，建立信任关系“亚洲各国在过去几年掀起了一股数据保护法规的浪潮，而随之产生的相关法规差异性也越来越明显。

本次国际大会将针对这一差异性展开讨论，并期待与亚洲各国政府共同分享并学习相关经验。

”数据保护与隐私专员国际大会（ICDPPC）执行委员会主席，2017年1月28日2目录前言 1 亚太地区简况2国家/地区 3澳大利亚 3中国大陆 4香港 5印度 6印度尼西亚 7日本 8韩国 9马来西亚 10毛里求斯 11蒙古 12新西兰 13巴布亚新几内亚 14菲律宾16新加坡17斯里兰卡18台湾19泰国20越南21新兴趋势23您是否考虑…? 26联络人 281前言随着亚太区的迅猛发展和高速增长，“一个更具竞争力的亚洲正在强势回归”。

德勤顶级区域经济学家在近期发布的德勤《亚洲之声》1报告中指出：在强有力的政策措施和加速推进改革的影响下，“一个更具竞争力的亚洲正在强势回归”。

过去12个月，亚太地区涌现局部性、区域性、国际性的数据保护监管热潮，便是这一趋势的具体表现。

受上述趋势影响，亚洲许多国家已经或正积极着手颁布新的隐私相关法规。

外包行业内各子行业公司持续实现利润增长，但同时该行业也面临日益严峻的隐私风险，相关风险主要与如何看待隐私有关。

充分了解此类风险有助于避免数据泄露，对于不同地区之间个人数据的传递具有重要意义。

要实现这一目标，转变隐私与数据保护方式非常必要。

隐私与数据保护不能仅仅注重遵循现有以及不断出现的规章条例，还应当考虑各个地区的文化和个人意愿，从而与个人以及监管机构建立信任关系。

尊重文化差异亚太地区不同群体、监管机构、企业之间均存在文化差异，正确处理文化差异有助于增强竞争优势。

企业积极了解并尊重文化差异，有助于增强其对隐私与数据保护风险细微差别的敏感度。

这一敏感度为企业实现进一步可持续发展奠定了基础，也直接推动各企业针对不同文化采取差异化运营策略。

因此，各企业可针对不同地区采取不同策略，适应全球和各地区监管环境的变化，即采用“全球化与本土化相结合”的方式管理隐私风险。

新增监管法规推动区域协作 从地区层面看，菲律宾和中国大陆等亚太国家/地区颁布了更加强有力的法律法规，对个人信息的使用加以管治。

亚太经合组织《隐私保护框架》提出了共同原则，有助于实现亚太各国家/地区隐私与数据保护法规的协调一致。

虽然该框架目前包括跨境转移相关法规，且不具有约束力，但该框架可推动各企业采用区域性策略管理隐私风险。

欧盟《一般数据保护条例》的影响体现了全球法规的域外效力对亚太地区的影响。

关于本报告与不同文化中的相关方建立信任关系以及失信风险是需要管理的核心风险。

在监管地域范围逐渐超越监管法规原国家的趋势下，上述风险的管理显得尤为重要。

相关风险管理包括平衡监管机构和个人的期望。

本报告主要探讨亚太地区隐私与数据保护相关的主要考虑因素和发展趋势，并希望能够引起各界对隐私与数据保护的广泛关注。

我们期待各方共同合作，协力解决未来的诸多挑战。

James Nunn-Price亚太区网络风险服务领导合伙人合伙人，澳大利亚2017年3月1. 德勤顶级区域经济学家识别并分析紧迫的经济和监管问题，并指出这些问题对区域内各政府和企业的影响。

尊重文化差异，建立信任关系 | 前言尊重文化差异，建立信任关系|亚太地区简况亚太地区简况亚太地区的隐私与数据保护法规在过去12个月发生了巨大变化“新一代乐观的消费者对于其国家经济发展方向发挥着重要影响作用。

这个群体精通技术，且乐于接受全球中产阶级的无国界消费主义，但同时也深受其父辈和祖辈平滑消费习惯的影响。

新一代消费者正好符合当前亚洲和全球市场的需求。

他们天性乐观，而且非常愿意接受具有创新性的全新理念。

他们将是进口产品的狂热爱好者，同时也会在产品出口方面具有极强的竞争优势。

此外，和所有其他消费者一样，这个群体也会在其国家经济环境中起到稳定作用。

这就意味着无论其他方面发展情况如何，这个群体都很有可能在2017年起到支柱性作用。

”德勤2017年《亚洲之声》23澳大利亚受法律保护的信息类型澳大利亚信息专员办公室根据1988年颁布的《隐私法》（Privacy Act 1988）对澳大利亚全国范围内的隐私信息进行统一监管。

受保护的信息类型包括： •个人信息是指可识别个人的信息或评价，无论该信息或评价是否真实，也无论该信息是否被有形载体记录。

•敏感信息是指须提供更严格保护的个人信息。

特定行业监管制度除《隐私法》外，澳大利亚还针对特定行业制定了相应的监管制度，主要适用于： •医疗卫生行业 •授信机构和征信机构 •电信和传媒注意事项《澳大利亚隐私原则》（Australian Privacy Principles ）包括十三项内容，适用于澳大利亚政府机构、大部分大型私营企业、直销商、数据代理、以及全国范围内所有的私营医疗卫生服务机构。

在特定情况下，部分小型企业和私营企业可免除雇佣信息存留责任。

授信机构和征信机构在消费者征信信息方面需履行额外义务，即规定征信报告包含的个人信息类型、报告访问权限和原因，并有义务确保信息得到准确维护。

近期颁布的强制性数据保留法案要求电信和互联网服务商确保通讯元数据的安全保留。

澳大利亚信息专员办公室负责开展企业评估并公布评估结果。

2017年2月，澳大利亚最新通过了一项强制性数据泄露通知法案。

根据该法案规定，各企业若怀疑发生个人信息泄露或确定发生信息泄露这种可能导致严重危害的情况，须通知用户和澳大利亚信息专员办公室。

2016尊重文化差异，建立信任关系 | 亚太地区简况中国大陆受法律保护的信息类型《中华人民共和国网络安全法》保护对国家安全、国计民生和公共利益“重要”的网络信息，其中包括以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的个人信息。

个人信息包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。

特定行业监管制度除网络安全法外，中国大陆还针对特定行业制定了相应的监管制度。

根据金融服务行业相关监管条例规定，金融机构应在中华人民共和国境内存储和处理在运营中收集和产生的公民个人金融信息。

金融机构若确需向境外提供公民个人金融信息，则必须制定相应的合同条款，以保障个人金融信息安全。

注意事项网络运营者收集、使用公民个人信息，须清晰表明其目的、方法和范围，并征得被收集者同意。

关键信息基础设施的运营者应当在境内存储公民个人信息和重要业务数据。

若确需向境外提供信息，则应当进行安全评估。

关键信息基础设施的具体范围尚待国务院确定。

网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。

在发生或者可能发生个人信息泄露的情况时，网络运营者应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。

2017年5月2日出台的《网络产品和服务安全审查办法》规定，“关系国家安全的网络和信息系统采购的重要网络产品和服务”，应当经过网络安全审查。

尊重文化差异，建立信任关系|亚太地区简况45香港受法律保护的信息类型个人资料私隐专员公署负责监督《个人资料（私隐）条例》的施行，确保个人资料得到保障。

个人资料是指：直接或间接与在世的个人有关的资料；从该资料可以直接或间接确定有关个人；该资料的存在形式方便其可供查阅及处理。

特定行业监管制度个人资料隐私专员公署主要负责香港的个人资料监管，同时香港金融管理局也针对客户资料保护向各存款机构发布了相关指引。

注意事项《个人资料（私隐）条例》包括六项资料使用者须遵循的保障资料原则。

香港针对身份证件号码、客户信用信息和人力资源相关信息的管理出台了具体要求。

隐私专员可针对任何可能违反《个人资料（私隐）条例》的行为相关的投诉开展调查。

若违反保障资料原则，私隐专员可发出执行通知，违反者也可能面临法律诉讼，被判处罚款及/或监禁。

《个人资料（私隐）条例》跨境资料转移相关规定尚未实施，但相关指引已出台。

《个人资料（私隐）条例》跨境资料转移相关规定一旦实施，个人资料在某些特定情况下将不得被转移到香港以外的地方。

2015 2015尊重文化差异，建立信任关系 | 亚太地区简况印度受法律保护的信息类型印度目前尚未出台任何具体的隐私法规，但印度政府2000年颁布的《信息技术法案》（IT Act 2000）、2008年颁布的《信息技术法案（修正案）》、以及2011年颁布的《信息技术法规》（IT Rules）均对包括可说明的数据隐私在内的信息技术监管做出了规定。

根据印度相关法律规定，个人信息与自然人相关，且能够与其他法人团体提供或可能提供的信息结合，直接或间接地识别个人身份。

根据2011年颁布的《信息技术法规》规定，敏感的私人数据或信息是指相关方需遵循额外规定和履行额外义务的信息，此类信息包括密码、银行和金融信息、身体和心理健康状况、生物特征信息等。

特定行业监管制度印度还针对一些特定行业规定了额外的法律义务。

例如，获取医疗信息、管理电信信息、外包海外银行业务均需要密码。

信用信息公司和信贷机构（包括银行）也必须遵守信用信息相关规章制度。

这些规章制度并非由法律或监管机构做出规定，而是由相关信用信息公司和机构制定。

注意事项各企业必须公布其隐私保护政策，包括所收集信息的类型、收集信息的原因、信息披露的对象、保障信息安全的措施等。

收集个人信息须征得被收集者同意，且企业须向被收集者发出相应通知。

信息使用者只可将信息用于信息收集所设定的目的，且通常情况下只能在信息使用有效期内保留信息。

个人可查阅相关方所持有的本人信息，并在信息有误的情况下要求做出修改。

无论在印度境内或境外向任何第三方披露敏感的私人数据或信息，均须遵循传输此类信息的相关规定。

违反了数据保护规定的实体将面临包括罚款和监禁在内的相应处罚。

尊重文化差异，建立信任关系|亚太地区简况67印度尼西亚受法律保护的信息类型印度尼西亚的数据保护法律主要包括《电子信息和电子交易法》（Electronic Information and Transaction Law ）以及《电子系统与交易操作政府条例82/2012》（Government Regulation No. 82 on the Implementation of Electronic System and Transaction ）。

此类法律规定，个人数据是指应被储存和维护的某些个人信息，且其准确性和机密性应该受到法律保护。

具体而言，《电子系统与交易操作政府条例82/2012》引入“电子系统运营者”这一术语，意指出于自身利益的考虑或者出于另一方利益的考虑而提供、管理或运营电子系统的任何个人、国家行政管理机构、企业或公共实体。

若您所在企业为电子系统运营者，则其需要特别注意各项监管制度。

注意事项电子系统运营者可以提供公共服务或私人服务。