Singapore PDPA Privacy Guide: Your Rights Under the Personal Data Protection Act
A comprehensive guide to Singapore's Personal Data Protection Act (PDPA). Understand your data rights, what organizations can and cannot do, and how to file complaints with the PDPC.

Hướng Dẫn Quyền Riêng Tư PDPA Singapore: Quyền Của Bạn Theo Luật Bảo Vệ Dữ Liệu Cá Nhân
Luật Bảo vệ Dữ liệu Cá nhân Singapore (PDPA) có hiệu lực từ năm 2014, nhưng nhiều người dân Singapore vẫn chưa biết đến các quyền mà luật này trao cho họ. Trong một thành phố-quốc gia nơi gần như mọi giao dịch — từ đi taxi đến mua trà sữa — đều liên quan đến việc thu thập dữ liệu, việc hiểu quyền riêng tư của bạn không phải là tùy chọn. Đó là điều thiết yếu.
PDPA quy định cách các tổ chức thu thập, sử dụng, tiết lộ và lưu trữ dữ liệu cá nhân của bạn. Luật được thực thi bởi Ủy ban Bảo vệ Dữ liệu Cá nhân (PDPC), có quyền điều tra khiếu nại, đưa ra chỉ thị và áp dụng mức phạt tài chính lên đến 1 triệu S$ cho mỗi vi phạm.
PDPA Bao Gồm Những Gì
Dữ Liệu Cá Nhân Theo PDPA
Dữ liệu cá nhân được định nghĩa là bất kỳ dữ liệu nào có thể xác định danh tính cá nhân, dù đơn lẻ hay kết hợp với thông tin khác. Bao gồm:
| Loại | Ví dụ |
|---|---|
| Mã định danh | Số NRIC, FIN, số hộ chiếu |
| Thông tin liên hệ | Số điện thoại, địa chỉ email, địa chỉ nhà |
| Dữ liệu tài chính | Số tài khoản ngân hàng, thông tin thẻ tín dụng, thu nhập |
| Dữ liệu việc làm | Chức danh, nhà tuyển dụng, lương, đánh giá hiệu suất |
| Dữ liệu sức khỏe | Hồ sơ y tế, đơn thuốc, yêu cầu bảo hiểm |
| Dữ liệu sinh trắc học | Dấu vân tay, dữ liệu nhận dạng khuôn mặt |
| Mã định danh kỹ thuật số | Địa chỉ IP, ID thiết bị, lịch sử duyệt web |
| Hình ảnh và bản ghi | Hình ảnh CCTV, ảnh, bản ghi âm |
Những Gì Không Được Bao Gồm
PDPA không áp dụng cho:
- Cơ quan chính phủ (được quản lý bởi Sổ tay Hướng dẫn Chính phủ)
- Mục đích cá nhân hoặc gia đình (danh sách liên hệ cá nhân)
- Thông tin liên hệ kinh doanh sử dụng cho mục đích kinh doanh
- Dữ liệu về người đã mất (hơn 10 năm sau khi qua đời)
5 Quyền Chính Của Bạn Theo PDPA
1. Quyền Đồng Ý
Các tổ chức phải có sự đồng ý của bạn trước khi thu thập, sử dụng hoặc tiết lộ dữ liệu cá nhân. Bạn phải được thông báo về mục đích thu thập và sự đồng ý phải tự nguyện. Bạn có thể rút lại sự đồng ý bất cứ lúc nào, dù tổ chức có thể thông báo cho bạn về hậu quả.
Mẹo thực tế: Nếu cửa hàng yêu cầu NRIC để tham gia chương trình khách hàng thân thiết, bạn có thể từ chối. Họ phải cung cấp dịch vụ mà không yêu cầu dữ liệu cá nhân không cần thiết.
2. Quyền Truy Cập
Bạn có thể yêu cầu truy cập dữ liệu cá nhân do bất kỳ tổ chức nào nắm giữ, cũng như thông tin về cách dữ liệu được sử dụng hoặc tiết lộ trong năm qua. Tổ chức phải phản hồi trong vòng 30 ngày.
Mẹo thực tế: Bạn có thể viết thư cho bất kỳ công ty nào để hỏi họ giữ dữ liệu cá nhân gì về bạn. Họ có nghĩa vụ pháp lý phải trả lời.
3. Quyền Sửa Chữa
Nếu dữ liệu cá nhân do tổ chức nắm giữ không chính xác hoặc không đầy đủ, bạn có quyền yêu cầu sửa chữa. Tổ chức phải sửa dữ liệu và gửi phiên bản đã sửa cho bất kỳ tổ chức nào khác mà nó đã được chia sẻ trong năm qua.
4. Quyền Rút Lại Đồng Ý
Bạn có thể rút lại sự đồng ý cho tổ chức thu thập, sử dụng hoặc tiết lộ dữ liệu cá nhân bất cứ lúc nào. Tổ chức phải tuân thủ trong khoảng thời gian hợp lý và thông báo cho bạn về bất kỳ hậu quả nào (chẳng hạn như không thể cung cấp một số dịch vụ nhất định).
5. Quyền Chuyển Đổi Dữ Liệu (Sửa đổi 2021)
Nghĩa vụ Chuyển đổi Dữ liệu, được giới thiệu trong sửa đổi PDPA năm 2021, cho phép bạn yêu cầu dữ liệu được truyền sang tổ chức khác ở định dạng thông dụng. Điều này áp dụng cho dữ liệu do bạn cung cấp và ở dạng điện tử.
Quy Tắc Thu Thập NRIC
Một trong những hướng dẫn có tác động lớn nhất của PDPA ảnh hưởng đến việc thu thập NRIC. Từ tháng 9 năm 2019:
| Tình huống | Họ có thể thu thập NRIC đầy đủ không? |
|---|---|
| Mở tài khoản ngân hàng | Có — yêu cầu pháp lý |
| Đăng ký bệnh viện | Có — yêu cầu pháp lý |
| Hồ sơ việc làm | Có — yêu cầu pháp lý |
| Sổ đăng ký khách thăm tòa nhà | Không — dùng 4 ký tự cuối hoặc ID thay thế |
| Chương trình khách hàng thân thiết | Không — dùng mã định danh thay thế |
| Đăng ký rút thăm trúng thưởng | Không — dùng mã định danh thay thế |
| Thành viên phòng tập gym | Không — dùng mã định danh thay thế |
Nên làm gì: Nếu dịch vụ không thiết yếu yêu cầu NRIC đầy đủ, bạn có thể từ chối và viện dẫn Hướng dẫn Tư vấn PDPA về số NRIC.
Sổ Đăng Ký Không Gọi (DNC)
PDPA thiết lập Sổ Đăng ký Không Gọi (DNC) của Singapore, cho phép bạn từ chối nhận cuộc gọi tiếp thị, SMS và fax. Bạn có thể đăng ký số tại dnc.gov.sg.
| Đăng ký | Bảo vệ |
|---|---|
| Sổ Không Gọi | Chặn cuộc gọi tiếp thị |
| Sổ Không Nhắn Tin | Chặn SMS tiếp thị |
| Sổ Không Fax | Chặn fax tiếp thị |
Các tổ chức phải đối mặt với mức phạt lên đến S$10.000 cho mỗi tin nhắn tiếp thị trái phép.
Cách Nộp Khiếu Nại PDPA
Nếu bạn tin rằng tổ chức đã xử lý sai dữ liệu cá nhân:
Bước 1: Liên Hệ Trực Tiếp Với Tổ Chức
Viết thư cho Cán bộ Bảo vệ Dữ liệu (DPO) của tổ chức. Mọi tổ chức thuộc phạm vi PDPA đều phải chỉ định DPO. Nêu rõ điều gì đã xảy ra và bạn muốn họ xử lý thế nào.
Bước 2: Nộp Khiếu Nại Với PDPC
Nếu tổ chức không phản hồi thỏa đáng trong 30 ngày, nộp khiếu nại với PDPC tại pdpc.gov.sg. Bao gồm:
- Thông tin cá nhân của bạn
- Thông tin tổ chức
- Mô tả sự việc
- Bằng chứng (ảnh chụp màn hình, email, thư từ)
- Giải pháp bạn mong muốn
Bước 3: Điều Tra Của PDPC
PDPC sẽ đánh giá khiếu nại và có thể khởi động điều tra. Kết quả có thể bao gồm:
- Chỉ thị tổ chức ngừng hoạt động xử lý dữ liệu
- Chỉ thị tiêu hủy dữ liệu thu thập không đúng cách
- Phạt tài chính lên đến S$1 triệu
- Quyết định thực thi công khai (công bố trên website PDPC)
Các Vụ Thực Thi PDPA Đáng Chú Ý
| Năm | Tổ chức | Vi phạm | Hình phạt |
|---|---|---|---|
| 2019 | SingHealth | 1,5 triệu hồ sơ bệnh nhân bị lộ | S$250.000 |
| 2019 | IHiS (nhà cung cấp IT) | Biện pháp bảo mật thất bại trong vụ SingHealth | S$750.000 |
| 2020 | Integrated Health Information Systems | Tiết lộ dữ liệu trái phép | S$50.000 |
| 2021 | Nhiều SME | Thu thập NRIC không đúng | Cảnh báo và chỉ thị |
| 2022 | Nhiều tổ chức | Rò rỉ dữ liệu do bảo mật không đầy đủ | Nhiều mức phạt |
Mẹo PDPA Thực Tế Cho Cuộc Sống Hàng Ngày
- Đọc chính sách bảo mật trước khi đăng ký dịch vụ — biết dữ liệu nào được thu thập
- Sử dụng Sổ DNC để chặn tin nhắn tiếp thị không mong muốn
- Yêu cầu xóa dữ liệu từ các dịch vụ bạn không còn sử dụng
- Biết khi nào từ chối thu thập NRIC — viện dẫn hướng dẫn PDPA
- Báo cáo vi phạm dữ liệu bạn phát hiện cho PDPC
- Hỏi liên hệ DPO khi tổ chức thu thập dữ liệu của bạn
- Thực hiện quyền truy cập để biết công ty nắm giữ dữ liệu gì về bạn
Chia Sẻ Dữ Liệu Cá Nhân An Toàn
Theo PDPA, các tổ chức phải bảo vệ dữ liệu của bạn. Nhưng bạn cũng có vai trò trong việc bảo vệ thông tin của mình. Khi cần chia sẻ dữ liệu cá nhân — NRIC cho đơn xin ngân hàng, chi tiết tài chính cho giao dịch, hoặc hồ sơ y tế cho giới thiệu — tránh gửi dạng văn bản thuần qua Zalo.
Sử dụng LOCK.PUB để tạo liên kết được bảo vệ bằng mật khẩu, tự hủy chứa thông tin nhạy cảm. Người nhận nhập mật khẩu để xem và dữ liệu biến mất sau thời hạn đã đặt. Điều này giảm thiểu nguy cơ dữ liệu cá nhân bị lộ qua tài khoản nhắn tin bị xâm phạm hoặc thiết bị bị đánh cắp.
Kết Luận
PDPA trao cho bạn quyền thực sự, có thể thực thi đối với dữ liệu cá nhân tại Singapore. Điều quan trọng nhất: bạn có quyền biết tổ chức thu thập dữ liệu gì về bạn, quyền từ chối thu thập không cần thiết, và quyền khiếu nại khi dữ liệu bị xử lý sai.
Hãy tích cực thực hiện các quyền này. Từ chối thu thập NRIC không cần thiết, đăng ký Sổ DNC, yêu cầu xóa dữ liệu từ dịch vụ không dùng, và khi cần chia sẻ thông tin cá nhân, hãy dùng LOCK.PUB để thực hiện an toàn. Quyền riêng tư không phải xa xỉ — đó là quyền được luật pháp Singapore bảo vệ.
Từ khóa
Bài viết liên quan
GDPR Compliance Guide for German Businesses: Checklist & Key Requirements
DSGVO fines hit all-time highs in 2025. Complete compliance checklist including DPO requirements, breach notification, NIS2, AI Act, and DORA.
Thông báo vi phạm dữ liệu tại Singapore: Quy tắc 3 ngày
Hiểu yêu cầu thông báo vi phạm dữ liệu bắt buộc theo PDPA Singapore. Quy tắc 3 ngày, tiêu chí và các bước cần tuân thủ.
Bổ nhiệm DPO tại Singapore: Điều mọi doanh nghiệp cần biết
Tất cả tổ chức tại Singapore phải bổ nhiệm DPO. Yêu cầu PDPA, trách nhiệm, trình độ và lựa chọn thuê ngoài.
Tạo liên kết được bảo vệ bằng mật khẩu ngay
Tạo liên kết bảo mật, ghi chú bí mật và trò chuyện mã hóa miễn phí.
Bắt Đầu Miễn Phí