PDPC

PDPC 的核心職能：

• PDPA 執法：處理資料洩露通報、消費者投訴、罰款決定（最高 SGD 100 萬或營收 10%）
• 指引發布：釋出行業適用的資料保護指引（金融、醫療、教育、科技等）
• DPO（資料保護官）認證：要求企業指定資料保護官，PDPC 提供培訓
• AI 資料治理指引：與 IMDA 合作釋出 AI 系統使用個人資料的具體規則

與 AI 直接相關的 PDPC 動作：

• 2024 GenAI Personal Data 指引：明確 LLM 訓練能否使用個人資料、生成內容侵權責任
• 跨境資料流動規則：影響海外 AI 服務在新加坡的合規成本
• 同意機制創新：支援"目的限定 + 替代同意"等靈活機制，給 AI 訓練資料合規留口子

PDPC 的執法風格相對溫和，更多走"指引 + 整改"路線，重大處罰案例不算多。但 PDPA 的存在本身就讓所有 AI 玩家必須把"資料合規"作為第一性約束。

PDPC 在 AI 治理體系裡是"資料使用許可的看門人"。

任何 AI 系統在新加坡運營都要回答 PDPC 的兩個問題：

• 訓練資料合規：你的訓練語料裡有沒有個人資料？如果有，是否取得了合法同意？
• 推理時合規：你的 AI 服務推理時使用使用者資料是否合規？資料是否跨境傳輸？

這兩個問題對 LLM 玩家尤其麻煩：

• 通用 LLM 訓練幾乎不可能完全避開個人資料（網際網路爬取語料中必然包含）
• LLM 服務推理時的對話內容也是個人資料
• 跨境呼叫海外 LLM API（如 OpenAI）涉及資料出境

PDPC 在 2024 年的 GenAI 指引裡給了一些鬆綁：明確"商業利益例外"、"公開資料訓練"等場景的合規路徑。但核心約束沒變——你必須能解釋資料從哪來、用到哪去、如何最小化。

技術層面，PDPC 的指引推動了幾個本地實踐：

• 聯邦學習（Synergos 等）的研發
• 差分隱私在金融業的應用
• 本地化 LLM（如 SEA-LION 在金融場景）的合規優勢

PDPC 是新加坡 AI 治理的"資料維度"——和 IMDA 的"倫理維度"、MAS 的"行業維度"形成三角。

在「七條傳導槓桿」裡：

• 槓桿 4（治理）：資料合規的執法主體
• 槓桿 6（外交）：PDPA 與 GDPR 的部分等價讓新加坡在資料跨境合作上有優勢

觀點：PDPC 的存在讓"主權 AI" / "本地化 AI"在新加坡有真實的商業理由——SEA-LION、本地金融業 LLM 等本地化路線不只是"民族敘事"，而是 PDPA 合規約束的直接結果。如果新加坡沒有 PDPA，企業可以無腦用 OpenAI / Anthropic，本地 AI 價值會被稀釋。

這也解釋了為什麼 PDPC 在 GenAI 時代相對剋制：它知道如果監管太嚴會讓本地 AI 落地停滯，監管太鬆會讓資料隱私崩塌——它在走"務實合規"的中間路線。

可觀察的張力：PDPC vs MAS 的協調（金融業 AI 同時受兩家監管）、PDPC 與 AI Verify 的關係（資料合規 vs 模型治理）、跨境資料流動規則（影響 SEA-LION 訓練資料來源、海外 API 使用）。