1. 目的 (Purpose)
1.1.《新加坡电信集团个人信息保护政策中国专章》(以下简称“《本专章》”)是新加坡电信集团(以下简称“新加坡电信”)在中华人民共和国大陆地区(以下简称“中国大陆”) 的所有业务单位、附属子公司及各类分支机构等(以下简称“公司”)开展个人信息保护工作的指导性文件,目的在于确保涉及个人信息处理的相关员工均充分了解并遵循法律法规的要求,在业务实践中实际落实各项个人信息保护规定,提升公司在中国大陆的个人信息保护合规水平。
2.《个人信息保护法》义务 (Personal Information Protection Law Obligations)
2.1.除《Singtel Group Personal Data Protection Policy-General》中规定的义务外,公司处理在中国大陆收集的个人信息时,应当履行下列义务:
2.2.1. 合法性义务:公司在收集个人信息时,应当具备《个人信息保护法》等法律法规规定的收集个人信息的合法性基础;
2.2.2. 最小必要义务:收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。
2.2.3. 公开透明义务:公司处理个人信息应当遵循公开、透明原则,应当及时公开个人信息处理规则,明示个人信息处理的相关目的、方式和范围。
2.2.4. 责任承担义务:公司应当对相关个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。
2.2.5. 不随意公开个人信息的义务:公司不得公开其处理的相关个人信息,除非获得相应个人信息主体的单独同意。
2.2.6. 跨境传输的限制义务:公司不得随意向中华人民共和国境外提供个人信息,除非该等个人信息跨境传输行为符合《个人信息保护法》及其相关法律法规的规定和要求。
2.2.7. 个人信息分类管理义务:公司应当根据法律法规、标准指南的规定和要求,对个人信息进行分类,并根据不同分类采取相应机制进行管理。
2.2.8. 培训义务:公司应当根据法律法规的要求,组织员工定期举行个人信息保护相关的培训。
2.2.9. 制定实施安全事件应急预案义务:公司应当指定个人信息安全事件应急预案,并定期对上述预案进行演练。
2.2.10. 个人信息合规审计义务:公司应当定期对处理的个人信息遵守法律法规的情况进行合规审计。
2.2.11. 个人信息保护影响评估义务:当出现法律法规要求的情况时,公司应当对个人信息处理事项进行个人信息保护影响评估。
3. 定义 (Definitions)
3.1.个人信息:是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
3.2.敏感个人信息:敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
3.3.个人信息处理者,是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。
4. 目标群体及适用范围 (Intended Audience and Scope)
4.1. 本专章适用于公司的全体员工、实习生、外包人员及其他相关人员(以下统称“员工”)在处理个人信息相关活动的所有事项。另外,如果新加坡电信位于中华人民共和国大陆地区以外的分公司、子公司或关联公司或相关组织在下列情形下亦应当遵守本专章:
4.1.1. 以向中华人民共和国大陆地区境内个人提供产品或者服务为目的时;
4.1.2. 在分析、评估中华人民共和国大陆地区个人行为时;
4.1.3. 在法律、行政法规规定的其他情形出现时。
4.2. 除本专章外,公司及员工须遵守《个人信息保护法》及其相关法律法规对于个人信息保护的相关要求。
4.3. 本专章应与公司的网络安全政策一起阅读,包括:
- 新加坡电信集团网络安全政策中国专章
5. 数据保护负责人职责 (DPO Function)
5.1. 除《Singtel Group Personal Data Protection Policy-General》中规定的职责和要求外,公司作为个人信息处理者应当注意:如果境外公司属于本专章规定的个人信息处理者,应当在中华人民共和国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。
6. 实践和操作程序 (Practices and Procedures)
除《Singtel Group Personal Data Protection Policy-General》中规定的职责和要求外,公司作为个人信息处理者应当履行下列职责:
6.1.收集、使用和公开个人信息的管理 (Managing collection, use and disclosure of personal information)
6.1.1. 公司在发生个人信息收集和使用等个人信息处理行为时,应确认至少具备以下一种情形:
6.1.1.1. 取得个人的同意;
6.1.1.2. 为订立、履行个人作为一方当事人的合同或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;
6.1.1.3. 为履行法定职责或者法定义务所必需;
6.1.1.4. 为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;
6.1.1.5. 为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;
6.1.1.6. 依照《个人信息保护法》规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;
6.1.1.7. 法律、行政法规规定的其他情形。
6.2.定义和通知个人信息主体 (Defining and notifying individuals)
6.2.1. 公司在处理个人信息前,应当对处理的个人信息目的、范围、方式等进行最小必要论证,防止超范围处理不必要的个人信息。
6.2.2. 公司在处理个人信息前,应当告知相关个人信息主体如下内容:
6.2.2.1. 公司名称和联系方式;
6.2.2.2. 个人信息的处理方式,处理的个人信息种类、保存期限;
6.2.2.3. 个人行使法律法规规定的相关权利的方式和程序;
6.2.2.4. 如果涉及敏感个人信息的处理,应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响,法律另有规定的除外;
6.2.2.5. 法律、行政法规规定应当告知的其他事项。
6.2.3. 如果公司处理个人信息的事项发生变化,公司应当将变更部分重新告知相关个人,并获得相关个人信息主体的同意或具备本专章第6.1.1条规定的其他合法性基础。
6.3.同意和撤回同意管理 (Handling consent and withdrawal of consent)
6.3.1. 在处理个人信息的合法性基础为同意的情况下,公司在下列场景在处理个人信息时应当获得相关个人信息主体的单独同意:
6.3.1.1. 对外提供个人信息;
6.3.1.2. 对个人信息进行公开;
6.3.1.3. 公共场所收集的个人信息用于维护公共安全以外的目的;
6.3.1.4. 处理敏感个人信息;
6.3.1.5. 个人信息跨境传输。
6.4.未成年人的同意取得 (Handling consent from minors)
6.4.1. 未满14周岁的未成年人的个人信息属于敏感个人信息,在处理该等信息前应当获得相关个人信息主体的单独同意或具备其他合法性基础。
6.5.管理与外部供应商和组织的协议 (Handling contracts with vendors and external organisations)
6.5.1. 委托处理:公司如果委托外部供应商和组织处理个人信息时,应当与该供应商和组织约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等内容,并对外部供应商和组织的个人信息处理活动进行监督。
6.5.2. 共同处理:如果公司和外部供应商和组织共同决定个人信息的处理目的和处理方式的,应当共同约定各自的权利和义务。
6.5.3. 第三方提供:如果公司向其他外部供应商和组织提供其处理的个人信息时:
6.5.3.1. 应当向相关个人信息主体告知外部供应商和组织的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。
6.5.3.2. 如果外部供应商和组织变更原先的处理目的、处理方式时,应当重新取得个人信息主体的同意。
6.6.代表其他组织处理个人信息 (Processing personal information on behalf of another organisation)
6.6.1. 公司受其他组织委托处理个人信息时,应当注意下列事项:
6.6.1.1. 与该组织约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并受该组织对于个人信息处理活动的监督。
6.6.1.2. 公司应当按照约定处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息;
6.6.1.3. 如果公司与上述组织之间的委托协议不生效、无效、被撤销或者终止时,公司应当将个人信息返还上述组织或者进行删除处理,不得保留。
6.6.1.4. 未经上述组织的同意,公司不得转委托其他组织处理个人信息。
6.7.其他个人信息处理场景 (Other personal information processing scenarios)
6.7.1. 自动化决策
6.7.1.1. 公司如果利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。
6.7.1.2. 如果公司通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对个人特征的选项,或者提供便捷的拒绝方式。
6.7.1.3. 如果通过自动化决策的方式作出对个人权益有重大影响的决定,同时个人信息主体要求公司进行说明的,公司应当予以说明。
6.7.2. 公开的个人信息的处理:公司可以在合理的范围内处理个人信息主体自行公开或者其他已经合法公开的个人信息;除非公司被相关个人信息主体明确拒绝。如果公司处理的已公开的个人信息可能对个人权益有重大影响,公司应当取得相关个人信息主体的同意。
6.8.个人信息跨境传输 (Personal information cross-border transfer)
6.8.1. 个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:
6.8.1.1. 通过国家网信部门组织的安全评估;
6.8.1.2. 按照国家网信部门的规定经专业机构进行个人信息保护认证;
6.8.1.3. 按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;
6.8.1.4. 法律、行政法规或者国家网信部门规定的其他条件。
6.8.2. 在向境外传输个人信息前,公司应当向相关个人告知下列事项:
6.8.2.1. 境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类;
6.8.2.2. 个人向境外接收方行使个人信息保护相关权利的方式和程序;
6.8.2.3. 如果公司处理个人信息的合法性基础为同意,那么应当取得相关个人的单独同意。
6.8.3. 公司应当采取必要措施,保障中国境外接收方处理个人信息的活动达到《个人信息保护法》规定的个人信息保护标准。
6.9.个人信息安全预案 (Contingent plans for personal information security emergencies)
6.9.1. 除《Singtel Group Personal Data Protection Policy-General》中规定的要求和义务外,公司应当制定专门的个人信息安全预案,并定期进行演练和更新;
6.9.2. 如果公司发生或者可能发生个人信息泄露、篡改、丢失的,公司应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。通知应当包括下列事项:
6.9.2.1. 发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害;
6.9.2.2. 公司采取的补救措施和个人可以采取的减轻危害的措施;
6.9.2.3. 公司的联系方式。
6.10. 个人信息保护影响评估 (Personal information protection impact assessment)
6.10.1. 公司在下列情况下应当进行个人信息保护影响评估:
6.10.1.1. 处理敏感个人信息;
6.10.1.2. 利用个人信息进行自动化决策;
6.10.1.3. 委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;
6.10.1.4. 向境外提供个人信息;
6.10.1.5. 其他对个人权益有重大影响的个人信息处理活动。
6.10.2. 公司的个人信息保护影响评估报告应当妥善保存至少3年。
6.11. 个人信息保护审计 (Personal information protection compliance audit)
6.11.1. 公司应当根据实际情况,针对个人信息处理活动定期开展审计工作。
7. 个人信息保护违法行为 (Offences under Data Protection Provisions)
7.1《个人信息保护法》规定了违法处理个人信息的法律责任,包括:由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
8. 报告违法违规行为 (Reporting Violations)
8.1 任何违反本专章的行为均应引起数据保护办公室(Data Protection Office)的注意。
8.2 公司严肃对待任何违反个人信息保护要求的行为,并将毫不犹豫地对不遵守规定的人员采取纪律行动,包括终止服务和将违反《个人信息保护法》的行为移交给相关执法当局。
9. 版本更新 (Policy Updates)
9.1 如《个人信息保护法》及其相关法律法规的内容有所修改和更新,本专章内容将相应修改。
10. 联系方式 (Contact)
10.1 如公司员工对于本专章内容有任何疑问,可联系数据保护办公室(Data Protection Office),邮箱地址:dpo_office@singtel.com。
