出海东南亚的中国企业个人数据回传合规机制探析
2023-06-12
近年来���,中国国内掀起了东南亚投资热潮。其中���,新加坡���、泰国和菲律宾是中国企业在东南亚国家中的首选的三个投资目的地国。在企业经营过程中���,企业的海外企业每日会产生大量数据���,其中很多数据都将基于企业的业务需要回传至中国境内。在这样的业务需求下���,出海投资新加坡���、泰国和菲律宾的企业不仅要符合中国国内对于数据出境的合规要求���,还需要依据投资目的地国的法律法规设计和规划境外分支机构数据回传至中国内地的合规机制。本文将尝试基于中国企业在新加坡���、泰国和菲律宾三国设立的分支机构从上述三国将数据回传至中国内地的业务场景���,对个人数据跨境传输规则的适用性���、跨境传输规则的内容以及法律责任进行梳理���,以期对出海东南亚市场的中国企业提供数据法实务上的建议。
一���、规则的适用性
在实务中���,企业合规的逻辑前提往往始于分析规则的适用性。在数据法上���,数据法适用于具体个案需要考查处理数据的材料范围和处理数据的主体适格性。下文将根据中国企业传输以及接收的数据内容与中国企业在数据传输中所扮演的角色对新加坡���、泰国和菲律宾的个人信息保护立法的适用情况作一阐述。
(一)传输材料的适格性���:传输的数据经常包含个人信息
与中国内地的《个人信息保护法》相同[1]���,个人数据(或称“个人信息”)在新加坡���、泰国和菲律宾的个人信息保护立法中也是一个涵盖范围非常广的法律术语。根据新加坡《2012年个人数据保护法(2020年修订)Personal Data Protection Act 2012(2020 Revised Edition)》(以下简称“《新加坡个数法》”)第2条第(1)款第27项���:“‘个人数据’是指可以从该数据中识别出来或者从该数据和该组织已经或有可能获得的其他信息中识别出关于一个自然人的数据���,无论信息真实与否。”根据泰国《2019年个人数据保护法(Personal Data Protection Act, B.E. 2562 (2019))》(以下简称“《泰国个数法》”)第6条第1款���,“‘个人数据’是指可以直接或间接地识别与个人有关的任何信息���,但不包括特别是已故自然人的信息。”根据菲律宾《2012年数据隐私法(Data Privacy Act of 2012)》(以下简称“《菲律宾数据法》”)第3条第1款第(g)项���,“个人信息是指持有该信息的实体可从中识别出个人身份���,或可合理和直接地确定个人身份���,或与其他信息放在一起时可直接和肯定地确定个人身份的任何信息���,无论是否以物质形式记录。”
中国出海投资新加坡���、泰国或菲律宾的企业中���,往往会出于全球战略或者跨国企业业务经营的需要���,将诸如公司或境外分支机构的员工信息���、视频监控���、客户信息等回传至中国内地的母公司���,而这些信息则通常包含的自然人的姓名���、电话号码���、通讯地址���、人脸面部���、体态等特征信息���,结合企业已经掌握的其他信息���,是可以识别出诸如员工和客户的身份的���,因此属于《新加坡个数法》《泰国个数法》和《菲律宾数据法》项下的个人数据或个人信息。
(二)处理数据主体的适格性
如果中国内地的企业作为接收者直接接收数据���,那么中国内地的企业往往会被视为数据接收者���,以上三国的个人数据跨境传输规则适用中国内地企业自不待言。然而���,即便企业在中国国内部署了第三方平台用来接收数据���,该平台甚至不存储���、不加工处理传输的数据���,上述三国的个人信息立法却依然适用于这些中国企业。
在中国国内部署的平台可以被视作上述三国个人信息立法中的数据中介(data intermediary)或者数据/个人信息处理者(data/personal information processor)���,内地企业及其在上述三国的分支机构则被视作三国个人信息立法中的组织(organisation)或者数据控制者(data/personal information controller)。《新加坡个数法》第2条第(1)款第14项规定���:“‘数据中介’是指代表另一组织处理个人数据的组织���,但不包括该另一组织的雇员。”第2条第(1)款第26项规定���:“‘组织’包括…在新加坡设有办公室或营业场所的公司。”《泰国个数法》第6条第1款第2项规定���:“‘数据控制者’是指有权力和义务就收集���、使用或披露个人资料作出决定的个人或法人”���,第6条第1款第2项规定���:“‘数据处理者’是指根据数据控制者或代表数据控制者发出的指令���,在收集���、使用或披露个人数据方面进行操作的个人或法人���,而该个人或法人不是数据控制者。”《菲律宾数据法》第3条第1款第(h)项规定���:“个人信息控制者是指控制收集���、持有���、处理或使用个人信息的个人或组织���,包括指示其他个人或组织代表其收集���、持有���、处理���、使用���、转让或披露个人信息的个人或组织。”第3条第1款第(h)项第(2)(i)目规定���:“个人信息处理者是指任何有资格根据本法行事的个人信息控制者可以将与数据主体有关的个人数据的处理外包给他们自然人或法人。”基于此���,境内企业及其在上述三国的分支机构因其在数据跨境传输中决定了数据传输和接收的目的而被视为组织或者数据控制者���,而内地企业在中国内地部署的平台则因其根据企业确定的传输目的和方式接收数据而被视作数据中介或者数据/个人信息处理者。
另外���,三国的个人信息立法广泛适用于组织或者数据控制者以及数据中介或者数据处理者任何收集���、使用���、披露���、传输或以其他方式处理个人数据或个人信息的行为。因此���,即使国内平台不存储数据���,并且不加工和“处理”数据���,但是由于中国企业的境外分支机构传输数据的行为与母公司指令国内平台接收数据的行为却均涵盖在上述三国个人信息立法的适用范围内。虽然三国的个人信息立法亦规定了法律排除适用的范围。然而���,三国的个人信息立法的排除适用范围都非常有限���,仅包含诸如为家务需要处理个人信息���、为司法或立法行为处理个人信息���、为执行公务处理个人信息���、为大众媒体报道和文学创作处理个人信息等在非商业环境发生的或者偶发的数据处理活动[2]。显然���,中国企业通常安排将海外分支机构的数据传输至中国境内的场景在大多数情况下都并不属于这些排除适用范围的项目。
因此���,以上三国的个人信息立法适用于中国企业在新加坡���、泰国和菲律宾的海外分支机构的数据回传至国内的行为。
二���、中国企业可以采取的合规方式与路径
如上论及���,传输数据受到以上三国的个人信息立法项下跨境数据传输规则的约束���,而上述三国的个人信息保护立法就跨境数据传输活动中对于以上主体规定了不同的要求。
(一)从新加坡将数据传输至中国内地的合规方式与路径
根据新加坡《2021年个人数据保护条例(Personal Data Protection Regulations 2021)》(以下简称“《新加坡个数条例》”)第10条至第12条���,中国内地企业在新加坡设立的分支机构从新加坡将个人数据传输至中国内地时���,应当按照新加坡的个人信息保护立法规定的要求���,确保对跨境传输的个人数据提供与新加坡个人信息保护立法规定保护标准相当的保护。具体可以达到《新加坡个数法》第26条所规定的保护标准的方法包括���:
(1)新加坡分支机构(数据传输方)���、中国内地的母公司(作为数据接收方的数据控制者)与接收数据的第三方平台(如有���,作为数据中介的数据接收方)签订要求接收方提供至少与新加坡的个人信息立法规定的保护标准相当的保护标准的合同(该路径以下简称“合同条款”);
(2)因为中国企业与各个海外分支机构是关联主体���,母公司与新加坡的分支机构(也可以包含其他境外分支机构)可以签订具有约束力的公司规则(Binding Corporate Rules)(该路径以下简称“BCR”);
(4)取得所涉自然人对于传输行为的可以留存记录的同意;
(5)跨境数据传输是为履行上述新加坡分支机构与数据主体之间的合同所必须的行为;
(6)为实现国家利益或者数据主体个人重大利益(如保护个人生命���、健康或安全等)而必须进行数据传输;以及
(7)在新加坡公开跨境传输的数据。
新加坡个人数据保护委员会(Personal Data Protection Commission)所发布的���,旨在履行在新加坡推广数据保护意识���,管理和执行《新加坡个数法》的委员会职能的《关于个人数据保护法中关键概念的咨询指南》(Advisory Guidelines on Key Concepts in the Personal Data Protection Act)已经比较清晰地阐明了合同条款和BCR的签订主体和具体要求等合规要求。另外���,新加坡的问责机构���,即新加坡信息通信媒体发展局(Infocomm Media Development Authority)对于其受理的CBPR认证提供了详细的要求和指引。企业可以参考以上文件或者咨询专业机构和人士���,规划和设计企业的合规数据传输机制。
(二)从泰国将数据传输至中国内地的合规方式与路径
根据泰国《泰国个数法》第28条和第29条���,企业的泰国分支机构将数据传输至中国内地需要满足以下条件之一���:
(1)接收个人数据的目的地国家应具有适当的数据保护标准���,并且跨境数据传输应按照泰国个人数据保护委员会(Personal Data Protection Committee)(以下简称“泰国委员会”)发布的保护传输至泰国境外的个人数据的标准的规则进行;
(2)跨境数据传输系遵守法律所必需;
(3)取得所涉自然人对于传输的同意;
(4)跨境数据传输是为履行上述泰国分支机构与数据主体之间的合同所必须的行为���,或为了在签订合同前应数据主体的要求所采取的措施;
(5)跨境数据传输是为了遵守数据控制者与其他自然人或法人之间的为维护数据主体利益的合同;
(6)跨境数据传输是为了防止或制止对数据主体或其他人的生命���、身体或健康的危险���,而数据主体在这时没有能力作出同意;
(7)跨境数据传输是为了开展与重大公共利益有关的活动而必须的行为;或者
(8)为了同一集团或附属企业共同的商业运作���,跨境数据传输是向同一集团或附属企业内的集团组织进行的���,并且跨境数据传输须基于泰国个人数据保护委员会办公室(Office of the Personal Data Protection Committee)(以下简称“办公室”)审查和认证的个人数据保护政策。
以上合规路径中���,路径(2)—(8)和新加坡的跨境数据传输规则类似。就路径(1)和(8)而言���,泰国委员会于2022年10月24日对数据跨境传输的具体规则进行了听证���,目前还未公布具体的规则措施落实和实施上述跨境数据传输规则。因此���,泰国委员会或者办公室针对保护传输至外国的个人数据的标准的规则以及办公室审查和认证的个人数据保护政策的方法及标准目前尚不明朗。
(三)从菲律宾将数据传输至中国内地的合规方式与路径
根据菲律宾《菲律宾数据法》第21条以及菲律宾《2012年数据隐私法的实施细则和条例(Implementing Rules and Regulations of the Data Privacy Act of 2012)》第51条���,企业的菲律宾分支机构将数据传输至中国内地需要同时满足以下条件���:
(1)签订合同或采取其他合理措施���,确保个人信息接收方提供与《菲律宾数据法》保护标准类似的保护水准;以及
(2)企业还需要指定至少一名个人对在菲律宾的分支机构遵守《菲律宾数据法》的情况负责。该指定的个人的身份应根据要求向所涉及的个人信息主体通知或公布。
合规路径(1)中签订合同的主体���、内容和要求与新加坡法律项下规定的规则差别不大���,具体企业可以参考菲律宾国家隐私委员会(National Privacy Commission)发布的《东盟合同示范条款和东盟数据管理框架使用指南》(Guidance for the Use of the ASEAN Model Contract Clauses and ASEAN Data Management Framework)[3]。
鉴于菲律宾也是CBPR体系的成员国���,合规路径(1)中其他合理措施应当可能包括BCR或者认证���,因此企业或者企业在国内部署的平台可以在菲律宾申请CBPR认证���,以及通过BCR约束公司与参与数据传输和接收的公司的海外关联实体。不过���,由于菲律宾暂时还未对CBPR认证全面落实实施与运作���,目前菲律宾的政府部门或者问责机构并未披露和发布CBPR认证在菲律宾的实施细节。
(四)在中国内地分别接收从新加坡���、泰国和菲律宾传输的数据的合规风险与合规方式与路径
目前���,中国内地个人信息保护立法和数据立法规则仅对中国境内数据处理者向境外提供在中国内地运营中收集和产生的重要数据和个人信息设置约束条件���,对于接收境外传输进入中国内地的数据和个人信息并未设置限制或约束。因此���,在中国法下���,企业或者企业使用的平台在中国内地分别接收从新加坡���、泰国和菲律宾传输的数据目前没有合规风险���,也不需要采取其他额外行动以符合中国内地法律的规定。
三���、违反合规要求所导致的处罚
根据《新加坡个数法》第48D第(1)款���、第48E条第(1)款和第48F条第(1)款���,对未履行上述合规要求向境外披露[4]个人信息的���,可能面临5,000新元(约26,220.50元人民币)至100,000新元(约524,410.00元人民币)不等的罚款���,以及不超过3年的监禁。
根据《泰国个数法》第79条至第90条���,违反《泰国个数法》的行政罚款最高可达500万泰铢(约1019118.67元人民币)���,刑事罚款最高可达100万泰铢(约203823.73元人民币)。对违反《泰国个数法》的公司的董事���、经理或负责人可处以刑事罚款。违反《泰国个数法》的行为可导致最高一年的监禁。违反《泰国个数法》公司的董事���、经理或负责人可被处以刑事罚款。
根据《菲律宾数据法》第28条和第29条���,对未履行上述合规要求向境外传输个人信息的(未经授权的目的处理个人信息的)行为���,将被处以1年零6个月至5年的监禁���,并对为未经数据主体授权或该法或现行法律授权的目的处理个人信息者处以不少于50万比索(约63,218.161元人民币)但不超过100万比索(约126,436.32元人民币)的罚款。
由于中国内地数据立法和个人信息保护立法规则不对企业或者企业使用的平台在中国内地分别接收从新加坡���、泰国和菲律宾传输的数据施加额外的合规要求���,因此暂时不涉及中国内地对该等行为作出的处罚。
结语���:
自2016年欧盟《通用数据保护条例》颁布以来���,个人数据和隐私保护在全球范围内已经成为一个高度监管的重点领域。目前东南亚各司法辖区也正在加快部署落实其个人信息保护和数据安全立法的全面实施。出海投资境外的中国企业不仅应当关注中国内地在这方面的合规要求���,还应该密切关注出海目的地国家或地区的立法与执法动态以及行业实践���,有针对性地采取措施���,不断提升企业的数据合规水平���,尽早采取相应措施���,避免潜在合规风险���,促进企业合规经营和发展。
参考文献���:
[1]《中华人民共和国个人信息保护法》第4条第1款���:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息���,不包括匿名化处理后的信息。”
[2]详见《新加坡个数法》第4条���、《泰国个数法》第3-4条���、《菲律宾数据法》第4条第2款。
[3]参见
http://www.privacy.gov.ph/wp-content/uploads/2021/06/Advisory-ASEAN-MCC-DMF_FINAL-signed.pdf���,2023年6月2日访问。
[4]根据《新加坡个数法》第48C条第(1)款第1项���:“披露(disclose)…包括提供对个人数据的访问途径。”
本文作者���:
声明���:
本文由k8凯发天生赢家·一触即发律师事务所律师原创���,仅代表作者本人观点���,不得视为k8凯发天生赢家·一触即发律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容���,请注明出处。
