1. 適用情境
本文件適用於以下情境:
- Uedu 平台之使用者位於新加坡境內
- 與新加坡機構之研究合作(含學術院校、政府研究單位)
- 處理涉及上述使用者或合作對象之個人資料時
Uedu 之台灣國際合作策略中,新加坡與 UAiTED 國際合作為重要合作目標;本文件作為此類合作之治理基礎。
2. PDPA 十大義務摘要
新加坡 PDPA 對組織課以下列十大義務(Obligations),各義務之要點如下:
| 義務 | 要點 |
|---|---|
| Consent Obligation(同意義務) | 蒐集、使用、揭露個資原則需取得同意;得以 deemed consent / consent by notification 等替代基礎 |
| Notification Obligation(告知義務) | 取得個資前或當時通知資料主體蒐集目的 |
| Purpose Limitation(目的限制) | 僅得為通知之目的或合理相關目的使用 |
| Accuracy Obligation(正確性義務) | 對所蒐集個資採取合理步驟確保其正確與完整 |
| Protection Obligation(保護義務) | 採取合理安全措施防範未授權存取、揭露、修改、丟失 |
| Retention Limitation(保存限制) | 蒐集目的達成且無業務或法律保留需要時,須銷毀或匿名化 |
| Transfer Limitation(傳輸限制) | 跨境傳輸前須確保接收地之保護標準等同於新加坡 PDPA |
| Access and Correction(存取與更正) | 資料主體得請求存取與更正其個資 |
| Accountability Obligation(課責義務) | 設置 Data Protection Officer(DPO);建立內部政策與流程 |
| Openness Obligation(透明義務) | 對外公開資料保護政策、實務與聯絡方式 |
2.1 2020 年修正之重點
- Mandatory Data Breach Notification:對 PDPC 與受影響個人之強制通報義務(2021-02-01 生效)
- Deemed Consent by Notification:在合理通知並提供 opt-out 之情況下,得推定同意
- Legitimate Interests Exception:對部分商業情境得以正當利益取代同意
- Enhanced Financial Penalties:罰款上限提高至年營收 10% 或 100 萬新幣(取較高者)
- Data Portability Right:列入 PDPA 修正版(待 PDPC 公告施行細則後啟動)
3. Uedu 的對應設計
| PDPA 義務 | Uedu 對應作法 |
|---|---|
| Consent |
服務性使用:使用者註冊時所同意之服務條款 研究性使用:個別 IRB 同意書(明示同意) 新加坡使用者於註冊頁與隱私政策中清楚揭露 |
| Notification | 蒐集目的揭露於本治理中心、註冊頁、各功能首次使用時之提示;同意書詳列目的 |
| Purpose Limitation | 原始蒐集目的構成主要利用基礎;研究使用之超出範圍以個別同意取得 |
| Accuracy | 使用者得於個人設定頁直接更正;對衍生分析資料之爭議得來信申請覆核 |
| Protection | 本平台之安全工具庫(CSP、DOMPurify、檔案上傳驗證、SQL 參數化查詢、Rate Limiting、雙因子驗證、TLS 全程加密)詳列於 資料治理框架 |
| Retention Limitation | 三層保留策略:直接識別個資刪除請求後 30 日;備份隨 30 日輪替;匿名化研究資料依 IRB protocol 長期保留 |
| Transfer Limitation | 跨境傳輸於 §4 詳述 |
| Access and Correction | 來信 [email protected],30 日內回應;更正得於個人設定頁直接執行 |
| Accountability |
Uedu 設 Privacy Contact 作為對外資料保護聯繫窗口([email protected]) 於 資料治理框架 §7 揭露:本平台未指派 GDPR Art. 37 意義下之 DPO,理由與配套說明已揭露 新加坡 PDPA Accountability Obligation 對 DPO 之設置要求是否視為強制,以及 Uedu 之 Privacy Contact 是否符合 PDPC 之 DPO 認定基準,留待 partner institutions 之 DPO 或新加坡法律顧問於合作啟動時共同審閱補完。 |
| Openness | 本治理中心對外公開揭露:治理立場、隱私政策、次處理者清單、IRB 摘要、研究合作條款 |
4. 跨境傳輸機制(Transfer Limitation Obligation)
PDPA 第六部分 §26 要求組織於跨境傳輸個資前,確保接收地對個資之保護標準等同於 PDPA。Uedu 涉及自新加坡使用者個資向境外傳輸之情境如下:
| 資料流 | 目的地 | 合法基礎與保護機制 |
|---|---|---|
| 主資料儲存 | 台灣(中央大學機房) | 使用者註冊同意之服務條款;台灣 PDPA 為個資保護法域;Uedu Privacy Contact 承擔通知與處理義務 |
| LLM 推論(預設) | 美國(OpenAI) | Zero Data Retention 啟用;OpenAI DPA 含 SCCs 條款 |
| LLM 推論(歐洲選項) | 瑞士 / 西歐(Azure) | Microsoft Online Services DPA + EU Data Boundary |
| EU(Mailgun) | Mailgun DPA | |
| DNS / CDN | 全球邊緣網路(Cloudflare) | Cloudflare DPA |
下列議題留待 partner institutions 之 DPO 或新加坡法律顧問於合作啟動時共同審閱補完:(i) Uedu 之合約機制(與各 sub-processor 之 DPA)是否符合 PDPA §26(2)(b) 「contractually binding terms」之要求;(ii) PDPC 對台灣之保護標準認定。
5. 資料主體權利行使方式
| 權利 | PDPA 對應 | Uedu 行使方式 |
|---|---|---|
| 存取權 | §21 Access Request | 來信 [email protected];PDPA 允許組織收取合理費用,Uedu 不收費 |
| 更正權 | §22 Correction Request | 個人設定頁直接編輯,或來信 |
| 撤回同意 | §16 Withdrawal of Consent | 對應功能之同意設定頁切換,或來信 |
| 資料可攜權 | §26H(修正後) | 來信受理(待 PDPC 公告完整施行細則後再評估是否提供 self-service) |
| 向 PDPC 投訴 | 第八部分 | 得先以書面通知 Uedu Privacy Contact;若不滿意得直接向 PDPC 提出投訴 |
本平台對所有請求承諾於 30 日內回應;PDPA §21(2) 允許之 30 日時限與此一致。
6. Breach 通報義務
PDPA Mandatory Data Breach Notification(自 2021-02-01 生效)要求組織於發生「notifiable data breach」時:
- 3 個曆日內通報 PDPC(涉及 500 人以上或可能造成重大傷害時)
- 3 個曆日內通報受影響個人(同上情形)
Uedu 之 Breach 處理 SOP:
- 發現事件後立即啟動內部調查(24 小時內初步評估)
- 對符合 notifiable threshold 之事件,於 72 小時內通報所涉之所有法域主管機關(採行最嚴格之 GDPR 期限,涵蓋 PDPA 之 3 日要求)
- 對受影響個人之通知依各法域之具體要求進行
- 通報窗口 [email protected](主旨標 [URGENT BREACH NOTIFICATION])
7. 監理機關互動窗口
| PDPC(Personal Data Protection Commission) | Singapore PDPC,pdpc.gov.sg |
|---|---|
| Uedu 對 PDPC 之窗口 | [email protected](主管機關來函於 3 個工作日內初步回覆,較台灣 / EU 窗口承諾之 7 日為快,以對齊 PDPA 之 3 日 breach 通報節奏) |
| 資料主體投訴路徑 | 得先以書面通知 Uedu Privacy Contact;若 Uedu 之回應於收到投訴後 30 日內仍未解決,得依 PDPA 第八部分向 PDPC 提出投訴 |
8. 與其他治理文件之關係
- 資料治理框架:上位治理立場文件
- 隱私與資料保存政策:§7 詳列資料主體權利行使方式
- 次處理者清單:跨境傳輸之具體供應商揭露
- 研究者授權範本:合作研究之契約框架(含 SIAC 仲裁選項,新加坡為仲裁地)
- 跨法域合規對照表:與其他法域之並陳對照
本平台之 Researcher Access Agreement 範本之國際仲裁選項以新加坡 SIAC 為仲裁中心,反映新加坡作為東南亞國際商業仲裁樞紐之中立性。
9. 聯絡窗口
| Privacy Contact | [email protected] |
|---|---|
| 新加坡 / UAiTED 合作洽談 | [email protected] |
| 對 Singapore PDPA 治理立場之異議或建議 | [email protected](主旨標 [SG PDPA NOTES FEEDBACK]) |