本系列文章聚焦于2024年度中国企业出海的主要目的地:欧美、中东及东盟地区,着力梳理其在立法、监管及执法层面的动态,探讨展业地数据合规监管要求以及数据跨境传输的合规要点,总结中国企业在出海过程中的数据合规重点、难点和最新动态,以供参考。
一、总体概览
东盟成员国是指包含缅甸、泰国、柬埔寨、老挝、越南、菲律宾、马来西亚、新加坡、文莱、印度尼西亚在内的10个东南亚国家,目前,多数国家已建立该国的个人数据保护立法。其中,新加坡、马拉西亚、菲律宾率先进行立法,泰国、印尼等国家在其后立法,缅甸则是唯一尚无具体数据保护立法的国家。
(一)中国企业出海需遵循的当地数据合规要求
从目前东盟国家已有的个人数据保护立法而言,基本都参考了欧盟的《通用数据保护条例》(General Data Protection Regulation,“GDPR”),因此在原则性要求方面具有一定共性,例如:收集和处理个人数据应遵循最小必要原则,并在此之前获得数据主体的明确同意;区分数据控制者和数据处理者[1];强调数据主体权利的保障;要求企业层面采取安全保护措施,并任命数据保护官(Data protection officer,“DPO”)或同等人员的要求;要求政府层面设置相应监管机构;等等。
但东盟国家已有的个人数据保护立法并不统一。在上文所述共性原则的具体细节方面,各国立法均存在差异,例如:同意的具体要求、数据主体的具体权利、敏感数据的定义和范围、未成年人的年龄门槛、数据泄漏的通知要求等等。总体而言,泰国、马来西亚、印尼的立法相对宽松,而新加坡的立法模式相对更接近于GDPR,越南的立法则相对特殊且严格。
(二)东盟国家数据回传合规要求
在数据本地化及数据出境问题上,东盟各国限制的严格程度也有所不同。例如,越南《网络安全法》(Law on Cybersecurity)及第53号法令(Decree No. 53/2022/ND-CP)对开展某些特定业务的越南注册实体和外国企业作出数据本地化的强制要求,这一点更类似我国《个人信息保护法》的严格要求,而其他一些国家则未作出境内存储的强制要求,允许在符合特定要求(例如:充分性认定,即“白名单”[2])或采取充分保障措施(例如:标准合同条款、具有约束力的公司规则)的前提下进行数据出境,但各国在数据出境的限制程度上也有所不同。
目前,中国企业在东盟各国的数据均无法通过“充分性认定”直接传输至中国境内——除马来西亚此前公布的“白名单”包含中国外,其他国家公布的“白名单”均未包括中国或至今未公布“白名单”。然而马来西亚的“白名单”至今并未生效,且根据该国2024年7月通过的《个人数据保护(修订)法案》(Personal Data Protection (Amendment) Bill),该国拟取消数据跨境传输白名单机制。
此外,东盟国家在数据保护方面还展开了系列合作,成果包括:《个人数据保护框架》(ASEAN Framework on Personal Data Protection)(2016年)、《东盟数字数据治理框架》(ASEAN Framework on Digital Data Governance)(2018年)、《东盟数据管理框架》(ASEAN Data Management Framework)(2021年)、《示范合同条款》(ASEAN Model Contractual Clauses,“MCCs”)。上述文件均强调了数据保护的共通性原则,同时力求促进东盟内国家的数据跨境流动,虽无法律约束力,但对于企业依旧具有实践参考意义,尤其是企业可以参照《示范合同条款》签署相应数据传输协议。目前,多国数据保护监管机构,如新加坡个人数据保护委员会(Personal Data Protection Commission,“PDPC”)、菲律宾国家隐私委员会(National Privacy Commission,“NPC”)和印度尼西亚国家通信和信息部(Kementerian Komunikasi dan Informatika,“KOMINFO”)在其指导材料或公开声明中均承认了MCCs。
综上,中国企业在出海东南亚的进程中,应当遵循当地国数据隐私立法的要求,同时,如涉及海外数据回传,还应持续关注当地数据出境规定的新动向。
二、重点国家数据跨境流动立法及监管
近年新加坡成为新的投资热门地,也是中国企业出海的重要选择地,且由于新加坡具备相对完善规范的网络安全与隐私保护立法、政府监管和基础设施,许多企业也选择在新加坡设立数据中心。而越南则由于其特殊国情,在数据合规机制上体现出其与其他东盟国家的明显区分。因此,本文将选取新加坡、越南作为重点关注国家,对其数据跨境流动相关规定及该国执法展开具体介绍。
(一)新加坡
1、立法情况
从立法而言,目前新加坡的主要数据立法是《个人数据保护法》(Personal Data Protection Act 2012,“PDPA”)和《2021年个人数据保护条例》(Personal Data Protection Regulations 2021,“PDPR”)。
根据PDPA和PDPR的要求,除非符合特定要求,否则不得将个人数据传输到新加坡以外的国家或地区。上述要求主要包括:(1)接收方所在国家能提供与PDPA水平相当的数据保护;(2)与接收方签署数据处理协议,该数据处理协议应约定接收方履行与PDPA同等的保护义务;(3)提供方与接收方处于同一集团内,可签署约束性公司规则(“BCRs”),要求集团内数据接收方提供不低于PDPA水平的数据保护;(4)取得个人关于数据跨境的同意或视为同意。[3]
在实践中,中国企业通常优先选择第(2)种方式。因为,对于方式(1),PDPC尚未发布“白名单”,列出其认为能与PDPA提供同等保护水平的国家;对于方式(3),虽然适合同属一个集团的公司或具有关联、隶属关系的公司之间进行传输,但由于目前PDPC尚未发布通过BCRs进行数据跨境传输的实施细则,因此该方式仍具有一定不确定性;而对于方式(4),则更适用于少量个人数据出境,可以作为未能与接收方签订数据处理协议或BCRs下的补充方式。
此外,若个人数据仅在新加坡过境(即通过新加坡再继续向新加坡以外的国家或地区传输),而未在新加坡时被任何组织(除传输方或传输方雇员受雇行为外)访问或使用或向任何其他组织披露,则无需履行PDPA下数据出境的合规要求。该项豁免适用于仅在新加坡部署数据节点但未实际处理数据的企业。
2、执法情况
从执法而言,新加坡个人数据保护委员会(Personal Data Protection Commission,“PDPC”)是新加坡主要数据执法监管机构,被赋予了强有力的调查和执法权。PDPC有权要求组织提供相关文件或信息,并可进入相关场所进行搜查。如经调查认为某组织存在违反PDPA行为的,其可发出指令要求该组织纠正违规行为,并接受该组织提交的自愿实施其补救计划的承诺。在罚款额度上,此前为固定100万新元,在2022年新修订PDPA后,PDPC可选择对在新加坡年营业额超过1,000万新元的违规组织处以其在新加坡年营业额10%或100万新元的罚款(以较高者为准)。不遵守PDPA的某些行为还可能构成个人的刑事犯罪,从而面临最高三年的监禁。[4]
截至2025年1月16日,PDPC在其官网发布了258份决定,其中,所涉处罚数额最大(超过10万美元)的案例有3起,分别为:Keppel电信运输公司因未对其掌握或控制的员工、前员工、董事和股东的个人数据采取合理的安全措施,被处以12万美元罚款;Secur Solutions集团因未采取合理的安全措施以保护包含献血者个人数据的数据库不被公开在线访问,被处以12万美元罚款;SingHealth和IHiS因未采取合理的安全措施以保护个人数据,分别被处以25万美元和75万美元罚款。另外,尤其需要注意的是,新加坡对任命DPO的相关要求甚至比GDPR更为严格,多家公司因违反该类要求受到处罚。
(二)越南
1、立法情况
从立法而言,目前越南已生效的主要数据立法是《个人数据保护法令》(Decree on Personal Data Protection,“PDPD”),此外,还有部分数据保护要求散见于其他法律中,如,《网络信息安全法》(Law on Cyber Information Security,“LCIS”)、《消费者权益保护法》(Law on Protection of Consumer Rights)、《电子交易法》(Law on Electronic Transactions)、《电信法》(Law on Telecommunications)等。
与此同时,需要额外关注的是越南即将生效的法律:其一为《2024年数据法》(Law on Data 2024)[5],该法于2024年11月30日被批准通过并将自2025年7月1日起生效;其二为2024年9月发布的《个人数据保护法》(草案)(Personal Data Protection Law,“PDPL”)[6],该草案目前尚未出台正式生效版。
根据现行法律,即PDPD的规定,越南针对个人数据跨境传输的合规要求和合规机制具有一定独特性,其要求企业在向境外传输越南公民的个人数据之前,应当开展个人数据跨境传输影响评估,并在处理个人数据之日起60日内将个人数据跨境传输影响评估报告报送公安部网络安全和预防高科技犯罪司(Department of Cybersecurity and Hi-tech Crime Prevention,“A05”),同时,在成功传输个人数据后,企业应以书面形式将有关数据传输的信息以及负责组织或个人的联系信息报送公安部,以接受越南公安部的事后监管。相较于我国《个人信息保护法》,越南PDPD的事后监管要求与我国通过数据出境安全评估、个人信息保护认证或个人信息出境标准合同备案的事前审批合规机制有所不同。因此,中国企业如需在越南开展数据回传,应额外注意其特殊要求。
此外,最新发布的《数据法》在跨境传输问题上进一步强调了“核心数据”和“重要数据”的监管,而根据尚处于草案阶段的PDPL。亦可见越南政府对数据合规问题愈加严格的监管态度[7]。鉴于目前《数据法》尚未正式生效且PDPL正式版尚未发布,建议中国企业持续关注后续立法状况,可能会影响中国企业在当地的合规措施及数据跨境传输的要求。
2、执法情况
从执法而言,越南公安部(Ministry of Public Security,“MPS”)是越南主要数据执法监管机构。此前,PDPD因未具体规定违法行为的处罚措施而未得到有效执行。但根据越南最新出台的《网络安全行政处罚法令》(草案)(Draft Decree on Cybersecurity Administrative Sanctions,“DCAS草案”),对于组织的每项违规行为,违规组织可能会受到警告或自7,000万越南盾(约2,700美元)至10亿越南盾(约38,460美元)的行政罚款,而对于某些特殊违法行为(如泄露或丢失个人数据、跨境转移500万越南公民的数据、多次非法数据交易),最高罚款可达违规组织上一财年在越南市场营业额的5%。此外,该法令还规定了额外制裁措施(如在特定时间内撤销营业执照、暂停个人数据处理或暂停运营)以及相应的补救措施(如强制销毁或不可恢复地删除个人数据、强制返还非法利润、公开道歉)。
鉴于越南PDPD较新且DCAS草案尚未正式生效,建议中国出海企持续关注后续执法情况。
注释:
[1]尽管有上述区分,但各国可能采用了不同的称呼。
[2]即认为数据接收方所在国家或地区的法律提供了与数据传输方所在国同等的保护水平。
[3]此外,还有(5)基于个人合法利益(为个人生命健康所必需)或国家利益所需,且传输方已采取合理措施避免该等个人数据被接收方用于其他目的;及(6)接收方取得特定的数据保护认证。但因并非常用方式,故不在此赘述。
[4]关于执法的具体规定,主要可参见以下两份文件,Guide on Active Enforcement (including Revisions to Guide (updated on 1 October 2022)), and Advisory Guidelines on Enforcement of Data Protection Provisions(Issued 21 April 2016, Revised 1 February 2021, Revised 1 October 2022) 。
[5]Law on Data 2024, 法规原文:https://lawnet.vn/vb/Luat-Du-lieu-2024-so-60-2024-QH15-97B1F.html。
[6]Personal Data Protection Law,法规原文:https://chinhphu.vn/du-thao-vbqppl/du-thao-luat-bao-ve-du-lieu-ca-nhan-6957。
[7]Vietnam Law on Personal Data Protection: Latest Developments and Insights,https://www.vietnam-briefing.com/news/vietnam-law-on-personal-data-protection-latest-developments-and-insights.html/,访问日期:2024年12月23日。
来源:天元律师
作者:
- 曾雯雯,天元律师事务所合伙人;联系方式:zengwenwen@tylaw.com.cn
- 韩若水,天元律师事务所;联系方式:hanruoshui@tylaw.com.cn
特别声明:本文仅为交流目的,不代表天元律师事务所的法律意见或对法律的解读,如您需要具体的法律意见,请向相关专业人士寻求法律帮助。