一、不一致的“个人数据”定义

白皮书指出，在亚洲各个国家，其数据隐私法规对“个人数据”或“个人信息”的界定并不一致。例如，有些国家的规定涵盖了“敏感数据”（如生物度量数据），而另一些国家的规定并不包含该内容。结果就是，在某国可使用生物度量数据的公司，在另一国家就不能开展同类业务。

此外，加密数据和IP地址数据是否属于个人数据存在激烈争议。例如，在澳大利亚，加密数据并不属于“个人数据”，而在欧洲，个人数据却包括了加密形式的数据。这令许多使用应用加密技术的公司感到疑惑。

二、同意和告知规则并不一致

亚洲国家制定了不同的同意规则。有些国家要求“opt-in”的同意规则，在其他国家只需要“表示同意”即可。而在柬埔寨，并没有明确的同意规则，那么在当地营业的公司需要查阅模糊不清的法律或者一般性的国际条约，以确定使用何种规则来获得用户同意。

三、数据共享和跨境控制限制

以往采用“数据控制者”“数据处理者”“共同控制者”“联合控制者”这样的定义，已经越来越难以适用于新兴的信息服务模式。在传统的软件或基础设施服务交付模式中，很清楚应当由谁负责哪部分个人信息。但在混合型的解决方案中，如“平台/软件即服务（IaaS /SaaS）”中，就很难分清谁是控制者、谁是处理者。

四、建议原则性的数据监管方案

ASIFMA建议亚洲国家采取原则性的个人数据监管框架，指导如何制定法律法规，确保个人数据隐私的安全。“原则性的监管”，需避免依赖详尽、硬性的规则，而应设计高层次的规则或原则，以结果为导向，致力于解决“是什么”而非“怎么做”的问题。

原则性框架包括以下内容：（1）关注结果而非过程；（2）确保技术中立；（3）确保与现有国际最佳实践相一致；（4）关注数据如何存储，而非在哪存储；（5）设计机制，促进跨境共享；（6）允许外包给第三方。