#跨境数据传输#
数据合规是中国企业出海东南亚地区的热点实务问题。遵守数据跨境流动的相关监管规则是中国企业面临的重要挑战。本文通过上下两篇解读了东南亚地区九个国家的数据保护法律体系和特点,并为中国投资者提供了数据合规路径参考,此为下篇。
上篇回顾
《东南亚国家数据保护法律解读(上)》介绍了马来西亚、印度尼西亚、泰国、菲律宾和新加坡的数据保护法律体系以及主要法律法规的特点。本篇将继续解读越南、老挝、缅甸和柬埔寨的数据保护法律概况,并为中国投资者赴东南亚投资提出跨境数据合规建议。
一、东南亚国家数据保护法律法规体系和特点解读
(六)越南
1、数据保护法律法规体系
越南《个人数据保护法》(Decree on Protection of Personal Data, “PDPD”)于2023年7月1日正式生效,是越南个人数据保护的核心立法。越南个人数据保护法律法规体系如下表所示。
2、2023年《个人数据保护法》的主要特点
(1)监管对象
与其他数据保护法相比,PDPD对参与数据处理的行为主体的角色划分略显不同,但总体上并未脱离GDPR设定的概念和结构。该法令涵盖四类数据处理的行为主体。“个人数据控制者”(PDCs)是决定个人数据处理目的和方式的组织或个人,需承担最多的义务。“个人数据处理者”(PDPs)是根据与个人数据控制者签订的合同,代表个人数据控制者处理数据的组织或个人。“个人数据控制者和处理者”(PDCPs) 是同时作为个人数据控制者和个人数据处理者的组织或个人。“第三方”(TPs) 是指除数据主体、个人数据控制者、个人数据处理者或个人数据控制者和处理者之外的任何被授权处理个人数据的组织或个人。该法令引入了“个人数据控制者和处理者”的概念。这一概念为该法令独有,有别于世界上仅承认“个人数据控制者”和“个人数据处理者”这两种独立类别的数据保护法。虽然纳入“个人数据控制者和处理者”的概念是为了更清晰准确地界定参与个人数据处理的不同行为者的角色和责任,但事实上可能加剧隐私法适用的复杂性。
(2)数据处理原则
PDPD规定了数据处理活动的八项原则,与GDPR设定的原则类似。但在出售或购买个人数据方面,该法令较GDPR采取了更严格的立场。PDPD规定除法律另有规定外,禁止以任何形式出售和购买个人数据。然而该法令第22条同时规定,“未经数据主体同意而安装软件系统、实施技术措施或组织收集、转让、购买或出售个人的行为均属于违法行为”。综合来看,这条规定似乎暗示,在征得数据主体同意的情况下购买或出售数据是被允许的。由于规定存在模糊性,需要对其进行进一步澄清。然而,尽管存在这项禁止规定,该法令第14条规定私营数据中心和私营数据收集平台仍可在获得数据当事人同意的情况下与他人共享个人数据,除非这种共享可能损害国防、国家安全或公共秩序,或可能影响他人的安全和身心健康。
(3)目的限制
与GDPR相比,该法令规定了更严格的目的限制,允许在符合原始目的的情况下进行数据处理活动。根据该法令,个人数据只能用于PDC、PDP、PDCP 或TP 已“登记”或“声明”的特定目的。这就要求这些实体确保其数据处理活动不偏离或扩大已登记和声明的目的。然而,该法令并未就如何“登记”处理目的作出明确规定。
(七)老挝
1、数据保护法律法规体系
近年来,老挝的信息和通信技术产业发展较快。在进行数字化转型的过程中,老挝政府也愈发重视数据保护问题。继2012年《电子交易法》后,老挝政府于2015年和2017年制定了一系列数据保护的法律法规。
2、数据保护法律法规概况
(1)数据处理合法性基础
根据老挝法律的规定,数据主体同意是唯一的数据处理合法性基础。与大多数国家相比,老挝法律对数据处理合法性基础的设定较为单一。
(2)法律责任
数据控制者违法处理个人数据需要承担的法律责任主要分为三类:民事责任、行政责任和刑事责任。其中,对于非法访问计算机系统、非法截取计算机数据以及干扰计算机系统的行为,老挝有关法律对行为人应当承担的责任进行了细化规定。
(八)缅甸
1、数据保护法律法规体系
目前,缅甸并无关于数据保护的专门立法,关于个人信息保护的规定可见于其他法律之中。
2、数据保护法律法规概况
(1)数据处理的合法性基础
与老挝相似,缅甸法律也将数据主体的同意设定为数据处理的唯一合法性基础。与大多数国家相比,缅甸法律对于数据处理合法性基础的设置也较为单一。
(2)数据主体的权利与权利保护
缅甸暂未出台数据保护的单独立法。与其他具有系统的个人信息保护法律的国家或地区相比,缅甸有关法律并未详细规定数据主体的知情权、查阅权等权利,但缅甸《宪法》第八章《公民的基本权利与义务》部分规定了公民享有通信安全的基本权利。《宪法》保障公民作为数据主体的基本权利,但在国内政治形势发生变化时,公民的某些数据权利可能受到一定限制。
(九)柬埔寨
1、数据保护法律法规体系
目前,柬埔寨并无关于数据保护的专门立法,关于个人数据保护的内容可见于其他法律规定及草案之中。
2、数据保护法律法规概况
(1)跨境数据流动
(2)数据处理的合法性基础
根据柬埔寨有关法律的规定,数据主体的同意和数据主体之间的合同是数据处理的合法性基础。
二、中国投资者赴东南亚投资的数据合规建议
(一)关注输入地和输出地国家的数据跨境规则
数据跨境对传统国家主权以及管辖权的概念提出了挑战。为了减少数据跨境流动给国家安全和公共利益带来的风险,许多国家和地区采取了数据本地化的策略。数据本地化制度叠加数据出口管制、长臂管辖、不同法域规则冲突等因素使出海企业往往面临“双向合规”的困难。
在跨境投资的境外合规方面,中国投资者应当持续关注出海目标国家的立法动态及监管趋势。目前,对于跨境数据传输活动的治理规则尚未形成统一的国际标准。尽管东南亚各国关于跨境数据流动的立法基本遵循相似的规则,但在实施细则方面仍存在一定差异。部分国家通过专门立法的方式,制定了规范数据跨境传输活动的具体法律规定,而部分国家的相关规定则散见于其他法律法规之中。出海企业可以通过组建研究团队、成立专门研究机构等方式及时评估和研判对自身投资活动的影响,并相应调整企业合规框架,从而减少因未建立事前合规机制而引发的经营损失。在跨境投资的境内合规方面,我国出海企业应当严格遵守我国法律对于数据出境的合规要求,依据《数据安全法》《数据出境安全评估办法》《信息安全技术-个人信息安全影响评估指南》(GB/T39335-2020)等文件的规定,对数据出境进行全链路管理。在数据出境前,应当根据出境数据的类型和数量等因素进行数据出境风险自评估或安全评估。有效识别和保护核心数据和重要数据,并对于上下游重点行业企业的数据进行特殊保护。在数据跨境过程中,应当管控传输数据的访问权限并如实记录数据跨境传输的全过程,同时也应当防范数据泄漏风险并制定应急处理预案。在数据出境目的完成后,要及时删除或销毁数据并开展数据跨境合规审计。如果数据跨境活动超出了最初的目的,应当重新评估。此外,在处理不同法域数据规则冲突问题时,应当以遵守我国法律为前提。
(二)完善企业数据分类与分级管理
(三)细化数据跨境传输标准合同
根据国家网信部门制定的标准合同与境外接收方签订合同并约定双方的权利义务是我国《个人数据保护法》第三十八条规定的个人信息跨境传输的三种合规路径之一,也是相对高效和便捷的一种途径。《数据出境安全评估办法》第九条规定,数据处理者应当在与境外接收方订立的法律文件中明确约定数据安全保护义务,并列举了合同当事人应当约定的具体事项。在遵守上述规定的基础上,投资者可以根据市场机制和数据跨境活动的类型等要素有针对性地拟定合同条款。第一,在重要数据的保护方面,保障数据安全的关键在于明确各个数据处理业务环节的责任主体。数据跨境合同的内容应当涵盖从数据开始出境到数据出境完成的整个过程的传输路径、接收方、存储地点、存储期限、数据访问和复制记录等。第二,在个人信息保护方面,数据跨境合同可以采取一般个人信息、敏感个人信息和匿名化个人信息的分类方式,并详细设置相应的义务履行标准。由于金融、医疗、教育等行业的一般个人信息面临的安全风险趋于同质化,因此无需根据行业属性作出特别约定。第三,其他数据的保护。此类数据不涉及个人信息权利以及国家安全,因此预防由数据积聚引发的性质变化,即通过信息技术从本不属于个人信息或重要数据的集合中获取有关特定自然人和国家安全的相关信息内容,是实现跨境数据传输合规的关键。在这种情况下,合同条款中应当区分数据传输业务的规模,并在大规模数据传输业务中约定更为严格的数据安全保障义务。
(四)强化数据合规尽职调查
经过数据合规尽调,目标公司可能会暴露出某些数据合规问题。交易双方可针对具体情况采取调整交易价格、要求目标公司作出陈述与保证、将部分合规整改事项作为交割先决条件或交割后义务、设置赔偿条款等方式,尽量减小数据合规问题带来的风险,促进交易的顺利完成。投资并购交易完成后,买方应当继续采取整改措施,通过调查和评估(PIA)进一步发现目标公司内部数据合规问题并及时补救。同时,也应当适时整合目标公司相关数据系统和平台,注重从目标公司到并购后主体的数据迁移的高效性和合规性,尽快实现目标公司与买方公司管理的一体化。此外,应当建立和完善企业内部运营与发展的数据合规管理制度,强化全生命周期的数据安全防护。
三、结语
我国企业在东南亚地区开展投资活动时应当同时关注跨境投资的境内合规以及跨境投资的海外合规问题。在数据合规方面,应当重点关注东南亚各国的数字经济发展水平和营商环境,尤其是各国数据保护法律体系的现状和监管动态。在东南亚地区开展业务之前,应当强化对拟出海国家和地区数据保护法律的认识和理解,进行充分调查和事先研判,关注行业实践和立法、执法动态,不断提升企业的数据合规水平,以推动业务的顺利开展。
特别声明
热门跟贴