来源：人民法院报，作者：西南政法大学民商法学院   邝书铭

　　针对数据处理者将个人数据传输到新加坡以外的国家或者地区的个人数据跨境传输行为，新加坡的《新加坡个人数据保护法》（以下简称《个人数据保护法》）和《个人数据保护条例》构成以“接收者提供同等保护水平”为核心的个人数据跨境传输规则。该规则灵活适用合同形式及其他途径确保跨境传输的个人数据受到法律保护，构建了安全开放、内外统一的个人数据跨境流动模式。

个人数据与数据处理者界定　　适用跨境传输规则的个人数据。适用跨境传输规则意味着“享有与个人数据安全保护同等的保护水平”，若不适用该规则，则其保护水平降等。对此，新加坡采取“抽象概括﹢具体列举”的方式对适用跨境传输规则的数据予以廓清。可参与跨境传输的个人数据指无需考虑真伪、独自或结合数据控制者拥有的或可能访问的其他信息足以识别特定自然人的数据。《个人数据保护法》第4条规定，如下个人数据可用于跨境传输，但不受跨境传输规则保护：一是记载时间已超过100年的个人数据；二是涉及死者的个人数据；三是商业联系信息；四是符合本条排除规定的其他个人数据。以下情形适用跨境传输规则，享受同等保护：涉及数据泄露或存在未经授权的访问、收集、使用、披露、复制、修改、处置等类似风险；存储个人数据的介质、设备存在丢失损耗；死亡时间在10年以下的死者个人数据。

　　适用跨境传输规则的数据处理者。《个人数据保护法》第26条规定，只要符合法律要求，数据处理者都可实施个人数据跨境传输行为，包括自然人、法人团体或非法人团体。此规定有利于消除地域障碍，促进个人数据的跨境流动。当然，《个人数据保护法》还规定了不受跨境传输规则约束的例外个体：一是实施个人行为或者家庭行为的自然人；二是实施职务行为的受雇人员；三是公共机构；四是符合排除规定的其他组织。此例外规定旨在促进个人数据跨境传输管理与维护商业以外的基本社会秩序。

　　为进一步明确个人数据跨境传输中的义务与责任，《个人数据保护条例》第9条将数据处理者划分为输出者与接收者。同时，为避免个人数据跨境传输规则对同一传输行为的重复评价，减少不必要的限制，《个人数据保护条例》第9条规定以下数据处理者不属于接收者：一是输出者；二是输出者的受雇人员；三是任何仅作为网络服务提供商或运营商接收个人数据的数据处理者；四是从该接收者处接收个人数据的任何数据处理机构。

数据跨境传输需履行的义务　　《个人数据保护法》第26条规定，数据处理者可在满足法律要求的前提下实施跨境传输行为，包括接收者提供同等保护水平或者获取指定部门的书面批准。

　　确保在跨境个人数据传输中采取与个人数据保护同等的保护水平。出于最大程度保护本国个人数据安全目的，新加坡对数据处理者对外传输新加坡的个人数据施以更高水平的注意义务，重点要求输出者需采取必要措施以确保接收者受到可强制执行法律义务的约束，最终让接收者能够为跨境传输的个人数据提供与《个人数据保护法》同等的保护水平。其一，可强制执行的法律义务的性质与来源。依据《个人数据保护条例》第11条与第12条规定，该类法律义务包括法定义务与约定义务。法定义务的来源包括法律规定或特定认证。特定认证指数据输入国家（地区）依据本国立法为接收者授予或予以认可的特定证书，确保接收者承担提供同等保护水平的法律义务。例如，亚太经济合作组织跨境隐私规则系统为所有接收者授予的认证。约定义务的来源包括合同或公司数据保护政策。其中，为了从源头上保护跨境传输的个人数据安全，公司数据保护政策只能适用于输出者与接收者相关联的情形，具体指接收者与输出者是控制与被控制的关系；接收者或者输出者均直接或间接地受某一个普通人控制。此外，《个人数据保护条例》还兜底性地规定了“其他具有法律约束力的文书”。其二，实现同等保护水平的个人数据跨境传输合规义务内容。合规义务内容主要包括“告知－同意”义务、目的限制义务、查阅权限及更正义务、准确性义务、保管义务、数据泄露通知义务、谢绝来电义务等。

　　如若不履行同等保护水平的义务，数据处理者需向特定机构提出申请并取得书面批准。依据《个人数据保护法》第26条规定，数据处理者实施个人数据跨境传输行为，也可向个人数据委员会（新加坡信息通信媒体发展局）提出申请并取得书面批准，从而降低义务履行水平。依据数据处理者申请，个人数据保护委员会书面审理后，对数据处理者提出一定条件，待满足指定条件后批准其实施个人数据跨境传输行为。通过取得特别批准，数据处理者可豁免于采取一定措施确保接收者受到法律义务约束并提供同等保护水平的限制要求。个人数据委员会可根据个人数据跨境传输行为的实施情况、个人数据保护必要性的变化或者跨境传输需求的变化等，随时增补、更改或撤销授予批准的条件，或撤销批准。

违反跨境传输规则的法律责任　　若数据处理者违反《个人数据保护法》第26条规定的个人数据跨境传输需履行的义务，将产生多种责任竞合的风险。不过，为促进数据流通，即便数据处理者未满足第26条规定的标准，但基于个人数据跨境传输的本人同意或者适当的保护必要性降低，其将免于承担法律责任。

　　多种法律责任竞合。数据处理者未履行义务将承担多种法律责任。其一，民事责任。《个人数据保护法》第48（O）条规定，被侵权人有权向法院提起民事诉讼，法院可通过禁令、声明、损害赔偿或其他决定予以救济。当然，若个人数据委员会已针对同一跨境传输行为作出行政决定，且自然人未提起上诉，则不得因此再次提起民事诉讼。其二，行政责任。数据处理者需承担个人数据委员会作出的指示、处罚决定等责任，如若不履行责任，依据《个人数据保护法》第48（M）条的规定，个人数据委员会可向地区法院登记申请强制执行。其三，刑事责任。在个人数据跨境传输过程中，若数据处理者未经授权披露个人资料，一经定罪，将可能被判处不超过5000美元的罚金或者不超过2年的监禁，或同时判处罚金与监禁。

　　责任豁免事由。在以下情形中，即便输出者未能为跨境个人数据提供同等保护水平，仍可视为已满足条件：

　　本人明确表示同意个人数据跨境传输。但是，如下情形本人同意不成立，一是输出者并未书面告知个人；二是输出者以获取同意作为向个人提供产品或服务的前提条件；三是输出者通过提供虚假、误导性信息或其他欺骗性、误导性手段获取个人同意。

　　视为同意。基于个人与输出者的合同，为履行合同、实现个人利益之合理需求，个人将被视为同意将其个人数据传输给接收人。

　　豁免同意。输出者无需取得个人同意即可跨境传输个人数据。一是基于个人重大利益或国家利益的必要需求，且输出者已采取合理措施确保跨境传输的个人数据不被滥用。个人重大利益主要指在紧急情况下，关乎自然人的生命、健康或安全之利益；国家利益包括国防、国家安全、公共安全等。二是个人数据是在途运输经传新加坡的数据。三是在新加坡是公开的个人数据。在需要“同意”的情形中，仅需 最初作为个人数据收集者的输出者取得个人的同意，即可实施连续的跨境传输行为。

　　（本文系国家社会科学基金一般项目“数字经济时代个人信息侵权损害赔偿责任研究”的阶段性成果）