文章
尊重文化差异,建立信任关系
德勤发布亚太区隐私与个人信息保护白皮书
过去12个月,亚太地区涌现局部性、区域性、国际性的隐私与个人信息保护监管热潮,亚洲许多国家已经或正积极着手颁布新的个人信息保护相关法规。因此充分了解各个国家的隐私与个人信息保护要求,对于不同地区之间个人信息的跨境传输具有重要意义。本文主要探讨亚太地区隐私与个人信息保护相关的主要考虑因素和发展趋势,并希望能够引起各界对隐私与个人信息保护的广泛关注。
亚太地区隐私与个人信息保护的现状
从区域层面看,亚太经合组织《隐私保护框架》提出了共同原则,有助于实现亚太各国家/地区隐私与个人信息保护法规要求的协调一致。虽然该框架目前已包括跨境传输相关原则,但不具有约束力,但该框架可以推动企业采用区域性整体策略应对隐私和个人信息保护的合规风险。
例如,从地区层面看,菲律宾和中国等亚太国家/地区颁布了更加强有力的法律法规,对个人信息的使用加以保护:
- 日本境内外数据跨境传输所制定的严格规定于2017年5月生效。
- 菲律宾已实施隐私与数据保护监管规章制度。
- 中国网络安全法已于2017年6月1日生效。
- 2017年2月澳大利亚通过强制性数据泄露通知法案。
亚太国家和地区的隐私与个人信息保护
亚洲各国在过去几年掀起了一股数据保护法规的浪潮,而随之产生的相关法规差异性也越来越明显:
- 中国: 《网络安全法》于2017年6月1日起施行明确规范网络空间内网络运营者和关键信息基础设施运营者搜集、使用个人信息的责任和义务,特别是个人信息跨境传输转移的要求;除网络安全法以外,中国还针对特定行业制定相应的个人信息保护法律法规,根据金融服务行业等;
- 澳大利亚:澳大利亚信息专员办公室根据1988年颁布的《隐私法》(Privacy Act 1988)对澳大利亚全国范围内的隐私信息进行统一监管。受保护的信息类型包括个人信息和敏感信息。除《隐私法》外,澳大利亚还针对特定行业制定了相应的监管制度,主要适用于医疗卫生行业、 授信机构和征信机构和电信和传媒。
- 香港:个人资料私隐专员公署负责监督《个人资料(私隐)条例》的施行,确保个人资料得到保障。隐私专员可针对任何可能违反《个人资料(私隐)条例》的行为相关的投诉开展调查。此外,香港针对身份证件号码、客户信用信息和人力资源相关信息的管理出台了具体要求。
- 印度:印度目前尚未出台任何具体的隐私法规,但印度政府2000年颁布的《信息技术法案》(IT Act 2000)、2008年颁布的《信息技术法案(修正案)》、以及2011年颁布的《信息技术法规》(IT Rules)均对包括可说明的数据隐私在内的信息技术监管做出了规定。《信息技术法规》通常适用于印度境内的个人或“数据主体”,这就意味着《信息技术法规》可能并不适用于“数据主体”在印度境外,而数据处理发生在印度境内的情况。
- 印度尼西亚:印度尼西亚的数据保护法律主要包括《电子信息和电子交易法》(Electronic Information and Transaction Law)以及《电子系统与交易操作政府条例82/2012》(Government Regulation No. 82 on the Implementation of Electronic System and Transaction)。此类法律规定,个人数据是指应被储存和维护的某些个人信息,且其准确性和机密性应该受到法律保护。
- 日本:日本的《个人信息保护法》(Personal Information Protection Act)修订版于2017年5月30日起全面生效,其明确规定企业必须记录个人信息的来源和收集方式。《个人信息保护法》主要针对数据控制者,即出于商业目的处理个人信息的实体,而非国家机构或地方公共实体。
- 韩国:韩国的《个人信息保护法》(Personal Information Protection Act)主要针对与自然人相关的个人信息,包括全名、居民登记号码或者可以用于证明身份的所有信息,所涉信息可能无法立刻证明身份,但可与其他信息结合以证明身份。《个人信息保护法》包括八项隐私原则,公共部门和私营部门的个人信息处理者(无论规模大小)均须遵守这些原则。
- 马来西亚:马来西亚的《2010年个人资料保护法令》(Personal Data Protection Act 2010)主要负责监管数据使用者对于个人信息的收集、存储、处理或使用。该项法令规定,处理或有权处理商业交易相关个人信息的任何个人均须遵守个人资料保护局规定。法令有七项原则,包括数据保护通用原则以及通知和选择、披露、安全、数据保留、数据完整性和数据访问原则。
- 毛里求斯:数据保护局负责施行《数据保护法2004》(Data Protection Act 2004)以及《数据保护条例2009》(Data Protection Regulations 2009)。《数据保护法2004》包括八项数据保护原则,主要针对个人信息的收集、处理、完整性、安全性以及跨境转移。
- 蒙古:根据《1995年组织机密法案》(Organization Secrets Act 1995),或称《组织隐私法案》(Organization Privacy Act),在蒙古,企业可以自行决定何为机密信息。法案主要针对信息、技术解决方案或设计、研究资料以及技术和设备,此等内容一旦泄露,可能会对处于市场主导地位的企业造成不利影响。
- 新西兰: 新西兰的《隐私法》(Privacy Act)主要保护身份认证信息,但身份认证信息的定义还有待商榷。《隐私法》针对所有机构,广义是指持有个人信息的实体(无论此类实体属于公共部门或是私营部门)。在某些情况下,《隐私法》也适用于个人。
- 巴布亚新几内亚:尽管巴布亚新几内亚目前未建立隐私与信息保护相关法律制度,但近期颁布的《2016年网络犯罪法令》(Cybercrime Code Act 2016)规定了通过电子系统和设备开展的相关活动。该法令旨在防止或起诉利用信息通信技术对个人、公众、政府机构或企业实体进行的违法犯罪。
- 菲律宾:国家隐私委员会(National Privacy Commission)于2016年发布的共和国第10173号令《实施规定与法规》,规定了《数据隐私法案》(Data Privacy Act)的适用范围,法案适用于公众与私有数据管理员和处理人员掌握的个人信息。
- 新加披:新加坡《个人信息保护法案》(Personal Data Protection Act)规定的个人信息是指,无论真实与否,或者是否为敏感信息和电子信息,只要是能通过该信息或与其他信息结合后识别出具体个人的信息。信息保护规定包含企业应遵守的九项主要隐私义务:同意、目的限制、通报、查阅并更正、准确性、保护、保留限制、传输限制及公开性。
- 斯里兰卡:斯里兰卡信息通信技术署(Information and Communication Technology Agency)监管的一系列电子系统相关法律,协助规范电子交易中使用的电子数据和文件。这些法律保障国内外在线交易简单顺利地进行。
- 台湾:《个人资料保护法》(Personal Data Protection Act)适用于所有公共机构、公司及个人,管理仅用于个人或家庭事务的个人资料的除外。台湾监管机构禁止任何在台湾开展业务的企业将任何个人资料传输至海外,如果该数据传输行为被视为触犯台湾利益或海外地区并无适当的个人资料保护制度。
- 泰国:尽管泰国有许多法律保护特定情形中的信息,但并未制定具体的隐私法。泰国的《商业机密法》(Trade Secret Act)保护的重要商业信息包括公式、程序、技术和流程。该法令明确规定了“商业机密”和“商业信息”,以及侵权处罚事宜。
- 越南:越南新颁布的《网络信息安全法》(Cyber Information Security)仅限于处理网络商业交易中的个人信息。该法律规定,个人信息是指与具体个人识别相关的信息,包括一系列规范信息采集、编辑、使用、存储、提供、共享或传播的信息隐私保护原则。《网络信息安全法》也保护个人私生活及其家庭隐私、个人和企业的个人信息以及私密信息。
亚太地区隐私和个人信息保护的新兴趋势
- 监管机构正采取更加积极隐私与个人信息保护方法。监管机构制定了严厉的个人信息泄露报告的要求,针对泄露情况将处以罚款。在这样一个动态变化的环境中,企业的隐私与个人信息保护框架需快速更新,如未及时更新,不仅会被处以罚款,还会遭受财务损失、客户信任缺失及名誉受损。
- 建立可持续的个人信息保护框架。全球化意味着仅从本地化和符合合规要求的角度被动地管控隐私与个人信息保护风险已无法满足要求。企业须能够调整并改进其个人信息保护计划,以确保这些计划能够应对不断涌现的新兴风险。这将不仅有助于增进企业内部的信任,还能够加强客户信任,满足客户期望。
- 客户所了解的比你想象的更多,且不会告诉你。无视客户期待与文化期待会使客户向企业提供信息时更加小心谨慎。这将妨碍企业运用这些信息实现预期战略和商业结果。客户希望自己的个人信息受到保护。企业应高度重视客户信任,没有信任,企业名誉势必遭受巨大损失。
- 第三方及多方管理。企业会把业务外包给位于其他国家的第三方甚至第四方。这些业务外包的管理模式可能受当地文化和监管的影响,而这两者可能是个人信息保护合规风险应对计划中的关键因素。
- 克服对信息公开的恐惧。当发生信息误用或信息盗用事件时,企业与客户沟通相关情况的方式方法和时间对企业品牌和客户信任有非常显著影响。因此很多企业由于害怕客户流失,不愿公开信息使用和泄露细节,但企业如果能借助有效隐私与个人信息保护框架主动、积极处理此类事件或将成为企业的竞争优势。
企业实施隐私和个人信息保护的启示
建议一:建立隐私和个人信息保护框架,加强协作与沟通
企业通过定期的个人信息保护健康检查,了解企业的隐私和个人信息系统保护框架与监管要求的差距。并将隐私与个人信息保护复核纳入监控、内审工作计划,确认并评估司法辖区引入的新指南或法规所产生的影响,主动与所在司法辖区监管机构建立关系。
建议二:与客户坦诚相待,管理客户需求
客户希望自己的个人信息受到合理保护,与客户坦诚相待对于培养客户信任,确保客户承诺及增长至关重要。因此企业应当向客户公布更多的个人信息搜集、使用细节,了解和搜集客户对于个人信息使用特别是创新拓展使用的的看法。
建议三:完善第三方管理,关注隐私与个人信息泄露
在一些司法管辖区内,企业负责保护其搜集与控制个人信息,与企业共享使用这些个人信息的其他第三方也应承担此类责任,因此企业应当定期评估第三方管控的策略与计划,重点关注隐私与个人信息泄露的管理预案,同时应获取第三方遵守隐私和个人信息保护要求的直接证据。
建议四:完善信息公开机制,制定个人信息泄露响应计划
完善信息公开机制,明确客户触点时信息告知书及其他文件,确保企业搜集、使用个人信息的目的和原则已完整定义。同时结合企业风险文化,建立个人信息泄露响应计划以确保所有相关人员能够采取及时、一致性行动最大化降低损失,保持客户信任。
建议五:满足监管要求,关注个人信息跨境传输
亚太地区各国管理隐私与个人信息立法皆有不同,因此企业应当知晓业务所在国家的法规条例及其对企业影响。在使用个人信息时,考虑业务所在地情况,理解该地文化、监管环境、经济环境以及它们对员工意识和行为的影响。尤其在个人信息跨境传输时,尤其考虑跨境信息传输的各自约束性限制条件。
总结
与不同文化中各国或地区的相关方建立信任关系以及信用丧失的风险是企业需要管理的核心风险。在监管地域范围可能会超越法规立法国家的趋势下,上述风险管理显得尤为重要。因此,隐私与个人信息保护不能仅仅注重遵循现有以及不断出现的法规条例,还应当考虑各个地区所属的当地文化和社会公众的意愿,正确处理文化差异有助于增强企业实施隐私与个人信息保护时对风险细微差别的敏感度。这一敏感度为企业实现进一步可持续发展和增强竞争优势奠定基础,也直接推动各企业针对不同文化采取差异化运营策略。因此,各企业可针对不同地区采取不同策略,适应全球和各地区监管环境的变化,采用“全球化与本土化相结合”的方式管理隐私和个人信息保护的风险。