尊重文化差异建立信任关系隐私与数据保护 ·...

尊重文化差异，建立信任关系隐私与数据保护

2

“亚洲各国在过去几年掀起了一股数据保护

法规的浪潮，而随之产生的相关法规差异性

也越来越明显。本次国际大会将针对这一差

异性展开讨论，并期待与亚洲各国政府共同

分享并学习相关经验。”

数据保护与隐私专员国际大会（ICDPPC）执行委员会主席，2017年1月28日

前言 1

亚太地区简况 2

国家/地区 3

澳大利亚 3

中国大陆 4

香港 5

印度 6

印度尼西亚 7

日本 8

韩国 9

马来西亚 10

毛里求斯 11

蒙古 12

新西兰 13

巴布亚新几内亚 14

菲律宾 16

新加坡 17

斯里兰卡 18

台湾 19

泰国 20

越南 21

新兴趋势 23

您是否考虑…? 26

联络人 28

目录

1

前言

随着亚太区的迅猛发展和高

速增长，“一个更具竞争力的

亚洲正在强势回归”。

德勤顶级区域经济学家在近期发布的

德勤《亚洲之声》1报告中指出：在强有

力的政策措施和加速推进改革的影响

下，“一个更具竞争力的亚洲正在强势回

归”。过去12个月，亚太地区涌现局部性、

区域性、国际性的数据保护监管热潮，便

是这一趋势的具体表现。

受上述趋势影响，亚洲许多国家已经或正

积极着手颁布新的隐私相关法规。

外包行业内各子行业公司持续实现利润

增长，但同时该行业也面临日益严峻的隐

私风险，相关风险主要与如何看待隐私有

关。充分了解此类风险有助于避免数据泄

露，对于不同地区之间个人数据的传递具

有重要意义。要实现这一目标，转变隐私

与数据保护方式非常必要。隐私与数据

保护不能仅仅注重遵循现有以及不断出

现的规章条例，还应当考虑各个地区的文

化和个人意愿，从而与个人以及监管机构

建立信任关系。

尊重文化差异

亚太地区不同群体、监管机构、企业之间

均存在文化差异，正确处理文化差异有助

于增强竞争优势。企业积极了解并尊重文

化差异，有助于增强其对隐私与数据保护

风险细微差别的敏感度。

这一敏感度为企业实现进一步可持续发

展奠定了基础，也直接推动各企业针对不

同文化采取差异化运营策略。因此，各

企业可针对不同地区采取不同策略，适应

全球和各地区监管环境的变化，即采用“

全球化与本土化相结合”的方式管理隐

私风险。

新增监管法规推动区域协作从地区层面看，菲律宾和中国大陆等亚

太国家/地区颁布了更加强有力的法律法

规，对个人信息的使用加以管治。亚太经

合组织《隐私保护框架》提出了共同原

则，有助于实现亚太各国家/地区隐私与

数据保护法规的协调一致。虽然该框架

目前包括跨境转移相关法规，且不具有约

束力，但该框架可推动各企业采用区域性

策略管理隐私风险。欧盟《一般数据保

护条例》的影响体现了全球法规的域外

效力对亚太地区的影响。

关于本报告

与不同文化中的相关方建立信任关系以

及失信风险是需要管理的核心风险。在

监管地域范围逐渐超越监管法规原国家

的趋势下，上述风险的管理显得尤为重

要。相关风险管理包括平衡监管机构和个

人的期望。

本报告主要探讨亚太地区隐私与数据保

护相关的主要考虑因素和发展趋势，并希

望能够引起各界对隐私与数据保护的广

泛关注。

我们期待各方共同合作，协力解决未来的

诸多挑战。

James Nunn-Price亚太区网络风险服务领导合伙人

合伙人，澳大利亚

2017年3月

1. 德勤顶级区域经济学家识别并分析紧迫的经济和监管问题，并指出这些问题对区域内各政府和企业的影响。

尊重文化差异，建立信任关系 | 前言

2

亚太地区简况

“新一代乐观的消费者对于其国家经济发展方向发挥着重要影响作用。这个群体精通技术，且乐于接受全球中产阶级的无

国界消费主义，但同时也深受其父辈和祖辈平滑消费习惯的影响。

新一代消费者正好符合当前亚洲和全球市场的需求。他们天性乐观，而且非常愿意接受具有创新性的全新理念。他们将是

进口产品的狂热爱好者，同时也会在产品出口方面具有极强的竞争优势。此外，和所有其他消费者一样，这个群体也会在其

国家经济环境中起到稳定作用。这就意味着无论其他方面发展情况如何，这个群体都很有可能在2017年起到支柱性作用。”

德勤2017年《亚洲之声》

针对日本境内外数据跨境

传输所制定的严格规定将

于2017年5月生效。

菲律宾已实施隐私与数据保

护监管规章制度。

中国近期通过了

网络安全法，

已于2017年6月1日生效。

2017年2月，澳大利亚通

过了强制性数据泄露通知

法案。

亚太地区的隐私与数据保护法规在过去12个月发生了巨大变化

尊重文化差异，建立信任关系 | 亚太地区简况

3

澳大利亚

受法律保护的信息类型

澳大利亚信息专员办公室根据1988年颁

布的《隐私法》（Privacy Act 1988）对澳

大利亚全国范围内的隐私信息进行统一

监管。受保护的信息类型包括：

• 个人信息是指可识别个人的信息或评

价，无论该信息或评价是否真实，也无

论该信息是否被有形载体记录。

• 敏感信息是指须提供更严格保护的个

人信息。

特定行业监管制度

除《隐私法》外，澳大利亚还针对特定行

业制定了相应的监管制度，主要适用于：

• 医疗卫生行业

• 授信机构和征信机构

• 电信和传媒

注意事项

《澳大利亚隐私原则》（Australian Privacy Principles）包括十三项内容，适用于澳大利亚政府机构、大部分大

型私营企业、直销商、数据代理、以及全国范围内所有的私营医疗卫生服务机构。在特定情况下，部分小型企业

和私营企业可免除雇佣信息存留责任。

授信机构和征信机构在消费者征信信息方面需履行额外义务，即规定征信报告包含的个人信息类型、报告访问

权限和原因，并有义务确保信息得到准确维护。

近期颁布的强制性数据保留法案要求电信和互联网服务商确保通讯元数据的安全保留。

澳大利亚信息专员办公室负责开展企业评估并公布评估结果。2017年2月，澳大利亚最新通过了一项强制性数据

泄露通知法案。根据该法案规定，各企业若怀疑发生个人信息泄露或确定发生信息泄露这种可能导致严重危害的

情况，须通知用户和澳大利亚信息专员办公室。

您是否了解？

澳大利亚信息专员办公室开展企

业评估的频率出现上升，这表明澳

大利亚消费者的隐私意识日渐增

强，其中94%的消费者认为在登陆

网站时，网站的可靠性比操作简便

性更重要。

《2016年德勤澳大利亚隐私指数》


4

中国大陆

受法律保护的信息类型《中华人民共和国网络安全法》保护对

国家安全、国计民生和公共利益“重要”

的网络信息，其中包括以电子或者其他方

式记录的能够单独或者与其他信息结合

识别自然人个人身份的个人信息。

个人信息包括但不限于自然人的姓名、出

生日期、身份证件号码、个人生物识别信

息、住址、电话号码等。


除网络安全法外，中国大陆还针对特定行

业制定了相应的监管制度。根据金融服务

行业相关监管条例规定，金融机构应在中

华人民共和国境内存储和处理在运营中收

集和产生的公民个人金融信息。

金融机构若确需向境外提供公民个人金融

信息，则必须制定相应的合同条款，以保

障个人金融信息安全。

注意事项

网络运营者收集、使用公民个人信息，须清晰表明其目的、方法和范围，并征得被收集者同意。

关键信息基础设施的运营者应当在境内存储公民个人信息和重要业务数据。若确需向境外提供信息，则应当进

行安全评估。关键信息基础设施的具体范围尚待国务院确定。

网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。

在发生或者可能发生个人信息泄露的情况时，网络运营者应当立即采取补救措施，按照规定及时告知用户并向

有关主管部门报告。

2017年5月2日出台的《网络产品和服务安全审查办法》规定，“关系国家安全的网络和信息系统采购的重要网络

产品和服务”，应当经过网络安全审查。

您是否了解?

中国的网络安全法规相对较新，且适用范围较广。

中国网络安全法的内容还有待进一步补充，以满足特定行业和特定关键信息基

础设施的需求，包括公共服务、能源、传媒、政府、医疗保健、金融、交通、电信

和制造业的需求。

网络运营者

关键信息

基础设施

运营者


5

香港

受法律保护的信息类型个人资料私隐专员公署负责监督《个人资

料（私隐）条例》的施行，确保个人资料

得到保障。

个人资料是指：直接或间接与在世的个人

有关的资料；从该资料可以直接或间接确

定有关个人；该资料的存在形式方便其可

供查阅及处理。


个人资料隐私专员公署主要负责香港的个

人资料监管，同时香港金融管理局也针对

客户资料保护向各存款机构发布了相关

指引。

注意事项

《个人资料（私隐）条例》包括六项资料使用者须遵循的保障资料原则。

香港针对身份证件号码、客户信用信息和人力资源相关信息的管理出台了具体要求。

隐私专员可针对任何可能违反《个人资料（私隐）条例》的行为相关的投诉开展调查。

若违反保障资料原则，私隐专员可发出执行通知，违反者也可能面临法律诉讼，被判处罚款及/或监禁。

《个人资料（私隐）条例》跨境资料转移相关规定尚未实施，但相关指引已出台。《个人资料（私隐）条例》跨境

资料转移相关规定一旦实施，个人资料在某些特定情况下将不得被转移到香港以外的地方。

您是否了解?

2015年，香港个人资料私隐专员公

署共接获1,971宗投诉，投诉率几

乎上升了20%。投诉个案中，74%为投诉私营机构，被投诉的私营机

构大多属于金融行业。

《香港个人资料私隐专员公署

2015年工作报告》


6

印度

受法律保护的信息类型印度目前尚未出台任何具体的隐私法规，

但印度政府2000年颁布的《信息技术法

案》（IT Act 2000）、2008年颁布的《信

息技术法案（修正案）》、以及2011年颁

布的《信息技术法规》（IT Rules）均对包

括可说明的数据隐私在内的信息技术监

管做出了规定。根据印度相关法律规定，

个人信息与自然人相关，且能够与其他法

人团体提供或可能提供的信息结合，直接

或间接地识别个人身份。

根据2011年颁布的《信息技术法规》规

定，敏感的私人数据或信息是指相关方

需遵循额外规定和履行额外义务的信息，

此类信息包括密码、银行和金融信息、身

体和心理健康状况、生物特征信息等。


印度还针对一些特定行业规定了额外的法

律义务。

例如，获取医疗信息、管理电信信息、外包

海外银行业务均需要密码。

信用信息公司和信贷机构（包括银行）也

必须遵守信用信息相关规章制度。这些规

章制度并非由法律或监管机构做出规定，

而是由相关信用信息公司和机构制定。

注意事项

各企业必须公布其隐私保护政策，包括所收集信息的类型、收集信息的原因、信息披露的对象、保障信息安全的

措施等。

收集个人信息须征得被收集者同意，且企业须向被收集者发出相应通知。

信息使用者只可将信息用于信息收集所设定的目的，且通常情况下只能在信息使用有效期内保留信息。个人可查

阅相关方所持有的本人信息，并在信息有误的情况下要求做出修改。

无论在印度境内或境外向任何第三方披露敏感的私人数据或信息，均须遵循传输此类信息的相关规定。

违反了数据保护规定的实体将面临包括罚款和监禁在内的相应处罚。

您是否了解?

《信息技术法规》通常适用于印

度境内的个人或“数据主体”。这

就意味着《信息技术法规》可能

并不适用于“数据主体”在印度境

外，而数据处理发生在印度境内

的情况。


7

印度尼西亚

受法律保护的信息类型印度尼西亚的数据保护法律主要包括《

电子信息和电子交易法》（Electronic Information and Transaction Law）以及《电子系统与交易操作政府条例

82/2012》（Government Regulation No. 82 on the Implementation of Electronic System and Transaction）。

此类法律规定，个人数据是指应被储存和

维护的某些个人信息，且其准确性和机密

性应该受到法律保护。

具体而言，《电子系统与交易操作政府条

例82/2012》引入“电子系统运营者”这一

术语，意指出于自身利益的考虑或者出于

另一方利益的考虑而提供、管理或运营电

子系统的任何个人、国家行政管理机构、

企业或公共实体。

若您所在企业为电子系统运营者，则其需

要特别注意各项监管制度。

注意事项

电子系统运营者可以提供公共服务或私人服务。提供公共服务的电子系统运营者必须进行登记备案，提供私人

服务的电子系统运营者可以选择性地进行登记备案。

在印度尼西亚，处理个人信息的关键原则是获得数据相关人员的许可。

关于个人信息的透明化、存储、更改或删除并无具体规定或要求。然而，政府正在考虑推出更加详细的新版《个

人信息保护法案》（Personal Data Protection Bill），以此管理电子系统中的个人信息。

发生个人信息泄露事件时，电子系统运营者须通知相关人员，但是至于如何以及何时发出通知，相关法律并无详

细说明。

通信与信息技术部负责贯彻落实数据保护制度，且其有权调查涉及非法处理个人和机密信息的违规处罚事件（

处罚包括罚款和监禁）。


针对个人信息收集，尤其是与银行、金融

活动以及医疗保健相关的个人信息，印度

尼西亚已经出台多项法律对此进行监管。


8

日本


日本的《个人信息保护法》（Personal Information Protection Act）修订版将

于2017年5月30日起全面生效。

《个人信息保护法》主要针对数据控制

者，即出于商业目的处理个人信息的实

体，而非国家机构或地方公共实体。

《个人信息保护法》监管的个人信息包括

用于识别生命个体身份且与其相关的所

有信息，此类信息或是单独存在，或是与

其他容易获取的信息结合存在。

此外，个人敏感信息包括种族、宗教、医疗

以及其他敏感信息，并且收集或处理此

类信息需要获得许可。


特定行业，包括金融、医疗以及电信服务

行业，必须遵守个人信息保护委员会推出

的附加规定。

负责处理海量数据（包含个人信息）的企

业可以根据个人信息保护委员会所做规

定生成并向第三方提供匿名化的信息。

注意事项

《个人信息保护法》规定，负责企业监控和监督的个人信息保护委员会为独立监察机构，主要管理在日本开展业

务的所有数据控制者。目前，个人信息保护委员会监察权力有限，但其不久将会成为中央监管机构，主要针对处

理个人信息的经营者。

个人信息用于新闻工作、文学作品、学术研究以及宗教和政治活动的情况可以免除责任。

《个人信息保护法》规定，若信息接收者没有符合个人信息保护委员会规定的数据保护系统，则数据控制者必须

在向境外第三方传输个人信息前获得许可。

企业必须针对向第三方提供个人信息或从第三方接收个人信息做好相关记录，并须事先获得许可。

不当使用个人信息，例如数据盗窃或向第三方提供信息以获取非法收益，可能面临刑事处罚。

您是否了解?

《个人信息保护法》修订版规定，

企业必须记录个人信息的来源和

收集方式。欲了解有关记录工作规

定的更多信息，请咨询个人信息保

护委员会。


9

韩国


韩国的《个人信息保护法》（Personal Information Protection Act）主要针对

与自然人相关的个人信息，包括全名、居

民登记号码或者可以用于证明身份的所

有信息。

《个人信息保护法》所涉信息可能无法立

刻证明身份，但可与其他信息结合以证明

身份。


企业应该清楚，针对某些行业可能存在一

些特殊规定。特别是在下列领域，除《个

人信息保护法》外还有补充立法：

• 银行

• 健康

• 雇佣/劳资关系

注意事项

《个人信息保护法》主要针对个人信息处理者，即单独或通过第三方处理业务活动过程中或与业务活动相关的个

人信息的机构、企业、组织或个人。

《个人信息保护法》包括八项隐私原则，公共部门和私营部门的个人信息处理者（无论规模大小）均须遵守这些

原则。

2016年，《个人信息保护法》新增惩罚性赔偿和法定损害赔偿。民事赔偿主要针对因个人信息处理者故意渎职

或严重疏忽而导致的个人信息丢失、被盗、泄露或伪造事件。受害者也可要求惩罚性赔偿，赔偿金额最多不超过

民事赔偿金额的三倍。

自2016年8月6日起，韩国政府有权通过云通信系统处理与健康相关的个人信息或电子病历。

自2016年6月起，上年度销售额不低于150亿韩元的企业均须获得信息安全管理体系认证。


10

马来西亚

受法律保护的信息类型马来西亚的《2010年个人资料保护法令》

（Personal Data Protection Act 2010）主要负责监管数据使用者对于个人信息

的收集、存储、处理或使用。该项法令规

定，处理或有权处理商业交易相关个人信

息的任何个人均须遵守个人资料保护局

规定。

个人信息通常是指用于证明数据主体身份

且与其相关的信息。


某些类型的数据使用者必须在个人资料

保护部进行登记备案，包括会计、审计、法

律、工程、建筑和住宅开发领域，以及医

疗和牙科服务。

注意事项

《2010年个人数据保护法令》列有七项原则，包括数据保护通用原则以及通知和选择、披露、安全、数据保留、

数据完整性和数据访问原则。

《2010年个人数据保护法令》不适用于马来西亚政府机构或在马来西亚境外处理的个人信息。该项法令主要针

对不在马来西亚境内但使用马来西亚境内设备进行个人信息处理的境外实体。

《2010年个人数据保护法令》框架包括自该项法令实施以来由个人资料保护局推出的补充条例和规定。数据使

用者应慎重考虑与其所在企业相关的条例规定。

《2015年个人数据保护规范》（Personal Data Protection Standards 2015）包括一系列规定，主要针对个人

电子信息和个人非电子信息的保留、安全性和完整性。该项规范明确规定了对于个人电子信息（包括员工登记项

目）的最低要求，主要涉及个人信息处理、身份认证管理、密码保护、恶意软件防护以及可移动媒体设备和云计

算的使用限制。

《2016年个人数据保护（复合犯罪）条例》（Personal Data Protection (Compounding of Offences) Regulations 2016）规定，违反《2010年个人数据保护法令》规定可能面临加重处罚。

您是否了解?

除非相关部长允许个人信息传输

至指定国家，否则数据使用者通

常不得传输个人信息至马来西亚

境外。


11

毛里求斯

受法律保护的信息类型《数据保护法2004》（Data Protection Act 2004）以及《数据保护条例2009》（Data Protection Regulations 2009）由数据保护局负责施行。该监管机制主要

负责保护由公共部门和私营部门管理的

个人信息和敏感个人信息。

受法律保护的信息类型包括：

• 个人信息是指与个人相关的信息，包括成

为个人信息组成部分的个人观点（无论

信息是否被有形载体记录）等，其个人的

身份是显而易见的，或可通过数据、信

息或观点对其身份进行合理证明。

• 敏感信息是指与数据主体相关的个人信

息，包括种族、民族、政治观点、宗教信

仰、工会会员身份、身体或心理健康状

况、性取向、犯罪行为或指控犯罪行为

以及犯罪诉讼或犯罪指控。

注意事项

《数据保护法2004》包括八项数据保护原则，主要针对个人信息的收集、处理、完整性、安全性以及跨境转移。

尽管针对企业设立数据保护官方面并无具体法律规定，但是多数企业均已设立个人信息合规专员。

所有数据控制者均须在数据保护局进行登记备案，这一过程可在数据保护局网站上进行。

在数据保护局进行的登记备案存在有效期限，企业至少须在期满前一个月对其进行更新。

目前暂无数据泄露通知的监控计划，但是数据保护局鼓励数据控制者采取积极行动——发生损害风险时向受影

响的个人发出通知并向数据保护专员报告重大数据泄露事件。

您是否了解?

数据控制者可以访问数据保护局网站，利用网站资源进行隐私影响评估。


12

蒙古

受法律保护的信息类型根据《1995年组织机密法案》

（Organization Secrets Act 1995），或称《组织隐私法案》（Organization Privacy Act），在蒙古，企业可以自行决

定何为机密信息。

该项法案主要针对信息、技术解决方案

或设计、研究资料以及技术和设备，此等

内容一旦泄露，可能会对处于市场主导地

位的企业造成不利影响。


根据《2010年银行法案》（Banking Act 2010），泄露银行所持机密信息的任何个

人将被处以罚款，但与《1995年组织机密

法案》相同，该项法案规定银行可以自行

决定何为机密信息。

注意事项

在蒙古，企业可以自行决定何为机密信息。

对于可以证明处于使用状态的设备和技术正在对人类健康或环境造成不利影响的任何信息，企业不得保密。

对于与犯罪相关的任何信息，企业不得保密。

蒙古法律针对违反保密规定并不提供任何法律补救措施。《1995年组织机密法案》规定，企业可向法院提起诉

讼，法院将会根据各方之间签订的合同来裁决争端。

您是否了解?

蒙古同时也制定了《1995年个人隐私法案》（Personal Secrecy Act 1995），规定个人有权针对侵犯个人隐私的行为提起诉讼。


13

新西兰

受法律保护的信息类型新西兰的《隐私法》（Privacy Act）主要保

护身份认证信息。身份认证信息的定义还

有待商榷。无论信息是否真实、无论信息

是否被有形载体记录，均适用《隐私法》。

《隐私法》针对所有机构，广义是指持有

个人信息的实体（无论此类实体属于公共

部门或是私营部门）。在某些情况下，《隐

私法》也适用于个人。


对于某些行业而言，针对下列领域存在一

些特殊规定：

• 健康

• 征信

• 电信

• 媒体和广播

• 雇佣

注意事项

《隐私法》包括三类（收集、使用、披露）共计十二项信息隐私原则。若是需要更加具体的实施标准，隐私专员可

以推出具体行为守则。

侵犯他人隐私可被判处损害赔偿。侵犯人权则被视为情节特别严重，这一方法从某种程度上看是起源于新西兰

的《权利法案》。

《隐私法》规定《核准信息共享协议》（Approved Information Sharing Agreements）成为一种法律机制，允

许机构之间或机构内部出于提供公共服务的目的而进行信息共享。公共机构仅在一定条件下可被纳入该项机制。

一般而言，新西兰的公共机构比私营部门更加重视隐私责任，而且对于提供客户至上的公共服务而言，隐私日

益成为一项关键因素。

近日，司法部长表示，新西兰的隐私法律改革仍然处于初步规划阶段。改革可能涉及改变公共机构之间的信息

共享形式，以及制定强制性的数据泄露通知计划。

您是否了解?

与公共部门合作或向公共部门销

售服务的企业必须遵守新西兰信

息隐私原则。


14

巴布亚新几内亚

尽管巴布亚新几内亚目前未建立隐私与

信息保护相关法律制度，但近期颁布的

《2016年网络犯罪法令》（Cybercrime Code Act 2016）规定了通过电子系统和

设备开展的相关活动。

该法令旨在防止或起诉利用信息通信技

术对个人、公众、政府机构或企业实体进

行的违法犯罪。

该法令的监管范围包括：黑客行为、网络

暴力、网上诱拐儿童、非法广告、网络骚

扰、网络诈骗、造假、儿童赌博、身份盗

用、非法披露、知识产权侵权（如商标、

版权、专利和工业外观设计）、儿童色情

与动物色情作品制作、占有和发布、成人

色情作品制作及发布、非法设备设计与销

售，以及多种其他技术犯罪。

《网络犯罪法令》规定了执法部门防止、

调查和起诉上述网络犯罪的相关机制，并

准许在发生信息通信技术及电子系统和

设备相关刑事犯罪时，反网络犯罪执法部

门开展国际合作。

私人通信受1973年《隐私通信

保护法》（Protection of Private Communications Act 1973）保护。私人

通信包括某人仅向另一人发送、并采取防

范措施确保不被窃听的任何通信。

该法令对电信与传媒行业影响最大。


15

“设立数据隐私官主要是为

了降低隐私侵犯风险，迅速

应对个人信息相关问题，保护

网民权利。”

微软菲律宾组织的数据隐私论坛上国家隐私委员会副隐私专员Damien Mapa表示

16

菲律宾

受法律保护的信息类型《数据隐私法案》（Data Privacy Act）适用于公众与私有数据管理员和处理人员

掌握的个人信息。

国家隐私委员会（National Privacy Commission）于2016年发布的共和国第

10173号令《实施规定与法规》，规定了

《数据隐私法案》的适用范围。

个人信息是指有形或无形的任何信息，据

此可了解个人身份或直接合理确定具体个

人，或与其他信息汇总时可直接明确识别

具体个人。

注意事项

该法规对菲律宾境内业务具有重大影响，尤其是信息技术和业务流程外包行业。据报道菲律宾该行业产值超过

200亿美元，对该国的国民生产总值贡献最大。

该法规要求，无论何时收集消费者个人信息均应以有效方式告知消费者。

发生数据泄露，若为敏感信息或用于身份欺诈的，该法规要求通常在72小时内必须通报数据隐私委员会以及受

影响的消费者。

该法规要求登记注册数据处理业务并在特殊情况下向数据隐私委员会通报自动化处理业务。

对个人信息进行不当访问和处理，或未经个人同意处理个人信息的，将受到相应处罚，包括监禁和重金罚款。

您是否了解?

若在菲律宾开展业务，您需要向国家隐私委员会提交安全事件和数据泄露年度总结报告。

在某些情形中部分义务同样适用于菲律宾以外情况。您应当检查该等义务是否适用于您的经营活动。


17

新加坡

受法律保护的信息类型新加坡《个人信息保护法案》（Personal Data Protection Act）规定的个人信息是

指，无论真实与否，或者是否为敏感信息

和电子信息，只要是能通过该信息或与其

他信息结合后识别出具体个人的信息。

该法案未涵盖商务联系信息等信息，且一

般未纳入已故个人的相关数据，但披露

和保护义务仍适用于已故十年或以下的

个人。

新加坡政府成立的个人信息保护委

员会（Personal Data Protection Commission）负责管理《个人信息保护

法案》相关事宜。


除《个人信息保护法案》外，还有多个领域

的咨询指引，包括：

• 电信

• 房地产

• 教育

• 医疗

• 社会服务

注意事项

《个人信息保护法案》包含两项主要规定：信息保护规定和“谢绝来电”（Do Not Call）规定。

信息保护规定包含企业应遵守的九项主要隐私义务：同意、目的限制、通报、查阅并更正、准确性、保护、保留限

制、传输限制及公开性。

企业应任命信息保护官管理信息保护政策并确保该企业遵守《个人信息保护法案》。

信息中介机构是承包处理个人信息的企业，必须遵守相同的保护和保留义务，并需要确保实施合理的安全措施，

且不再存有业务或法律需求时，不保留该等信息。

“谢绝来电”规定禁止企业以语音呼叫、文字或传真留言形式向“谢绝来电”登记处登记的新加坡电话号码发送

特定销售信息。希望发送销售信息的企业必须向“谢绝来电”登记处核实或取得明确无误的同意。

您是否了解?

企业仍可使用《个人信息保护法

案》于2014年生效前采集的个人

信息，但如果该等信息用作其他用

途，该企业则必须重新寻求同意。


18

斯里兰卡


斯里兰卡信息通信技术署（Information and Communication Technology Agency）监管的一系列电子系统相关法

律，协助规范电子交易中使用的电子数据

和文件。

这些法律保障国内外在线交易简单顺利

地进行。

《计算机犯罪法案》（Computer Crimes Act）限制任何人未经许可修改或删除信

息，并规定以此进行计算机编程使授权

人员不能获取该信息为非法行为。


银行受多项法规监管。企业应了解相关适

用法规。

注意事项

经国家认证机关（National Certification Authority）授权，信息通信技术署作为《电子交易法》（Electronic Transaction Act）认证机关，管辖所有电子合同、电子商务、电子业务和电子政务活动。

银行业引领斯里兰卡的数字证书框架发展，以便实施恰当的信息安全防范措施并树立消费者信心。

目前政府正考虑实施《信息保护法案》（Data Protection Act），助力建立一个具有数字包容性的斯里兰卡。

斯里兰卡于2015年5月实施布达佩斯公约，成为打击网络犯罪公约的成员国之一，并正式通过国内立法以及就

网络犯罪事宜与欧洲理事会开展合作。

《计算机犯罪法案》规定了未经授修改、变更或删除信息以及拒绝存取等违法行为。

您是否了解?

斯里兰卡于2016年颁布了《知情

权法案》（Right to Information Act），规定市民有权获取政府有

关部门持有或掌握的信息，并于

2016年12月成立了信息专员公署

（Information Commissioner's Office）。


19

台湾

受法律保护的信息类型《个人资料保护法》（Personal Data Protection Act）适用于所有公共机构、

公司及个人，管理仅用于个人或家庭事务

的个人资料的除外。

个人资料是指足以直接或间接识别具体

个人的任何信息。

敏感个人资料包括但不限于病历、病史、

遗传信息和犯罪记录等多类信息。

个人资料仅可用于采集目的，《个人资料

保护法》适用情况除外，即仅用于处理个

人或家庭事务的个人资料。

注意事项

处理个人信息的企业必须适当通报采集个人资料的目的和计划用途。

《个人资料保护法》规定个人有权查阅和获取其个人信息副本，补充或更正信息，撤销同意并拥有和使用已中断

的个人信息。

保存个人信息的企业必须具备恰当的安全措施以防信息被窃取、更改、损坏、损毁或泄露。委托其他企业采集、

处理或使用个人信息时，该企业必须对受委托机构进行适度监督。

《个人资料保护法》规定了对故意或过失侵权提供损害赔偿。

多个部门负责应用并执行《个人资料保护法》。司法部负责起草并解释《个人资料保护法》，但行业监管机构和

地区政府机关负责具体地区的执法。

您是否了解?

台湾监管机构禁止任何在台湾开

展业务的企业将任何个人资料传

输至海外，如果该数据传输行为

被视为触犯台湾利益或海外地区

并无适当的个人资料保护制度。


20

泰国

受法律保护的信息类型尽管泰国有许多法律保护特定情形中的

信息，但并未制定具体的隐私法。

泰国的《商业机密法》（Trade Secret Act）保护的重要商业信息包括公式、程

序、技术和流程。该法令明确规定了“商

业机密”和“商业信息”，以及侵权处罚

事宜。

特定行业注意事项

相关法律规范了金融和通信等部分特定

商业领域的个人信息采集、使用、披露和

传输。

特定限制措施适用于敏感个人信息且企业

在处理信息前必须征得相关个人同意。

注意事项

《商业机密法》受中央知识产权与国际贸易法院管辖，该专门法院采用易理解的方式对知识产权和贸易进行人

性化监管。

商业信息的法律定义较为广泛，包括公式、形式、编辑、组装工作、程序、方法、技术和流程。

未经拥有人许可的信息披露可采用民事救济。某些情况下可能涉嫌刑事犯罪。

泰国政府2015年批准通过《个人信息保护法》（Personal Information Protection Act）草案，对信息保护制度

进行改革，但该法案目前尚未经国民议会正式考虑。

泰国目前正在考虑一系列信息保护和网络通信相关法案，以支持其不断发展的数字经济。

您是否了解?

隐私权受泰国宪法保护。


21

越南

受法律保护的信息类型越南新颁布的《网络信息安全法》

（Cyber Information Security）仅限于

处理网络商业交易中的个人信息。

该法律规定，个人信息是指与具体个人识

别相关的信息，包括一系列规范信息采

集、编辑、使用、存储、提供、共享或传播

的信息隐私保护原则。

《网络信息安全法》也保护个人私生活及

其家庭隐私、个人和企业的个人信息以及

私密信息。


新颁布的《网络信息安全法》仅限于规范

网络个人信息。越南个人信息保护的其他

方面经由一系列其他具体领域和行业法

规实现共享。

注意事项

近期颁布的《网络信息安全法》鼓励严格安全地处理个人信息，并规定了越南的监管框架，助力经济、社会和政

治实现强劲发展。

尽管《网络信息安全法》的核心是获得个人的许可，但仍有多条法规坚决支持国家安全。国家机关可未获同意即要

求共享个人信息，且根据政府有关机构要求，网络安全服务提供商必须为了国家安全和公共秩序而终止其业务。

《网络信息安全法》未包含在越南境外传播个人信息的任何具体法规，也未规定信息泄露通报方案。

负责执行信息保护法律的主要部门是信息通信部（Ministry of Information and Communications），该部门可

开展检查、审查投诉和其他涉嫌信息隐私侵犯行为。

企业可能会因泄露个人信息而被处以罚款、惩戒或民事处罚。个人也可要求对任何所受损失或伤害进行赔偿。

您是否了解?

《网络信息安全法》适用于在越

南从事信息技术应用和开发活动

的个人与企业。


22

“数据被用于业务机遇及其他竞争优势并

非偶然。我们可有效利用数据抓住机遇、促进增长，但在此之前，我们需要齐心协力

认真规划业务运营及组织流程，以收集、管

理并保护数据。这应从我们内部的员工开

始——培养他们数据监护人意识及数据主

人翁意识。”

Yaacob Ibrahim博士，新加坡通讯及新闻部部长，2016年7月20日，莱佛士城会议中心第四届个人资料保护研讨会开幕式

23

亚太地区新兴趋势

趋势一: 监管机构正采取更加积极的隐

私与数据保护方法

尽管全球及亚太地区关于数据保护的观

点不断变化，但监管机构正采取革新技术

并利用其对公民个人的影响，积极应对。

监管制度变得更加强硬。监管机构正在逐

步将企业复核作为部分年度战略。在一些

国家，监管机构制定了严厉的信息泄露报

告要求，针对泄露情况将处以罚款。

在这样一个动态变化的环境中，企业的

隐私与数据保护框架很快会被淘汰。如

果企业未及时更新，不仅会被处以罚款，

还会遭受财务损失、客户信任缺失及名誉

受损。

创造更多机遇并加大数据使用以推动业

务增长，这意味着企业需要采取更加积

极且本地化的方式以缓解数据隐私及保

护风险，尤其是在亚太地区相关法规不

断变化的情况下。

这一挑战要求区域内的企业紧密协作，

方能在动荡变化的环境中维持优势。

如何应对?

行动计划：

• 考虑进行一次隐私健康检查以了

解企业的隐私框架如何满足监

管机构的要求。首先完成第26页的检查表。

“如果将隐私视为一项补充

服务或产品特性，而不是合

规问题，那么企业便能与客

户建立更好的关系，并确保

客户成为品牌建设的一股重

要力量。”

《2016年德勤隐私指数》

趋势二：建立可持续的隐私框架

全球化意味着仅从本地化和符合合规要

求的角度被动地管控隐私与数据保护风

险已无法满足要求。企业需要持续监控

风险暴露，以应对自身、第三方、监管机

构、客户、全球以及文化方面的要求。

如何应对?

行动计划：

• 将隐私与数据保护复核纳入内

部审计计划

• 执行相应流程，确认并评估司法

辖区引入的新指南或法规所产

生的影响

• 实施数据监测计划，以确定数

据储存位置并监控数据内部转

移或移交给外部机构后的储存

位置

• 主动与所在司法辖区外的监管机

构建立关系

隐私框架应具有弹性，能够承受监管变

化、监管者活动以及公民个人对其信息潜

在用途的日益了解。

企业须能够调整并改进其隐私与数据保

护计划，以确保这些计划能够应对不断

涌现的新兴风险。这将不仅有助于增进

企业内部的信任，还能够加强客户信任，

满足客户期望。

尊重文化差异，建立信任关系 | 亚太地区新兴趋势

24

趋势三：客户所了解的比你想象的更

多，且不会告诉你！客户正愈加快速地了解到向企业提供信

息的后果。这也正促使企业了解客户的预

期，并以符合这些预期的方式作出回应。

尽管存在文化差异，但亚太地区所有国家

有一个明确的相同点，即所有人都依赖技

术获得各种各样的产品和服务。从这一点

上看，大家的处境相同。

无视客户期待与文化期待会使客户向企

业提供信息时更加小心谨慎。这将妨碍

企业运用这些信息实现预期战略和商业

结果。客户希望自己的信息受到保护。企

业应高度重视客户信任，没有信任，企业

名誉不仅会受媒体和宣传组织损害，还有

为企业提供财务支持的客户。

企业

客户

第三方司法辖区/国家

如何应对?

行动计划：

• 向客户公布更多数据使用细节

• 了解客户对于信任、数据使用、

允许企业利用创新拓展极限的

看法

• 实施外部客户培训计划以管理

客户需求


25

趋势四：第三方及多方管理

企业可将业务外包给位于其他国家的第

三方甚至第四方。这些业务的地理位置

可能影响当地的文化观点和监管者观

点，而这两者可能是数据保护风险管理

计划中的关键因素。

在一些司法辖区内，“企业负责保护其照

管的【所有】个人信息，与企业共享此类

信息的其他各方也应承担此类责任。这

意味着聘用第三方开展业务的企业在与

第三方接洽时，其承受的隐私与数据保

护风险也在增加。”1

如何应对?

行动计划：

• 评估第三方管理方案，重点关注

隐私与数据泄露管理

• 获取有关第三方是否遵守企业隐

私保护期望的核实证据

1. https://www2.deloitte.com/au/en/pages/risk/articles/third-parties-part-first-line-defence.html

趋势五：克服对信息公开的恐惧

企业由于害怕客户流失，不愿公开数据

使用细节。信息公开有可能使与企业隐

私与数据保护框架相关的事件获得不必

要的关注，或者有可能成为竞争优势。

与客户坦诚相待对于培养客户信任，确

保客户承诺及增长至关重要。

当发生信息误用或信息盗用事件时，企

业通知客户相关情况的时间对品牌感知

和客户信任有显著影响。亚太地区许多

公开的信息泄露案例便是例证。

如何应对?

行动计划：

• 复核提交给客户的通知及任何

通讯，确保此类文件属于企业可

使用数据开展的活动范畴

• 理解企业风险文化——员工是否

愿意汇报在数据使用相关过程

中发生的客户通讯信息泄露或可

能修改？


26

您是否考虑……？

亚太地区各个国家管理隐私与数据保护的方法略有不同。企业也许需考虑下列因素：

□ 是否知晓业务所在国家的法规条例及监管机构对企业的影响？

□ 是否收集或储存个人信息？

□ 在收集或储存某人的个人信息前，是否应向其发出通知或征得同意？

□ 是否需考虑跨境信息转移的限制条件？某些条件即使是在企业内部信息转移时同样适用。

□ 是否知晓企业将信息储存于何处？

□ 是否知晓第三方将信息存于何处？

□ 是否与客户坦诚相待？是否告知客户您如何管理其信息？

□ 是否制定个人信息管理政策，这些政策是否符合各国客户的期待？

□ 是否制定针对数据外泄的行动计划？一些国家强制要求一旦发生数据泄露，必须及时向监管机构报告并通告客户有关情况。

□ 是否准备好应对风险文化变化？在使用个人信息时，考虑业务所在地的情况，理解该地的文化、变化的经济环境以及它们对员工

意识和行为产生的影响。

尊重文化差异，建立信任关系 | 您是否考虑……？

27

“……确保将隐私置入企业框架、置入各种产品

及服务发展，从未如此重要。在这个数据驱动型经

济的时代，创新愈加依赖于新技术背景下的个人信

息使用。企业及机构明白，如果他们要走上创新之

路，他们必须真正了解隐私，才能获得长期成功。并且，隐私也是非常国际化的话题。”

Timothy Pilgrim——澳大利亚隐私委员，2016年5月16日，悉尼隐私认识周商业早餐会

28

联络人

James Nunn-Price亚太区网络风险服务领导合伙人

电话：+61 428 200 542电子邮件：[email protected]

Marta Ganko澳大利亚隐私与数据保护领导合伙人

电话：+61 2 9322 3143 电子邮件：[email protected]

Shree Parthasarathy印度网络风险领导合伙人


Anu Nayar新西兰网络风险领导合伙人


Young Soo Seo韩国网络风险领导合伙人


Haruhito Kitano日本网络风险合伙人电话：+81 80 3591 6426电子邮件：[email protected]

Man Soo Han韩国税务与法律合伙人


Marta Ganko亚太区领先理念领导合伙人


薛梓源

中国大陆及香港网络风险领导合伙人


Mitsuhiko Maruyama日本网络风险领导合伙人


Philip Chong东南亚数据隐私领导合伙人

电话：+65 6 224 8288 电子邮件：[email protected]

吴佳翰

台湾网络风险领导合伙人


Cheryl Khor东南亚网络风险合伙人


尊重文化差异，建立信任关系 | 联络人

关于德勤全球

Deloitte（“德勤”）泛指一家或多家德勤有限公司（即根据英国法律组成的私人担保有

限公司，以下称“德勤有限公司”），以及其成员所网络和它们的关联机构。德勤有限公

司与其每一家成员所均为具有独立法律地位的法律实体。德勤有限公司（又称“德勤全

球”）并不向客户提供服务。请参阅 www.deloitte.com/cn/about 中有关德勤有限公司

及其成员所更为详细的描述。

德勤为各行各业的上市及非上市客户提供审计及鉴证、德勤管理咨询、财务咨询、风险

咨询、税务及相关服务。德勤通过遍及全球逾150个国家的成员所网络为财富全球500强企业中的80%企业提供专业服务。凭借其世界一流和高质量的专业服务，协助客户应

对极为复杂的商业挑战。如欲进一步了解全球大约245,000名德勤专业人员如何致力成

就不凡，欢迎浏览我们的Facebook、LinkedIn 或Twitter专页。

关于德勤中国

德勤于1917年在上海设立办事处，德勤品牌由此进入中国。如今，德勤中国的事务所网

络在德勤全球网络的支持下，为中国本地和在华的跨国及高增长企业客户提供全面的审

计及鉴证、德勤管理咨询、财务咨询、风险咨询和税务服务。德勤在中国市场拥有丰富的

经验，同时致力为中国会计准则、税务制度及培养本地专业会计师等方面的发展做出重

要贡献。敬请访问 www2.deloitte.com/cn/zh/social-media ，通过德勤中国的社交媒体

平台，了解德勤在中国市场成就不凡的更多信息。

本通信中所含内容乃一般性信息，任何德勤有限公司、其成员所或它们的关联机构（统

称为“德勤网络”）并不因此构成提供任何专业建议或服务。在作出任何可能影响您的

财务或业务的决策或采取任何相关行动前，您应咨询合资格的专业顾问。任何德勤网络

内的机构均不对任何方因使用本通信而导致的任何损失承担责任。

©2017。欲了解更多信息，请联系德勤中国。

CQ-066SC-17

尊重文化差异 建立信任关系 隐私与数据保护 ·...

Documents

尊重文化差异建立信任关系隐私与数据保护 ·...