新加坡的数据保护法律体系以2012年的《个人数据保护法》（Personal Data Protection Act，以下简称“PDPA”）为主，该法是一部规范个人数据处理行为的综合性立法。为了更好的执行PDPA，新加坡个人数据保护委员会（Personal Data Protection Commission ，以下简称“PDPC”）出台了一系列条例及指引，包括：《2021个人数据保护条例》（Personal Data Protection Regulations 2021，以下简称“PDPR”）、2021年《个人数据保护（数据泄露通知）条例》 [Personal Data Protection (Notification of Data Breaches) Regulations 2021]、2021年《个人数据保护（违法构成）条例》[Personal Data Protection (Composition of Offences) Regulations 2021]、2021年《个人数据保护（执行）条例》[Personal Data Protection (Enforcement) Regulations 2021]、2013年《个人数据保护（请勿致电登记处）条例》[Personal Data Protection (Do Not Call Registry) Regulations 2013]等。此外，PDPC还发布了咨询指南，用以解释PDPA以供企业合规参考。

PDPA适用的主体包括个人、公司、协会、社会团体等法人或非法人团体，无论该等自然人或实体是否依据新加坡法律设立，是否为新加坡居民或居民企业，或是否在新加坡具有办事处或营业地，只要以上自然人或实体具备以下数据处理行为，均适用于PDPA：

新加坡关于数据处理合法性基础与《个人信息保护法》存在相似之处，可以对标《个人信息保护法》第13条进行交叉理解。

PDPC关键信息咨询指南概括了PDPA项下数据控制者的主要义务，具体如下：

 “同意”为最广泛的数据处理行为的合法性基础。值得注意的是，新加坡的“同意”包括“视为同意”（Deemed Consent），PDPA将“视为同意”区分成视为行为同意、根据合同必要性被视为同意以及通过通知视为同意，下表将简述上述三种“视为同意”的要求。

对于涉及数据跨境的企业而言，跨境传输为一重大合规要点。根据PDPA，数据控制者不得将任何个人数据转移到新加坡以外的国家/地区，除非根据PDPA要求，转移组织采取适当的步骤确保个人数据的接收方受法律强制义务的约束，为传输的个人数据提供至少与PDPA相当的保护标准，具体详见下表：

数据控制者违法违规处理个人数据，需要承担法律责任，主要包括以下方面：