欧盟  出台“史上最严”的个人数据保护法案

2018年5月25日，欧盟《一般数据保护条例》（GDPR）正式实施。GDPR高度重视个人数据保护与监管，为之设置了一系列的保护门槛和机制，被业界与学界称为“史上最严”的个人数据保护法案。

该条例引入了新的个人信息保护原则，加大了对信息侵权行为的处罚力度。条例规定，数据控制者应在72小时内向监管机构报告个人数据的泄露情况。当数据泄露可能会给数据主体的权利或自由带来巨大风险时，数据控制者必须毫不延误地通知数据主体。对于没有取得用户同意等行为，条例罚款上限是1000万欧元或对企业而言上一年度全球营业收入的2%（两者中取数额大者）；对于严重的违法行为，罚款上限是2000万欧元或对企业而言上一年度全球营业收入的4%（两者中取数额大者）。

2019年1月，法国国家信息与通信委员会以违反GDPR第5、6、13、14条关于“未向用户告知其数据如何被收集之规定”为由，对Google开出了5000万欧元的罚单。2019年7月，英国信息管理局以数据泄露违反GDPR第32条规定为由，先后对英国航空和万豪国际开出1.83亿英镑和9920万英镑的巨额罚单。

印度  在收集目的和范围内使用

2018年7月27日，印度电子和信息技术部发布《个人数据保护法案》，其中的多数关键内容与GDPR相同或相似。

该法案第九章、第十一章和第十二章就建立了数据保护机制，并对财政审计进行了设定。法案规定：“需要在获得被收集者的合法同意之前，才能开始收集个人信息，并且在收集前，企业需要向被收集者发出对应的通知”“企业在收集信息后只能在设定的收集目的和范围内进行使用，不得超出该授权范围和授权目的”“如果信息的使用规定了对应的使用期限，则不能超出该使用期限对信息进行保留”。

根据该法案，任何未经客户同意共享客户数据的组织将被处以1亿5000万卢比的罚款或占其全球营业额4%的罚款；任何个人数据被侵犯的惩罚最高可达5亿卢比，或该实体上一财政年度全球营业额的2%，以二者中较高的为准；数据泄露的处理、报告延迟将处以5000万卢比的罚款或占全球营业额2%的罚款。

新加坡  应告知收集、使用或披露的目的

新加坡2012年颁布《个人数据保护法令》，确保公民在个人数据受到侵害时可寻求法律保护。该法令第三部至第六部详细规定了各类机构关于收集、使用或披露个人数据的范围、条件或要求。

法令规定，机构应当在收集个人数据之时或之前，告知个体收集、使用或披露其个人数据的目的；在个体需要的情形下，告知其收集、使用或披露个人数据问题之人的业务联系方式。机构未经个体同意自其他机构收集个人数据之时或之前，应当向其他机构提供关于收集目的的充分信息，使该其他机构确定披露是否符合本法。

法令生效以来，新加坡已对未尽到保护个人数据义务或侵犯个人数据的多家机构作出了处罚。

2018年6月27日至7月4日，新加坡健康服务私人有限公司的病例数据库系统遭到网络攻击，黑客从公司数据库中非法访问和复制近150万名病人的个人数据和近160万名门诊病人的处方记录。这是新加坡历史上个人信息泄露最为严重的案件。依据《个人数据保护法令》第24条，新加坡对新康集团下属新康公司和综合健康信息系统公司分别作出了25万新加坡元（约127万元人民币）和75万新加坡元（约380万元人民币）的罚款指令。

韩国  允许不可识别的个人信息作为大数据使用

目前，在个人信息及数据保护法律领域，韩国形成了《个人信息保护法》《信息通信网利用促进及信息保护法》和《信用信息的利用及保护法》三法分立的局面。

《个人信息保护法》第15条至第23条规定“收集或利用或向第三者提供个人信息时，必须征得信息主体的同意，不必要保留个人信息时，应及时删除”。2016年4月，韩国公布了《信用信息的利用及保护法》的修改草案，规定“经过不可识别处理的个人信息可以无须信息主体的同意而加以利用或向第三者提供”，即，经过不可识别处理的个人信息被允许在当初收集和使用目的范围以外使用。同年6月，包括行政自治部在内的韩国政府6大机构共同公布了“个人信息不可识别处理指南”，规定允许不可识别的个人信息作为大数据使用。

对于违反规定的个人信息跨境转移与再转移行为，可能造成用户权利遭到严重侵害的，修正案规定，广播通信委员会可以命令中断转移或再转移，并可以对不履行中断命令的个人信息处理者处以两年以下的有期徒刑或2000万韩元以下的罚款。