在欧洲推出《一般数据保护条例》之际,中国也推出了受其启发的《信息安全技术个人信息安全规范》,走在亚洲前列。
更新于2018年5月31日 11:38 英国《金融时报》 路易丝•卢卡斯 香港报道
中国出人意料地在制定数据隐私保护规定方面走在了亚洲的前列。中国的公司和政府部门都在致力于收集个人数据,以便为每个人创建一个“社会信用评分”。
律师们指出,上周五生效的欧盟《一般数据保护条例》(GDPR)已促使许多亚洲监管机构和公司做出回应,以确保这一有关数据处理、存储、使用和转让的严格新规不会危及全球数据流动。
“从某些方面看,中国是最直接接受GDPR的国家,不过是以非常中国的方式,”富而德律师事务所(Freshfields)的合伙人理查德•伯德(Richard Bird)说。
虽然中国要求本国公民的数据保存在境内,且并不以数据隐私保护著称——例如,即将建成的社会信用体系是以个人数据和行为为基础——但中国却在本月推出了受GDPR影响的非约束性规定。
“仔细研读这一规定,你可以清楚地看出,规定的起草参照了GDPR,”霍金路伟国际律师事务所(Hogan Lovells)驻香港的合伙人马克•帕森斯(Mark Parsons)说。“我们认为这一规定会被严肃认真地对待。”
伯德也同意帕森斯的说法。“规定的起草人说,GDPR是中国新出台规定的主要灵感来源,并允许这一评论见报,”他说。不过,这些规定的严苛程度不及GDPR,也通不过欧洲更为严格的要求。
然而,在接受GDPR方面,中国企业的行动滞后于本国政府和美国企业。一位驻北京的律师表示,她在欧洲、美国和日本的同事说,那里的公司都已“聘请了律师”……但在中国,除少数几家大公司之外,大部分中国公司还没有真正开始行动。
亚太地区只有一个国家——新西兰——被列入了欧洲现有的数据可以自由出口的国家白名单。
“由于GDPR,该地区关于改善数据保护的立法势头非常强劲,”帕森斯说。“人们正在审视他们的国家法律,并表示:‘欧洲正在向前迈进,是否有种感觉我们可能被抛在后面?’”
中国的规定、以及印度于去年12月在一份长篇白皮书中发布的一系列类似指引,与很多东南亚国家(包括泰国和印尼)在数据保护方面缺乏进展形成鲜明的对照。多年来印尼加强数据保护的努力一直处于计划中。
根据新加坡个人资料保护委员会(Personal Data Protection Commission)的说法,即使是被普遍视为东盟最发达经济体的新加坡,也要到2019年才会将其拟议的《个人资料保护法令》修订草案提交议会讨论。律师们表示,从某些方面看,新加坡的修订草案是放松而不是收紧个人资料保护机制,要求人们默认同意允许机构存储他们的数据,而不是采用GDPR规定的明示同意。