亚太区隐私保护现状（下）：监管机构对于隐私和数据保护更加积极.docVIP

亚太区隐私保护现状（下）：监管机构对于隐私和数据保护更加积极 近日，德勤发布《2017亚太区隐私与个人信息保护白皮书》。报告探讨了亚太地区隐私与数据保护相关的主要考虑因素和发展趋势，并指出，亚洲许多国家正在或者已经着手颁布新的隐私相关法规。 从地区层面看，菲律宾和中国大陆等亚太国家（地区）颁布了更加强有力的法律法规，对个人信息的使用加以管治。日本对于境内外数据跨境传输制定了严格规定，已于2017年5月生效。韩国则明确，满足一定条件下，企业需要获得信息安全管理体系的认证。 大陆：网络安全法适用范围较广 2017年6月，《中华人民共和国网络安全法》正式实施。其中个人信息的界定是包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。 网络安全法指出，网络运营者收集、使用公民个人信息，须清晰表明其目的、方法和范围，并征得被收集者同意。网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。 此外，在发生或者可能发生个人信息泄露的情况时，网络运营者应当立采取补救措施，按照规定及时告知用户并向有关主管部门报告。 隐私护卫队注意到，在最近一个月，不少互联网企业调整的隐私政策中，都对此作了说明，特别增设了“安全事件处置”板块。 当发生个人信息安全事件后，企业将以邮件、电话、推送通知、公告等方式告知用户事件基本情况、可能产生的影响及补救措施等。同时，还将按照监管部门要求，主动上报个人信息安全事件的处置情况。这是此前大多数互联网企业的隐私政策中普遍缺失的部分。 白皮书指出，中国的网络安全法规相对较新，且适用范围较广，并称内容有待进一步补充，以满足特定行业和特定关键信息基础设施的需求，包括公共服务，政府、医疗保健、金融、电信、交通等。 此前，在接受隐私护卫队专访时，北京大学教授张平提到，网络安全法中多是原则性条款，有解释空间。希望能对这些条款做细化的司法解释、操作指南、技术标准，增强可操作性。 香港：私隐专员可开展调查 白皮书介绍，香港设立了个人资料私隐专员公署，负责个人资料监管。关于个人资料的界定是指直接或间接与在世的个人有关的资料；从该资料可以直接或间接确定有关个人；该资料的存在形式方便且可供查阅及处理。 数据显示，2015年，香港个人资料私隐专员公署共接获1971宗投诉，投诉率几乎上升了20%。投诉个案中，74%为投诉私营机构，其中大多属于金融行业。在特定行业监管制度方面，香港金融管理局针对客户资料保护向各存款机构发布了相关指引。 同时，个人资料私隐专员公署也负责监督《个人资料（私隐）条例》的施行，确保个人资料得到保障。据隐私护卫队了解，在上述条例中，包括6大保障资料的原则：收集目的及方式，准确性、储存及保留，使用，保安措施，透明度，查阅及更正。 私隐专员可针对任何可能违反《个人资料（私隐）条例》的行为和相关的投诉开展调查。若有违反保障资料原则的，他们可发出执行通知。之后，违反者可能面临法律诉讼，被判处罚款或监禁。 日本：收集处理敏感信息需获许可 2017年5月30日，日本的《个人信息保护法》修订版正式生效。这部法律主要针对数据控制者，即出于商业目的处理个人信息的实体，所监管的个人信息包括用于识别声明个人身份且与其相关的所有信息。个人敏感信息则包括种族、宗教、医疗等，当收集或处理此类信息时需要获得许可。 《个人信息保护法》还特别提出，企业必须记录个人信息的来源和收集方式。一些特定行业，比如金融、医疗以及电信服务，还需准受个人信息保护委员会推出的附加规定。 根据《个人信息保护法》规定，个人信息保护委员会是一个独立的监察机构，负责监控和监督企业，管理在日本开展业务的所有数据控制者。白皮书指出，目前个人信息保护委员会监察权力有限，但其不久将会成为中央监管机构，主要针对处理个人信息的经营者。 除了敏感信息的收集或处理外，《个人信息保护法》还规定了几种情况亦需获得许可。比如，当涉及到向第三方提供个人信息或从第三方接收个人信息，除了要做好相关记录外，还须事先获得许可。 此外，日本对于境内外数据跨境传输制定了严格规定。当信息接受者没有符合个人信息保护委员会规定的数据保护系统时，数据控制者在向境外第三方传输个人信息前，必须获得许可。 韩国：企业需获得信息安全管理体系认证 2011年3月，韩国颁布《个人信息保护法》。受法律保护的信息类型主要针对与自然人相关的个人信息，包括全名、居民登记号码或者可以用于证明身份的所有信息。同时，一些可能无法立刻证明身份，但可与其他信息结合以证明身份的，也属于个人信息保护的范围。 隐私护卫队了解到，在韩国的《个人信息保护法》中，明确了八项隐私原则，对个人信息的收集、处理、利用等作了相关说明。包括个人信息收集者应明确个人信息的处理目标，并在实现目的的必