解读东盟六国数据保护法:外资投资者指南

Posted by Written by Ayman Falak Medina Reading Time: < 1 minute

东南亚数字经济的迅速崛起使数据保护成为法律和商业讨论的焦点。由印尼、马来西亚、菲律宾、新加坡、泰国和越南组成的东盟六国(ASEAN-6)正积极完善其数据保护框架,以平衡全球标准与区域需求。

印度尼西亚

印尼于2022年10月颁布的《2022年第27号个人数据保护法》(PDP法)标志着该国数据保护领域的重要进步。

PDP法将个人数据定义为通过电子或非电子手段,直接或间接与特定个人相关的信息。

根据PDP法的规定,主要利益相关方包括:

  • 个人数据主体:个人数据所涉及的个人,拥有与其数据相关的权利。
  • 个人数据控制者:决定个人数据处理目的和方式的机构或个人。
  • 个人数据处理者:受控制者委托处理个人数据的相关方。
  • 数据保护官(DPO):负责监督数据保护策略并确保合规的指定人员

该法律赋予数据主体多项权利,包括:

  • 知情权:了解谁在处理其数据以及处理的目的。
  • 更正权:有权纠正其数据中的不准确信息。
  • 访问权:获取其个人数据及相关补充信息的权利。
  • 删除权和限制处理权:终止数据处理或请求删除其数据的权利。
  • 关于自动决策和画像的权利:反对基于完全自动化处理的决策。
  • 反对权:反对其数据被处理的权利。
  • 索赔权:因数据滥用造成损害时寻求赔偿的权利。
  • 数据可移植权:在不同服务间转移其数据的权利。

马来西亚

在数据泄露和网络威胁日益加剧的时代,马来西亚采取了果断措施,强化其数据保护框架。2024年10月17日,马来西亚正式生效了《2024年个人数据保护(修订)法案》,引入了多项关键变化,企业必须加以应对,以确保合规并保护个人数据。

  • 任命数据保护官(DPO:企业现在被要求任命一名数据保护官,负责监督数据保护策略并确保遵守法律规定。
  • 数据处理者的扩展责任:修订后的法案将义务直接扩展至数据处理者,而不仅仅是数据控制者。数据处理者需遵守安全标准,保持处理活动的准确记录,并协助数据控制者履行其义务。
  • 跨境数据传输规则的修订:马来西亚已取消先前允许向被视为具备充分数据保护的国家传输数据的“白名单”制度。跨境数据传输需符合第129(3)条规定的条件,个人数据保护专员将出台详细指南以提供明确规定。
  • 强制性数据泄露通知:组织现在必须在规定的时间内通知个人数据保护专员和受影响的个人任何数据泄露事件。这一要求旨在提高透明度,并促使迅速采取行动以减轻泄露影响。未能遵守可能导致严厉处罚。
  • 加重违规处罚:修正案对违反数据保护原则的行为引入了更严格的处罚。罚款已提高至最高100万令吉(约合22.4万美元),和/或最高三年的监禁,作为对数据泄露的强力威慑,强调了健全数据安全措施的重要性。

这些修订反映了马来西亚致力于加强数据保护,符合全球最佳实践,并应对新兴技术带来的挑战。企业应迅速调整其数据管理和保护策略,以确保遵守新的法律要求。

菲律宾

菲律宾的主要数据保护法是《2012年数据隐私法》(第10173号共和国法)。这部全面的立法旨在保护政府和私营部门信息系统中的个人数据,在保障隐私的同时支持信息自由流动。

国家隐私委员会(NPC)负责该法的实施。作为一个独立机构,NPC的职责包括确保符合国际数据保护标准、发布指南和通告,以及处理与数据隐私侵权相关的投诉。

《数据隐私法》适用于所有形式的个人信息,包括敏感个人信息和特权信息。其适用范围涵盖参与数据处理活动的自然人和法人,无论其位于菲律宾境内或境外,只要数据涉及菲律宾公民或居民。

新加坡

新加坡的《个人数据保护法》(PDPA)旨在保护个人信息,同时支持合法的商业需求。

PDPA规定的主要义务包括:

  • 任命数据保护官(DPO:负责监督合规工作。
  • 同意与通知:组织必须告知个人数据收集的目的并获得其同意。
  • 目的限制:数据仅可用于特定目的。
  • 数据泄露通知:重大泄露事件必须向个人数据保护委员会(PDPC)和受影响的个人报告。
  • 保存与传输限制:数据保存时间不得超过必要时限,跨境传输需确保同等的保护水平。

此外,PDPA还支持“禁止来电”(DNC)登记册,允许个人选择退出电话营销。

泰国

泰国的《个人数据保护法》(PDPA)建立了完善的个人数据保护框架。PDPA适用于处理与泰国境内个人相关的个人数据的组织,无论组织所在地为何。该法明确区分一般个人数据和敏感数据,如健康信息、生物识别信息和种族信息等。

PDPA的主要条款包括:

  • 同意要求:数据收集、使用和披露需获得明确同意,仅在有限例外情况下除外。
  • 数据主体权利:个人有权被告知、访问其数据、修正不准确信息、撤回同意并请求删除数据。
  • 数据泄露通知:组织需及时向有关部门和受影响的个人报告重大数据泄露事件。

泰国数据保护框架的最新进展包括:

  • 附属法规和指南:个人数据保护委员会(PDPC)发布了关于数据泄露通知、数据主体权利和跨境数据传输的详细附属法规,明确了合规要求。
  • 行业特定法规:针对电信和信用机构等行业的新规,为特定行业的数据处理实践提供了额外保护。
  • 强化执法:PDPC加大了审计和检查力度,促使企业加强数据保护实践,以避免因不合规而受到处罚。

越南

越南的数据保护框架近年来取得了显著进展。《个人数据保护法令》(法令第13/2023/ND-CP号)于2023年7月1日起生效,为个人数据处理建立了基础规则。该法令引入了合法性、透明性、目的限制和数据最小化等原则。组织必须获得明确同意才能处理个人数据,并实施强有力的安全措施以保护个人数据。

然而,鉴于需要更全面的保护措施,越南政府推出了《个人数据保护法(草案)》,预计将于2026年生效。该草案旨在解决现有法令的局限性,并使越南的数据保护与国际标准接轨。

投资东盟六国的实用建议

进入东盟六国市场的外国投资者必须优先考虑制定强有力的数据保护策略,以确保合规并保持消费者信任。每个国家的数据保护框架都有其独特的要求,例如在马来西亚和新加坡需要任命数据保护官(DPO),在印度尼西亚和泰国必须遵守严格的数据泄露通知时间要求,而越南的法规则在不断变化。

为了降低风险,投资者应定期审计数据处理实践,确保与第三方处理商的合同符合当地标准,并实施跨境数据传输保护措施,如绑定企业规则或合同条款。保持对即将出台的法规的关注,例如越南的《个人数据保护法(草案)》(2026年生效),将有助于预见合规挑战。与当地法律专家合作,并保持积极的数据保护态度,将确保业务持续性并提升在这些充满活力的数字经济中的信誉。

ASEAN Briefing是Asia Briefing旗下的五大区域性内容平台之一,由协力管理咨询(Dezan Shira & Associates)提供支持。协力管理咨询是一家泛亚洲的专业服务公司,致力于为跨国投资者提供服务。我们在印度尼西亚雅加达、新加坡、越南河内、胡志明市和岘港设有办公室,同时业务也覆盖中国、中国香港特别行政区、印度、意大利、德国和美国。此外,我们与位于马来西亚、孟加拉国、菲律宾、泰国和澳大利亚的合作伙伴公司保持紧密合作。

如需更多信息,请通过邮箱 asean@dezshira.com 联系我们,或访问我们的网站www.dezshira.com。此外,点击此处免费订阅ASEAN Briefing的内容产品。