大数跨境

【跨境合规】新加坡个人信息保护法(PDPA)规范解读

【跨境合规】新加坡个人信息保护法(PDPA)规范解读 师伟商事律师
2026-07-07
17


欧盟《数字市场法案》(DMA)规范解读


一、适用主体


1. 强制适用主体

法案采用广义机构(Organisation 定义,范围无门槛:

各类企业(公司、合伙企业、非法人团体)、社会组织;

以经营 / 活动为目的的个人(个体经营者、自由职业服务商);

无新加坡本地注册、无实体但面向新加坡个人开展数据处理的境外机构(具备域外效力


2. 部分豁免主体

1.纯个人 / 家庭行为:自然人仅用于私人、家庭用途的数据处理,豁免第三至六编核心义务(收集、使用、安全等);

2.企业员工履职行:员工在雇佣范围内的数据操作,由雇主承担主要责任,员工个人豁免独立合规义务(恶意违规除外);

3.数据中介:基于书面委托协议为委托方处理数据时,可豁免部分核心义务,但数据安全、泄露初步告知义务仍强制适用


3. 完全豁免情形

1.存档满100 的历史档案类个人数据;

2.公共机构(政府、法定机构),适用专门公法规则;

3.依法享有法定特权、司法豁免的场景(如司法卷宗、涉密公务数据)。



二、规制行为及义务


(一)基础治理义

1.指定数据保护负责人(DPO
所有机构必须指定一名或多名专人负责 PDPA 合规,并对外公开负责人的商业联系方式(官网、客服渠道可查询);负责人可转委托,但机构本身不得豁免最终合规责任。该义务无行业、规模例外,小微企业同样强制。

2.建立内部合规制度
需制定书面数据政策、投诉处理流程,并对员工开展合规培训;同时留存数据处理相关记录,配合 PDPC 调查审计。

3.自愿承诺制度
机构出现合规瑕疵时,可向 PDPC 提交书面整改承诺,监管可暂缓处罚;未履行承诺的,将被追加处罚并强制执行整改。


(二)数据收集、使用与披露规则

1. 核心原则:同意为一般前提

 2014 年 7 月 日起,机构收集、使用、披露个人数据原则上必须取得自然人有效同意,仅法定例外情形可豁免同意要求。

2. 同意的法定要求

禁止将同意数据收集” 作为获取产品 / 服务的强制捆绑条件(超出合理范围的捆绑同意无效);

禁止通过虚假、误导、欺诈手段获取同意;

自然人可随时撤回同意,机构不得阻拦,撤回后必须停止对应数据处理(法定例外除外)。

3. 推定同意

法案明确三类合法推定同意场景,无需单独逐一致意:

1.自然人主动向机构提供数据,且行为逻辑可合理推断其同意对应用途;

2.签订、履行合同而流转的数据(合作双方及上下游合理流转);

3.通知式推定同意2020 年修订新增):机构提前告知用途,自然人未明确拒绝的,视为同意(需提前评估数据风险并采取 mitigation 措施)。

4. 无需同意的法定例外(附表列明,共五大类)

即便未取得同意,满足以下场景仍可合法处理数据:

保障自然人生命、健康、紧急安全;

公共利益、国家安全、新闻采编、档案历史研究;

债务追偿、司法调查、法律服务、企业并购 / 资产交易;

集团内部业务优化、市场研究(需满足匿名化、不影响个人权益);

法定执法、监管机构履职调取数据。

5. 用途限制

数据处理用途必须事前告知,不得超出告知范围;2014 年 月前收集的历史数据,可沿用原用途,除非自然人明确反对或撤回同意。


(三)自然人法定权利

自然人享有访问权、更正权两大核心权利,机构需建立对应响应流程:

1.访问权:自然人可申请调取自身数据、近一年内数据流转记录。机构仅可基于法定例外拒绝(如涉密数据、第三方隐私、考试试卷、内部评估意见等),拒绝需书面说明理由。

2.更正权:数据存在错误、遗漏时,自然人可申请更正。机构拒不更正的,需在对应数据上标注用户异议;纯主观评价、专业意见类数据,无需更正。

3.补充规则:机构拒绝提供用户数据时,需留存对应副本并保管法定周期,以备监管核查。


(四)数据安全与留存规则

1.安全保障义务
机构必须采取合理安全措施,防范数据被非法访问、篡改、泄露、丢失;该义务延伸至数据中介,委托方需监督第三方安全能力。

2.数据留存限制
当收集目的已实现、且无法律 / 商业留存必要时,必须删除数据或解除个人标识关联,禁止无限期囤积个人数据。


(五)跨境数据传输规则

个人数据向新加坡境外传输时,接收国 / 地区的数据保护标准不得低于 PDPA。实操规则:

1.常规跨境传输:需评估境外接收方合规能力,确保保护标准等效;

2.豁免路径:向 PDPC 提交申请,取得跨境传输豁免令(可附条件);

3.监管权限:PDPC 可随时新增、变更、撤销豁免条件。


(六)数据泄露通报义务

该章节为 2020 年重点修订内容,72 小时限时通报为硬性要求:

1.触发条件:发生可通报数据泄露(重大损害风险 大规模泄露);

2.流程要求:机构第一时间开展泄露评估→ 评估确认后最迟 3 个自然日内向 PDPC → 必要时通知受影响自然人;

3.豁免通知个人情形:已采取有效防护措施、执法机构 / PDPC 下令暂缓通知;

4.数据中介义务:发现泄露需立即告知委托方,由委托方主导评估与通报。


(七)谢绝来电(DNC)与反爬取专项规则

法案第九、九 A 编为营销与反爬取专项管控,独立于通用数据规则:

1.DNC 注册制度
新加坡设有官方谢绝来电名录机构发送商业电话、短信前,必须核查名录,不得向登记用户发送营销信息;用户可自由登记、注销名录信息。

2.禁止恶意爬取
严禁使用字典攻击、地址采集软件批量获取新加坡电话号码并发送消息,此类行为属于独立违规,单独处罚。


(八)严格禁止的行为

1.未经授权披露、使用他人个人数据;

2.对已匿名化的数据非法重新识别(破解匿名标识、还原自然人身份);

3.伪造、隐匿、销毁数据相关记录,阻挠 PDPC 调查;

4.冒用身份申请他人的数据访问、更正;

5.营销类消息隐匿主叫号码、规避 DNC 核查。



四、法律后果


(一)行政罚款

1. 通用数据规则违规

大型机构(新加坡年营业额>1000 万新元):最高处以新加坡年营业额 10% 的罚款;

中小机构 / 个人:最高100 万新元

处罚考量因素:违规主观故意 / 过失、危害规模、整改态度、过往违规记录、是否获利等。

2. DNC 谢绝来电规则违规

个人:最高 20 万新元;

机构:最高 100 万新元。

3. 反爬取(字典攻击、号码采集)违规

个人:最高 20 万新元;

年营业额>2000 万新元的机构:最高新加坡年营业额 5%

其他机构:最高 100 万新元。

4. 其他专项小额处罚

如电信服务商未上报停用号码、员工履职违规等,单条罚款最高 1 万新元。


(二)刑事处罚

针对个人恶意违规,最高年监禁 并处罚款,核心刑事罪名:

1.未经授权故意 / 过失披露、使用他人个人数据(牟利或造成他人损失):罚款 5000 新元或 年监禁,或两者并处;

2.非法还原匿名化数据:同上述处罚标准;

3.冒用身份申请他人数据、阻挠监管调查:最高 12 个月监禁;

4.伪造数据记录、虚假陈述:最高 12 个月监禁。


(三)民事赔偿

自然人因机构违规遭受损失的,有权提起民事诉讼,主张损害赔偿、禁令(要求停止违规)、宣告性救济。
补充规则:需等待 PDPC / 上诉小组作出终局决定后,方可提起民事诉讼,避免程序冲突。


(四)衍生后果

1.声誉风险PDPC 会公开重大处罚案例,违规企业名称、违规细节全网公示,直接影响品牌信誉;

2.高管追责:企业违规的,董事、高管、实际管控人若知情、纵容或未履行管控义务,需承担连带刑事 / 行政责任

3.合同违约:跨境合作、客户协议通常约定 PDPA 合规义务,违规将触发合同违约赔偿。


(五)特殊主体追责

1.企业:法人违规,高管、参与人员一并追责;

2.非法人团体 / 合伙企业:管理层、合伙人承担连带责任;

3.雇主责任:员工履职违规,雇主优先担责,雇主能证明已尽管控义务的可免责;

4.数据中介:委托方与中介双向连带责任




五、要点解读


(一)立核心目标

统一新加坡境内个人信息处理规则,平衡企业数据利用自由与自然人个人信息权益;防范数据滥用、泄露风险,保障本地数字经济可信运行,构建跨境数据有序流动合规框架。


(二)制度设计亮点

1.“主体 + 场景” 双层规制体系:同时约束数据控制者与数据处理者,区分营销、雇佣、医疗等特殊场景差异化设定义务,兼顾通用性与行业特殊性。

2.以同意为核心的权利逻辑:清晰划定收集、使用、披露个人数据的有效同意标准,赋予个人访问、更正、删除、撤回同意完整权利,权责边界清晰可落地。

3.全周期数据合规闭环:覆盖事前告知同意、事中数据安全保管、事后泄露通报、投诉救济、行政处罚全流程监管。

4.灵活跨境传输机制:不强制一刀切本地存储,认可充分保护认定、标准合同、企业约束规则等多元出境合规路径,适配跨国企业经营需求。


(三)关键适用边界

1.排除适用领域:纯粹私人家庭非商业活动、新加坡政府公务数据、部分国际海事 / 航空公共数据不受本法约束;不替代金融、医疗行业专项数据法规。

2.地域管辖边界:无论企业是否在新加坡设立实体,只要向新加坡境内个人提供商品服务、收集本地居民信息即受约束;境外企业需指定本地代表对接监管。

3.义务豁免情形:公共安全、刑事侦查、司法诉讼、紧急救人等法定场景,可豁免取得个人同意,相关豁免留存记录备查。


(四)合规与执法要点

1.企业需建立数据保护管理制度,大规模高风险数据处理建议委任数据保护官(DPO);数据泄露 48 小时内必须通报 PDPC 监管机构与受影响个人。

2.新加坡个人数据保护委员会(PDPC)拥有调查、实地核查、调取数据权限,违规最高可处全球年营收 10% 或 1000 万新元罚款(取较高值)。

3.设立分级合规指引,针对电商、跨境 SaaS、人力资源企业发布专项实操指南,监管评估报告会推动法条细则更新。

4.法案持续迭代,2024 年修订版新增 AI 数据治理、精准营销限制、跨境数据互认条款,新规分阶段落地实施。




作者简介

师伟律师

泰和泰(深圳)律师事务所

     具备法院(四川省某人民法院民商事审判庭)、公司法务(超多维集团、环球易购等)和律所三重法律工作背景,拥有10年的法律从业经验。负责多起金额亿元以上的投融资并购交易,另外代理企业500+商事诉讼、仲裁案件,并保持90%胜诉率。

      有长达6年的跨境电商行业的从业法律服务经验,在跨境电商企业涉及的境外产品合规、数据合规、广告营销合规、消费者保护合规、跨境电商企业在境内与供应商涉及的产品质量纠纷、与劳动者涉及的竞业限制纠纷、绩效纠纷、商业贿赂纠纷等方面有丰富的司法实践经验,能为客户提供跨境电商行业的常年法律顾问服务、专项服务以及诉讼服务。


免责声明:本文及其内容仅为交流目的。本文任何文字、图片等内容,未经授权不得转载。如需转载或引用,请联系公众号后台取得授权。

电话丨18565822898

邮箱丨wei.shi@tahota.com


【声明】内容源于网络
0
0
师伟商事律师
跨境电商行业的法律陪跑者是由泰和泰(深圳)律师事务所师伟律师团队运营的公众号,致力于为跨境电商行业的卖家、物流商等提供业务经营相关的法律合规知识、司法判例或者法律从业经验,为跨境电商行业的出海保驾护航
内容 392
粉丝 0
师伟商事律师 跨境电商行业的法律陪跑者是由泰和泰(深圳)律师事务所师伟律师团队运营的公众号,致力于为跨境电商行业的卖家、物流商等提供业务经营相关的法律合规知识、司法判例或者法律从业经验,为跨境电商行业的出海保驾护航
总阅读3.3k
粉丝0
内容392