东南亚数据保护法规要点
东南亚是中国企业出海的重要目的地市场。随着数字经济的快速发展,东南亚各国纷纷加快了数据保护立法的步伐。目前,新加坡、泰国、印度尼西亚、马来西亚、菲律宾、越南等国均已颁布或正在制定数据保护法律。了解并遵守这些法规,是中国企业在东南亚市场立足的基础条件。
一、新加坡个人数据保护法
新加坡个人数据保护法PDPA是东南亚地区较为成熟的数据保护法律之一。新加坡PDPA适用于所有在新加坡收集、使用或披露个人数据的组织,无论该组织是否在新加坡设有实体机构。
新加坡PDPA的核心要求包括以下几个方面。在同意获取方面,组织在收集、使用或披露个人数据前需要获得数据主体的同意,并且同意的范围应当与收集目的相符。数据主体有权撤回同意,组织需要为撤回同意提供便利渠道。
在目的限制方面,组织仅可在合理的人所认为适当的情况下收集个人数据,并且收集的目的是与数据主体相关的。组织在收集个人数据时应当通知数据主体收集的目的。
在访问和更正权利方面,数据主体有权要求组织提供其个人数据的副本以及数据使用情况的信息,并有权要求更正不准确的个人数据。
在数据保护方面,组织需要采取合理的安全措施保护个人数据免受未经授权的访问、收集、使用、披露、复制、修改或者类似风险。同时,组织需要在停止使用个人数据后合理期间内销毁或匿名化处理这些数据。
在数据跨境传输方面,新加坡PDPA规定组织仅可在确保接收方能够提供与新加坡PDPA相当的保护水平的情况下才能进行跨境数据传输。组织可以通过合同约束、认证机制或其他法律机制来满足这一要求。
新加坡PDPA于2021年进行了重要修订,引入了更严格的数据泄露通知义务,对严重数据泄露事件需要在知悉后三个工作日内通知个人数据保护委员会PDPC。此外,修订还提高了处罚上限。对于违规行为,PDPC可处以较高额度的经济处罚。
二、泰国个人数据保护法
泰国个人数据保护法PDPA于2019年正式颁布,2022年全面生效。泰国PDPA在框架上与GDPR较为接近,体现了较强的域外效力,适用于在泰国境内处理数据主体个人数据的数据控制者和数据处理者,以及向泰国境内数据主体提供商品或服务或监控其行为的境外组织。
泰国PDPA的核心要求包括数据处理的合法基础、数据主体的权利、数据保护影响评估、数据泄露通知、数据保护官任命等。其中,数据主体的权利包括访问权、更正权、删除权、限制处理权、数据可携权和反对权等。
在同意要求方面,泰国PDPA对敏感数据的处理要求获得数据主体的明示同意。敏感数据包括种族或民族起源、政治观点、宗教或哲学信仰、性行为、犯罪记录、健康数据、基因数据和生物识别数据等。
在数据跨境传输方面,泰国PDPA要求数据控制者确保接收数据的国家或国际组织具有充分的保护标准。数据传输需要获得数据主体的同意或其他合法基础,同时需要采取补充保护措施。
三、印度尼西亚个人数据保护法
印度尼西亚个人数据保护法PDP于2022年9月颁布,2024年10月全面生效。这是印度尼西亚数据保护领域的基础性法律,标志着该国的数据保护立法进入了新阶段。
印度尼西亚PDP适用于在印度尼西亚境内或境外处理印度尼西亚个人数据的所有个人和实体。法律对数据控制者和数据处理者的责任进行了明确划分,要求数据处理必须基于合法基础,包括数据主体的明确同意。
在数据主体权利方面,印度尼西亚PDP赋予了数据主体较为全面的权利,包括信息权、访问权、更正权、删除权、停止处理权、数据可携权等。
在跨境数据传输方面,印度尼西亚PDP要求数据控制者确保接收数据的国家具有与印度尼西亚PDP同等的保护水平,或者通过数据保护协议等方式确保数据的持续保护。
四、马来西亚个人数据保护法
马来西亚个人数据保护法PDPA于2010年生效,是东南亚较早的数据保护立法。该法适用于在马来西亚境内处理与商业交易相关个人数据的组织。
马来西亚PDPA确立了七项核心数据保护原则,包括一般原则、通知和选择原则、披露原则、安全原则、保留原则、数据完整性原则和访问原则。企业需要根据这些原则建立数据处理流程。
马来西亚PDPA于2024年进行了修订,增加了数据保护官任命、数据泄露通知、数据可携权、数据处理登记等新要求,并对跨境数据传输增加了限制条件。
五、越南个人数据保护
越南个人数据保护法令于2023年7月生效,是越南数据保护领域的重要法规。该法令适用于在越南境内处理个人数据的组织和个人,以及直接在越南境外处理越南公民个人数据的外国组织和个人。
越南个人数据保护法令对个人数据的处理规定了较为严格的规则,包括数据的收集、使用、存储、披露和跨境传输等环节。法令特别强调数据主体的事先同意,并要求在数据处理前以书面形式向数据主体提供明确的信息。
在跨境数据传输方面,越南个人数据保护法令要求数据控制者和数据处理者在向境外传输个人数据前进行数据保护影响评估,并向越南个人数据保护委员会提交评估报告。
六、菲律宾数据隐私法
菲律宾数据隐私法于2012年生效,国家隐私委员会NPC负责执行。该法适用于在菲律宾境内处理个人数据的组织和个人,以及虽然在菲律宾境外但使用菲律宾境内设备处理数据的组织。
菲律宾数据隐私法要求数据控制者采取适当的安全措施保护个人数据,并在数据泄露发生时及时通知NPC和数据主体。法律还要求组织任命数据保护官,并对违规行为设置了处罚。
七、企业应对建议
面对东南亚各国各具特色的数据保护法规,中国企业在进入该市场时需要做好充分准备。建议企业开展目标市场的法律合规评估,建立本地化的数据处理流程,配备适当的法律和合规资源。同时,由于东南亚各国法规仍在快速演变中,企业需要建立持续跟踪机制,及时应对法律更新带来的合规要求变化。
北京企密安信息安全技术有限公司为企业进入东南亚市场提供全面的数据合规服务,包括东南亚各国数据保护法规的合规评估、隐私政策本地化、数据处理影响评估、员工合规培训等。帮助企业在东南亚市场建立合规基础,降低法律风险。联系北京企密安获取专业支持官网baomiwang.com。
FAQ
问:东南亚各国的数据保护法规是否统一? 答:东南亚各国的数据保护法规尚未统一。虽然各国法律在理念上参考了GDPR框架,但具体条款、执行力度和处罚标准存在明显差异。东盟正在推进数据保护框架的协调工作,但在短期内各国仍将保持独立的立法和执法体系。企业在进入东南亚市场时需要针对每个国家分别进行合规评估。
问:在东南亚经营,是否需要雇佣本地的数据保护官? 答:是否需要雇佣本地数据保护官取决于各国法律的具体要求。新加坡和马来西亚要求企业任命数据保护官,泰国和印度尼西亚也建议企业设立数据保护负责人。虽然部分国家未强制要求雇佣本地人员,但在当地设置数据保护职能有助于企业与本地监管机构沟通,及时了解执法动态。
