오랜 기간 포르투갈, 네덜란드, 영국 등 서구열강의 식민통치를 받았던 싱가포르는 말레이 연방의 일원으로서 1963년 영국으로부터 독립을 이루었으나 초기 법률체계는 영국의 관습법 체계를 기반으로 형성되었다는 것이 일반적인 인식이다. 그러나 1965년 싱가포르가 말레이 연방에서 완전히 분리된 이후, 공화국 체제의 입법조직이 구성되었으며, 다원주의와 다민족체제를 지향하는 사회특성에 따라 다양성을 충족할 수 있는 헌법, 법률(legislation), 위임법령(rules 및 regulation)¹⁾, 판례를 기본으로 하는 법률체제를 운영하고 있다 또한, 싱가포르는 국제법과 국내법 이원체계로 구성되어 있는데, 국제조약이나 협약이 싱가포르 의회에서 법률로서 승인되거나 법원에서 관습법적 국제규칙으로 인정될 경우 싱가포르에서 제정된 국내법 또는 규칙과 동일한 효력을 갖게 된다. ²⁾

헌법은 싱가포르 법률에서 최고 권위를 갖고 있으며, 싱가포르 국민의 기본권리와 국가체계의 근간을 형성하고 있다. 따라서 헌법과 일치하지 않는 모든 하위법의 내용은 무효한 것으로 본다.

법률은 싱가포르 국가 정책의 이행과 규제에 있어 중요한 기본틀만을 제공하고 있으며, 실무적인 행정과 집행에 필요한 세부사항은 위임법령에서 구체화된다. 의회에 제출된 법안은 다수결로 통과 여부를 결정하게 되는데, 일반적으로 특정 법률을 검토할 때에는 영연방 국가들의 법률을 참고하고 있다. 예를 들면, 싱가포르의 회사법은 영국과 호주의 회사법을 참고하고 있으며 형법은 인도의 형법조항을 일부 인용하고 있다고 평가된다.

판례는 또한 싱가포르 법제에 있어, 다른 현대 국가들에 비해 상대적으로 높은 법적 권위를 인정받고 있다. 특히 싱가포르 자국법원의 판결만 아니라 다른 영연방국가의 사법적 판단도 중요한 근거로서 참고하고 있으므로, 이러한 중요성 인식에 따라, 정부는 대법원 판결을 포함한 ‘싱가포르 법률 보고서(The Singapore Law Reports)’를 매년 출간하고 있다.

1) 법률의 위임에 의하여 입법부 이외의 국가조직(특히, 행정부의 조직)이 제정하는 하위법을 의미한다. 즉 법률을 제정하는 시점에서 해당 법률의 세부사항을 그 법률 스스로가 규정하지 않고 하위의 법령에 위임할 경우 위임을 받은 해당 하위법을 뜻하는 것으로, 위임 범위 내에서 법률의 내용을 구체화하는 역할을 담당한다.
2) https://world.moleg.go.kr/web/wli/nationReadPage.do?ISO_NTNL_CD=SG

싱가포르 개인정보보호 법체계는 일반적으로 2012년 10월 제정된 개인정보보호법(Personal Data Protection Act 2012)에 근거하고 있으며, 동 제정법률 이외에도 세부사항에 있어서는 개인정보 감독기구가 추가적으로 제공하는 각 부문별, 산업별 개인정보보호 지침과 법원의 판례 등을 실무적으로 활용하고 있다. 특히 개인정보 감독기구(Personal Data Protection Commission, 이하 PDPC)가 공개하는 지침은 자체적으로는 법적 구속력을 갖지는 않지만 싱가포르 내에서 발생하는 개인정보 침해 사건의 결정에 있어 주요 판단 기준이 되는 등 중요성이 높다고 인식되고 있다.

2012년 제정 개인정보보호법은 2020년 의회에서 Personal Data Protection (Amendment) Act 2020이라는 이름의 일부개정법안이 통과되는 등 한 차례 개정을 거쳤으며, 2021년부터는 상기 일부개정법에 따라 개정된 조항이 순차적으로 시행에 돌입하고 있다. 동 개정법은 기존 법률 조항을 보완하여 침해사고 시 통지 의무 도입, 위반행위에 대한 처벌 강화 등의 내용을 담고 있다. 이는 개정법이 컨트롤러로서 조직의 책임을 강화하고 개인정보보호에 관한 변화된 사회적 인식을 구현하고 있다고 평가할 수 있다.

또한 개인정보보호법은 각 조직의 개인정보보호 의무를 감독하는 행정주체로서 PDPC의 법적 기반을 제공하고 있다. 즉, 동법은 PDPC의 명칭 및 기능을 구체적으로 명시함으로써 해당 기관의 설립 및 활동을 위한 법률상의 근거를 마련하고 있다. 이에 따라 PDPC는 싱가포르 내에서 개인정보보호에 대한 인식을 고취하고, 관련 컨설팅, 자문, 기술, 전문 서비스 등을 제공하며, 개인정보보호와 관련한 모든 사항에 대해 국제적으로 정부를 대표하고 관련 문제에 대해 정부에 자문을 제공하는 역할을 담당하게 된다.

다만, 공공부문 지배구조법이 적용되는 공공부문에는 개인정보보호법이 아닌 별도의 규제체계를 두는 이원화 체계를 운영하고 있다. 공공부문에 대해서는 2019년 3월에 공공부문 개인정보보안심의위원회(Public Sector Data Security Review Committee)를 설치하고 이를 통하여 공공부문에 대한 포괄적인 규율을 시행하고 있다.

가. 개요

PDPA는 개인정보에 관한 ‘개인’의 권리 보호를 비롯하여 개인정보를 수집·이용·공개하는 ‘조직’에 요구되는 책임과 보호 의무에 관한 사항을 규정한다. 동법에서는 정보주체라는 용어 대신 개인(individual)이라는 용어를, 컨트롤러라는 용어 대신 보다 광범위한 용어인 조직(organisation)이라는 용어를 사용하고 있는 것이 특징이다. 프로세서의 개념도 도입하고 있는데, 용어상으로는 프로세서라는 표현 대신 개인정보 중개인(data intermediary)이라는 표현을 사용한다. 동법은 이를 바탕으로 다양한 개인정보 관련 권리, 즉 정보를 제공받을 권리와 접근권, 정정권 등을 개인에게 부여하고 있으며, 조직에는 개인의 권리행사로부터 파생되는 의무와 기타 개인정보보호 관련 일반 의무를 부과하고 있다.

또한 PDPA는 PDPC의 설립 근거를 제시하고 있으며, PDPA를 집행할 수 있는 다양한 규제 권한을 부여함으로써 실질적으로 개인정보보호가 원활히 실현되도록 하고 있다.

한편, PDPA는 Do-Not-Call 레지스트리 운영에 관한 규정도 두고 있는데, 해당 규정에 따라 개인은 Do-Not-Call 레지스트리에 등록함으로써 기업의 마케팅 활동을 위한 전화나 메시지의 수신을 거부할 수 있도록 하는 제도를 운영하고 있다.

나. 개인정보의 정의

PDPA는 개인정보를 사실 여부와 관계없이 특정 개인을 식별할 수 있는 정보와 개인을 식별하기 위해 조직이 접근하고 있거나 접근할 가능성이 높은 정보로 규정하고 있다. 이때 개인(individual)은 생존하였거나 또는 사망한 자연인이라고 규정함으로써 사망한 사람을 포함하는 것이 특징이다.

PDPA는 ‘민감한 개인정보’에 관한 명시적인 별도규정을 두고 있지는 않다. 그러나 PDPC는 각 조직으로 하여금 적절한 개인정보 보호정책과 절차 구현에 반드시 해당 정보의 민감성을 고려해야 한다고 강조함으로써 민감한 개인정보를 별도로 고려하고 있다. 예를 들어, PDPC는 조직이 침해사고 발생 시 개인에게 중대한 영향을 끼칠 수 있는 중요한 정보를 저장하는 경우에는 추가적인 암호화 과정을 거치도록 권장하고 있으며, 조직이 그러한 중요도가 높은 정보를 수집·이용·보관·공개·이전하는 경우를 엄격히 제한함으로써 정보의 민감도를 추가적으로 고려하도록 하고 있다.

다. 적용범위

PDPA는 조직의 보유한 개인정보의 수집, 사용 및 공개행위를 규율한다. 동법에서는 ‘개인’의 용어 정리와 관련해서는 생존여부는 묻지 않고 있지만, 적용범위와 관련해서는 사망시점으로부터 10년이 경과한 개인정보에 대해서는 적용되지 않는다고 규정하고 있다. (제4조제4항) 또한 비즈니스를 목적으로 활동하는 개인이 제공한 비즈니스 연락처 정보도 PDPA의 적용대상에서 제외된다. 비즈니스 연락처 정보에는 개인의 이름, 직위, 직함, 업무용 연락처 및 이메일 등이 포함된다. (제4조제5항)

영토적 범위와 관련해서, PDPA는 물리적으로 싱가포르 내에서 소재하는 조직뿐만 아니라, 싱가포르 내의 개인정보를 수집·이용·공개하는 (싱가포르 밖에 소재한) 조직의 개인정보 처리 활동도 규제대상으로 하고 있다. 이에 따라 해외에 소재한 다국적기업의 온라인 채널을 통한 활동이라 하더라도 싱가포르 국민의 개인정보를 수집하거나 공개할 경우 PDPA에 따른 개인정보보호 의무를 준수해야 하며, 해당 개인정보를 싱가포르 관할권 이외의 지역으로 이전하고자 하는 경우에도 해당 조직은 동법이 요구하는 요건을 모두 준수해야 한다.

추가적으로 공공부문 지배구조법이 적용되는 정부기관이나 정부 산하의 공공기관이 그 설립목적에 따라 개인정보를 활용하는 것과 공공기관을 대행하여 그러한 업무를 수행하는 민간부문 조직도 PDPA의 규제대상에서 제외된다. 다만 공공부문 또는 공공부문의 업무를 대행하는 조직이 수행하는 개인정보 수집·이용·보관·공개·이전·파기 활동이라 하더라도 기타 법률과 계약에 따른 의무가 부과되는 대상일 수 있으며, 해당 조직이 수행하는 활동과 별개로 해당 조직 구성원의 개인정보에 대해서는 보호 의무를 부여하고 있다.

라. 정보주체의 권리

PDPA는 개인에 대해 특정상황에서의 정보를 제공받을 권리, 접근권, 정정권, 이동권(시행 예정)을 허용하고 있다. 다만 삭제권과 반대권을 부여하고 있지는 않으며, 반대권과 관련해서는 동의 철회권을 규정하여 기존 개인정보의 수집, 사용 또는 공개와 관련한 동의를 철회할 수 있도록 하고 있다.

(1) 정보를 제공받을 권리

PDPA는 명시적으로는 개인에게 정보를 제공받을 권리를 부여하고 있지는 않는데, 다만 특정 상황에서 조직으로 하여금 개인에 대해 알림을 제공해야 할 의무를 부과함으로써 개인이 특정 정보를 간접적으로 제공받을 수 있도록 하고 있다.

먼저, PDPA 제20조에 따라 조직은 수집, 사용 또는 공개 이전에 개인정보를 수집, 사용 또는 공개하려는 목적을 개인에게 통지해야 한다. 또한 조직은 개인의 요청에 따라 요청일 전 1년 간 조직이 개인정보를 사용하거나 공개했을 수 있는 방식에 대한 정보를 개인에게 제공할 의무가 있다. 더불어, 조직은 동법 제12조에 따라 동법에서 부과하는 주요 의무를 이행하는 데에 필요한 정책 및 체제를 개발 및 구현하고 동법의 적용과정에서 발생할 수 있는 불만사항 처리 절차를 개발해야 하는데, 개인은 조직에 대해 이와 같은 정보를 제공하도록 요청할 수 있다.

나아가, PDPA 제26B조는 조직으로 하여금 개인에게 중대한 피해를 초래하거나 초래할 가능성이 있는 경우 영향을 받게 되는 개인에게 해당 사안에 대해 통지할 의무를 규정함으로써 영향을 받게 되는 개인이 관련 정보를 알 수 있도록 보장하고 있다.

(2) 접근권

개인정보보호법(PDPA)은 개인정보를 보관하는 조직은 외부로부터 인가되지 않은 불법적인 침해와 그와 유사한 위험으로부터 보관중인 개인정보를 보호하기 위한 합리적인 보안조치를 취해야 하며, 개인정보 보호담당자는 직접적인 권한과 책임에 따라 보안조치에 관한 충분한 의무를 수행해야 한다고 규정한다. 동 법은 각 조직이 구현해야 할 정보보호 대책을 예시하고 있지 않지만 동 법을 집행하는 개인정보보호위원회(PDPC)는 클라우드 컴퓨팅과 같은 새로운 기술에 대해서도 구체적인 사례를 제시함으로써 개인정보보호에 관한 실무지침을 제공하고 있다.

• ①조직이 보유 또는 통제하고 있는 해당 요청자의 개인정보
• ②요청일 전 1년 간 조직이 개인정보를 사용하거나 공개했을 수 있는 방식에 대한 정보

다만, 조직은 동법 제21조제3항에 따라 특정 요건 하에서 개인의 개인정보 접근권을 거부하는 것이 허용되는데 이러한 예외에는 다음이 포함된다.

• ①요청을 한 개인 이외에 타인의 안전, 신체적 또는 정신적 건강을 위협하는 경우
• ②요청을 한 개인의 안전, 신체적 또는 정신적 건강에 즉각적이거나 중대한 해를 끼치는 경우
• ③요청 대응 시 타인의 개인정보를 공개하게 되는 경우
• ④요청 대응 시 타인의 개인정보를 제공한 특정인의 신원이 드러나는 한편, 해당 특정인이 신원 공개에 동의하지 않은 경우
• ⑤국익에 반하는 경우

(3) 정정권

개인은 PDPA 제22조에 따라 조직이 보유 또는 통제하는 부정확한 개인정보를 정정하도록 조직에 요청할 권리가 있다. 조직은 해당 요청을 거부할 만한 합리적 근거가 없는 가능한 한 빨리 개인정보를 정정해야 하며, 정정이 있은 날로부터 직전 1년 이내에 해당 조직이 개인정보를 제공한 다른 모든 조직에 정정된 개인정보를 전송해야 한다. 다만 조직은 개인의 동의가 있는 경우 개인정보를 제공했던 조직 중 특정 조직에 한정하여 정정된 개인정보를 전송할 수 있다.

(4) 이동권 (※ 시행 예정)

개인정보 이동권은 2020년 법률 개정에 따라 PDPA에 도입되었으나 2022년까지는 시행되지 않고 있는 조문에 규정된 정보주체의 권리로, PDPA 제26H조에 명시되어 있다. 동 조항에 따르면 개인은 조직에 자신의 개인정보를 타 조직으로 이전하도록 요청할 수 있다. 조직은 해당 요청에 명시된 개인정보를 타 조직으로 이전해야 하며, 다만 이동 요청이 아래의 사항을 모두 충족해야 한다.

• ①이동 요청이 요건을 모두 만족할 것
• ②이동 요청을 받은 시점에 요청을 받은 조직과 개인이 지속적인 관계를 유지하고 있을 것

동 조항의 시행시기는 법률에 명시되어 있지 않으며 정보통신부 장관이 별도로 관보에 고시(notification)할 때 지정한 날짜에 시행된다고 규정하고 있으므로(Personal Data Protection (Amendment) Act 2020, 제1조), 시행시기는 싱가포르 정부의 결정에 전적으로 달려 있다고 풀이된다.

(5) 삭제권 및 반대권 관련

PDPA는 개인에 대해 삭제권을 규정하고 있지 않다. 다만, 조직에는 개인정보 보유 중단 의무를 규정하여 개인정보를 일정 요건 하에서 제거하도록 하고 있다. 조직은 PDPA 제25조에 따라 ① 개인정보의 수집 목적이 개인정보의 보유로써 더 이상 만족되지 않거나 ② 법적 또는 상업적 목적으로 더 이상 개인정보 보유가 필요하지 않게 된 경우, 개인정보가 포함된 문서 보유를 중단하거나 개인정보가 특정 개인과 연관되도록 하는 수단을 제거해야 한다.

PDPA는 반대권 대신 개인의 동의 철회권을 명시적으로 부여하여 반대권과 유사한 법적 효과를 누리도록 하고 있다. 개인은 PDPA 제16조에 따라 조직에 합리적인 통지를 제공하는 경우, 자신의 개인정보 수집, 사용 또는 공개와 관련한 동의 및 간주된 동의를 철회할 수 있다. 그러나 동의 철회는 그로 인해 발생하는 법적 결과에 영향을 미치지 않는다.

마. 컨트롤러 및 프로세서의 의무

DPA는 개정법이 비교적 최근에 통과되었음에도 불구하고 EU GDPR이나 타 개인정보보호법에서 흔히 볼 수 있는 개인정보 영향평가나 처리활동 기록 의무 등은 규정하고 있지 않다. 하지만 개인에게 부정적 영향을 미칠 수 있는 특정 상황에서는 평가 의무를 규정해 개인을 보호하고 있으며, 개인정보보호책임자 지정 의무, 보안 조치 의무 등을 둠으로써 조직이 PDPA를 성실히 준수하도록 뒷받침하고 있다. 2020년 법률 개정을 통해서는 개인정보 침해사고에 관한 통지의무를 도입해 침해사고에 대한 추가적인 피해를 방지하고자 노력하고 있다.

(1) 평가 의무

PDPA는 조직별로 개인정보 영향평가를 수행하도록 하는 의무를 별도로 두고 있지는 않으며, 조직이 ‘동의를 얻은 것으로 간주’되기 위한 특정 상황에서 평가(assessment)를 수행하도록 요하는 조문을 두고 있다.

조직이 개인의 동의를 얻은 것으로 간주되기 위해서는, PDPA 제15A조 제4항에 따라 개인정보 수집, 사용 또는 공개가 해당 개인에게 부정적인 영향을 미칠 가능성이 있는지 여부를 결정하기 위해 수집, 사용 또는 공개 전 평가를 수행해야 한다. 이때 조직은 평가와 관련해 아래의 사항을 수행해야 한다.

• ①개인정보의 수집, 사용 또는 공개가 개인에게 미칠 수 있는 부정적 영향 식별
• ②부작용 제거, 부작용의 발생 가능성 최소화, 부작용 완화 등을 위한 합리적 조치 구현
• ③그 외 기타 규정된 요건 준수

이와 같은 일련의 과정을 통해 조직은 개인의 동의를 얻은 것으로 간주되는 등 개인이 직접 동의한 것과 같은 효과를 누릴 수 있다.

(2) 개인정보보호책임자 지정 의무

PDPA는 EU GDPR과 같이 개인정보보호책임자 혹은 DPO(Data Protection Officer)와 같은 용어를 사용하고 있지 않지만, 유사한 책임을 부담하는 개인을 지정하도록 하는 의무를 조직에 부여하고 있다.

조직은 PDPA 제11조 제3항에 따라 동법을 준수하도록 보장하는 한 명 이상의 개인을 지정해야 하며, 조직은 적어도 해당 개인의 비즈니스 연락처 정보를 대중에게 제공해야 한다. 동 조항에 따라 법률 준수 책임자로 지정된 개인은 자신에게 부여된 책임사항을 다른 개인에게 위임할 수 있으며, 이 때 조직은 상기 개인 중 어떤 사람이든 적어도 한 명의 비즈니스 연락처를 대중에게 제공하면 된다.

(3) 개인정보 침해 통지 의무

PDPA는 2020년 개정을 통해 조직이 개인정보 침해사고를 인지하는 즉시 침해사고의 특성을 평가하고 추가적인 피해의 발생을 방지하기 위한 조치를 도입했다. 이에 따라 각 조직이 개인정보 침해사고를 인지할 경우 빠른 시일 내에 개인정보보호위원회 및 피해 당사자 혹은 잠재적 피해 당사자에게 해당 사실을 통지하도록 하였다.

조직은 PDPA 제26C조에 따라 조직이 보유 중이거나 통제하고 있는 개인정보에 침해가 발생했다고 믿을만한 이유가 있는 경우 해당 침해가 통지가 필요한 침해인지 여부에 대한 평가를 합리적이고 신속하게 수행해야 한다. 통지가 필요한 침해란 ① 영향을 받는 개인에게 심각한 피해를 초래 또는 초래할 가능성이 있는 경우이거나 ② 침해가 상당한 규모이거나 또는 그럴 가능성이 있는 경우 등을 의미한다. 조직이 상기 과정을 통해 통지가 필요한 침해라고 평가하는 경우 해당 평가를 실시한 날로부터 3일 이내에 PDPC에 통지해야 하며, 이후 영향을 받은 각 개인에게도 합리적인 방법으로 통지해야 한다 (제26D조). PDPC에 대한 통지는 PDPC가 규정하는 양식과 방식대로 제출되어야 하며, 당시 조직이 알고 있던 최선의 정보를 모두 포함해야 한다.

그러나, 조직 내에서만 개인정보의 무단 접근, 수집, 사용, 공개, 복사 또는 수정과 관련된 개인정보 침해가 발생한 경우에는 통지가 필요한 침해사고가 아닌 것으로 본다.(제26B조 제4항)

(4) 기타 의무

상기 의무 외에도, 조직은 PDPA 제12조에 따라 동법에서 부과하는 주요 의무를 이행하는 데에 필요한 정책 및 체제를 개발 및 구현하고 동법의 적용과정에서 발생할 수 있는 불만사항 처리 절차를 개발해야 한다. 또한, 조직이 수집한 개인정보가 정확하고 완전하도록 보장하기 위해 합당한 노력을 기울여야 하며 (제23조), ① 개인정보에 대한 무단 접근, 수집, 사용, 공개, 복사, 수정, 파기 또는 이와 유사한 위험 방지, ② 개인정보가 저장된 저장 매체 또는 장치의 손실 방지 등을 위해 합리적인 보안 조치를 취해야 한다 (제24조).

그밖에도, 조직은 PDPA 제25조에 따라 ① 개인정보의 수집 목적이 개인정보의 보유로써 더 이상 만족되지 않거나 ② 법적 또는 상업적 목적으로 더 이상 개인정보 보유가 필요하지 않게 된 경우, 개인정보가 포함된 문서 보유를 중단하거나 개인정보가 특정 개인과 연관되도록 하는 수단을 제거할 의무가 있다.

바. 개인정보 국외이전

PDPA 제26조는 원칙적으로 조직이 싱가포르 이외의 지역으로 개인정보를 이전하는 것을 제한하고 있다. 다만 정보를 이전받는 국외의 조직이 동법에 상응하는 수준의 보호조치를 제공하는 것이 확실한 경우에 한해 개인정보의 국외이전을 허용한다. 법률에서 규정하고 있지는 않지만 통상적으로 이전이 가능한 경우는 다음과 같다.

조직이 개인의 동의를 얻은 것으로 간주되기 위해서는, PDPA 제15A조 제4항에 따라 개인정보 수집, 사용 또는 공개가 해당 개인에게 부정적인 영향을 미칠 가능성이 있는지 여부를 결정하기 위해 수집, 사용 또는 공개 전 평가를 수행해야 한다. 이때 조직은 평가와 관련해 아래의 사항을 수행해야 한다.

• ①개인이 동의한 경우
• ②조직과 개인 간의 계약 이행 또는 계약을 체결하기 위해 개인이 요청하는 경우
• ③개인의 요청에 따라 계약이 체결되거나 합리적으로 판단했을 때 개인에게 이익이 된다고 판단할 수 있는 계약의 체결 또는 이행을 위해 필요한 경우
• ④개인이 개인정보 이전 계약을 통해 이전할 수 있는 국가를 사전에 지정한 경우

각 조직은 국외로 개인정보를 이전하는 것과 관련하여 개인정보보호위원회에 요건 면제를 신청할 수 있으며, 위원회의 판단에 따라 면제가 허용될 수 있다. 다만 상기 면제는 위원회가 언제든지 취소할 수 있다.

사. 집행

PDPC는 PDPA의 시행을 담당한다. PDPC는 조직이 PDPA에 따른 개인정보보호 의무를 위반했다고 인정하는 경우 PDPA 제48L조에 따라 일련의 시정 지시를 내릴 수 있는 광범위한 재량권을 부여받는다. 시정 지시에는 ① PDPA에 반하는 개인정보의 수집, 사용, 공개 중지 ② PDPA에 반하여 수집된 개인정보 파기 ③ 개인정보 접근 및 정정 거부, 타 조직으로의 이전 거부 등을 중단하고 개인정보 접근, 정정, 이전 수행 등을 포함한다.

또한, PDPC는 개인정보보호 의무를 위반한 조직에 과징금을 부과할 수도 있는데, ① 싱가포르 연간 매출액 1,000만 싱가포르 달러(약 756만 미국 달러)를 초과하는 조직에는 최대 싱가포르 연간 매출액의 10% ② 그 밖의 경우 최대 100만 싱가포르 달러(약 76만 미국 달러)를 상한으로 하는 과징금 부과가 가능하다 (제48J조 제3항)

PDPA는 특정 행위가 단순한 위법을 벗어나 범죄로 나아갈 경우 이를 형사범죄로 규정하고 벌금 및 징역을 별도로 내릴 수 있도록 규정하고 있다.

• ①권한 없이 타인의 개인정보에 접근 또는 정정 요청을 하는 경우 5,000 싱가포르 달러 (약 3,700 미국 달러) 이하의 벌금 및/또는 12개월 이하의 징역에 처할 수 있다. (제51조 제2항)
• ②개인의 개인정보에 대한 접근권 및 정정권을 회피할 목적으로 개인정보 등을 처분, 변경, 위조, 은폐, 파기하거나 타인에게 처분, 변경, 위조, 은폐, 파기를 지시하는 경우 개인은 5,000 싱가포르 달러 (약 3,700 미국 달러) 이하의 벌금 및/또는 12개월 이하의 징역, 그 외의 경우 5만 싱가포르 달러 (약 3만 7000 미국 달러) 이하의 벌금에 처할 수 있다. (제51조 제4항)
• ③동법에 따른 위원회, 조사관, 공무원 등의 기능이나 의무 수행, 권한 행사를 방해하거나 위원회, 조사관 등에 고의 또는 무모하게 허위로 진술하거나 허위 정보 또는 문서를 제공할 경우 개인은 1만 싱가포르 달러 (약 7,500 미국 달러) 이하의 벌금 및/또는 12개월 이하의 징역, 그 외의 경우 10만 싱가포르 달러 (약 7만 5,000 미국 달러) 이하의 벌금에 처할 수 있다. (제51조 제5항)
• ④동법에 따라 위원회, 조사관에게 제공했어야 하는 정보 또는 문서를 제공하지 않았다거나 제공을 거부하는 경우, 그리고 동법에 따라 요구되는 위원회, 조사관에 대한 출두를 거부하는 경우, 개인은 5,000 싱가포르 달러 (약 3,700 미국 달러) 이하의 벌금 및/또는 6개월 이하의 징역, 그 외의 경우 1만 싱가포르 달러 (약 7,500 미국 달러) 이하의 벌금에 처할 수 있다. (제51조 제6항)
• ⑤조직이나 공공기관이 보유 또는 통제하는 익명 정보를 고의로 무단 재식별하거나 재식별을 유발할 경우 5,000 싱가포르 달러 (약 3,700 미국 달러) 이하의 벌금 및/또는 2년 이하의 징역에 처할 수 있다. (제48F조)

한편, PDPA 위반의 결과로 직접적으로 손실이나 피해를 입은 개인은 민사소송을 제기할 수도 있다. 그러나 소송은 PDPC가 내린 행정처분 및 처분에 대한 이의제기 등 기타 모든 방법을 모두 소진된 후에만 제기할 수 있다. (제48O조)