PDPC

PDPC의 핵심 직능：

• PDPA 집행：데이터 유출 통보, 소비자 불만, 벌금 결정 처리(최대 SGD 100만 또는 매출액의 10%)
• 지침 발표：산업 적용 가능한 데이터 보호 지침 발표(금융, 의료, 교육, 기술 등)
• DPO(데이터 보호 담당자) 인증：기업이 데이터 보호 담당자 지정 요구, PDPC 제공 교육
• AI 데이터 거버넌스 지침：IMDA와 협력하여 AI 시스템의 개인데이터 사용 구체적 규칙 발표

AI와 직접 관련된 PDPC 조치：

• 2024 GenAI Personal Data 지침：LLM 훈련 시 개인데이터 사용 가능 여부, 생성 콘텐츠 저작권 침해 책임 명확화
• 국경 간 데이터 흐름 규칙：해외 AI 서비스의 싱가포르 준수 비용에 영향
• 동의 메커니즘 혁신：「목적 제한 + 대체 동의」등 유연한 메커니즘 지원, AI 훈련 데이터 준수에 여지 제공

PDPC의 집행 스타일은 상대적으로 온건하며, 「지침 + 개선」 경로를 더 많이 따릅니다. 중대 제재 사례는 많지 않습니다. 하지만 PDPA의 존재 자체만으로도 모든 AI 플레이어는 「데이터 준수」를 제1 원칙적 제약으로 간주해야 합니다.

PDPC는 AI 거버넌스 체계에서 「데이터 사용 허가의 게이트키퍼」입니다.

싱가포르에서 운영되는 모든 AI 시스템은 PDPC의 두 가지 질문에 답해야 합니다：

• 훈련 데이터 준수：훈련 코퍼스에 개인데이터가 있나요? 있다면 적법한 동의를 획득했나요?
• 추론 시 준수：AI 서비스 추론 시 사용자 데이터 사용이 준수되나요? 데이터가 국경을 넘어 전송되나요?

이 두 질문은 LLM 플레이어들에게 특히 까다롭습니다：

• 범용 LLM 훈련은 개인데이터를 완전히 피하기 거의 불가능합니다(인터넷 크롤링 코퍼스에는 필연적으로 포함됨)
• LLM 서비스 추론 시 대화 내용도 개인데이터입니다
• 해외 LLM API 호출(OpenAI 등)은 데이터 국경 이동을 포함합니다

PDPC는 2024년 GenAI 지침에서 일부 규제 완화를 제공했습니다：「상업 이익 예외」、「공개 데이터 훈련」 등 시나리오의 준수 경로를 명확히 했습니다. 하지만 핵심 제약은 변하지 않았습니다——데이터가 어디서 오는지, 어디에 사용되는지, 어떻게 최소화하는지 설명할 수 있어야 합니다.

기술 차원에서 PDPC의 지침은 몇 가지 본지 관행을 추진했습니다：

• Synergos 등의 연합 학습 연구 개발
• 금융업의 차분 프라이버시 응용
• SEA-LION 등 금융 시나리오의 로컬화된 LLM의 준수 이점

PDPC는 싱가포르 AI 거버넌스의 「데이터 차원」입니다——IMDA의 「윤리 차원」、MAS의 「산업 차원」과 삼각형을 형성합니다.

「7개의 전달 레버」에서：

• 레버 4(거버넌스)：데이터 준수의 집행 주체
• 레버 6(외교)：PDPA와 GDPR의 일부 동등성으로 싱가포르가 데이터 국경 간 협력에서 이점을 보유

관점：PDPC의 존재는 싱가포르에서 「주권 AI」/ 「로컬화된 AI」에 진정한 상업적 이유를 부여합니다——SEA-LION, 본지 금융업 LLM 등 로컬화 경로는 단지 「민족 서사」가 아니라 PDPA 준수 제약의 직접적 결과입니다. 싱가포르에 PDPA가 없다면, 기업은 OpenAI / Anthropic을 무분별하게 사용할 수 있고, 본지 AI 가치는 희석될 것입니다.

이는 또한 PDPC가 GenAI 시대에 상대적으로 신중한 이유를 설명합니다：감시가 너무 엄격하면 본지 AI 도입이 정체될 것이고, 너무 느슨하면 데이터 개인정보 보호가 붕괴될 것임을 알고 있습니다——「실용적 준수」의 중간 경로를 가고 있습니다.

관찰 가능한 긴장：PDPC vs MAS의 조율(금융 AI가 두 기관의 규제를 동시에 받음)、PDPC와 AI Verify의 관계(데이터 준수 vs 모델 거버넌스)、국경 간 데이터 흐름 규칙(SEA-LION 훈련 데이터 출처, 해외 API 사용에 영향).