东南亚国家数据保护法律解读（下）

《东南亚国家数据保护法律解读（上）》介绍了马来西亚、印度尼西亚、泰国、菲律宾和新加坡的数据保护法律体系以及主要法律法规的特点。本篇将继续解读越南、老挝、缅甸和柬埔寨的数据保护法律概况，并为中国投资者赴东南亚投资提出跨境数据合规建议。

（六）越南

1、数据保护法律法规体系

越南《个人数据保护法》（Decree on Protection of Personal Data, “PDPD”）于2023年7月1日正式生效，是越南个人数据保护的核心立法。越南个人数据保护法律法规体系如下表所示。

2、2023年《个人数据保护法》的主要特点

（1）监管对象

与其他数据保护法相比，PDPD对参与数据处理的行为主体的角色划分略显不同，但总体上并未脱离GDPR设定的概念和结构。该法令涵盖四类数据处理的行为主体。“个人数据控制者”（PDCs）是决定个人数据处理目的和方式的组织或个人，需承担最多的义务。“个人数据处理者”（PDPs）是根据与个人数据控制者签订的合同，代表个人数据控制者处理数据的组织或个人。“个人数据控制者和处理者”(PDCPs) 是同时作为个人数据控制者和个人数据处理者的组织或个人。“第三方”(TPs) 是指除数据主体、个人数据控制者、个人数据处理者或个人数据控制者和处理者之外的任何被授权处理个人数据的组织或个人。该法令引入了“个人数据控制者和处理者”的概念。这一概念为该法令独有，有别于世界上仅承认“个人数据控制者”和“个人数据处理者”这两种独立类别的数据保护法。虽然纳入“个人数据控制者和处理者”的概念是为了更清晰准确地界定参与个人数据处理的不同行为者的角色和责任，但事实上可能加剧隐私法适用的复杂性。

（2）数据处理原则

PDPD规定了数据处理活动的八项原则，与GDPR设定的原则类似。但在出售或购买个人数据方面，该法令较GDPR采取了更严格的立场。PDPD规定除法律另有规定外，禁止以任何形式出售和购买个人数据。然而该法令第22条同时规定，“未经数据主体同意而安装软件系统、实施技术措施或组织收集、转让、购买或出售个人的行为均属于违法行为”。综合来看，这条规定似乎暗示，在征得数据主体同意的情况下购买或出售数据是被允许的。由于规定存在模糊性，需要对其进行进一步澄清。然而，尽管存在这项禁止规定，该法令第14条规定私营数据中心和私营数据收集平台仍可在获得数据当事人同意的情况下与他人共享个人数据，除非这种共享可能损害国防、国家安全或公共秩序，或可能影响他人的安全和身心健康。

（3）目的限制

与GDPR相比，该法令规定了更严格的目的限制，允许在符合原始目的的情况下进行数据处理活动。根据该法令，个人数据只能用于PDC、PDP、PDCP 或TP 已“登记”或“声明”的特定目的。这就要求这些实体确保其数据处理活动不偏离或扩大已登记和声明的目的。然而，该法令并未就如何“登记”处理目的作出明确规定。

（七）老挝

1、数据保护法律法规体系

近年来，老挝的信息和通信技术产业发展较快。在进行数字化转型的过程中，老挝政府也愈发重视数据保护问题。继2012年《电子交易法》后，老挝政府于2015年和2017年制定了一系列数据保护的法律法规。

2、数据保护法律法规概况

（1）数据处理合法性基础

根据老挝法律的规定，数据主体同意是唯一的数据处理合法性基础。与大多数国家相比，老挝法律对数据处理合法性基础的设定较为单一。

（2）法律责任

数据控制者违法处理个人数据需要承担的法律责任主要分为三类：民事责任、行政责任和刑事责任。其中，对于非法访问计算机系统、非法截取计算机数据以及干扰计算机系统的行为，老挝有关法律对行为人应当承担的责任进行了细化规定。

（八）缅甸

1、数据保护法律法规体系

目前，缅甸并无关于数据保护的专门立法，关于个人信息保护的规定可见于其他法律之中。

2、数据保护法律法规概况

（1）数据处理的合法性基础

与老挝相似，缅甸法律也将数据主体的同意设定为数据处理的唯一合法性基础。与大多数国家相比，缅甸法律对于数据处理合法性基础的设置也较为单一。

（2）数据主体的权利与权利保护

缅甸暂未出台数据保护的单独立法。与其他具有系统的个人信息保护法律的国家或地区相比，缅甸有关法律并未详细规定数据主体的知情权、查阅权等权利，但缅甸《宪法》第八章《公民的基本权利与义务》部分规定了公民享有通信安全的基本权利。《宪法》保障公民作为数据主体的基本权利，但在国内政治形势发生变化时，公民的某些数据权利可能受到一定限制。

（九）柬埔寨

1、数据保护法律法规体系

目前，柬埔寨并无关于数据保护的专门立法，关于个人数据保护的内容可见于其他法律规定及草案之中。

2、数据保护法律法规概况

（1）跨境数据流动

目前，柬埔寨法律暂未规定数据流入地国家或地区必须高于或等于柬埔寨当地的数据保护要求，也没有规定以签署完备的数据跨境传输协议作为跨境数据流动的前提。然而需要注意的是，根据《网络犯罪法草案》的有关规定，未经授权的数据传输行为可能会受到刑事处罚。

（2）数据处理的合法性基础

根据柬埔寨有关法律的规定，数据主体的同意和数据主体之间的合同是数据处理的合法性基础。

（一）关注输入地和输出地国家的数据跨境规则

数据跨境对传统国家主权以及管辖权的概念提出了挑战。为了减少数据跨境流动给国家安全和公共利益带来的风险，许多国家和地区采取了数据本地化的策略。数据本地化制度叠加数据出口管制、长臂管辖、不同法域规则冲突等因素使出海企业往往面临“双向合规”的困难。

在跨境投资的境外合规方面，中国投资者应当持续关注出海目标国家的立法动态及监管趋势。目前，对于跨境数据传输活动的治理规则尚未形成统一的国际标准。尽管东南亚各国关于跨境数据流动的立法基本遵循相似的规则，但在实施细则方面仍存在一定差异。部分国家通过专门立法的方式，制定了规范数据跨境传输活动的具体法律规定，而部分国家的相关规定则散见于其他法律法规之中。出海企业可以通过组建研究团队、成立专门研究机构等方式及时评估和研判对自身投资活动的影响，并相应调整企业合规框架，从而减少因未建立事前合规机制而引发的经营损失。在跨境投资的境内合规方面，我国出海企业应当严格遵守我国法律对于数据出境的合规要求，依据《数据安全法》《数据出境安全评估办法》《信息安全技术-个人信息安全影响评估指南》（GB/T39335-2020）等文件的规定，对数据出境进行全链路管理。在数据出境前，应当根据出境数据的类型和数量等因素进行数据出境风险自评估或安全评估。有效识别和保护核心数据和重要数据，并对于上下游重点行业企业的数据进行特殊保护。在数据跨境过程中，应当管控传输数据的访问权限并如实记录数据跨境传输的全过程，同时也应当防范数据泄漏风险并制定应急处理预案。在数据出境目的完成后，要及时删除或销毁数据并开展数据跨境合规审计。如果数据跨境活动超出了最初的目的，应当重新评估。此外，在处理不同法域数据规则冲突问题时，应当以遵守我国法律为前提。

（二）完善企业数据分类与分级管理

不同类型数据的风险等级存在差异。数据分类分级管理通过“定性+定量”的方式确定数据保护的方式与先后顺序，并根据分类分级结果在具体的应用场景中对数据采取不同的安全保障措施。出海企业可以对数据进行分类、分级梳理并制作DI（Data Inventory）清单，以强化对数据资源的管理和利用。数据分类的原则是便于数据的管理和使用，分类方式较为多样。《网络数据分类分级指引》设置了公民个人、公共管理、信息传播、行业领域以及组织经营维度的分类方式。同时，也给出了组织经营维度数据分类的具体示例：用户数据、业务数据、经营管理数据、系统运行和安全数据。对上述类别也可以进一步作二级子类和三级子类的分类。对于出海企业而言，采取“组织经营者维度”的分类方式可以更广泛地涵盖企业经营活动中涉及到的数据类型，也更符合企业数据的属性。在实践中，如果企业严格依据相关法律法规设置的类型示例进行数据分类，则可能面临无法明确具有多重属性的数据的类型等问题。在这种情况下，若无例外规定，企业可以根据实际情况灵活调整数据分类。数据分级主要依据数据的敏感程度、价值以及造成影响的对象、范围和程度等要素对数据进行定级，基本框架为一般数据、重要数据和核心数据三个级别。对于具有较高敏感性或者较为关键的数据，企业应当谨慎研判，非必要不开展此类数据的跨境传输活动，且在处理数据时要遵守必要性和有限性原则。

（三）细化数据跨境传输标准合同

根据国家网信部门制定的标准合同与境外接收方签订合同并约定双方的权利义务是我国《个人数据保护法》第三十八条规定的个人信息跨境传输的三种合规路径之一，也是相对高效和便捷的一种途径。《数据出境安全评估办法》第九条规定，数据处理者应当在与境外接收方订立的法律文件中明确约定数据安全保护义务，并列举了合同当事人应当约定的具体事项。在遵守上述规定的基础上，投资者可以根据市场机制和数据跨境活动的类型等要素有针对性地拟定合同条款。第一，在重要数据的保护方面，保障数据安全的关键在于明确各个数据处理业务环节的责任主体。数据跨境合同的内容应当涵盖从数据开始出境到数据出境完成的整个过程的传输路径、接收方、存储地点、存储期限、数据访问和复制记录等。第二，在个人信息保护方面，数据跨境合同可以采取一般个人信息、敏感个人信息和匿名化个人信息的分类方式，并详细设置相应的义务履行标准。由于金融、医疗、教育等行业的一般个人信息面临的安全风险趋于同质化，因此无需根据行业属性作出特别约定。第三，其他数据的保护。此类数据不涉及个人信息权利以及国家安全，因此预防由数据积聚引发的性质变化，即通过信息技术从本不属于个人信息或重要数据的集合中获取有关特定自然人和国家安全的相关信息内容，是实现跨境数据传输合规的关键。在这种情况下，合同条款中应当区分数据传输业务的规模，并在大规模数据传输业务中约定更为严格的数据安全保障义务。

（四）强化数据合规尽职调查

数据合规法律尽调的应用场景多样，涵盖投资并购、企业上市、企业日常运营、企业开展外部数据服务合作、企业内部搭建合规体系等。在监管环境和公司治理的背景下，我国投资者在开展投资并购交易时需要着重考虑个人信息保护和数据安全问题。与专项数据合规尽调相比，常规法律尽调的数据合规部分通常不够细致和深入，颗粒度较低，主要关注一些相对宏观的问题，例如是否遵守了数据合规的相关法律法规、是否涉及个人数据买卖、是否制定了隐私政策以及是否涉及网络安全事件等。在数字经济时代，数据合规的重要性日益提升。尽管并非所有的交易都需要专项数据合规尽调，但常规的法律尽调在特定情形下可能已经远远不够。数据合规尽调的深度和广度应当与数据资产的价值、重要程度以及潜在的风险等级相匹配。在数据资产在目标公司资产中占比较高的情形下，可以通过在常规法律尽调中强化数据合规部分的调查或者开展专项数据合规尽调的方式提高颗粒度，增强尽调的广度和深度。

经过数据合规尽调，目标公司可能会暴露出某些数据合规问题。交易双方可针对具体情况采取调整交易价格、要求目标公司作出陈述与保证、将部分合规整改事项作为交割先决条件或交割后义务、设置赔偿条款等方式，尽量减小数据合规问题带来的风险，促进交易的顺利完成。投资并购交易完成后，买方应当继续采取整改措施，通过调查和评估（PIA）进一步发现目标公司内部数据合规问题并及时补救。同时，也应当适时整合目标公司相关数据系统和平台，注重从目标公司到并购后主体的数据迁移的高效性和合规性，尽快实现目标公司与买方公司管理的一体化。此外，应当建立和完善企业内部运营与发展的数据合规管理制度，强化全生命周期的数据安全防护。

我国企业在东南亚地区开展投资活动时应当同时关注跨境投资的境内合规以及跨境投资的海外合规问题。在数据合规方面，应当重点关注东南亚各国的数字经济发展水平和营商环境，尤其是各国数据保护法律体系的现状和监管动态。在东南亚地区开展业务之前，应当强化对拟出海国家和地区数据保护法律的认识和理解，进行充分调查和事先研判，关注行业实践和立法、执法动态，不断提升企业的数据合规水平，以推动业务的顺利开展。