2022 年是东南亚数据隐私和网络安全法律发展具有里程碑意义的一年。以下为一些主要的进展:
1
2
3
越南的个人数据保护法令草案尚未颁布,而新的第 53 号法令已经发布,为《网络安全法》提供指导。
4
印度2019年的数据保护法案草案于2022年8月3日被撤回。取而代之的是预计将于2022年12月提交议会的新数据保护法案。
5
最近,一起新加坡法院案件已将情绪困扰视为数据主体提出的索赔中的可诉损失和损害。此外,根据《个人数据保护法》,自2022年10月1日起生效的行政罚款最高可达新加坡组织年营业额的 10%(如果年营业额超过1000万新元)。
6
各种隐私法改革提案已提交马来西亚议会讨论,包括强制性违规通知等。
7
菲律宾采用了根据数据隐私法确定罚款的新方法。
1. 印度尼西亚
印度尼西亚的新数据隐私法
-
PDPL 采用“数据主体”、“数据控制者”和“数据处理者”的概念,并要求在3天内(大大短于之前制度下的14天期限)向当局发出强制性数据泄露通知。
-
处理个人数据的法律依据与GDPR下的类似。除了数据主体的同意之外,其他法律依据还包括合同必要性、法律义务、保护数据主体的切身利益和控制者的合法利益。替代法律依据的可用性与以前的制度有很大的不同,以前的制度几乎在所有情况下都需要同意。
-
PDPL的域外效力比GDPR更广泛,因为它不限于某些触发条件。位于印度尼西亚境外的个人数据控制者和处理者如果在印度尼西亚处理个人数据并且此类处理对印度尼西亚或印度尼西亚的任何人具有“法律影响”,则必须遵守 PDPL。不过目前尚未进一步明确关于PDPL下“法律影响”的含义。
2. 泰国
泰国的多项隐私法规
-
BE 2562(2019)《向数据主体请求同意的实践指南》规定了获得个人有效同意的详细要求,包括时间和要向数据主体提供的信息。
-
2562 (2019)《根据<个人数据保护法>向数据主体通知收集个人数据的目的及详情信息的程序指南》规定了机构在向数据主体发出有关如何处理其个人数据的通知时的原则。
-
《中小型企业记录保存义务豁免通知》(“ROPA指南”)规定了ROPA记录中必须包含的基本信息。
-
个人数据保护委员会办公室目前正在就其关于个人数据跨境传输的通知草案举行公开听证会,该通知草案将在个人数据跨境传输方面补充PDPA的境外适用。通知草案遵循GDPR的方法,规定了有关具有约束力的公司规则和其他保障措施的要求,包括标准合同条款、行为准则和认证。听证会一直持续到2022年10月24日。
3. 越南
第53号法令最终明确《网络安全法》
第 53/2022/ND-CP号法令(“第53号法令”)于2022年10月1日生效,阐明了《网络安全法》(24/2018/QH14)的一些重要方面,包括将数据本地化要求适用于在越南注册的实体和外国企业。
《网络安全法》和第53号法令共同规定,数据本地化要求仅适用于以下在越南注册的实体:(i)电信网络、互联网或在网络空间提供增值服务的服务提供商;和(ii)处理越南用户的个人数据、有关越南用户关系的数据或越南用户创建的数据。国内实体必须在越南无限期保留此类特定数据。我们从越南公安部了解到,可以在本地服务器中镜像此类数据,并在越南境外保留个人数据的副本。
对于外国企业,第53号法令明确指出,此类特定数据需要存储在越南,并且只有在满足以下所有条件的情况下才需要在当地设立机构:
该公司在与网络空间相关的部门运营,即电信服务、在网络空间存储和共享数据的服务、电子商务和在线支付服务(“特定服务”)等;
在执行特定服务时违反《网络安全法》;
不遵守网络安全和高科技犯罪预防部(“DCPHC”)的通知或要求;和
DCPHC签发相关数据本地化要求。
《网络安全法》要求国内外服务提供商将用户数据存储在越南。由于该要求尚未细化,例如数据本地化要求的范围,因此相关企业需要给予持续关注。
虽然第53号法令有助于明确《网络安全法》的主要要求,但根据第53号法令,必须始终获得数据主体的同意,没有其他替代性法律依据来处理个人数据。此外,第53号法令不包含任何要求通知数据泄露的门槛,这意味着所有类型的数据泄露都应予以通知。
4. 印度
印度数据保护法的全面改革
2022年8月3日,印度撤回了2019年出台的个人数据保护法案。印度议会对废除的法案进行了详细的审议,在撤回前提出了80多项修正案和12项建议。一项新的数据保护法案预计将于2022年12月提交印度议会批准。
废除法案下的主要关注领域包括敏感信息的管理和印度政府访问数据的范围。
5. 新加坡
(i) 情绪困扰被视为可诉损失和损害
新加坡上诉法院裁定,根据2012年的《个人数据保护法》(“PDPA”),情绪困扰(“distress”)可能构成可起诉的“损失或损害”。在确定情绪困扰是否是一种损失或损害形式时,上诉法院在Reed, Michael v Bellingham, Alex (Attorney-General, intervener) [2022] SGCA 60中发现,对 PDPA进行更广泛的解释能够更好地实现PDPA的目的,以及议会使PDPA的执行机制成为个人保护其个人数据权利的有效手段之意图。
(ii) 新的行政罚款最高可达新加坡组织年营业额的10%
根据2020年《个人数据保护法(修正案)》所做的修订, PDPA对数据泄露的行政罚款最高为机构在新加坡年营业额的10%(如果其年营业额超过1,000万新元),其已于2022年10月1日生效。机构可能因违反 PDPA下的个人数据保护要求(PDPA第9部分和第48 B(1)条除外)而被罚款。
6. 马来西亚
隐私法改革提交马来西亚议会讨论
根据2010年的《个人数据保护法》(“PDPA”),马来西亚目前没有强制性的数据泄露通知要求。实施强制性数据泄露通知制度的改革方案已于2022年10月提交议会讨论。
在个人资料保护委员会(“PDPC”)于2020年2月发布的 PDPA公开征求意见文件中,拟议的强制数据通知制度是22项建议之一。
拟议的强制性数据泄露通知制度将要求在72小时内向PDPC报告个人数据泄露。PDPC建议将发布指南,以指导机构遵守这一新的强制性通知要求。
据报道,提交议会讨论的其他建议包括:(i)对数据处理者施加直接义务以遵守PDPA下的安全原则;(ii)任命数据保护官;(iii)赋予数据可携带权,即数据用户应数据主体的要求(如果技术上可行)以用户友好的机器可读格式将数据主体的个人数据转移给另一数据用户;(iv)马来西亚跨境转移司法辖区的“黑名单”(以取代目前的“白名单” 规定)。
7. 菲律宾
根据数据隐私法确定罚款的新方法
根据最近发布的关于《行政罚款指南》的菲律宾国家隐私委员会通知第2022-01号,在确定违反2012年的《数据隐私法》的罚款方面菲律宾将采用一种全新的方法。
该指南规定了三类违规行为,即:(i)严重违规行为;(ii)重大违规行为;(iii)其他违规行为。违规行为根据以下内容分类:
(a) 受影响的数据主体的数量;
(b) 违规频率;和
(c) 违规原因(例如疏忽、大意或故意行为)。
“严重违规”和“重大违规”的行政罚款与违法者年总收入的一定比例挂钩(即分别为0.5%至3%和0.25%至2%)。“其他违规行为”将被处以50,000菲律宾比索(870 美元)至 200,000菲律宾比索(3,500美元)的罚款。
史密夫斐尔如何帮助您
相关推送
2022-11-01
2022-07-15
2022-07-04
2022-06-29
如需就相关法律进行咨询,欢迎联系以下律师或您在史密夫斐尔的惯常联系人。
|
|
|
|
Nanda.Lau |
|
Peggy Chow Peggy.Chow |
|
|
|
|
|
Alizee Zheng |
史密夫斐尔律师事务所是领先的全球一体化综合性律所,在全球各主要司法辖区设有25家办公室,拥有约3000位律师。本所根植大中华区市场30余年,北京、上海、香港三个办公室拥有强有力的律师团队,对中国的商业文化有着细致深入的体会和理解,为客户提供高效、优质的全方位法律服务。
史密夫斐尔与上海市自贸区的科伟律师事务所正式联营,通过科伟史密夫斐尔联营办公室 (Herbert Smith Freehills Kewei (FTZ) Joint Operation) 提供中国法及外国法服务。
