在全球数字化经济蓬勃发展的趋势下,个人数据跨境流动的监管与规制已然成为世界各个国家和地区的数据合规立法和执法重点。对于有出海需求的中国企业而言,不仅要关注国内对于个人数据跨境流动的合规要求,也要关注个人数据回流时涉及的他国法域的数据跨境合规要求。
近年来,我们在业务中处理了多个海外国家和地区数据回流中国所涉及到的个人数据跨境合规实务问题。其中,东南亚地区被投实体如何能合法合规地将当地收集和产生的个人数据传输回中国,是这些出海企业经常关注的热点问题。本文将着重介绍马来西亚、新加坡和泰国这三个热门出海目的地(即俗称的“新马泰”)的当地个人数据出境合规要求,以期为相关企业提供实务上的建议。
一、马来西亚
马来西亚在个人数据保护方面最主要的立法是《2010年个人数据保护法》(Personal Data Protection Act 2010, 下称“马来西亚PDPA”)。PDPA聚焦于商业交易中个人数据处理活动和安全保护的相关要求,于2010年6月10日正式发布,2013年11月15日正式生效。马来西亚PDPA适用于设立在马来西亚的机构或在马来西亚处理个人数据的机构,但不适用于政府机关或在马来西亚境外处理的个人数据。
为配合促进PDPA的执行,马来西亚进一步出台了一系列附属立法,亦于2013年11月15日起实施,其中包括《个人数据保护条例2013》(Personal Data Protection Regulations 2013)等。
监管机关层面,马来西亚设立了个人数据保护部(The Department of Personal Data Protection)和个人数据保护委员会(Personal Data Protection Commission)作为监管机关和执法机关,其在职责范围内发布数据保护法规、标准和相关文件。
根据PDPA和相关法律,马来西亚已建立了针对个人数据的出境合规体系:
1. “白名单”机制:企业从马来西亚将个人数据直接传输至“白名单”国家[1],而无需依赖其他合规机制,但目前该等“白名单”机制尚未正式生效,且可能在马来西亚PDPA后续修正案中由“黑名单”机制替代。[2]
2. 在白名单机制生效前,企业从马来西亚向境外传输个人数据,应当满足以下条件之一:
(1) 数据主体已同意该等数据传输;
(2) 数据传输对于履行马来西亚企业与数据主体之间的合同是必要的;
(3) 数据传输对于马来西亚企业与第三方之间签订或履行合同是必要的,且该与第三方的合同是应数据主体的要求而签订的,符合其利益;
(4) 为了法律诉讼或维护合法权利而进行数据传输;
(5) 马来西亚企业有合理理由认为,数据传输是为了避免或减轻对数据主体的不利情形,但无法以书面形式获得该数据主体的同意,且在可行的情况下数据主体会给予同意;
(6) 马来西亚企业能够确保该等个人数据不会以任何违背马来西亚PDPA的方式被处理;
(7) 数据传输是为了保护数据主体的切身利益而必要的;
(8) 数据传输符合公共利益。
根据目前的马来西亚“白名单”版本,中国属于“白名单”国家之一。但是,在白名单机制正式生效前,我们建议企业在实务中采取适当措施防范个人数据回流时可能存在的合规风险。在上述各项措施中,比较可行、也较为常用的是第(1)种措施,即在个人数据跨境传输前通过隐私声明等形式获得数据主体的同意,并留存书面记录。
二、新加坡
新加坡目前在个人数据保护方面的立法主要包括《2012年个人数据保护法》(Personal Data Protection Act 2012,下称“新加坡PDPA”)《2020年个人数据保护(修订)条例草案》[Personal Data Protection (Amendment) Bill (Bill No.37/2020)]《2021年个人数据保护条例》(Personal Data Protection Regulations 2021,下称“PDPR”)。新加坡PDPA适用于个人、公司、协会或团体等的数据处理活动,但以个人或家庭身份行事的公共机构和个人除外。
监管机关层面,新加坡中央政府的下设机构个人数据保护委员会(Personal Data Protection Commission)为数据保护的主要监管机构。
根据新加坡PDPA和相关法律,企业应当确保境外接收方能够为出境的个人数据提供至少与新加坡PDPA保护相当的保护标准。具体的要求为满足下述条件之一:
1. 企业与数据接收方签订符合以下条件的合同:
(1) 要求数据接收方为传输的个人数据提供至少与新加坡PDPA相当的保护标准;
(2) 明确合同项下个人信息传输的目的地国家或地区;
2. 确保数据接收方受到符合条件的有约束力的公司规则(Binding Corporate Rules,下称“公司规则”)的约束:
(1) 公司规则要求数据接收方为传输的个人数据提供至少与新加坡PDPA保护相当的保护标准;
(2) 公司规则明确其适用的接收方、个人数据可被传输的国家/地区以及其项下的权利义务;
(3) 公司规则仅适用于与数据传输方在同一组织内部的关联接收方。
3. 数据接收方通过特定认证:
(1) 接收方为数据中介机构的,应通过亚太经济合作组织处理者隐私识别(Privacy Recognition for Processors, PRP)系统认证[3]或跨境隐私规则(Cross Border Privacy Rules, CBPR)认证[4];
(2) 其他类别的接收方,应通过亚太经济合作组织CBPR认证。
在上述措施中,我们推荐在实务中采取第一种方案,即与数据接收方签订符合要求的个人数据跨境传输合同,确保提供与新加坡PDPA相当的保护水平。
此外,根据PDPR,如果传输的个人数据是公开数据,以及在其他一些有限的情形下,数据传输方无需满足上述条件即可向数据接收方传输数据。[5]但该等情形的适用范围有限,通常不能作为企业处理新加坡个人数据回流的常规方案。
三、泰国
泰国在个人数据保护方面最主要的立法是《个人数据保护法案》(Personal Data Protection Act,下称“泰国PDPA”)。作为泰国个人数据保护领域的综合性法律,泰国PDPA适用于泰国的数据控制者或数据处理者的数据收集、使用、披露等活动(无论此类活动是否发生于泰国境内),但不适用于为个人利益或家庭活动、大众传媒、政府公共部门或议会活动、法院裁判或法律执行等特殊目的而处理个人数据的情形。
监管机关层面,根据泰国PDPA,个人数据保护委员会(Personal Data Protection Commission,下称“PDPC”)是泰国的数据保护监管机构,负责发布个人数据保护的相关文件、提供立法建议、颁布关于数据跨境传输的安全保护标准等。
根据泰国PDPA,如企业将个人数据传输至境外,应确保接收方所在的国家/国际组织具有足够的数据保护水平,并按照PDPC颁布的标准或规定进行传输(如果企业不确定接收方所在国家/国际组织的数据保护水平是否充分,可以提交PDPC进行决定),但以下情况除外:
1. 下述六种情形下,企业可向外传输个人数据:
(1) 为遵守法律要求而传输;
(2) 在告知目的地国家/国际组织的个人数据保护水平不足的前提下,数据主体仍同意传输的;
(3) 为履行数据主体作为一方的合同所必需的,或在签订合同前应数据主体的请求而传输;
(4) 为维护数据主体的利益,遵守数据控制者与第三方的合同;
(5) 为保护数据主体或第三方的生命、健康而数据主体不能及时给予同意的情况下;或
(6) 为开展具有重大公共利益的活动所必需的。
2. 针对关联公司间个人数据跨境传输的情形,企业可制定适用于集团内部的个人数据保护政策,并经过PDPC审查和批准。
3. 如果企业采取适当的保护措施,确保数据主体的权益,包括根据PDPC的规定采取有效的法律补救措施(具体措施有待颁布),则企业仍可以将个人数据传输至国外,而无需遵守上述要求。
目前,在实务中比较容易落实的措施是告知数据主体并获得其同意,企业可通过书面声明充分告知数据主体传输的相关情况,包括目的地国家/国际组织的个人数据保护水平,征求其同意并留存书面记录。对于跨国企业或关联企业,也可以尝试采取第二种方式,即制定集团内的个人数据保护政策并提交PDPC审查、批准(具体落实方式需向当地主管部门详细咨询)。
在全球各法域日渐重视数据保护的背景下,中国的出海企业应当更加重视海外数据合规风险,密切关注出海地区的立法、执法动态及行业实践,有针对性地采取措施,不断提升企业的数据合规水平,促进业务发展。
[注]