收藏级干货：企业出海东南亚之数据跨境合规指南！

以下文章来源于iLaw合规 ，作者谢连杰、吴帆

作者：谢连杰

单位：北京盈科（上海）律师事务所

联系方式：xielianjie@yingkelawyer.com

作者：吴帆

单位：北京盈科（上海）律师事务所

联系方式：wufan@yingkelawyer.com

编者按

随着经济全球化的持续发展，以及中国经济地位在全球范围内的不断提升，越来越多的中国企业开始选择“走出去”的发展新规划。面对欧美市场高饱和竞争态势，东南亚地区正处于增量市场阶段，具备坚实增长基础，已成为中国出海企业的重要拓展方向。然而，在企业出海过程中，由于不同国家与地区之间存在法律、政策等差异，企业面临着如何在当地合规经营的问题。其中数据跨境流动所带来的一系列监管要求，亦给我国企业“出海”带来了许多挑战和考验。如何遵守当地的数据保护法律规范，妥善处理数据收集、存储、出境及使用等问题，成为了业务出海中又一个急需解决的难题。

本文围绕5个主要东南亚国家的数据保护法律体系及数据出境要求展开探讨，旨在帮助出海企业及相关合规从业者了解出海东南亚的机遇与挑战，并提供合规路径的参考。

目录索

01马来西亚篇

02泰国篇

03越南篇

04菲律宾篇

05新加坡篇

06 小结

一、马来西亚篇

（一）数据保护法律体系

马来西亚是东南亚国家中较早推行数据保护的国家， 2010年就发布了《个人数据保护法》（Personal Data Protection Act 2010，下称“PDPA（MY）”），该法是一部综合性立法，任何有关个人数据收集、记录、保存或处理的商业活动必须遵守相关原则。2011年5月16日，马来西亚通信和多媒体委员会（Ministry of Communications and Multimedia Commission，“MCMC”）的下属机构——个人数据保护部（Personal Data Protection Department或Jabatan Perlindungan Data Peribadi，“JPDP”）正式成立，主要职责是负责监督和管理商业交易中涉及的个人数据处理行为，确保数据使用者不会滥用及误用个人数据，以及发布数据保护标准、行为守则等规范性文件，贯彻落实PDPA（MY）的实施。

2013年马来西亚针对PDPA（MY）进一步出台了一系列附属法例，具体包括《个人数据保护条例》（Personal Data Protection Regulations 2013）、《个人数据保护（数据使用者类别）令》（Personal Data Protection (Class of Data Users) Order 2013）、《个人数据保护（数据使用者注册）条例》（Personal Data Protection (Registration of Data User) Regulations 2013）及《个人数据保护（费用）条例》（Personal Data Protection (Fees) Regulations 2013）。2016年马来西亚重新对数据使用者类别进行了修订，发布了《个人数据保护（数据使用者类别）（修订）令》（Personal Data Protection (Class of Data Users) (Amendment) Order 2016），以及《个人数据保护（复合犯罪）条例》（Personal Data Protection (Compounding of Offences) Regulations 2016）。

马来西亚目前没有统一的网络安全法令，但是政府已宣布考虑引入。现在有关网络安全的法律法规分别分散在马来西亚的各种立法中，例如《1997年电脑犯罪法》、《1998年通讯与多媒体法》、《刑事法典》和PDPA（MY）。

（二）数据出境要求

马来西亚在2021年数字经济蓝图中提出，为保障数字经济的发展与用户隐私安全的平衡，要对相关法律进行完整的梳理和修订。到2025年，将要修订PDPA（MY）以加强数据跨境章节的内容，制定基于国际最佳实践的数字经济征税体系。同时，所有新签订的贸易协定要包含数据跨境的内容。

根据目前的PDPA（MY），数据使用者不得将数据主体的任何个人数据转移到马来西亚以外的地方，但下列情况除外：

（1）部长根据个人数据保护专员建议指定的地区。该地区有与PDPA（MY）实质性相似或目的相同的法律，或者个人数据保护水平至少与马来西亚相当。

（2）尽管有指定地区，下列情况仍可进行个人数据出境：

（a）数据主体同意；

（b）履行数据主体和数据使用者之间的合同所必需；

（c）订立或履行数据使用者与第三方之间的合同所必需；（该合同是应数据主体要求而订立，或符合数据主体的利益）

（d）为了法律程序或为了获得法律意见或为了确立、行使或捍卫合法权利；

（e）数据使用者有合理理由相信，跨境传输是为了避免或减轻对数据主体的不利行为，且获得数据主体书面同意是不切实际的，如果获得同意是可行的，则数据主体会给予同意；

（f）数据使用者已采取一切合理的预防措施并尽一切努力确保个人数据不会在其他地方以违反PDPA（MY）的方式处理；

（g）为保护数据主体的切身利益所必需；

（h）为公共利益所必需。

二、泰国篇

（一）数据保护法律体系

2019 年泰国国家立法议会通过了《个人数据保护法》（Personal Data Protection Act 2019，下称“PDPA（TH）”）和《网络安全法》（Cybersecurity Act 2019）。制订这些法案的目的是直接管理个人数据的收集、储存、使用或处理，明确数据控制者和数据处理者的义务，以及数据主体的基本权利，加强网络空间的法律保障，确保国家安全及个人数据私隐安全。PDPA（TH）经过两次推迟后于2022年6月1日正式生效，成为泰国第一部综合性数据保护立法。

2022年6月21日，泰国个人数据保护委员会（Personal Data Protection Committee，下称“PDPC”）在皇家公报上发布了关于PDPA（TH）的四项新公告，旨在为数据处理者和数据控制者提供有关其在 PDPA（TH） 下的职责的更多信息。四项公告分别为：

（1）对中小型企业或中小企业的数据保护官的数据记录要求的豁免；

（2）数据保护官制作和保存个人数据记录的条款和措施；

（3）数据保护官应当采取的安全措施；

（4）专家委员会实施行政罚款和行政处罚的措施。

2022年7月11日，PDPC发布了两个通知，对其接受、处理投诉的规则以及专家委员会的选聘作出了规定。2022年9月7日，PDPC再次颁布了两个指引，分别是《向数据主体获得同意的指引》和《向数据主体通知收集信息的目的以及其他细节的指引》，旨在帮助数据控制者及相关主体更好的理解和适用PDPA（TH）。

（二）数据出境要求

根据PDPA（TH），进行个人数据出境需确保目的地国家或国际组织的数据保护标准足够充分，且遵守了PDPC发布的个人数据出境的保护标准（目前暂未出台），但以下情况除外：

（1）为遵守法律规定；

（2）在数据主体已被告知该目的地国家或国际组织的个人数据保护标准不足的前提下，仍然获得数据主体同意的；

（3）履行数据主体作为当事人的合同所必需，或者在订立合同前已经应数据主体的要求采取措施的；

（4）遵守数据控制者与他人之间为了数据主体的利益而订立的合同所必需；

（5）为防止或抑制对数据主体或其他人的生命、身体或健康的危险，数据主体无法及时给予同意时；

（6）为开展涉及重大公共利益的活动所必需。

如果数据控制者对目的地国家或国际组织的数据保护标准是否足够充分存疑，可以提交PDPC进行决定。另外，泰国针对跨国关联业务及跨国集团企业开展了“个人数据保护政策”审查机制，即如果企业的“个人数据保护政策”通过了PDPC的审查和认证，即便不符合上述数据出境的规定也可以进行个人数据的跨境传输。

最后，PDPA（TH）以实质性要求为兜底，如果数据控制者或数据处理者采取了适当的保护措施（包括按照PDPC要求采取的法律补救措施），能够确保数据主体权利，也可以进行个人数据跨境传输。

三、越南篇

（一）数据保护法律体系

2021年2月，越南发布了《个人数据保护法》草案（Personal Data Protection Decree，下称“PDPD草案”）并公开征求意见。2022年3月，越南政府通过了关于该草案的第27/NQCP号决议，表明该草案距离通过又推进了一步。

相较于个人数据保护，越南对网络安全的监管体系相对完善，主要法律规范包括：《网络信息安全法》（86/2015/QH13）、《网络安全法》（24/2018/QH14）、《关于管理、提供和使用互联网服务和在线信息法令》（72/2013/ND-CP）、《关于信息系统安全分类法令》（85 /2016/ND-CP）、《全国网络信息安全事件协调和响应办法》（20/2017/TT-BTTTT）、2022年《网络安全法若干条款的详细规定》（53/2022/ND-CP）以及《网络安全领域行政违法行为处罚法令》等文件。

为了加强数据管理，越南《网络安全法》中纳入了数据本地化储存条款，规定“在越南提供电信网络、互联网和网络增值服务的国内外企业，其收集、挖掘、分析和处理有关个人信息的数据、服务用户关系数据、服务用户生成的数据必须在政府规定的时间内储存在越南。本款规定的外国企业必须在越南设有分支机构或代表处。”

《网络安全法若干条款的详细规定》又对此规定进行了细化，特别强调了对于在越南开展特定行业的外国企业，必须将上述类型数据储存在本地，并在企业提供的服务被使用的情况下在越南设置分支机构或代表处。这些行业包括：电信服务；在网络空间存储和共享数据；为越南服务用户提供国内或国际域名；电子商务；在线支付；支付中介；通过网络空间传输连接服务；社交网络和社交媒体；网络视频游戏；以短信、语音通话、视频通话、电子邮件、在线聊天等形式在网络空间提供、管理或运营其他信息的服务。另外，本法规定的数据储存期限最低为24个月，用于调查和处理违反网络安全法的系统日志至少保存12个月。

（二）数据出境要求

根据PDPD草案的规定，数据处理者不得将个人数据传输到越南以外的国家或地区，除非同时满足下列条件：

（1）当数据主体同意传输时；

（2）原始数据存储在越南；

（3）有文件证明其所传输的国家、地区已颁布个人数据保护条例并达到或高于PDPD草案规定的水平；

（4）获得个人数据保护委员会的书面同意。

同时，PDPD草案又规定，在下列情况下，不符合本条第1款规定条件的个人数据也可以转移出越南领土：

（1）获得数据主体的同意；

（2）获得个人数据保护委员会的书面同意；

（3）数据处理者承诺保护个人数据；

（4）数据处理者承诺采取个人数据保护措施。

另外，向境外传输个人数据的数据处理者应建立一个系统，将数据传输历史记录保存3年，并且在传输前进行数据跨境传输登记。数据处理者需要向监管部门提交“个人数据跨境传输申请”以及“个人数据跨境传输影响评估报告”。如果涉及处理敏感个人数据的，还需要提供与“处理敏感个人数据申请”与“处理敏感个人数据影响评估报告”中提及内容相关的文件。个人数据保护委员会每年会定期评估个人数据处理者在越南境外的个人数据传输情况。

四、菲律宾篇

（一）数据保护法律体系

菲律宾的数据保护法律体系主要以2012年的《数据隐私法》（Data Privacy Act of 2012，下称“DPA”）以及2016年的《数据隐私法实施细则和条例》（Implementing Rules and Regulations of the Data Privacy Act of 2012，下称“IRR”）为主。国家隐私委员会（National Privacy Commission，下称“NPC”）是菲律宾主管个人数据保护的部门，其主要职责之一是解释DPA、IRR及其他数据隐私法的规定并发布与数据保护相关的法律指南。目前NPC发布了大量的通函、咨询、咨询意见及咨询采纳，并针对违法处理个人数据的行为做出了行政处罚。

（二）数据出境的要求

DPA及IRR规定了关于数据传输的责任原则。个⼈信息控制者应当对其控制或保管的个⼈信息负责，包括在跨境安排和合作下已外包或转移给个人信息处理者或第三方进行国内或国际处理的信息。(a) 个⼈信息控制者有责任遵守DPA、IRR以及NPC发布的其他要求，并在个人信息处理者或第三⽅处理信息时使用合同或其他合理手段提供相当⽔平的保护。(b) 个⼈信息控制者应指定一人或多⼈负责遵守本法，并应要求将这些负责人的身份告知数据主体。

五、新加坡篇

（一）数据保护法律体系

新加坡的数据保护法律体系以2012年的《个人数据保护法》（Personal Data Protection Act，下称“PDPA（SGP）”）为主，该法是一部规范个人数据处理行为的综合性立法，其中包含了对于数据跨境传输的基本要求。2020年11月2日，新加坡议会通过了《个人数据保护法（修正案）》，该修正案自2021年2月1日起分阶段生效。为了更好的执行PDPA（SGP），新加坡个人数据保护委员会陆续出台了一系列条例及指引，包括《2021个人数据保护条例》（Personal Data Protection Regulations 2021，下称“PDPR”）等文件。

（二）数据出境的要求

根据PDPA（SGP），任何机构不得将任何个人数据传输到新加坡以外的国家或地区，除非能够根据本法规定的要求，确保对传输的个人数据提供与本法相当的保护标准。PDPR此后对于该条款进行了进一步细化，规定机构只有在采取适当措施，确保数据接收方受法律强制义务的约束，以保证对传输的个人数据提供与PDPA（SGP）相当的保护标准时，才能将个人数据向第三国转移。其中，法律强制义务包括：法律、合同、具有约束力的公司规则以及其他具有法律约束力的文书。

同时，PDPR规定在下列情况下视为已满足第1款规定的数据跨境要求：（1）个人同意数据跨境传输；（2）个人被视为同意数据跨境传输；（3）跨境传输对于保护数据主体利益及国家利益是必要的，并且已经采取合理措施确保数据接收方不会基于其他目的使用或披露所传输的数据；（4）个人数据是传输中的数据；（5）个人数据是在新加坡已公开的数据。

除此之外，APEC CBPR体系也可以作为新加坡数据跨境的合规路径之一。亚太经济合作组织（Asia-Pacific Economic Cooperation，下称“APEC”）在成员经济体之间建立的跨境隐私规则（Cross-Border Privacy Rules，下称“CBPR”）体系，是对APEC隐私框架要求的进一步实施。CBPR体系建立了一套由政府背书的，自愿、可执行和基于责任制的隐私保护认证机制，获得CBPR认证的数据控制者可以向境外交易相对方证明自身的数据保护水平。CBPR体系的目标对象是数据控制者，并不适用于数据处理者。2015年，APEC在CBPR体系下，又建立了一套针对数据处理者的认证体系——数据处理者隐私识别（Privacy Recognition for Processors，下称“PRP”）体系，通过PRP认证的数据处理者可以证明自身的数据处理至少符合CBPR体系对数据控制者的要求。

APEC成员经济体中的私营组织获得上述认证的前提，是该经济体首先要加入CBPR体系。截止目前，APEC中共有9个经济体加入了CBPR体系，其中包括新加坡。PDPR也明确规定了符合CBPR认证和PRP认证可以作为提供了与PDPA（SGP）同等保护水平的特定证明。

六、小结

以上是东南亚部分国家的数据跨境传输要求。除此之外，企业还需要根据自身实际业务需求及数据传输路径，关注传输国之间是否存在双边或多边的国际条约规定了关于数据保护的内容，例如前文所述的APEC CBPR体系，东南亚国家联盟（Association of Southeast Asian Nations—ASEAN，下称“东盟”）和《区域全面经济伙伴关系协定》（Regional Comprehensive Economic Partnership，下称“RCEP”）等。

其中东盟2021年批准了《东盟数据管理框架》(ASEAN Data Management Framework，下称“DMF”) 和《东盟跨境数据流动标准合同条款》(ASEAN Model Contractual Clauses for Cross Border Data Flows，下称“MCCs”)，旨在促进数据相关的业务运营，减少谈判和合规成本，在数字生态系统中增进东盟成员国之间的信任。遵守MCCs及其项下的基本义务可以使数据主体及其数据受到2016年《东盟个人数据保护框架》（ASEAN Framework on Personal Data Protection）的充分保护。

MCCs是自愿条款，旨在为数据传输各方提供参考，在不与MCCs冲突的前提下，合同各方可以根据各成员国国内法对其进行调整，包括根据商业安排和交易需要增加条款等。而RCEP主要是在电子商务的框架下规定了数据跨境流动的内容，主要要求各成员方不能将设施本地化作为在其领土内开展业务的条件，也不能阻止为业务需要而进行的数据跨境流动活动。

综上，由于不同国家所构建的数据保护法律体系各有不同，且存在较大差异。因此，我们建议，中国企业在业务出海之前，应当针对拟出海地区的相关数据合规法律要求，进行事先的调查与研判，确保对当地法律法规理解的正确性。另外，如何将法律调研结果准确的落实到实际操作层面，也需向当地相应的业务主管部门进行详尽的咨询。

01东数西算系列

02数据合规系列

03互联网版权系列