随着经济全球化的发展以及中国与东南亚国家经济文化交流的深化，东南亚地区已经成为中国企业出海的重要拓展方向。由于东南亚地区不同国家之间数字营商环境存在较大差异，企业在东南亚地区开展投资活动时往往面临数据合规问题。本文介绍了除文莱和东帝汶之外东南亚九个国家的数据保护法律体系框架，以及主要法律法规与欧盟《通用数据保护条例》的异同，并提出了数据合规建议，以期帮助出海企业了解数据跨境流动过程中可能面临的挑战，为中国企业出海东南亚提供数据跨境合规指南。

二、数据保护法律法规体系和特点解读

（一）马来西亚

1、数据保护法律法规体系

马来西亚政府高度重视数字经济产业及网络安全问题。2010年《个人数据保护法》的出台填补了马来西亚在个人信息保护方面的立法空白。目前，马来西亚的数据保护法律法规体系主要包括2010年《个人数据保护法》（Personal Data Protection Act 2010,“PDPA”）及其相关配套规定，以及专门领域立法。

2、2010年《个人数据保护法》的主要特点

（1）“个人数据”的定义和认定标准：

根据PDPA第四条的规定，个人数据是指与商业交易过程有关的任何信息。这些信息直接或间接与数据主体相关，可以用以识别数据主体的身份。由此可知，PDPA只保护商业交易活动中的个人数据，难以有效规制非商业交易活动中的数据滥用行为以及政府的行政行为。然而，欧盟《通用数据保护条例》（General Data Protection Regulation, “GDPR”）将“个人数据”界定为任何已识别或可识别的自然人的相关信息，其保护的数据的来源并不仅限于商业交易。

在个人数据的认定标准方面，PDPA和欧盟GDPR具有一致性，均强调数据的“可识别性”和“结构化”特征。“可识别性”是个人数据的关键属性，也是判断特定数据是否属于个人数据的核心标准。“结构化”的特性要求个人数据必须经过了自动化手段的处理，或者虽然手动记录但最终实施了自动化处理，并保存在档案系统等载体之中。

（2）被遗忘权（删除权）

GDPR第17条首次明确规定了“被遗忘权（删除权）”。数据主体对于自己或第三方发布在网络上的，与自身有关的、不合理的或继续存在会对其社会评价产生负面影响的数据，有权要求数据控制者予以删除。根据第17条第1款的规定，在个人信息控制者不再具有处理个人信息的任何法律依据或理由，以及数据主体撤回同意和授权等六种情形下，信息主体有权要求信息控制者删除其个人信息，信息控制者有义务及时删除。因此，删除数据并不必然基于法定原因，也可以是基于数据主体撤回同意和授权。相较于GDPR，PDPA并未赋予数据主体被遗忘权。尽管该法第10条提及当个人数据的保留不具有必要性时就不再予以保留，但这并不意味着个人享有被遗忘权。删除数据必须基于法定理由，即保留不再具有必要性，而非基于数据主体的撤回同意或授权的意思表示。

（3）数据可携带权

GDPR第20条规定，数据可携带权是指数据主体有权获得提供给数据控制者的相关个人数据，且其获得的个人数据应当是经过整理的、普遍使用的和机器可读的。数据主体有权无障碍地将此类数据从其提供给的数据控制者处传输给另一个控制者。与欧盟GDPR不同，PDPA并未规定数据可携带权。虽然PDPA第30条规定数据主体有权以文件形式查看个人数据，也有权要求数据使用者以可理解的形式向其传送个人信息的副本，但并未明确赋予数据主体将其个人数据转移给包括其他数据使用者在内的第三方的权利。

（4）数据保护官的设置

根据欧盟GDPR的有关规定，数据保护官必须精通个人数据保护法律与实践知识，其可以直接向数据控制者或处理者的最高管理层报告。此外，数据保护官必须在完全保密的情况下执行任务，并不得参与任何可能引发利益冲突的任务。数据控制者或处理者必须向监管机构提供数据保护官的详细联系方式，并应当为数据保护官履行职责以及维持其专业性知识提供必要资源。与之相比，PDPA虽然也要求设立数据保护官，但未设置上述规则。

（5）数据使用者强制注册登记

为了有效监管和规范数据使用者的数据采集行为，PDPA对特定行业的数据使用者设置了强制注册登记制。这种登记的性质类似于我国的企业工商登记，相关监管机构只是通过形式审查的方式备案，而非进行实质上的审核。马来西亚注重采用事后监督的方式规制数据使用者的行为，强调信息披露的重要性。2013年《个人数据保护（数据使用者）类别指令》和2013年《个人数据保护（数据使用者注册）条例》是数据使用者登记管理的细则规定。

（二）印度尼西亚

1、数据保护法律法规体系

《个人数据保护法》是印尼第一部综合性数据保护立法。印尼的数据保护法律体系以2022年《个人数据保护法》(“Law No.27 of 2022 regarding Personal Data Protection”，“PDPL”)为中心，并包括一系列相关立法。

2、2022年《个人数据保护法》的主要特点

印尼《个人数据保护法》整合了以往部分法案中关于个人数据保护的规定，于2022年10月生效。

（1）处理个人数据的法律依据

在处理个人数据的法律依据方面，PDPL与欧盟GDPR类似。PDPL第20条规定了六项个人数据处理的法律依据，例如数据控制者与数据主体之间的合同义务、数据控制者的法律义务、保护数据主体的重要利益和公共利益等。

（2）域外效力

PDPL与欧盟GDPR在域外效力方面有较大差异，PDPL域外效力条款的设置方式使其域外效力比GDPR更广泛。根据PDPL的规定，只要印尼境外的个人数据控制者和处理者的处理活动对该国或该国的任何公民具有“法律影响”，则受到PDPL的规制。然而，目前尚未出台进一步明确PDPL下“法律影响”的具体含义的条例。

（3）跨境数据流动政策

欧盟的政策制定者倾向于通过“充分性决定”来判断一个国家是否具备充分保护欧盟个人数据的水平，并将隐私保护水平与地理位置相联系，从而迫使其他国家调整自己的隐私法以配合GDPR。事实上，复制和参照GDPR并不是全球数据保护立法的唯一路径，许多国家也并不想被欧盟政策制定者评判。

印尼与欧盟的政策不同。根据印尼2022年PDPL的规定，不论数据位于哪个国家或地区，所有在印尼境内运营的组织都要对印尼的数据负责。印尼正尝试在金融和公共服务等领域之外以“问责制原则”逐步替代数据本地化的要求。2022年PDPL就未设置数据本地化的相关规定。

（三）泰国

1、数据保护法律法规体系

泰国《个人数据保护法》（Personal Data Protection Act, B.E. 2562，“PDPA”）于2019年5月公布，2022年6月1日正式生效，是泰国第一部综合性数据保护法律。泰国数据保护法律体系由《个人数据保护法》、针对《个人数据保护法》的二级立法以及其他法律中涉及个人数据保护的相关规定组成。

2、2022年《个人数据保护法》的主要特点

（1）适用范围

在适用主体方面，泰国PDPA不适用于负有保护国家安全职责的公共机构、参议院、众议院、议会以及由上述机构任命的其他委员会或组织，而GDPR并未排除上述实体。在内容范围方面，PDPA没有区分自动化和非自动化的数据处理方式。而GDPR规定，如果数据是档案系统中的一部分，则其适用于以自动化或者非自动化方式处理的数据。此外，PDPA允许数据主体对其数据进行匿名化处理，而GDPR则明确将匿名数据排除出其适用范围。

（2）数据主体的权利

知情权：PDPA没有明确规定是否可以通过口头方式告知数据主体其享有的权利；而GDPR数据主体可以通过口头形式以及电子和书面形式了解其权利。

查阅权：PDPA没有明确规定当数据主体提出查阅请求时数据控制者必须提供哪些信息；但根据GDPR的规定，数据控制者必须明确告知数据主体处理其个人数据的目的、涉及数据的类型以及可能与之共享数据的第三方。

删除权：PDPA没有规定数据控制者处理数据主体的请求的时限，但如果数据控制者未能及时回应删除信息的请求，数据主体可以诉诸执法机关。此外，当数据主体提出请求时，并不要求数据控制者验证每个数据主体的身份。相比之下，GDPR明确规定，数据控制者必须在收到数据主体的请求后的一个月内作出处理，不得无故拖延。此外，数据控制者必须核实提出请求的每个数据主体的身份。

拒绝权：PDPA和GDPR都赋予数据主体此项权利，并且数据主体可以随时撤回对此类数据处理行为的同意。二者的差异在于，PDPA并未对数据控制者处理数据主体的反对请求设置期限，而GDPR明确规定数据控制者应当在30日内处理数据主体的请求。根据请求涉及数据的复杂程度，这一期限可以延长至不超过60日。

（四）菲律宾

1、数据保护法律法规体系

菲律宾有关个人数据保护的立法以2012年《数据隐私法案》（Data Privacy Act, “DPA”）为核心，其他领域的立法中也含有部分关于个人数据保护的规定。

2、2012年《数据隐私法案》的主要特点

（1）概念的界定

DPA对于“个人信息”、“敏感个人信息”、“信息处理者”、“信息控制者”等核心概念的定义与其他国家基本相同。

（2）数据主体的权利

与大多数国家类似，该法赋予了数据主体相对广泛的权利，例如知情权、删除权、可携带权、更证权、查询权、异议权等。

（3）国家隐私委员会

为了促进2012年DPA的实施，菲律宾成立了国家隐私委员会，并赋予其17项职能。在菲律宾开展业务需要向国家隐私委员会提交安全事件报告和数据泄露年度报告。

（五）新加坡

1、数据保护法律法规体系

2012年《个人数据保护法》（The Personal Data Protection Act 2012, “ PDPA”）是新加坡个人数据保护领域最主要的立法。新加坡个人数据保护法律法规体系由《个人数据保护法》、《个人数据保护法修正案》、《网络安全法》以及相关条例组成。

2、2012年《个人数据保护法》的主要特点

（1）“个人数据”的定义

GDPR与PDPA对于“个人数据”的认定标准基本一致。二者的区别在于定义的表述方式。GDPR采用抽象描述加举例说明的方式，而PDPA仅采用抽象描述的方法。PDPA对个人数据的解释较为宽泛，只是强调其应当具有可识别性，而未明确哪些类型的数据应当视为可识别的数据。此外，根据PDPA的规定，“商务联系信息”虽然属于“个人数据”的范畴，但由于其产生于商业信息交换且不涉及隐私权，因此不属于该法的保护范围。

（2）个人数据的保护对象

GDPR和PDPA中“个人数据”的保护对象都是自然人的个人信息，二者的差异主要体现在其对于已故者的数据保护方面。GDPR的保护对象是可识别自然人的个人信息，不包括已故者。而PDPA将“个人”定义为在世或已故的自然人，明确将已故者的个人数据纳入保护范围。需要注意的是，PDPA不保护已故超过十年的自然人的个人数据，也不保护在世自然人已保留记录超过100年的个人数据。

（3）数据主体的权利

根据GDPR的规定，数据主体享有知情权、删除权、拒绝权、访问权、数据可携带权和非歧视权六项权利。PDPA赋予了数据主体五项权利，但未设置删除权。PDPA允许组织基于业务需要、法律需要等原因保留相关数据，并不强制组织加以删除。此外，两部法律在数据主体知情权、拒绝权等具体权利的内容设定上存在差异。

（4）数据保护官的设置

GDPR和PDPA在数据保护官的选任和职责设置方面基本一致，但相比较而言，PDPA对数据保护官的要求更高。在数量方面，GDPR仅要求在特定情形下设置一名数据保护官即可，而PDPA则规定数据保护官的数量可以是多人，甚至可以采取团队或部门的形式。在设置场景方面，GDPR的规定主要针对大型数据处理场景和机构，而PDPA则要求所有规模的组织均任命数据保护官。在公开数据保护官联系方式方面，GDPR仅要求将数据保护官的联系方式向数据主体和监管机构公开，而PDPA则要求向公众完全公开。但需要注意的是，GDPR对于数据保护官任职资格的要求比PDPA更严格。

（5）跨境数据流动的监管

PDPA在监管跨境数据流动的规则设置方面较欧盟GDPR更为严格，主要体现在两方面。第一，在跨境数据流动的前提条件方面，GDPR规定了六种情形，PDPA规定了五种情形。与GDPR相比，PDPA设定的五种情形中不包括“保护公共利益所需、保护个人利益所需、法律请求所需”等情形，其对于跨境数据流动的前提条件的设置更为严格。第二，在数据输入地的保护水平方面，GDPR仅要求输入地国家或地区达到“充分的”保护水平，而PDPA则采用了“相当的”这一表述。可以看出，欧盟委员会在立法时考虑了他国在数据保护方面与欧盟的差距，并为法律的实施设置了一定范围的裁量空间，而PDPA则要求输入地的数据保护水平必须达到与新加坡相当的程度。在相当水平的例外方面，GDPR规定，即使未达到充分性标准，如果数据控制者或处理者能证明自己已经采取了充分的法律保障和救济措施，则数据跨境流动仍然是被允许的。然而，PDPA并未设置此类豁免条件。