Singapore PDPA Privacy Guide: Your Rights Under the Personal Data Protection Act
A comprehensive guide to Singapore's Personal Data Protection Act (PDPA). Understand your data rights, what organizations can and cannot do, and how to file complaints with the PDPC.

新加坡PDPA隐私指南:《个人数据保护法》赋予您的权利
新加坡的《个人数据保护法》(PDPA)自2014年起生效,但许多新加坡人仍不了解这部法律赋予他们的权利。在这个几乎每笔交易——从打车到买珍珠奶茶——都涉及某种形式数据收集的城市国家,了解您的隐私权不是可选项,而是必须。
PDPA规范组织如何收集、使用、披露和存储您的个人数据。该法由个人数据保护委员会(PDPC)执行,PDPC有权调查投诉、发出指令,并对每次违规处以最高100万新元的罚款。
PDPA涵盖的范围
PDPA下的个人数据
个人数据定义为能够单独或与其他信息结合识别个人身份的任何数据。包括:
| 类型 | 示例 |
|---|---|
| 身份标识 | NRIC号码、FIN、护照号码 |
| 联系信息 | 电话号码、电子邮件地址、家庭住址 |
| 财务数据 | 银行账户号码、信用卡信息、收入 |
| 就业数据 | 职位、雇主、薪资、绩效评估 |
| 健康数据 | 医疗记录、处方、保险理赔 |
| 生物识别数据 | 指纹、面部识别数据 |
| 数字标识 | IP地址、设备ID、浏览历史 |
| 图像和录制 | 监控录像、照片、语音录音 |
不涵盖的范围
PDPA不适用于:
- 政府机构(受政府指令手册管辖)
- 个人或家庭用途(您的个人通讯录)
- 用于商业目的的商务联系信息
- 已故人士的数据(去世超过10年)
PDPA赋予您的5项关键权利
1. 同意权
组织在收集、使用或披露您的个人数据之前必须获得您的同意。您必须被告知收集目的,且同意必须是自愿的。您可以随时撤回同意,但组织可能会告知您相应后果。
实用建议: 如果商店要求您提供NRIC以加入会员计划,您可以拒绝。他们必须在不要求不必要个人数据的情况下提供服务。
2. 查阅权
您可以要求查阅任何组织持有的您的个人数据,以及过去一年中您的数据如何被使用或披露的信息。组织必须在30天内回复。
实用建议: 您可以致函任何公司,询问他们持有您的哪些个人数据。他们有法律义务告知您。
3. 更正权
如果组织持有的您的个人数据不准确或不完整,您有权要求更正。组织必须更正数据,并将更正后的版本发送给过去一年中与之共享数据的其他组织。
4. 撤回同意权
您可以随时撤回对组织收集、使用或披露您个人数据的同意。组织必须在合理期限内遵守,并告知您任何后果(如无法提供某些服务)。
5. 数据可携权(2021年修正案)
2021年PDPA修正案引入的数据可携义务,允许您要求将数据以常用格式传输给另一个组织。这适用于您提供的电子格式数据。
NRIC收集规则
PDPA最具影响力的指南之一涉及NRIC收集。自2019年9月起:
| 情况 | 能否收集您的完整NRIC? |
|---|---|
| 开设银行账户 | 可以——法律要求 |
| 医院登记 | 可以——法律要求 |
| 就业记录 | 可以——法律要求 |
| 大楼访客登记 | 不可以——使用后4位或替代ID |
| 零售会员计划 | 不可以——使用替代标识 |
| 抽奖登记 | 不可以——使用替代标识 |
| 健身房会员 | 不可以——使用替代标识 |
应对方法: 如果非必要服务要求您提供完整NRIC,您可以拒绝并引用PDPA关于NRIC号码的咨询指南。
谢绝来电登记处(DNC)
PDPA建立了新加坡的谢绝来电(DNC)登记处,允许您选择退出电话营销电话、短信和传真。您可以在dnc.gov.sg注册号码。
| 登记 | 保护 |
|---|---|
| 谢绝来电登记 | 屏蔽电话营销语音电话 |
| 谢绝短信登记 | 屏蔽电话营销短信 |
| 谢绝传真登记 | 屏蔽电话营销传真 |
组织面临每条未经授权营销信息最高10,000新元的处罚。
如何提出PDPA投诉
如果您认为某组织不当处理了您的个人数据:
第1步:直接联系该组织
致函该组织的数据保护官(DPO)。PDPA覆盖的每个组织都必须指定DPO。明确说明发生了什么以及您希望如何处理。
第2步:向PDPC提交投诉
如果组织在30天内未作出满意回复,请在pdpc.gov.sg向PDPC提交投诉。包括:
- 您的个人详细信息
- 组织的详细信息
- 事件描述
- 证据(截图、电子邮件、通信记录)
- 您寻求的解决方案
第3步:PDPC调查
PDPC将评估投诉并可能启动调查。可能的结果包括:
- 指令组织停止数据处理行为
- 指令销毁不当收集的数据
- 最高100万新元的罚款
- 公开执法决定(发布在PDPC网站上)
著名PDPA执法案例
| 年份 | 组织 | 违规 | 处罚 |
|---|---|---|---|
| 2019 | SingHealth | 150万患者记录泄露 | S$250,000 |
| 2019 | IHiS(IT供应商) | SingHealth泄露事件中安全措施失败 | S$750,000 |
| 2020 | Integrated Health Information Systems | 未经授权的数据披露 | S$50,000 |
| 2021 | 多家中小企业 | 不当收集NRIC | 警告和指令 |
| 2022 | 多个组织 | 安全措施不足导致数据泄露 | 各种处罚 |
日常生活的实用PDPA建议
- 阅读隐私政策——注册服务前了解收集哪些数据
- 使用DNC登记处——阻止不需要的营销信息
- 请求删除数据——从不再使用的服务中
- 知道何时拒绝NRIC收集——引用PDPA咨询指南
- 举报数据泄露——向PDPC报告
- 询问DPO联系方式——当组织收集您的数据时
- 行使查阅权——了解企业持有您的哪些数据
安全地分享个人数据
根据PDPA,组织必须保护您的数据。但您在保护自己信息方面也有责任。当您需要分享个人数据——银行申请的NRIC、交易的财务信息或转诊的医疗记录——避免通过微信以纯文本发送。
使用LOCK.PUB创建包含敏感信息的密码保护自毁链接。收件人输入密码查看,数据在设定的过期时间后消失。这最大限度降低了个人数据通过被入侵的通讯账户或设备被盗而泄露的风险。
总结
PDPA赋予您在新加坡对个人数据的真实、可执行的权利。最重要的一点:您有权知道组织收集了您的哪些数据,有权拒绝不必要的收集,有权在数据被不当处理时提出投诉。
积极行使这些权利。拒绝不必要的NRIC收集,注册DNC登记处,请求从不使用的服务中删除数据,当需要分享个人信息时,使用LOCK.PUB安全地进行。隐私不是奢侈品——它是新加坡法律保护的权利。
相关关键词
推荐阅读
GDPR Compliance Guide for German Businesses: Checklist & Key Requirements
DSGVO fines hit all-time highs in 2025. Complete compliance checklist including DPO requirements, breach notification, NIS2, AI Act, and DORA.
新加坡数据泄露通知义务:3天规则详解
了解新加坡PDPA下的强制性数据泄露通知要求。3天规则、可通知泄露标准和必须遵循的步骤。
新加坡DPO任命:每家企业都必须知道的事
新加坡所有机构必须任命数据保护官。了解PDPA要求、DPO职责、资质和外包选择。