新加坡《个人数据保护法》规定的11项义务是什么？

在新加坡的商业环境中，处理个人数据是日常工作。然而，这项看似平常的工作却蕴含着重要的法律责任。《个人数据保护法》（PDPA）规定了机构如何管理个人信息的规则，并建立了一个基于信任和责任的框架。对于任何企业而言，理解这些规则不仅关乎法律合规，更是维护客户信任和良好声誉的根本所在。

对于企业主和管理团队而言，应对《个人数据保护法》(PDPA) 的复杂法律条款可能令人望而生畏。然而，合规不仅仅是为了避免处罚，更是为了建立与客户和员工之间的信任。当人们知道他们的数据在您这里是安全的，他们就更有可能与您的品牌互动。

《个人数据保护法》(PDPA) 概述了一系列义务，涵盖从数据收集到销毁的整个数据生命周期。近期修订案扩展了这些义务，使每个组织必须遵守的关键义务总数达到 11 项。本指南对每项义务进行了清晰、结构化的概述，帮助您自信地应对数据保护挑战。掌握这些原则，您可以将合规从一项挑战转化为一项战略资产。

---

关键精华

• 优先考虑遵守《个人数据保护法》，以建立客户信任并获得竞争优势。
• 任命一名数据保护官（DPO），以体现问责制并监督合规性。
• 针对数据整个生命周期（从收集到安全处置）实施健全的策略。
• 制定明确的程序，以便在发生数据泄露时通知个人数据保护委员会和相关个人。
• 将数据保护融入您的业务战略，以降低风险并提升您的声誉。

---

数据保护的基础

此 个人资料保护法 由个人数据保护委员会 (PDPC) 管理。其主要目标是规范组织机构收集、使用和披露个人数据的行为，既承认个人的权利，也承认隐私权。 保护他们的数据 以及组织出于合法目的需要收集这些信息。

合规始于理解“规则”。这些规则被定义为数据保护义务。尽管最近的修订引入了一些新的要求（例如数据泄露通知），但其核心框架仍然建立在这九项基本义务之上。

1.问责义务

问责义务是《个人数据保护法》框架的基石。它将思维模式从“勾选选项”转变为对所拥有或控制的个人数据承担积极责任。

具体内容：
贵机构必须采取措施，确保履行《个人数据保护法》（PDPA）规定的义务。这并非一项被动的要求，而是需要提供切实可行的合规证据。

企业面临的主要需求：

• 任命一名数据保护官 (DPO)： 您必须指定至少一名人员负责监督数据保护工作。他们的业务联系信息必须公开，以便公众可以就咨询或投诉与他们联系。
• 制定政策： 您需要实施数据保护政策和措施。
• 透明度： 这些政策以及你们的投诉处理流程，必须应公众要求予以公开。

履行这一义务，就向利益相关者表明，数据隐私是董事会的优先事项。

相关阅读： 为您的新加坡公司选择数据保护官的指南

2. 通知义务

透明度是信任的关键。个人有权在提供信息之前知道你需要他们信息的原因。

具体内容：
您必须告知个人贵组织收集、使用或披露其个人数据的具体目的。此通知必须在收集数据之时或之前发出。

企业面临的主要需求：

• 清晰的隐私声明： 请确保您的网站、表格和合同包含清晰的隐私声明。
• 通俗易懂的语言： 避免使用法律术语。通知内容应通俗易懂，让普通人都能理解。
• 新的目标： 如果您打算将现有数据用于与最初通知的用途不同的新用途，则必须在使用该数据之前再次通知相关个人。

3. 同意义务

仅通知是不够的；通常还需要获得个人的许可。

具体内容：
未经个人同意，您不得收集、使用或披露个人数据，除非该个人已就特定目的给予同意。

企业面临的主要需求：

• 选择加入机制： 使用主动选择加入的方式（例如勾选复选框），而不是预先勾选的复选框。
• 推定同意： 在特定情况下，如果个人出于明显目的自愿提供数据（例如，提供收货地址以接收包裹），则可视为已给予同意。
• 撤回同意： 您必须允许个人在收到合理通知后随时撤回其同意。您还必须告知他们撤回同意可能产生的后果（例如，无法继续提供服务），并在同意撤回后立即停止处理其数据。

4. 目的限制义务

这项义务可以防止数据被“囤积”以备将来不明用途。

具体内容：
您仅可出于合理人士在特定情况下认为适当的目的收集、使用或披露个人数据。此外，您必须遵守个人已同意的用途。

企业面临的主要需求：

• 合理性检验： 问问自己，收集这些数据是否真的必要。例如，要求注册一个简单的零售会员计划就必须提供完整的身份证号码，这可能并不合理。
• 不超额收取： 您不能要求个人同意收集超出提供产品或服务合理范围的个人数据。您不能以不必要的数据为筹码，将服务“挟持”给对方。

5. 准确性义务

基于错误数据做出的决策可能会对个人造成伤害。这项义务旨在确保您所依赖的数据是正确的。

具体内容：
组织必须尽合理努力确保所收集的个人数据准确完整。

企业面临的主要需求：

• 验证： 如果数据可能用于做出影响个人的决定（例如信用评估或就业机会），或者可能披露给其他组织，那么这一点至关重要。
• 定期更新： 实施数据收集后的验证流程，并允许个人轻松更新其个人信息。

6. 保护义务

收集数据意味着承诺保护数据安全。这或许是技术上要求最高的义务。

具体内容：
您必须采取合理的安全措施来保护您所持有或控制的个人数据。这旨在防止未经授权的访问、收集、使用、披露、复制、修改、处置或类似风险。

企业面临的主要需求：

• 网络安全措施： 对数字数据实施防火墙、加密和安全认证方法。
• 物理安全： 不要忽视纸质文件。将敏感文件存放在上锁的柜子中，并限制只有授权人员才能访问。
• 供应商管理： 如果您使用第三方供应商（中介机构）处理数据，则必须确保他们也采取了足够的安全措施。

7. 留存限制义务

数据不应“以防万一”而无限期保存。

具体内容：
一旦有理由认为出于法律或商业目的不再需要保留个人数据，则必须停止保留个人数据，或删除将数据与特定个人关联起来的方法（匿名化）。

企业面临的主要需求：

• 处置政策： 制定数据保留政策，明确不同类型的数据需要保留多长时间。
• 妥善销毁： 数据过期后，必须安全销毁。这意味着销毁纸质文件，并使用安全删除软件处理数字文件，确保它们无法被恢复。

8. 转让限制义务

在全球化经济中，数据经常跨境流动。《个人数据保护法》确保数据在流动过程中得到保护。

具体内容：
只有确保所传输的数据所受到的保护标准与《个人数据保护法》规定的保护标准相当，才能将个人数据传输到新加坡以外的国家或地区。

企业面临的主要需求：

• 具有约束力的协议： 通常情况下，这需要与海外接收方签订包含具体数据保护条款的合同。
• 云储存： 如果您使用托管在海外的云服务器，则必须确认服务提供商符合新加坡法律要求的保护标准。
• 例外： 如果符合特定豁免条件，例如在向个人说明风险后获得其明确同意，则允许进行转移。

9. 查阅和更正义务

即使个人与您分享了数据，他们仍然对其数据拥有所有权。

具体内容：
这项义务包含两部分。首先，应个人要求，您必须向其提供查阅其个人数据的权限，以及在提出请求前一年内如何使用或披露这些数据的信息。其次，您必须在切实可行的情况下尽快更正其个人数据中的任何错误或遗漏。

企业面临的主要需求：

• 访问请求： 您必须制定处理这些请求的流程。您可以收取合理的费用来支付检索数据的成本。
• 更正请求： 如果错误得到纠正，通常需要将更正后的数据发送给在更正前一年内已向其披露个人数据的其他组织。
• 例外： 在某些特定情况下，您可以或必须拒绝访问（例如，如果泄露有关其他个人的个人数据或威胁安全）。

10. 数据泄露通知义务

这项新义务要求在发生数据泄露时采取行动。它要求您评估泄露事件，并在符合特定标准时通知相关方。

企业面临的主要需求：

• 评估违规情况： 如果发生数据泄露，您必须评估它是否可能对受影响的个人造成重大损害，或者其规模是否重大。
• 通知个人数据保护委员会和个人： 如果违规行为属于应予通知的范畴，您必须尽快通知个人数据保护委员会 (PDPC) 和受影响的个人，通常应在三个日历日内通知。

11. 数据可移植性义务

这项权利也称为数据可移植权，赋予个人将其数据从一个组织传输到另一个组织的权利。

企业面临的主要需求：

• 促进数据传输： 根据个人要求，您必须以常用的、机器可读的格式将其数据传输给其他组织。
• 了解范围： 此项义务适用于以电子格式保存的用户提供的数据和用户活动数据。请注意，此项义务将在相关法规颁布后生效。

---

为什么合规是不可谈判的？

履行《个人数据保护法》规定的这11项义务是一个持续的过程，需要贵公司各个层级的共同努力。不合规可能导致巨额罚款，更重要的是，会失去客户信任，而这种信任很难重新获得。

将这些原则融入到您的业务运营中，您就能构建一个强大的数据保护框架。这不仅能保护您的组织免受法律风险的影响，还能在日益重视数据的世界中，巩固您作为值得信赖的合作伙伴的品牌形象。

---

轻松保持合规

《个人数据保护法》（PDPA）规定的11项义务构成了一个全面的数据安全框架。虽然实施这些措施需要时间和资源，但这却是对企业可持续发展的一项投资。

首先，请对照这份清单审查您现有的政策。找出不足之处，任命一位称职的数据保护官，并确保您的团队接受过相关培训。请记住，在数字化时代，健全的数据保护策略不仅是法律要求，更是竞争优势。了解如何在我们的帮助下着手实施。 联系我们的团队 现在！

更多商业博客