在所有的外包地中，印度依然占据头把交椅。根据SourcingLine（华盛顿地区的一家研究机构）最新研究：在其前10名名单中，其他南亚国家依次为印尼、爱沙尼亚、新加坡、中国、保加利亚、菲律宾、泰国、立陶宛和马来西亚。有趣的是，这些外包地中仅印度，爱沙尼亚，新加坡，保加利亚，菲律宾，立陶宛和马来西亚有数据保护法。

　　什么是数据保护法？本质上，数据保护法关注以下几个问题：

　　处理信息之前征得消费者许可

　　数据信息的准确性

　　信息转移至第三方

　　安全标准

　　作业领域

　　数据窃取

　　许可

　　关于许可这个问题，大多数这些国家明确规定信息和可以被收集信息的列表需经个人明确许可。

　　需要被收集信息的主题包括可被识别的信息。敏感信息一般包括财务信息、相关个人物理及生理条件的信息。

　　数据信息的准确性

　　不同的国家关于信息修改有不同的规定。新加坡，菲律宾和马来西亚依据信息所有者的要求尽快地更正不准确的，需要修改的数据。印度也有相同的规定，但有另一特点——确保申诉人员的信息在一个月内完成校正，使其有一个更有效的流程。

　　菲律宾数据保护法具有另一条款，当由信息不正确而引起的损失情况发生时，对信息提供者进行补偿。

　　数据信息的保留

　　虽然所有其他法令规定在信息使用后进行销毁——新加坡数据保护法规定个人信息可保留一年时间。

　　数据窃取

　　所有这些国家限制国家法律自己经营——展示了一个以国家为中心的方法：

　　顶级外包地的数据保护状态

　　印度

　　预防措施

　　NASSCOM（印度软件和服务业企业行业协会）在印度为IT专业人员推出了国家技能注册。这是为了帮助雇主通过跟踪员工特定信息来更好地了解他们的背景，如员工的工作经历。

　　印度的信息服务提供商也越来越多地采用合规程序和全面的安全审查，包括人员和设备的审计，具体检查到位，防止敏感信息和数据的误用。

　　合规程序包括：

　　培训员工加强保密意识、培训计算机系统管理人员计算机系统安全、信息安全的共同威胁、访问控制技术、风险评估和管理、入侵检测、认证和其他类似问题的认识。

　　印度执法机构也与BPOs（商业处理外包中心）共同举办研讨会，让员工提高知识和技能以预防和惩治滥用数据。此外，需要注意的是数据保护法规定，公司处理个人资料应具有适当的合理的安全标准。

　　如果员工或服务提供商监守自盗，窃取数据该如何处理呢？根据印度法律——信息科技法案，这种行为是要受法律处罚的。

　　何为数据窃取？

　　根据信息技术法案（修正版），2008年,第43条关于数据窃取犯罪的阐述——任何人未经主管电脑、电脑系统和电脑网络的所有者或其他人允许， 擅自下载， 复制，摘录任何数据，电脑数据库以及存在于任何移动存储介质中的数据或信息，都称为数据窃取。

　　数据窃取的惩罚

　　根据该法案，第43（b）、66条以及第379条都适用于此条款，379、405、420都是印度法典(1860)里的。如经法庭许可，当这类犯罪起诉还未被任何地方法官判决时，数据窃取犯罪是可审理且保释的。

　　当你的版权被侵犯以后，根据著作法1957（CA”） 及Specific Relief法1963（SRA”）规定，你可以提交民事诉讼申请来防止误用和传播个人数据。基于这些法律，惩罚可从巨额罚款、临时关押到永久禁令。

　　如何执行？

　　在印度， 如果你所在公司需要你来处理数据的误用或窃取，你首先要向当地监管数据的警署提交刑事诉讼申请。

　　当然， 关于网络犯罪你也可以向州立警署申请刑事诉讼，关于这些网络犯罪已经建立了专门的调查体系以及起诉方案，以便应对数据窃取和版权侵犯。

　　基于这些法律，员工们应承担个人责任，然而，员工们同时也可转承责任至客户。

　　马来西亚

　　马来西亚同样没有任何数据保护法律。现在，关于数据保护的希望全寄托在新制定的数据保护法。除此之外，马来西亚刑法典第378章规定数据窃取案可归到动产法来处理。同时，第381章还提到了关于员工盗窃的处理。

　　新加坡

　　本国并没有专门的数据保护法。尽管如此，数据保护机构依然要求组织应对采集，使用以及披露个人数据负责。同时，根据新加坡刑法，窃取数据是有罪的。

　　菲律宾

　　菲律宾也没有关于窃取数据的相关法律。刑法中对盗窃罪的定义并没有宽泛到足以覆盖数据窃取。这一希望随着隐私法而转移。这一法令创建了国家隐私委员会。这一委员会被赋予了编纂法令，以及批准司法部处理案件和定罪的权利。这其中包括因未经授权使用敏感个人信息的6年有期徒刑。

　　其他外包中心：

　　其他的主要外包中心比如说中国、印度尼西亚以及泰国目前为止都没有通过数据保护法。这些国家并没有全面的法律框架来规范使用以及泄露个人信息，也没有国家性法律来规范公司如何合法地收集，使用及储存数据以及对违法案例的补救方式。相关法律分散在各条法律，规定及当地立法中。

　　信息转移至第三方

　　印度

　　在印度，根据合同规定，经个人同意或基于法律义务，个人信息可以披露给第三方。第三方不得进一步披露他人信息。

　　如已达到法律合同有效执行的标准且获得信息提供者许可，转移信息至其他公司是允许的。

　　根据给定条款，由公司委托第三方机构代为行使的企业责任与公司自主履行该责任具有同等法律效力。

　　菲律宾

　　菲律宾的数据保护法并没有规定个人对此工作有行使责任。这意味着公司里的员工对规定的违反并不负责。

　　但是，如果一个团体外包了它的工作，那么其外包机构应对其利益负责，并且要对这一举措以及违规负责。

　　新加坡

　　新加坡数据保护法明确规定个人，员工以及团体不能代表其他公司。据本法案，企业委托数据中介机构代为处理个人数据的行为可视为由企业自身处理。

　　马来西亚

　　根据马来西亚法律条款，如公司在收集数据前征得信息提供者同意，可以披露给第三方。根据已成文的条款，如违反数据安全，责任还是在收集数据的公司本身而非第三方。

　　印度

　　涉及到处理个人敏感信息的公司需要遵守信息技术（合理安全的实践，规程以及敏感的个人数据和信息）条例，2011号应遵守国际标准IS/ISO/IEC27001信息技术— 技术安全—信息安全管理系统（ISMS）。

　　授权组织信息安全风险的系统化检测和对安全控制和测量的全面应用，从而来保障数据保护。

　　另外公司还有其他标准可以依据比如BS7799，英国安全标准，并被广泛的认可，同时包括了商业可持续运作的相关条例，系统评估控制，系统发展与维护以及与安全政策相关的环境安全。

　　信息收集/合作应该指定一个人，对公司法令的遵守负责。这名指定人的身份只有在被合理请求时才能公开。

　　菲律宾

　　这一法令的附带条件强调了为私人信息服务的公司在法令下没有责任保护其数据。它授权了个人信息收集者在对第三方提供信息时，需对信息提供相应程度的保护，这使其可对合同和其他合理方法的使用。

　　但是，数据保护的级别应根据合同的条款或者合理的规程而定。因此，法令并不规定。

　　安全实践需遵守第三方的数据保护条款。

　　新加坡

　　国家隐私委员会的建立是为了确保其遵守国家标准下的数据保护。

　　一个企业应该在其监管下或在其控制下保护个人资料，通过制定合理的安全管理来防止未授权的信息评估，收集，使用，外泄，复制，修改以及销毁等类似风险。

　　为实现其对法令的相应责任，企业需要考虑在适当的环境下一个合理的人选应该怎样思考。

　　尽管可以指定一名或多名代表为企业行为的合规性负责，且相关代表可以将上述职责转委托于其他人来履行，据本法案，企业本身仍需为与此有关的企业行为或企业义务负责。

　　企业指派的个人在条令下不能减轻组织的任何义务。

　　马来西亚

　　数据保护委员会的建立时为了监管法令的实行。

　　实施规程应符合公司的章程。但是，规程的实施并不需要特定说明，并且必须通告数据委员会成员。

　　数据使用着享有提交新规程，从而替换现存旧规程的自由。这表明安全标准的不确定性还是引人担忧。

　　违反任何规定的数据使用者属犯罪，并会被罚款不超过RM100,000（US$33,000)，或者被拘留不超过1年，或者两项同时执行。