尊重文化差异，建立信任关系 隐私与数据保护 2“亚洲各国在过去几年掀起了一股数据保护法规的浪潮，而随之产生的相关法规差异性也越来越明显。本次国际大会将针对这一差异性展开讨论，并期待与亚洲各国政府共同分享并学习相关经验。”数据保护与隐私专员国际大会（ICDPPC）执行委员会主席，2017年1月28日 前言 1 亚太地区简况 2国家/地区 3澳大利亚 3中国大陆 4香港 5印度 6印度尼西亚 7日本 8韩国 9马来西亚 10毛里求斯 11蒙古 12新西兰 13巴布亚新几内亚 14菲律宾 16新加坡 17斯里兰卡 18台湾 19泰国 20越南 21新兴趋势 23您是否考虑...? 26联络人 28目录 1前言随着亚太区的迅猛发展和高速增长，“一个更具竞争力的亚洲正在强势回归”。德勤顶级区域经济学家在近期发布的德勤《亚洲之声》1报告中指出：在强有力的政策措施和加速推进改革的影响下，“一个更具竞争力的亚洲正在强势回归”。过去12个月，亚太地区涌现局部性、区域性、国际性的数据保护监管热潮，便是这一趋势的具体表现。受上述趋势影响，亚洲许多国家已经或正积极着手颁布新的隐私相关法规。外包行业内各子行业公司持续实现利润增长，但同时该行业也面临日益严峻的隐私风险，相关风险主要与如何看待隐私有关。充分了解此类风险有助于避免数据泄露，对于不同地区之间个人数据的传递具有重要意义。要实现这一目标，转变隐私与数据保护方式非常必要。隐私与数据保护不能仅仅注重遵循现有以及不断出现的规章条例，还应当考虑各个地区的文化和个人意愿，从而与个人以及监管机构建立信任关系。尊重文化差异亚太地区不同群体、监管机构、企业之间均存在文化差异，正确处理文化差异有助于增强竞争优势。企业积极了解并尊重文化差异，有助于增强其对隐私与数据保护风险细微差别的敏感度。这一敏感度为企业实现进一步可持续发展奠定了基础，也直接推动各企业针对不同文化采取差异化运营策略。 因此，各企业可针对不同地区采取不同策略，适应全球和各地区监管环境的变化，即采用“全球化与本土化相结合”的方式管理隐私风险。新增监管法规推动区域协作 从地区层面看，菲律宾和中国大陆等亚太国家/地区颁布了更加强有力的法律法规，对个人信息的使用加以管治。亚太经合组织《隐私保护框架》提出了共同原则，有助于实现亚太各国家/地区隐私与数据保护法规的协调一致。虽然该框架目前包括跨境转移相关法规，且不具有约束力，但该框架可推动各企业采用区域性策略管理隐私风险。欧盟《一般数据保护条例》的影响体现了全球法规的域外效力对亚太地区的影响。关于本报告与不同文化中的相关方建立信任关系以及失信风险是需要管理的核心风险。在监管地域范围逐渐超越监管法规原国家的趋势下，上述风险的管理显得尤为重要。相关风险管理包括平衡监管机构和个人的期望。本报告主要探讨亚太地区隐私与数据保护相关的主要考虑因素和发展趋势，并希望能够引起各界对隐私与数据保护的广泛关注。我们期待各方共同合作，协力解决未来的诸多挑战。James Nunn-Price亚太区网络风险服务领导合伙人合伙人，澳大利亚2017年3月1. 德勤顶级区域经济学家识别并分析紧迫的经济和监管问题，并指出这些问题对区域内各政府和企业的影响。尊重文化差异，建立信任关系 | 前言 2亚太地区简况“新一代乐观的消费者对于其国家经济发展方向发挥着重要影响作用。这个群体精通技术，且乐于接受全球中产阶级的无国界消费主义，但同时也深受其父辈和祖辈平滑消费习惯的影响。新一代消费者正好符合当前亚洲和全球市场的需求。他们天性乐观，而且非常愿意接受具有创新性的全新理念。他们将是进口产品的狂热爱好者，同时也会在产品出口方面具有极强的竞争优势。此外，和所有其他消费者一样，这个群体也会在其国家经济环境中起到稳定作用。这就意味着无论其他方面发展情况如何，这个群体都很有可能在2017年起到支柱性作用。” 德勤2017年《亚洲之声》针对日本境内外数据跨境传输所制定的严格规定将于2017年5月生效。菲律宾已实施隐私与数据保护监管规章制度。中国近期通过了网络安全法，已于2017年6月1日生效。2017年2月，澳大利亚通过了强制性数据泄露通知法案。 亚太地区的隐私与数据保护法规在过去12个月发生了巨大变化尊重文化差异，建立信任关系 | 亚太地区简况 3澳大利亚受法律保护的信息类型澳大利亚信息专员办公室根据1988年颁布的《隐私法》（Privacy Act 1988）对澳大利亚全国范围内的隐私信息进行统一监管。受保护的信息类型包括： •个人信息是指可识别个人的信息或评价，无论该信息或评价是否真实，也无论该信息是否被有形载体记录。 •敏感信息是指须提供更严格保护的个人信息。 特定行业监管制度除《隐私法》外，澳大利亚还针对特定行业制定了相应的监管制度，主要适用于： •医疗卫生行业 •授信机构和征信机构 •电信和传媒 注意事项《澳大利亚隐私原则》（Australian Privacy Principles）包括十三项内容，适用于澳大利亚政府机构、大部分大型私营企业、直销商、数据代理、以及全国范围内所有的私营医疗卫生服务机构。在特定情况下，部分小型企业和私营企业可免除雇佣信息存留责任。授信机构和征信机构在消费者征信信息方面需履行额外义务，即规定征信报告包含的个人信息类型、报告访问权限和原因，并有义务确保信息得到准确维护。近期颁布的强制性数据保留法案要求电信和互联网服务商确保通讯元数据的安全保留。澳大利亚信息专员办公室负责开展企业评估并公布评估结果。2017年2月，澳大利亚最新通过了一项强制性数据泄露通知法案。根据该法案规定，各企业若怀疑发生个人信息泄露或确定发生信息泄露这种可能导致严重危害的情况，须通知用户和澳大利亚信息专员办公室。您是否了解？澳大利亚信息专员办公室开展企业评估的频率出现上升，这表明澳大利亚消费者的隐私意识日渐增强，其中94%的消费者认为在登陆网站时，网站的可靠性比操作简便性更重要。《2016年德勤澳大利亚隐私指数》尊重文化差异，建立信任关系 | 亚太地区简况 4中国大陆受法律保护的信息类型 《中华人民共和国网络安全法》保护对国家安全、国计民生和公共利益“重要”的网络信息，其中包括以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的个人信息。个人信息包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。 特定行业监管制度除网络安全法外，中国大陆还针对特定行业制定了相应的监管制度。根据金融服务行业相关监管条例规定，金融机构应在中华人民共和国境内存储和处理在运营中收集和产生的公民个人金融信息。金融机构若确需向境外提供公民个人金融信息，则必须制定相应的合同条款，以保障个人金融信息安全。注意事项网络运营者收集、使用公民个人信息，须清晰表明其目的、方法和范围，并征得被收集者同意。关键信息基础设施的运营者应当在境内存储公民个人信息和重要业务数据。若确需向境外提供信息，则应当进行安全评估。关键信息基础设施的具体范围尚待国务院确定。网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。在发生或者可能发生个人信息泄露的情况时，网络运营者应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。2017年5月2日出台的《网络产品和服务安全审查办法》规定，“关系国家安全的网络和信息系统采购的重要网络产品和服务”，应当经过网络安全审查。 您是否了解?中国的网络安全法规相对较新，且适用范围较广。中国网络安全法的内容还有待进一步补充，以满足特定行业和特定关键信息基础设施的需求，包括公共服务、能源、传媒、政府、医疗保健、金融、交通、电信和制造业的需求。网络运营者关键信息基础设施运营者尊重文化差异，建立信任关系 | 亚太地区简况 5香港受法律保护的信息类型 个人资料私隐专员公署负责监督《个人资料（私隐）条例》的施行，确保个人资料得到保障。个人资料是指：直接或间接与在世的个人有关的资料；从该资料可以直接或间接确定有关个人；该资料的存在形式方便其可供查阅及处理。特定行业监管制度个人资料隐私专员公署主要负责香港的个人资料监管，同时香港金融管理局也针对客户资料保护向各存款机构发布了相关指引。注意事项《个人资料（私隐）条例》包括六项资料使用者须遵循的保障资料原则。香港针对身份证件号码、客户信用信息和人力资源相关信息的管理出台了具体要求。隐私专员可针对任何可能违反《个人资料（私隐）条例》的行为相关的投诉开展调查。若违反保障资料原则，私隐专员可发出执行通知，违反者也可能面临法律诉讼，被判处罚款及/或监禁。 《个人资料（私隐）条例》跨境资料转移相关规定尚未实施，但相关指引已出台。《个人资料（私隐）条例》跨境资料转移相关规定一旦实施，个人资料在某些特定情况下将不得被转移到香港以外的地方。 您是否了解?2015年，香港个人资料私隐专员公署共接获1,971宗投诉，投诉率几乎上升了20%。 投诉个案中，74%为投诉私营机构，被投诉的私营机构大多属于金融行业。《香港个人资料私隐专员公署2015年工作报告》尊重文化差异，建立信任关系 | 亚太