隨著經(jīng)濟全球化的發(fā)展以及中國與東南亞國家經(jīng)濟文化交流的深化，東南亞地區(qū)已經(jīng)成為中國企業(yè)出海的重要拓展方向。由于東南亞地區(qū)不同國家之間數(shù)字營商環(huán)境存在較大差異，企業(yè)在東南亞地區(qū)開展投資活動時往往面臨數(shù)據(jù)合規(guī)問題。本文介紹了除文萊和東帝汶之外東南亞九個國家的數(shù)據(jù)保護(hù)法律體系框架，以及主要法律法規(guī)與歐盟《通用數(shù)據(jù)保護(hù)條例》的異同，并提出了數(shù)據(jù)合規(guī)建議，以期幫助出海企業(yè)了解數(shù)據(jù)跨境流動過程中可能面臨的挑戰(zhàn)，為中國企業(yè)出海東南亞提供數(shù)據(jù)跨境合規(guī)指南。

（一）馬來西亞

1、數(shù)據(jù)保護(hù)法律法規(guī)體系

馬來西亞政府高度重視數(shù)字經(jīng)濟產(chǎn)業(yè)及網(wǎng)絡(luò)安全問題。2010年《個人數(shù)據(jù)保護(hù)法》的出臺填補了馬來西亞在個人信息保護(hù)方面的立法空白。目前，馬來西亞的數(shù)據(jù)保護(hù)法律法規(guī)體系主要包括2010年《個人數(shù)據(jù)保護(hù)法》（Personal Data Protection Act 2010,“PDPA"）及其相關(guān)配套規(guī)定，以及專門領(lǐng)域立法。

2、2010年《個人數(shù)據(jù)保護(hù)法》的主要特點

（1）“個人數(shù)據(jù)"的定義和認(rèn)定標(biāo)準(zhǔn)：

?

根據(jù)PDPA第四條的規(guī)定，個人數(shù)據(jù)是指與商業(yè)交易過程有關(guān)的任何信息。這些信息直接或間接與數(shù)據(jù)主體相關(guān)，可以用以識別數(shù)據(jù)主體的身份。由此可知，PDPA只保護(hù)商業(yè)交易活動中的個人數(shù)據(jù)，難以有效規(guī)制非商業(yè)交易活動中的數(shù)據(jù)濫用行為以及政府的行政行為。然而，歐盟《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation, “GDPR"）將“個人數(shù)據(jù)"界定為任何已識別或可識別的自然人的相關(guān)信息，其保護(hù)的數(shù)據(jù)的來源并不僅限于商業(yè)交易。

?

在個人數(shù)據(jù)的認(rèn)定標(biāo)準(zhǔn)方面，PDPA和歐盟GDPR具有一致性，均強調(diào)數(shù)據(jù)的“可識別性"和“結(jié)構(gòu)化"特征。“可識別性"是個人數(shù)據(jù)的關(guān)鍵屬性，也是判斷特定數(shù)據(jù)是否屬于個人數(shù)據(jù)的核心標(biāo)準(zhǔn)?！敖Y(jié)構(gòu)化"的特性要求個人數(shù)據(jù)必須經(jīng)過了自動化手段的處理，或者雖然手動記錄但最終實施了自動化處理，并保存在檔案系統(tǒng)等載體之中。

?

（2）被遺忘權(quán)（刪除權(quán)）

?

GDPR第17條首次明確規(guī)定了“被遺忘權(quán)（刪除權(quán)）"。數(shù)據(jù)主體對于自己或第三方發(fā)布在網(wǎng)絡(luò)上的，與自身有關(guān)的、不合理的或繼續(xù)存在會對其社會評價產(chǎn)生負(fù)面影響的數(shù)據(jù)，有權(quán)要求數(shù)據(jù)控制者予以刪除。根據(jù)第17條第1款的規(guī)定，在個人信息控制者不再具有處理個人信息的任何法律依據(jù)或理由，以及數(shù)據(jù)主體撤回同意和授權(quán)等六種情形下，信息主體有權(quán)要求信息控制者刪除其個人信息，信息控制者有義務(wù)及時刪除。因此，刪除數(shù)據(jù)并不必然基于法定原因，也可以是基于數(shù)據(jù)主體撤回同意和授權(quán)。相較于GDPR，PDPA并未賦予數(shù)據(jù)主體被遺忘權(quán)。盡管該法第10條提及當(dāng)個人數(shù)據(jù)的保留不具有必要性時就不再予以保留，但這并不意味著個人享有被遺忘權(quán)。刪除數(shù)據(jù)必須基于法定理由，即保留不再具有必要性，而非基于數(shù)據(jù)主體的撤回同意或授權(quán)的意思表示。

?

（3）數(shù)據(jù)可攜帶權(quán)

?

GDPR第20條規(guī)定，數(shù)據(jù)可攜帶權(quán)是指數(shù)據(jù)主體有權(quán)獲得提供給數(shù)據(jù)控制者的相關(guān)個人數(shù)據(jù)，且其獲得的個人數(shù)據(jù)應(yīng)當(dāng)是經(jīng)過整理的、普遍使用的和機器可讀的。數(shù)據(jù)主體有權(quán)無障礙地將此類數(shù)據(jù)從其提供給的數(shù)據(jù)控制者處傳輸給另一個控制者。與歐盟GDPR不同，PDPA并未規(guī)定數(shù)據(jù)可攜帶權(quán)。雖然PDPA第30條規(guī)定數(shù)據(jù)主體有權(quán)以文件形式查看個人數(shù)據(jù)，也有權(quán)要求數(shù)據(jù)使用者以可理解的形式向其傳送個人信息的副本，但并未明確賦予數(shù)據(jù)主體將其個人數(shù)據(jù)轉(zhuǎn)移給包括其他數(shù)據(jù)使用者在內(nèi)的第三方的權(quán)利。

?

（4）數(shù)據(jù)保護(hù)官的設(shè)置

?

根據(jù)歐盟GDPR的有關(guān)規(guī)定，數(shù)據(jù)保護(hù)官必須精通個人數(shù)據(jù)保護(hù)法律與實踐知識，其可以直接向數(shù)據(jù)控制者或處理者的最高管理層報告。此外，數(shù)據(jù)保護(hù)官必須在完全保密的情況下執(zhí)行任務(wù)，并不得參與任何可能引發(fā)利益沖突的任務(wù)。數(shù)據(jù)控制者或處理者必須向監(jiān)管機構(gòu)提供數(shù)據(jù)保護(hù)官的詳細(xì)聯(lián)系方式，并應(yīng)當(dāng)為數(shù)據(jù)保護(hù)官履行職責(zé)以及維持其專業(yè)性知識提供必要資源。與之相比，PDPA雖然也要求設(shè)立數(shù)據(jù)保護(hù)官，但未設(shè)置上述規(guī)則。

?

（5）數(shù)據(jù)使用者強制注冊登記

?

為了有效監(jiān)管和規(guī)范數(shù)據(jù)使用者的數(shù)據(jù)采集行為，PDPA對特定行業(yè)的數(shù)據(jù)使用者設(shè)置了強制注冊登記制。這種登記的性質(zhì)類似于我國的企業(yè)工商登記，相關(guān)監(jiān)管機構(gòu)只是通過形式審查的方式備案，而非進(jìn)行實質(zhì)上的審核。馬來西亞注重采用事后監(jiān)督的方式規(guī)制數(shù)據(jù)使用者的行為，強調(diào)信息披露的重要性。2013年《個人數(shù)據(jù)保護(hù)（數(shù)據(jù)使用者）類別指令》和2013年《個人數(shù)據(jù)保護(hù)（數(shù)據(jù)使用者注冊）條例》是數(shù)據(jù)使用者登記管理的細(xì)則規(guī)定。

（二）印度尼西亞

1、數(shù)據(jù)保護(hù)法律法規(guī)體系

《個人數(shù)據(jù)保護(hù)法》是印尼第一部綜合性數(shù)據(jù)保護(hù)立法。印尼的數(shù)據(jù)保護(hù)法律體系以2022年《個人數(shù)據(jù)保護(hù)法》(“Law No.27 of 2022 regarding Personal Data Protection"，“PDPL")為中心，并包括一系列相關(guān)立法。

2、2022年《個人數(shù)據(jù)保護(hù)法》的主要特點

印尼《個人數(shù)據(jù)保護(hù)法》整合了以往部分法案中關(guān)于個人數(shù)據(jù)保護(hù)的規(guī)定，于2022年10月生效。

?

（1）處理個人數(shù)據(jù)的法律依據(jù)

?

在處理個人數(shù)據(jù)的法律依據(jù)方面，PDPL與歐盟GDPR類似。PDPL第20條規(guī)定了六項個人數(shù)據(jù)處理的法律依據(jù)，例如數(shù)據(jù)控制者與數(shù)據(jù)主體之間的合同義務(wù)、數(shù)據(jù)控制者的法律義務(wù)、保護(hù)數(shù)據(jù)主體的重要利益和公共利益等。

?

（2）域外效力

?

PDPL與歐盟GDPR在域外效力方面有較大差異，PDPL域外效力條款的設(shè)置方式使其域外效力比GDPR更廣泛。根據(jù)PDPL的規(guī)定，只要印尼境外的個人數(shù)據(jù)控制者和處理者的處理活動對該國或該國的任何公民具有“法律影響"，則受到PDPL的規(guī)制。然而，目前尚未出臺進(jìn)一步明確PDPL下“法律影響"的具體含義的條例。

?

（3）跨境數(shù)據(jù)流動政策

?

歐盟的政策制定者傾向于通過“充分性決定"來判斷一個國家是否具備充分保護(hù)歐盟個人數(shù)據(jù)的水平，并將隱私保護(hù)水平與地理位置相聯(lián)系，從而迫使其他國家調(diào)整自己的隱私法以配合GDPR。事實上，復(fù)制和參照GDPR并不是全球數(shù)據(jù)保護(hù)立法的唯一路徑，許多國家也并不想被歐盟政策制定者評判。

?

印尼與歐盟的政策不同。根據(jù)印尼2022年P(guān)DPL的規(guī)定，不論數(shù)據(jù)位于哪個國家或地區(qū)，所有在印尼境內(nèi)運營的組織都要對印尼的數(shù)據(jù)負(fù)責(zé)。印尼正嘗試在金融和公共服務(wù)等領(lǐng)域之外以“問責(zé)制原則"逐步替代數(shù)據(jù)本地化的要求。2022年P(guān)DPL就未設(shè)置數(shù)據(jù)本地化的相關(guān)規(guī)定。

（三）泰國

1、數(shù)據(jù)保護(hù)法律法規(guī)體系

泰國《個人數(shù)據(jù)保護(hù)法》（Personal Data Protection Act, B.E. 2562，“PDPA"）于2019年5月公布，2022年6月1日正式生效，是泰國第一部綜合性數(shù)據(jù)保護(hù)法律。泰國數(shù)據(jù)保護(hù)法律體系由《個人數(shù)據(jù)保護(hù)法》、針對《個人數(shù)據(jù)保護(hù)法》的二級立法以及其他法律中涉及個人數(shù)據(jù)保護(hù)的相關(guān)規(guī)定組成。

2、2022年《個人數(shù)據(jù)保護(hù)法》的主要特點

（1）適用范圍

?

在適用主體方面，泰國PDPA不適用于負(fù)有保護(hù)國家安全職責(zé)的公共機構(gòu)、參議院、眾議院、議會以及由上述機構(gòu)任命的其他委員會或組織，而GDPR并未排除上述實體。在內(nèi)容范圍方面，PDPA沒有區(qū)分自動化和非自動化的數(shù)據(jù)處理方式。而GDPR規(guī)定，如果數(shù)據(jù)是檔案系統(tǒng)中的一部分，則其適用于以自動化或者非自動化方式處理的數(shù)據(jù)。此外，PDPA允許數(shù)據(jù)主體對其數(shù)據(jù)進(jìn)行匿名化處理，而GDPR則明確將匿名數(shù)據(jù)排除出其適用范圍。

?

（2）數(shù)據(jù)主體的權(quán)利

?

知情權(quán)：PDPA沒有明確規(guī)定是否可以通過口頭方式告知數(shù)據(jù)主體其享有的權(quán)利；而GDPR數(shù)據(jù)主體可以通過口頭形式以及電子和書面形式了解其權(quán)利。

?

查閱權(quán)：PDPA沒有明確規(guī)定當(dāng)數(shù)據(jù)主體提出查閱請求時數(shù)據(jù)控制者必須提供哪些信息；但根據(jù)GDPR的規(guī)定，數(shù)據(jù)控制者必須明確告知數(shù)據(jù)主體處理其個人數(shù)據(jù)的目的、涉及數(shù)據(jù)的類型以及可能與之共享數(shù)據(jù)的第三方。

?

刪除權(quán)：PDPA沒有規(guī)定數(shù)據(jù)控制者處理數(shù)據(jù)主體的請求的時限，但如果數(shù)據(jù)控制者未能及時回應(yīng)刪除信息的請求，數(shù)據(jù)主體可以訴諸執(zhí)法機關(guān)。此外，當(dāng)數(shù)據(jù)主體提出請求時，并不要求數(shù)據(jù)控制者驗證每個數(shù)據(jù)主體的身份。相比之下，GDPR明確規(guī)定，數(shù)據(jù)控制者必須在收到數(shù)據(jù)主體的請求后的一個月內(nèi)作出處理，不得無故拖延。此外，數(shù)據(jù)控制者必須核實提出請求的每個數(shù)據(jù)主體的身份。

?

拒絕權(quán)：PDPA和GDPR都賦予數(shù)據(jù)主體此項權(quán)利，并且數(shù)據(jù)主體可以隨時撤回對此類數(shù)據(jù)處理行為的同意。二者的差異在于，PDPA并未對數(shù)據(jù)控制者處理數(shù)據(jù)主體的反對請求設(shè)置期限，而GDPR明確規(guī)定數(shù)據(jù)控制者應(yīng)當(dāng)在30日內(nèi)處理數(shù)據(jù)主體的請求。根據(jù)請求涉及數(shù)據(jù)的復(fù)雜程度，這一期限可以延長至不超過60日。

（四）菲律賓

1、數(shù)據(jù)保護(hù)法律法規(guī)體系

菲律賓有關(guān)個人數(shù)據(jù)保護(hù)的立法以2012年《數(shù)據(jù)隱私法案》（Data Privacy Act, “DPA"）為核心，其他領(lǐng)域的立法中也含有部分關(guān)于個人數(shù)據(jù)保護(hù)的規(guī)定。

2、2012年《數(shù)據(jù)隱私法案》的主要特點

（1）概念的界定

?

DPA對于“個人信息"、“敏感個人信息"、“信息處理者"、“信息控制者"等核心概念的定義與其他國家基本相同。

?

（2）數(shù)據(jù)主體的權(quán)利

?

與大多數(shù)國家類似，該法賦予了數(shù)據(jù)主體相對廣泛的權(quán)利，例如知情權(quán)、刪除權(quán)、可攜帶權(quán)、更證權(quán)、查詢權(quán)、異議權(quán)等。

?

（3）國家隱私委員會

?

為了促進(jìn)2012年DPA的實施，菲律賓成立了國家隱私委員會，并賦予其17項職能。在菲律賓開展業(yè)務(wù)需要向國家隱私委員會提交安全事件報告和數(shù)據(jù)泄露年度報告。

（五）新加坡

1、數(shù)據(jù)保護(hù)法律法規(guī)體系

2012年《個人數(shù)據(jù)保護(hù)法》（The Personal Data Protection Act 2012, “ PDPA"）是新加坡個人數(shù)據(jù)保護(hù)領(lǐng)域最主要的立法。新加坡個人數(shù)據(jù)保護(hù)法律法規(guī)體系由《個人數(shù)據(jù)保護(hù)法》、《個人數(shù)據(jù)保護(hù)法修正案》、《網(wǎng)絡(luò)安全法》以及相關(guān)條例組成。

2、2012年《個人數(shù)據(jù)保護(hù)法》的主要特點

（1）“個人數(shù)據(jù)"的定義

?

GDPR與PDPA對于“個人數(shù)據(jù)"的認(rèn)定標(biāo)準(zhǔn)基本一致。二者的區(qū)別在于定義的表述方式。GDPR采用抽象描述加舉例說明的方式，而PDPA僅采用抽象描述的方法。PDPA對個人數(shù)據(jù)的解釋較為寬泛，只是強調(diào)其應(yīng)當(dāng)具有可識別性，而未明確哪些類型的數(shù)據(jù)應(yīng)當(dāng)視為可識別的數(shù)據(jù)。此外，根據(jù)PDPA的規(guī)定，“商務(wù)聯(lián)系信息"雖然屬于“個人數(shù)據(jù)"的范疇，但由于其產(chǎn)生于商業(yè)信息交換且不涉及隱私權(quán)，因此不屬于該法的保護(hù)范圍。

?

（2）個人數(shù)據(jù)的保護(hù)對象

?

GDPR和PDPA中“個人數(shù)據(jù)"的保護(hù)對象都是自然人的個人信息，二者的差異主要體現(xiàn)在其對于已故者的數(shù)據(jù)保護(hù)方面。GDPR的保護(hù)對象是可識別自然人的個人信息，不包括已故者。而PDPA將“個人"定義為在世或已故的自然人，明確將已故者的個人數(shù)據(jù)納入保護(hù)范圍。需要注意的是，PDPA不保護(hù)已故超過十年的自然人的個人數(shù)據(jù)，也不保護(hù)在世自然人已保留記錄超過100年的個人數(shù)據(jù)。

?

（3）數(shù)據(jù)主體的權(quán)利

?

根據(jù)GDPR的規(guī)定，數(shù)據(jù)主體享有知情權(quán)、刪除權(quán)、拒絕權(quán)、訪問權(quán)、數(shù)據(jù)可攜帶權(quán)和非歧視權(quán)六項權(quán)利。PDPA賦予了數(shù)據(jù)主體五項權(quán)利，但未設(shè)置刪除權(quán)。PDPA允許組織基于業(yè)務(wù)需要、法律需要等原因保留相關(guān)數(shù)據(jù)，并不強制組織加以刪除。此外，兩部法律在數(shù)據(jù)主體知情權(quán)、拒絕權(quán)等具體權(quán)利的內(nèi)容設(shè)定上存在差異。

?

（4）數(shù)據(jù)保護(hù)官的設(shè)置

?

GDPR和PDPA在數(shù)據(jù)保護(hù)官的選任和職責(zé)設(shè)置方面基本一致，但相比較而言，PDPA對數(shù)據(jù)保護(hù)官的要求更高。在數(shù)量方面，GDPR僅要求在特定情形下設(shè)置一名數(shù)據(jù)保護(hù)官即可，而PDPA則規(guī)定數(shù)據(jù)保護(hù)官的數(shù)量可以是多人，甚至可以采取團(tuán)隊或部門的形式。在設(shè)置場景方面，GDPR的規(guī)定主要針對大型數(shù)據(jù)處理場景和機構(gòu)，而PDPA則要求所有規(guī)模的組織均任命數(shù)據(jù)保護(hù)官。在公開數(shù)據(jù)保護(hù)官聯(lián)系方式方面，GDPR僅要求將數(shù)據(jù)保護(hù)官的聯(lián)系方式向數(shù)據(jù)主體和監(jiān)管機構(gòu)公開，而PDPA則要求向公眾完全公開。但需要注意的是，GDPR對于數(shù)據(jù)保護(hù)官任職資格的要求比PDPA更嚴(yán)格。

?

（5）跨境數(shù)據(jù)流動的監(jiān)管

?

PDPA在監(jiān)管跨境數(shù)據(jù)流動的規(guī)則設(shè)置方面較歐盟GDPR更為嚴(yán)格，主要體現(xiàn)在兩方面。第一，在跨境數(shù)據(jù)流動的前提條件方面，GDPR規(guī)定了六種情形，PDPA規(guī)定了五種情形。與GDPR相比，PDPA設(shè)定的五種情形中不包括“保護(hù)公共利益所需、保護(hù)個人利益所需、法律請求所需"等情形，其對于跨境數(shù)據(jù)流動的前提條件的設(shè)置更為嚴(yán)格。第二，在數(shù)據(jù)輸入地的保護(hù)水平方面，GDPR僅要求輸入地國家或地區(qū)達(dá)到“充分的"保護(hù)水平，而PDPA則采用了“相當(dāng)?shù)?這一表述?？梢钥闯觯瑲W盟委員會在立法時考慮了他國在數(shù)據(jù)保護(hù)方面與歐盟的差距，并為法律的實施設(shè)置了一定范圍的裁量空間，而PDPA則要求輸入地的數(shù)據(jù)保護(hù)水平必須達(dá)到與新加坡相當(dāng)?shù)某潭取Ｔ谙喈?dāng)水平的例外方面，GDPR規(guī)定，即使未達(dá)到充分性標(biāo)準(zhǔn)，如果數(shù)據(jù)控制者或處理者能證明自己已經(jīng)采取了充分的法律保障和救濟措施，則數(shù)據(jù)跨境流動仍然是被允許的。然而，PDPA并未設(shè)置此類豁免條件。

本文的下篇將繼續(xù)介紹越南、老撾、緬甸和柬埔寨的數(shù)據(jù)保護(hù)法律概況，并為中國企業(yè)赴東南亞投資提供數(shù)據(jù)合規(guī)建議。