1、尊重文化差异， 建立信任关系 隐私与数据保护2“亚洲各国在过去几年掀起了 一股数据保护法规的浪潮， 而随之产生的相关法规差异性也越来越明显。 本次国际大会将针对这一差异性展开讨论， 并期待与亚洲各国政府共同分享并学习相关经验。 ”数据保护与隐私专员国际大会 （ICDPPC） 执行委员会主席， 2017年1月28日前言 1 亚太地区简况 2国家/地区 3澳大利亚 3中国大陆 4香港 5印度 6印度尼西亚 7日本 8韩国 9马来西亚 10毛里求斯 11蒙古 12新西兰 13巴布亚新几内亚 14菲律宾 16新加坡 17斯里兰卡 18台湾 19泰国 20越南 21新兴趋势 23您是否考虑? 26联络人

2、 28目录1前言随着亚太区的迅猛发展和高速增长， “一个更具竞争力的亚洲正在强势回归” 。德勤顶级区域经济学家在近期发布的德勤 亚洲之声1报告中指出： 在强有力的政策措施和加速推进改革的影响下， “一个更具竞争力的亚洲正在强势回归” 。 过去12个月， 亚太地区涌现局部性、区域性、 国际性的数据保护监管热潮， 便是这一趋势的具体表现。受上述趋势影响， 亚洲许多国家已经或正积极着手颁布新的隐私相关法规。外包行业内各子行业公司持续实现利润增长， 但同时该行业也面临日益严峻的隐私风险， 相关风险主要与如何看待隐私有关。 充分了解此类风险有助于避免数据泄露， 对于不同地区之间个人数据的传递具有重要意义

3、。 要实现这一目标， 转变隐私与数据保护方式非常必要。 隐私与数据保护不能仅仅注重遵循现有以及不断出现的规章条例， 还应当考虑各个地区的文化和个人意愿， 从而与个人以及监管机构建立信任关系。尊重文化差异亚太地区不同群体、 监管机构、 企业之间均存在文化差异， 正确处理文化差异有助于增强竞争优势。 企业积极了解并尊重文化差异， 有助于增强其对隐私与数据保护风险细微差别的敏感度。这一敏感度为企业实现进一步可持续发展奠定了基础， 也直接推动各企业针对不同文化采取差异化运营策略。 因此， 各企业可针对不同地区采取不同策略， 适应全球和各地区监管环境的变化， 即采用 “全球化与本土化相结合” 的方式管理

4、隐私风险。新增监管法规推动区域协作 从地区层面看， 菲律宾和中国大陆等亚太国家/地区颁布了更加强有力的法律法规， 对个人信息的使用加以管治。 亚太经合组织 隐私保护框架 提出了共同原则， 有助于实现亚太各国家/地区隐私与数据保护法规的协调一致。 虽然该框架目前包括跨境转移相关法规， 且不具有约束力， 但该框架可推动各企业采用区域性策略管理隐私风险。 欧盟 一般数据保护条例 的影响体现了全球法规的域外效力对亚太地区的影响。关于本报告与不同文化中的相关方建立信任关系以及失信风险是需要管理的核心风险。 在监管地域范围逐渐超越监管法规原国家的趋势下， 上述风险的管理显得尤为重要。 相关风险管理包括平衡

5、监管机构和个人的期望。本报告主要探讨亚太地区隐私与数据保护相关的主要考虑因素和发展趋势， 并希望能够引起各界对隐私与数据保护的广泛关注。我们期待各方共同合作， 协力解决未来的诸多挑战。James Nunn-Price亚太区网络风险服务领导合伙人合伙人，澳大利亚2017年3月1. 德勤顶级区域经济学家识别并分析紧迫的经济和监管问题， 并指出这些问题对区域内各政府和企业的影响。尊重文化差异，建立信任关系 | 前言2亚太地区简况“新一代乐观的消费者对于其国家经济发展方向发挥着重要影响作用。 这个群体精通技术， 且乐于接受全球中产阶级的无国界消费主义， 但同时也深受其父辈和祖辈平滑消费习惯的影响。新一

6、代消费者正好符合当前亚洲和全球市场的需求。 他们天性乐观， 而且非常愿意接受具有创新性的全新理念。 他们将是进口产品的狂热爱好者， 同时也会在产品出口方面具有极强的竞争优势。 此外， 和所有其他消费者一样， 这个群体也会在其国家经济环境中起到稳定作用。 这就意味着无论其他方面发展情况如何， 这个群体都很有可能在2017年起到支柱性作用。 ” 德勤2017年 亚洲之声针对日本境内外数据跨境传输所制定的严格规定将于2017年5月生效。菲律宾已实施隐私与数据保护监管规章制度。中国近期通过了网络安全法，已于2017年6月1日生效。2017年2月， 澳大利亚通过了强制性数据泄露通知法案。 亚太地区的隐私

7、与数据保护法规在过去12个月发生了巨大变化尊重文化差异，建立信任关系 | 亚太地区简况3澳大利亚受法律保护的信息类型澳大利亚信息专员办公室根据1988年颁布的 隐私法 （Privacy Act 1988） 对澳大利亚全国范围内的隐私信息进行统一监管。 受保护的信息类型包括： 个人信息是指可识别个人的信息或评价， 无论该信息或评价是否真实， 也无论该信息是否被有形载体记录。 敏感信息是指须提供更严格保护的个人信息。 特定行业监管制度除 隐私法 外， 澳大利亚还针对特定行业制定了相应的监管制度， 主要适用于： 医疗卫生行业 授信机构和征信机构 电信和传媒 注意事项澳大利亚隐私原则 （Austral

8、ian Privacy Principles） 包括十三项内容， 适用于澳大利亚政府机构、 大部分大型私营企业、 直销商、 数据代理、 以及全国范围内所有的私营医疗卫生服务机构。 在特定情况下， 部分小型企业和私营企业可免除雇佣信息存留责任。授信机构和征信机构在消费者征信信息方面需履行额外义务， 即规定征信报告包含的个人信息类型、 报告访问权限和原因， 并有义务确保信息得到准确维护。近期颁布的强制性数据保留法案要求电信和互联网服务商确保通讯元数据的安全保留。澳大利亚信息专员办公室负责开展企业评估并公布评估结果。 2017年2月， 澳大利亚最新通过了一项强制性数据泄露通知法案。 根据该法案规定，

9、 各企业若怀疑发生个人信息泄露或确定发生信息泄露这种可能导致严重危害的情况， 须通知用户和澳大利亚信息专员办公室。您是否了解？澳大利亚信息专员办公室开展企业评估的频率出现上升， 这表明澳大利亚消费者的隐私意识日渐增强， 其中94%的消费者认为在登陆网站时， 网站的可靠性比操作简便性更重要。2016年德勤澳大利亚隐私指数尊重文化差异，建立信任关系 | 亚太地区简况4中国大陆受法律保护的信息类型 中华人民共和国网络安全法 保护对国家安全、 国计民生和公共利益 “重要”的网络信息， 其中包括以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的个人信息。个人信息包括但不限于自然人的姓

10、名、 出生日期、 身份证件号码、 个人生物识别信息、 住址、 电话号码等。 特定行业监管制度除网络安全法外， 中国大陆还针对特定行业制定了相应的监管制度。 根据金融服务行业相关监管条例规定， 金融机构应在中华人民共和国境内存储和处理在运营中收集和产生的公民个人金融信息。金融机构若确需向境外提供公民个人金融信息， 则必须制定相应的合同条款， 以保障个人金融信息安全。注意事项网络运营者收集、 使用公民个人信息， 须清晰表明其目的、 方法和范围， 并征得被收集者同意。关键信息基础设施的运营者应当在境内存储公民个人信息和重要业务数据。 若确需向境外提供信息， 则应当进行安全评估。 关键信息基础设施的具

11、体范围尚待国务院确定。网络运营者不得泄露、 篡改、 毁损其收集的个人信息； 未经被收集者同意， 不得向他人提供个人信息。在发生或者可能发生个人信息泄露的情况时， 网络运营者应当立即采取补救措施， 按照规定及时告知用户并向有关主管部门报告。2017年5月2日出台的 网络产品和服务安全审查办法 规定， “关系国家安全的网络和信息系统采购的重要网络产品和服务” ， 应当经过网络安全审查。 您是否了解?中国的网络安全法规相对较新， 且适用范围较广 。中国网络安全法的内容还有待进一步补充， 以满足特定行业和特定关键信息基础设施的需求， 包括公共服务、 能源、 传媒、 政府、 医疗保健、 金融、 交通、

12、电信和制造业的需求。网络运营者关键信息基础设施运营者尊重文化差异，建立信任关系 | 亚太地区简况5香港受法律保护的信息类型 个人资料私隐专员公署负责监督 个人资料 （私隐） 条例 的施行， 确保个人资料得到保障。个人资料是指： 直接或间接与在世的个人有关的资料； 从该资料可以直接或间接确定有关个人； 该资料的存在形式方便其可供查阅及处理。特定行业监管制度个人资料隐私专员公署主要负责香港的个人资料监管， 同时香港金融管理局也针对客户资料保护向各存款机构发布了相关指引。注意事项个人资料 （私隐） 条例 包括六项资料使用者须遵循的保障资料原则。香港针对身份证件号码、 客户信用信息和人力资源相关信息的

13、管理出台了具体要求。隐私专员可针对任何可能违反 个人资料 （私隐） 条例 的行为相关的投诉开展调查。若违反保障资料原则， 私隐专员可发出执行通知， 违反者也可能面临法律诉讼， 被判处罚款及/或监禁。 个人资料 （私隐） 条例 跨境资料转移相关规定尚未实施， 但相关指引已出台。 个人资料 （私隐） 条例 跨境资料转移相关规定一旦实施， 个人资料在某些特定情况下将不得被转移到香港以外的地方。 您是否了解?2015年， 香港个人资料私隐专员公署共接获1,971宗投诉， 投诉率几乎上升了20%。 投诉个案中， 74%为投诉私营机构， 被投诉的私营机构大多属于金融行业。香港个人资料私隐专员公署2015年

14、工作报告尊重文化差异，建立信任关系 | 亚太地区简况6印度受法律保护的信息类型 印度目前尚未出台任何具体的隐私法规，但印度政府2000年颁布的 信息技术法案 （IT Act 2000） 、 2008年颁布的 信息技术法案 （修正案） 、 以及2011年颁布的 信息技术法规 （IT Rules） 均对包括可说明的数据隐私在内的信息技术监管做出了规定。 根据印度相关法律规定，个人信息与自然人相关， 且能够与其他法人团体提供或可能提供的信息结合， 直接或间接地识别个人身份。根据2011年颁布的 信息技术法规 规定， 敏感的私人数据或信息是指相关方需遵循额外规定和履行额外义务的信息，此类信息包括密码、

15、 银行和金融信息、 身体和心理健康状况、 生物特征信息等。特定行业监管制度印度还针对一些特定行业规定了额外的法律义务。例如， 获取医疗信息、 管理电信信息、 外包海外银行业务均需要密码。信用信息公司和信贷机构 （包括银行） 也必须遵守信用信息相关规章制度。 这些规章制度并非由法律或监管机构做出规定，而是由相关信用信息公司和机构制定。注意事项各企业必须公布其隐私保护政策， 包括所收集信息的类型、 收集信息的原因、 信息披露的对象、 保障信息安全的措施等。收集个人信息须征得被收集者同意， 且企业须向被收集者发出相应通知。信息使用者只可将信息用于信息收集所设定的目的， 且通常情况下只能在信息使用有效

16、期内保留信息。 个人可查阅相关方所持有的本人信息， 并在信息有误的情况下要求做出修改。无论在印度境内或境外向任何第三方披露敏感的私人数据或信息， 均须遵循传输此类信息的相关规定。违反了数据保护规定的实体将面临包括罚款和监禁在内的相应处罚。您是否了解?信息技术法规 通常适用于印度境内的个人或 “数据主体” 。 这就意味着 信息技术法规 可能并不适用于 “数据主体” 在印度境外， 而数据处理发生在印度境内的情况。尊重文化差异，建立信任关系 | 亚太地区简况7印度尼西亚受法律保护的信息类型 印度尼西亚的数据保护法律主要包括 电子信息和电子交易法 （Electronic Information and

17、 Transaction Law）以及 电子系统与交易操作政府条例82/2012 （Government Regulation No. 82 on the Implementation of Electronic System and Transaction） 。此类法律规定， 个人数据是指应被储存和维护的某些个人信息， 且其准确性和机密性应该受到法律保护。具体而言， 电子系统与交易操作政府条例82/2012 引入 “电子系统运营者” 这一术语， 意指出于自身利益的考虑或者出于另一方利益的考虑而提供、 管理或运营电子系统的任何个人、 国家行政管理机构、企业或公共实体。若您所在企业为电子系统运营

18、者， 则其需要特别注意各项监管制度。注意事项电子系统运营者可以提供公共服务或私人服务。 提供公共服务的电子系统运营者必须进行登记备案， 提供私人服务的电子系统运营者可以选择性地进行登记备案。在印度尼西亚， 处理个人信息的关键原则是获得数据相关人员的许可。关于个人信息的透明化、 存储、 更改或删除并无具体规定或要求。 然而， 政府正在考虑推出更加详细的新版 个人信息保护法案 （Personal Data Protection Bill） ， 以此管理电子系统中的个人信息。发生个人信息泄露事件时， 电子系统运营者须通知相关人员， 但是至于如何以及何时发出通知， 相关法律并无详细说明。通信与信息技术

19、部负责贯彻落实数据保护制度， 且其有权调查涉及非法处理个人和机密信息的违规处罚事件 （处罚包括罚款和监禁） 。特定行业监管制度针对个人信息收集， 尤其是与银行、 金融活动以及医疗保健相关的个人信息， 印度尼西亚已经出台多项法律对此进行监管。尊重文化差异，建立信任关系 | 亚太地区简况8日本受法律保护的信息类型日本的 个人信息保护法 （Personal Information Protection Act） 修订版将于2017年5月30日起全面生效。个人信息保护法 主要针对数据控制者， 即出于商业目的处理个人信息的实体， 而非国家机构或地方公共实体。个人信息保护法 监管的个人信息包括用于识别生命

20、个体身份且与其相关的所有信息， 此类信息或是单独存在， 或是与其他容易获取的信息结合存在。此外， 个人敏感信息包括种族、 宗教、 医疗以及其他敏感信息， 并且收集或处理此类信息需要获得许可。特定行业监管制度特定行业， 包括金融、 医疗以及电信服务行业， 必须遵守个人信息保护委员会推出的附加规定。负责处理海量数据 （包含个人信息） 的企业可以根据个人信息保护委员会所做规定生成并向第三方提供匿名化的信息。注意事项个人信息保护法 规定， 负责企业监控和监督的个人信息保护委员会为独立监察机构， 主要管理在日本开展业务的所有数据控制者。 目前， 个人信息保护委员会监察权力有限， 但其不久将会成为中央监管

21、机构， 主要针对处理个人信息的经营者。个人信息用于新闻工作、 文学作品、 学术研究以及宗教和政治活动的情况可以免除责任。个人信息保护法 规定， 若信息接收者没有符合个人信息保护委员会规定的数据保护系统， 则数据控制者必须在向境外第三方传输个人信息前获得许可。企业必须针对向第三方提供个人信息或从第三方接收个人信息做好相关记录， 并须事先获得许可。不当使用个人信息， 例如数据盗窃或向第三方提供信息以获取非法收益， 可能面临刑事处罚。您是否了解?个人信息保护法 修订版规定，企业必须记录个人信息的来源和收集方式。 欲了解有关记录工作规定的更多信息， 请咨询个人信息保护委员会。尊重文化差异，建立信任关系

22、 | 亚太地区简况9韩国受法律保护的信息类型韩国的 个人信息保护法 （Personal Information Protection Act） 主要针对与自然人相关的个人信息， 包括全名、 居民登记号码或者可以用于证明身份的所有信息。个人信息保护法 所涉信息可能无法立刻证明身份， 但可与其他信息结合以证明身份。特定行业监管制度企业应该清楚， 针对某些行业可能存在一些特殊规定。 特别是在下列领域， 除 个人信息保护法 外还有补充立法： 银行 健康 雇佣/劳资关系注意事项个人信息保护法 主要针对个人信息处理者， 即单独或通过第三方处理业务活动过程中或与业务活动相关的个人信息的机构、 企业、 组织或

23、个人。个人信息保护法 包括八项隐私原则， 公共部门和私营部门的个人信息处理者 （无论规模大小） 均须遵守这些原则。2016年， 个人信息保护法 新增惩罚性赔偿和法定损害赔偿。 民事赔偿主要针对因个人信息处理者故意渎职或严重疏忽而导致的个人信息丢失、 被盗、 泄露或伪造事件。 受害者也可要求惩罚性赔偿， 赔偿金额最多不超过民事赔偿金额的三倍。自2016年8月6日起， 韩国政府有权通过云通信系统处理与健康相关的个人信息或电子病历。自2016年6月起， 上年度销售额不低于150亿韩元的企业均须获得信息安全管理体系认证。尊重文化差异，建立信任关系 | 亚太地区简况10马来西亚受法律保护的信息类型 马来

24、西亚的 2010年个人资料保护法令（Personal Data Protection Act 2010）主要负责监管数据使用者对于个人信息的收集、 存储、 处理或使用。 该项法令规定， 处理或有权处理商业交易相关个人信息的任何个人均须遵守个人资料保护局规定。个人信息通常是指用于证明数据主体身份且与其相关的信息。特定行业监管制度某些类型的数据使用者必须在个人资料保护部进行登记备案， 包括会计、 审计、 法律、 工程、 建筑和住宅开发领域， 以及医疗和牙科服务。注意事项2010年个人数据保护法令 列有七项原则， 包括数据保护通用原则以及通知和选择、 披露、 安全、 数据保留、数据完整性和数据访问原

25、则。2010年个人数据保护法令 不适用于马来西亚政府机构或在马来西亚境外处理的个人信息。 该项法令主要针对不在马来西亚境内但使用马来西亚境内设备进行个人信息处理的境外实体。2010年个人数据保护法令 框架包括自该项法令实施以来由个人资料保护局推出的补充条例和规定。 数据使用者应慎重考虑与其所在企业相关的条例规定。2015年个人数据保护规范 （Personal Data Protection Standards 2015） 包括一系列规定， 主要针对个人电子信息和个人非电子信息的保留、 安全性和完整性。 该项规范明确规定了对于个人电子信息 （包括员工登记项目） 的最低要求， 主要涉及个人信息处理

26、、 身份认证管理、 密码保护、 恶意软件防护以及可移动媒体设备和云计算的使用限制。2016年个人数据保护 （复合犯罪） 条例 （Personal Data Protection (Compounding of Offences) Regulations 2016） 规定， 违反 2010年个人数据保护法令 规定可能面临加重处罚。您是否了解?除非相关部长允许个人信息传输至指定国家， 否则数据使用者通常不得传输个人信息至马来西亚境外。尊重文化差异，建立信任关系 | 亚太地区简况11毛里求斯受法律保护的信息类型 数据保护法2004 （Data Protection Act 2004） 以及 数据保护

27、条例2009（Data Protection Regulations 2009）由数据保护局负责施行。 该监管机制主要负责保护由公共部门和私营部门管理的个人信息和敏感个人信息。受法律保护的信息类型包括： 个人信息是指与个人相关的信息， 包括成为个人信息组成部分的个人观点 （无论信息是否被有形载体记录） 等， 其个人的身份是显而易见的， 或可通过数据、 信息或观点对其身份进行合理证明。 敏感信息是指与数据主体相关的个人信息， 包括种族、 民族、 政治观点、 宗教信仰、 工会会员身份、 身体或心理健康状况、 性取向、 犯罪行为或指控犯罪行为以及犯罪诉讼或犯罪指控。注意事项数据保护法2004 包括八

28、项数据保护原则， 主要针对个人信息的收集、 处理、 完整性、 安全性以及跨境转移。尽管针对企业设立数据保护官方面并无具体法律规定， 但是多数企业均已设立个人信息合规专员。所有数据控制者均须在数据保护局进行登记备案， 这一过程可在数据保护局网站上进行。在数据保护局进行的登记备案存在有效期限， 企业至少须在期满前一个月对其进行更新。目前暂无数据泄露通知的监控计划， 但是数据保护局鼓励数据控制者采取积极行动发生损害风险时向受影响的个人发出通知并向数据保护专员报告重大数据泄露事件。您是否了解?数据控制者可以访问数据保护局网站， 利用网站资源进行隐私影响评估。尊重文化差异，建立信任关系 | 亚太地区简况

29、12蒙古受法律保护的信息类型 根据 1995年组织机密法案（Organization Secrets Act 1995） ，或称 组织隐私法案 （Organization Privacy Act） ， 在蒙古， 企业可以自行决定何为机密信息。该项法案主要针对信息、 技术解决方案或设计、 研究资料以及技术和设备， 此等内容一旦泄露， 可能会对处于市场主导地位的企业造成不利影响。特定行业监管制度根据 2010年银行法案 （Banking Act 2010） ， 泄露银行所持机密信息的任何个人将被处以罚款， 但与 1995年组织机密法案 相同， 该项法案规定银行可以自行决定何为机密信息。注意事项在蒙

30、古， 企业可以自行决定何为机密信息。对于可以证明处于使用状态的设备和技术正在对人类健康或环境造成不利影响的任何信息， 企业不得保密。对于与犯罪相关的任何信息， 企业不得保密。蒙古法律针对违反保密规定并不提供任何法律补救措施。 1995年组织机密法案 规定， 企业可向法院提起诉讼， 法院将会根据各方之间签订的合同来裁决争端。您是否了解?蒙古同时也制定了 1995年个人隐私法案 （Personal Secrecy Act 1995） ， 规定个人有权针对侵犯个人隐私的行为提起诉讼。尊重文化差异，建立信任关系 | 亚太地区简况13新西兰受法律保护的信息类型 新西兰的 隐私法 （Privacy Act

31、） 主要保护身份认证信息。 身份认证信息的定义还有待商榷。 无论信息是否真实、 无论信息是否被有形载体记录， 均适用 隐私法 。 隐私法 针对所有机构， 广义是指持有个人信息的实体 （无论此类实体属于公共部门或是私营部门） 。 在某些情况下， 隐私法 也适用于个人。特定行业监管制度对于某些行业而言， 针对下列领域存在一些特殊规定： 健康 征信 电信 媒体和广播 雇佣注意事项隐私法 包括三类 （收集、 使用、 披露） 共计十二项信息隐私原则。 若是需要更加具体的实施标准， 隐私专员可以推出具体行为守则。侵犯他人隐私可被判处损害赔偿。 侵犯人权则被视为情节特别严重， 这一方法从某种程度上看是起源于

32、新西兰的 权利法案 。隐私法 规定 核准信息共享协议 （Approved Information Sharing Agreements） 成为一种法律机制， 允许机构之间或机构内部出于提供公共服务的目的而进行信息共享。 公共机构仅在一定条件下可被纳入该项机制。一般而言， 新西兰的公共机构比私营部门更加重视隐私责任， 而且对于提供客户至上的公共服务而言， 隐私日益成为一项关键因素。近日， 司法部长表示， 新西兰的隐私法律改革仍然处于初步规划阶段。 改革可能涉及改变公共机构之间的信息共享形式， 以及制定强制性的数据泄露通知计划。 您是否了解?与公共部门合作或向公共部门销售服务的企业必须遵守新西兰信

33、息隐私原则。尊重文化差异，建立信任关系 | 亚太地区简况14巴布亚新几内亚尽管巴布亚新几内亚目前未建立隐私与信息保护相关法律制度， 但近期颁布的2016年网络犯罪法令 （Cybercrime Code Act 2016） 规定了通过电子系统和设备开展的相关活动。该法令旨在防止或起诉利用信息通信技术对个人、 公众、 政府机构或企业实体进行的违法犯罪。该法令的监管范围包括： 黑客行为、 网络暴力、 网上诱拐儿童、 非法广告、 网络骚扰、 网络诈骗、 造假、 儿童赌博、 身份盗用、 非法披露、 知识产权侵权 （如商标、版权、 专利和工业外观设计） 、 儿童色情与动物色情作品制作、 占有和发布、 成人

34、色情作品制作及发布、 非法设备设计与销售， 以及多种其他技术犯罪。网络犯罪法令 规定了执法部门防止、调查和起诉上述网络犯罪的相关机制， 并准许在发生信息通信技术及电子系统和设备相关刑事犯罪时， 反网络犯罪执法部门开展国际合作。私人通信受1973年 隐私通信保护法 （Protection of Private Communications Act 1973） 保护。 私人通信包括某人仅向另一人发送、 并采取防范措施确保不被窃听的任何通信。该法令对电信与传媒行业影响最大。尊重文化差异，建立信任关系 | 亚太地区简况15 “设立数据隐私官主要是为了降低隐私侵犯风险， 迅速应对个人信息相关问题， 保护

35、网民权利。 ”微软菲律宾组织的数据隐私论坛上国家隐私委员会副隐私专员Damien Mapa表示16菲律宾受法律保护的信息类型 数据隐私法案 （Data Privacy Act） 适用于公众与私有数据管理员和处理人员掌握的个人信息。国家隐私委员会 （National Privacy Commission） 于2016年发布的共和国第10173号令 实施规定与法规 ， 规定了数据隐私法案 的适用范围。个人信息是指有形或无形的任何信息， 据此可了解个人身份或直接合理确定具体个人， 或与其他信息汇总时可直接明确识别具体个人。注意事项该法规对菲律宾境内业务具有重大影响， 尤其是信息技术和业务流程外包行业

36、。 据报道菲律宾该行业产值超过200亿美元， 对该国的国民生产总值贡献最大。该法规要求， 无论何时收集消费者个人信息均应以有效方式告知消费者。发生数据泄露， 若为敏感信息或用于身份欺诈的， 该法规要求通常在72小时内必须通报数据隐私委员会以及受影响的消费者。该法规要求登记注册数据处理业务并在特殊情况下向数据隐私委员会通报自动化处理业务。对个人信息进行不当访问和处理， 或未经个人同意处理个人信息的， 将受到相应处罚， 包括监禁和重金罚款。您是否了解?若在菲律宾开展业务， 您需要向国家隐私委员会提交安全事件和数据泄露年度总结报告。在某些情形中部分义务同样适用于菲律宾以外情况。 您应当检查该等义务是

37、否适用于您的经营活动。尊重文化差异，建立信任关系 | 亚太地区简况17新加坡受法律保护的信息类型 新加坡 个人信息保护法案 （Personal Data Protection Act） 规定的个人信息是指， 无论真实与否， 或者是否为敏感信息和电子信息， 只要是能通过该信息或与其他信息结合后识别出具体个人的信息。该法案未涵盖商务联系信息等信息， 且一般未纳入已故个人的相关数据， 但披露和保护义务仍适用于已故十年或以下的个人。新加坡政府成立的个人信息保护委员会 （Personal Data Protection Commission） 负责管理 个人信息保护法案 相关事宜。特定行业监管制度除 个

38、人信息保护法案 外， 还有多个领域的咨询指引， 包括： 电信 房地产 教育 医疗 社会服务 注意事项个人信息保护法案 包含两项主要规定： 信息保护规定和 “谢绝来电” （Do Not Call） 规定。信息保护规定包含企业应遵守的九项主要隐私义务： 同意、 目的限制、 通报、 查阅并更正、 准确性、 保护、 保留限制、 传输限制及公开性。企业应任命信息保护官管理信息保护政策并确保该企业遵守 个人信息保护法案 。信息中介机构是承包处理个人信息的企业， 必须遵守相同的保护和保留义务， 并需要确保实施合理的安全措施，且不再存有业务或法律需求时， 不保留该等信息。“谢绝来电” 规定禁止企业以语音呼叫、

39、 文字或传真留言形式向 “谢绝来电” 登记处登记的新加坡电话号码发送特定销售信息。 希望发送销售信息的企业必须向 “谢绝来电” 登记处核实或取得明确无误的同意。您是否了解?企业仍可使用 个人信息保护法案 于2014年生效前采集的个人信息， 但如果该等信息用作其他用途， 该企业则必须重新寻求同意。尊重文化差异，建立信任关系 | 亚太地区简况18斯里兰卡受法律保护的信息类型斯里兰卡信息通信技术署 （Information and Communication Technology Agency） 监管的一系列电子系统相关法律， 协助规范电子交易中使用的电子数据和文件。这些法律保障国内外在线交易简单顺

40、利地进行。计算机犯罪法案 （Computer Crimes Act） 限制任何人未经许可修改或删除信息， 并规定以此进行计算机编程使授权人员不能获取该信息为非法行为。特定行业监管制度银行受多项法规监管。 企业应了解相关适用法规。注意事项经国家认证机关 （National Certification Authority） 授权， 信息通信技术署作为 电子交易法 （Electronic Transaction Act） 认证机关， 管辖所有电子合同、 电子商务、 电子业务和电子政务活动。银行业引领斯里兰卡的数字证书框架发展， 以便实施恰当的信息安全防范措施并树立消费者信心。目前政府正考虑实施 信息

41、保护法案 （Data Protection Act） ， 助力建立一个具有数字包容性的斯里兰卡。斯里兰卡于2015年5月实施布达佩斯公约， 成为打击网络犯罪公约的成员国之一， 并正式通过国内立法以及就网络犯罪事宜与欧洲理事会开展合作。计算机犯罪法案 规定了未经授修改、 变更或删除信息以及拒绝存取等违法行为。您是否了解?斯里兰卡于2016年颁布了 知情权法案 （Right to Information Act） ， 规定市民有权获取政府有关部门持有或掌握的信息， 并于2016年12月成立了信息专员公署（Information Commissioners Office） 。尊重文化差异，建立信任关

42、系 | 亚太地区简况19台湾受法律保护的信息类型 个人资料保护法 （Personal Data Protection Act） 适用于所有公共机构、公司及个人， 管理仅用于个人或家庭事务的个人资料的除外。个人资料是指足以直接或间接识别具体个人的任何信息。敏感个人资料包括但不限于病历、 病史、遗传信息和犯罪记录等多类信息。个人资料仅可用于采集目的， 个人资料保护法 适用情况除外， 即仅用于处理个人或家庭事务的个人资料。注意事项处理个人信息的企业必须适当通报采集个人资料的目的和计划用途。个人资料保护法 规定个人有权查阅和获取其个人信息副本， 补充或更正信息， 撤销同意并拥有和使用已中断的个人信息。

43、保存个人信息的企业必须具备恰当的安全措施以防信息被窃取、 更改、 损坏、 损毁或泄露。 委托其他企业采集、处理或使用个人信息时， 该企业必须对受委托机构进行适度监督。个人资料保护法 规定了对故意或过失侵权提供损害赔偿。多个部门负责应用并执行 个人资料保护法 。 司法部负责起草并解释 个人资料保护法 ， 但行业监管机构和地区政府机关负责具体地区的执法。您是否了解?台湾监管机构禁止任何在台湾开展业务的企业将任何个人资料传输至海外， 如果该数据传输行为被视为触犯台湾利益或海外地区并无适当的个人资料保护制度。尊重文化差异，建立信任关系 | 亚太地区简况20泰国受法律保护的信息类型 尽管泰国有许多法律保

44、护特定情形中的信息， 但并未制定具体的隐私法。泰国的 商业机密法 （Trade Secret Act） 保护的重要商业信息包括公式、 程序、 技术和流程。 该法令明确规定了 “商业机密” 和 “商业信息” ， 以及侵权处罚事宜。特定行业注意事项相关法律规范了金融和通信等部分特定商业领域的个人信息采集、 使用、 披露和传输。特定限制措施适用于敏感个人信息且企业在处理信息前必须征得相关个人同意。注意事项商业机密法 受中央知识产权与国际贸易法院管辖， 该专门法院采用易理解的方式对知识产权和贸易进行人性化监管。商业信息的法律定义较为广泛， 包括公式、 形式、 编辑、 组装工作、 程序、 方法、 技术和

45、流程。未经拥有人许可的信息披露可采用民事救济。 某些情况下可能涉嫌刑事犯罪。泰国政府2015年批准通过 个人信息保护法 （Personal Information Protection Act） 草案， 对信息保护制度进行改革， 但该法案目前尚未经国民议会正式考虑。泰国目前正在考虑一系列信息保护和网络通信相关法案， 以支持其不断发展的数字经济。您是否了解?隐私权受泰国宪法保护。尊重文化差异，建立信任关系 | 亚太地区简况21越南受法律保护的信息类型 越南新颁布的 网络信息安全法（Cyber Information Security） 仅限于处理网络商业交易中的个人信息。该法律规定， 个人信息是

46、指与具体个人识别相关的信息， 包括一系列规范信息采集、 编辑、 使用、 存储、 提供、 共享或传播的信息隐私保护原则。网络信息安全法 也保护个人私生活及其家庭隐私、 个人和企业的个人信息以及私密信息。特定行业监管制度新颁布的 网络信息安全法 仅限于规范网络个人信息。 越南个人信息保护的其他方面经由一系列其他具体领域和行业法规实现共享。注意事项近期颁布的 网络信息安全法 鼓励严格安全地处理个人信息， 并规定了越南的监管框架， 助力经济、 社会和政治实现强劲发展。尽管 网络信息安全法 的核心是获得个人的许可， 但仍有多条法规坚决支持国家安全。 国家机关可未获同意即要求共享个人信息， 且根据政府有关

47、机构要求， 网络安全服务提供商必须为了国家安全和公共秩序而终止其业务。网络信息安全法 未包含在越南境外传播个人信息的任何具体法规， 也未规定信息泄露通报方案。负责执行信息保护法律的主要部门是信息通信部 （Ministry of Information and Communications） ， 该部门可开展检查、 审查投诉和其他涉嫌信息隐私侵犯行为。企业可能会因泄露个人信息而被处以罚款、 惩戒或民事处罚。 个人也可要求对任何所受损失或伤害进行赔偿。您是否了解?网络信息安全法 适用于在越南从事信息技术应用和开发活动的个人与企业。尊重文化差异，建立信任关系 | 亚太地区简况22“数据被用于业务机遇

48、及其他竞争优势并非偶然。 我们可有效利用数据抓住机遇、促进增长， 但在此之前， 我们需要齐心协力认真规划业务运营及组织流程， 以收集、 管理并保护数据。 这应从我们内部的员工开始培养他们数据监护人意识及数据主人翁意识。 ”Yaacob Ibrahim博士， 新加坡通讯及新闻部部长， 2016年7月20日， 莱佛士城会议中心第四届个人资料保护研讨会开幕式23亚太地区新兴趋势趋势一: 监管机构正采取更加积极的隐私与数据保护方法尽管全球及亚太地区关于数据保护的观点不断变化， 但监管机构正采取革新技术并利用其对公民个人的影响， 积极应对。监管制度变得更加强硬。 监管机构正在逐步将企业复核作为部分年度战

49、略。 在一些国家， 监管机构制定了严厉的信息泄露报告要求， 针对泄露情况将处以罚款。在这样一个动态变化的环境中， 企业的隐私与数据保护框架很快会被淘汰。 如果企业未及时更新， 不仅会被处以罚款，还会遭受财务损失、 客户信任缺失及名誉受损。创造更多机遇并加大数据使用以推动业务增长，这意味着企业需要采取更加积极且本地化的方式以缓解数据隐私及保护风险，尤其是在亚太地区相关法规不断变化的情况下。这一挑战要求区域内的企业紧密协作，方能在动荡变化的环境中维持优势。如何应对?行动计划： 考虑进行一次隐私健康检查以了解企业的隐私框架如何满足监管机构的要求。 首先完成第26页的检查表。 “如果将隐私视为一项补充

50、服务或产品特性， 而不是合规问题， 那么企业便能与客户建立更好的关系， 并确保客户成为品牌建设的一股重要力量。 ”2016年德勤隐私指数趋势二：建立可持续的隐私框架全球化意味着仅从本地化和符合合规要求的角度被动地管控隐私与数据保护风险已无法满足要求。 企业需要持续监控风险暴露， 以应对自身、 第三方、 监管机构、 客户、 全球以及文化方面的要求。如何应对?行动计划： 将隐私与数据保护复核纳入内部审计计划 执行相应流程， 确认并评估司法辖区引入的新指南或法规所产生的影响 实施数据监测计划， 以确定数据储存位置并监控数据内部转移或移交给外部机构后的储存位置 主动与所在司法辖区外的监管机构建立关系隐

51、私框架应具有弹性， 能够承受监管变化、 监管者活动以及公民个人对其信息潜在用途的日益了解。企业须能够调整并改进其隐私与数据保护计划， 以确保这些计划能够应对不断涌现的新兴风险。 这将不仅有助于增进企业内部的信任， 还能够加强客户信任，满足客户期望。尊重文化差异，建立信任关系 | 亚太地区新兴趋势24趋势三：客户所了解的比你想象的更多，且不会告诉你！ 客户正愈加快速地了解到向企业提供信息的后果。 这也正促使企业了解客户的预期， 并以符合这些预期的方式作出回应。尽管存在文化差异， 但亚太地区所有国家有一个明确的相同点， 即所有人都依赖技术获得各种各样的产品和服务。 从这一点上看， 大家的处境相同。

52、无视客户期待与文化期待会使客户向企业提供信息时更加小心谨慎。 这将妨碍企业运用这些信息实现预期战略和商业结果。 客户希望自己的信息受到保护。 企业应高度重视客户信任， 没有信任， 企业名誉不仅会受媒体和宣传组织损害， 还有为企业提供财务支持的客户。企业客户第三方司法辖区/国家如何应对?行动计划： 向客户公布更多数据使用细节 了解客户对于信任、 数据使用、允许企业利用创新拓展极限的看法 实施外部客户培训计划以管理客户需求尊重文化差异，建立信任关系 | 亚太地区新兴趋势25趋势四：第三方及多方管理企业可将业务外包给位于其他国家的第三方甚至第四方。 这些业务的地理位置可能影响当地的文化观点和监管者观

53、点， 而这两者可能是数据保护风险管理计划中的关键因素。在一些司法辖区内， “企业负责保护其照管的 【所有】 个人信息， 与企业共享此类信息的其他各方也应承担此类责任。 这意味着聘用第三方开展业务的企业在与第三方接洽时， 其承受的隐私与数据保护风险也在增加。 ”1如何应对?行动计划： 评估第三方管理方案， 重点关注隐私与数据泄露管理 获取有关第三方是否遵守企业隐私保护期望的核实证据1. https:/ 不愿公开数据使用细节。 信息公开有可能使与企业隐私与数据保护框架相关的事件获得不必要的关注， 或者有可能成为竞争优势。 与客户坦诚相待对于培养客户信任， 确保客户承诺及增长至关重要。当发生信息误用

54、或信息盗用事件时， 企业通知客户相关情况的时间对品牌感知和客户信任有显著影响。 亚太地区许多公开的信息泄露案例便是例证。如何应对?行动计划： 复核提交给客户的通知及任何通讯， 确保此类文件属于企业可使用数据开展的活动范畴 理解企业风险文化员工是否愿意汇报在数据使用相关过程中发生的客户通讯信息泄露或可能修改？尊重文化差异，建立信任关系 | 亚太地区新兴趋势26您是否考虑？亚太地区各个国家管理隐私与数据保护的方法略有不同。 企业也许需考虑下列因素： 是否知晓业务所在国家的法规条例及监管机构对企业的影响？ 是否收集或储存个人信息？ 在收集或储存某人的个人信息前， 是否应向其发出通知或征得同意？ 是否

55、需考虑跨境信息转移的限制条件？ 某些条件即使是在企业内部信息转移时同样适用。 是否知晓企业将信息储存于何处？ 是否知晓第三方将信息存于何处？ 是否与客户坦诚相待？ 是否告知客户您如何管理其信息？ 是否制定个人信息管理政策， 这些政策是否符合各国客户的期待？ 是否制定针对数据外泄的行动计划？ 一些国家强制要求一旦发生数据泄露， 必须及时向监管机构报告并通告客户有关情况。 是否准备好应对风险文化变化？ 在使用个人信息时， 考虑业务所在地的情况， 理解该地的文化、 变化的经济环境以及它们对员工意识和行为产生的影响。尊重文化差异，建立信任关系 | 您是否考虑？27 “确保将隐私置入企业框架、 置入各种

56、产品及服务发展， 从未如此重要。 在这个数据驱动型经济的时代， 创新愈加依赖于新技术背景下的个人信息使用。 企业及机构明白， 如果他们要走上创新之路， 他们必须真正了解隐私， 才能获得长期成功。并且， 隐私也是非常国际化的话题。 ”Timothy Pilgrim澳大利亚隐私委员， 2016年5月16日， 悉尼隐私认识周商业早餐会28联络人James Nunn-Price亚太区网络风险服务领导合伙人电话：+61 428 200 542电子邮件：.auMarta Ganko澳大利亚隐私与数据保护领导合伙人电话：+61 2 9322 3143 电子邮件：.auShree Parthasarathy印

57、度网络风险领导合伙人电话： +91 98 7172 2243电子邮件： Anu Nayar新西兰网络风险领导合伙人电话：+64 2 1207 9573电子邮件：anayardeloitte.co.nzYoung Soo Seo韩国网络风险领导合伙人电话：+82 2 6676 1929电子邮件：HaruhitoKitano日本网络风险合伙人 电话：+81 80 3591 6426电子邮件：haruhito.kitanotohmatsu.co.jpMan Soo Han韩国税务与法律合伙人电话：+82 2 6138 6710电子邮件：Marta Ganko亚太区领先理念领导合伙人电话：+61 2

58、9322 3143电子邮件：.au薛梓源中国大陆及香港网络风险领导合伙人电话： +86 10 8520 7315电子邮件： Mitsuhiko Maruyama日本网络风险领导合伙人电话：+81 90 6492 3648电子邮件：mitsuhiko.maruyamatohmatsu.co.jpPhilip Chong东南亚数据隐私领导合伙人电话：+65 6 224 8288 电子邮件：吴佳翰台湾网络风险领导合伙人电话：+886 2 4051 6888电子邮件：.twCheryl Khor东南亚网络风险合伙人电话： +60 3 7610 8888电子邮件： 尊重文化差异，建立信任关系 | 联络人

59、关于德勤全球Deloitte （ “德勤” ） 泛指一家或多家德勤有限公司 （即根据英国法律组成的私人担保有限公司， 以下称 “德勤有限公司” ） ， 以及其成员所网络和它们的关联机构。 德勤有限公司与其每一家成员所均为具有独立法律地位的法律实体。 德勤有限公司 （又称 “德勤全球” ） 并不向客户提供服务。 请参阅 中有关德勤有限公司及其成员所更为详细的描述。德勤为各行各业的上市及非上市客户提供审计及鉴证、 德勤管理咨询、 财务咨询、 风险咨询、 税务及相关服务。 德勤通过遍及全球逾150个国家的成员所网络为财富全球500强企业中的80%企业提供专业服务。 凭借其世界一流和高质量的专业服务，

60、 协助客户应对极为复杂的商业挑战。 如欲进一步了解全球大约245,000名德勤专业人员如何致力成就不凡， 欢迎浏览我们的Facebook、 LinkedIn 或Twitter专页。关于德勤中国德勤于1917年在上海设立办事处， 德勤品牌由此进入中国。 如今， 德勤中国的事务所网络在德勤全球网络的支持下， 为中国本地和在华的跨国及高增长企业客户提供全面的审计及鉴证、 德勤管理咨询、 财务咨询、 风险咨询和税务服务。 德勤在中国市场拥有丰富的经验， 同时致力为中国会计准则、 税务制度及培养本地专业会计师等方面的发展做出重要贡献。 敬请访问 ， 通过德勤中国的社交媒体平台， 了解德勤在中国市场成就不凡的更多信息。本通信中所含内容乃一般性信息， 任何德勤有限公司、 其成员所或它们的关联机构 （统称为 “德勤网络” ） 并不因此构成提供任何专业建议或服务。 在作出任何可能影响您的财务或业务的决策或采取任何相关行动前， 您应咨询合资格的专业顾问。 任何德勤网络内的机构均不对任何方因使用本通信而导致的任何损失承担责任。2017。 欲了解更多信息， 请联系德勤中国。CQ-066SC-17