP中，一旦发现数据事件，DEF应立即通知ABC任何数据事件。

有关保护个人数据的更多信息，请参阅PDPC的《在电子介质中保护个人数据的指南》。

C：服务管理

一个负责任的数据中心不仅制定和传达其数据保护政策，还建立了监控和报告结构来管理其DI。

这类结构的例子包括设立向董事会或高级管理层报告的项目管理委员会，以及与DIs的定期会议。根据外包安排的性质和程度，这可能包括定期审计和现场检查。服务管理的另一个重要方面是，在外包关系开始时，对DI的员工进行适当的培训。

就DIs而言，主动监控是保护个人数据和检测任何未经授权的访问的有用方法，因为DIs与相关数据处理活动的距离较近，且具有专业技术。

启用和培训

重要的是确保参与数据处理活动的DI人员了解DC的业务要求、数据处理活动的数据保护风险和缓解措施、合同安排（包括DI的角色和责任），以及标准操作程序（包括对报告的期望）。为了实现这一点，更大规模的数据处理活动可能需要一个入职流程23。对于规模较小的数据处理活动（例如，让设计院拍摄商务会议的照片），与设计院的启动会议也可以达到同样的目的。

作为入职流程的一部分，DC可能希望向DI项目团队的主要成员介绍情况。然后，简报将成为对参与数据处理活动的相关人员和其他第三方进行结构化培训的基础。

结构化的培训计划对于为DI人员和相关第三方提供知识和资源以按照DC的要求管理个人数据至关重要。培训计划应包括适当的培训频率、目标受众和培训平台，以确保培训目标的实现。

如果一个DC有多个DIs参与重叠的数据处理活动，那么一个入职流程将有助于确保就每个DI将承担的角色和责任达成清晰的共识，并且每个DI都知道其各自数据处理活动的范围。

示例：启用DI

ABC组织聘请IT供应商DEF管理其面向公众的网站，IT供应商GHI负责为网站提供托管服务。由于ABC预见到两个供应商之间的数据处理活动可能存在重叠，ABC将召开一次入职会议，以确保DEF和GHI了解各自数据处理活动的义务和范围。

ABC及其IT供应商在入职时讨论的领域可能包括：

a、要求两个IT供应商考虑如何处理个人数据作为网站设计和布局的一部分；

b、对网站进行规划和开发，确保网站不包含任何可能暴露通过网站收集、存储或访问的个人数据的任何网络应用程序漏洞；

c、要求为网站提供托管服务的IT供应商安全配置并充分保护服务器和网络，防止未经授权的访问；

d、要求对网站的任何维护和/或管理更改不包含可能暴露个人资料；

e、讨论是否有技术和/或非技术流程，以防止个人数据意外或以其他方式暴露。

有关建设网站的更多信息，请参阅PDPC的《中小企业网站建设指南》。

与DIs的管理会议

与设计院数据处理团队关键成员的定期会议将确保信息的稳定流动，并使DC能够确保其DI的运营符合合同安排和商定的sop。这些会议还将有助于特区政府履行其职责，确保对其DI进行适当的监督。

由于这些会议提供了DI和DC之间的重要沟通渠道，DC和DI应在这些会议上有适当级别的代表。例如，DC和DI的代表应具有足够高的级别，以便在必要时作出决定。此类会议也是一个有益的论坛，供管理层报告讨论，并就事故报告中提出的问题作出决定。

DIs主动监控

为了使DI满足其要求，它必须实施主动监控实践。在可能的情况下，还包括对数据库的未经授权的访问，以及对数据库进行未经授权的访问的实例。

外包处理大量个人数据的分布式控制系统应考虑让其DIs实施数据库访问监控，以提供对访问活动的实时（或接近实时）动态审查，因为这也有助于检测未经授权的个人数据访问。

审计和现场检查

在某些情况下，DC希望验证其DI是否正确地履行其职责和职责，特别是在DI长期参与处理大量敏感个人数据的情况下。在这种情况下，DC可以考虑进行审计工作，要求提供独立审计报告或在DI的场所进行现场检查。审计和现场检查的必要性和频率将由DC的风险状况、外包数据处理活动的性质和范围以及所识别风险发生的严重性和可能性来确定。审计补救措施对于确保有效解决任何数据保护风险也至关重要。

模拟或桌面练习

在实施审计和检查以监测和评估分遣队的运作的同时，应考虑模拟和桌面演习，以检验特别事件报告和补救计划的有效性。此类演习为DC和DI提供了一个超越日常操作程序的机会，并对其人员进行培训，以应对预定义的情况，如数据事件或危机情况。这为DI提供了必要的培训环境，以建立和提高其对实际情况的响应能力。

示例：DI的现场检查

自愿福利组织ABC聘请DEF处理其机密文件，如财政援助申请。

为确保DEF遵守约定的SOP，以确保文件中的个人数据在处置过程中不会泄露给未经授权的方，ABC决定检查DEF如何处置这些文件，作为其供应链安排的一部分。

例如，为了确保装有已处理纸张的容器在运输过程中得到安全保护，并且粉碎设备有物理安全措施，ABC会安排员工见证纸张的运输和实际销毁。

有关外包处理文档和其他物理媒体的更多信息，请参阅PDPC的《在物理介质上处理个人数据的指南》。

D：退出管理

DCs应制定退出管理计划，以结束与DIs的合作，以确保业务连续性和在法律或业务目的不再需要的情况下正确处理个人数据。这包括为DI在完成处理活动后停止保留个人数据制定明确的时间框架。

当组织不再能够访问包含个人数据的文件及其包含的个人数据时，该组织将停止保留这些文件。示例包括：

销毁文件——例如，通过粉碎或以适当方式处置文件；

匿名化个人资料

退出管理的一部分可以包括DIs的要求，以确保所有已完成的工作都有完整的文件记录，并且在项目完成后将所有文件移交给DC。对于像数据迁移这样的IT相关项目，文档可以包括诸如数据库映射、提取、转换和加载脚本、验证测试脚本和测试结果等信息。为确保其DIs遵守商定的计划，DCs还可以包括退出审核和检查。

如果DI发生变化，DC应确保以安全的方式完成从一个DI到另一个DI的任何数据迁移或数据传输。此后，DC应遵循DI管理生命周期的相同步骤。

==============================

本

转载请注明：http://www.zhangxunbuy.com/ckzl/6004.html