คู่มือการปฏิบัติตาม PDPA Cookie Consent ของสิงคโปร์สำหรับผู้เผยแพร่ปี 2026
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) ของสิงคโปร์เป็นหนึ่งในกฎหมายความเป็นส่วนตัวที่บังคับใช้อย่างเงียบเชียบที่สุดในภูมิภาคเอเชีย-แปซิฟิก คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ได้ใช้เวลาห้าปีที่ผ่านมาในการเปลี่ยนจากการให้คำแนะนำไปสู่การบังคับใช้อย่างจริงจัง โดยออกโทษปรับทางการเงินที่เกินเกณฑ์หนึ่งล้าน SGD เผยแพร่แนวทางที่ครอบคลุมคุกกี้และการติดตามออนไลน์อย่างชัดเจน และยก PDPA ขึ้นสู่ระดับการปฏิบัติการเดียวกันกับ GDPR สำหรับผู้เผยแพร่ที่มีการจราจรสิงคโปร์อย่างมีนัยสำคัญ การแก้ไขพระราชบัญญัติในปี 2020 และ 2021 พร้อมกับกฎระเบียบการบังคับใช้และแนวทางที่พัฒนาอย่างต่อเนื่องของ PDPC หมายความว่าภาระหน้าที่ความยินยอมบนเว็บไซต์หรือแอปที่มุ่งเน้นสิงคโปร์ในปี 2026 ไม่ใช่การทำเครื่องหมายในกล่องง่ายๆ อีกต่อไปเหมือนเมื่อทศวรรษที่แล้ว คู่มือนี้นำผู้เผยแพร่ผ่านสิ่งที่ PDPA กำหนดจริงๆ สำหรับความยินยอมคุกกี้ วิธีที่ฐานความยินยอมที่สันนิษฐานและผลประโยชน์ที่ชอบด้วยกฎหมายมีปฏิสัมพันธ์กับการโฆษณาออนไลน์ ความหมายของระบบการแจ้งเหตุการณ์ละเมิดบังคับสำหรับผู้จำหน่าย ad-tech และรูปแบบ CMP และตัวจัดการแท็กในทางปฏิบัติที่ทำให้การจราจรสิงคโปร์เป็นไปตามกฎหมายโดยไม่บั่นทอนการสร้างรายได้
สิ่งที่ PDPA ครอบคลุมจริงๆ
PDPA ผ่านในปี 2012 และมีผลบังคับใช้อย่างสมบูรณ์ตั้งแต่ปี 2014 แต่เวอร์ชันที่ผู้เผยแพร่ต้องปฏิบัติตามในปี 2026 แตกต่างอย่างมีนัยสำคัญจากข้อความเดิม การแก้ไขสองชุด ได้แก่ ชุดหนึ่งในปี 2020 และอีกชุดหนึ่งในปี 2021 ได้เพิ่มระบบการแจ้งเหตุการณ์ละเมิดข้อมูลบังคับ ขยายเพดานโทษปรับทางการเงินจากหนึ่งล้าน SGD เป็นร้อยละเก้าของรายได้ประจำปีของสิงคโปร์สำหรับองค์กรที่มีรายได้เกินสิบล้าน SGD นำฐานผลประโยชน์ที่ชอบด้วยกฎหมายตามกฎหมายมาใช้ และชี้แจงว่ากฎความยินยอมครอบคลุมตัวระบุอิเล็กทรอนิกส์ใดๆ ที่สามารถเชื่อมโยงกับบุคคลได้อย่างสมเหตุสมผล คุกกี้ รหัสพิกเซล รหัสโฆษณา ที่อยู่ IP ที่รวมกับลายนิ้วมือของอุปกรณ์ และตัวระบุที่แฮชที่ผ่านการประมูลแบบ programmatic ล้วนอยู่ในขอบเขต
PDPA ใช้กับใคร
พระราชบัญญัตินี้ใช้กับองค์กรใดๆ ที่เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลในสิงคโปร์ โดยไม่คำนึงว่าองค์กรนั้นตั้งอยู่ที่ใด ผู้เผยแพร่ต่างชาติที่มีผู้เยี่ยมชมจากสิงคโปร์จะต้องปฏิบัติตาม PDPA ทันทีที่ผู้ใช้ที่อาศัยอยู่ในสิงคโปร์เข้าชมหน้าที่ถูกติดตาม และ PDPC ได้ชี้แจงอย่างชัดเจนว่าเว็บไซต์และแอปที่ได้รับการสนับสนุนจากโฆษณาซึ่งมีผู้ชมสิงคโปร์โดยเจตนาไม่สามารถอ้างอิงการป้องกันผู้ควบคุมต่างชาติได้ ขอบเขตนอกอาณาเขตกว้างกว่าของ CCPA และเทียบเคียงได้กับ GDPR
ท่าทีการบังคับใช้ของ PDPC
PDPC เผยแพร่การตัดสินใจบังคับใช้ของตน ซึ่งทำให้รูปแบบการตรวจสอบมองเห็นได้อย่างผิดปกติ คดีในปี 2024 และ 2025 แสดงให้เห็นถึงการมุ่งเน้นที่ชัดเจนในสามด้าน ได้แก่ การแจ้งที่ไม่เพียงพอ ณ จุดเก็บรวบรวม การขาดหรืออ่อนแอของความยินยอมสำหรับวัตถุประสงค์การตลาด และการตรวจสอบผู้จำหน่ายที่ไม่เพียงพอในห่วงโซ่ตัวกลางข้อมูล ภายในปี 2026 PDPC ได้ส่งสัญญาณว่า ad-tech โดยเฉพาะ ได้แก่ แพลตฟอร์มฝั่งอุปทานแบบ programmatic แพลตฟอร์มฝั่งอุปสงค์ ผู้จำหน่ายข้อมูลประจำตัว พันธมิตรการวัดผล กำลังเลื่อนขึ้นรายการลำดับความสำคัญ โดยมีการสอบสวนที่แก้ไขอย่างเป็นสาธารณะหลายครั้งที่เกี่ยวข้องกับการใช้งานคุกกี้และพิกเซล
ความยินยอมและฐานทางกฎหมายของ PDPA
PDPA รับรองฐานทางกฎหมายหลักสามประการสำหรับการประมวลผลข้อมูลส่วนบุคคล ได้แก่ ความยินยอม ความยินยอมที่สันนิษฐาน และผลประโยชน์ที่ชอบด้วยกฎหมายตามกฎหมาย แต่ละประการมีเงื่อนไขและภาระการพิสูจน์เป็นของตัวเอง และการเลือกระหว่างสิ่งเหล่านี้จะกำหนดรูปแบบการกำหนดค่า CMP และกองโฆษณาของผู้เผยแพร่
ความยินยอมอย่างชัดแจ้งและภาระหน้าที่การแจ้ง
ความยินยอมอย่างชัดแจ้งภายใต้ PDPA จะต้องคู่กับการแจ้งที่ชัดเจนและเข้าถึงได้เกี่ยวกับวัตถุประสงค์ที่ข้อมูลกำลังถูกเก็บรวบรวม ใช้ และเปิดเผย แนวปฏิบัติที่ปรึกษาของ PDPC เกี่ยวกับ PDPA สำหรับหัวข้อที่เลือก ระบุว่ากล่องที่เลือกไว้ล่วงหน้าไม่นับ การแจ้งจะต้องพร้อมใช้งาน ณ หรือก่อนจุดเก็บรวบรวม และความยินยอมที่ได้รับผ่านอินเทอร์เฟซที่สับสนหรือทำให้เข้าใจผิดนั้นไม่ถูกต้อง สำหรับแบนเนอร์คุกกี้นี้จะตรงกับมาตรฐานเดียวกันที่หน่วยงานกำกับดูแลของสหภาพยุโรปใช้ ได้แก่ น้ำหนักที่เท่าเทียมกันสำหรับการยอมรับและปฏิเสธ หมวดหมู่วัตถุประสงค์ที่ละเอียด และเส้นทางการปฏิเสธแบบคลิกเดียวแทนที่จะถูกซ่อนอยู่ใต้ขั้นตอนการจัดการการตั้งค่า
ความยินยอมที่สันนิษฐาน
ความยินยอมที่สันนิษฐานใช้บังคับเมื่อบุคคลให้ข้อมูลส่วนบุคคลของตนโดยสมัครใจสำหรับวัตถุประสงค์ที่บุคคลที่มีเหตุผลจะถือว่าชัดเจน เช่น การซื้อสินค้าหมายความว่าผู้ขายจะใช้ที่อยู่เพื่อจัดส่ง การลงทะเบียนใช้บริการหมายความว่าผู้ให้บริการจะใช้อีเมลเพื่อสื่อสารเกี่ยวกับบริการนั้น ความยินยอมที่สันนิษฐานมีขอบเขตแคบ ไม่ขยายไปถึงคุกกี้โฆษณา การติดตามพฤติกรรม หรือการแบ่งปันข้อมูลกับบุคคลที่สาม และ PDPC ได้ปฏิเสธความพยายามที่จะขยายขอบเขตให้ครอบคลุม ad-tech แบบ programmatic อย่างสม่ำเสมอ ผู้เผยแพร่ควรปฏิบัติต่อความยินยอมที่สันนิษฐานเป็นฐานสำหรับการประมวลผลการดำเนินงานของฝ่ายแรกและพึ่งพาความยินยอมอย่างชัดแจ้งหรือผลประโยชน์ที่ชอบด้วยกฎหมายสำหรับสิ่งอื่นๆ ทั้งหมด
ผลประโยชน์ที่ชอบด้วยกฎหมายตามกฎหมาย
การแก้ไขในปี 2020 ได้นำฐานผลประโยชน์ที่ชอบด้วยกฎหมายตามกฎหมายมาใช้โดยอิงจากมาตรา 6(1)(f) ของ GDPR อย่างอิสระ แต่มีรายชื่อวัตถุประสงค์ที่ยอมรับแบบปิดและข้อกำหนดการประเมินที่เข้มงวดยิ่งขึ้น กรณีการใช้คุกกี้บางกรณี ได้แก่ การตรวจจับการฉ้อโกง ความปลอดภัย การวิเคราะห์ขั้นพื้นฐานพร้อมการรักษาความปลอดภัยที่เหมาะสม อาจมีคุณสมบัติ แต่การโฆษณาและการปรับแต่งพฤติกรรมไม่สามารถทำได้ ผู้เผยแพร่ที่ใช้ผลประโยชน์ที่ชอบด้วยกฎหมายสำหรับคุกกี้หรือแท็กใดๆ จะต้องทำและบันทึก การประเมินผลประโยชน์ที่ชอบด้วยกฎหมาย ของ PDPA รวมถึงการทดสอบการสมดุลที่ชั่งน้ำหนักผลประโยชน์ของผู้เผยแพร่กับความคาดหวังที่สมเหตุสมผลของบุคคล
ความยินยอมคุกกี้ในทางปฏิบัติ
แนวทางของ PDPC เกี่ยวกับคุกกี้และการติดตามออนไลน์ได้บรรจบกันกับมาตรฐานสากลที่กำหนดโดย GDPR คุกกี้ที่จำเป็นอย่างเคร่งครัด ได้แก่ เซสชัน การพิสูจน์ตัวตน ความปลอดภัย สามารถดำเนินการภายใต้ความยินยอมที่สันนิษฐานหรือผลประโยชน์ที่ชอบด้วยกฎหมาย สิ่งอื่นๆ ทั้งหมดต้องการความยินยอมอย่างชัดแจ้งก่อนการอ่านหรือเขียนครั้งแรกไปยังอุปกรณ์
การกำหนดค่า CMP ที่ผ่านการตรวจสอบ
แบนเนอร์ความยินยอมคุกกี้ที่สอดคล้องสำหรับการจราจรสิงคโปร์จะดูคุ้นเคยสำหรับผู้ที่เคยทำงานด้านการปฏิบัติตามกฎหมายของสหภาพยุโรป แบนเนอร์จะแสดงหมวดหมู่วัตถุประสงค์ ได้แก่ จำเป็น ฟังก์ชัน การวิเคราะห์ การโฆษณา การปรับแต่ง พร้อมตัวสลับต่อหมวดหมู่ ตั้งค่าหมวดหมู่ที่ไม่จำเป็นทั้งหมดเป็นปิดตามค่าเริ่มต้น จับคู่ปุ่มยอมรับทั้งหมดและปฏิเสธทั้งหมดด้วยน้ำหนักภาพที่เท่ากัน เปิดเผยการควบคุมความยินยอมซ้ำที่คงอยู่ผ่านลิงก์ในส่วนท้ายหรือไอคอนการตั้งค่าแบบลอย บันทึกใบเสร็จความยินยอมพร้อมการประทับเวลา เวอร์ชันนโยบายที่ผู้ใช้เห็น และตัวระบุผู้ใช้เพื่อให้ผู้เผยแพร่สามารถแสดงหลักฐานตอบสนองต่อคำถามการตรวจสอบของ PDPC CMP เดียวกันที่ผู้เผยแพร่ใช้อยู่แล้วสำหรับการจราจรของสหภาพยุโรปมักจะสามารถกำหนดค่าให้ตอบสนอง PDPA ได้โดยการเพิ่มข้อความแจ้งเฉพาะสิงคโปร์และตรวจสอบให้แน่ใจว่าการแมปฐานทางกฎหมายสะท้อนขอบเขตความยินยอมที่สันนิษฐานที่แคบกว่าของ PDPA
ข้อความแจ้งและนโยบายความเป็นส่วนตัว
ภาระหน้าที่การแจ้งของ PDPA ใกล้เคียงกับข้อกำหนดความโปร่งใสของ GDPR มากกว่ากฎการแจ้งที่เบากว่าของ CCPA ผู้เผยแพร่จะต้องเผยแพร่นโยบายความเป็นส่วนตัวที่ชัดเจนซึ่งระบุหมวดหมู่ของข้อมูลส่วนบุคคลที่เก็บรวบรวม วัตถุประสงค์การประมวลผล บุคคลที่สามที่ข้อมูลถูกแบ่งปัน ระยะเวลาการเก็บรักษา และสิทธิ์ของผู้ใช้ในการเข้าถึง แก้ไข และถอนความยินยอม นโยบายควรเข้าถึงได้จากแบนเนอร์ความยินยอมโดยตรง ซึ่งโดยทั่วไปผ่านลิงก์ 'เรียนรู้เพิ่มเติม' ที่เปิดนโยบายฉบับเต็มโดยไม่ปิดแบนเนอร์
การถอนความยินยอม
สิทธิ์ในการถอนความยินยอมเป็นหนึ่งในสิทธิ์ที่การบังคับใช้ของ PDPC เน้นย้ำมากที่สุดในการตัดสินใจล่าสุด ผู้เผยแพร่จะต้องจัดเตรียมกลไกที่อนุญาตให้ผู้ใช้ถอนความยินยอมได้ง่ายเหมือนที่ให้ไว้ และเมื่อถอนแล้วผู้เผยแพร่จะต้องหยุดการประมวลผลภายในระยะเวลาที่สมเหตุสมผล โดย PDPC ได้ยอมรับสามสิบวันเป็นเพดานการดำเนินงาน CMP จำเป็นต้องมีเส้นทางที่ไม่เพียงแค่สลับสถานะความยินยอมสำหรับการโหลดหน้าในอนาคต แต่ยังเผยแพร่การถอนความยินยอมลงไปยังพันธมิตรโฆษณาและการวิเคราะห์ ซึ่งในทางปฏิบัติหมายถึงการส่งสัญญาณอัปเดตความยินยอมผ่าน Google Consent Mode v2 หรือไปป์ไลน์ผู้จำหน่ายที่เทียบเท่า
การโอนข้ามพรมแดนและการตรวจสอบผู้จำหน่าย
PDPA ไม่ได้ดูแลรายการความเพียงพอรายประเทศเหมือน GDPR แต่กำหนดให้องค์กรที่โอนข้อมูลต้องดำเนินการตามสมควรเพื่อให้แน่ใจว่าผู้รับถูกผูกมัดด้วยภาระผูกพันที่บังคับใช้ได้ตามกฎหมายซึ่งเทียบเท่ากับการคุ้มครองของ PDPA เอง สำหรับผู้เผยแพร่มักหมายถึงข้อกำหนดตามสัญญากับผู้จำหน่าย ad-tech และการวิเคราะห์ในต่างประเทศที่ขยายการคุ้มครองระดับ PDPA ให้กับข้อมูลที่โอนอย่างชัดเจน
ความสัมพันธ์ตัวกลางข้อมูล
เมื่อผู้จำหน่ายประมวลผลข้อมูลส่วนบุคคลในนามของผู้เผยแพร่แทนที่จะเป็นเพื่อวัตถุประสงค์ของตนเอง ความสัมพันธ์จะเป็นความสัมพันธ์ระหว่าง ผู้ควบคุมข้อมูลและตัวกลางข้อมูล ภายใต้ PDPA ผู้เผยแพร่ยังคงรับผิดชอบต่อการปฏิบัติตามกฎหมายและจะต้องตามสัญญากำหนดให้ตัวกลางใช้ความปลอดภัยที่เหมาะสม การแจ้งเหตุการณ์ละเมิด และมาตรการควบคุมการเข้าถึง CMP เซิร์ฟเวอร์โฆษณา และเครื่องมือการวิเคราะห์ที่ทำหน้าที่เป็นผู้ประมวลผลล้วนๆ โดยทั่วไปเป็นตัวกลาง แพลตฟอร์มฝั่งอุปทานและอุปสงค์แบบ programmatic มักทำหน้าที่เป็นผู้ควบคุมร่วม ซึ่งทำให้เกณฑ์ตามสัญญาสูงขึ้น
ระบบการแจ้งเหตุการณ์ละเมิดบังคับปี 2021
การแก้ไขในปี 2021 ได้นำภาระหน้าที่การแจ้งเหตุการณ์ละเมิดบังคับมาใช้ ซึ่งถูกกระตุ้นโดยการละเมิดใดๆ ที่อาจส่งผลให้เกิดอันตรายร้ายแรงหรือที่กระทบต่อมากกว่าห้าร้อยคน การแจ้ง PDPC จะต้องเกิดขึ้นภายในเจ็ดสิบสองชั่วโมงของการที่ผู้เผยแพร่ยืนยันว่าการละเมิดตรงตามเกณฑ์ และการแจ้งบุคคลที่ได้รับผลกระทบจะต้องตามมาโดยเร็วที่สุดเท่าที่ทำได้ในทางปฏิบัติ สำหรับ ad-tech หมายความว่าสัญญาผู้จำหน่ายจะต้องรวมข้อกำหนดการรายงานเหตุการณ์ละเมิดที่รวดเร็ว ผู้เผยแพร่ที่ได้ยินเกี่ยวกับเหตุการณ์ละเมิดผู้จำหน่ายผ่านการรั่วไหลของสื่อเป็นครั้งแรกจะไม่ทันกำหนดเวลา
ขั้นตอนการปฏิบัติตามกฎหมายในทางปฏิบัติสำหรับการจราจรสิงคโปร์
โปรแกรม PDPA แบ่งออกเป็นรายการตรวจสอบผู้เผยแพร่ที่คุ้นเคย ทำให้แบนเนอร์คุกกี้และนโยบายความเป็นส่วนตัวเป็นภาษาท้องถิ่นสำหรับผู้ชมสิงคโปร์โดยมีข้อความภาษาอังกฤษเป็นค่าเริ่มต้นและ Mandarin, Malay หรือ Tamil ที่ผู้ชมต้องการ แมปคุกกี้ พิกเซล และ SDK ทุกอย่างบนเว็บไซต์ไปยังฐานทางกฎหมาย PDPA ที่ถูกต้องและหมวดหมู่วัตถุประสงค์ CMP ที่ถูกต้อง บันทึกการประเมินผลประโยชน์ที่ชอบด้วยกฎหมายสำหรับการประมวลผลที่ไม่ใช่ความยินยอม ตรวจสอบสัญญาตัวกลางข้อมูลเพื่อยืนยันว่ามีข้อกำหนดการแจ้งเหตุการณ์ละเมิด ความปลอดภัย และการคุ้มครองที่เทียบเท่า PDPA ตั้งค่าขั้นตอนการทำงานการเข้าถึงและถอนความยินยอมของเรื่องข้อมูลที่มีเอกสารพร้อมเป้าหมายตอบสนองสามสิบวัน ฝึกอบรมทีมการตลาดและวิศวกรรมที่เป็นเจ้าของตัวจัดการแท็กและ CMP เนื่องจากผลการตรวจสอบ PDPC ที่พบบ่อยที่สุดสืบย้อนกลับไปถึงแท็กที่เพิ่มอย่างรีบร้อนโดยไม่มีการอัปเดตโหมดความยินยอมที่สอดคล้องกัน
เด็กและข้อมูลที่มีความอ่อนไหว
PDPA ไม่มีระบบข้อมูลเด็กแยกต่างหากในระดับ COPPA หรือ GDPR-K แต่แนวทางของ PDPC ปฏิบัติต่อความยินยอมของผู้เยาว์ว่าน่าสงสัยเมื่อการประมวลผลมีวัตถุประสงค์เพื่อการตลาดหรือการโฆษณาพฤติกรรม ผู้เผยแพร่ที่มีผู้ชมซึ่งรวมถึงผู้ที่อายุต่ำกว่าสิบแปดปีควรตั้งค่าความยินยอมโฆษณาเป็นปฏิเสธตามค่าเริ่มต้นสำหรับสัญญาณใดๆ ที่บ่งชี้ผู้ใช้เด็ก ได้แก่ ส่วนเนื้อหาที่มุ่งเน้นเด็ก หน้าที่มีเครื่องหมายการจัดประเภท บัญชีที่อายุที่รายงานตัวเองต่ำกว่าสิบแปดปี และต้องการความยินยอมของผู้ปกครองอย่างชัดแจ้งก่อนที่คุกกี้โฆษณาใดๆ จะโหลด
บทสรุป
PDPA ในปี 2026 เป็นระบบความเป็นส่วนตัวที่จริงจังพร้อมการบังคับใช้ที่ใช้งานได้จริง การตัดสินใจที่โปร่งใส และโทษปรับทางการเงินที่ขยายตามรายได้ สำหรับผู้เผยแพร่ที่สร้างรายได้จากการจราจรสิงคโปร์ค่าใช้จ่ายการปฏิบัติตามกฎหมายนั้นไม่มากนักเนื่องจาก PDPA ยืมมาจาก GDPR เพียงพอที่ท่าทีการปฏิบัติตามกฎหมายยุโรปที่บรรลุวุฒิภาวะครอบคลุมภาระผูกพันที่มีนัยสำคัญส่วนใหญ่ งานอยู่ที่การปรับให้เป็นภาษาท้องถิ่น ได้แก่ นโยบายความเป็นส่วนตัวในภาษาอังกฤษของสิงคโปร์ แบนเนอร์ความยินยอมพร้อมการแมปวัตถุประสงค์ที่เหมาะสม สัญญาตัวกลางข้อมูลที่ระบุ PDPA อย่างชัดเจน คู่มือการแจ้งเหตุการณ์ละเมิดที่ปรับให้เหมาะกับนาฬิกาเจ็ดสิบสองชั่วโมง และการประเมินผลประโยชน์ที่ชอบด้วยกฎหมายที่มีเอกสารสำหรับการประมวลผลใดๆ ที่ไม่ดำเนินการด้วยความยินยอม ผู้เผยแพร่ที่ปฏิบัติต่อสิงคโปร์เป็นตลาดที่จริงจังและลงทุนในการปรับให้เป็นภาษาท้องถิ่นเหล่านั้นจะรักษาผู้ชมให้สร้างรายได้ได้โดยไม่เคยปรากฏในสรุปการบังคับใช้ PDPC ผู้เผยแพร่ที่ปฏิบัติต่อ PDPA เป็นแบบฝึกหัดทางกระดาษจะเข้าร่วมรายชื่อการตัดสินใจสาธารณะที่เพิ่มขึ้นที่หน่วยงานกำกับดูแลเผยแพร่ทุกไตรมาส