Loading…
싱가포르의 PDPA는 사려 깊고 실용적인 개인정보보호법으로, 2020년 개정 이후 상당히 성숙해졌습니다. GDPR의 적법 근거 열거 방식이 아닌 의무 기반 프레임워크를 사용하며, Do Not Call 등록부를 통해 다이렉트 마케팅 규칙을 통합하고, 과징금 상한을 싱가포르 매출의 10%로 설정합니다. 아시아태평양에 본사를 둔 기업의 경우, PDPA는 글로벌 개인정보보호 프로그램이 실제로 구축되는 토대가 되는 경우가 많습니다.
| 항목 | 🇪🇺 GDPR | 🇸🇬 PDPA |
|---|---|---|
| 법적 수단 | 규정(EU) 2016/679 | 2012년 개인정보보호법(2012년 제26호 법률); 2020년 개정으로 상당히 강화됨 |
| 규제 기관 | 27개 EU 회원국 DPA + EDPB | 개인정보보호위원회(PDPC) |
| 구조적 접근 | 적법 근거 열거(제6조); 권리 기반(제3장) | 의무 기반 — 9개 핵심 의무 + Do Not Call 제도 + 침해 통지 |
| 최대 과징금 | 2천만 유로 또는 글로벌 매출의 4%(제83조(5)) | S$100만 상한; 싱가포르 내 연 매출 S$1천만 초과 조직의 경우 연 매출의 최대 10% |
| 하위 단계 과징금 | 1천만 유로 또는 글로벌 매출의 2% | 동일한 침해당 상한; 위반 유형에 따라 다름 |
| 동의 모델 | 옵트인(6가지 적법 근거 중 하나) | 동의 의무 + 간주 동의(통지 기반) + 정당한 이익 예외 |
| 적법 근거 | 여섯 가지 — 동의, 계약, 법적 의무, 중대한 이익, 공적 임무, 정당한 이익 | 동의 또는 13가지 법정 예외 중 하나(부칙 1–2) |
| 통지 요건(동의) | 수집 시점의 개인정보 처리방침 고지 | 통지 의무 — 수집 전/수집 시 목적 전달 |
| 열람권 | 제15조 — 1개월 이내 확인 + 사본 제공 | 열람 의무 — 합리적 기간 이내, 수수료 부과 가능 |
| 정정권 | 제16조 | 정정 의무 |
| 이동권 | 제20조 — 구조화되고 일반적으로 사용되는 형식 | 예 — 2020년 개정으로 추가됨 |
| 삭제권 | 제17조 | 보유 제한 의무를 통해 묵시적으로 인정; 2020년 이전에는 독립적인 삭제권 없음 |
| DPO 요건 | 정해진 경우에 의무(제37조) | 모든 컨트롤러에 의무(PDPA 제11(3)조) — 성명과 연락처를 공개해야 함 |
| 침해 통지 | 감독기관에 72시간 + 고위험 시 정보주체에 통지 | PDPC에 72시간 + 영향받은 개인에게 통지 — 기준: 중대한 피해 또는 500명 이상 |
| 국경 간 이전 | SCC, BCR, 적정성(제5장) | 이전 제한 — 동등 보호 평가; 계약상 보호장치 |
| 다이렉트 마케팅 | 적법 근거 필요 + ePrivacy 규칙 | Do Not Call 등록부 의무; 동의 + 옵트아웃 구조 |
| 민감 데이터 | 제9조 — 특별 범주 데이터, 명시적 동의 + 조건 | 공식적인 민감 범주 없음 — 목적별 동의를 통해 처리 |
| 아동 데이터 | 기본 연령 16세(회원국은 13세까지 낮출 수 있음) | 13세 미만 — 부모 동의 |
| 데이터 보호 신뢰 마크 | 공식 제도 없음 | 예 — 자발적 인증(PDPA DPTM) |
| 제재 시작 | 2018년 5월 | 실질적 제재는 2014년 시작; 2020년 개정으로 상한 구조 강화 |
대체로 그렇습니다. 공개적으로 이용 가능한 연락처를 갖춘 제11(3)조에 따른 DPO를 임명하고, 해당되는 경우 DNC 등록부를 대조하여 다이렉트 마케팅 캠페인을 등록하며, PDPC에 72시간 이내 침해 통지를 보장하고, 싱가포르 밖으로의 이전에 대한 이전 제한 보호장치를 확인하십시오.
싱가포르는 국가 Do Not Call 등록부를 운영합니다. 싱가포르 번호로 텔레마케팅 음성, SMS, 팩스 통신을 발송하기 전에 조직은 해당 DNC 등록부(음성, 문자, 팩스)를 대조하여 확인해야 합니다. 위반은 PDPA에 따라 별도로 처벌됩니다.
IMDA가 운영하는 자발적 인증입니다. 보유자의 PDPA 준수를 입증합니다 — 특히 정부 및 금융 부문 구매자를 대상으로 하는 B2B 영업에 유용한 신뢰 신호입니다.
적당하지만 일관적입니다. PDPC는 집행 결정을 공표하며 SingHealth(S$25만), Integrated Health Information Systems(S$75만)와 같은 조직 및 DNC 위반에 대한 여러 마케팅 조직에 수백만 달러의 과징금을 부과해 왔습니다.
엄격히 필요한 것은 아닙니다. DPO는 공개된 싱가포르 연락처로 연락 가능해야 하지만, 싱가포르 거주자일 필요는 없습니다. RegulatoryBridge는 일반적으로 싱가포르에 거점을 둔 지역 DPO를 임명합니다.
통제 항목을 한 번 매핑하면 두 번 준수합니다. RegulatoryBridge는 단일 DSAR 파이프라인, 단일 DPO, 단일 침해 대응 매뉴얼을 제공하여 — 두 프레임워크를 모두 커버합니다.