Singapore PDPA Privacy Guide: Your Rights Under the Personal Data Protection Act
A comprehensive guide to Singapore's Personal Data Protection Act (PDPA). Understand your data rights, what organizations can and cannot do, and how to file complaints with the PDPC.

新加坡PDPA隱私指南:《個人資料保護法》賦予您的權利
新加坡的《個人資料保護法》(PDPA)自2014年起生效,但許多新加坡人仍不了解這部法律賦予他們的權利。在這個幾乎每筆交易——從搭計程車到買珍珠奶茶——都涉及某種形式資料收集的城市國家,了解您的隱私權不是可選項,而是必須。
PDPA規範組織如何收集、使用、揭露和儲存您的個人資料。該法由個人資料保護委員會(PDPC)執行,PDPC有權調查投訴、發出指令,並對每次違規處以最高100萬新幣的罰款。
PDPA涵蓋的範圍
PDPA下的個人資料
個人資料定義為能夠單獨或與其他資訊結合識別個人身分的任何資料。包括:
| 類型 | 範例 |
|---|---|
| 身分識別 | NRIC號碼、FIN、護照號碼 |
| 聯絡資訊 | 電話號碼、電子郵件地址、住家地址 |
| 財務資料 | 銀行帳戶號碼、信用卡資訊、收入 |
| 就業資料 | 職稱、雇主、薪資、績效評估 |
| 健康資料 | 醫療紀錄、處方、保險理賠 |
| 生物辨識資料 | 指紋、臉部辨識資料 |
| 數位識別 | IP位址、裝置ID、瀏覽紀錄 |
| 影像和錄製 | 監視器畫面、照片、語音錄音 |
不涵蓋的範圍
PDPA不適用於:
- 政府機關(受政府指令手冊管轄)
- 個人或家庭用途(您的個人通訊錄)
- 用於商業目的的商務聯絡資訊
- 已故人士的資料(去世超過10年)
PDPA賦予您的5項關鍵權利
1. 同意權
組織在收集、使用或揭露您的個人資料之前必須取得您的同意。您必須被告知收集目的,且同意必須是自願的。您可以隨時撤回同意,但組織可能會告知您相應後果。
實用建議: 如果商店要求您提供NRIC以加入會員計畫,您可以拒絕。他們必須在不要求不必要個人資料的情況下提供服務。
2. 查閱權
您可以要求查閱任何組織持有的您的個人資料,以及過去一年中您的資料如何被使用或揭露的資訊。組織必須在30天內回覆。
實用建議: 您可以致函任何公司,詢問他們持有您的哪些個人資料。他們有法律義務告知您。
3. 更正權
如果組織持有的您的個人資料不準確或不完整,您有權要求更正。組織必須更正資料,並將更正後的版本發送給過去一年中與之共享資料的其他組織。
4. 撤回同意權
您可以隨時撤回對組織收集、使用或揭露您個人資料的同意。組織必須在合理期限內遵守,並告知您任何後果(如無法提供某些服務)。
5. 資料可攜權(2021年修正案)
2021年PDPA修正案引入的資料可攜義務,允許您要求將資料以常用格式傳輸給另一個組織。這適用於您提供的電子格式資料。
NRIC收集規則
PDPA最具影響力的指南之一涉及NRIC收集。自2019年9月起:
| 情況 | 能否收集您的完整NRIC? |
|---|---|
| 開設銀行帳戶 | 可以——法律要求 |
| 醫院登記 | 可以——法律要求 |
| 就業紀錄 | 可以——法律要求 |
| 大樓訪客登記 | 不可以——使用後4位或替代ID |
| 零售會員計畫 | 不可以——使用替代識別 |
| 抽獎登記 | 不可以——使用替代識別 |
| 健身房會員 | 不可以——使用替代識別 |
應對方法: 如果非必要服務要求您提供完整NRIC,您可以拒絕並引用PDPA關於NRIC號碼的諮詢指南。
謝絕來電登記處(DNC)
PDPA建立了新加坡的謝絕來電(DNC)登記處,讓您選擇退出電話行銷電話、簡訊和傳真。您可以在dnc.gov.sg註冊號碼。
| 登記 | 保護 |
|---|---|
| 謝絕來電登記 | 封鎖電話行銷語音電話 |
| 謝絕簡訊登記 | 封鎖電話行銷簡訊 |
| 謝絕傳真登記 | 封鎖電話行銷傳真 |
組織面臨每則未經授權行銷訊息最高10,000新幣的處罰。
如何提出PDPA投訴
如果您認為某組織不當處理了您的個人資料:
第1步:直接聯繫該組織
致函該組織的資料保護官(DPO)。PDPA涵蓋的每個組織都必須指定DPO。清楚說明發生了什麼以及您希望如何處理。
第2步:向PDPC提交投訴
如果組織在30天內未作出滿意回覆,請在pdpc.gov.sg向PDPC提交投訴。包括:
- 您的個人詳細資訊
- 組織的詳細資訊
- 事件描述
- 證據(截圖、電子郵件、通訊紀錄)
- 您尋求的解決方案
第3步:PDPC調查
PDPC將評估投訴並可能啟動調查。可能的結果包括:
- 指令組織停止資料處理行為
- 指令銷毀不當收集的資料
- 最高100萬新幣的罰款
- 公開執法決定(發布在PDPC網站上)
著名PDPA執法案例
| 年份 | 組織 | 違規 | 處罰 |
|---|---|---|---|
| 2019 | SingHealth | 150萬患者紀錄洩露 | S$250,000 |
| 2019 | IHiS(IT供應商) | SingHealth洩露事件中安全措施失敗 | S$750,000 |
| 2020 | Integrated Health Information Systems | 未經授權的資料揭露 | S$50,000 |
| 2021 | 多家中小企業 | 不當收集NRIC | 警告和指令 |
| 2022 | 多個組織 | 安全措施不足導致資料洩露 | 各種處罰 |
日常生活的實用PDPA建議
- 閱讀隱私政策——註冊服務前了解收集哪些資料
- 使用DNC登記處——阻止不需要的行銷訊息
- 請求刪除資料——從不再使用的服務中
- 知道何時拒絕NRIC收集——引用PDPA諮詢指南
- 舉報資料洩露——向PDPC報告
- 詢問DPO聯絡方式——當組織收集您的資料時
- 行使查閱權——了解企業持有您的哪些資料
安全地分享個人資料
根據PDPA,組織必須保護您的資料。但您在保護自己資訊方面也有責任。當您需要分享個人資料——銀行申請的NRIC、交易的財務資訊或轉介的醫療紀錄——避免透過LINE以純文字發送。
使用LOCK.PUB建立包含敏感資訊的密碼保護自毀連結。收件人輸入密碼查看,資料在設定的到期時間後消失。這最大限度降低了個人資料透過被入侵的通訊帳戶或裝置被竊而洩露的風險。
總結
PDPA賦予您在新加坡對個人資料的真實、可執行的權利。最重要的一點:您有權知道組織收集了您的哪些資料,有權拒絕不必要的收集,有權在資料被不當處理時提出投訴。
積極行使這些權利。拒絕不必要的NRIC收集,註冊DNC登記處,請求從不使用的服務中刪除資料,當需要分享個人資訊時,使用LOCK.PUB安全地進行。隱私不是奢侈品——它是新加坡法律保護的權利。
相關關鍵詞
推薦閱讀
GDPR Compliance Guide for German Businesses: Checklist & Key Requirements
DSGVO fines hit all-time highs in 2025. Complete compliance checklist including DPO requirements, breach notification, NIS2, AI Act, and DORA.
新加坡資料外洩通知義務:3天規則詳解
了解新加坡PDPA下的強制性資料外洩通知要求。3天規則、可通知外洩標準和必須遵循的步驟。
新加坡DPO任命:每家企業都必須知道的事
新加坡所有機構必須任命資料保護長。了解PDPA要求、DPO職責、資格和外包選擇。