新加坡数据隐私法:PDPA合规完全指南(2026年)

新加坡通过《Personal Data Protection Act 2012》(2012年个人数据保护法,简称PDPA)规范个人数据的收集、使用和披露,由个人数据保护委员会(PDPC)负责执行。PDPA对所有私营部门组织施加了9项具有约束力的数据保护义务,并因《Personal Data Protection (Amendment) Act 2020》(2020年个人数据保护(修正)法)而得到大幅强化。
新加坡建立了亚太地区最为完善的数据隐私框架之一。《Personal Data Protection Act 2012》(PDPA)规范私营部门组织收集、使用、披露和管理个人数据的方式,由信息通信媒体发展局(IMDA)下属的法定机构个人数据保护委员会(PDPC)负责执行。
PDPA经历的最重大改革是国会于2020年11月通过的《Personal Data Protection (Amendment) Act 2020》。这次修订引入了强制性数据泄露通知、更高的罚款、更宽泛的同意例外情形,以及数据可携权框架。相关变化自2021年2月1日起分阶段生效,强化后的处罚制度自2022年10月1日起施行。
本指南全面介绍截至2026年新加坡数据隐私法律的现状,包括9项数据保护义务、同意框架及其例外情形、强制性DPO要求、数据泄露通知规则、处罚、谢绝来电(DNC)登记名册、跨境传输规则、AI治理指引,以及近期监管动态。
快速解答:新加坡的数据隐私法律
新加坡主要的数据隐私法律是《Personal Data Protection Act 2012》。该法由PDPC负责执行,适用于在新加坡运营的所有私营部门组织。该法要求组织在收集个人数据前取得同意、告知个人收集目的、采取合理的安全措施保护数据,并指定一名数据保护官。对于规模较大的组织,罚款最高可达新元100万元或新加坡境内年营业额的10%。谢绝来电(DNC)登记名册对PDPA形成补充,限制未经请求的营销通信。
立法框架:2012年PDPA及2020年修正案
PDPA于2012年10月制定,并于2014年7月全面生效。它确立了新加坡首个全面的数据保护制度,以一部统一的法律取代了此前针对不同行业分别规定的碎片化规则,涵盖所有私营部门的个人数据处理活动。
2020年个人数据保护(修正)法
《Personal Data Protection (Amendment) Act 2020》是PDPA自制定以来最重大的一次修订。国会于2020年11月2日通过该法案。此次修订针对PDPA施行以来逐渐显现的若干空白作出了回应。
强制性数据泄露通知(第VIA部分)是一项重要新增内容。在2020年修正案之前,组织是否向PDPC报告数据泄露事件属于自行裁量事项。新规则使符合条件的泄露事件的通知成为强制性义务,并设定了明确的时限。
扩大的同意例外情形降低了常见商业活动的合规负担。此次修订新增了通知视为同意、合同必要性视为同意、合理利益例外,以及业务改进例外。这些规定使组织在处理数据时拥有更大的灵活性,而不必完全依赖明示同意。
更高的经济处罚得以引入,但延后生效。2020年法案将最高罚款从新元100万元提高至新元100万元或者对新加坡境内年营业额超过新元1000万元的组织按其新加坡境内年营业额10%计算(以较高者为准)。这一强化后的处罚制度自2022年10月1日起施行,以便给组织留出调整时间。
数据可携权依据第VIB部分立法通过,但其生效时间留待未来根据实施细则另行确定。
刑事责任方面新增了针对严重滥用行为的规定。明知或者不顾后果地未经授权获取、使用或披露个人数据,以谋取不当利益或造成损害的个人,现须承担刑事责任。
主要配套立法
PDPA由若干配套立法予以支持,包括《Personal Data Protection Regulations 2021》(2021年个人数据保护条例,规定跨境传输机制和数据泄露通知程序)以及《Personal Data Protection (Notification of Data Breaches) Regulations 2021》(2021年个人数据保护(数据泄露通知)条例,规定数据泄露通知的形式和内容)。

个人数据保护委员会(PDPC)
PDPC是新加坡的数据保护监管机构。它依据PDPA设立,作为信息通信媒体发展局(IMDA)下属的一个部门运作。其职能包括:
- 提升组织和个人对数据保护义务的认知
- 处理投诉并开展调查
- 发布咨询指引和实践准则
- 对不合规行为处以经济罚款并发出指令
- 就数据保护事项开展国际合作
PDPC发布的咨询指引虽不具有法律约束力,但代表了PDPC对PDPA的审慎解读,并对组织如何构建其合规计划有着强烈的影响。在实践中,遵循咨询指引的组织在相关问题上不太可能面临执法行动。
委员会设有投诉平台,个人可以就涉嫌违反PDPA的行为提出投诉。在提出投诉之前,鼓励个人首先直接向相关组织反映问题。PDPC会对每一项投诉进行评估,并决定是否开展调查、进行调解,或不再采取进一步行动。
PDPA适用于哪些主体?
PDPA适用于新加坡境内收集、使用或披露个人数据的所有私营部门组织,包括公司、社团、合伙企业、独资经营者,以及任何法人或非法人团体。
存在若干重要的除外情形。公共机构(政府部门、法定机构和国家机关)不受PDPA数据保护条款的约束,而是遵循其自身的内部数据治理政策。
2020年修正案在一个方面收窄了这一除外范围。此前对代表公共机构行事的组织的一揽子豁免已被取消。为政府机构工作的承包商和服务提供商现在须承担PDPA义务,尽管公共机构本身仍不受约束。
PDPA也不适用于组织在其雇员身份范畴内所涉及的个人数据。员工数据适用另一套单独的框架,尽管组织仍应负责任地处理此类数据。
什么构成个人数据?
根据PDPA,“个人数据”是指有关一名可以从该数据、或者从该数据与组织已经获得或可能获得的其他信息相结合而识别出的个人的数据,无论该数据是否真实。
这一定义范围广泛。它涵盖姓名、身份证号码(NRIC)、电话号码、电子邮箱地址、照片、可与特定个人相关联的IP地址、生物识别数据,以及其他任何能够识别特定个人的信息。就PDPA而言,商业联系信息(姓名、职位、公司电子邮箱、公司电话号码)不属于个人数据。匿名化数据同样不在PDPA范围内,因为它已无法识别特定个人。经过假名化处理、但可结合额外信息重新识别的数据,仍属于个人数据。
9项数据保护义务
PDPA的核心建立在9项数据保护义务之上,每一家受管辖组织均须遵守。这些义务规范个人数据从收集到处置的整个生命周期。
1. 同意义务
组织只能在获得个人知情同意的情况下收集、使用或披露其个人数据。同意可以是明示的(书面或口头),也可以是视为同意(从个人行为或通知中推定)。
2020年修正案大幅扩展了同意框架。组织现在可以依据若干种超越明示同意的额外依据。
合同必要性视为同意适用于处理个人数据是履行与该个人订立的合同、或者应其请求在订立合同前采取相应步骤所必需的情形。数据收集必须确属必要,而非仅仅是便利。
通知视为同意适用于组织就处理目的作出明确告知,并提供合理的选择退出机制,而个人未选择退出的情形。这适用于个人合理预期会发生的附带性数据使用。
合理利益例外允许在组织或第三方的合理利益超过对个人可能造成的不利影响时,无须取得同意即可进行处理。组织须事先对可能产生的不利影响进行评估。发现或预防违法行为是被认可的合理利益之一。PDPC于2023年3月发布了首个适用该例外的执法决定,就其适用范围提供了更清晰的指引。
业务改进例外允许出于提升运营效率、开发或改进商品或服务、了解客户行为和偏好,或者个性化产品服务等目的进行处理。它不要求进行不利影响权衡,但仅限于该组织及其关联公司使用,如果处理会对个人造成不利影响,则不得援引该例外。
个人可以随时撤回同意,但须给予合理的通知。组织须告知个人撤回同意可能产生的后果,并在同意被撤回后停止处理。组织不得将同意作为提供产品或服务的条件,除非该同意超出提供服务所合理需要的范围。
2. 目的限制义务
组织只能出于一名理性人士在相应情形下认为适当的目的收集、使用或披露个人数据。该目的必须是已告知个人并取得其同意的目的,或者存在被认可的例外情形。
这项义务防止了目的的不当扩张。为某一目的收集的数据,未经重新取得同意或不存在有效例外情形,不得挪作与原目的无关的其他用途。
3. 告知义务
组织须在收集个人数据之前或收集时,告知个人收集、使用或披露该数据的目的。这通常通过隐私声明或数据保护政策来实现。
告知须清晰、具体且易于获取。含糊或过于宽泛的目的说明不满足这一义务。如果目的发生变化,须在新用途开始前重新进行告知。
4. 查阅与更正义务
应个人请求,组织须向其提供查阅其所持有个人数据的权限,并说明该数据在过去一年中的使用和披露情况。
个人还有权请求更正不准确的个人数据。如果组织认为更正确有必要,须作出相应变更,并通知在此前一年内收到原始数据的任何组织。
组织可以对查阅请求收取合理费用,但不得就更正请求收费。
5. 准确性义务
组织须采取合理措施,确保个人数据准确完整,尤其是在该数据将用于作出影响个人的决定,或者将被披露给其他组织的情况下。
6. 保护义务
组织须实施合理的安全措施,保护个人数据免遭未经授权的查阅、收集、使用、披露、复制、修改、处置或类似风险。
何为“合理”取决于数据的性质、存储方式以及一旦泄露可能造成的损害。PDPC一贯认为,组织既需要技术性保障措施(加密、访问控制、监控、补丁更新),也需要管理性保障措施(政策、员工培训、事件响应计划、供应商管理)。
这项义务是大多数PDPC执法行动的依据。委员会已多次发现在操作系统过时、密码策略薄弱、缺乏多因素身份验证以及缺乏供应商安全审查等方面存在反复出现的问题。
7. 保留限制义务
一旦有理由认定收集个人数据的目的已不再需要实现,且出于法律或商业目的也不再需要保留该数据,组织须停止保留该个人数据,或者移除将该数据与特定个人相关联的手段。
组织应建立数据保留时间表,并定期评估继续保留特定数据集是否具有正当理由。
8. 传输限制义务
组织只有在接收方能够提供与PDPA相当的保护标准时,方可将个人数据传输至新加坡境外。“相当”并不意味着完全一致,接收方须提供实质性的保障措施。这项义务将在下文的跨境传输部分详细介绍。
9. 公开义务
组织须在被要求时向公众提供有关其数据保护政策和实践的信息,包括个人数据的管理方式、所持有数据的类型,以及个人如何联系DPO。在实践中,组织通常通过发布清晰、易于获取的隐私政策,并确保DPO的联系方式易于查找,来满足这一义务。

强制性数据保护官(DPO)要求
PDPA下操作层面最为重要的要求之一,是强制指定数据保护官。根据PDPA第11(3)条,每一家受管辖组织必须指定至少一名个人,负责确保该组织遵守PDPA。
新加坡DPO要求的独特之处
与欧盟GDPR不同(GDPR仅在特定情形下要求指定DPO,例如大规模系统性监控或敏感数据处理),新加坡的要求适用于所有受管辖组织,无论其规模或所属行业。一名仅持有少量客户记录的独资经营者,与一家跨国银行一样,都必须指定DPO。
公开联系信息要求
根据PDPA第11(5)条,至少一名DPO的业务联系方式须公开可查。该信息须可从新加坡境内联系到,并须在新加坡工作时间内可用;如果提供电话号码,则须为新加坡本地电话号码。组织通常在其网站上公开DPO的电子邮箱或专用的数据保护电子邮箱。
登记方式:从BizFile+到PDPC平台
自2024年12月1日起,组织不能再通过ACRA的BizFile+平台登记其DPO联系信息。PDPC已将DPO登记转移至其网站上的专用在线表格。此前通过BizFile+完成登记的组织,应确保其记录已通过新渠道更新。
谁可以担任DPO?
PDPA并未对该职位规定具体资质。PDPC已发布《DPO能力框架及培训路线图》,说明了不同层级所需具备的知识和技能。在实践中,DPO可以是:
- 独立担任DPO这一专职角色的资深员工
- 在原有职责之外兼任DPO职责的现有员工(例如法务、合规或IT经理)
- 以“虚拟DPO”方式受聘、按外包形式履行相关职能的外部专业人士或机构
PDPC建议DPO应能够直接接触高级管理层,并拥有足以开展合规工作的预算。如果DPO并非C级高管,应建立清晰的升级汇报路径,直达管理团队。
强制性数据泄露通知
2020年修正案引入了强制性数据泄露通知框架,自2021年2月1日起施行。在此之前,组织是否向PDPC报告事件属于自行裁量事项。
什么构成须通知的数据泄露事件?
如果一项泄露事件符合以下两项标准中的任一标准,即须予以通知:
重大损害标准: 该泄露事件可能对受影响个人造成重大损害。重大损害包括未经授权获取身份证号码(NRIC)、金融账户信息、医疗信息、生物识别数据、儿童个人数据,以及《Personal Data Protection (Notification of Data Breaches) Regulations 2021》规定的其他类别。
规模标准: 该泄露事件涉及500名或以上个人的个人数据,无论数据敏感程度如何。
只要满足上述任一标准,即须向PDPC作出通知。对符合重大损害标准的泄露事件,还须通知受影响的个人,除非组织已采取补救措施消除了造成损害的风险,例如证明被窃取的数据经过加密且无法读取。
通知时限
PDPC通知期限: 自组织认定某一泄露事件属于须通知事件之日起3个公历日内。计时从作出该认定的次日开始。PDPC预期从发现事件到完成认定的总体时限不应超过30天。组织不得无正当理由拖延内部评估,以变相延长通知窗口期。
个人通知: 应在组织认定须予通知后尽快作出。
数据中介机构(代表他人处理数据的组织,例如云服务提供商或薪资处理机构)在发现或怀疑其代表数据控制者处理的数据发生泄露时,须毫不迟延地通知该数据控制者。随后由数据控制者判断该泄露事件是否达到通知门槛。
对PDPC通知的内容要求
对PDPC的通知须包括泄露事件的事实(性质、情况、日期)、受影响个人数据的类型和数量、可能造成的后果、已采取或计划采取的应对措施、在可获取的情况下受影响个人的名单及联系方式,以及DPO的联系方式。
谢绝来电(DNC)登记名册
DNC登记名册是新加坡个人数据框架的一个独立支柱,依据PDPA第VIII部分至第X部分设立。它赋予个人选择退出发送至其新加坡电话号码的未经请求的营销信息的权利。
DNC登记名册的运作方式
个人在PDPC的DNC登记名册平台上登记其新加坡电话号码。登记免费,并在30天内生效。号码一经登记,除非获得个人明确、清晰的事先同意,组织即被禁止向该号码发送特定营销信息。
“特定信息”涵盖以语音电话、短信、彩信及传真方式发送的、用于宣传或推广商品、服务、土地或投资机会的信息。DNC相关规定也适用于以电话号码作为标识的即时通讯应用程序(如WhatsApp和Telegram),因为电话号码仍是相关的识别符。
DNC豁免情形
如果组织已取得接收方明确、清晰的事先同意,则无须查询DNC登记名册。其他豁免类别还包括:不宣传商品或服务的纯市场调研或问卷调查信息;来自慈善或宗教组织的信息;个人之间发送的私人信息;公共机构发布的信息;以及政治性信息。
DNC项下的企业义务
希望向新加坡号码发送营销信息的企业,须一次性缴纳新元30元(境外公司为新元60元)在DNC登记名册注册,并须在发送前对号码进行核对。企业每次最多可手动核对10个号码,或提交CSV文件进行批量核对,结果将在24小时内返回。核对记录须予以留存。
违反DNC规定的最高经济处罚为新元100万元,或者对新加坡境内年营业额超过新元1000万元的组织,按其新加坡境内年营业额10%计算(以较高者为准)。
跨境数据传输
新加坡对跨境数据传输采取务实的做法。PDPA第26条限制向新加坡境外传输个人数据,除非接收方能够提供相当的保护标准。无须事先获得PDPC批准。
“相当保护”的含义
PDPC并未公布一份正式的、经认定符合条件的国家白名单。相反,组织须自行评估接收方所提供的保护是否相当。PDPC会考虑接收方所在司法管辖区是否具有数据保护立法、监管机制和执法机制。该标准要求实质上相当的保障措施,而非PDPA的镜像复制。
可用的传输机制
根据《Personal Data Protection Regulations 2021》,组织在开展合法跨境传输时有若干可选路径。
合同约定是最常见的做法。组织与境外接收方签订具有约束力的协议,要求其以相当标准保护数据。该协议须具有可执行性,并赋予传输方在发生泄露时的救济权利。
APEC跨境隐私规则(CBPR)及处理者隐私认可(PRP)认证:新加坡是APEC CBPR体系的参与方。经CBPR或PRP认证的接收方,被视为提供相当的保护,可以在无须另行签订合同协议的情况下接收数据。
东盟合同示范条款(MCCs):适用于东盟内部传输的标准化条款。2024年1月,PDPC发布了更新版《联合指南》,将东盟MCCs与欧盟标准合同条款进行比较,以帮助跨国企业管理双重合规。
约束性企业规则:跨国组织可以建立涵盖所有集团实体的全集团数据保护政策。虽然PDPA没有像GDPR那样正式的BCR审批程序,但实施BCR被认可为一种有效的传输机制。
知情同意:在个人已被明确告知接收国的保护标准可能与新加坡不同的前提下,组织可以在取得该个人具体同意的情况下将数据传输至境外。
数据可携权:已立法但尚未生效
2020年修正案在PDPA第VIB部分引入了数据可携义务。该义务一旦生效,将赋予个人请求组织以常用的机器可读格式,将其个人数据传输给其指定的另一组织的权利。
截至2026年5月,数据可携义务尚未启动施行。PDPC仍在最终敲定相关实施细则。组织应关注PDPC的公告,但目前尚无须落实可携请求的操作流程。

经济处罚与执法
处罚框架
PDPA的经济处罚制度经2020年修正案大幅强化,强化后的结构自2022年10月1日起施行。
对于新加坡境内年营业额超过新元1000万元的组织,最高经济处罚为新加坡境内年营业额10%与新元100万元中的较高者。对于新加坡境内年营业额为新元1000万元或以下的组织,最高处罚为新元100万元。在2022年10月之前,无论组织规模大小,最高处罚均为新元100万元。
PDPC在确定罚款金额时会权衡多项因素:泄露事件的严重程度和持续时间、受影响个人的数量、组织是否配合调查、是否采取了主动补救措施、此前是否存在违规记录,以及组织的规模和资源状况。
除经济处罚外,PDPC还可以发出指令,要求组织停止收集、使用或披露个人数据、销毁数据、实施特定的安全措施、向受影响个人支付赔偿,或者采取其他任何实现合规所必需的步骤。
个人刑事处罚
2020年修正案针对严重滥用行为引入了个人刑事责任。明知或不顾后果地未经授权获取、使用或披露个人数据,以谋取不当利益或对受影响个人造成损害的个人,可处最高新元5000元罚款或最高2年监禁,或两者并罚。
值得关注的执法行动
新加坡保健服务集团(SingHealth)及综合保健信息系统(IHiS)(2019年1月):这一具有里程碑意义的执法行动源于一次网络攻击,泄露了150万名患者的个人数据,其中包括16万份门诊处方记录。PDPC对综合保健信息系统处以新元75万元罚款,对新加坡保健服务集团处以新元25万元罚款。合计新元100万元的处罚,是当时可施加的最高金额。PDPC认定其安全措施不足,事件应对准备不充分。
滨海湾金沙(Marina Bay Sands)(2025年10月):PDPC在一次2023年的泄露事件(涉及665,495名顾客的个人数据)曝光后,处以新元31.5万元罚款。该泄露事件发生在一次系统迁移过程中,一名员工手动整理API配置且没有进行二次核验。这一疏漏长达六个月未被发现,被窃取的数据随后出现在暗网上出售。PDPC认定,单点故障且无核验环节的手动流程,违反了保护义务。
Air Sino-Euro Associates Travel(2025年10月):PDPC对一次导致336,759人个人数据外泄的事件处以新元4.7万元罚款。委员会认定该公司未能定期开展安全审查、未更新过时的操作系统,也未对管理账户实施多因素身份验证。该组织还被责令指定一名DPO,这印证了缺乏DPO在执法中被视为一项加重情节。
2024年5月执法轮次:在一轮执法行动中,PDPC对三家组织合计处以新元10.2万元罚款,均因违反保护义务。相关案例一致指出,IT安全措施不足和缺乏供应商管理框架是反复出现的系统性问题。
People Central Pte Ltd(2026年1月):在一次导致数据库被删除、95,000人个人数据外泄的事件后,被处以新元1.75万元罚款。
Singapore Data Hub Pte Ltd(2026年1月):因一次导致689,000人个人数据外泄的事件,被处以新元1.75万元罚款。
2026年新动态:NRIC身份验证禁令
2026年2月2日,PDPC宣布,私营组织须于2026年12月31日前停止使用身份证号码(NRIC)作为身份验证手段。该公告是继PDPC与新加坡网络安全局(CSA)2025年6月发布的一份联合咨询意见之后作出的,该咨询意见明确规定NRIC号码不得用作身份验证凭证。
该禁令涵盖将完整或部分NRIC号码用作密码、登录凭证、默认身份验证令牌或验证因素,包括与出生日期等其他易于猜测的个人数据结合使用的情形。依赖NRIC号码进行身份验证,被视为未能依据保护义务落实合理的安全措施,因为NRIC号码广为人知,可能被未经授权方利用以获取个人数据。
组织应转向更强的身份验证方式,包括多因素身份验证、强密码策略、硬件或软件令牌,以及生物识别验证。新加坡金融管理局(MAS)已就金融服务领域、卫生部(MOH)已就医疗领域、信息通信媒体发展局(IMDA)已就电信领域发布了相应的行业指引。
自2027年1月1日起,PDPC将开始采取积极执法行动,包括发出指令和处以经济处罚,针对继续依赖NRIC身份验证的组织。
AI治理与数据保护
新加坡在AI治理方面发挥了区域引领作用,倾向于采取以指引为导向而非立法为导向的做法。
PDPC关于AI的咨询指引(2024年3月)
2024年3月1日,PDPC发布了《关于在AI推荐和决策系统中使用个人数据的咨询指引》。该指引阐明了当个人数据被用于训练或开发AI系统时,PDPA现有义务的具体适用方式。
该指引的要点包括:
- 同意和告知义务全面适用。组织在使用个人数据训练AI模型或填充推荐引擎之前,须取得同意或依据被认可的例外情形。
- 如果AI开发旨在提升运营效率或个性化服务,且相关处理不会对个人造成不利影响,则可以适用业务改进例外。
- 组织应尽可能在AI系统中使用匿名化数据,因为匿名化数据不属于PDPA的适用范围。
- 问责义务要求内部公平保障措施与AI系统决策对个人造成的影响程度相称。
- 组织须就AI系统如何使用个人数据保持透明,并能够解释影响输出结果的数据类型和属性。
2024年3月发布的指引并未专门涉及生成式AI的训练问题。PDPC已表示将就在生成式AI系统中使用个人数据发布单独指引。
更广泛的AI治理框架
新加坡更广泛的AI治理格局包括若干项主要由IMDA制定的自愿性框架:
- 《人工智能治理示范框架》(2019年,2020年更新):适用于所有行业负责任AI部署的自愿性指引
- AI Verify(2022年):一款开源AI测试工具,供组织依据伦理原则评估AI系统
- 《生成式人工智能治理示范框架》(2024年):针对大型语言模型特有的风险,包括幻觉问题、偏见和知识产权问题
- 《具身/拟人化AI治理示范框架》(2026年1月):最新增补的框架,针对能够代表用户采取行动的自主AI代理的治理挑战
PDPA现有的数据保护义务,是AI系统中处理个人数据所适用的具有约束力的法律框架。上述治理框架则为构建或部署AI的组织提供了具体的实施指引。
儿童个人数据
2024年3月,PDPC发布了《关于数字环境中儿童个人数据保护的PDPA咨询指引》。就该指引而言,“儿童”界定为年满18周岁或以下的任何个人。
该指引适用于其产品或服务“可能被儿童接触到”的组织,既涵盖专为儿童设计的服务,也涵盖儿童在实践中会使用的服务。
同意年龄门槛: 13至17周岁的儿童可以在PDPA下作出有效同意,前提是隐私政策以该年龄段能够理解的语言撰写。13周岁以下的儿童须由父母或监护人同意。如果组织有理由相信一名13至17周岁的儿童对作出同意的性质和后果缺乏充分理解,也须取得父母同意。
更高的保护标准: 儿童个人数据被视为敏感个人数据,须适用更高的注意标准。组织须采取与这种敏感性相称的技术和组织措施。
默认隐私设计: 该指引鼓励组织在面向儿童的服务中默认应用强隐私设置。
新加坡PDPA与其他框架的比较
新加坡的PDPA在结构上与欧盟GDPR存在相似之处,但也存在若干重要差异:
| 特征 | 新加坡PDPA | 欧盟GDPR |
|---|---|---|
| 同意方式 | 以同意为基础,辅以扩大的例外情形 | 除同意外还有多种合法性基础 |
| 数据泄露通知期限 | 认定后3天内 | 知悉后72小时内 |
| 最高罚款 | 本地营业额10%或新元100万元 | 全球营业额4%或2000万欧元 |
| 数据可携权 | 已立法,尚未生效 | 已全面运行 |
| 公共部门覆盖 | 不在PDPA范围内 | 受GDPR约束 |
| DPO要求 | 所有组织均须指定 | 仅在特定情形下强制要求 |
| 域外适用范围 | 有限(以属地存在为基础) | 广泛(以居住地为基础) |
| AI专门立法 | 无(仅有指引性框架) | 适用欧盟AI法案 |
新加坡的框架总体上被认为比GDPR更有利于营商:同意例外情形更宽泛、无须强制开展数据保护影响评估、也无正式的传输审批程序。不过,自2022年以来处罚力度的强化和执法的加强,清晰地预示着合规要求正朝着更严格的方向发展。
对于在新加坡运营、同时也服务于欧盟个人的企业而言,PDPA和GDPR是各自独立运行的。符合GDPR并不自动意味着符合PDPA。
企业合规清单
治理与问责
- 指定至少一名DPO,并通过PDPC平台登记其业务联系方式
- 在贵组织网站上公开DPO的联系方式
- 起草并发布涵盖全部9项数据保护义务的隐私政策
- 建立内部机制,持续监督PDPA合规情况
同意与目的
- 审查所有数据收集流程,确认存在有效的同意机制或适用的例外情形
- 就每一类收集的个人数据,记录其所依据的同意基础
- 确保隐私声明就收集目的作出具体说明
数据安全
- 对存有个人数据的系统开展年度安全审查
- 对具有个人数据特权访问权限的账户实施多因素身份验证
- 确保所有处理个人数据的第三方供应商均已签署数据处理协议
- 于2026年12月31日前停止将NRIC号码用作身份验证因素
泄露应对
- 制定并测试书面事件响应计划
- 培训员工识别并立即上报潜在的数据泄露事件
- 建立能够在发现泄露后30天内完成的内部评估流程
- 建立向PDPC提交通知以及通知受影响个人所需的模板
营销与DNC合规
- 如向新加坡电话号码发送营销信息,须在DNC登记名册注册
- 在每次营销活动前查询DNC登记名册
- 保留DNC核对记录以及直接从联系人处取得的任何同意记录
跨境传输
- 梳理所有流向新加坡境外的数据流动
- 确认每一项传输均由有效机制覆盖
- 随着数据流动的演变,每年审查跨境传输协议
内部链接
新加坡针对个人和组织的录音同意规则,另见新加坡录音法一文。
Frequently Asked Questions
PDPA是否适用于在新加坡经营的外国公司?
适用。PDPA适用于在新加坡境内收集、使用或披露个人数据的所有组织,无论该组织在何处注册成立。如果一家外国公司通过在新加坡的经营或活动处理新加坡境内个人的个人数据,就必须遵守PDPA。PDPA的域外适用范围比GDPR更为有限,一般适用于在新加坡拥有实体或经营存在的组织,而非适用于全球范围内处理新加坡居民数据的任何组织。
向PDPC报告数据泄露事件的期限是多久?
组织须在认定某一数据泄露事件属于须通知事件后的3个公历日内通知PDPC。计时从作出该认定的次日开始。如果泄露事件可能对任何受影响个人造成重大损害,或者涉及500人或以上,即须予以通知。PDPC预期从发现泄露到完成评估的总体时限不应超过30天。组织不得无正当理由拖延内部评估,以变相延长通知窗口期。
我是否需要根据PDPA指定一名数据保护官?
是的。受PDPA管辖的每一家组织都必须指定至少一名个人担任其数据保护官(DPO)。DPO的职责是确保该组织遵守PDPA,其业务联系方式须公开可查。自2024年12月1日起,DPO联系信息通过PDPC的在线表格登记,而不再通过ACRA的BizFile+平台。与仅在特定情形下要求指定DPO的GDPR不同,新加坡的要求适用于所有组织,无论其规模大小。
我可以将个人数据从新加坡传输到其他国家吗?
可以,但前提是境外接收方能够提供与PDPA相当的数据保护标准。这可以通过与境外接收方签订合同协议、在企业集团内部建立约束性企业规则、取得APEC CBPR或PRP认证、采用东盟合同示范条款,或者取得个人的知情同意等方式实现。无须事先获得PDPC批准。最常见的方式是签订合同协议,要求境外接收方以相当标准保护数据。
违反新加坡PDPA会受到什么处罚?
对于新加坡境内年营业额超过新元1000万元的组织,PDPC最高可处以其新加坡境内年营业额10%的罚款。对于规模较小的组织,最高处罚为新元100万元。这些强化后的处罚自2022年10月1日起施行。PDPC还可以发出指令,要求停止处理数据、销毁数据,或者向受影响个人支付赔偿。明知故意滥用个人数据以谋取不当利益或造成损害的个人,可处最高新元5000元罚款及2年监禁的刑事处罚。
新加坡PDPA下是否已提供数据可携权?
数据可携义务已在《Personal Data Protection (Amendment) Act 2020》中立法通过,并作为PDPA第VIB部分新增。然而截至2026年5月,该义务尚未启动施行。PDPC仍在最终敲定相关实施细则。组织目前无须处理数据可携请求,但应关注PDPC的公告,以获知该义务的生效日期。
什么是NRIC身份验证禁令,何时生效?
2026年2月,PDPC宣布私营组织须于2026年12月31日前停止将NRIC号码用作身份验证因素。这涵盖将完整或部分NRIC号码用作密码、登录凭证、默认身份验证令牌或验证因素的情形。执法行动自2027年1月1日起开始。将NRIC号码用于身份验证,被视为违反保护义务,因为NRIC号码广为人知,可能被用于非法获取个人数据。
PDPA对营销信息和DNC登记名册有何规定?
PDPA中的谢绝来电(DNC)相关规定禁止组织在未取得接收方明确事先同意的情况下,向已在DNC登记名册注册的新加坡电话号码发送特定营销信息(语音电话、短信、彩信、传真,以及通过WhatsApp等基于电话号码的应用发送的信息)。企业须缴纳新元30元的一次性费用在DNC登记名册注册,并须在发送前核对号码。违反DNC规定的最高处罚为新元100万元,或者对规模较大的组织,按其新加坡境内年营业额10%计算(以较高者为准)。
Sources and References
- 《Personal Data Protection Act 2012》全文(2012年个人数据保护法)(sso.agc.gov.sg).gov
- 《Personal Data Protection (Amendment) Act 2020》(2020年个人数据保护(修正)法)(sso.agc.gov.sg).gov
- PDPC数据保护义务概览(pdpc.gov.sg).gov
- PDPC关于该法执行情况的介绍(pdpc.gov.sg).gov
- PDPC《数据泄露管理与通知指南》(pdpc.gov.sg).gov
- 《Personal Data Protection (Notification of Data Breaches) Regulations 2021》(2021年个人数据保护(数据泄露通知)条例)(sso.agc.gov.sg).gov
- PDPC《关于PDPA关键概念的咨询指引》(pdpc.gov.sg).gov
- PDPC《关于数字环境中儿童个人数据保护的PDPA咨询指引》(2024年3月)(pdpc.gov.sg).gov
- PDPC《谢绝来电登记名册与您的企业》(pdpc.gov.sg).gov
- PDPC《关于谢绝来电相关规定的咨询指引》(pdpc.gov.sg).gov
- PDPC对滨海湾金沙(Marina Bay Sands)处以经济处罚(2025年10月)(pdpc.gov.sg).gov
- PDPC关于Air Sino-Euro Associates Travel Pte Ltd一案的裁决(pdpc.gov.sg).gov
- PDPC对综合保健信息系统(IHiS)及新加坡保健服务集团(SingHealth)处以经济处罚(2019年1月)(pdpc.gov.sg).gov
- 组织须于2026年12月31日前停止使用NRIC号码进行身份验证(pdpc.gov.sg).gov
- PDPC《人工智能治理示范框架》(pdpc.gov.sg).gov
- IMDA《具身/拟人化AI治理示范框架》(2026年1月)(imda.gov.sg).gov
- 《2025-2026年新加坡数据保护法律法规报告》(ICLG)(iclg.com)
- 自2022年10月1日起PDPA最高经济处罚上调(Allen and Gledhill律所)(allenandgledhill.com)