尊重文化差异， 建立信任关系 隐私与数据保护2“亚洲各国在过去几年掀起了 一股数据保护 法规的浪潮， 而随之产生的相关法规差异性 也越来越明显。 本次国际大会将针对这一差 异性展开讨论， 并期待与亚洲各国政府共同 分享并学习相关经验。 ”数据保护与隐私专员国际大会 （ICDPPC） 执 行委员会主席， 2017年1月28日前言 1 亚太地区简况 2国家/地区 3澳大利亚 3中国大陆 4香港 5印度 6印度尼西亚 7日本 8韩国 9马来西亚 10毛里求斯 11蒙古 12新西兰 13巴布亚新几内亚 14菲律宾 16新加坡 17斯里兰卡 18台湾 19泰国 20越南 21新兴趋势 23您是否考虑? 26联络人 28目录1前言随着亚太区的迅猛发展和高 速增长， “一个更具竞争力的 亚洲正在强势回归” 。德勤顶级区域经济学家在近期发布的 德勤 亚洲之声1报告中指出： 在强有力的政策措施和加速推进改革的影响 下， “一个更具竞争力的亚洲正在强势回 归” 。 过去12个月， 亚太地区涌现局部性、 区域性、 国际性的数据保护监管热潮， 便 是这一趋势的具体表现。受上述趋势影响， 亚洲许多国家已经或正 积极着手颁布新的隐私相关法规。外包行业内各子行业公司持续实现利润 增长， 但同时该行业也面临日益严峻的隐 私风险， 相关风险主要与如何看待隐私有 关。 充分了解此类风险有助于避免数据泄 露， 对于不同地区之间个人数据的传递具 有重要意义。 要实现这一目标， 转变隐私 与数据保护方式非常必要。 隐私与数据 保护不能仅仅注重遵循现有以及不断出现的规章条例， 还应当考虑各个地区的文 化和个人意愿， 从而与个人以及监管机构 建立信任关系。尊重文化差异 亚太地区不同群体、 监管机构、 企业之间 均存在文化差异， 正确处理文化差异有助 于增强竞争优势。 企业积极了解并尊重文 化差异， 有助于增强其对隐私与数据保护 风险细微差别的敏感度。这一敏感度为企业实现进一步可持续发 展奠定了基础， 也直接推动各企业针对不 同文化采取差异化运营策略。 因此， 各 企业可针对不同地区采取不同策略， 适应 全球和各地区监管环境的变化， 即采用 “ 全球化与本土化相结合” 的方式管理隐 私风险。新增监管法规推动区域协作 从地区层面看， 菲律宾和中国大陆等亚 太国家/地区颁布了更加强有力的法律法 规， 对个人信息的使用加以管治。 亚太经 合组织 隐私保护框架 提出了共同原则， 有助于实现亚太各国家/地区隐私与 数据保护法规的协调一致。 虽然该框架 目前包括跨境转移相关法规， 且不具有约 束力， 但该框架可推动各企业采用区域性 策略管理隐私风险。 欧盟 一般数据保 护条例 的影响体现了全球法规的域外 效力对亚太地区的影响。关于本报告 与不同文化中的相关方建立信任关系以 及失信风险是需要管理的核心风险。 在 监管地域范围逐渐超越监管法规原国家 的趋势下， 上述风险的管理显得尤为重 要。 相关风险管理包括平衡监管机构和个 人的期望。本报告主要探讨亚太地区隐私与数据保 护相关的主要考虑因素和发展趋势， 并希 望能够引起各界对隐私与数据保护的广 泛关注。我们期待各方共同合作， 协力解决未来的 诸多挑战。James Nunn-Price 亚太区网络风险服务领导合伙人 合伙人，澳大利亚2017年3月1. 德勤顶级区域经济学家识别并分析紧迫的经济和监管问题， 并指出这些问题对区域内各政府和企业的影响。尊重文化差异，建立信任关系 | 前言2亚太地区简况“新一代乐观的消费者对于其国家经济发展方向发挥着重要影响作用。 这个群体精通技术， 且乐于接受全球中产阶级的无 国界消费主义， 但同时也深受其父辈和祖辈平滑消费习惯的影响。新一代消费者正好符合当前亚洲和全球市场的需求。 他们天性乐观， 而且非常愿意接受具有创新性的全新理念。 他们将是 进口产品的狂热爱好者， 同时也会在产品出口方面具有极强的竞争优势。 此外， 和所有其他消费者一样， 这个群体也会在其 国家经济环境中起到稳定作用。 这就意味着无论其他方面发展情况如何， 这个群体都很有可能在2017年起到支柱性作用。 ” 德勤2017年 亚洲之声针对日本境内外数据跨境 传输所制定的严格规定将 于2017年5月生效。菲律宾已实施隐私与数据保 护监管规章制度。中国近期通过了 网络安全法， 已于2017年6月1日生效。2017年2月， 澳大利亚通 过了强制性数据泄露通知 法案。 亚太地区的隐私与数据保护法规在过去12个月发生了巨大变化尊重文化差异，建立信任关系 | 亚太地区简况3澳大利亚受法律保护的信息类型 澳大利亚信息专员办公室根据1988年颁 布的 隐私法 （Privacy Act 1988） 对澳 大利亚全国范围内的隐私信息进行统一 监管。 受保护的信息类型包括： 个人信息是指可识别个人的信息或评 价， 无论该信息或评价是否真实， 也无 论该信息是否被有形载体记录。 敏感信息是指须提供更严格保护的个 人信息。 特定行业监管制度 除 隐私法 外， 澳大利亚还针对特定行 业制定了相应的监管制度， 主要适用于： 医疗卫生行业 授信机构和征信机构 电信和传媒 注意事项澳大利亚隐私原则 （Australian Privacy Principles） 包括十三项内容， 适用于澳大利亚政府机构、 大部分大 型私营企业、 直销商、 数据代理、 以及全国范围内所有的私营医疗卫生服务机构。 在特定情况下， 部分小型企业 和私营企业可免除雇佣信息存留责任。授信机构和征信机构在消费者征信信息方面需履行额外义务， 即规定征信报告包含的个人信息类型、 报告访问 权限和原因， 并有义务确保信息得到准确维护。近期颁布的强制性数据保留法案要求电信和互联网服务商确保通讯元数据的安全保留。澳大利亚信息专员办公室负责开展企业评估并公布评估结果。 2017年2月， 澳大利亚最新通过了一项强制性数据 泄露通知法案。 根据该法案规定， 各企业若怀疑发生个人信息泄露或确定发生信息泄露这种可能导致严重危害的 情况， 须通知用户和澳大利亚信息专员办公室。您是否了解？澳大利亚信息专员办公室开展企 业评估的频率出现上升， 这表明澳 大利亚消费者的隐私意识日渐增 强， 其中94%的消费者认为在登陆 网站时， 网站的可靠性比操作简便 性更重要。2016年德勤澳大利亚隐私指数尊重文化差异，建立信任关系 | 亚太地区简况4中国大陆受法律保护的信息类型 中华人民共和国网络安全法 保护对 国家安全、 国计民生和公共利益 “重要” 的网络信息， 其中包括以电子或者其他方 式记录的能够单独或者与其他信息结合 识别自然人个人身份的个人信息。个人信息包括但不限于自然人的姓名、 出 生日期、 身份证件号码、 个人生物识别信 息、 住址、 电话号码等。 特定行业监管制度 除网络安全法外， 中国大陆还针对特定行 业制定了相应的监管制度。 根据金融服务 行业相关监管条例规定， 金融机构应在中 华人民共和国境内存储和处理在运营中收 集和产生的公民个人金融信息。金融机构若确需向境外提供公民个人金融 信息， 则必须制定相应的合同条款， 以保 障个人金融信息安全。注意事项网络运营者收集、 使用公民个人信息， 须清晰表明其目的、 方法和范围， 并征得被收集者同意。关键信息基础设施的运营者应当在境内存储公民个人信息和重要业务数据。 若确需向境外提供信息， 则应当进 行安全评估。 关键信息基础设施的具体范围尚待国务院确定。网络运营者不得泄露、 篡改、 毁损其收集的个人信息； 未经被收集者同意， 不得向他人提供个人信息。在发生或者可能发生个人信息泄露的情况时， 网络运营者应当立即采取补救措施， 按照规定及时告知用户并向 有关主管部门报告。2017年5月2日出台的 网络产品和服务安全审查办法 规定， “关系国家安全的网络和信息系统采购的重要网络 产品和服务” ， 应当经过网络安全审查。 您是否了解?中国的网络安全法规相对较新， 且适用范围较广 。中国网络安全法的内容还有待进一步补充， 以满足特定行业和特定关键信息基 础设施的需求， 包括公共服务、 能源、 传媒、 政府、 医疗保健、 金融、 交通、 电信 和制造业的需求。网络运营者关键信息 基础设施 运营者尊重文化差异，建立信任关系 | 亚太地区简况5香港受法律保护的信息类型 个人资料私隐专员公署负责监督 个人资 料 （私隐） 条例 的施行， 确保个人资料 得到保障。个人资料是指： 直接或间接与在世的个人 有关的资料； 从该资料可以直接或间接确 定有关个人； 该资料的存在形式方便其可 供查阅及处理。特定行业监管制度 个人资料隐私专员公署主要负责香港的个 人资料监管， 同时香港金融管理局也针对 客户资料保护向各存款机构发布了相关 指引。注意事项个人资料 （私隐） 条例 包括六项资料使用者须遵循的保障资料原则。香港针对身份证件号码、 客户信用信息和人力资源相关信息的管理出台了具体要求。隐私专员可针对任何可能违反 个人资料 （私隐） 条例 的行为相关的投诉开展调查。若违反保障资料原则， 私隐专员可发出执行通知， 违反者也可能面临法律诉讼， 被判处罚款及/或监禁。 个人资料 （私隐） 条例 跨境资料转移相关规定尚未实施， 但相关指引已出台。 个人资料 （私隐） 条例 跨境 资料转移相关规定一旦实施， 个人资料在某些特定情况下将不得被转移到香港以外的地方。 您是否了解?2015年， 香港个人资料私隐专员公 署共接获1,971宗投诉， 投诉率几 乎上升了20%。 投诉个案中， 74% 为投诉私营机构， 被投诉的私营机 构大多属于金融行业。香港个人资料私隐专员公署 2015年工作报告尊重文化差异，建立信任关系 | 亚太地区简况6印度受法律保护的信息类型 印度目前尚未出台任何具体的隐私法规， 但印度政府2000年颁布的 信息技术法 案 （IT Act 2000） 、 2008年颁布的 信 息技术法案 （修正案） 、 以及2011年颁 布的 信息技术法规 （IT Rules） 均对包 括可说明的数据隐私在内的信息技术监 管做出了规定。 根据印度相关法律规定， 个人信息与自然人相关， 且能够与其他法 人团体提供或可能提供的信息结合， 直接 或间接地识别个人身份。根据2011年颁布的 信息技术法规 规 定， 敏感的私人数据或信息是指相关方 需遵循额外规定和履行额外义务的信息， 此类信息包括密码、 银行和金融信息、 身 体和心理健康状况、 生物特征信息等。特定行业监管制度 印度还针对一些特定行业规定了额外的法 律义务。例如， 获取医疗信息、 管理电信信息、 外包 海外银行业务均需要密码。信用信息公司和信贷机构 （包括银行） 也 必须遵守信用信息相关规章制度。 这些规 章制度并非由法律或监管机构做出规定， 而是由相关信用信息公司和机构制定。注意事项各企业必须公布其隐私保护政策， 包括所收集信息的类型、 收集信息的原因、 信息披露的对象、 保障信息安全的 措施等。收集个人信息须征得被收集者同意， 且企业须向被收集者发出相应通知。信息使用者只可将信息用于信息收集所设定的目的， 且通常情况下只能在信息使用有效期内保留信息。 个人可查 阅相关方所持有的本人信息， 并在信息有误的情况下要求做出修改。无论在印度境内或境外向任何第三方披露敏感的私人数据或信息， 均须遵循传输此类信息的相关规定。违反了数据保护规定的实体将面临包括罚款和监禁在内的相应处罚。您是否了解?信息技术法规 通常适用于印 度境内的个人或 “数据主体” 。 这 就意味着 信息技术法规 可能 并不适用于 “数据主体” 在印度境 外， 而数据处理发生在印度境内 的情况。尊重文化差异，建立信任关系 | 亚太地区简况7印度尼西亚受法律保护的信息类型 印度尼西亚的数据保护法律主要包括 电子信息和电子交易法 （Elect