原标题：数据出境合规解读系列文章（四）：出海“新马泰”企业的个人数据回流合规机制

  个人数据跨境流动监管规制依然成为各国各地区在隐私保护项下的立法及执法重点，结合实践经验，本文对东南亚地区（“新马泰”）被投实体收集及产生的个人数据如何回流境内简要解读以期提供实务建议。

  在全球数字化经济蒸蒸日上的趋势下，个人数据跨境流动的监管与规制已然变成全球各个国家和地区的数据合规立法和执法重点。对于有出海需求的中国企业而言，不仅要关注国内对于个人数据跨境流动的合规要求，也要关注个人数据回流时涉及的他国法域的数据跨境合规要求。

  近年来，我们在业务中处理了多个海外国家和地区数据回流中国所涉及到的个人数据跨境合规实务问题。其中，东南亚地区被投实体如何能合法合规地将当地收集和产生的个人数据传输回中国，是这些出海企业经常关注的热点问题。本文将着重介绍马来西亚、新加坡和泰国这三个热门出海目的地（即俗称的“新马泰”）的当地个人数据出境合规要求，以期为相关公司可以提供实务上的建议。

  马来西亚在个人数据保护方面最主要的立法是《2010年个人数据保护法》（ Personal Data Protection Act 2010 , 下称“马来西亚PDPA”）。PDPA聚焦于商业交易中个人数据处理活动和安全保护的有关要求，于2010年6月10日正式对外发布，2013年11月15日正式生效。马来西亚PDPA适用于设立在马来西亚的机构或在马来西亚处理个人数据的机构，但不适用于政府机关或在马来西亚境外处理的个人数据。

  1. “白名单”机制：企业从马来西亚将个人数据直接传输至“白名单”国家[1]，而无需依赖其他合规机制，但目前该等“白名单”机制尚未正式生效，且可能在马来西亚PDPA后续修正案中由“黑名单”机制替代。[2]

  2. 在白名单机制生效前，企业从马来西亚向境外传输个人数据，应当满足以下条件之一：

  (3) 数据传输对于马来西亚企业与第三方之间签订或履行合同是必要的，且该与第三方的合同是应数据主体的要求而签订的，符合其利益；

  (5) 马来西亚企业有合理理由认为，数据传输是为了尽最大可能避免或减轻对数据主体的不利情形，但无法以书面形式获得该数据主体的同意，且在可行的情况下数据主体会给予同意；

  (6) 马来西亚企业能保证该等个人数据不会以任何违背马来西亚PDPA的方式被处理；

  根据目前的马来西亚“白名单”版本，中国属于“白名单”国家之一。但是，在白名单机制正式生效前，我们提议企业在实务中采取适当措施防范个人数据回流时有几率存在的合规风险。在上述各项措施中，比较可行、也较为常用的是第（1）种措施，即在个人数据跨境传输前通过隐私声明等形式获得数据主体的同意，并留存书面记录。

  监管机关层面，新加坡中央政府的下设机构个人数据保护委员会（Personal Data Protection Commission）为数据保护的主要监管机构。

  根据新加坡PDPA和相关法律，企业应当确保境外接收方能够为出境的个人数据提供至少与新加坡PDPA保护相当的保护标准。具体的要求为满足下述条件之一：

  (1) 要求数据接收方为传输的个人数据提供至少与新加坡PDPA相当的保护标准；

  2. 确保数据接收方受到合乎条件的有约束力的公司规则（Binding Corporate Rules，下称“公司规则”）的约束：

  (1) 公司规则要求数据接收方为传输的个人数据提供至少与新加坡PDPA保护相当的保护标准；

  (2) 公司规则明确其适用的接收方、个人数据可被传输的国家/地区以及其项下的权利义务；

  在上述措施中，我们推荐在实务中采取第一种方案，即与数据接收方签订符合标准要求的个人数据跨境传输合同，确保提供与新加坡PDPA相当的保护水平。

  此外，根据PDPR，如果传输的个人数据是公开数据，以及在其他一些有限的情形下，数据传输方无需满足上述条件即可向数据接收方传输数据。[5]但该等情形的适合使用的范围有限，通常不能作为企业处理新加坡个人数据回流的常规方案。

  泰国在个人数据保护方面最主要的立法是《个人数据保护法案》（Personal Data Protection Act，下称“泰国PDPA”）。作为泰国个人数据保护领域的综合性法律，泰国PDPA适用于泰国的数据控制者或数据处理者的数据收集、使用、披露等活动（无论此类活动是否发生于泰国境内），但不适用于为个人利益或家庭活动、大众传媒、政府公共部门或议会活动、法院裁判或法律执行等特殊目的而处理个人数据的情形。

  监管机关层面，根据泰国PDPA，个人数据保护委员会（Personal Data Protection Commission，下称“PDPC”）是泰国的数据保护监督管理的机构，负责发布个人数据保护的相关文件、提供立法建议、颁布关于数据跨境传输的安全保护标准等。

  根据泰国PDPA，如企业将个人数据传输至境外，应确保接收方所在的国家/国际组织有充足的数据保护水平，并按照PDPC颁布的标准或规定进行传输（若企业不确定接收方所在国家/国际组织的数据保护水平是否充分，可以提交PDPC进行决定），但以下情况除外：

  (2) 在告知目的地国家/国际组织的个人数据保护水平不足的前提下，数据主体仍同意传输的；

  (3) 为履行数据主体作为一方的合同所必需的，或在签订合同前应数据主体的请求而传输；

  (5) 为保护数据主体或第三方的生命、健康而数据主体不能及时给予同意的情况下；或

  2. 针对关联公司间个人数据跨境传输的情形，企业可制定适用于集团内部的个人数据保护政策，并经过PDPC审查和批准。

  3. 如果企业采取适当的保护的方法，确保数据主体的权益，包括根据PDPC的规定采取比较有效的法律补救措施（具体措施有待颁布），则企业仍可以将个人数据传输至国外，而无需遵守上述要求。

  目前，在实务中非常容易落实的措施是告知数据主体并获得其同意，企业可通过书面声明充分告知数据主体传输的相关情况，包括目的地国家/国际组织的个人数据保护水平，征求其同意并留存书面记录。对于跨国企业或关联企业，也能够尝试采取第二种方式，即制定集团内的个人数据保护政策并提交PDPC审查、批准（具体落实方式需向当地主管部门详细咨询）。

  在全球各法域日渐重视数据保护的背景下，中国的出海企业应当更加重视海外数据合规风险，重视出海地区的立法、执法动态及行业实践，有明确的目的性地采取一定的措施，不断的提高企业的数据合规水平，促进业务发展。

  [1]目前，“白名单”国家包括：欧洲经济区国家（包括英国）；美利坚合众国；加拿大；瑞士；新西兰；阿根廷；乌拉圭；安道尔；法罗群岛；格恩西岛；以色列；马恩岛；泽西；澳大利亚；日本；韩国；中国；中国香港；中国台湾；新加坡；菲律宾；和迪拜国际金融中心（“DIFC”）。

  [2]在“黑名单”制度下，数据处理者能够将个人数据传输到“黑名单”以外的国家/地区。如黑名单机制生效，则马来西亚在个人数据跨境传输方面的合规要求将更为宽松。

  [3]PRP体系是一套专对于数据处理者的认证体系，数据处理者通过PRP体系认证可证明自身的数据处理符合CBPR体系对数据控制者的数据处理隐私保护要求。

  [4]CBPR体系的目标对象是数据控制者，APEC经济体中的数据控制者可以在满足认证要求后加入该认证体系，以向境外交易相对方证明自身的数据保护水平。截至目前，共有九个已加入APEC CBPR系统的经济体，包括美国、墨西哥、日本、加拿大、新加坡、韩国、澳大利亚、菲律宾和中国台湾地区。

  [5]该等情形包括：（a）企业向相关自然人提供了书面摘要，说明其个人数据将被输出至目的地国家并获得保护的情况后（且接收方没有要求将个人同意转让作为提供产品或服务的条件——除非转让对于向个人提供产品或服务是合理必要的），自然人同意将其个人数据向境外传输（且传输方应保证没提供有关转让的虚假或误导性信息来获得自然人的同意）；（b）为履行自然人与企业之间的合同而一定要进行数据跨境传输；（c）为保护自然人的利益或保护国家利益保护所必须的，且数据接收方已采取了合理措施以确保不会将个人数据用于任何其他目的；（d）个人数据本身已是处于传输过程中的数据；（e）个人数据在新加坡是公开数据。

  《数据出境合规解读系列文章（三）：数据跨境传输协议应明确哪些权利义务？》

  《挂席拾海月——医药健康行业反垄断合规实务及应对（二）：成品药、医疗器械与知识产权》

  《见微方能知著——受CFIUS审查影响而终止的中资交易简报（2008-2021）》

  《 配套新规解读系列：禁止滥用知识产权排除、限制竞争行为规定（征求意见稿）亮点简析》

  《 配套新规解读系列：经营者集中申报标准规定与审查规定（征求意见稿）亮点简析》

  以上所刊登的文章仅代表作者本人观点，不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。