亚 太 经 合 组 织 隐 私 h t i g c . 5 框 架 m o b u © 2021 云安全联盟版权所有 1 h t i g m o c . 5 b u @2021 云安全联盟大中华区-保留所有权利。你可以在你的电脑上下载、储存、展示、查看、 打印，或者访问云安全联盟大中华区官网（https://www.c-csa.cn）。须遵守以下: （a）本文 只可作个人、信息获取、非商业用途；(b) 本文内容不得篡改; (c)本文不得转发; (d)该商标、版 权或其他声明不得删除。在遵循中华人民共和国著作权法相关条款情况下合理使用本文内容，使 用时请注明引用于云安全联盟大中华区。 © 2021 云安全联盟版权所有 2 致谢 中文版翻译说明 《亚太经合组织隐私框架(2015)》由云安全联盟(CSA GCR)数据安全工作组下属个 人数据安全专题组负责组织翻译。 m o c . 5 翻译审校工作专家： 组长：高巍 组员：薛琨，张明敏，廖聪城，王贵宗 b u 在此感谢以上参与该文档的翻译审校工作的专家及工作人员。如译文有不妥当之 处，敬请读者联系 CSA 数据安全工作组给与雅正! h t i g 联系邮箱：[email protected]； 云安全联盟大中华区 2021 年 8 月 8 日 云安全联盟 CSA 公众号 © 2021 云安全联盟版权所有 3 亚太经合组织隐私框架 (2015) ____________________________________________ 目录 第一章 序言 第二章 范围 h t i g m o c . 5 b u 第三章 亚太经合组织信息隐私原则 第四章 实施 A. 国内实施 B. 国际实施 ____________________________________________ © 2021 云安全联盟版权所有 4 亚太经合组织隐私框架 (2015) 前言 亚太经合组织成员经济体认识到数字经济的巨大潜力，将继续扩大商业机会，降低 成本，提高效率，改善生活质量，并促进小企业更多地参与全球商业。 一个在经济 体内部和外部保护隐私的框架，来确保个人信息区域性转移利于消费者、企业和政 m o c . 5 府。 部长们已经签署亚太经合组织隐私框架，认识到制定有效的隐私保护措施的重 要性，以避免信息流动的障碍，确保亚太经合组织地区持续的贸易和经济增长。 第一章．序言 b u 1. 亚太经合组织各经济体认识到，在保持亚太地区各经济体之间以及各贸易伙伴之 间信息流动的同时，保护信息隐私的重要性。 正如亚太经合组织各国部长在批 h t i g 准 1998 年《电子商务行动蓝图》时承认的那样，如果没有政府和企业的合作， 就无法实现电子商务的潜力，"制定和实施技术和政策，来建立对安全、可靠的 通信、信息和交付系统的信任和信心，并解决包括隐私在内的问题..."。 消费者 对在线交易、信息网络和个人信息管理的隐私和安全的信任和信心，对于使成员 经济体获得电子商务的好处和参与当今信息驱动的经济至关重要。 亚太经合组 织经济体认识到，提高消费者信心和确保电子商务和创新的增长,一个关键部分 是在尊重国内法律和法规、适用于信息隐私保护的国际框架，并加强亚太地区的 信息安全的同时，通过合作来促进有效的信息隐私保护和亚太地区的信息自由流 动。 2. 与互联网和其他信息网络相连的信息和通信技术，包括移动技术，使人们有可能 从世界任何地方收集、储存和访问信息。 这些技术为个人、政府、企业和整个 社会带来了社会和经济效益，包括增加消费者选择、市场扩张、生产力、教育、 通信和产品创新。 然而，尽管这些技术使收集、分析和使用大量信息变得更容 易和更便宜，但它们的设计和使用方式往往使这些活动无法被个人察觉。 个人 © 2021 云安全联盟版权所有 5 可能更难对其个人信息保持一定程度的控制。 结果是个人担心他们的信息被使 用和滥用可能产生的有害后果。 因此，有必要在线上和线下的情况下推动和执 行遵守道德的和值得信赖的信息实践，以加强个人和企业的信心。 3. 由于技术和信息流性质的变化，商业运营和消费者的期望已经发生了重大转变： 企业和其他组织现在需要每天 24 小时同时输入和获取数据，以满足商业、客户 和社会需求，并提供高效和具有成本效益的服务。不必要地限制这种信息流动或 给它带来负担的监管体系，会对全球商业、经济和个人产生不利影响。 因此， m o c . 5 在推动和执行道德信息实践的过程中，也有必要制定考虑到全球环境中的这些现 实情况的保护隐私的体系。 4. 亚太经合组织经济体赞同基于原则的亚太经合组织隐私框架，认为它是鼓励发展 b u 适当的隐私保护措施和确保亚太地区信息自由流动的重要工具。 h t i g 5. 该框架旨在促进整个亚太地区的电子商务，与经合组织《保护隐私和个人数据跨 境流动指南》（经合组织指南）的核心价值一致，并重申了隐私对个人和信息社 会的价值。该框架的上一版本（2005 年）是以经合组织指南（1980 年）为蓝 本的，该指南在当时代表了关于什么是公平和值得信赖的个人信息处理的国际共 识。更新后的《框架》（2015 年）借鉴了《经合组织指南》（2013 年）1中的 概念，并适当考虑了亚太经合组织地区不同的法律特点和背景。 6. 该框架特别指出在保持信息流动的同时保护隐私的重要性，以及与亚太经合组织 成员经济体特别相关的问题。 其实用和独特的方法是将注意力集中在一致的而 非完全相同的隐私保护上。 通过这样的方式，它力求使隐私与商业和社会需求 及商业利益相协调，同时，对成员经济体内部存在的文化和其他多样性给予适当 的承认。 1 www.oecd.org/internet/ieconomy/privacy-guidelines.htm © 2021 云安全联盟版权所有 6 7. 本框架旨在为亚太经合组织经济体的企业和政府实体提供明确的指导和方向，说 明常见的隐私问题以及隐私问题对合法商业行为和政府职能的影响。 它通过强 调现代消费者的合理隐私期望来做到这一点。 企业和成员经济体应以符合本框 架所列原则的方式，尊重个人的隐私利益。 8. 该框架的制定和更新是基于以下几点的重要性： • 对个人信息实施适当的隐私保护，特别是避免个人信息被入侵和滥用的有害 m o c . 5 后果。 • 信息的自由流动对贸易，以及对发达和发展中市场经济体的经济和社会增长 的重要性。 • 使在亚太经合组织成员经济体中收集、访问、使用或处理数据的全球公司能 够在其组织内制定和实施统一的方法，以便在全球范围内获取和使用个人信 息。 b u • 赋予隐私执法机构权力，以履行其保护个人隐私的任务。 • 推进国际和区域机制，包括亚太经合组织跨境隐私规则（CBPR）系统，以 h t i g 促进和实施隐私保护，并保持亚太经合组织经济体之间以及与其贸易伙伴之 间信息流动的连续性。 • 鼓励各组织对其控制下的所有个人信息负责。 • 促进该框架、及其实施措施（如 CPEA 和 CBPR 体系）与其他地区的隐私做 法之间的互操作性。 第二章 范围 亚太经合组织隐私框架第二章的目的是明确这些原则的涵盖范围。 核心定义 释义 9. 个人信息是指关于已识别或可识别 9. 该框架旨在适用于关于在世自然人 个人的任何信息。 而非法人的信息。 该框架适用于个 人信息，即可以用来识别个人的信 © 2021 云安全联盟版权所有 7 息。 它还包括一些不能单独满足此 条件的信息，这些信息不能单独满 足此条件，但是与其他信息放在一 起将可以识别一个人。 例如，某些 类型的元数据经过汇总，可以揭示 个 人信 息 ， 并可 以 洞悉 个 人的 行 为，社交关系，私人偏好和身份。 m o c . 5 10. 个人信息控制者是指控制个人信息 10. 该框架适用于公共和私营部门中控 的收集、持有、处理、使用、披露 制个人信息的收集、持有、处理、 或转让的个人或组织。它包括指示 使用、转移或披露的个人或组织。 另一个人或组织代表他或她收集、 就本框架而言，如果一个人或组织 持有、处理、使用、转让或披露个 指示另一个人或组织代表其收集、 人信息的人或组织，但不包括按照 持有、使用、处理、转移或披露个 另一个人或组织的指示执行这些职 人信息，则发出指示的人或组织是 能的人或组织。它也不包括收集、 个人信息控制者，并负责确保遵守 持有、处理或使用与个体、家庭或 原则。个体通常会出于个人、家庭 家族事务有关的个人信息的个人。 或家族的目的而收集、持有和使用 h t i g b u 个人信息。例如，他们经常保存地 址 簿和 电 话 清单 ， 或编 写 家庭 通 讯。本框架无意涵盖此类个人、家 庭或家居活动。 11. 公开可用的信息是指个人在知情的 11. 该框架对可公开可用的信息的适用 情况下向公众提供或允许提供的有 性有限。尤其是在信息已经公开的 关个人的信息，或从以下方面合法 情况下，如果个人信息控制者不直 获得和获取的信息。 接从有关个人那里收集信息，那么 a) 向公众提供的政府记录。 通知和选择要求往往是多余的。公 b) 新闻报道；或 开可用的信息可能包含在向公众提 c) 法律要求向公众提供的信息。 供的政府记录中，如有权投票的人 © 2021 云安全联盟版权所有 8 的登记册，或新闻媒体广播或发布 的新闻项目中。 补充定义 12. CBPR 体系是 APEC 跨境隐私规则 体系的缩写。2 12. 亚太经合组织领导人于 2011 年批 准的亚太经合组织跨境隐私规则体 系 是一 个 基 于自 愿 的问 责 制的 方 案，以促进亚太经合组织经济体之 m o c . 5 间尊重隐私的个人信息流动。它有 四个主要组成部分。  为成为 CBPR 体系责任机构设 定标准。  信息控制者被认可的责任机构 b u 认证为符合亚太经合组织 h t i g   CBPR 体系的程序。 评估标准，供认可的责任机构 在审查信息控制者是否符合 CBPR 体系要求时使用；以及 通过认可的责任机构提供的投 诉程序，执行 CBPR 体系要求 的安排，并由作为 CPEA 参与 者的隐私执法机构（PEA）提 供支持。 2 13. CPEA 是亚太经合组织跨境隐私执 13. CPEA 是一个多边机制，使亚太经 法安排的缩写，它是一个实用的多 合组织地区的隐私执法机构能够在 边机制，通过建立一个框架，使隐