跨境數據合規｜出海“新馬泰”企業的個人數據迴流合規機制【走出去智庫】_風聞

走出去智庫觀察

隨着東南亞地區數字經濟的高速增長，正成為中國互聯網企業出海的重要市場。但東南亞各國數字經濟發展亦面臨加強監管的問題，將給中企的跨境數據業務帶來較大合規風險。

走出去智庫（CGGT）特約法律專家、中倫律師事務所合夥人李瑞指出，當前東南亞地區被投實體如何能合法合規地將當地收集和產生的個人數據傳輸回中國，是這些出海企業經常關注的熱點問題。在全球各法域日漸重視數據保護的背景下，中國的出海企業應當更加重視海外數據合規風險，密切關注出海地區的立法、執法動態及行業實踐，有針對性地採取措施，不斷提升企業的數據合規水平。

中企如何做好東南亞市場的跨境數據合規管理？今天，走出去智庫(CGGT)刊發中倫律師事務所李瑞、賈申、李夢涵的文章，供關注東南亞跨境數據合規的讀者參閲。

要 點

CGGT，CHINA GOING GLOBAL THINKTANK

**1、**企業從馬來西亞將個人數據直接傳輸至“白名單”國家，而無需依賴其他合規機制，但目前該等“白名單”機制尚未正式生效，且可能在馬來西亞《2010年個人數據保護法》後續修正案中由“黑名單”機制替代。

2、根據新加坡《2012年個人數據保護法》和相關法律，企業應當確保境外接收方能夠為出境的個人數據提供至少與新加坡PDPA保護相當的保護標準。

3、根據泰國《個人數據保護法案》，如企業將個人數據傳輸至境外，應確保接收方所在的國家/國際組織具有足夠的數據保護水平，並按照泰國個人數據保護委員會（PDPC）頒佈的標準或規定進行傳輸。

正 文

CGGT，CHINA GOING GLOBAL THINKTANK

文/李瑞、賈申、李夢涵

中倫律師事務所

在全球數字化經濟蓬勃發展的趨勢下，個人數據跨境流動的監管與規制已然成為世界各個國家和地區的數據合規立法和執法重點。對於有出海需求的中國企業而言，不僅要關注國內對於個人數據跨境流動的合規要求，也要關注個人數據迴流時涉及的他國法域的數據跨境合規要求。

近年來，我們在業務中處理了多個海外國家和地區數據迴流中國所涉及到的個人數據跨境合規實務問題。其中，東南亞地區被投實體如何能合法合規地將當地收集和產生的個人數據傳輸回中國，是這些出海企業經常關注的熱點問題。本文將着重介紹馬來西亞、新加坡和泰國這三個熱門出海目的地（即俗稱的“新馬泰”）的當地個人數據出境合規要求，以期為相關企業提供實務上的建議。

一、馬來西亞

馬來西亞在個人數據保護方面最主要的立法是《2010年個人數據保護法》（Personal Data Protection Act 2010, 以下簡稱“馬來西亞PDPA”）。馬來西亞PDPA聚焦於商業交易中個人數據處理活動和安全保護的相關要求，於2010年6月10日正式發佈，2013年11月15日正式生效。馬來西亞PDPA適用於設立在馬來西亞的機構或在馬來西亞處理個人數據的機構，但不適用於政府機關或在馬來西亞境外處理的個人數據。

為配合促進馬來西亞PDPA的執行，馬來西亞進一步出台了一系列附屬立法，亦於2013年11月15日起實施，其中包括《個人數據保護條例2013》（Personal Data Protection Regulations 2013）等。

監管機關層面，馬來西亞設立了個人數據保護部（The Department of Personal Data Protection）和個人數據保護委員會（Personal Data Protection Commission）作為監管機關和執法機關，其在職責範圍內發佈數據保護法規、標準和相關文件。

根據馬來西亞PDPA和相關法律，馬來西亞已建立了針對個人數據的出境合規體系：

1. “白名單”機制：企業從馬來西亞將個人數據直接傳輸至“白名單”國家[1]，而無需依賴其他合規機制，但目前該等“白名單”機制尚未正式生效，且可能在馬來西亞PDPA後續修正案中由“黑名單”機制替代。[2]

2. 在白名單機制生效前，企業從馬來西亞向境外傳輸個人數據，應當滿足以下條件之一：

(1) 數據主體已同意該等數據傳輸；

(2) 數據傳輸對於履行馬來西亞企業與數據主體之間的合同是必要的；

(3) 數據傳輸對於馬來西亞企業與第三方之間簽訂或履行合同是必要的，且該與第三方的合同是應數據主體的要求而簽訂的，符合其利益；

(4) 為了法律訴訟或維護合法權利而進行數據傳輸；

(5) 馬來西亞企業有合理理由認為，數據傳輸是為了避免或減輕對數據主體的不利情形，但無法以書面形式獲得該數據主體的同意，且在可行的情況下數據主體會給予同意；

(6) 馬來西亞企業能夠確保該等個人數據不會以任何違背馬來西亞PDPA的方式被處理；

(7) 數據傳輸是為了保護數據主體的切身利益而必要的；

(8) 數據傳輸符合公共利益。

根據目前的馬來西亞“白名單”版本，中國屬於“白名單”國家之一。但是，在白名單機制正式生效前，我們建議企業在實務中採取適當措施防範個人數據迴流時可能存在的合規風險。在上述各項措施中，比較可行、也較為常用的是第（1）種措施，即在個人數據跨境傳輸前通過隱私聲明等形式獲得數據主體的同意，並留存書面記錄。

二、新加坡

新加坡目前在個人數據保護方面的立法主要包括《2012年個人數據保護法》（Personal Data Protection Act 2012，下稱“新加坡PDPA”）《2020年個人數據保護（修訂）條例草案》[Personal Data Protection (Amendment) Bill (Bill No.37/2020)]《2021年個人數據保護條例》（Personal Data Protection Regulations 2021，以下簡稱“PDPR”）。新加坡PDPA適用於個人、公司、協會或團體等的數據處理活動，但以個人或家庭身份行事的公共機構和個人除外。

監管機關層面，新加坡中央政府的下設機構個人數據保護委員會（Personal Data Protection Commission）為數據保護的主要監管機構。

根據新加坡PDPA和相關法律，企業應當確保境外接收方能夠為出境的個人數據提供至少與新加坡PDPA保護相當的保護標準。具體的要求為滿足下述條件之一：

1. 企業與數據接收方簽訂符合以下條件的合同：

(1) 要求數據接收方為傳輸的個人數據提供至少與新加坡PDPA相當的保護標準；

(2) 明確合同項下個人信息傳輸的目的地國家或地區；

2. 確保數據接收方受到符合條件的有約束力的公司規則（Binding Corporate Rules，下稱“公司規則”）的約束：

(1) 公司規則要求數據接收方為傳輸的個人數據提供至少與新加坡PDPA保護相當的保護標準；

(2) 公司規則明確其適用的接收方、個人數據可被傳輸的國家/地區以及其項下的權利義務；

(3) 公司規則僅適用於與數據傳輸方在同一組織內部的關聯接收方。

3. 數據接收方通過特定認證：

(1) 接收方為數據中介機構的，應通過亞太經濟合作組織處理者隱私識別（Privacy Recognition for Processors, PRP）系統認證[3]或跨境隱私規則（Cross Border Privacy Rules, CBPR）認證[4]；

(2) 其他類別的接收方，應通過亞太經濟合作組織CBPR認證。

在上述措施中，我們推薦在實務中採取第一種方案，即與數據接收方簽訂符合要求的個人數據跨境傳輸合同，確保提供與新加坡PDPA相當的保護水平。

此外，根據PDPR，如果傳輸的個人數據是公開數據，以及在其他一些有限的情形下，數據傳輸方無需滿足上述條件即可向數據接收方傳輸數據。[5]但該等情形的適用範圍有限，通常不能作為企業處理新加坡個人數據迴流的常規方案。

三、泰國

泰國在個人數據保護方面最主要的立法是《個人數據保護法案》（Personal Data Protection Act，下稱“泰國PDPA”）。作為泰國個人數據保護領域的綜合性法律，泰國PDPA適用於泰國的數據控制者或數據處理者的數據收集、使用、披露等活動（無論此類活動是否發生於泰國境內），但不適用於為個人利益或家庭活動、大眾傳媒、政府公共部門或議會活動、法院裁判或法律執行等特殊目的而處理個人數據的情形。

監管機關層面，根據泰國PDPA，個人數據保護委員會（Personal Data Protection Commission，下稱“PDPC”）是泰國的數據保護監管機構，負責發佈個人數據保護的相關文件、提供立法建議、頒佈關於數據跨境傳輸的安全保護標準等。

根據泰國PDPA，如企業將個人數據傳輸至境外，應確保接收方所在的國家/國際組織具有足夠的數據保護水平，並按照PDPC頒佈的標準或規定進行傳輸（如果企業不確定接收方所在國家/國際組織的數據保護水平是否充分，可以提交PDPC進行決定），但以下情況除外：

1. 下述六種情形下，企業可向外傳輸個人數據：

(1) 為遵守法律要求而傳輸；

(2) 在告知目的地國家/國際組織的個人數據保護水平不足的前提下，數據主體仍同意傳輸的；

(3) 為履行數據主體作為一方的合同所必需的，或在簽訂合同前應數據主體的請求而傳輸；

(4) 為維護數據主體的利益，遵守數據控制者與第三方的合同；

(5) 為保護數據主體或第三方的生命、健康而數據主體不能及時給予同意的情況下；或

(6) 為開展具有重大公共利益的活動所必需的。

2. 針對關聯公司間個人數據跨境傳輸的情形，企業可制定適用於集團內部的個人數據保護政策，並經過PDPC審查和批准。

3. 如果企業採取適當的保護措施，確保數據主體的權益，包括根據PDPC的規定採取有效的法律補救措施（具體措施有待頒佈），則企業仍可以將個人數據傳輸至國外，而無需遵守上述要求。

目前，在實務中比較容易落實的措施是告知數據主體並獲得其同意，企業可通過書面聲明充分告知數據主體傳輸的相關情況，包括目的地國家/國際組織的個人數據保護水平，徵求其同意並留存書面記錄。對於跨國企業或關聯企業，也可以嘗試採取第二種方式，即制定集團內的個人數據保護政策並提交PDPC審查、批准（具體落實方式需向當地主管部門詳細諮詢）。

在全球各法域日漸重視數據保護的背景下，中國的出海企業應當更加重視海外數據合規風險，密切關注出海地區的立法、執法動態及行業實踐，有針對性地採取措施，不斷提升企業的數據合規水平，促進業務發展。

註釋：

[1] 目前，“白名單”國家包括：歐洲經濟區國家（包括英國）；美利堅合眾國；加拿大；瑞士；新西蘭；阿根廷；烏拉圭；安道爾；法羅羣島；格恩西島；以色列；馬恩島；澤西；澳大利亞；日本；韓國；中國；中國香港；中國台灣；新加坡；菲律賓；和迪拜國際金融中心（“DIFC”）。

[2] 在“黑名單”制度下，數據處理者能夠將個人數據傳輸到“黑名單”以外的國家/地區。如黑名單機制生效，則馬來西亞在個人數據跨境傳輸方面的合規要求將更為寬鬆。

[3] PRP體系是一套專門針對數據處理者的認證體系，數據處理者通過PRP體系認證可證明自身的數據處理符合CBPR體系對數據控制者的數據處理隱私保護要求。

[4] CBPR體系的目標對象是數據控制者，APEC經濟體中的數據控制者可以在滿足認證要求後加入該認證體系，以向境外交易相對方證明自身的數據保護水平。截至目前，共有九個已加入APEC CBPR系統的經濟體，包括美國、墨西哥、日本、加拿大、新加坡、韓國、澳大利亞、菲律賓和中國台灣地區。

[5] 該等情形包括：（a）企業向相關自然人提供了書面摘要，説明其個人數據將被輸出至目的地國家並獲得保護的情況後（且接收方沒有要求將個人同意轉讓作為提供產品或服務的條件——除非轉讓對於向個人提供產品或服務是合理必要的），自然人同意將其個人數據向境外傳輸（且傳輸方應保證沒有提供有關轉讓的虛假或誤導性信息來獲得自然人的同意）；（b）為履行自然人與企業之間的合同而必須進行數據跨境傳輸；（c）為保護自然人的利益或保護國家利益保護所必須的，且數據接收方已採取了合理措施以確保不會將個人數據用於任何其他目的；（d）個人數據本身已是處於傳輸過程中的數據；（e）個人數據在新加坡是公開數據。

來源：中倫視界

免責聲明：本文僅代表作者觀點，不代表走出去智庫立場。