亚太经合组织隐私框架

©2021云安全联盟版权所有1 亚太经合 组织隐私框架 @2021云安全联盟大中华区-保留所有权利。你可以在你的电脑上下载、储存、展示、查看、打印，或者访问云安全联盟大中华区官网（https://www.c-csa.cn）。须遵守以下:（a）本文只可作个人、信息获取、非商业用途；(b)本文内容不得篡改;(c)本文不得转发;(d)该商标、版权或其他声明不得删除。在遵循中华人民共和国著作权法相关条款情况下合理使用本文内容，使用时请注明引用于云安全联盟大中华区。 致谢 中文版翻译说明 人数据安全专题组负责组织翻译。 翻译审校工作专家： 组长：高巍 组员：薛琨，张明敏，廖聪城，王贵宗 在此感谢以上参与该文档的翻译审校工作的专家及工作人员。如译文有不妥当之 处，敬请读者联系CSA数据安全工作组给与雅正! 联系邮箱：info@c-csa.cn； 云安全联盟大中华区2021年8月8日 云安全联盟CSA公众号 《亚太经合组织隐私框架(2015)》由云安全联盟(CSAGCR)数据安全工作组下属个 亚太经合组织隐私框架(2015) 目录 第一章序言 第二章范围 第三章亚太经合组织信息隐私原则 第四章实施 A.国内实施 B.国际实施 亚太经合组织隐私框架(2015) 前言 亚太经合组织成员经济体认识到数字经济的巨大潜力，将继续扩大商业机会，降低成本，提高效率，改善生活质量，并促进小企业更多地参与全球商业。一个在经济体内部和外部保护隐私的框架，来确保个人信息区域性转移利于消费者、企业和政府。部长们已经签署亚太经合组织隐私框架，认识到制定有效的隐私保护措施的重要性，以避免信息流动的障碍，确保亚太经合组织地区持续的贸易和经济增长。 第一章．序言 1.亚太经合组织各经济体认识到，在保持亚太地区各经济体之间以及各贸易伙伴之间信息流动的同时，保护信息隐私的重要性。正如亚太经合组织各国部长在批准1998年《电子商务行动蓝图》时承认的那样，如果没有政府和企业的合作，就无法实现电子商务的潜力，"制定和实施技术和政策，来建立对安全、可靠的通信、信息和交付系统的信任和信心，并解决包括隐私在内的问题..."。消费者对在线交易、信息网络和个人信息管理的隐私和安全的信任和信心，对于使成员经济体获得电子商务的好处和参与当今信息驱动的经济至关重要。亚太经合组织经济体认识到，提高消费者信心和确保电子商务和创新的增长,一个关键部分是在尊重国内法律和法规、适用于信息隐私保护的国际框架，并加强亚太地区的信息安全的同时，通过合作来促进有效的信息隐私保护和亚太地区的信息自由流动。 2.与互联网和其他信息网络相连的信息和通信技术，包括移动技术，使人们有可能从世界任何地方收集、储存和访问信息。这些技术为个人、政府、企业和整个社会带来了社会和经济效益，包括增加消费者选择、市场扩张、生产力、教育、通信和产品创新。然而，尽管这些技术使收集、分析和使用大量信息变得更容易和更便宜，但它们的设计和使用方式往往使这些活动无法被个人察觉。个人 可能更难对其个人信息保持一定程度的控制。结果是个人担心他们的信息被使用和滥用可能产生的有害后果。因此，有必要在线上和线下的情况下推动和执行遵守道德的和值得信赖的信息实践，以加强个人和企业的信心。 3.由于技术和信息流性质的变化，商业运营和消费者的期望已经发生了重大转变：企业和其他组织现在需要每天24小时同时输入和获取数据，以满足商业、客户和社会需求，并提供高效和具有成本效益的服务。不必要地限制这种信息流动或给它带来负担的监管体系，会对全球商业、经济和个人产生不利影响。因此，在推动和执行道德信息实践的过程中，也有必要制定考虑到全球环境中的这些现实情况的保护隐私的体系。 4.亚太经合组织经济体赞同基于原则的亚太经合组织隐私框架，认为它是鼓励发展适当的隐私保护措施和确保亚太地区信息自由流动的重要工具。 5.该框架旨在促进整个亚太地区的电子商务，与经合组织《保护隐私和个人数据跨境流动指南》（经合组织指南）的核心价值一致，并重申了隐私对个人和信息社会的价值。该框架的上一版本（2005年）是以经合组织指南（1980年）为蓝本的，该指南在当时代表了关于什么是公平和值得信赖的个人信息处理的国际共识。更新后的《框架》（2015年）借鉴了《经合组织指南》（2013年）1中的概念，并适当考虑了亚太经合组织地区不同的法律特点和背景。 6.该框架特别指出在保持信息流动的同时保护隐私的重要性，以及与亚太经合组织成员经济体特别相关的问题。其实用和独特的方法是将注意力集中在一致的而非完全相同的隐私保护上。通过这样的方式，它力求使隐私与商业和社会需求及商业利益相协调，同时，对成员经济体内部存在的文化和其他多样性给予适当的承认。 1www.oecd.org/internet/ieconomy/privacy-guidelines.htm 7.本框架旨在为亚太经合组织经济体的企业和政府实体提供明确的指导和方向，说明常见的隐私问题以及隐私问题对合法商业行为和政府职能的影响。它通过强调现代消费者的合理隐私期望来做到这一点。企业和成员经济体应以符合本框架所列原则的方式，尊重个人的隐私利益。 8.该框架的制定和更新是基于以下几点的重要性： •对个人信息实施适当的隐私保护，特别是避免个人信息被入侵和滥用的有害后果。 •信息的自由流动对贸易，以及对发达和发展中市场经济体的经济和社会增长的重要性。 •使在亚太经合组织成员经济体中收集、访问、使用或处理数据的全球公司能够在其组织内制定和实施统一的方法，以便在全球范围内获取和使用个人信息。 •赋予隐私执法机构权力，以履行其保护个人隐私的任务。 •推进国际和区域机制，包括亚太经合组织跨境隐私规则（CBPR）系统，以促进和实施隐私保护，并保持亚太经合组织经济体之间以及与其贸易伙伴之间信息流动的连续性。 •鼓励各组织对其控制下的所有个人信息负责。 •促进该框架、及其实施措施（如CPEA和CBPR体系）与其他地区的隐私做法之间的互操作性。 第二章范围 亚太经合组织隐私框架第二章的目的是明确这些原则的涵盖范围。 核心定义释义 9.个人信息是指关于已识别或可识别个人的任何信息。 9.该框架旨在适用于关于在世自然人而非法人的信息。该框架适用于个人信息，即可以用来识别个人的信 息。它还包括一些不能单独满足此条件的信息，这些信息不能单独满足此条件，但是与其他信息放在一起将可以识别一个人。例如，某些类型的元数据经过汇总，可以揭示个人信息，并可以洞悉个人的行为，社交关系，私人偏好和身份。 10.个人信息控制者是指控制个人信息的收集、持有、处理、使用、披露或转让的个人或组织。它包括指示另一个人或组织代表他或她收集、持有、处理、使用、转让或披露个人信息的人或组织，但不包括按照另一个人或组织的指示执行这些职能的人或组织。它也不包括收集、持有、处理或使用与个体、家庭或家族事务有关的个人信息的个人。 10.该框架适用于公共和私营部门中控制个人信息的收集、持有、处理、使用、转移或披露的个人或组织。就本框架而言，如果一个人或组织指示另一个人或组织代表其收集、持有、使用、处理、转移或披露个人信息，则发出指示的人或组织是个人信息控制者，并负责确保遵守原则。个体通常会出于个人、家庭或家族的目的而收集、持有和使用个人信息。例如，他们经常保存地址簿和电话清单，或编写家庭通讯。本框架无意涵盖此类个人、家庭或家居活动。 11.公开可用的信息是指个人在知情的情况下向公众提供或允许提供的有关个人的信息，或从以下方面合法获得和获取的信息。 a)向公众提供的政府记录。 b)新闻报道；或 c)法律要求向公众提供的信息。 11.该框架对可公开可用的信息的适用性有限。尤其是在信息已经公开的情况下，如果个人信息控制者不直接从有关个人那里收集信息，那么通知和选择要求往往是多余的。公开可用的信息可能包含在向公众提供的政府记录中，如有权投票的人 的登记册，或新闻媒体广播或发布的新闻项目中。 补充定义 12.CBPR体系是APEC跨境隐私规则体系的缩写。2 12.亚太经合组织领导人于2011年批准的亚太经合组织跨境隐私规则体系是一个基于自愿的问责制的方案，以促进亚太经合组织经济体之间尊重隐私的个人信息流动。它有四个主要组成部分。 为成为CBPR体系责任机构设定标准。 信息控制者被认可的责任机构认证为符合亚太经合组织CBPR体系的程序。 评估标准，供认可的责任机构在审查信息控制者是否符合CBPR体系要求时使用；以及 通过认可的责任机构提供的投诉程序，执行CBPR体系要求的安排，并由作为CPEA参与者的隐私执法机构（PEA）提供支持。 13.CPEA是亚太经合组织跨境隐私执法安排的缩写，它是一个实用的多边机制，通过建立一个框架，使隐私执法机构能够在跨境隐私执法方 13.CPEA是一个多边机制，使亚太经合组织地区的隐私执法机构能够在隐私法的跨境执法方面进行合作。亚太经合组织成员经济体的任何隐 2更多信息请参考：www.cbprs.org 面进行合作，在这个框架下，当局可以在自愿的基础上分享信息，并以某些方式请求和提供协助。3 私执法机构都可以参加。CPEA的目的是 促进亚太经合组织成员经济体的隐私执法机构之间的信息共享。 提供机制以促进隐私执法机构之间在执行隐私法方面的有效跨境合作；以及 鼓励与亚太经合组织地区以外的隐私执法机构分享信息和进行隐私调查和执法的合作。 14.隐私执法机构是指负责执行隐私法的任何公共机构，该机构有权进行调查和/或履行执法程序。 14.隐私执法机构是一个公共机构，负责执行亚太经合组织经济体的隐私法。它将有权力进行调查和/或履行执法程序。一个经济体可以有一个以上的隐私执法机构。 15.隐私法是指亚太经合组织成员经济体的法律和法规，其执行具有保护符合亚太经合组织隐私框架的个人信息的效果。 15.亚太经合组织成员经济体的隐私法有各种不同的形式。有些是一般性的隐私或数据保护法规，而其他的一些则采取部分的方法，涵盖特定领域，如信用报告或健康信息。在某些情况下，相关的法律规定包含在涉及电信或消费者保护等问题的更广泛的法律中。就本定义而言， 3CPEA的正式名称是"亚太经合组织跨国界隐私执法合作安排"。更多信息请访问：www.apec.org/Groups/Committee-on-Trade-and-Investment/Electronic-Commerce-Steering-Group/Cross-border-Privacy-Enforcement-Arrangement.aspx 这些法律被称为什么并不重要：重要的是法律的效果。 16.PRP体系是APEC处理者隐私认可体系的缩写。 16.PRP体系描述了处理者必须满足的基准要求，以便得到亚太经合组织认可的责任机构的认可，并就处理者的隐私政策和做法提供保证。PRP体系帮助个人信息处理者证明他们有能力有效履行个人信息控制者的与处理个人信息有关的隐私责任义务。 适用 17.考虑到每个成员经济体在社会、文化、经济和法律背景方面的差异，在实施这些原则时应具有灵活性。 17.虽然亚太经合组织内的所有法律和实践的完全相同对电子商务来说并不是必须的，但亚太经合组织各经济体对隐私保护采取兼容的方法将大大促进国际商务和隐私执法合作。尽管如此，本框架认识到还需要考虑到各经济体之间的社会、文化和其他差异。 18.本框架第三部分所包含的这些原则的例外情况，包括与国家主权、国家安全、公共安全和公共政策有关的，应该 a)对满足与例外情况有关的目标来说是有限的和相称的；并且 b)(i)向公众公布；或 18.在国内实施本框架的经济体可采取适合其特定国情的适当例外。 在承认政府尊重隐私的重要性的同时，本框架无意阻碍为保护国家安全、公共安全、国家主权或实现其他重要公共政策目标而采取的法律 (ii)根据法律规