在所有的外包地中，印度依然占據頭把交椅。根據SourcingLine（華盛頓地區的一家研究機構）最新研究：在其前10名名單中，其他南亞國家依次為印尼、愛沙尼亞、新加坡、中國、保加利亞、菲律賓、泰國、立陶宛和馬來西亞。有趣的是，這些外包地中僅印度，愛沙尼亞，新加坡，保加利亞，菲律賓，立陶宛和馬來西亞有數據保護法。

　　什么是數據保護法？本質上，數據保護法關注以下幾個問題：

　　處理信息之前征得消費者許可

　　數據信息的準確性

　　信息轉移至第三方

　　安全標準

　　作業領域

　　數據竊取

　　許可

　　關于許可這個問題，大多數這些國家明確規定信息和可以被收集信息的列表需經個人明確許可。

　　需要被收集信息的主題包括可被識別的信息。敏感信息一般包括財務信息、相關個人物理及生理條件的信息。

　　數據信息的準確性

　　不同的國家關于信息修改有不同的規定。新加坡，菲律賓和馬來西亞依據信息所有者的要求盡快地更正不準確的，需要修改的數據。印度也有相同的規定，但有另一特點——確保申訴人員的信息在一個月內完成校正，使其有一個更有效的流程。

　　菲律賓數據保護法具有另一條款，當由信息不正確而引起的損失情況發生時，對信息提供者進行補償。

　　數據信息的保留

　　雖然所有其他法令規定在信息使用后進行銷毀——新加坡數據保護法規定個人信息可保留一年時間。

　　數據竊取

　　所有這些國家限制國家法律自己經營——展示了一個以國家為中心的方法：

　　頂級外包地的數據保護狀態

　　印度

　　預防措施

　　NASSCOM（印度軟件和服務業企業行業協會）在印度為IT專業人員推出了國家技能注冊。這是為了幫助雇主通過跟蹤員工特定信息來更好地了解他們的背景，如員工的工作經歷。

　　印度的信息服務提供商也越來越多地采用合規程序和全面的安全審查，包括人員和設備的審計，具體檢查到位，防止敏感信息和數據的誤用。

　　合規程序包括：

　　培訓員工加強保密意識、培訓計算機系統管理人員計算機系統安全、信息安全的共同威脅、訪問控制技術、風險評估和管理、入侵檢測、認證和其他類似問題的認識。

　　印度執法機構也與BPOs（商業處理外包中心）共同舉辦研討會，讓員工提高知識和技能以預防和懲治濫用數據。此外，需要注意的是數據保護法規定，公司處理個人資料應具有適當的合理的安全標準。

　　如果員工或服務提供商監守自盜，竊取數據該如何處理呢？根據印度法律——信息科技法案，這種行為是要受法律處罰的。

　　何為數據竊?。?/strong>

　　根據信息技術法案（修正版），2008年,第43條關于數據竊取犯罪的闡述——任何人未經主管電腦、電腦系統和電腦網絡的所有者或其他人允許， 擅自下載， 復制，摘錄任何數據，電腦數據庫以及存在于任何移動存儲介質中的數據或信息，都稱為數據竊取。

　　數據竊取的懲罰

　　根據該法案，第43（b）、66條以及第379條都適用于此條款，379、405、420都是印度法典(1860)里的。如經法庭許可，當這類犯罪起訴還未被任何地方法官判決時，數據竊取犯罪是可審理且保釋的。

　　當你的版權被侵犯以后，根據著作法1957（CA”） 及Specific Relief法1963（SRA”）規定，你可以提交民事訴訟申請來防止誤用和傳播個人數據。基于這些法律，懲罰可從巨額罰款、臨時關押到永久禁令。

　　如何執行？

　　在印度， 如果你所在公司需要你來處理數據的誤用或竊取，你首先要向當地監管數據的警署提交刑事訴訟申請。

　　當然， 關于網絡犯罪你也可以向州立警署申請刑事訴訟，關于這些網絡犯罪已經建立了專門的調查體系以及起訴方案，以便應對數據竊取和版權侵犯。

　　基于這些法律，員工們應承擔個人責任，然而，員工們同時也可轉承責任至客戶。

　　馬來西亞

　　馬來西亞同樣沒有任何數據保護法律?，F在，關于數據保護的希望全寄托在新制定的數據保護法。除此之外，馬來西亞刑法典第378章規定數據竊取案可歸到動產法來處理。同時，第381章還提到了關于員工盜竊的處理。

　　新加坡

　　本國并沒有專門的數據保護法。盡管如此，數據保護機構依然要求組織應對采集，使用以及披露個人數據負責。同時，根據新加坡刑法，竊取數據是有罪的。

　　菲律賓

　　菲律賓也沒有關于竊取數據的相關法律。刑法中對盜竊罪的定義并沒有寬泛到足以覆蓋數據竊取。這一希望隨著隱私法而轉移。這一法令創建了國家隱私委員會。這一委員會被賦予了編纂法令，以及批準司法部處理案件和定罪的權利。這其中包括因未經授權使用敏感個人信息的6年有期徒刑。

　　其他外包中心：

　　其他的主要外包中心比如說中國、印度尼西亞以及泰國目前為止都沒有通過數據保護法。這些國家并沒有全面的法律框架來規范使用以及泄露個人信息，也沒有國家性法律來規范公司如何合法地收集，使用及儲存數據以及對違法案例的補救方式。相關法律分散在各條法律，規定及當地立法中。

　　信息轉移至第三方

　　印度

　　在印度，根據合同規定，經個人同意或基于法律義務，個人信息可以披露給第三方。第三方不得進一步披露他人信息。

　　如已達到法律合同有效執行的標準且獲得信息提供者許可，轉移信息至其他公司是允許的。

　　根據給定條款，由公司委托第三方機構代為行使的企業責任與公司自主履行該責任具有同等法律效力。

　　菲律賓

　　菲律賓的數據保護法并沒有規定個人對此工作有行使責任。這意味著公司里的員工對規定的違反并不負責。

　　但是，如果一個團體外包了它的工作，那么其外包機構應對其利益負責，并且要對這一舉措以及違規負責。

　　新加坡

　　新加坡數據保護法明確規定個人，員工以及團體不能代表其他公司。據本法案，企業委托數據中介機構代為處理個人數據的行為可視為由企業自身處理。

　　馬來西亞

　　根據馬來西亞法律條款，如公司在收集數據前征得信息提供者同意，可以披露給第三方。根據已成文的條款，如違反數據安全，責任還是在收集數據的公司本身而非第三方。

　　印度

　　涉及到處理個人敏感信息的公司需要遵守信息技術（合理安全的實踐，規程以及敏感的個人數據和信息）條例，2011號應遵守國際標準IS/ISO/IEC27001信息技術— 技術安全—信息安全管理系統（ISMS）。

　　授權組織信息安全風險的系統化檢測和對安全控制和測量的全面應用，從而來保障數據保護。

　　另外公司還有其他標準可以依據比如BS7799，英國安全標準，并被廣泛的認可，同時包括了商業可持續運作的相關條例，系統評估控制，系統發展與維護以及與安全政策相關的環境安全。

　　信息收集/合作應該指定一個人，對公司法令的遵守負責。這名指定人的身份只有在被合理請求時才能公開。

　　菲律賓

　　這一法令的附帶條件強調了為私人信息服務的公司在法令下沒有責任保護其數據。它授權了個人信息收集者在對第三方提供信息時，需對信息提供相應程度的保護，這使其可對合同和其他合理方法的使用。

　　但是，數據保護的級別應根據合同的條款或者合理的規程而定。因此，法令并不規定。

　　安全實踐需遵守第三方的數據保護條款。

　　新加坡

　　國家隱私委員會的建立是為了確保其遵守國家標準下的數據保護。

　　一個企業應該在其監管下或在其控制下保護個人資料，通過制定合理的安全管理來防止未授權的信息評估，收集，使用，外泄，復制，修改以及銷毀等類似風險。

　　為實現其對法令的相應責任，企業需要考慮在適當的環境下一個合理的人選應該怎樣思考。

　　盡管可以指定一名或多名代表為企業行為的合規性負責，且相關代表可以將上述職責轉委托于其他人來履行，據本法案，企業本身仍需為與此有關的企業行為或企業義務負責。

　　企業指派的個人在條令下不能減輕組織的任何義務。

　　馬來西亞

　　數據保護委員會的建立時為了監管法令的實行。

　　實施規程應符合公司的章程。但是，規程的實施并不需要特定說明，并且必須通告數據委員會成員。

　　數據使用著享有提交新規程，從而替換現存舊規程的自由。這表明安全標準的不確定性還是引人擔憂。

　　違反任何規定的數據使用者屬犯罪，并會被罰款不超過RM100,000（US$33,000)，或者被拘留不超過1年，或者兩項同時執行。