查看原文
其他

数据出境合规解读系列文章(四):出海“新马泰”企业的个人数据回流合规机制

李瑞 贾申 李梦涵 中伦视界 2023-11-28


作者:李瑞 贾申 李梦涵

个人数据跨境流动监管规制已然成为各国各地区在隐私保护项下的立法及执法重点,结合实践经验,本文对东南亚地区(“新马泰”)被投实体收集及产生的个人数据如何回流境内简要解读,以期提供实务建议。

///



在全球数字化经济蓬勃发展的趋势下,个人数据跨境流动的监管与规制已然成为世界各个国家和地区的数据合规立法和执法重点。对于有出海需求的中国企业而言,不仅要关注国内对于个人数据跨境流动的合规要求,也要关注个人数据回流时涉及的他国法域的数据跨境合规要求。


近年来,我们在业务中处理了多个海外国家和地区数据回流中国所涉及到的个人数据跨境合规实务问题。其中,东南亚地区被投实体如何能合法合规地将当地收集和产生的个人数据传输回中国,是这些出海企业经常关注的热点问题。本文将着重介绍马来西亚、新加坡和泰国这三个热门出海目的地(即俗称的“新马泰”)的当地个人数据出境合规要求,以期为相关企业提供实务上的建议。



一、马来西亚 


马来西亚在个人数据保护方面最主要的立法是《2010年个人数据保护法》(Personal Data Protection Act 2010, 下称“马来西亚PDPA”)。PDPA聚焦于商业交易中个人数据处理活动和安全保护的相关要求,于2010年6月10日正式发布,2013年11月15日正式生效。马来西亚PDPA适用于设立在马来西亚的机构或在马来西亚处理个人数据的机构,但不适用于政府机关或在马来西亚境外处理的个人数据。


为配合促进PDPA的执行,马来西亚进一步出台了一系列附属立法,亦于2013年11月15日起实施,其中包括《个人数据保护条例2013》(Personal Data Protection Regulations 2013)等。


监管机关层面,马来西亚设立了个人数据保护部(The Department of Personal Data Protection)和个人数据保护委员会(Personal Data Protection Commission)作为监管机关和执法机关,其在职责范围内发布数据保护法规、标准和相关文件。


根据PDPA和相关法律,马来西亚已建立了针对个人数据的出境合规体系:


1. “白名单”机制:企业从马来西亚将个人数据直接传输至“白名单”国家[1],而无需依赖其他合规机制,但目前该等“白名单”机制尚未正式生效,且可能在马来西亚PDPA后续修正案中由“黑名单”机制替代。[2]

2. 在白名单机制生效前,企业从马来西亚向境外传输个人数据,应当满足以下条件之一:

(1) 数据主体已同意该等数据传输;

(2) 数据传输对于履行马来西亚企业与数据主体之间的合同是必要的;

(3) 数据传输对于马来西亚企业与第三方之间签订或履行合同是必要的,且该与第三方的合同是应数据主体的要求而签订的,符合其利益;

(4) 为了法律诉讼或维护合法权利而进行数据传输;

(5) 马来西亚企业有合理理由认为,数据传输是为了避免或减轻对数据主体的不利情形,但无法以书面形式获得该数据主体的同意,且在可行的情况下数据主体会给予同意;

(6) 马来西亚企业能够确保该等个人数据不会以任何违背马来西亚PDPA的方式被处理;

(7) 数据传输是为了保护数据主体的切身利益而必要的;

(8) 数据传输符合公共利益。


根据目前的马来西亚“白名单”版本,中国属于“白名单”国家之一。但是,在白名单机制正式生效前,我们建议企业在实务中采取适当措施防范个人数据回流时可能存在的合规风险。在上述各项措施中,比较可行、也较为常用的是第(1)种措施,即在个人数据跨境传输前通过隐私声明等形式获得数据主体的同意,并留存书面记录。


二、新加坡 


新加坡目前在个人数据保护方面的立法主要包括《2012年个人数据保护法》(Personal Data Protection Act 2012,下称“新加坡PDPA”)《2020年个人数据保护(修订)条例草案》[Personal Data Protection (Amendment) Bill (Bill No.37/2020)]《2021年个人数据保护条例》(Personal Data Protection Regulations 2021,下称“PDPR”)。新加坡PDPA适用于个人、公司、协会或团体等的数据处理活动,但以个人或家庭身份行事的公共机构和个人除外。


监管机关层面,新加坡中央政府的下设机构个人数据保护委员会(Personal Data Protection Commission)为数据保护的主要监管机构。


根据新加坡PDPA和相关法律,企业应当确保境外接收方能够为出境的个人数据提供至少与新加坡PDPA保护相当的保护标准。具体的要求为满足下述条件之一:


1. 企业与数据接收方签订符合以下条件的合同:

(1) 要求数据接收方为传输的个人数据提供至少与新加坡PDPA相当的保护标准;

(2) 明确合同项下个人信息传输的目的地国家或地区;

2. 确保数据接收方受到符合条件的有约束力的公司规则(Binding Corporate Rules,下称“公司规则”)的约束:

(1) 公司规则要求数据接收方为传输的个人数据提供至少与新加坡PDPA保护相当的保护标准;

(2) 公司规则明确其适用的接收方、个人数据可被传输的国家/地区以及其项下的权利义务;

(3) 公司规则仅适用于与数据传输方在同一组织内部的关联接收方。

3. 数据接收方通过特定认证:

(1) 接收方为数据中介机构的,应通过亚太经济合作组织处理者隐私识别(Privacy Recognition for Processors, PRP)系统认证[3]或跨境隐私规则(Cross Border Privacy Rules, CBPR)认证[4]

(2) 其他类别的接收方,应通过亚太经济合作组织CBPR认证。


在上述措施中,我们推荐在实务中采取第一种方案,即与数据接收方签订符合要求的个人数据跨境传输合同,确保提供与新加坡PDPA相当的保护水平。


此外,根据PDPR,如果传输的个人数据是公开数据,以及在其他一些有限的情形下,数据传输方无需满足上述条件即可向数据接收方传输数据。[5]但该等情形的适用范围有限,通常不能作为企业处理新加坡个人数据回流的常规方案。


三、泰国 


泰国在个人数据保护方面最主要的立法是《个人数据保护法案》(Personal Data Protection Act,下称“泰国PDPA”)。作为泰国个人数据保护领域的综合性法律,泰国PDPA适用于泰国的数据控制者或数据处理者的数据收集、使用、披露等活动(无论此类活动是否发生于泰国境内),但不适用于为个人利益或家庭活动、大众传媒、政府公共部门或议会活动、法院裁判或法律执行等特殊目的而处理个人数据的情形。


监管机关层面,根据泰国PDPA,个人数据保护委员会(Personal Data Protection Commission,下称“PDPC”)是泰国的数据保护监管机构,负责发布个人数据保护的相关文件、提供立法建议、颁布关于数据跨境传输的安全保护标准等。


根据泰国PDPA,如企业将个人数据传输至境外,应确保接收方所在的国家/国际组织具有足够的数据保护水平,并按照PDPC颁布的标准或规定进行传输(如果企业不确定接收方所在国家/国际组织的数据保护水平是否充分,可以提交PDPC进行决定),但以下情况除外:


1. 下述六种情形下,企业可向外传输个人数据:

(1) 为遵守法律要求而传输;

(2) 在告知目的地国家/国际组织的个人数据保护水平不足的前提下,数据主体仍同意传输的;

(3) 为履行数据主体作为一方的合同所必需的,或在签订合同前应数据主体的请求而传输;

(4) 为维护数据主体的利益,遵守数据控制者与第三方的合同;

(5) 为保护数据主体或第三方的生命、健康而数据主体不能及时给予同意的情况下;或

(6) 为开展具有重大公共利益的活动所必需的。

2. 针对关联公司间个人数据跨境传输的情形,企业可制定适用于集团内部的个人数据保护政策,并经过PDPC审查和批准。

3. 如果企业采取适当的保护措施,确保数据主体的权益,包括根据PDPC的规定采取有效的法律补救措施(具体措施有待颁布),则企业仍可以将个人数据传输至国外,而无需遵守上述要求。


目前,在实务中比较容易落实的措施是告知数据主体并获得其同意,企业可通过书面声明充分告知数据主体传输的相关情况,包括目的地国家/国际组织的个人数据保护水平,征求其同意并留存书面记录。对于跨国企业或关联企业,也可以尝试采取第二种方式,即制定集团内的个人数据保护政策并提交PDPC审查、批准(具体落实方式需向当地主管部门详细咨询)。


在全球各法域日渐重视数据保护的背景下,中国的出海企业应当更加重视海外数据合规风险,密切关注出海地区的立法、执法动态及行业实践,有针对性地采取措施,不断提升企业的数据合规水平,促进业务发展。


[注] 

[1] 目前,“白名单”国家包括:欧洲经济区国家(包括英国);美利坚合众国;加拿大;瑞士;新西兰;阿根廷;乌拉圭;安道尔;法罗群岛;格恩西岛;以色列;马恩岛;泽西;澳大利亚;日本;韩国;中国;中国香港;中国台湾;新加坡;菲律宾;和迪拜国际金融中心(“DIFC”)。

[2] 在“黑名单”制度下,数据处理者能够将个人数据传输到“黑名单”以外的国家/地区。如黑名单机制生效,则马来西亚在个人数据跨境传输方面的合规要求将更为宽松。

[3] PRP体系是一套专门针对数据处理者的认证体系,数据处理者通过PRP体系认证可证明自身的数据处理符合CBPR体系对数据控制者的数据处理隐私保护要求。

[4] CBPR体系的目标对象是数据控制者,APEC经济体中的数据控制者可以在满足认证要求后加入该认证体系,以向境外交易相对方证明自身的数据保护水平。截至目前,共有九个已加入APEC CBPR系统的经济体,包括美国、墨西哥、日本、加拿大、新加坡、韩国、澳大利亚、菲律宾和中国台湾地区。

[5] 该等情形包括:(a)企业向相关自然人提供了书面摘要,说明其个人数据将被输出至目的地国家并获得保护的情况后(且接收方没有要求将个人同意转让作为提供产品或服务的条件——除非转让对于向个人提供产品或服务是合理必要的),自然人同意将其个人数据向境外传输(且传输方应保证没有提供有关转让的虚假或误导性信息来获得自然人的同意);(b)为履行自然人与企业之间的合同而必须进行数据跨境传输;(c)为保护自然人的利益或保护国家利益保护所必须的,且数据接收方已采取了合理措施以确保不会将个人数据用于任何其他目的;(d)个人数据本身已是处于传输过程中的数据;(e)个人数据在新加坡是公开数据。



 作者简介

李瑞  律师


北京办公室  合伙人

业务领域:跨境投资并购, 反垄断和竞争法, 网络安全和数据保护

特色行业类别:文化娱乐产业, 通讯与技术

贾申


北京办公室  顾问

业务领域:反垄断和竞争法, 贸易合规和救济, 诉讼仲裁

李梦涵  律师


北京办公室  合规与政府监管部

* 孙芊月对本文亦有贡献。


作者往期文章推荐

《数据出境合规解读系列文章(三):数据跨境传输协议应明确哪些权利义务?》

《数据出境合规解读系列文章(二):哪些数据受到出境监管?》

《企业数据出境合规系列解读(一):盘点常见数据出境风险场景》

《切磋琢磨成宝器——个人金融信息保护的合规要点解读(下)》

《既遵道而得路——个人金融信息保护的合规要点解读(上)》

《举一纲而万目张——金融数据的分类分级与全生命周期保护》

《房地产领域典型场景中的个人信息保护合规要点分析》

《固基修道,履方致远:从数据“三法”看企业数据泄露风险的预防和应对》

《已到凌云仍虚心——互联网平台合规监管2021年度盘点》

《问渠那得清如许——企业交易场景下的数据合规要求进一步加强》

《观千剑而后识器——中美欧个人信息保护制度比较》

《激活网络安全审查制度 筑牢数据安全防火墙—— <网络安全审查办法(修订草案征求意见稿)>评析》

《乘风下长川——医药健康行业反垄断合规实务及应对(三):经营者集中》

《挂席拾海月——医药健康行业反垄断合规实务及应对(二):成品药、医疗器械与知识产权》

《坐看云起时——医药健康行业反垄断合规实务及应对(一):原料药》

《一张图读懂美国出口管制新规》

《合规速评丨解读<中央企业合规管理办法>八大亮点》

《行愈笃知益明——跨境电商合规运营实务问题八问八答》

《见微方能知著——受CFIUS审查影响而终止的中资交易简报(2008-2021)》

《<反垄断法(修正案)>配套新规解读系列:禁止垄断协议规定(征求意见稿)合规启示》

《<反垄断法(修正案)>配套新规解读系列:禁止滥用知识产权排除、限制竞争行为规定(征求意见稿)亮点简析》

《<反垄断法(修正案)>配套新规解读系列:经营者集中申报标准规定与审查规定(征求意见稿)亮点简析》

《长风破浪会有时——<反垄断法(修正案)>会给企业合规带来哪些变化?》

《沉舟侧畔千帆过:金融行业反垄断合规要点及趋势概览》

《大鹏一日同风起,扶摇直上九万里——中国反垄断2021年度盘点》

《会当凌绝顶——<反垄断法(修正草案)>要点速览》

《合规创造价值——新经济领域(拟)上市企业的若干合规要点分析》

《新形势下企业贸易风险防控之道——再议美国出口管制制裁与阻断办法》

《从史上最高罚单看企业反垄断合规的重要性》

《实操建议:社交电商业务模式避免落入传销陷阱》

《虑远谋深——对俄制裁中各行业法律风险和企业防火墙方案探讨》

《从监管问询看拟上市企业应关注的反垄断合规问题》

特别声明:

以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。


如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。

点击“阅读原文”,可查阅该专业文章官网版。

继续滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存