Privacy
7 min
新加坡PDPA中小企业合规清单(2026年指南)
新加坡中小企业PDPA合规实用清单。涵盖9项核心义务、2021年修订内容及处罚案例。
LOCK.PUB
•2026-03-22新加坡PDPA中小企业合规清单
在新加坡经营中小企业,个人数据保护法(PDPA)无一例外地适用于您。无论是2名员工还是200名员工,义务都是一样的。
很多中小企业主认为数据保护只是大公司的事。这种想法可能代价高昂。PDPC(个人数据保护委员会)已对各种规模的企业处以罚款——SingHealth数据泄露事件中SingHealth和IHIS各被罚S$250,000,Grabcar因数据暴露被罚S$10,000。
什么是PDPA?
PDPA(Personal Data Protection Act 2012)是新加坡的主要数据保护法律,2020/2021年进行了重大修订,关键变更于2021年2月生效。
2021年主要修订内容
| 变更 | 影响 |
|---|---|
| 强制数据泄露通知 | 评估为须通知的泄露后3个日历日内通知PDPC |
| 提高罚款上限 | 新加坡年营业额的10%或S$100万(取较高者) |
| 合同必要性的视为同意 | 扩大个人数据处理的合法基础 |
| 数据可携带义务 | 个人可要求将数据转移至其他机构 |
9项PDPA核心义务
- 同意义务 — 收集、使用或披露个人数据前获得同意
- 目的限制义务 — 仅为合理目的收集数据
- 通知义务 — 告知个人数据收集目的
- 访问义务 — 应要求提供个人数据访问权
- 更正义务 — 应要求更正不准确的个人数据
- 准确性义务 — 确保个人数据准确完整
- 保护义务 — 采取合理安全措施保护数据
- 保留限制义务 — 不再需要时停止保留数据
- 转移限制义务 — 跨境转移时确保充分保护
中小企业合规清单
1. 任命数据保护官(DPO)
新加坡所有机构必须任命DPO,没有例外。可以是现有员工或外部聘请的专业人员。其联系方式必须在公司网站上公开。
2. 制定数据保护政策
记录企业如何收集、使用、存储和处置个人数据。
3. 进行数据盘点
梳理收集了哪些个人数据、存储在哪里、谁有权访问以及数据如何在组织中流转。
4. 审查同意收集实践
确保每个数据收集目的都获得了有效同意。
5. 建立数据泄露应急计划
- 识别和遏制泄露
- 评估是否需要通知
- 评估后3个日历日内通知PDPC
- 可能造成重大损害时通知受影响个人
6. 培训员工
利用PDPC提供的免费电子学习课程进行培训。
7. 审查供应商合同
与共享个人数据的供应商签订包含数据保护条款的合同。
8. 跨境转移保护
向境外转移个人数据时确保接收方提供同等保护。
9. 制定保留和销毁计划
为不同类型的数据设定保留期限,建立安全的销毁程序。
安全共享敏感合规文件
合规过程中,您需要与DPO、法律顾问或管理层共享数据审计报告和泄露评估文件。通过微信或普通电子邮件发送这些文件存在风险——尤其是包含个人数据清单或漏洞评估的文件。
LOCK.PUB可以创建密码保护的备忘录,安全地共享敏感审计文件。您可以设置过期时间,使信息仅在需要的时间内可访问。
处罚标准
| 类型 | 金额 |
|---|---|
| 机构罚款 | 新加坡年营业额的10%或S$100万(取较高者) |
| PDPC指令 | 停止收集/使用数据、销毁数据等 |
| 刑事处罚 | 最高S$5,000罚款或2年以下监禁 |
实际执行案例
- SingHealth泄露(2018年):SingHealth和IHIS各被罚S$250,000
- Grabcar(2019年):数据暴露被罚S$10,000
立即开始您的合规之旅。需要安全共享敏感文件时,试试LOCK.PUB的密码保护功能。
相关关键词
PDPA合规清单
新加坡个人数据保护法
PDPA中小企业
新加坡数据保护
PDPC合规指南