注：本文未经金阁顿授权禁止转载，否则将视为侵权，我们将采取法律措施维护权益。

新加坡作为全球领先的国际金融中心之一，数据保护合规已成为企业日常运营中不可或缺的重要组成部分。自2012年颁布《个人数据保护法》（Personal Data Protection Act，PDPA）以来，新加坡政府不断加强对个人数据隐私的保护，确保数据处理的透明度和安全性。该法令不仅对企业如何收集、使用、披露及储存个人数据提出了具体要求，还赋予了个人对其数据的控制权，包括同意机制、访问权和更正权等。

随着数字经济的快速发展，新加坡对PDPA进行了多次修订，以提高数据隐私保护的标准。2020年11月，新加坡对PDPA的修订版本于2021年2月1日正式生效，此次修订的一个重要变化是引入了强制性数据泄露通知制度。该制度要求组织在发生数据泄露事件时，必须及时通知个人数据保护委员会（Personal Data Protection Commission，PDPC）以及受影响的个人。此外，企业必须定期审查其数据保护政策和程序，以确保其符合不断变化的法律要求。

2024年，新加坡个人数据保护委员会再次对企业任命数据保护官（Data Protection Officer，DPO）的要求进行强调。根据新加坡《2012年个人数据保护法》(PDPA) (2024年8月22修订）第11(3)条和11(5)条，在新加坡设立的经营组织必须指定一名或多名数据保护官DPO，并且必须向公众公开数据保护官DPO的业务联系信息。PDPC还鼓励相关企业在2024年9月30日前通过ACRA Bizfile+网站提交公司DPO的相关信息。

一、新加坡《个人数据保护法》（PDPA）概述

1.什么是个人数据？

个人数据是指可以通过该数据或通过该数据以及组织拥有或可能拥有的其他信息来识别个人的数据。

2.什么是PDPA？

2012年《个人数据保护法》（PDPA）是新加坡的主要数据保护法规，PDPA为新加坡的个人数据保护提供了基本标准，它对《银行法》和《保险法》等特定行业的立法和监管框架进行了补充。

PDPA涵盖了新加坡对个人数据收集、使用、披露和保管的各种要求。PDPA第3至6A部分规定了组织在收集、使用、披露、访问、更正、保管、保护、保留、传输个人数据以及通知数据泄露方面的义务（统称为“数据保护条款”）；而PDPA第9部分则规定了有关新加坡国家“谢绝来电”（DNC）登记制度的规定以及组织在向新加坡电话号码发送营销信息方面的义务（DNC条款）。个人可以在DNC登记处登记其新加坡电话号码，以避免收到来自组织的不想要的电话营销信息。

3.PDPA的目标

PDPA既承认保护个人的个人数据的必要性，也承认组织出于合法、合理的目的收集、使用或披露个人数据的必要性。

数据保护制度对于保护个人数据免遭滥用以及维持个人对管理其数据的组织的信任至关重要。

通过规范组织之间的个人数据流动，PDPA 还旨在加强新加坡作为企业信赖中心的地位。

4.PDPA的适用范围

PDPA涵盖以电子和非电子格式存储的个人数据。它通常不适用于：

▪ 任何以个人或家庭为目的的个人；

▪ 任何以组织雇员身份行事的个人；

▪ 任何与收集、使用或披露个人数据有关的公共机构；

▪ 商业联系信息，例如个人姓名、职位或头衔、商业电话号码、商业地址、商业电子邮件、商业传真号码和类似信息。

5.数据保护义务

如果组织开展与收集、使用或披露个人数据有关的活动，则必须遵守各种数据保护义务。

（1）问责义务

采取措施确保组织履行《个人数据保护法》规定的义务，例如根据要求提供有关数据保护政策、实践和投诉流程的信息，指定数据保护官 (DPO) 并向公众提供业务联系信息。

为了证明您的组织正在负责任地处理个人数据，您需要：

(a) 制定并实施数据保护政策；

(b) 向您的员工传达并告知这些政策，并通过定期的培训和宣传计划在员工中灌输组织责任感的文化；

(c) 任命一名数据保护官 (DPO)，负责确保您的组织遵守PDPA。此外，向消费者提供有关您的数据保护政策和实践的信息；以及

(d) 实施必要的流程和做法，以履行您在《个人资料保护法》下的义务。您的组织应能够证明个人数据得到妥善管理和保护。这包括将法律要求纳入政策和做法、设计数据保护，以及使用监控机制和控制措施来确保政策和流程得到有效实施。

最重要的是，作为一家负责任的企业，您的组织要对监管机构、业务合作伙伴以及委托该组织保管个人数据的个人负责。

（2）通知义务

告知个人您的组织打算收集、使用或披露其个人数据的目的。

（3）同意义务

仅收集、使用或披露个人同意的个人数据。

允许个人在合理通知的情况下撤回同意，并告知其撤回的可能后果。撤回同意后，请确保停止收集、使用或披露个人的个人数据。

（4）目的限制义务

仅收集、使用或披露个人数据，用于合理情况下个人认为适当的目的，且个人已同意的目的。

组织不得以提供产品或服务为条件，要求个人同意收集、使用或披露其个人数据，超出提供该产品或服务的合理范围。

（5）准确性义务

尽合理努力确保收集的个人数据准确且完整，特别是当这些数据可能用于做出影响个人的决定或被披露给其他组织时。

（6）保护义务

必须做出合理的安全安排来保护贵组织所拥有的个人数据，以防止未经授权的访问、收集、使用、披露或类似风险。

（7）保留限制义务

当个人数据不再需要用于任何商业或法律目的时，应停止保留或以适当的方式处理。

（8）转让限制义务

仅根据法规规定的要求将个人信息转移到另一个国家，以确保保护标准与PDPA下的保护相当，除非PDPC豁免。

（9）访问和更正义务

应个人要求，机构必须向个人提供其个人数据的访问权限，以及有关在提出要求前一年内如何使用或披露这些数据的信息。

机构还必须在更正前一年内尽快更正个人个人数据中的任何错误或遗漏，并将更正后的数据发送给披露个人数据的其他机构（或个人同意的选定机构）。

（10）数据泄露通知义务

如果发生数据泄露，组织必须采取措施评估是否需要通知。如果数据泄露可能对个人造成重大伤害和/或规模巨大，组织必须尽快通知PDPC和受影响的个人。

（11）数据可移植性义务

根据个人的要求，组织必须将其拥有或控制的个人数据传输以一种常用的机器可读格式传输给另一个组织。

二、豁免遵守《个人资料保护法》（PDPA）的请求

个人或组织可申请豁免遵守《个人资料保护法》的规定。例如：

（1）豁免转让限制义务

组织不得将任何个人数据转移到新加坡以外的国家或地区，除非根据PDPA规定的要求，以确保组织对所转移的个人数据提供与PDPA下的保护相当的保护标准。

豁免可根据PDPC规定的条件予以批准，并可随时撤销。

（2）PDPA 规定的任何条款豁免

任何个人或组织（或任何类别的个人或组织）均可在部长批准下，通过在宪报上公布的命令，获得《个人资料保护法》全部或部分条款的豁免。

申请豁免

您可以向corporate@pdpc.gov.sg提交申请，并提供以下详细信息：

▪ 寻求豁免的PDPA条款；

▪ 寻求豁免的期限；

▪ 寻求豁免的详细理由，以及支持证据；

▪ 已考虑过的替代行动方案以及这些替代方案不可行的原因；

▪ 申请豁免的个人或组织的身份，如需豁免转移限制义务，请提供待转移的个人数据类型和数量，以及转移的所有相关情况的详细信息；以及

▪ 任何其他支持信息和文件。

只有提供上述信息，豁免申请才会得到处理。

三、企业如何更好的进行数据保护

1.管理个人数据

您的组织可以采取以下步骤来更好地管理个人数据：

步骤1：任命数据保护官 (DPO)

指定至少一名人员制定贵组织的个人数据政策并监督PDPA的遵守情况。DPO职能可能是专门的职责，也可能是组织中现有职位的附加职能。

步骤2：绘制个人数据清单

制定组织拥有的所有个人数据的清单，并捕获从收集到处置的数据生命周期的详细信息。这包括但不限于：

▪ 如何以及在何处收集数据；

▪ 是否以及如何获得同意；

▪ 收集数据的目的；以及

▪ 它是如何使用的。

通过审计和索引数据清单，您的组织将能够更高效地管理个人数据。

步骤3：实施数据保护流程

在建立个人数据清单后，您的DPO应该审查组织的个人数据保护实践，并确保其符合PDPA的要求。

2.注册您的数据保护官 (DPO)

PDPA第11（3）条和第11（5）条分别规定，在新加坡经营的组织必须任命至少一个人负责确保该组织对PDPA的遵守，也即DPO，同时还应当保证该DPO的联络信息为公众所知。DPO的职责包括但不限于：

▪ 确保遵守PDPA；

▪ 培育数据保护文化；

▪ 高效处理数据查询；

▪ 个人信息风险预警管理；

▪ 必要时与PDPC联络。

在具体的工作安排及人员任用上，DPO可以被设置为一个专门的岗位，也可以由公司现有的员工兼任；同时PDPA第11（4）条还规定，被指定作为DPO的个人还可以将自己所被授予的职责分配给其他的个人，这意味着可以将DPO的角色或工作外包给服务提供商。

PDPC也相应地为企业个人数据保护工作的开展及DPO的工作提供支持。企业更新/登记了DPO信息后，相应的DPO可以享有包括有关PDPC最新资讯、针对提升数据保护能力的免费研讨、对数据泄露的关键趋势的见解等。

（1）向PDPC更新/注册

①ACRA注册实体

使用您的Corppass通过BizFile+进行更新/注册，开始之前，请准备好以下信息：

▪ Corppass上组织注册官员的登录详细信息（即所有者、董事、公司秘书）；

▪ DPO信息，包括：DPO姓名、职位、联系电话、公司电子邮件地址、公司总机号码。

注册DPO的步骤

步骤1：访问www.bizfile.gov.sg；

步骤2：选择“For Business Users”并使用您的 Corppass 登录；

步骤3：单击“eServices”>“Others”>“Register/Update Data Protection Officer(s)”；

步骤4：输入您要执行交易的实体的UEN；

步骤5：单击“Next”；

步骤6：填写必填的DPO详细信息；

步骤7：单击“Add”以添加DPO详细信息；

步骤8：选中复选框以选择接收营销相关信息；

步骤9：选中复选框以声明并确认所提交的信息属实；

步骤10：单击“Submit”以提交DPO详细信息；

步骤11：查看DPO详细信息；

步骤12：单击“Confirm”以提交DPO详细信息；

步骤13：成功提交DPO详细信息后将显示确认页面。

②非ACRA注册实体

通过PDPC在线表格注册：

https://form.gov.sg/62037533727d42001291bd3a

（2）常见问题解答

①必须通过BizFile+注册我所在组织的DPO吗？

法律规定，组织必须任命一名DPO负责确保遵守PDPA，并向公众公开DPO的业务联系信息。通过ACRA的BizFile+注册您的DPO将满足此PDPA的义务，建议尽早完成。

②所有组织都必须任命一名DPO吗？

是的，所有组织（包括独资企业）都必须指定至少一名人员（DPO）负责确保组织遵守 PDPA。组织还必须确保至少一名DPO的业务联系信息向公众公开。业务联系信息可以是组织的一般电话或电子邮件地址。

③我应该任命谁作为我的组织的DPO？

DPO可能是工作范围仅与数据保护有关的个人，也可能是组织内将此角色作为其多项职责之一的个人。理想情况下，DPO应该是：

▪ 是高级管理层成员或与高级管理层有直接报告关系；并且

▪ 拥有足够的技能、知识和权力来推动组织的数据保护政策和实践。

建议DPO参加PDPA基础知识课程

（https://www.pdpc.gov.sg/help-and-resources/2019/11/fundamentals-of-the-personal-data-protection-act），以深入了解PDPA和PDP从业者证书（新加坡）， 从而获得为组织制定健全的数据保护政策和实践所需的知识和技能。如果您符合资格标准，这些课程有资格获得SkillsFuture的资助。

人力有限的组织可以将DPO职能的运营方面外包给服务提供商。需要明确的是，组织遵守PDPA仍然是组织的责任。

④如果我收到一封电子邮件，要求我向PDPC注册我的DPO，那么错过电子邮件中规定的截止日期是否会受到处罚？

虽然如果您错过截止日期也不会受到处罚，但PDPC强烈建议您尽快通过BizFile+注册您的DPO。PDPC可能会对无法证明遵守PDPA任命DPO的组织采取行动，包括向公众提供DPO的业务联系信息。

⑤如果未能任命DPO，PDPC将对我的组织采取什么行动？

PDPC针对组织未能任命DPO采取的具体执法行动将取决于数据泄露事件的情况、组织不遵守PDPA的情况及其纠正情况的反应。执法结果可能包括警告、指示或经济处罚。因此，组织必须遵守PDPA规定的任命DPO的要求，并确保适当的数据保护治理。

⑥当DPO任命发生变化时，我必须多久更新DPO信息？

强烈建议您尽快向PDPC注册您指定的DPO。确保DPO信息准确且最新非常重要，因为这些信息将公开，并被个人用于就数据保护事宜联系您的DPO。

⑦控股公司（没有员工）是否必须任命DPO？

是的，组织对其拥有或控制的所有个人数据负责，这可能不仅涉及员工的数据，还涉及客户或股东等其他人的个人数据。PDPA要求组织指定一名或多名个人负责确保遵守PDPA。

⑧如果我的组织处于停业状态、正在进行清算或将在几个月内停止运营，我是否需要任命一名DPO？

是的，只要组织正在收集、使用和披露个人数据，或拥有或控制个人数据，就必须确保遵守PDPA，这包括任命DPO。但是，如果您的DPO联系信息已公开，则通过BizFile+注册是自愿的。

⑨DPO必须是驻扎在新加坡的新加坡雇员或新加坡永久居民吗？

PDPA并未规定DPO的国籍和其应驻扎在何处。此外，DPO不必是该组织的雇员。

但是，为了符合PDPA的要求，提供业务联系信息的DPO必须能够在新加坡公众试图联系他时联系到他。为清楚起见，使用新加坡电话号码并不是强制性的，但强烈建议您这样做以简化沟通流程。

3.数据保护基本计划

PDPC和资讯通信媒体发展局 (IMDA) 提供数据保护基本要素 (DPE) 框架，支持中小企业 (SME) 获得基本级别的数据保护和安全实践，以保护其客户的个人数据、与利益相关者建立信任并在发生数据泄露时快速恢复。

强烈建议新加坡的中小企业在数字化过程中参考DPE框架，以确保您的组织负责任地处理客户的个人数据。

实施DPE将通过以下方式使您的组织受益：

▪ 通过基本级别的数据保护和网络安全实践，组织可以保护客户的个人数据，并在发生数据泄露时迅速恢复；

▪ 如果发生数据泄露，PDPC可能会在决定执法结果时积极考虑组织对DPE框架的实施情况；

▪ 个人数据保护委员会 (PDPC)和新加坡网络安全局 (CSA)开发的工具和资源可帮助中小企业向客户展示更大的责任感并在长期内提高企业竞争力。

4.数据保护信任标志

PDPC和资讯通信媒体发展局 (IMDA) 开发了数据保护信任标志(DPTM) 认证，以帮助您的组织证明其遵守PDPA。

DPTM改编自PDPA和国际基准及最佳实践，将成为贵公司采用完善的数据保护实践的明显指标。它有助于加强与客户、业务合作伙伴和监管机构的信任，从而提高业务竞争力。

获得该认证将为您的组织带来以下好处：

▪ DPTM可以作为一种问责工具，向您的客户、业务合作伙伴和监管机构证明您的组织采用负责任的数据保护实践来管理个人数据；

▪ 获得DPTM认证的数据中介/第三方可以向其客户保证其负责任的数据保护政策和实践；

▪ 如果发生数据泄露，DPTM可作为避免执法行动的缓解因素；此外，根据PDPC 的主动执法框架，能够证明负责任的数据保护做法的PDPC和/或DPTM认证组织可启动承诺流程。

认证计划由资讯通信媒体发展局 (IMDA) 管理。

如果您想了解更多关于新加坡公司注册的内容，您可以查看以下文章：

【新加坡公司注册·实操问题解答】（一）在新加坡什么样的收入需缴纳企业所得税？

【新加坡公司注册·实操问题解答】（二）在新加坡，新设立的初创企业普惠税收减免政策以及注意事项是什么？

【新加坡公司注册·实操问题解答】（三）在新加坡，企业如何索回注册成立之前的消费税

【新加坡公司注册·实操问题解答】（四）在新加坡，什么情况下可以豁免举行公司年度股东大会？

【新加坡公司注册·实操问题解答】（五）持有EP准证，可以担任另一家新加坡公司董事吗？

【新加坡公司注册·实操问题解答】（六）新加坡公司登记抵押相关注意事项

如果您有在新加坡注册公司或其他企业实体如可变资本公司（VCC）、有限合伙（LP）等的需要，请扫描下方二维码，咨询金阁顿专业顾问。我们将为您提供全方位的咨询服务，确保您的企业注册过程顺利高效。

金阁顿(GolddenGroup)成立于花园城市新加坡，专业服务高净值家族和专业金融机构。主打业务有新加坡家族办公室/家族基金设立，私募基金（VCC及子基金）备案，PPLI，境外资产管理，新加坡移民，和境外保单，是您新加坡一站式的家族管家。金阁顿，为您的下一代继续服务。