发布日期:2026-07-07
2026年6月2日,新加坡个人数据保护委员会(PDPC)发布《生成式人工智能场景个人数据使用咨询指南草案》,按生成式 AI 生命周期分为模型研发、系统部署、用户数据权利响应等五部分,并设置五项公众咨询议题。指南界定生成式 AI 模型与系统的官方定义,针对模型研发阶段两类数据来源划定合规标准。
一是网络爬取公开数据,机构可依据新加坡《个人数据保护法》 PDPA 公开可用例外条款免征得权训练模型,但需以理性人视角判定用途适配性。付费墙、注册验证、反爬虫程序等属于数字壁垒,壁垒存在不直接否定数据公开属性,机构需综合四项客观条件完成判定。三类带壁垒数据仍可认定为公开数据,机构爬取第三方持有数据前应履行事前告知流程,双方分歧可提交 PDPC 裁定,该例外不免除合同与刑事法律责任。
二是用户自有业务数据,仅笼统提及 “产品研发” 的通用隐私告知不具备授权效力,机构开展模型训练、微调必须出具 AI 专项告知,完整披露模型功能、数据类型、训练用途、授权撤回渠道,文件附设社交媒体平台落地范例作为执行参考。研发环节统一要求落实数据最小化,配套多层数据管控措施。
指南划分模型提供方、系统提供方、系统部署方三类产业链主体,明确各方依数据处理行为切换数据控制者或数据中介身份并承担对应 PDPA 义务。模型提供方自行训练模型需遵守留存限制义务,承接下游推理业务则落实数据安全防护,且需向下游完整披露数据存储、权限管控相关细则。系统提供方需持续更新安全防护工具,同步向采购方开放系统风险测试与防护架构资料。系统部署方承担整体合规首要责任,采购前核验上游安全材料,落地阶段严格限定数据使用范围,针对智能代理 AI 增设多层强化管控,参考资讯通信媒体发展局代理 AI 治理框架执行。
PDPA 赋予个人访问、更正个人数据的法定权利,生成式 AI 存在数据定位难、存储形式特殊、定向删除技术受限三类落地阻碍。指南明确三层实操缓释方案:采集阶段完成数据清洗与来源归档;个案处理权利申请,检索增强生成数据库内数据需响应更正诉求,新训练批次剔除错误数据;跟进机器遗忘技术用于清除模型内错误标识。机构可依据法定豁免情形拒绝诉求,调取成本失衡、数据无需修正为主要豁免场景。