亚太地区的合规

什么是澳大利亚2017年隐私法案修正案（数据泄露必须通知）合规？

澳大利亚的隐私法规定了一项强制性要求——必须把数据泄露事件通知隐私监督官和受影响个人。

法规概要

2017年2月13日，澳大利亚参议院通过一项法案，确立了一项强制性要求，即须向隐私监督官和受影响个人通知“符合条件的”数据泄露情况。“2017年隐私修正案（数据泄露必须通知）”修订了澳大利亚的1988年《隐私法》。

处罚

根据“全球法律监督”（Global Legal Monitor）：

凡未通知但被认定对1988年《隐私法》所涉隐私构成严重干扰的，最高可处以……180万澳元……（约合……137万美元……）罚款。

合规概要

该法案第26WG条规定，如果“访问或泄露……不太可能导致严重伤害”，则不需通知泄露情况。该条进一步指出：

如果安全技术或方法：

……

(i)                 被用于所涉信息，以及

(ii)               可使信息对于未经授权获取信息的人不可理解或失去意义，

则对信息的访问或泄露不太可能[导致严重伤害]。

什么是日本“我的号码”合规？

日本的《个人信息保护法》（PIPA）要求保护公民个人数据免遭泄露、丢失或损坏，监督处理数据的员工，以及监督受托处理数据的第三方。

法规概要

企业处理日本公民个人“我的号码”相关数据的数据安全要求主要由日本的《个人信息保护法》（PIPA）规定，其中包括：

l  采取必要和适当措施防止个人数据泄露、丢失或损坏，确保把个人数据置于安全控制之下；

l  对处理数据的员工进行必要和适当监督，确保把个人数据置于安全控制之下；

l  对受托机构的任何人员进行必要和适当监督，确保把受托个人资料置于安全控制之下。

什么是新加坡金融管理局指南合规？

为了保护敏感客户数据并遵守新加坡金融管理局技术风险管理指南，机构需要采用一致、强大和细粒度的控制。

法规概要

新加坡金融管理局（MAS）发布了《技术风险管理（TRM）指南》，以帮助金融公司建立健全的技术风险管理、加强系统安全并保护敏感数据和交易。

《技术风险管理指南》包含在新加坡开展业务的金融机构应该采用的行业最佳实践规范陈述。金融管理局明确表示，虽然《技术风险管理指南》的要求不具有法律约束力，但是它们将成为金融管理局用来评估金融机构（FI）风险的基准。

指南描述

8.4.4         金融机构应该给保存有敏感或保密信息的备份磁带和磁盘（包括U盘）加密，然后再将其运往异地存储。

9.1.6         对于保存在IT系统、服务器和数据库中的保密信息应该通过强访问控制加密和保护，此外还应遵守“最小权限”原则。

11.0.1.c   访问控制原则——金融机构应该只根据工作职责和履行职责的需要授予访问权和系统权限。金融机构应该严格执行任何人不应因为级别或职位的缘故而拥有访问保密数据、应用程序、系统资源或设施之固有权力的制度。

11.1.1       金融机构应该只根据使用需要并在需要访问的期限内授予用户访问IT系统和网络的权限。金融机构应该确保由资源拥有者正式授权和批准访问IT资源的所有请求。

11.2          特权访问管理。

11.2.3.d.  根据“需要”授予特权访问权限。

11.2.3.e.  保留特权用户执行系统活动的审计日志记录。

11.2.3.f.   禁止特权用户访问正在捕捉其活动的系统日志。

13              支付卡安全（自动柜员机、信用卡和借记卡）。

什么是菲律宾2012年数据隐私法合规？

菲律宾的《隐私法》对与政府和私营部门处理个人数据相关的个人数据保护采用了国际原则和标准。

法规的技术安全要求

规则的第28节“技术安全措施指南”提供了以下方向：

个人信息控制者和个人信息处理者应该在适当情况下采取并建立以下技术安全措施：

a.      与处理个人数据相关的安全策略；

b.      保护计算机网络免受意外、非法或未经授权使用、任何会影响数据完整性或阻碍系统功能或可用性的干扰以及通过电子网络进行的未经授权访问之侵扰的保障措施；

……

d.      定期检查安全破坏情况，建立一个流程识别和评价计算机网络中可合理预见的漏洞以及针对可能导致个人数据泄露的安全事件采取预防、纠正和缓解措施；

……

g.      给存储和传输过程中的个人数据加密、建立身份验证流程以及采取其他控制和限制访问的技术安全措施。

什么是韩国的PIPA合规？

韩国的《个人信息保护法》是世界上最严格的数据保护制度之一，它得到了与IT和通信网络以及信用信息的使用（《信用信息的使用和保护法》）相关的特定行业立法的支持。

法规概要

泄露通知：《个人信息保护法》对公共和私营部门的机构规定了许多义务，其中包括把数据泄露的情况通知数据主体和其他机构（包括韩国通信委员会）的强制性要求。

数据安全：《个人信息保护法》要求信息管理者（即数据控制者）采取“安全保障所需要的技术、管理和物理措施……以防止个人信息丢失、被盗、泄露、被篡改或损坏”。

官方策略陈述：机构必须就这些安全措施做出正式陈述。

内部隐私官：机构任命一名负责监督数据处理活动的内部隐私官（无论机构的规模或性质如何）。发生数据泄露事件后，内部隐私官将被追责并在事后接受任何刑事调查。

个人可识别信息加密

《个人信息保护法》第24条第3款对唯一可识别信息的管理做出了明确限制，要求信息管理人员采取“包括加密在内的必要措施”，以防止信息丢失、被盗、泄露、被篡改或损坏。同样，第25条第6款和第29条也要求采取“必要措施”，以确保个人信息不会丢失、被盗、被篡改或损坏。

严格执行

韩国还创下了严格执行数据保护法律的记录。《个人信息保护法》第9章包含了对泄露数据行为给予严厉处罚的规定，其中包括巨额罚款和监禁——最高5000万韩元罚款和最高5年监禁是潜在后果。