Data (Privacy) Regulation 数据隐私法规整理

GDPR（Europe）

https://gdpr.eu/
Whole Regulation

Europe’s new data privacy and security law includes hundreds of pages’ worth of new requirements for organizations around the world.
The General Data Protection Regulation (GDPR) is the toughest privacy and security law in the world. Though it was drafted and passed by the European Union (EU), it imposes obligations onto organizations anywhere, so long as they target or collect data related to people in the EU. The regulation was put into effect on May 25, 2018. The GDPR will levy harsh fines against those who violate its privacy and security standards, with penalties reaching into the tens of millions of euros.
With the GDPR, Europe is signaling its firm stance on data privacy and security at a time when more people are entrusting their personal data with cloud services and breaches are a daily occurrence. The regulation itself is large, far-reaching, and fairly light on specifics, making GDPR compliance a daunting prospect, particularly for small and medium-sized enterprises (SMEs).

（APAC）

来源：德勤报告

中国

《网络安全法》于2017年6月1日起施行明确规范网络空间内网络运营者和关键信息基础设施运营者搜集、使用个人信息的责任和义务，特别是个人信息跨境传输转移的要求；除网络安全法以外，中国还针对特定行业制定相应的个人信息保护法律法规，根据金融服务行业等；

澳大利亚

澳大利亚信息专员办公室根据1988年颁布的《隐私法》（Privacy Act 1988）对澳大利亚全国范围内的隐私信息进行统一监管。受保护的信息类型包括个人信息和敏感信息。除《隐私法》外，澳大利亚还针对特定行业制定了相应的监管制度，主要适用于医疗卫生行业、 授信机构和征信机构和电信和传媒。

中国香港

个人资料私隐专员公署负责监督《个人资料（私隐）条例》的施行，确保个人资料得到保障。隐私专员可针对任何可能违反《个人资料（私隐）条例》的行为相关的投诉开展调查。此外，香港针对身份证件号码、客户信用信息和人力资源相关信息的管理出台了具体要求。

印度

印度目前尚未出台任何具体的隐私法规，但印度政府2000年颁布的《信息技术法案》（IT Act 2000）、2008年颁布的《信息技术法案（修正案）》、以及2011年颁布的《信息技术法规》（IT Rules）均对包括可说明的数据隐私在内的信息技术监管做出了规定。《信息技术法规》通常适用于印度境内的个人或“数据主体”，这就意味着《信息技术法规》可能并不适用于“数据主体”在印度境外，而数据处理发生在印度境内的情况。
印度尼西亚：印度尼西亚的数据保护法律主要包括《电子信息和电子交易法》（Electronic Information and Transaction Law）以及《电子系统与交易操作政府条例82/2012》（Government Regulation No. 82 on the Implementation of Electronic System and Transaction）。此类法律规定，个人数据是指应被储存和维护的某些个人信息，且其准确性和机密性应该受到法律保护。

日本

日本的《个人信息保护法》（Personal Information Protection Act）修订版于2017年5月30日起全面生效，其明确规定企业必须记录个人信息的来源和收集方式。《个人信息保护法》主要针对数据控制者，即出于商业目的处理个人信息的实体，而非国家机构或地方公共实体。

韩国

韩国的《个人信息保护法》（Personal Information Protection Act）主要针对与自然人相关的个人信息，包括全名、居民登记号码或者可以用于证明身份的所有信息，所涉信息可能无法立刻证明身份，但可与其他信息结合以证明身份。《个人信息保护法》包括八项隐私原则，公共部门和私营部门的个人信息处理者（无论规模大小）均须遵守这些原则。

马来西亚

马来西亚的《2010年个人资料保护法令》（Personal Data Protection Act 2010）主要负责监管数据使用者对于个人信息的收集、存储、处理或使用。该项法令规定，处理或有权处理商业交易相关个人信息的任何个人均须遵守个人资料保护局规定。法令有七项原则，包括数据保护通用原则以及通知和选择、披露、安全、数据保留、数据完整性和数据访问原则。

毛里求斯

数据保护局负责施行《数据保护法2004》（Data Protection Act 2004）以及《数据保护条例2009》（Data Protection Regulations 2009）。《数据保护法2004》包括八项数据保护原则，主要针对个人信息的收集、处理、完整性、安全性以及跨境转移。

蒙古

根据《1995年组织机密法案》（Organization Secrets Act 1995），或称《组织隐私法案》（Organization Privacy Act），在蒙古，企业可以自行决定何为机密信息。法案主要针对信息、技术解决方案或设计、研究资料以及技术和设备，此等内容一旦泄露，可能会对处于市场主导地位的企业造成不利影响。

新西兰

新西兰的《隐私法》（Privacy Act）主要保护身份认证信息，但身份认证信息的定义还有待商榷。《隐私法》针对所有机构，广义是指持有个人信息的实体（无论此类实体属于公共部门或是私营部门）。在某些情况下，《隐私法》也适用于个人。

巴布亚新几内亚

尽管巴布亚新几内亚目前未建立隐私与信息保护相关法律制度，但近期颁布的《2016年网络犯罪法令》（Cybercrime Code Act 2016）规定了通过电子系统和设备开展的相关活动。该法令旨在防止或起诉利用信息通信技术对个人、公众、政府机构或企业实体进行的违法犯罪。

菲律宾

国家隐私委员会（National Privacy Commission）于2016年发布的共和国第10173号令《实施规定与法规》，规定了《数据隐私法案》（Data Privacy Act）的适用范围，法案适用于公众与私有数据管理员和处理人员掌握的个人信息。

新加坡

新加坡《个人信息保护法案》（Personal Data Protection Act）规定的个人信息是指，无论真实与否，或者是否为敏感信息和电子信息，只要是能通过该信息或与其他信息结合后识别出具体个人的信息。信息保护规定包含企业应遵守的九项主要隐私义务：同意、目的限制、通报、查阅并更正、准确性、保护、保留限制、传输限制及公开性。

斯里兰卡

斯里兰卡信息通信技术署（Information and Communication Technology Agency）监管的一系列电子系统相关法律，协助规范电子交易中使用的电子数据和文件。这些法律保障国内外在线交易简单顺利地进行。

台湾

《个人资料保护法》（Personal Data Protection Act）适用于所有公共机构、公司及个人，管理仅用于个人或家庭事务的个人资料的除外。台湾监管机构禁止任何在台湾开展业务的企业将任何个人资料传输至海外，如果该数据传输行为被视为触犯台湾利益或海外地区并无适当的个人资料保护制度。

泰国

尽管泰国有许多法律保护特定情形中的信息，但并未制定具体的隐私法。泰国的《商业机密法》（Trade Secret Act）保护的重要商业信息包括公式、程序、技术和流程。该法令明确规定了“商业机密”和“商业信息”，以及侵权处罚事宜。

越南

越南新颁布的《网络信息安全法》（Cyber Information Security）仅限于处理网络商业交易中的个人信息。该法律规定，个人信息是指与具体个人识别相关的信息，包括一系列规范信息采集、编辑、使用、存储、提供、共享或传播的信息隐私保护原则。《网络信息安全法》也保护个人私生活及其家庭隐私、个人和企业的个人信息以及私密信息。