Loading…
新加坡的PDPA是一部审慎而务实的隐私法,自2020年修订以来已显著成熟。它采用基于义务的框架,而非GDPR的合法依据列举方式,通过Do Not Call注册系统整合了直接营销规则,并将罚款上限设定为新加坡营业额的10%。对于总部位于亚太地区的企业而言,PDPA往往是全球隐私计划实际落地的基础。
| 维度 | 🇪🇺 GDPR | 🇸🇬 PDPA |
|---|---|---|
| 法律文书 | 条例(欧盟)2016/679 | 《2012年个人数据保护法》(2012年第26号法案);2020年修订对其进行了大幅强化 |
| 监管机构 | 27个欧盟成员国数据保护机构 + EDPB | 个人数据保护委员会(PDPC) |
| 结构性方法 | 合法依据列举(第6条);以权利为基础(第三章) | 以义务为基础——9项核心义务 + Do Not Call制度 + 违规通知 |
| 最高罚款 | 2000万欧元或全球营业额的4%(第83条第(5)款) | 上限为S$100万;对于在新加坡年营业额超过S$1000万的机构,最高为年营业额的10% |
| 较低级别罚款 | 1000万欧元或全球营业额的2% | 相同的每次违规上限;因违规类型而异 |
| 同意模式 | 选择加入(六项合法依据之一) | 同意义务 + 推定同意(基于通知)+ 合法权益例外 |
| 合法依据 | 六项——同意、合同、法律义务、重大利益、公共任务、合法权益 | 同意或13项法定例外之一(附表1–2) |
| 通知要求(同意) | 在收集时提供隐私声明 | 通知义务——在收集前/收集时告知目的 |
| 访问权 | 第15条——在1个月内确认 + 提供副本 | 访问义务——在合理时间内,可收取费用 |
| 更正权 | 第16条 | 更正义务 |
| 可携权 | 第20条——结构化、常用的格式 | 是的——由2020年修订新增 |
| 删除权 | 第17条 | 通过保留限制义务隐含体现;2020年之前没有独立的删除权 |
| DPO要求 | 在特定情形下强制要求(第37条) | 对所有控制者强制要求(PDPA第11(3)条)——必须公布姓名和联系方式 |
| 违规通知 | 72小时内通知监管机构 + 若高风险则通知数据主体 | 72小时内通知PDPC + 通知受影响个人——门槛:重大损害或500人及以上 |
| 跨境传输 | SCC、BCR、充分性认定(第五章) | 传输限制——可比保护评估;合同保障措施 |
| 直接营销 | 需要合法依据 + ePrivacy规则 | Do Not Call注册义务;同意 + 选择退出架构 |
| 敏感数据 | 第9条——特殊类别数据,明确同意 + 条件 | 无正式的敏感类别——通过针对特定目的的同意来处理 |
| 儿童数据 | 默认年龄为16岁(成员国可降至13岁) | 13岁以下——需父母同意 |
| 数据保护信任标志 | 无正式方案 | 是的——自愿认证(PDPA DPTM) |
| 开始实施制裁 | 2018年5月 | 实质性制裁自2014年开始;2020年修订强化了上限结构 |
基本如此。需根据第11(3)条任命一名DPO并公开其联系方式,在适用情况下针对DNC注册系统登记直接营销活动,确保在72小时内向PDPC进行违规通知,并核实从新加坡向外传输的传输限制保障措施。
新加坡设有全国性的Do Not Call注册系统。在向新加坡号码发送电话营销语音、短信或传真通信之前,机构必须对照相关的DNC注册册(语音、短信、传真)进行核查。违规行为根据PDPA单独处罚。
由IMDA管理的自愿认证。证明持有者符合PDPA要求——对于B2B销售而言是有用的信任信号,尤其是面向政府和金融行业的买家。
适度但持续。PDPC公布执法决定,并已对SingHealth(S$25万)、Integrated Health Information Systems(S$75万)等机构以及多家因DNC违规的营销机构处以数百万美元的罚款。
并非严格要求。DPO必须可通过公布的新加坡联系方式联系到,但不必是新加坡居民。RegulatoryBridge通常任命一名在新加坡有业务存在的区域DPO。
控制措施映射一次,合规两次。RegulatoryBridge为您提供单一的DSAR流程、单一的DPO、单一的泄露应急手册——同时涵盖两种框架。