亚太数据合规手册

471第二章行政机构

472第三章关键信息基础设施

481第四章应对网络安全威胁和事件

488第五章网络安全服务提供商

494第六章一般规则

506附录一基础服务

509附录二需许可的网络安全服务

510新加坡《网络安全法》解释说明

511第二章行政机构

511第三章关键信息基础设施

514第四章网络安全威胁和事件的应对

516第五章网络安全服务提供者

518第六章一般规定

520新加坡《网络安全法》常见问题

531新加坡《个人数据保护法》

531*章总则

536第二章个人数据保护委员会与管理机构

538第三章个人数据保护的一般规则

538第四章个人数据的收集、使用和披露

541第五章个人数据的访问和更正

542第六章关注个人数据

543第七章执法

546第八章上诉至数据保护上诉合议庭、高等法院和上诉法院

547第九章防骚扰电话机制

553第十章一般原则

7. 中国香港地区

563中国香港地区《个人资料（私隐）条例》概述

567中国香港地区《个人资料（私隐 ）条例》

8.　中国澳门地区

657中国澳门地区《网络安全法》

657*章一般规定

660第二章组织规定

661第三章网络安全义务

663第四章处罚制度

665第五章过渡及*后规定

667中国澳门地区《个人资料保护法》概述

671中国澳门地区《个人资料保护法》

671*章一般规定

673第二章个人资料的处理和性质以及对其处理的正当性

675第三章资料当事人的权利

678第四章处理的安全性和保密性

679第五章将个人资料转移到特区以外的地方

680第六章通知和许可

682第七章业务守则

683第八章行政和司法保护

686第九章*后及过渡规定

序言

数据合规为什么是未来的法律蓝海？

——全球化思考，本土化行动

《一千零一夜》有一个“渔夫和魔鬼”的故事：魔鬼因无恶不作而被神关进铜瓶里，加上封印并投进大海。刚开始，魔鬼想着，“如果谁救了我，我一定送给他无数财宝！”可是，整整四百年过去了，也没有人救他。于是，魔鬼恼羞成怒，发誓说：“如果谁救我，我必杀他！”后来，一位渔夫在不经意间打捞到这个铜瓶，因好奇打开瓶盖并放出了魔鬼。魔鬼恩将仇报，试图要将渔夫吃掉。在紧要关头，渔夫想了一计，他对魔鬼说：“你真会撒谎！这么一个小小铜瓶，怎么能容得了你这么大的身体呢？”魔鬼果然上当了，化作一缕青烟，钻进瓶里。渔夫立即紧紧盖上瓶塞，并对魔鬼说：“我要告诉所有人，决不能救你！”说罢，就把铜瓶抛进大海。

在数据法领域，同样存在一个由人们不经意间放出来的魔鬼，这就是“数据黑产”。我曾对此进行过这样的描述，“数据采集、清洗、挖掘、分销及应用形成一条黑色产业链条，内鬼、黑客、清洗者、加工者、数据中间商、买家等寄生于此，催生市场规模超千亿元的灰黑市场。源于黑市的海量数据被大量用于滋生下游犯罪，诈骗、暴力催收、勒索等违法犯罪行为因此更加猖獗”。而与“数据黑产”这个魔鬼如影随形的，还有全球性数据泄露事件及对个人数据的肆意滥用。那么，到底什么是装这只魔鬼的铜瓶和瓶塞呢？我认为，非以《个人信息保护法》和《数据安全法》为基础的“数据法学”莫属，这是一门探索如何建构数据法律新秩序的学问，也是帮助数据领域实现从野蛮走向文明的新地图，而在法律实务中则具体表现为数据合规。

从法律业务看，不正当竞争和反垄断、重组并购、企业上市、刑事辩护、侵权法、知识产权、企业合规、诉讼仲裁等领域都可能涉及数据合规问题。在我看来，数据合规必将成为未来的法律蓝海，主要有如下三点理由：

一、 强监管

《个人信息保护法(草案)》规定，“一些企业、机构甚至个人，从商业利益等出发，随意收集、违法获取、过度使用、非法买卖个人信息，利用个人信息侵扰人民群众生活安宁、危害人民群众生命健康和财产安全等问题仍十分突出。在信息化时代，个人信息保护已成为广大人民群众*关心*直接*现实的利益问题之一”。事实上，我国数据治理面临着五大不可回避的难题：

其一，个人信息侵权。2018年被认为是中国数据合规的元年，从那时起数据隐私问题就频频发生。比如，在“抖音案”中，法院认为，“抖音”未经同意获取原告姓名、手机号码、社交关系、地理位置等信息的行为侵害了原告的个人信息权益。在“微信读书案”中，法院则认为，在未经用户有效同意的情况下获取微信好友关系，并自动关注微信好友，还向共同使用“微信读书”的微信好友默认开放其读书信息构成对个人信息权益的侵权。

其二，数据泄露。大规模数据泄露事件引发了全民的安全担忧，包括华住酒店集团旗下连锁酒店近5亿条用户信息被泄露，12306网站470余万条用户数据在网络上被贩卖。据2018年8月中国消费者协会发布的《APP个人信息泄露情况调查报告》显示，遇到过个人信息泄露情况的人数占比为85.2%，没有遇到过的仅占14.8%。

其三，数据伦理。“同房不同价”等大数据“杀熟”事件让携程等企业备受争议，大数据让“价格歧视”具有了现实可能性；“精准营销”更是令人胆战心惊，明明只是在电商平台上搜索过某商品，新闻资讯类APP上却出现了相同商品的广告。由此，数据和算法带来的伦理问题成为了社会的焦点。

其四，数据竞争。由数据不正当竞争引发的司法案件层出不穷。从“新浪微博诉脉脉案”确立的“三授权”的数据竞争规则，到“大众点评诉百度案”确立的“不得实质性替代”的数据爬虫规则，再到“淘宝诉美景案”确立的“竞争法意义上的财产权益”的大数据产品的权益边界，*后到尚未结案的“头腾大战”涉及的数据竞争背后的“关系链”。

其五，国家数据能力。国家数据能力是国家不可或缺的治理能力，国家要着力避免互联网公司的数据技术能力替代国家的认证能力。如果国家不加强监管，互联网公司恐会变成国家无法控制的巨兽，而国家若不出台强惩罚性的数据立法，个人信息必然会被肆意收集，隐私也将不复存在。

正是在这样的背景之下，我国连续公布了《数据安全法》和《个人信息保护法》的草案，其意在建构数据法律的新秩序。而之前相关的立法已经很多，2012年，全国人大常委会通过了《关于加强网络信息保护的决定》，确立了个人信息收集使用等基本规范；2009年，《刑法修正案（七）》针对个人信息犯罪作了规定；2013年，修正后的《消费者权益保护法》对消费者个人信息的保护作了专门规定；2016年，《网络安全法》规定了收集使用个人信息的规则以及网络运营者保护个人信息的义务；2018年，全国人大常委会通过的《电子商务法》进一步规定了电子商务经营者的个人信息保护义务和网络安全责任。特别值得一提的是，2020年出台的《民法典》专章规定了“隐私权和个人信息保护”。

我国通过法律设立政府的数据监管机构，并不赋予广泛的数据调查性权力。如《个人信息保护法（草案）》第56条规定：“国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作。”又如该草案第59条还赋予了数据监管机构询问权、查阅及复制相关资料权、现场检查权、查封或者扣押权，以及约谈权等广泛的权力。

与此同时，我国还用罚款等强监管手段实现对个人信息的公法保护，对违法行为加大惩处力度，对个人信息处理者设置了特别严格的法律责任。如《个人信息保护法(草案)》第62条规定：“违反本法规定处理个人信息,或者处理个人信息未按照规定采取必要的安全保护措施的……情节严重的,由履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照。”同时，草案第63条还增加了“记入信用档案”的处罚机制。另外，我国还特别增加了公益诉讼机制。如草案第66条规定：“个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、履行个人信息保护职责的部门和国家网信部门确定的组织可以依法向人民法院提起诉讼。”

总之，数据合规领域的强监管是全球的发展趋势，中国、欧盟和美国都是如此。而强监管必然带来一个全新的法律业务领域，从“合规”（Compliance）这个概念的起源就可以看出一些端倪。*早是由于美国《反海外腐败法》在全世界范围内的强制推行，依靠军事霸权和金融霸权给美国政府带来了数千亿计的巨额罚款，从而“反腐”令全球跨国公司噤若寒蝉，“反腐合规”也成为它们不得不做的事情。后来，从“反腐合规”发展到“贸易管制合规”，再到“数据合规”，这三者被认为是合规的三大*重要领域。中国的情况也大抵如此，正如2008年《劳动合同法》的出台使劳动法业务一飞冲天，《个人信息保护法》和《数据安全法》的出台必将为数据合规业务带来一场“超级台风”。

二、 护城河

数据法领域的深度和广度都足够使数据合规业务成为法律蓝海。从法律部门看，宪法可从“一般人格权”角度证成作为基本权利的“信息自决权”，这为其他法律部门的数据研究提供宪法基础；行政法可从“政府规制”和“企业自我规制”的角度讨论“公私协力”对于数据保护的重要意义，尤其是设置个人数据专门监管机构的可行性，以便弥补司法救济的不足；刑法可从“谦抑性”角度讨论个人信息方面的罪与罚，尤其是关注刑罚与行政处罚之间的衔接问题；经济法可从“反不正当竞争”和“反垄断”的角度重塑企业之间的数据竞争秩序，这也是司法实践所采取的主要角度；民商法可从“隐私”“个人信息”及“非个人信息的数据”等概念的区分出发，实现数据的确权和分级保护，以便*化地实现对自然人的私法救济；知识产权法可从集合“人身权和财产权”的角度探讨数据权益保护的制度基础；国际法可从“数据跨境”和“数据本地化”的紧张关系中探讨建构国际数据新秩序的可能性，同时欧盟《通用数据保护条例》（GDPR）、美国《加州消费者隐私法案》（CCPA）以及日本、韩国、印度、越南及澳大利亚等亚太地区国家的数据立法成为国际数据法兴起的基础。

从涉及的行业来说，金融数据重点关注的是数据融合和共享的合法性框架；健康医疗数据重点关注的是隐私保护和产业发展的平衡；消费者数据重点关注的是“同房不同价”等价格歧视问题带来的消费者权利保护新问题；公共数据重点关注的是公共数据开放与政府信息公开的制度区分，尤其是建构分级分类开放机制；儿童数据重点关注的是如何对儿童进行特殊保护以及监管人的同意如何完成和确认；教育数据重点关注的是教育行业如何在数据支撑下实现智能化，尤其是如何避免教育培训机构利用数据过度营销等问题；就业者数据重点关注的则是数据共享和交易的合法性框架，尤其是职场数据监控的法律边界。每个领域涉及的问题都是完全不同的，由此带来的数据合规业务也必然是十分丰富的。

总之，由于数据法领域的无所不包，再加上很高的技术（法律）门槛，先行者有充分的“先发优势”，容易形成“护城河”。数据合规既强调技术和法律的深度结合，又是理论和实务的融会贯通，不仅需要精通全国人大、网信办、公安部、工信部、市场监管局的法律和政策，还得跟踪世界各国（尤其是欧美）的立法动态和司法案例。因此，数据合规业务正在带来知名律所的圈地运动，这不仅需要大量资金的前期投入，而且还需要打造一支涉猎广泛的“狼性团队”，民事、行政、刑事都得涉猎，诉讼与非诉都得精通，同时对英文水平的要求也是极高。

三、 国际化

*近几个月，在数据法领域备受关注的是TikTok及WeChat的美国禁令案，特朗普政府的执法依据是《国际紧急经济权力法》以及美国《全国紧急状态法》，他们认为TikTok和WeChat会自动从用户那里抓取大量信息，这些用户信息将威胁到美国安全，并将它们在美国境内的继续运营认定为“国家紧急状态”。这两个案件表面是“国家安全”的借口，背后的实质却是作为财富的数据国际的争夺。

世界正在形成三个独立的数据治理王国：欧盟建构的是以“基本权利”为基础的数据治理模式，典型代表是欧盟《通用数据保护条例》（GDPR），而以欧盟《非个人数据自由流动条例》及欧盟《数据战略》又更加强调数据的流动和利用；美国建构的是“自由市场 强监管”的数据治理模式，典型代表是《加州消费者隐私法》（CCPA），而更加强调个人数据权利的《加州隐私权法》（CPRA）将在2020年11月面临全州选民的投票；而中国试图建构的则是“安全基础上的数据保护 数字经济发展”的模式，典型代表是正在制定中的《个人信息保护法》和《数据安全法》，而“培育数据要素市场，完善数据产权制度，探索数据产权保护和利用新机制”又是新的政策趋势。对于数据跨境，欧盟GDPR作出严格限制，设置了充分性认定白名单、遵守适当保障措施、公司约束规则、国际协议以及通过“必要性测试”和“偶然性判定”等五道“关口”。而美国CCPA对于数据跨境管控持有“留白与放任”的态度，这是因为美国数字经济产业领先于全球，从价值取向上更加鼓励数据的自由跨境流动。而中国试图建构一套凝聚全球数据安全共识、符合全球共同利益、持续开放共享的数据跨境方案，重点强调的是在数据安全基础上的数据自由流动，强调持续的开放性。

欧盟、美国和中国的三种数据治理模式表面上看互不兼容，既有全球化和本土化的冲突，也存在数据自由和数据限制的路线之争。但未来却很有可能殊途同归，即都强调数据权利保护和数据流通利用的平衡。从某种意义上说，以全球化为依归的数据跨境自由流动框架也是发展的必然趋势。

毫无疑问的是，国际化必然带来大量高端的数据合规业务，涉外数据合规业务（如数据跨境、等级保护2.0及网络安全审查等）和海外数据合规业务（如跨境并购及上市过程中的数据安全评估、面对外国政府调查的危机公关及诉讼等）必将得到蓬勃发展，未来可期。特别是，在2019年年底举行的第八次中日韩领导人会议上，三国领导人达成共识，要共同努力推动《区域全面经济伙伴关系协定》（Regional Comprehensive Economic Partnership， RCEP）在2020年年底签署生效，并同时加快《中日韩自贸区协定》（Free Trade Agreement， FTA）的谈判进程。在这些自由贸易谈判中，重点之一就是数字经济贸易，而数据跨境流动和数据安全协议将是核心要点。同时，对中国企业来说，在未来RCEP和FTA签署生效后，相关的跨境投资必将越来越多，做好海外合规，尤其是数据合规将变得至关重要。

值得庆幸的是，我国的数据合规人才的培养也在快速筹划之中。中国政法大学率先设立了“数据法学”的硕士博士点，江西财经大学把“数据法学”作为法学本科的一个方向，清华大学在不断发展“计算法学”，华东政法大学则设立了“智能法学”的硕士博士点，西南政法大学和上海政法学院甚至成立了人工智能法学院，上海交通大学等不少学校还成立了数据法律研究中心等专业研究机构。对于我个人来说，我主编的中国教材《数据法学》也于2020年7月顺利出版，广受好评。

正是在这样的背景之下，我开始逐渐形成要撰写一本《亚太数据合规手册》的强烈愿望，希望通过重点翻译和介绍日本、韩国、印度、澳大利亚、新加坡、越南等亚太主要国家以及我国香港地区和澳门地区的《个人信息保护法》和《网络安全法》等数据相关法律，为中国内地正在进行的数据立法提供理论储备和参考依据，更为中国企业未来在亚太国家的数据合规提供实践指导。

在这里，我要特别感谢“数据法盟”平台上的“DataLaws公益翻译小组”的所有同仁，正是他们不辞辛苦和无私奉献，用两年时间共同铸就了《亚太数据合规手册》这本工具书，相信一定会成为企业法务及合规、互联网从业者、律师及高校师生等数据法共同体的工具书。后续我们将继续通过公开出版“数据合规”及“大数据战争”等系列丛书，翻译、整理及总结欧盟和美国等区域的数据领域的法律及政策，以及司法案例和执法案例，并*终实现“以全球视野，为中国数据立法建言；以中国智慧，为国际数据规则献策”的目标。

毫无疑问的是，针对个人数据野蛮掘金的时代在全球范围内已经结束，该是建构国际数据新秩序的时候了，让我们一起期待数据合规的蓝海时代的早日到来，让我们一起分享大数据时代的红利！

何渊

2020年10月18日凌晨

于上海数斋

本书为《个人信息保护法》和《数据安全法》等法律提供借鉴。本书也将促进亚太国家在数据隐私和网络安全法律的相互理解与协同，以减少各个区域之间不同的法律制度给跨境商业活动带来的不必要障碍。

何渊

上海交通大学数据法律研究中心执行主任，上海交通大学法学院副教授，天册律师事务所资深顾问。上海律协互联网与信息技术业务委员会委员，首届上海市公共数据开放专家委员会委员，上海数据治理与安全生产发展专业委员会专家，江苏省大数据交易和流通工程实验室“数据安全委员会”专家委员，上海市行政法研究会秘书长。在数据隐私和网络安全方面有丰富的理论知识和实战经验。

本书汇总了在亚太地区不同国家和地区针对数据合规的不同法律法规，通过查阅本书，可以了解到对于同一话题，不同国家和地区的处理办法,也可以就某个国家和地区进行专项研究，方便落地数据合规工作。

——欧建军（沃尔沃汽车亚太区信息安全负责人）

 长期以来，业界对欧美的数据合规有更深入的研究，但对亚太地区的数据合规缺乏一个全面和深入的解读，本书正是这个领域不可多得的专业读物。对跨国企业开展中国及亚太业务的网络安全和数据保护合规提供了有力的知识支撑。

——张喆（美国运通中国执行总监，首席信息安全官）

 本书应当是数据保护从业人员的案头“标配”之一,可以帮助读者获取并巩固结构化的知识和理论基础。对于希望获得有关数据保护国际认证的读者，该手册也是除官方教材之外不可多得的强大素材，特别适用于CIPP/A认证。

——李宵声（前IAPP上海分会联席主席）

 数据资源已然成为世界竞争与合作中非常重要的战略资源，在“一带一路”倡议下，如何运用好沿线国家和地区的数据资源至关重要。本书让企业能更好地掌握重要国家和地区的法律法规和政策，更好地进行数据隐私合规，也降低了企业在发展过程中的合规成本，是企业法务进行数据隐私合规的一个重要的参考。

——黄晓林（腾讯数据隐私保护部国内数据隐私保护中心负责人）

1. 澳大利亚

003澳大利亚隐私保护法律概述

007澳大利亚《隐私法》

009*章概论

011第二章释义

054第三章信息隐私

061第三章（A)信用报告

105第三章（B）隐私法规

114第三章（C）足以构成数据泄露情形的告知

127第四章信息专员的职能

136第五章调查及其他

159第六章公共利益决定和临时公共利益决定

163第六章（A）紧急事件和灾难中的个人信息处理

169第六章（B）执法

170第七章隐私咨询委员会

173第八章保密义务

174第九章其他

180附录澳大利亚隐私原则

2. 日本

197日本数据保护立法概述

203日本《个人信息保护法》

204*章总则

206第二章国家和地方政府的职责等

206第三章个人信息保护措施等

207第四章个人信息处理经营者的义务等

221第五章个人信息保护委员会

224第六章杂则

226第七章罚则

227附则

233日本《个人信息保护法实施细则》

241日本《行政机关持有个人信息的保护法》

242*章总纲

244第二章行政机关对个人信息的处理

246第三章个人信息档案

248第四章（A)公示、修正及停止使用

259第四章（B）行政机关提供匿名化信息

264第五章其他

266第六章罚则

267附则

271日本《网络安全基本法》

271*章总则

273第二章网络安全战略

274第三章基本政策

276第四章网络安全战略总部

278第五章罚则

3. 韩国

281韩国个人信息保护法概述

286韩国《个人信息保护法》

286*章一般规定

288第二章个人信息保护政策的制定等

292第三章个人信息的处理

300第四章个人信息的安全管理

305第五章信息实体的权利保障

309第六章个人信息纠纷调解委员会

312第七章个人信息集体诉讼

314第八章附则

319第九章罚则

323韩国促进信息通信网利用及信息保护等相关法律

324*章总则

326第二章促进信息通信网的使用

328第三章已删除

329第四章个人信息的保护

338第五章信息通信网中的使用者保护等

343第六章信息通信网的稳定性确保等

356第七章通信收费服务

359第八章国际合作

360第九章附则

365第十章处罚

4. 越南

379越南数据保护法律概述

382越南《网络安全法》

382*章总则

387第二章国家安全关键信息系统网络安全的保护

391第三章对侵害网络安全行为的预防与处置

398第四章网络安全保护活动

401第五章网络安全工作保障

403第六章机构、组织和个体的职责

405第七章执行规定

5. 印度

409印度个人数据保护法概述

415印度《个人数据保护法（草案）》

416*章引言

420第二章数据受托者的义务

423第三章无需同意的处理个人数据的情形

425第四章儿童的个人数据和个人敏感数据