PDPC

PDPC 的核心职能：

• PDPA 执法：处理数据泄露通报、消费者投诉、罚款决定（最高 SGD 100 万或营收 10%）
• 指引发布：发布行业适用的数据保护指引（金融、医疗、教育、科技等）
• DPO（数据保护官）认证：要求企业指定数据保护官，PDPC 提供培训
• AI 数据治理指引：与 IMDA 合作发布 AI 系统使用个人数据的具体规则

与 AI 直接相关的 PDPC 动作：

• 2024 GenAI Personal Data 指引：明确 LLM 训练能否使用个人数据、生成内容侵权责任
• 跨境数据流动规则：影响海外 AI 服务在新加坡的合规成本
• 同意机制创新：支持"目的限定 + 替代同意"等灵活机制，给 AI 训练数据合规留口子

PDPC 的执法风格相对温和，更多走"指引 + 整改"路线，重大处罚案例不算多。但 PDPA 的存在本身就让所有 AI 玩家必须把"数据合规"作为第一性约束。

PDPC 在 AI 治理体系里是"数据使用许可的看门人"。

任何 AI 系统在新加坡运营都要回答 PDPC 的两个问题：

• 训练数据合规：你的训练语料里有没有个人数据？如果有，是否取得了合法同意？
• 推理时合规：你的 AI 服务推理时使用用户数据是否合规？数据是否跨境传输？

这两个问题对 LLM 玩家尤其麻烦：

• 通用 LLM 训练几乎不可能完全避开个人数据（互联网爬取语料中必然包含）
• LLM 服务推理时的对话内容也是个人数据
• 跨境调用海外 LLM API（如 OpenAI）涉及数据出境

PDPC 在 2024 年的 GenAI 指引里给了一些松绑：明确"商业利益例外"、"公开数据训练"等场景的合规路径。但核心约束没变——你必须能解释数据从哪来、用到哪去、如何最小化。

技术层面，PDPC 的指引推动了几个本地实践：

• 联邦学习（Synergos 等）的研发
• 差分隐私在金融业的应用
• 本地化 LLM（如 SEA-LION 在金融场景）的合规优势

PDPC 是新加坡 AI 治理的"数据维度"——和 IMDA 的"伦理维度"、MAS 的"行业维度"形成三角。

在「七条传导杠杆」里：

• 杠杆 4（治理）：数据合规的执法主体
• 杠杆 6（外交）：PDPA 与 GDPR 的部分等价让新加坡在数据跨境合作上有优势

观点：PDPC 的存在让"主权 AI" / "本地化 AI"在新加坡有真实的商业理由——SEA-LION、本地金融业 LLM 等本地化路线不只是"民族叙事"，而是 PDPA 合规约束的直接结果。如果新加坡没有 PDPA，企业可以无脑用 OpenAI / Anthropic，本地 AI 价值会被稀释。

这也解释了为什么 PDPC 在 GenAI 时代相对克制：它知道如果监管太严会让本地 AI 落地停滞，监管太松会让数据隐私崩塌——它在走"务实合规"的中间路线。

可观察的张力：PDPC vs MAS 的协调（金融业 AI 同时受两家监管）、PDPC 与 AI Verify 的关系（数据合规 vs 模型治理）、跨境数据流动规则（影响 SEA-LION 训练数据来源、海外 API 使用）。