(一)基础治理义务
1.指定数据保护负责人(DPO)
所有机构必须指定一名或多名专人负责 PDPA 合规,并对外公开负责人的商业联系方式(官网、客服渠道可查询);负责人可转委托,但机构本身不得豁免最终合规责任。该义务无行业、规模例外,小微企业同样强制。
2.建立内部合规制度
需制定书面数据政策、投诉处理流程,并对员工开展合规培训;同时留存数据处理相关记录,配合 PDPC 调查审计。
3.自愿承诺制度
机构出现合规瑕疵时,可向 PDPC 提交书面整改承诺,监管可暂缓处罚;未履行承诺的,将被追加处罚并强制执行整改。
(二)数据收集、使用与披露规则
1. 核心原则:同意为一般前提
自 2014 年 7 月 2 日起,机构收集、使用、披露个人数据原则上必须取得自然人有效同意,仅法定例外情形可豁免同意要求。
2. 同意的法定要求
禁止将“同意数据收集” 作为获取产品 / 服务的强制捆绑条件(超出合理范围的捆绑同意无效);
禁止通过虚假、误导、欺诈手段获取同意;
自然人可随时撤回同意,机构不得阻拦,撤回后必须停止对应数据处理(法定例外除外)。
3. 推定同意
法案明确三类合法推定同意场景,无需单独逐一致意:
1.自然人主动向机构提供数据,且行为逻辑可合理推断其同意对应用途;
2.为签订、履行合同而流转的数据(合作双方及上下游合理流转);
3.通知式推定同意(2020 年修订新增):机构提前告知用途,自然人未明确拒绝的,视为同意(需提前评估数据风险并采取 mitigation 措施)。
4. 无需同意的法定例外(附表列明,共五大类)
即便未取得同意,满足以下场景仍可合法处理数据:
•保障自然人生命、健康、紧急安全;
•公共利益、国家安全、新闻采编、档案历史研究;
•债务追偿、司法调查、法律服务、企业并购 / 资产交易;
•集团内部业务优化、市场研究(需满足匿名化、不影响个人权益);
•法定执法、监管机构履职调取数据。
5. 用途限制
数据处理用途必须事前告知,不得超出告知范围;2014 年 7 月前收集的历史数据,可沿用原用途,除非自然人明确反对或撤回同意。
(三)自然人法定权利
自然人享有访问权、更正权两大核心权利,机构需建立对应响应流程:
1.访问权:自然人可申请调取自身数据、近一年内数据流转记录。机构仅可基于法定例外拒绝(如涉密数据、第三方隐私、考试试卷、内部评估意见等),拒绝需书面说明理由。
2.更正权:数据存在错误、遗漏时,自然人可申请更正。机构拒不更正的,需在对应数据上标注用户异议;纯主观评价、专业意见类数据,无需更正。
3.补充规则:机构拒绝提供用户数据时,需留存对应副本并保管法定周期,以备监管核查。
(四)数据安全与留存规则
1.安全保障义务
机构必须采取合理安全措施,防范数据被非法访问、篡改、泄露、丢失;该义务延伸至数据中介,委托方需监督第三方安全能力。
2.数据留存限制
当收集目的已实现、且无法律 / 商业留存必要时,必须删除数据或解除个人标识关联,禁止无限期囤积个人数据。
(五)跨境数据传输规则
个人数据向新加坡境外传输时,接收国 / 地区的数据保护标准不得低于 PDPA。实操规则:
1.常规跨境传输:需评估境外接收方合规能力,确保保护标准等效;
2.豁免路径:向 PDPC 提交申请,取得跨境传输豁免令(可附条件);
3.监管权限:PDPC 可随时新增、变更、撤销豁免条件。
(六)数据泄露通报义务
该章节为 2020 年重点修订内容,72 小时限时通报为硬性要求:
1.触发条件:发生“可通报数据泄露”(重大损害风险 / 大规模泄露);
2.流程要求:机构第一时间开展泄露评估→ 评估确认后最迟 3 个自然日内向 PDPC 通报→ 必要时通知受影响自然人;
3.豁免通知个人情形:已采取有效防护措施、执法机构 / PDPC 下令暂缓通知;
4.数据中介义务:发现泄露需立即告知委托方,由委托方主导评估与通报。
(七)谢绝来电(DNC)与反爬取专项规则
法案第九、九 A 编为营销与反爬取专项管控,独立于通用数据规则:
1.DNC 注册制度
新加坡设有官方“谢绝来电名录”,机构发送商业电话、短信前,必须核查名录,不得向登记用户发送营销信息;用户可自由登记、注销名录信息。
2.禁止恶意爬取
严禁使用字典攻击、地址采集软件批量获取新加坡电话号码并发送消息,此类行为属于独立违规,单独处罚。
(八)严格禁止的行为
1.未经授权披露、使用他人个人数据;
2.对已匿名化的数据非法重新识别(破解匿名标识、还原自然人身份);
3.伪造、隐匿、销毁数据相关记录,阻挠 PDPC 调查;
4.冒用身份申请他人的数据访问、更正;
5.营销类消息隐匿主叫号码、规避 DNC 核查。