書面答覆 · 2026-05-05 · 屆國會 15
檢討 2012 年個人資料保護法以應對 AI 生成的推斷或衍生資料的使用
工人黨議員陳立峰書面質詢數字發展與信息部:是否打算檢討 2012 年《個人資料保護法》(PDPA),以應對推斷或衍生資料——包括 AI 生成的行為畫像——的使用;若是,檢討將遵循什麼原則。部長楊莉明答覆:PDPA 下關於可識別個人的資料即屬個人資料,機構對其持有或控制的此類資料負有保護義務,也涵蓋機構在業務中從個人資料衍生的資料;個人資料保護委員會(PDPC)已釋出 AI 推薦與決策系統個人資料使用諮詢指引,原則包括僅用於正當商業目的、收集限於所需。答覆實質上否定修法迫切性——政府認為現行定義已覆蓋衍生資料,輔以軟性指引即可,而議員指向的 AI 行為畫像新型風險未獲專門立法回應。
關鍵要點
- • 政府認定 PDPA 現有定義已涵蓋業務過程中衍生的個人資料
- • PDPC 已釋出 AI 推薦與決策系統個人資料使用諮詢指引
- • 指引原則:僅用於正當商業目的、收集限於所需
- • 未承諾針對 AI 行為畫像啟動 PDPA 修法檢討
政府認為 PDPA 對個人資料的現有定義已覆蓋機構在業務中衍生的資料,配合 PDPC 的 AI 諮詢指引即可應對,無需立即修法。
工人黨議員陳立峰認為 AI 生成的推斷資料和行為畫像構成新型風險,應通過檢討 PDPA 給予專門立法回應。
新加坡在 AI 時代的資料保護上延續“現行法 + 軟性指引”路線,短期內不會為 AI 推斷資料單獨修法。
“這也涵蓋機構在業務過程中從此類個人資料衍生出的關於該個人的資料。”
參與人員 (2)
完整譯文(中文)
Hansard 原始記錄 · 2026-06-09
39 Dennis Tan Lip Fong議員詢問數字發展及信息部長:(a) 部是否打算審查《2012年個人資料保護法》以應對推斷或衍生資料的使用,包括由人工智慧系統生成的行為檔案;(b) 如果是,將由哪些原則指導該審查。
Mrs Josephine Teo:根據《個人資料保護法》,關於可識別個人的資料被視為個人資料,組織有責任保護其所擁有或控制的此類資料。這也涵蓋組織在業務過程中從此類個人資料衍生出的關於該個人的資料。
Personal Data Protection Commission已釋出《人工智慧(AI)推薦及決策系統個人資料使用諮詢指南》。該指南規定了指導組織和消費者在人工智慧系統中負責任地收集和使用個人資料的原則,例如僅為合法商業目的使用資料和將資料收集限制在必要範圍。
英文原文
SPRS Hansard · Fetched: 2026-06-09
39 Mr Dennis Tan Lip Fong asked the Minister for Digital Development and Information (a) whether the Ministry intends to review the Personal Data Protection Act 2012 to address the use of inferred or derived data, including behavioural profiles generated by Artificial Intelligence systems; and (b) if so, what principles will guide such a review.
Mrs Josephine Teo : Under the Personal Data Protection Act, data about an identifiable individual is considered personal data and an organisation has obligations to safeguard such data in its possession or control. This also covers data about the individual that an organisation derives in the course of business from such personal data.
The Personal Data Protection Commission has published Advisory Guidelines on the Use of Personal Data in Artificial Intelligence (AI) Recommendation and Decision Systems. It sets out principles to guide organisations and consumers on the responsible collection and use of personal data in AI systems, such as using data only for legitimate business purposes and limiting data collection to what is needed.