CSA 亚太经合组织隐私框架 (2015)

亚太经合组织隐私 h t i g c . 5 框架 m o b u © 2021 云安全联盟版权所有 1 h t i g m o c . 5 b u @2021 云安全联盟大中华区-保留所有权利。你可以在你的电脑上下载、储存、展示、查看、打印，或者访问云安全联盟大中华区官网（https://www.c-csa.cn）。须遵守以下: （a）本文只可作个人、信息获取、非商业用途；(b) 本文内容不得篡改; (c)本文不得转发; (d)该商标、版权或其他声明不得删除。在遵循中华人民共和国著作权法相关条款情况下合理使用本文内容，使用时请注明引用于云安全联盟大中华区。 © 2021 云安全联盟版权所有 2 致谢中文版翻译说明《亚太经合组织隐私框架(2015)》由云安全联盟(CSA GCR)数据安全工作组下属个人数据安全专题组负责组织翻译。 m o c . 5 翻译审校工作专家：组长：高巍组员：薛琨，张明敏，廖聪城，王贵宗 b u 在此感谢以上参与该文档的翻译审校工作的专家及工作人员。如译文有不妥当之处，敬请读者联系 CSA 数据安全工作组给与雅正! h t i g 联系邮箱：info@c-csa.cn；云安全联盟大中华区 2021 年 8 月 8 日云安全联盟 CSA 公众号 © 2021 云安全联盟版权所有 3 亚太经合组织隐私框架 (2015) ____________________________________________ 目录第一章序言第二章范围 h t i g m o c . 5 b u 第三章亚太经合组织信息隐私原则第四章实施 A. 国内实施 B. 国际实施 ____________________________________________ © 2021 云安全联盟版权所有 4 亚太经合组织隐私框架 (2015) 前言亚太经合组织成员经济体认识到数字经济的巨大潜力，将继续扩大商业机会，降低成本，提高效率，改善生活质量，并促进小企业更多地参与全球商业。一个在经济体内部和外部保护隐私的框架，来确保个人信息区域性转移利于消费者、企业和政 m o c . 5 府。部长们已经签署亚太经合组织隐私框架，认识到制定有效的隐私保护措施的重要性，以避免信息流动的障碍，确保亚太经合组织地区持续的贸易和经济增长。第一章．序言 b u 1. 亚太经合组织各经济体认识到，在保持亚太地区各经济体之间以及各贸易伙伴之间信息流动的同时，保护信息隐私的重要性。正如亚太经合组织各国部长在批 h t i g 准 1998 年《电子商务行动蓝图》时承认的那样，如果没有政府和企业的合作，就无法实现电子商务的潜力，"制定和实施技术和政策，来建立对安全、可靠的通信、信息和交付系统的信任和信心，并解决包括隐私在内的问题..."。消费者对在线交易、信息网络和个人信息管理的隐私和安全的信任和信心，对于使成员经济体获得电子商务的好处和参与当今信息驱动的经济至关重要。亚太经合组织经济体认识到，提高消费者信心和确保电子商务和创新的增长,一个关键部分是在尊重国内法律和法规、适用于信息隐私保护的国际框架，并加强亚太地区的信息安全的同时，通过合作来促进有效的信息隐私保护和亚太地区的信息自由流动。 2. 与互联网和其他信息网络相连的信息和通信技术，包括移动技术，使人们有可能从世界任何地方收集、储存和访问信息。这些技术为个人、政府、企业和整个社会带来了社会和经济效益，包括增加消费者选择、市场扩张、生产力、教育、通信和产品创新。然而，尽管这些技术使收集、分析和使用大量信息变得更容易和更便宜，但它们的设计和使用方式往往使这些活动无法被个人察觉。个人 © 2021 云安全联盟版权所有 5 可能更难对其个人信息保持一定程度的控制。结果是个人担心他们的信息被使用和滥用可能产生的有害后果。因此，有必要在线上和线下的情况下推动和执行遵守道德的和值得信赖的信息实践，以加强个人和企业的信心。 3. 由于技术和信息流性质的变化，商业运营和消费者的期望已经发生了重大转变：企业和其他组织现在需要每天 24 小时同时输入和获取数据，以满足商业、客户和社会需求，并提供高效和具有成本效益的服务。不必要地限制这种信息流动或给它带来负担的监管体系，会对全球商业、经济和个人产生不利影响。因此， m o c . 5 在推动和执行道德信息实践的过程中，也有必要制定考虑到全球环境中的这些现实情况的保护隐私的体系。 4. 亚太经合组织经济体赞同基于原则的亚太经合组织隐私框架，认为它是鼓励发展 b u 适当的隐私保护措施和确保亚太地区信息自由流动的重要工具。 h t i g 5. 该框架旨在促进整个亚太地区的电子商务，与经合组织《保护隐私和个人数据跨境流动指南》（经合组织指南）的核心价值一致，并重申了隐私对个人和信息社会的价值。该框架的上一版本（2005 年）是以经合组织指南（1980 年）为蓝本的，该指南在当时代表了关于什么是公平和值得信赖的个人信息处理的国际共识。更新后的《框架》（2015 年）借鉴了《经合组织指南》（2013 年）1中的概念，并适当考虑了亚太经合组织地区不同的法律特点和背景。 6. 该框架特别指出在保持信息流动的同时保护隐私的重要性，以及与亚太经合组织成员经济体特别相关的问题。其实用和独特的方法是将注意力集中在一致的而非完全相同的隐私保护上。通过这样的方式，它力求使隐私与商业和社会需求及商业利益相协调，同时，对成员经济体内部存在的文化和其他多样性给予适当的承认。 1 www.oecd.org/internet/ieconomy/privacy-guidelines.htm © 2021 云安全联盟版权所有 6 7. 本框架旨在为亚太经合组织经济体的企业和政府实体提供明确的指导和方向，说明常见的隐私问题以及隐私问题对合法商业行为和政府职能的影响。它通过强调现代消费者的合理隐私期望来做到这一点。企业和成员经济体应以符合本框架所列原则的方式，尊重个人的隐私利益。 8. 该框架的制定和更新是基于以下几点的重要性： • 对个人信息实施适当的隐私保护，特别是避免个人信息被入侵和滥用的有害 m o c . 5 后果。 • 信息的自由流动对贸易，以及对发达和发展中市场经济体的经济和社会增长的重要性。 • 使在亚太经合组织成员经济体中收集、访问、使用或处理数据的全球公司能够在其组织内制定和实施统一的方法，以便在全球范围内获取和使用个人信息。 b u • 赋予隐私执法机构权力，以履行其保护个人隐私的任务。 • 推进国际和区域机制，包括亚太经合组织跨境隐私规则（CBPR）系统，以 h t i g 促进和实施隐私保护，并保持亚太经合组织经济体之间以及与其贸易伙伴之间信息流动的连续性。 • 鼓励各组织对其控制下的所有个人信息负责。 • 促进该框架、及其实施措施（如 CPEA 和 CBPR 体系）与其他地区的隐私做法之间的互操作性。第二章范围亚太经合组织隐私框架第二章的目的是明确这些原则的涵盖范围。核心定义释义 9. 个人信息是指关于已识别或可识别 9. 该框架旨在适用于关于在世自然人个人的任何信息。而非法人的信息。该框架适用于个人信息，即可以用来识别个人的信 © 2021 云安全联盟版权所有 7 息。它还包括一些不能单独满足此条件的信息，这些信息不能单独满足此条件，但是与其他信息放在一起将可以识别一个人。例如，某些类型的元数据经过汇总，可以揭示个人信息，并可以洞悉个人的行为，社交关系，私人偏好和身份。 m o c . 5 10. 个人信息控制者是指控制个人信息 10. 该框架适用于公共和私营部门中控的收集、持有、处理、使用、披露制个人信息的收集、持有、处理、或转让的个人或组织。它包括指示使用、转移或披露的个人或组织。另一个人或组织代表他或她收集、就本框架而言，如果一个人或组织持有、处理、使用、转让或披露个指示另一个人或组织代表其收集、人信息的人或组织，但不包括按照持有、使用、处理、转移或披露个另一个人或组织的指示执行这些职人信息，则发出指示的人或组织是能的人或组织。它也不包括收集、个人信息控制者，并负责确保遵守持有、处理或使用与个体、家庭或原则。个体通常会出于个人、家庭家族事务有关的个人信息的个人。或家族的目的而收集、持有和使用 h t i g b u 个人信息。例如，他们经常保存地址簿和电话清单，或编写家庭通讯。本框架无意涵盖此类个人、家庭或家居活动。 11. 公开可用的信息是指个人在知情的 11. 该框架对可公开可用的信息的适用情况下向公众提供或允许提供的有性有限。尤其是在信息已经公开的关个人的信息，或从以下方面合法情况下，如果个人信息控制者不直获得和获取的信息。接从有关个人那里收集信息，那么 a) 向公众提供的政府记录。通知和选择要求往往是多余的。公 b) 新闻报道；或开可用的信息可能包含在向公众提 c) 法律要求向公众提供的信息。供的政府记录中，如有权投票的人 © 2021 云安全联盟版权所有 8 的登记册，或新闻媒体广播或发布的新闻项目中。补充定义 12. CBPR 体系是 APEC 跨境隐私规则体系的缩写。2 12. 亚太经合组织领导人于 2011 年批准的亚太经合组织跨境隐私规则体系是一个基于自愿的问责制的方案，以促进亚太经合组织经济体之 m o c . 5 间尊重隐私的个人信息流动。它有四个主要组成部分。  为成为 CBPR 体系责任机构设定标准。  信息控制者被认可的责任机构 b u 认证为符合亚太经合组织 h t i g   CBPR 体系的程序。评估标准，供认可的责任机构在审查信息控制者是否符合 CBPR 体系要求时使用；以及通过认可的责任机构提供的投诉程序，执行 CBPR 体系要求的安排，并由作为 CPEA 参与者的隐私执法机构（PEA）提供支持。 2 13. CPEA 是亚太经合组织跨境隐私执 13. CPEA 是一个多边机制，使亚太经法安排的缩写，它是一个实用的多合组织地区的隐私执法机构能够在边机制，通过建立一个框架，使隐