跳转到主要内容

了解《一般数据保护条例》和亚洲的数据监管格局

Vivienne Artz
Vivienne Artz
首席隐私官

欧盟《一般数据保护条例》使得我们高度关注亚太地区数据监管的分散状态。面对不同的数据隐私和网络安全规则,各个组织是否可以确保数据的持续自由流动以有效打击金融犯罪?


  1. 亚洲的数据监管比较分散,地方的隐私和网络安全规则通常与反洗钱、反贿赂腐败以及现代奴隶法的要求相矛盾。
  2. 数据自由流动是公共与私人信息共享合作共赢的关键,也是可用作打击金融犯罪的有效工具。
  3. 在我们针对近期举行的泛亚地区监管峰会制作的行业报告中,也提到了亚洲数据监管格局的变化之快。

欧盟《一般数据保护条例》自 2018 年 5 月起生效,该条例的实行促使公司看待个人数据的方式发生了剧烈的转变。

由于任何欧盟 (EU) 的经营实体都必须遵守该条例,更高的数据隐私要求吸引了全球公司的注意。

但是,这意味着几乎没有公司关注亚洲数据监管快速变化的格局,这是我们在 2018 年泛亚地区监管峰会上深入讨论了的一个问题。

《一般数据保护条例》对亚洲数据监管的影响

在亚太地区,只有新西兰达到了欧盟所言的《一般数据保护条例》充足性:通过其国内法律和国际承诺提供足够程度的数据保护。

日本计划在 2018 年底之前达到这一状态,而欧盟也已开始就这一主题与韩国进行对话。

《一般数据保护条例》也号召许多亚洲国家/地区评估自己的数据监管框架,而该地区各种社会、经济和政治背景都导致了立法的复杂性,包括已制定颁布的法案和法令草案。

虽然欧洲标准通常符合,甚至超出亚太地区各个国家/地区的要求,但广大公司仍然需要掌握该地区数据隐私和网络安全制度的最新发展,并且不应假设地区标准与《一般数据保护条例》相同。

仅举一个例子,《一般数据保护条例》规定任何数据泄露应在 72 小时内予以报告,而在澳大利亚,公司有 30 天的时间来进行披露。Navigating GDPR and data regulation in Asia

亚洲数据监管的分散格局

  • 长期以来,韩国对数据隐私的保护力度之大在亚洲地区极为突出。对于数据保护的违规行为,韩国制定了多项严厉的处罚机制,其中包括罚款、没收利润以及强制公司的高级管理人员承担个人责任。韩国对跨境数据共享也制定了严格的规定——违规传输数据可能被罚处高达公司收益 3% 的罚金。2016 年,出于安全问题的考虑,首尔市政府拒绝了谷歌使用地图数据的请求。
  • 去年,中国在部分地区实施了一项新的网络安全法案,该法案要求个人信息和其他重要数据需在中国境内存储。国际商界的主要关注点是对何种数据必须保存在中国境内服务器上的定义不够清晰,但中国预计会在 2019 年初施行更详实的法规。显然,面对越来越多的“数码达人”消费者,数据隐私问题也引起了中国政府的重视。2018 年 1 月,阿里巴巴的金融分支,蚂蚁金服,在自动将用户注册到一个信用评分子公司后,遭到了行业质疑。
  • 印度的《个人数据保护法案》目前已经交由议会讨论,法案旨在规定个人数据的使用需要得到数据本人的同意。但是,该法案引起了科技巨头和其他公司的担忧,因为该法案将要求他们根据法案中的本地化条款,在印度本土实施数据托管。
  • 新加坡于 2018 年 2 月采用了新的网络安全法案,并预计明年会对其现有数据隐私法进行修订,其中可能包括强制性违规通知方案。
  • 东南亚、越南印度尼西亚这些地区也计划在未来几年实施新的隐私保护措施。

跨境隐私规则

尽管有人曾希望将《一般数据保护条例》作为数据保护的全球标准,但对该问题的约束和国际协调方法的前景却值得推敲。

在亚太地区,亚太经合组织跨境隐私规则 (CBPR) 系统为该地区数据保护措施提供了蓝图。

该区域内的经济体和公司可自愿注册加入,尽管目前只有包括美国、墨西哥、日本、加拿大、韩国和新加坡的少数国家完成了注册,但是也还有澳大利亚、台湾和菲律宾正在努力加入。

评论家指出 CBPR 比许多现有的国家数据保护法更宽松,只有美国和日本已指定责任机构来证明企业符合 CBPR 标准。

这是一项无约束力的协议,也没有执行机制,而《一般数据保护条例》则针对未履行义务的情况规定了严厉的处罚,这是两者之间的区别。

Navigating GDPR and data regulation in Asia

监管制度的冲突

除了要克服国际标准的不足之外,地区企业还必须遵守单一司法管辖区内重叠的、甚至相互矛盾的条款。

例如,同意书是现代隐私制度的基石,但在某些情况下出具同意书也许不可能或不合适,并且实际上会对其它政策目标不利。

反洗钱 (AML) 法规通常要求金融机构筛查新客户以降低金融犯罪风险,并且潜在客户必须提供其个人详细信息以供进行筛查。

但是,如果隐私保护法没有涵盖用于这种处理特定类型合法利益的明确条款,企业机构在遵守反洗钱、反贿赂腐败以及现代奴隶法规定时会遇到极大挑战。

有关个人数据共享的限制也已成为双边贸易谈判的一部分,尤其是在新的《北美自由贸易协定》中,它规定废除要求在本地存储数据的规定,以防阻碍商业数据的自由流动。

这些努力反映出了泛亚地区监管峰会 参会人员的投票结果。峰会指出跨境数据流被认为是在亚洲未来数据监管方面亟待解决的最重要问题。

但是,由于美国从跨太平洋合作伙伴关系中脱身,《北美自由贸易协定》对亚洲跨境数据传输管理方式的影响将受到限制。

金融信息共享伙伴关系

政府间谈判一直在寻求利用贸易协议来确保未来数据自由流动,除此之外,在建立公共和私人伙伴关系方面也有作出努力,以帮助消除制度中的现存差距。

在过去几年中,全球范围内的金融信息共享伙伴关系 (FISP)参与国家/地区的数量已从几个跃升至 20 多个。这代表了用于理解和报告金融犯罪威胁的一种全新模式,并使包括警察机关、海关和金融机构在内的金融机构和公共部门能够更有效地识别威胁。

金融信息共享伙伴关系带来了直接利益,包括更有效的报告、实际逮捕和资产冻结。

面对《一般数据保护条例》,许多公司都毫无准备,并且随着地方差异增加,他们均在谨慎地寻求有关亚洲分散数据监管制度的专业建议。。

了解更多关于 2018 年泛亚地区监管峰会上讨论的话题,请下载我们的会后报告