德勤:2017亚太区隐私与个人信息保护白皮书

2019-07-12 18:57:37

亚太经合组织《隐私保护框架》提出了共同原则,有助于实现亚太各国家/地区隐私与个人信息保护法规要求的协调一致。虽然该框架目前已包括跨境传输相关原则,但不具有约束力,但该框架可以推动企业采用区域性整体策略应对隐私和个人信息保护的合规风险

个人信息  中国  印度  印度尼西亚  德勤  新加披  日本  澳大利亚  隐私保护  韩国  香港  

来源: https://www.useit.com.cn/thread-16252-1-1.html

亚太地区隐私与个人信息保护的现状

从区域层面看,亚太经合组织《隐私保护框架》提出了共同原则,有助于实现亚太各国家/地区隐私与个人信息保护法规要求的协调一致。虽然该框架目前已包括跨境传输相关原则,但不具有约束力,但该框架可以推动企业采用区域性整体策略应对隐私和个人信息保护的合规风险。

例如,从地区层面看,菲律宾和中国等亚太国家/地区颁布了更加强有力的法律法规,对个人信息的使用加以保护:

  • 日本境内外数据跨境传输所制定的严格规定于2017年5月生效。
  • 菲律宾已实施隐私与数据保护监管规章制度。
  • 中国网络安全法已于2017年6月1日生效。
  • 2017年2月澳大利亚通过强制性数据泄露通知法案。

亚太国家和地区的隐私与个人信息保护

亚洲各国在过去几年掀起了一股数据保护法规的浪潮,而随之产生的相关法规差异性也越来越明显:

  • 中国: 《网络安全法》于2017年6月1日起施行明确规范网络空间内网络运营者和关键信息基础设施运营者搜集、使用个人信息的责任和义务,特别是个人信息跨境传输转移的要求;除网络安全法以外,中国还针对特定行业制定相应的个人信息保护法律法规,根据金融服务行业等;
  • 澳大利亚:澳大利亚信息专员办公室根据1988年颁布的《隐私法》(Privacy Act 1988)对澳大利亚全国范围内的隐私信息进行统一监管。受保护的信息类型包括个人信息和敏感信息。除《隐私法》外,澳大利亚还针对特定行业制定了相应的监管制度,主要适用于医疗卫生行业、 授信机构和征信机构和电信和传媒。
  • 香港:个人资料私隐专员公署负责监督《个人资料(私隐)条例》的施行,确保个人资料得到保障。隐私专员可针对任何可能违反《个人资料(私隐)条例》的行为相关的投诉开展调查。此外,香港针对身份证件号码、客户信用信息和人力资源相关信息的管理出台了具体要求。
  • 印度:印度目前尚未出台任何具体的隐私法规,但印度政府2000年颁布的《信息技术法案》(IT Act 2000)、2008年颁布的《信息技术法案(修正案)》、以及2011年颁布的《信息技术法规》(IT Rules)均对包括可说明的数据隐私在内的信息技术监管做出了规定。《信息技术法规》通常适用于印度境内的个人或“数据主体”,这就意味着《信息技术法规》可能并不适用于“数据主体”在印度境外,而数据处理发生在印度境内的情况。
  • 印度尼西亚:印度尼西亚的数据保护法律主要包括《电子信息和电子交易法》(Electronic Information and Transaction Law)以及《电子系统与交易操作政府条例82/2012》(Government Regulation No. 82 on the Implementation of Electronic System and Transaction)。此类法律规定,个人数据是指应被储存和维护的某些个人信息,且其准确性和机密性应该受到法律保护。
  • 日本:日本的《个人信息保护法》(Personal Information Protection Act)修订版于2017年5月30日起全面生效,其明确规定企业必须记录个人信息的来源和收集方式。《个人信息保护法》主要针对数据控制者,即出于商业目的处理个人信息的实体,而非国家机构或地方公共实体。
  • 韩国:韩国的《个人信息保护法》(Personal Information Protection Act)主要针对与自然人相关的个人信息,包括全名、居民登记号码或者可以用于证明身份的所有信息,所涉信息可能无法立刻证明身份,但可与其他信息结合以证明身份。《个人信息保护法》包括八项隐私原则,公共部门和私营部门的个人信息处理者(无论规模大小)均须遵守这些原则。
  • 马来西亚:马来西亚的《2010年个人资料保护法令》(Personal Data Protection Act 2010)主要负责监管数据使用者对于个人信息的收集、存储、处理或使用。该项法令规定,处理或有权处理商业交易相关个人信息的任何个人均须遵守个人资料保护局规定。法令有七项原则,包括数据保护通用原则以及通知和选择、披露、安全、数据保留、数据完整性和数据访问原则。
  • 毛里求斯:数据保护局负责施行《数据保护法2004》(Data Protection Act 2004)以及《数据保护条例2009》(Data Protection Regulations 2009)。《数据保护法2004》包括八项数据保护原则,主要针对个人信息的收集、处理、完整性、安全性以及跨境转移。
  • 蒙古:根据《1995年组织机密法案》(Organization Secrets Act 1995),或称《组织隐私法案》(Organization Privacy Act),在蒙古,企业可以自行决定何为机密信息。法案主要针对信息、技术解决方案或设计、研究资料以及技术和设备,此等内容一旦泄露,可能会对处于市场主导地位的企业造成不利影响。
  • 新西兰: 新西兰的《隐私法》(Privacy Act)主要保护身份认证信息,但身份认证信息的定义还有待商榷。《隐私法》针对所有机构,广义是指持有个人信息的实体(无论此类实体属于公共部门或是私营部门)。在某些情况下,《隐私法》也适用于个人。
  • 巴布亚新几内亚:尽管巴布亚新几内亚目前未建立隐私与信息保护相关法律制度,但近期颁布的《2016年网络犯罪法令》(Cybercrime Code Act 2016)规定了通过电子系统和设备开展的相关活动。该法令旨在防止或起诉利用信息通信技术对个人、公众、政府机构或企业实体进行的违法犯罪。
  • 菲律宾:国家隐私委员会(National Privacy Commission)于2016年发布的共和国第10173号令《实施规定与法规》,规定了《数据隐私法案》(Data Privacy Act)的适用范围,法案适用于公众与私有数据管理员和处理人员掌握的个人信息。
  • 新加披:新加坡《个人信息保护法案》(Personal Data Protection Act)规定的个人信息是指,无论真实与否,或者是否为敏感信息和电子信息,只要是能通过该信息或与其他信息结合后识别出具体个人的信息。信息保护规定包含企业应遵守的九项主要隐私义务:同意、目的限制、通报、查阅并更正、准确性、保护、保留限制、传输限制及公开性。
  • 斯里兰卡:斯里兰卡信息通信技术署(Information and Communication Technology Agency)监管的一系列电子系统相关法律,协助规范电子交易中使用的电子数据和文件。这些法律保障国内外在线交易简单顺利地进行。
  • 台湾:《个人资料保护法》(Personal Data Protection Act)适用于所有公共机构、公司及个人,管理仅用于个人或家庭事务的个人资料的除外。台湾监管机构禁止任何在台湾开展业务的企业将任何个人资料传输至海外,如果该数据传输行为被视为触犯台湾利益或海外地区并无适当的个人资料保护制度。
  • 泰国:尽管泰国有许多法律保护特定情形中的信息,但并未制定具体的隐私法。泰国的《商业机密法》(Trade Secret Act)保护的重要商业信息包括公式、程序、技术和流程。该法令明确规定了“商业机密”和“商业信息”,以及侵权处罚事宜。
  • 越南:越南新颁布的《网络信息安全法》(Cyber Information Security)仅限于处理网络商业交易中的个人信息。该法律规定,个人信息是指与具体个人识别相关的信息,包括一系列规范信息采集、编辑、使用、存储、提供、共享或传播的信息隐私保护原则。《网络信息安全法》也保护个人私生活及其家庭隐私、个人和企业的个人信息以及私密信息。

亚太地区隐私和个人信息保护的新兴趋势

  • 监管机构正采取更加积极隐私与个人信息保护方法。监管机构制定了严厉的个人信息泄露报告的要求,针对泄露情况将处以罚款。在这样一个动态变化的环境中,企业的隐私与个人信息保护框架需快速更新,如未及时更新,不仅会被处以罚款,还会遭受财务损失、客户信任缺失及名誉受损。
  • 建立可持续的个人信息保护框架。全球化意味着仅从本地化和符合合规要求的角度被动地管控隐私与个人信息保护风险已无法满足要求。企业须能够调整并改进其个人信息保护计划,以确保这些计划能够应对不断涌现的新兴风险。这将不仅有助于增进企业内部的信任,还能够加强客户信任,满足客户期望。
  • 客户所了解的比你想象的更多,且不会告诉你。无视客户期待与文化期待会使客户向企业提供信息时更加小心谨慎。这将妨碍企业运用这些信息实现预期战略和商业结果。客户希望自己的个人信息受到保护。企业应高度重视客户信任,没有信任,企业名誉势必遭受巨大损失。
  • 第三方及多方管理。企业会把业务外包给位于其他国家的第三方甚至第四方。这些业务外包的管理模式可能受当地文化和监管的影响,而这两者可能是个人信息保护合规风险应对计划中的关键因素。
  • 克服对信息公开的恐惧。当发生信息误用或信息盗用事件时,企业与客户沟通相关情况的方式方法和时间对企业品牌和客户信任有非常显著影响。因此很多企业由于害怕客户流失,不愿公开信息使用和泄露细节,但企业如果能借助有效隐私与个人信息保护框架主动、积极处理此类事件或将成为企业的竞争优势。

企业实施隐私和个人信息保护的启示

建议一:建立隐私和个人信息保护框架,加强协作与沟通

企业通过定期的个人信息保护健康检查,了解企业的隐私和个人信息系统保护框架与监管要求的差距。并将隐私与个人信息保护复核纳入监控、内审工作计划,确认并评估司法辖区引入的新指南或法规所产生的影响,主动与所在司法辖区监管机构建立关系。

建议二:与客户坦诚相待,管理客户需求

客户希望自己的个人信息受到合理保护,与客户坦诚相待对于培养客户信任,确保客户承诺及增长至关重要。因此企业应当向客户公布更多的个人信息搜集、使用细节,了解和搜集客户对于个人信息使用特别是创新拓展使用的的看法。

建议三:完善第三方管理,关注隐私与个人信息泄露

在一些司法管辖区内,企业负责保护其搜集与控制个人信息,与企业共享使用这些个人信息的其他第三方也应承担此类责任,因此企业应当定期评估第三方管控的策略与计划,重点关注隐私与个人信息泄露的管理预案,同时应获取第三方遵守隐私和个人信息保护要求的直接证据。

建议四:完善信息公开机制,制定个人信息泄露响应计划

完善信息公开机制,明确客户触点时信息告知书及其他文件,确保企业搜集、使用个人信息的目的和原则已完整定义。同时结合企业风险文化,建立个人信息泄露响应计划以确保所有相关人员能够采取及时、一致性行动最大化降低损失,保持客户信任。

建议五:满足监管要求,关注个人信息跨境传输

亚太地区各国管理隐私与个人信息立法皆有不同,因此企业应当知晓业务所在国家的法规条例及其对企业影响。在使用个人信息时,考虑业务所在地情况,理解该地文化、监管环境、经济环境以及它们对员工意识和行为的影响。尤其在个人信息跨境传输时,尤其考虑跨境信息传输的各自约束性限制条件。

总结

与不同文化中各国或地区的相关方建立信任关系以及信用丧失的风险是企业需要管理的核心风险。在监管地域范围可能会超越法规立法国家的趋势下,上述风险管理显得尤为重要。因此,隐私与个人信息保护不能仅仅注重遵循现有以及不断出现的法规条例,还应当考虑各个地区所属的当地文化和社会公众的意愿,正确处理文化差异有助于增强企业实施隐私与个人信息保护时对风险细微差别的敏感度。这一敏感度为企业实现进一步可持续发展和增强竞争优势奠定基础,也直接推动各企业针对不同文化采取差异化运营策略。因此,各企业可针对不同地区采取不同策略,适应全球和各地区监管环境的变化,采用“全球化与本土化相结合”的方式管理隐私和个人信息保护的风险。

142019-10
协力保护个人信息安全amip

AI换脸风波、人脸数据公开售卖、大数据公司滥用用户隐私等个人信息保护难题,也成为互联网时代民事权利保护的一大痛点...

122019-10
隐私保护从“剪刀手”开始amip

上海信息安全行业协会副主任张威给出一个吓人的提醒:拍照时如果镜头距离够近,“剪刀手”照片通过放大和人工智能技术提取,就能将人物的指纹信息还原出来...

122019-10
对APP“强制索权”说不amip

打开手机的应用程序(以下称APP),输入18位社会保障号、姓名、8位查询密码、登录密码、手机号,你所有的个人信息有可能出现在别人的电脑后台上...

062019-09
平安人寿职员非法买卖公民个人信息,获刑三年二个月amip

日前,中国平安人寿股份有限公司(简称“平安人寿”)某分公司职员张声再非法获取公民个人信息56.88万条,并将其中部分信息以每条0.35元至0.5元不等的价格出售给李某,违...

312019-08
换脸软件ZAO疯传背后存巨大风险,建议注册时谨慎点击“同意”!amip

这款8月30日刚刚在各大应用商店正式上线的App,在 31 凌晨就出现了服务器满负荷的情况。“人太多太多了,工程师在买服务器……”今天中午,ZAO官方助手发微博说...

312019-08
高三学生自学编程 盗取上亿条个人信息公开售卖amip

自学软件编程技术,研发黑客软件利用网站注册漏洞疯狂盗取公民个人信息上亿条,在境内外网络公开售卖...

292019-08
2019年国家网络安全宣传周将举行:聚焦个人信息保护amip

2019年的网安周由中央宣传部、中央网信办、教育部、工业和信息化部、公安部、中国人民银行、国家广播电视总局、全国总工会、共青团中央、全国妇联等部门联合举办,将以“网络安全...

262019-08
法治:大数据时代 个人隐私何处藏?amip

如何调和数字经济发展与安全的矛盾是全球各国共同面临的难题。据统计,目前全球共有126个国家和地区制定了专门的个人信息保护法,内容包含建立专门的个人信息保护机构、强化数据权...

262019-08
如何加大个人隐私保护力度?——民法典人格权编、侵权责任编草案三审稿四大看点amip

近年来,各地宾馆、民宿、试衣间等场所针孔摄像头偷拍事件屡有发生,引发公众担忧;另一方面,大量电子邮箱地址、公众人物行踪信息等被不法分子盗取放在网络平台上售卖,造成严重的人...

262019-08
新标速递 | 【隐私保护大会】汇集思想领袖,解读全新标准ISO/IEC 27701:2019,隐私至关重要amip

2019年8月7日重磅发布的ISO/IEC 27701隐私信息管理体系(PIMS)国际标准,针对涉及个人数据处理的各种类型(不论其是否盈利性组织,不论其规模有多大)的组织...

122019-08
优衣库遭到黑客攻击,超过46万用户数据泄漏amip

日本最大的服装连锁Fast Retailing(迅销集团)发布消息称,优衣库以及GU品牌的在线商城遭到黑客攻击,约46万用户的数据泄漏,包括用户个人信息、电子邮件、地址以...

302019-07
多家猎头员工因涉嫌侵犯公民个人信息被捕,涉案信息2亿余条amip

多家猎头员工因涉嫌侵犯公民个人信息被捕,涉案信息2亿余条...

222019-07
大量泄露低价倒卖“窥探”隐私 简历安全如何保护?amip

简历屡遭大规模泄露、找工作落入招聘陷阱、修改简历却成“离职预警”……记者调查发现,公民重要的个人信息——简历当前存在不少安全隐患...

202019-07
K12.com 暴露了七百万条学生个人信息记录amip

在线教育平台 K12.com 本周无意中暴露了近 700 万学生的个人信息。暴露的数据库包含全名,电子邮件地址,出生日期和性别身份,以及学生就读的学校,同时还可访问其帐户...

182019-07
大数据时代下,“匿名化”真的能保护我们的隐私安全吗?amip

大数据时代下,数据的收集与应用在带来巨大社会价值的同时,也带来了个人隐私保护方面的难题。如何在对数据进行挖掘应用的过程中保护个人隐私,防止敏感信息的泄露成为新的挑战...

182019-07
要堵住网络用户信息泄露的“黑洞”amip

大数据时代,互联网为人们带来便利的同时,也给网民隐私保护带来威胁。随着各类用户信息泄露事件的发生,社会越来越关注网络信息安全问题...

172019-07
美国最严厉隐私法案即将生效,消费者有权不出售或分享个人信息amip

如果客户要求经销商删除他们的个人数据,所有能访问这些数据的各方也必须删除它...

172019-07
人民日报势所必然:兼顾人工智能应用和隐私保护amip

如何在人工智能应用中兼顾隐私保护,确保安全、可靠、可控,是一项亟须关注的伦理课题...