标准简介
新加坡《个人数据保护法》(PDPA)于 2012 年颁布,2020 年重大修订,是平衡个人隐私保护与组织合理使用个人数据的基础法律。该法适用于在新加坡收集、使用或披露个人数据的各类组织,规定了同意、目的限制、通知、访问与更正等核心义务,并设立个人数据保护委员会(PDPC)作为监管机构。
对于在新加坡运营或处理新加坡居民个人数据的企业,PDPA 合规是市场准入和信任建立的基础。违规组织可能面临 PDPC 的执法行动,包括警告、整改命令以及最高可达新加坡营业额 10% 或 100 万新元的罚款(以较高者为准)。本页汇总了 PDPA 官方文本、最新指南和常见合规要点。
实施路线图
准备范围、责任和监管背景
围绕由组织或数据中介收集、使用、披露、保留、转移、更正、保护或处理的个人数据定义个人数据保护合规项目范围。指定责任人,识别适用法律、客户、认证或市场准入驱动因素,并在整改前约定证据模型。
差距分析和基于风险的计划
依据 新加坡 PDPA 期望和风险背景评估当前实践。审查问责、同意、通知、目的限制、准确性、保护、保留、转移限制、访问和更正、数据泄露通知以及数据可携带准备,并按法律暴露、客户影响、安全或隐私风险以及审核或提交准备度排列差距优先级。
实施控制、文档和证据
部署所需流程、控制、评审、培训、供应商控制和成文信息。围绕数据清单、同意记录、隐私通知、DPO 任命、访问和更正日志、泄露评估、转移保护、处理方协议、保留计划和培训记录建立可追溯证据。
评审、审核并维护合规
在PDPC 问询或内部隐私审核前完成内部评审、准备度检查和纠正措施。产品、供应商、法律、客户、事件或运营变化后保持项目更新。
合规检查清单
checklist 范围与问责
checklist 控制与记录
checklist 监控与改进
常见问题解答
谁需要 新加坡 PDPA?
expand_more
新加坡 PDPA 适用于活动落入由组织或数据中介收集、使用、披露、保留、转移、更正、保护或处理的个人数据的组织。采用动因通常来自监管、客户、采购要求、市场准入,或证明组织能纪律化控制高影响风险的需要。
新加坡 PDPA 的核心目的是什么?
expand_more
核心目的是为问责、同意、通知、目的限制、准确性、保护、保留、转移限制、访问和更正、数据泄露通知以及数据可携带准备建立可重复运行的项目。不同领域细节不同,但实践目标都是让义务可见、分配责任、运行控制并保持证据最新。
首先应做什么?
expand_more
先确认范围和所有权。许多失败源于边界不清、缺少责任人,或证据与实际产品、服务、系统或数据流不匹配。
实施需要多长时间?
expand_more
聚焦实施通常需要数月。周期取决于成熟度、产品或场所数量、供应商参与度、技术复杂度、测试证据以及外部审查深度。
哪些证据最有用?
expand_more
有用证据包括数据清单、同意记录、隐私通知、DPO 任命、访问和更正日志、泄露评估、转移保护、处理方协议、保留计划和培训记录。审核员、监管机构、客户或审评人员通常期望看到控制正在运行,而不仅是政策存在。
应如何管理供应商?
expand_more
供应商责任应通过合同和运行流程明确。高风险供应商需要尽职调查、下传要求、证据请求、绩效监控以及针对发现项或事件的升级路径。
项目应多久评审一次?
expand_more
评审频率应跟随风险和变化。年度评审很常见,但产品发布、事件、监管变化、客户要求、重大供应商或审核发现应更早触发专项评审。
可以与其他合规项目整合吗?
expand_more
可以。新加坡 PDPA 通常可以与相关标准共享治理、培训、供应商管理、文件控制、问题跟踪、内部审核和管理评审,同时保留自身特定法律或技术证据。