verified_user
Standardful
首页chevron_right标准chevron_rightPDPA(新加坡)
有效国际标准update 标准更新:2021年2月fact_check 事实核查:2026年6月28日

PDPA(新加坡)

《2012 年个人数据保护法》——新加坡数据保护法

apartment发布组织:新加坡个人数据保护委员会(PDPC)

标准简介

新加坡《个人数据保护法》(PDPA)于 2012 年颁布,2020 年重大修订,是平衡个人隐私保护与组织合理使用个人数据的基础法律。该法适用于在新加坡收集、使用或披露个人数据的各类组织,规定了同意、目的限制、通知、访问与更正等核心义务,并设立个人数据保护委员会(PDPC)作为监管机构。

对于在新加坡运营或处理新加坡居民个人数据的企业,PDPA 合规是市场准入和信任建立的基础。违规组织可能面临 PDPC 的执法行动,包括警告、整改命令以及最高可达新加坡营业额 10% 或 100 万新元的罚款(以较高者为准)。本页汇总了 PDPA 官方文本、最新指南和常见合规要点。

实施路线图

1
阶段 1schedule 预计周期: 2-4 周

准备范围、责任和监管背景

围绕由组织或数据中介收集、使用、披露、保留、转移、更正、保护或处理的个人数据定义个人数据保护合规项目范围。指定责任人,识别适用法律、客户、认证或市场准入驱动因素,并在整改前约定证据模型。

2
阶段 2schedule 预计周期: 4-8 周

差距分析和基于风险的计划

依据 新加坡 PDPA 期望和风险背景评估当前实践。审查问责、同意、通知、目的限制、准确性、保护、保留、转移限制、访问和更正、数据泄露通知以及数据可携带准备,并按法律暴露、客户影响、安全或隐私风险以及审核或提交准备度排列差距优先级。

3
阶段 3schedule 预计周期: 8-20 周

实施控制、文档和证据

部署所需流程、控制、评审、培训、供应商控制和成文信息。围绕数据清单、同意记录、隐私通知、DPO 任命、访问和更正日志、泄露评估、转移保护、处理方协议、保留计划和培训记录建立可追溯证据。

4
阶段 4schedule 预计周期: 持续进行

评审、审核并维护合规

在PDPC 问询或内部隐私审核前完成内部评审、准备度检查和纠正措施。产品、供应商、法律、客户、事件或运营变化后保持项目更新。

合规检查清单

0 / 12

checklist 范围与问责

checklist 控制与记录

checklist 监控与改进

常见问题解答

谁需要 新加坡 PDPA?

expand_more

新加坡 PDPA 适用于活动落入由组织或数据中介收集、使用、披露、保留、转移、更正、保护或处理的个人数据的组织。采用动因通常来自监管、客户、采购要求、市场准入,或证明组织能纪律化控制高影响风险的需要。

新加坡 PDPA 的核心目的是什么?

expand_more

核心目的是为问责、同意、通知、目的限制、准确性、保护、保留、转移限制、访问和更正、数据泄露通知以及数据可携带准备建立可重复运行的项目。不同领域细节不同,但实践目标都是让义务可见、分配责任、运行控制并保持证据最新。

首先应做什么?

expand_more

先确认范围和所有权。许多失败源于边界不清、缺少责任人,或证据与实际产品、服务、系统或数据流不匹配。

实施需要多长时间?

expand_more

聚焦实施通常需要数月。周期取决于成熟度、产品或场所数量、供应商参与度、技术复杂度、测试证据以及外部审查深度。

哪些证据最有用?

expand_more

有用证据包括数据清单、同意记录、隐私通知、DPO 任命、访问和更正日志、泄露评估、转移保护、处理方协议、保留计划和培训记录。审核员、监管机构、客户或审评人员通常期望看到控制正在运行,而不仅是政策存在。

应如何管理供应商?

expand_more

供应商责任应通过合同和运行流程明确。高风险供应商需要尽职调查、下传要求、证据请求、绩效监控以及针对发现项或事件的升级路径。

项目应多久评审一次?

expand_more

评审频率应跟随风险和变化。年度评审很常见,但产品发布、事件、监管变化、客户要求、重大供应商或审核发现应更早触发专项评审。

可以与其他合规项目整合吗?

expand_more

可以。新加坡 PDPA 通常可以与相关标准共享治理、培训、供应商管理、文件控制、问题跟踪、内部审核和管理评审,同时保留自身特定法律或技术证据。

官方文档

查看全部

相关分类