随着经济全球化的发展以及中国与东南亚国家经济文化交流的深化,东南亚地区已经成为中国企业出海的重要拓展方向。但由于东南亚地区不同国家之间数字营商环境存在较大差异,企业在东南亚地区开展投资活动时往往面临数据合规问题。上期推文我们了解了马来西亚数据合规要点,本期我们将了解印度尼西亚和菲律宾的数据合规。
印度尼西亚
1
数据保护法律法规体系
《个人数据保护法》是印尼第一部综合性数据保护立法。印尼的数据保护法律体系以2022 年《个人数据保护法》(“Law No.27 of 2022 regarding Personal DataProtection”,“PDPL”)为中心,并包括一系列相关立法。
2
《个人数据保护法》的主要特点
印尼《个人数据保护法》整合了以往部分法案中关于个人数据保护的规定,于 2022 年10 月生效。
● 处理个人数据的法律依据
在处理个人数据的法律依据方面,PDPL 与欧盟 GDPR 类似。PDPL 第 20 条规定了六项个人数据处理的法律依据,例如数据控制者与数据主体之间的合同义务、数据控制者的法律义务、保护数据主体的重要利益和公共利益等。
● 域外效力
PDPL 与欧盟 GDPR 在域外效力方面有较大差异,PDPL 域外效力条款的设置方式使其域外效力比 GDPR 更广泛。根据 PDPL 的规定,只要印尼境外的个人数据控制者和处理者的处理活动对该国或该国的任何公民具有“法律影响”,则受到 PDPL 的规制。然而,目前尚未出台进一步明确 PDPL 下“法律影响”的具体含义的条例。
● 跨境数据流动政策
欧盟的政策制定者倾向于通过“充分性决定”来判断一个国家是否具备充分保护欧盟个人数据的水平,并将隐私保护水平与地理位置相联系,从而迫使其他国家调整自己的隐私法以配合 GDPR。事实上,复制和参照 GDPR 并不是全球数据保护立法的唯一路径,许多国家也并不想被欧盟政策制定者评判。
印尼与欧盟的政策不同。根据印尼 2022 年 PDPL 的规定,不论数据位于哪个国家或地区,所有在印尼境内运营的组织都要对印尼的数据负责。印尼正尝试在金融和公共服务等领域之外以“问责制原则”逐步替代数据本地化的要求。2022 年 PDPL 就未设置数据本地化的相关规定。
菲律宾
1
数据保护法律法规体系
菲律宾有关个人数据保护的立法以 2012 年《数据隐私法案》(Data Privacy Act,“DPA”)为核心,其他领域的立法中也含有部分关于个人数据保护的规定。
2
《数据隐私法案》的主要特点
● 概念的界定
DPA 对于“个人信息”、“敏感个人信息”、“信息处理者”、“信息控制者”等核心概念的定义与其他国家基本相同。
● 数据主体的权利
与大多数国家类似,该法赋予了数据主体相对广泛的权利,例如知情权、删除权、可携带权、更证权、查询权、异议权等。
● 国家隐私委员会
为了促进 2012 年 DPA 的实施,菲律宾成立了国家隐私委员会,并赋予其 17 项职能。在菲律宾开展业务需要向国家隐私委员会提交安全事件报告和数据泄露年度报告。
关于我们
律意是一家创新型综合性跨境法律服务平台。基于创始团队在法律大数据及法律服务行业近20年的经验,拥有覆盖全球151个国家和地区的资深律师网络及各行业法律专家资源,已经为数十家跨境制造与消费类企业节约了50%的时间与经济成本。致力于为企业出海提供专业、完善、便捷的一站式法律服务。
联系电话:+86 21 31200806
邮箱:inquiry@lawpurpose.com
地址:上海市静安区愚园路108号7层728
编辑/排版:Elina
