随着经济全球化的持续发展,以及中国经济地位在全世界内的不断的提高,慢慢的变多的中国公司开始选择“走出去”的发展新规划。面对欧美市场高饱和竞争态势,东南亚地区正处于增量市场阶段,具备坚实增长基础,已成为中国出海企业的重要拓展方向。然而,在企业出海过程中,由于不同国家与地区之间有法律、政策等差异,企业面临着如何在当地合规经营的问题。其中数据跨境流动所带来的一系列监督管理要求,亦给我国企业“出海”带来了许多挑战和考验。如何遵守当地的数据保护法律规范,妥善处理数据收集、存储、出境及使用等问题,成为了业务出海中又一个急需解决的难题。
本文围绕5个主要东南亚国家的数据保护法律体系及数据出境要求展开探讨,旨在帮助出海企业及相关合规从业者了解出海东南亚的机遇与挑战,并提供合规路径的参考。
马来西亚是东南亚国家中较早推行数据保护的国家, 2010年就发布了《个人数据保护法》(Personal Data Protection Act 2010,下称“PDPA(MY)”),该法是一部综合性立法,任何有关个人数据收集、记录、保存或处理的商业活动一定要遵守相关原则。2011年5月16日,马来西亚通信和多媒体委员会(Ministry of Communications and Multimedia Commission,“MCMC”)的下属机构——个人数据保护部(Personal Data Protection Department或Jabatan Perlindungan Data Peribadi,“JPDP”)正式成立,主要职责是负责监督和管理商业交易中涉及的个人数据处理行为,确保数据使用者不会滥用及误用个人数据,以及发布数据保护标准、行为守则等规范性文件,贯彻落实PDPA(MY)的实施。
马来西亚目前没有统一的网络安全法令,但是政府已宣布考虑引入。现在有关网络安全的法律和法规分别分散在马来西亚的各种立法中,例如《1997年电脑犯罪法》、《1998年通讯与多媒体法》、《刑事法典》和PDPA(MY)。
马来西亚在2021年数字化的经济蓝图中提出,为保障数字化的经济的发展与用户隐私安全的平衡,要对有关规定法律进行完整的梳理和修订。到2025年,将要修订PDPA(MY)以加强数据跨境章节的内容,制定基于国际最佳实践的数字化的经济征税体系。同时,所有新签订的贸易协定要包含数据跨境的内容。
根据目前的PDPA(MY),数据使用者不得将数据主体的任何个人数据转移到马来西亚以外的地方,但以下情况除外:
(1)部长根据自己数据保护专员建议指定的地区。该地区有与PDPA(MY)实质性相似或目的相同的法律,或者个人数据保护水平至少与马来西亚相当。
(c)订立或履行数据使用者与第三方之间的合同所必需;(该合同是应数据主体要求而订立,或符合数据主体的利益)
(e)数据使用者有合理理由相信,跨境传输是为了尽最大可能避免或减轻对数据主体的不利行为,且获得数据主体书面同意是不切实际的,如果获得同意是可行的,则数据主体会给予同意;
(f)数据使用者已采取一切合理的预防的方法并尽一切努力确保个人数据不会在另外的地方以违反PDPA(MY)的方式处理;
2019 年泰国国家立法议会通过了《个人数据保护法》(Personal Data Protection Act 2019,下称“PDPA(TH)”)和《网络安全法》(Cybersecurity Act 2019)。制订这些法案的目的是直接管理个人数据的收集、储存、使用或处理,明确数据控制者和数据处理者的义务,以及数据主体的基本权利,加强互联网空间的法律保障,确保国家安全及个人数据私隐安全。PDPA(TH)经过两次推迟后于2022年6月1日正式生效,成为泰国第一部综合性数据保护立法。
2022年6月21日,泰国个人数据保护委员会(Personal Data Protection Committee,下称“PDPC”)在皇家公报上发布了关于PDPA(TH)的四项新公告,旨在为数据处理者和数据控制者提供有关其在 PDPA(TH) 下的职责的更多信息。四项公告分别为:
2022年7月11日,PDPC发布了两个通知,对其接受、处理投诉的规则以及专家委员会的选聘作出了规定。2022年9月7日,PDPC再次颁布了两个指引,分别是《向数据主体获得同意的指引》和《向数据主体通知收集信息的目的以及其他细节的指引》,旨在帮助数据控制者及相关主体更好的理解和适用PDPA(TH)。
根据PDPA(TH),进行个人数据出境需确保目的地国家或国际组织的数据保护标准足够充分,且遵守了PDPC发布的个人数据出境的保护标准(目前暂未出台),但以下情况除外:
(2)在数据主体已被告知该目的地国家或国际组织的个人数据保护标准不足的前提下,仍然获得数据主体同意的;
(3)履行数据主体作为当事人的合同所必需,或者在订立合同前已经应数据主体的要求采取一定的措施的;
(5)为防止或抑制对数据主体或其他人的生命、身体或健康的危险,数据主体无法及时给予同意时;
如果数据控制者对目的地国家或国际组织的数据保护标准是否足够充分存疑,可以提交PDPC进行决定。另外,泰国针对跨国关联业务及跨国集团企业组织了“个人数据保护政策”审查机制,即若企业的“个人数据保护政策”通过了PDPC的审查和认证,即便不符合上述数据出境的规定也能够直接进行个人数据的跨境传输。
最后,PDPA(TH)以实质性要求为兜底,如果数据控制者或数据处理者采取了适当的保护的方法(包括按照PDPC要求采取的法律补救措施),能保证数据主体权利,也能够直接进行个人数据跨境传输。
2021年2月,越南发布了《个人数据保护法》草案(Personal Data Protection Decree,下称“PDPD草案”)并公开征求意见。2022年3月,越南政府通过了关于该草案的第27/NQCP号决议,表明该草案距离通过又推进了一步。
相较于个人数据保护,越南对网络安全的监督管理体系相对完善,主要法律规范包括:《网络信息安全法》(86/2015/QH13)、《网络安全法》(24/2018/QH14)、《关于管理、提供和使用互联网服务和在线/ND-CP)、《关于信息系统安全分类法令》(85 /2016/ND-CP)、《全国网络信息安全事件协调和响应办法》(20/2017/TT-BTTTT)、2022年《网络安全法若干条款的详细规定》(53/2022/ND-CP)以及《网络安全领域行政违背法律规定的行为处罚法令》等文件。
为了加强数据管理,越南《网络安全法》中纳入了数据本地化储存条款,规定“在越南提供电信网络、互联网和网络增值服务的国内外企业,其收集、挖掘、分析和处理有关个人隐私信息的数据、服务用户关系数据、服务用户生成的数据必须在政府规定的时间内储存在越南。本款规定的外国企业一定在越南设有分支机构或代表处。”
《网络安全法若干条款的详细规定》又对此规定进行了细化,特别强调了对于在越南开展特定行业的外国企业,必须将上述类型数据储存在本地,并在公司可以提供的服务被使用的情况下在越南设置分支机构或代表处。这一些行业包括:电信服务;在互联网空间存储和共享数据;为越南服务用户更好的提供国内或国际域名;电子商务;在线支付;支付中介;利用互联网空间传输连接服务;社交网络和社交媒体;网络视频游戏;以短信、语音通话、视频通话、电子邮件、在线聊天等形式在互联网空间提供、管理或运营其他信息的服务。另外,本法规定的数据储存期限最低为24个月,用于调查和处理违反网络安全法的系统日志至少保存12个月。
根据PDPD草案的规定,数据处理者不得将个人数据传输到越南以外的国家或地区,除非同时满足下列条件:
(3)有文件证明其所传输的国家、地区已颁布个人数据保护条例并达到或高于PDPD草案规定的水平;
同时,PDPD草案又规定,在下列情况下,不符合本条第1款规定条件的个人数据也可以转移出越南领土:
另外,向境外传输个人数据的数据处理者应建立一个系统,将数据传输历史记录保存3年,并且在传输前进行数据跨境传输登记。数据处理者需要向监管部门提交“个人数据跨境传输申请”以及“个人数据跨境传输影响评估报告”。如果涉及处理敏感个人数据的,还需要提供与“处理敏感个人数据申请”与“处理敏感个人数据影响评估报告”中提及内容相关的文件。个人数据保护委员会每年会定期评估个人数据处理者在越南境外的个人数据传输情况。
菲律宾的数据保护法律体系主要以2012年的《数据隐私法》(Data Privacy Act of 2012,下称“DPA”)以及2016年的《数据隐私法实施细则和条例》(Implementing Rules and Regulations of the Data Privacy Act of 2012,下称“IRR”)为主。国家隐私委员会(National Privacy Commission,下称“NPC”)是菲律宾主管个人数据保护的部门,其主要职责之一是解释DPA、IRR及其他数据隐私法的规定并发布与数据保护相关的法律指南。目前NPC发布了大量的通函、咨询、咨询意见及咨询采纳,并针对违法处理个人数据的行为做出了行政处罚。
DPA及IRR规定了关于数据传输的责任原则。个⼈信息控制者应当对其控制或保管的个⼈信息负责,包括在跨境安排和合作下已外包或转移给个人信息处理者或第三方进行国内或国际处理的信息。(a) 个⼈信息控制者有责任遵守DPA、IRR以及NPC发布的其他要求,并在个人信息处理者或第三⽅处理信息时使用合同或其他合理手段提供相当⽔平的保护。(b) 个⼈信息控制者应指定一人或多⼈负责遵守本法,并应要求将这些负责人的身份告知数据主体。
新加坡的数据保护法律体系以2012年的《个人数据保护法》(Personal Data Protection Act,下称“PDPA(SGP)”)为主,该法是一部规范个人数据处理行为的综合性立法,其中包含了对于数据跨境传输的基本要求。2020年11月2日,新加坡议会通过了《个人数据保护法(修正案)》,该修正案自2021年2月1日起分阶段生效。为了更好的执行PDPA(SGP),新加坡个人数据保护委员会陆续出台了一系列条例及指引,包括《2021个人数据保护条例》(Personal Data Protection Regulations 2021,下称“PDPR”)等文件。
根据PDPA(SGP),任何机构不得将任何个人数据传输到新加坡以外的国家或地区,除非能够根据本法规定的要求,确保对传输的个人数据提供与本法相当的保护标准。PDPR此后对于该条款进行了进一步细化,规定机构只有在采取适当措施,确保数据接收方受法律强制义务的约束,以保证对传输的个人数据提供与PDPA(SGP)相当的保护标准时,才能将个人数据向第三国转移。其中,法律强制义务包括:法律、合同、具有约束力的公司规则以及其他具有法律约束力的文书。
同时,PDPR规定在下列情况下视为已满足第1款规定的数据跨境要求:(1)个人同意数据跨境传输;(2)个人被视为同意数据跨境传输;(3)跨境传输对于保护数据主体利益及国家利益是必要的,并且已经采取合理措施确保数据接收方不会基于其他目的使用或披露所传输的数据;(4)个人数据是传输中的数据;(5)个人数据是在新加坡已公开的数据。
APEC成员经济体中的私营组织获得上述认证的前提,是该经济体首先要加入CBPR体系。截止目前,APEC有9个经济体加入了CBPR体系,其中包括新加坡。PDPR也明确规定了符合CBPR认证和PRP认证可以作为提供了与PDPA(SGP)同等保护水平的特定证明。
以上是东南亚部分国家的数据跨境传输要求。除此之外,企业还需要根据自身实际业务需求及数据传输路径,关注传输国之间是否存在双边或多边的国际条约规定了关于数据保护的内容,例如前文所述的APEC CBPR体系,东南亚国家联盟(Association of Southeast Asian Nations—ASEAN,下称“东盟”)和《区域全面经济伙伴关系协定》(Regional Comprehensive Economic Partnership,下称“RCEP”)等。
MCCs是自愿条款,旨在为数据传输各方提供参考,在不与MCCs冲突的前提下,合同各方可以根据各成员国国内法对其进行调整,包括根据商业安排和交易需要增加条款等。而RCEP主要是在电子商务的框架下规定了数据跨境流动的内容,主要要求各成员方不能将设施本地化作为在其领土内开展业务的条件,也不能阻止为业务需要而进行的数据跨境流动活动。
综上,由于不同国家所构建的数据保护法律体系各有不同,且存在较大差异。因此,我们建议,中国企业在业务出海之前,应当针对拟出海地区的相关数据合规法律要求,进行事先的调查与研判,确保对当地法律法规理解的正确性。另外,如何将法律调研结果准确的落实到实际操作层面,也需向当地相应的业务主管部门进行详尽的咨询。
盈科上海互联网法律事务部主任、盈科上海高级合伙人,上海律师协会国际投资业务委员会委员,上海市工业互联网协会法律顾问,上海市互联网协会法律顾问,中国互联网空间协会个人信息保护专家组成员、中国信通院“个人信息保护合规审计领航计划”单位专家成员、《法治日报》律师专家库互联网领域专家。在数据合规领域,经常受邀参与多个协会关于“网络安全与数据保护”方面的著作撰写、研讨、培训等工作。其中,著作方面包括:《企业出海及数据跨境合规指南》、《个人隐私信息保护通识》(中央网信办培训中心推荐教材)、《互联网企业个人隐私信息保护合规指南》(副主编)、《全球个人隐私信息保护报告》、《全球数据安全治理报告》等。
英国布里斯托大学法学硕士,中国注册会计师(CPA),中国信通院“个人信息保护合规审计领航计划”单位成员。对互联网公司开拓海外市场中涉及的数据跨境、外资准入条件、市场准入要求、平台玩法合规等方面均有深入的了解与研究,尤其是东南亚地区国家。已为团队客户业务出海至新加坡、印度、越南、墨西哥、菲律宾、马来西亚、泰国、印尼等国家以及相应的数据跨境合规提供专项法律服务,积累了丰富的实操经验。目前在团队中主要负责泛娱乐领域(含社交、电商、游戏、直播等行业)业务出海、数据跨境以及版权等方面工作。另外,在财务、税筹领域可为企业提供相关配套服务。参与起草的著作包括:《全球个人隐私信息保护报告》、《全球数据安全治理报告》等。
大连海事大学海商法专业,中国信通院“个人隐私信息保护合规审计领航计划”单位专家成员。目前在团队主要负责医疗健康、车联网、金融、快递物流等行业的数据合规以及互联网广告合规等工作。曾为客户提供数据分类分级、个人隐私信息保护影响评估(PIA)、数据交易、数据出境、常年法律顾问等方面的专项法律服务。另,曾协助客户自查及整改企业内部数据安全问题,并最终顺利通过监管机构的数据专项执法检查。参与起草的著作包括:《个人信息保护通识》(中央网信办培训中心推荐教材)《互联网公司个人信息保护合规指南》。