PDPA 公告。

1. 关于本公告。

Steadbook Advisory LLP（UEN T18LL0198K）（下称「Steadbook」、「我们」）致力于依据新加坡《2012 年个人数据保护法》（经修订）（下称「PDPA」）及个人数据保护委员会（下称「PDPC」）不时发布的指南与咨询备忘保护个人数据。

本公告说明当您委托我们的服务、访问我们的网站、与我们往来通信，或以其他方式与本公司互动时，我们如何收集、使用、披露、传输与保护个人数据。本公告适用于所有由我们处理其个人数据的个人，包括客户、潜在客户、董事、股东、实益拥有人、公司客户的员工、供应商、求职者及网站访客。

2. 我们收集的个人数据。

视委托性质而定，我们可能收集：

• 身份数据 —— 全名、NRIC/FIN/护照号码、出生日期、国籍、住址、照片或身份证明文件副本（依照 ACRA 要求，为 KYC 与反洗钱目的而收集）。
• 联系数据 —— 电话号码、电邮地址、办公地址。
• 委托数据 —— 职务、职位、持股利益、签字权限、资金来源与财富来源声明。
• 财务与税务数据 —— 会计记录、薪资记录、银行月结单、发票、税务申报，以及您为我们的服务目的所提供的其他记录。
• 通信数据 —— 与委托相关的电邮、讯息、通话记录及会议记录。
• 技术数据 —— 您访问我们网站时的 IP 地址、浏览器类型、设备信息及分析数据。
• 客户门户访问数据 —— 当您访问我们的安全客户门户时：我们为您的委托所签发的唯一客户代码、用于接收一次性密码（OTP）的电邮地址、用于维持已认证会话的会话标识符，以及您通过门户提交的任何文档、文件、查询或讯息。

3. 我们如何收集个人数据。

我们通过以下方式收集个人数据：

• 在您填写咨询表单、签署聘约函、与我们通信，或在我们工作过程中提供文件时，直接向您收集；
• 通过您的授权代表、员工、董事或服务提供商收集；
• 在合理且法律允许的情况下，从公开来源收集，包括 ACRA、IRAS 及其他政府登记机构；
• 通过用于 KYC、制裁名单筛查及政治公众人物核查的第三方验证提供商收集；
• 通过我们网站上的 cookie 与分析工具自动收集（参见第 11 条）。
• 通过您对我们安全客户门户的已认证使用，包括您通过门户提交的任何文档、文件、查询或讯息。

4. 我们使用个人数据的目的。

我们仅将个人数据用于在相应情况下合理之人会认为适当的目的，包括：

• 提供会计、税务、薪资、公司秘书、财务运营及咨询服务；
• 客户上线流程，包括 KYC、反洗钱、反恐融资及制裁筛查；
• 开具报价单、聘约函、发票及收据；
• 就委托事项与您沟通，包括回复咨询及提供进度更新；
• 履行 ACRA、IRAS、PDPC、Monetary Authority of Singapore、新加坡警察部队及其他主管机关施加于我们的法律、监管与专业义务；
• 依法律及专业准则要求维护记录；
• 预防、侦测及调查欺诈、不当行为或非法活动；
• 管理内部运作，包括审计、风险管理、培训与品质保证；
• 在您同意或 PDPA 允许的情况下，向您发送公司动态、技术快报及活动邀请；
• 当您应聘本公司职位时进行招聘与人力资源管理。
• 运营我们的安全客户门户，包括通过客户代码与一次性密码（OTP）对您进行身份验证、维持已认证会话、将您上传的文档存储于我们 Microsoft 365 环境内您专属的客户文件夹中，以及使用 AI 工具读取、分析与引用您的记录，以回应您的查询并产生针对您委托的洞察。

5. 处理的法律依据。

我们依据 PDPA 下列一项或多项依据进行处理：

• 同意 —— 当您在我们已告知的目的下知情提供个人数据时，给予明示或视为给予的同意；
• 合法权益 —— 包括业务管理、欺诈预防与信息安全，前提是对我们合法权益的益处不被对个人的不利影响所抵消；
• 业务改进 —— 包括改进我们的服务、运营效率及交付物的品质；
• 法律或监管要求 —— 当处理依新加坡法律或法庭命令、主管机关要求而进行时。

6. 个人数据的披露。

我们可能在必要知情的基础上，向以下方披露个人数据：

• 参与您委托工作的合伙人、员工与承包商，所有人均受保密义务约束；
• 监管机构与主管机关，包括 ACRA、IRAS、MAS、新加坡警察部队，以及法律要求时的境外对应机构；
• 就委托事项代表您或我们行事的银行、审计师、法律顾问、保险经纪及其他专业顾问；
• 经核可的科技服务提供商，包括云端托管、会计软件、薪资软件、电子签章、文件管理、安全文件传输及身份验证提供商；
• 经核可的 AI 服务提供商，按下文第 8 条所述使用；
• 本公司全部或部分业务发生合并、收购、重组或转让时的收购方、继承方或受让方。

我们不出售个人数据，亦不为第三方营销目的与其分享个人数据。

7. 跨境传输。

部分服务提供商（包括云端与 AI 提供商）可能在新加坡境外存储或处理个人数据。当我们跨境传输个人数据时，我们会采取措施确保接收方依据具有法律强制力的义务，提供与 PDPA 相当的保护标准，符合 PDPA 第 26 条及《2021 年个人数据保护条例》的要求。

8. 人工智能（AI）的使用。

我们使用 AI 工具 —— 包括生成式 AI、大型语言模型，以及会计、税务、薪资、文件管理与生产力软件中的 AI 辅助功能 —— 以支持服务交付。我们的承诺如下：

• 人工监督。 AI 仅作为辅助而非替代专业判断。所有交付物、计算、申报与建议，皆须经合资格的 Steadbook 专业人员审核与批准后方可发出或被依赖。我们不接受未经人工审核的 AI 输出作为最终成果。
• 仅使用经核可工具。 我们仅使用经本公司就供应商安全控制、数据驻留、保留政策、训练输入设置与访问治理评估过的 AI 工具。客户的个人数据不会输入通用型、消费级 AI 工具。
• 不以您的数据进行训练。 我们使用 AI 提供商时，会配置帐户使客户内容（包括个人数据）不被用于训练提供商的基础模型，符合 AI Verify Foundation 的《Model AI Governance Framework for Generative AI》及 PDPC 的《Advisory Guidelines on the Use of Personal Data in AI Recommendation and Decision Systems》。
• 数据最小化。 我们仅向 AI 工具提供执行任务所需的最少信息。如可行，我们会在处理前对个人数据进行遮蔽、汇总或匿名化处理。
• 不以 AI 作出具有法律或重大效应的全自动决策。 我们不使用 AI 作出对个人产生法律效应或类似重大效应的纯自动化决策（例如，决定是否承接、拒绝或终止客户）。该等决策仍由我们的合伙人与合资格员工作出。
• 保密。 使用 AI 不会减轻我们的保密义务。对客户的保密义务，以及对受法律特权保护信息的保护，同样适用于 AI 辅助的工作。
• 准确性与局限。 AI 输出可能含有错误、遗漏或编造内容（「幻觉」）。我们将 AI 输出视为待核实的草稿，并对以本公司名义发出的工作成果的准确性独自负责。
• 偏见与公平。 我们留意 AI 工具可能反映其训练数据中所含偏见的风险。当 AI 用于影响个人的任何情境，我们以人工审核加以缓解。
• 应要求披露。 如您希望了解 AI 是否以及如何用于您的委托事项，请致信第 14 条所列地址的数据保护主管。

本节内容并不构成在任何特定任务中将使用或不使用 AI 的服务承诺。是否使用 AI 工具的决定由委托合伙人作出。

客户门户的 AI 处理。当您访问我们的安全客户门户时，AI 工具可能为回应您的查询及为您产生洞察的目的，读取、分析与引用存储于我们 Microsoft 365 环境内您专属客户文件夹中的文档、文件与数据。上述各项承诺 —— 人工监督、仅使用经核可工具、不以您的数据进行训练、数据最小化、不作出具有法律或重大效应的全自动决策、保密义务，以及将 AI 输出视为待核实的草稿 —— 同样适用于门户的使用。当 AI 在您的记录中发现相互冲突、含糊或不完整的信息时，将不会发出实质性的回应；门户将向您说明情况，并由 Steadbook 专业人员审核与跟进后，方可提供可依赖的回应。

与新加坡《代理式人工智能模型治理框架》的一致性。我们的 AI 功能依循新加坡资讯通信媒体发展局（IMDA）于 2026 年 1 月 22 日发布的框架四大维度而设计与运作：

• 风险评估与边界。我们的 AI 功能具备明确的范围限制。我们的公共聊天助理（"Adrian"）回答有关我们服务的一般问题，不会执行交易、提交申报或代表本公司作出任何承诺。客户门户的 AI 读取并分析您的记录以回应查询，不会修改、提交或传输该等记录至我们 Microsoft 365 环境以外的任何地方。
• 人工问责。所有实质性的回答、计算、建议、交付物、申报与报价，皆须经合资格的 Steadbook 专业人员审核与批准后方可被依赖。当 AI 遇到冲突、含糊或不完整的信息时，将触发人工审核后再发出进一步回应。
• 技术控制。我们的 AI 功能仅可访问经白名单审批的特定数据与服务 —— 您专属的客户文件夹（客户门户）以及我们已公开的定价与服务信息（公共聊天），不能调用此白名单之外的任何工具、服务或系统。客户门户的所有访问与活动均被记录并至少保留两年（详见第 10 条）。
• 终端用户责任。每项 AI 功能均显示明确告示，说明 AI 输出仅为草稿信息，不构成专业建议。我们鼓励所有用户在依赖 AI 输出前进行核实，并对自动化偏见保持警觉。

9. 数据安全。

我们维持合理的行政、物理与技术保障措施以保护个人数据，包括访问控制、传输与静态加密（视情况而定）、多重身份验证、安全文件传输、定期访问审核、供应商风险评估、员工培训及事件应对程序。对于安全客户门户，附加控制包括客户代码与一次性密码（OTP）身份验证、设有闲置超时的限时已认证会话，以及门户访问与活动的审计日志。我们依 PDPC 的《Guide to Data Protection Practices for ICT Systems》对实务进行评估。

没有任何传输或存储方式是完全安全的。如发生需通报的数据外泄事件，我们将依 PDPA 数据外泄通报义务规定的时限通知受影响个人及 PDPC。

10. 保留期限。

我们仅在为达成收集目的及履行法律、监管与专业记录保存义务的合理必要期限内保留个人数据 —— 依《1967 年公司法》及《1947 年所得税法》，会计与税务记录通常至少保留五年，特定情况（例如反洗钱记录）下保留期限更长。客户门户的身份验证、会话与访问日志至少保留两年，用于安全审计目的。当个人数据不再需要时，我们将安全删除或匿名化处理。

11. Cookie 与网站分析。

我们的网站使用少量 cookie 与类似技术以维持网站功能、记忆偏好设置并产生汇总分析。您可在浏览器中停用 cookie；停用后部分网站功能可能无法如预期运作。

12. 您的权利。

在 PDPA 及适用例外的限制下，您有权：

• 查阅我们持有的关于您的个人数据，及过去一年内对该数据的使用与披露情况；
• 更正不准确或不完整的个人数据；
• 撤回同意对您个人数据的收集、使用或披露，须于合理通知期内进行，并受法律或合同限制约束；
• 在该权利于法定生效且适用于相关数据的情况下，请求数据可携至另一组织；
• 如认为我们未依 PDPA 处理您的个人数据，可向 PDPC 提出投诉。

我们可能依 PDPA 就查阅请求收取合理费用。撤回同意或要求删除可能影响我们继续向您提供服务的能力。

13. 儿童。

我们的服务并非面向 13 岁以下个人，亦不会刻意收集儿童的个人数据，除非委托工作必要（例如薪资管理涉及员工的家属），并须在父母或监护人同意下收集。

14. 数据保护主管。

如对本公告或我们对个人数据的处理有任何疑问、请求或投诉，可联系我们的数据保护主管：

Data Protection Officer
Steadbook Advisory LLP
12 Woodlands Square, #13-82/83
Woods Square, Singapore 737715
Email: contact@steadbook.com

我们力求在 7 个工作日内确认收到请求，并依 PDPC 的《Advisory Guidelines on Key Concepts in the PDPA》在 30 天内作出实质回复。

15. 本公告的变动。

我们至少每年审视本公告一次，并可能不时更新以反映法律、监管指引或实务的变动。版本与生效日期载于本页顶部。最新版本将始终发布于此 URL。重大变动将以电邮通知现有客户。

本公告依 PDPA 为提升透明度而提供，本身不构成合约权利。每项委托的相关条款载于该项委托的聘约函。