ARTICLES

專業(yè)文章

數(shù)據(jù)出境合規(guī)解讀系列文章（四）：出?！靶埋R泰”企業(yè)的個人數(shù)據(jù)回流合規(guī)機制

數(shù)據(jù)出境合規(guī)解讀系列文章（四）：出海“新馬泰”企業(yè)的個人數(shù)據(jù)回流合規(guī)機制

作者：李瑞賈申李夢涵 2022-12-01 語音播報

在全球數(shù)字化經(jīng)濟蓬勃發(fā)展的趨勢下，個人數(shù)據(jù)跨境流動的監(jiān)管與規(guī)制已然成為世界各個國家和地區(qū)的數(shù)據(jù)合規(guī)立法和執(zhí)法重點。對于有出海需求的中國企業(yè)而言，不僅要關注國內(nèi)對于個人數(shù)據(jù)跨境流動的合規(guī)要求，也要關注個人數(shù)據(jù)回流時涉及的他國法域的數(shù)據(jù)跨境合規(guī)要求。

近年來，我們在業(yè)務中處理了多個海外國家和地區(qū)數(shù)據(jù)回流中國所涉及到的個人數(shù)據(jù)跨境合規(guī)實務問題。其中，東南亞地區(qū)被投實體如何能合法合規(guī)地將當?shù)厥占彤a(chǎn)生的個人數(shù)據(jù)傳輸回中國，是這些出海企業(yè)經(jīng)常關注的熱點問題。本文將著重介紹馬來西亞、新加坡和泰國這三個熱門出海目的地（即俗稱的"新馬泰"）的當?shù)貍€人數(shù)據(jù)出境合規(guī)要求，以期為相關企業(yè)提供實務上的建議。

一、馬來西亞?

馬來西亞在個人數(shù)據(jù)保護方面最主要的立法是《2010年個人數(shù)據(jù)保護法》（Personal Data Protection Act 2010, 下稱"馬來西亞PDPA"）。PDPA聚焦于商業(yè)交易中個人數(shù)據(jù)處理活動和安全保護的相關要求，于2010年6月10日正式發(fā)布，2013年11月15日正式生效。馬來西亞PDPA適用于設立在馬來西亞的機構或在馬來西亞處理個人數(shù)據(jù)的機構，但不適用于政府機關或在馬來西亞境外處理的個人數(shù)據(jù)。

為配合促進PDPA的執(zhí)行，馬來西亞進一步出臺了一系列附屬立法，亦于2013年11月15日起實施，其中包括《個人數(shù)據(jù)保護條例2013》（Personal Data Protection Regulations 2013）等。

監(jiān)管機關層面，馬來西亞設立了個人數(shù)據(jù)保護部（The Department of Personal Data Protection）和個人數(shù)據(jù)保護委員會（Personal Data Protection Commission）作為監(jiān)管機關和執(zhí)法機關，其在職責范圍內(nèi)發(fā)布數(shù)據(jù)保護法規(guī)、標準和相關文件。

根據(jù)PDPA和相關法律，馬來西亞已建立了針對個人數(shù)據(jù)的出境合規(guī)體系：

1. "白名單"機制：企業(yè)從馬來西亞將個人數(shù)據(jù)直接傳輸至"白名單"國家[1]，而無需依賴其他合規(guī)機制，但目前該等"白名單"機制尚未正式生效，且可能在馬來西亞PDPA后續(xù)修正案中由"黑名單"機制替代。[2]

2. 在白名單機制生效前，企業(yè)從馬來西亞向境外傳輸個人數(shù)據(jù)，應當滿足以下條件之一：

(1) 數(shù)據(jù)主體已同意該等數(shù)據(jù)傳輸；

(2) 數(shù)據(jù)傳輸對于履行馬來西亞企業(yè)與數(shù)據(jù)主體之間的合同是必要的；

(3) 數(shù)據(jù)傳輸對于馬來西亞企業(yè)與第三方之間簽訂或履行合同是必要的，且該與第三方的合同是應數(shù)據(jù)主體的要求而簽訂的，符合其利益；

(4) 為了法律訴訟或維護合法權利而進行數(shù)據(jù)傳輸；

(5) 馬來西亞企業(yè)有合理理由認為，數(shù)據(jù)傳輸是為了避免或減輕對數(shù)據(jù)主體的不利情形，但無法以書面形式獲得該數(shù)據(jù)主體的同意，且在可行的情況下數(shù)據(jù)主體會給予同意；

(6) 馬來西亞企業(yè)能夠確保該等個人數(shù)據(jù)不會以任何違背馬來西亞PDPA的方式被處理；

(7) 數(shù)據(jù)傳輸是為了保護數(shù)據(jù)主體的切身利益而必要的；

(8) 數(shù)據(jù)傳輸符合公共利益。

根據(jù)目前的馬來西亞"白名單"版本，中國屬于"白名單"國家之一。但是，在白名單機制正式生效前，我們建議企業(yè)在實務中采取適當措施防范個人數(shù)據(jù)回流時可能存在的合規(guī)風險。在上述各項措施中，比較可行、也較為常用的是第（1）種措施，即在個人數(shù)據(jù)跨境傳輸前通過隱私聲明等形式獲得數(shù)據(jù)主體的同意，并留存書面記錄。

二、新加坡?

新加坡目前在個人數(shù)據(jù)保護方面的立法主要包括《2012年個人數(shù)據(jù)保護法》（Personal Data Protection Act 2012，下稱"新加坡PDPA"）《2020年個人數(shù)據(jù)保護（修訂）條例草案》[Personal Data Protection (Amendment) Bill (Bill No.37/2020)]《2021年個人數(shù)據(jù)保護條例》（Personal Data Protection Regulations 2021，下稱"PDPR"）。新加坡PDPA適用于個人、公司、協(xié)會或團體等的數(shù)據(jù)處理活動，但以個人或家庭身份行事的公共機構和個人除外。

監(jiān)管機關層面，新加坡中央政府的下設機構個人數(shù)據(jù)保護委員會（Personal Data Protection Commission）為數(shù)據(jù)保護的主要監(jiān)管機構。

根據(jù)新加坡PDPA和相關法律，企業(yè)應當確保境外接收方能夠為出境的個人數(shù)據(jù)提供至少與新加坡PDPA保護相當?shù)谋Ｗo標準。具體的要求為滿足下述條件之一：

1. 企業(yè)與數(shù)據(jù)接收方簽訂符合以下條件的合同：

(1) 要求數(shù)據(jù)接收方為傳輸?shù)膫€人數(shù)據(jù)提供至少與新加坡PDPA相當?shù)谋Ｗo標準；

(2) 明確合同項下個人信息傳輸?shù)哪康牡貒一虻貐^(qū)；

2. 確保數(shù)據(jù)接收方受到符合條件的有約束力的公司規(guī)則（Binding Corporate Rules，下稱"公司規(guī)則"）的約束：

(1) 公司規(guī)則要求數(shù)據(jù)接收方為傳輸?shù)膫€人數(shù)據(jù)提供至少與新加坡PDPA保護相當?shù)谋Ｗo標準；

(2) 公司規(guī)則明確其適用的接收方、個人數(shù)據(jù)可被傳輸?shù)膰?地區(qū)以及其項下的權利義務；

(3) 公司規(guī)則僅適用于與數(shù)據(jù)傳輸方在同一組織內(nèi)部的關聯(lián)接收方。

3. 數(shù)據(jù)接收方通過特定認證：

(1) 接收方為數(shù)據(jù)中介機構的，應通過亞太經(jīng)濟合作組織處理者隱私識別（Privacy Recognition for Processors, PRP）系統(tǒng)認證[3]或跨境隱私規(guī)則（Cross Border Privacy Rules, CBPR）認證[4]；

(2) 其他類別的接收方，應通過亞太經(jīng)濟合作組織CBPR認證。

在上述措施中，我們推薦在實務中采取第一種方案，即與數(shù)據(jù)接收方簽訂符合要求的個人數(shù)據(jù)跨境傳輸合同，確保提供與新加坡PDPA相當?shù)谋Ｗo水平。

此外，根據(jù)PDPR，如果傳輸?shù)膫€人數(shù)據(jù)是公開數(shù)據(jù)，以及在其他一些有限的情形下，數(shù)據(jù)傳輸方無需滿足上述條件即可向數(shù)據(jù)接收方傳輸數(shù)據(jù)。[5]但該等情形的適用范圍有限，通常不能作為企業(yè)處理新加坡個人數(shù)據(jù)回流的常規(guī)方案。

三、泰國?

泰國在個人數(shù)據(jù)保護方面最主要的立法是《個人數(shù)據(jù)保護法案》（Personal Data Protection Act，下稱"泰國PDPA"）。作為泰國個人數(shù)據(jù)保護領域的綜合性法律，泰國PDPA適用于泰國的數(shù)據(jù)控制者或數(shù)據(jù)處理者的數(shù)據(jù)收集、使用、披露等活動（無論此類活動是否發(fā)生于泰國境內(nèi)），但不適用于為個人利益或家庭活動、大眾傳媒、政府公共部門或議會活動、法院裁判或法律執(zhí)行等特殊目的而處理個人數(shù)據(jù)的情形。

監(jiān)管機關層面，根據(jù)泰國PDPA，個人數(shù)據(jù)保護委員會（Personal Data Protection Commission，下稱"PDPC"）是泰國的數(shù)據(jù)保護監(jiān)管機構，負責發(fā)布個人數(shù)據(jù)保護的相關文件、提供立法建議、頒布關于數(shù)據(jù)跨境傳輸?shù)陌踩Ｗo標準等。

根據(jù)泰國PDPA，如企業(yè)將個人數(shù)據(jù)傳輸至境外，應確保接收方所在的國家/國際組織具有足夠的數(shù)據(jù)保護水平，并按照PDPC頒布的標準或規(guī)定進行傳輸（如果企業(yè)不確定接收方所在國家/國際組織的數(shù)據(jù)保護水平是否充分，可以提交PDPC進行決定），但以下情況除外：

1. 下述六種情形下，企業(yè)可向外傳輸個人數(shù)據(jù)：

(1) 為遵守法律要求而傳輸；

(2) 在告知目的地國家/國際組織的個人數(shù)據(jù)保護水平不足的前提下，數(shù)據(jù)主體仍同意傳輸?shù)模?/p>

(3) 為履行數(shù)據(jù)主體作為一方的合同所必需的，或在簽訂合同前應數(shù)據(jù)主體的請求而傳輸；

(4) 為維護數(shù)據(jù)主體的利益，遵守數(shù)據(jù)控制者與第三方的合同；

(5) 為保護數(shù)據(jù)主體或第三方的生命、健康而數(shù)據(jù)主體不能及時給予同意的情況下；或

(6) 為開展具有重大公共利益的活動所必需的。

2. 針對關聯(lián)公司間個人數(shù)據(jù)跨境傳輸?shù)那樾?，企業(yè)可制定適用于集團內(nèi)部的個人數(shù)據(jù)保護政策，并經(jīng)過PDPC審查和批準。

3. 如果企業(yè)采取適當?shù)谋Ｗo措施，確保數(shù)據(jù)主體的權益，包括根據(jù)PDPC的規(guī)定采取有效的法律補救措施（具體措施有待頒布），則企業(yè)仍可以將個人數(shù)據(jù)傳輸至國外，而無需遵守上述要求。

目前，在實務中比較容易落實的措施是告知數(shù)據(jù)主體并獲得其同意，企業(yè)可通過書面聲明充分告知數(shù)據(jù)主體傳輸?shù)南嚓P情況，包括目的地國家/國際組織的個人數(shù)據(jù)保護水平，征求其同意并留存書面記錄。對于跨國企業(yè)或關聯(lián)企業(yè)，也可以嘗試采取第二種方式，即制定集團內(nèi)的個人數(shù)據(jù)保護政策并提交PDPC審查、批準（具體落實方式需向當?shù)刂鞴懿块T詳細咨詢）。

在全球各法域日漸重視數(shù)據(jù)保護的背景下，中國的出海企業(yè)應當更加重視海外數(shù)據(jù)合規(guī)風險，密切關注出海地區(qū)的立法、執(zhí)法動態(tài)及行業(yè)實踐，有針對性地采取措施，不斷提升企業(yè)的數(shù)據(jù)合規(guī)水平，促進業(yè)務發(fā)展。

[注]?

[1] 目前，"白名單"國家包括：歐洲經(jīng)濟區(qū)國家（包括英國）；美利堅合眾國；加拿大；瑞士；新西蘭；阿根廷；烏拉圭；安道爾；法羅群島；格恩西島；以色列；馬恩島；澤西；澳大利亞；日本；韓國；中國；中國香港；中國臺灣；新加坡；菲律賓；和迪拜國際金融中心（"DIFC"）。

[2] 在"黑名單"制度下，數(shù)據(jù)處理者能夠?qū)€人數(shù)據(jù)傳輸?shù)?黑名單"以外的國家/地區(qū)。如黑名單機制生效，則馬來西亞在個人數(shù)據(jù)跨境傳輸方面的合規(guī)要求將更為寬松。

[3] PRP體系是一套專門針對數(shù)據(jù)處理者的認證體系，數(shù)據(jù)處理者通過PRP體系認證可證明自身的數(shù)據(jù)處理符合CBPR體系對數(shù)據(jù)控制者的數(shù)據(jù)處理隱私保護要求。

[4]?CBPR體系的目標對象是數(shù)據(jù)控制者，APEC經(jīng)濟體中的數(shù)據(jù)控制者可以在滿足認證要求后加入該認證體系，以向境外交易相對方證明自身的數(shù)據(jù)保護水平。截至目前，共有九個已加入APEC CBPR系統(tǒng)的經(jīng)濟體，包括美國、墨西哥、日本、加拿大、新加坡、韓國、澳大利亞、菲律賓和中國臺灣地區(qū)。

[5] 該等情形包括：（a）企業(yè)向相關自然人提供了書面摘要，說明其個人數(shù)據(jù)將被輸出至目的地國家并獲得保護的情況后（且接收方?jīng)]有要求將個人同意轉(zhuǎn)讓作為提供產(chǎn)品或服務的條件——除非轉(zhuǎn)讓對于向個人提供產(chǎn)品或服務是合理必要的），自然人同意將其個人數(shù)據(jù)向境外傳輸（且傳輸方應保證沒有提供有關轉(zhuǎn)讓的虛假或誤導性信息來獲得自然人的同意）；（b）為履行自然人與企業(yè)之間的合同而必須進行數(shù)據(jù)跨境傳輸；（c）為保護自然人的利益或保護國家利益保護所必須的，且數(shù)據(jù)接收方已采取了合理措施以確保不會將個人數(shù)據(jù)用于任何其他目的；（d）個人數(shù)據(jù)本身已是處于傳輸過程中的數(shù)據(jù)；（e）個人數(shù)據(jù)在新加坡是公開數(shù)據(jù)。

上一篇：跨境爭議解決中的數(shù)據(jù)出境合規(guī)義務下一篇：泛主體虛假宣傳之訴的分歧與歸一——最高院與北上廣知識產(chǎn)權法院的裁判思路辨析（上）

打印中倫文章

国产无码AV,精品人妻无码一区二区三区淑枝,精品人妻少妇嫩草AV无码专区,久久久无码人妻精品无码

法律報告 >

《資本博弈：對賭、回購與投資人特殊權利的爭議與演進》

出版物 >

【中倫三十周年系列文集】

月度精選 >

中倫深度觀察2024年10月

專業(yè)文章

最新交易

中倫助力腦動極光在香港聯(lián)交所主板上市

中倫助力粒影生物完成近億元A輪融資

最新動態(tài)

最新榮譽

ARTICLES

數(shù)據(jù)出境合規(guī)解讀系列文章（四）：出?！靶埋R泰”企業(yè)的個人數(shù)據(jù)回流合規(guī)機制

數(shù)據(jù)出境合規(guī)解讀系列文章（四）：出海“新馬泰”企業(yè)的個人數(shù)據(jù)回流合規(guī)機制

相關人員

李瑞

權益合伙人
北京

李瑞

賈申

高級顧問
北京

賈申

ARTICLES

數(shù)據(jù)出境合規(guī)解讀系列文章（四）：出?！靶埋R泰”企業(yè)的個人數(shù)據(jù)回流合規(guī)機制

數(shù)據(jù)出境合規(guī)解讀系列文章（四）：出海“新馬泰”企業(yè)的個人數(shù)據(jù)回流合規(guī)機制

相關人員

李瑞

權益合伙人 北京

賈申

高級顧問 北京

權益合伙人
北京

高級顧問
北京