Register

中文

Resources

A-List lawyers Law firm directory

数据保护法律的比较

2022年07月15日

582

0

中国

2021年施行的《个人信息保护法》是中国首部保护个人信息的综合性法律。私密的个人信息作为隐私权受《民法典》保护，而个人信息中的个体权利，无论是私密的还是公开的，均受《个人信息保护法》保护。

数据（包括不属于个人信息的数据）安全、网络安全由《数据安全法》和《网络安全法》予以规范。这两部法律和《个人信息保护法》一同构成了中国的数据隐私和安全的法律体制。

数据主管机关

承担实施数据治理和数据治理执法职责的主管机关为中国国家互联网信息办公室（“网信办”）。其他各行业、各省级监管机构则负责监督管理。

数据分类

谢岚，高盖茨律师事务所 — 谢岚
合伙人
高盖茨律师事务所香港分所
电话: +852 2230 3510
电邮: amigo.xie@klgates.com

为了实施数据国家安全和个人信息保护规则，中国按风险度和重要程度对数据实行分级。《数据安全法》规定了“分类分级的”数据保护制度，按类型对数据分组，并确定每个组别的不同重要程度。国家数据安全工作协调机制负责统筹规划，协调国务院各部门制定“重要数据”目录，加强对重要数据的保护。

《个人信息保护法》区分了个人信息和敏感个人信息。个人信息是指，以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。敏感个人信息是指，一旦泄露或者非法使用，容易导致人格尊严受到侵害或者伤害自然人的个人信息，包括生物识别、宗教信仰、医疗健康、金融账户、行踪轨迹和其他类似信息，以及不满十四周岁未成年人的个人信息。

数据处理者

数据治理体制未单独定义数据控制者和数据受托处理者。《个人信息保护法》将个人信息处理者定义为，自主决定处理个人信息的目的和方式的任何组织或个人。个人信息处理者可委托他人处理个人数据，但应对受托人的作为和不作为负责。个人信息处理者必须采取措施保障个人信息安全，确保第三方受托处理者遵守法律，不超出约定目的处理个人信息。

法律依据

《个人信息保护法》规定了个人信息处理者可处理个人信息的情形，包括：

依法取得数据主体的同意；
为订立或履行合同所必需，或者根据劳动规章制度或集体合同实施人力资源管理所必需；
履行法定义务所必需；
为应对突发公共卫生事件，或者紧急情况下为保护生命健康或财产安全所必需；
新闻报道或公共利益；或
在合理范围内处理个人已公开或其他合法公开的个人信息。

跨境数据传输

孟素珊，高盖茨律师事务所 — **孟素珊**
注册外国律师
高盖茨律师事务所香港分所
电话: +852 2230 3518
电邮: susan.munro@klgates.com

《网络安全法》包含适用于关键信息基础设施运营者产生和收集的个人信息和重要数据的跨境传输的规定，而关键信息基础设施将由政府机关认定。相比之下，《个人信息保护法》包含个人信息跨境传输的全面框架。

多份实施细则和指南或征求意见稿对跨境数据传输做出了规定，包括《网络数据安全管理条例（征求意见稿）》、《数据出境安全评估办法》（“安评办法”）。几部行业法律法规则对某些类型的跨境传输实行了限制或禁止。对个人信息处理者的一般要求包括：

个人信息跨境传输必须合法。
个人信息处理者必须采取一切必要措施，确保境外接收方按《个人信息保护法》规定的标准，处理、保护向其传输的个人信息。
向中国大陆境外传输个人信息之前，必须开展个人信息保护影响评估。

此外，对于某些个人信息处理者，还有具体的数据本地化和国家安全评估要求，包括：

关键信息基础设施运营者在中国境内运营过程中收集和产生的个人信息、重要数据必须存储在中国大陆。
个人信息处理者处理的个人信息数量如果达到网信办规定的数量，应遵守数据境内存储要求。安评办法中规定的数量是一百万或以上个人的数据，等等。
银行业金融机构不得向境外提供个人金融信息，但法律和中国人民银行明确允许的除外。
关键信息基础设施运营者或个人信息处理者处理的个人信息达到法律规定的数量后，如欲向海外接收方提供个人信息，必须通过国家安全评估。
安评办法规定，其他数据处理者拟传输的数据如果包括“重要数据”，则需要进行国家安全评估。
安评办法《数据出境安全评估办法（征求意见稿）》还将国家安全评估要求适用于自上一年1月1日起累计向境外传输十万人以上个人信息或者一万人以上敏感个人信息的个人信息处理者向境外提供个人信息的行为。这些规定数量为累计数。

如果无需国家安全评估，个人信息处理者必须获得指定专业机构的个人信息保护认证，或与境外接收方订立数据传输协议，其中应包含网信办强制要求的标准条款。《网络数据安全管理条例（征求意见稿）》还将该等要求适用于非个人数据的处理者。

未经相关主管机关事先批准，任何个人或组织不得向外国司法或执法机构提供存储于中国大陆的数据。

违法行为与法律责任

《个人信息保护法》还对违法行为规定了下列罚款和处罚：

初次违法的处罚包括，责令改正、给予警告、没收非法所得、责令暂停服务；
如果拒不改正，对每起违法行为可处以不超过一百万元（合十五万美元）的罚款，并对造成违法行为之人或其他责任人员处以一万元至十万元的罚款；
对于严重违法行为，可处以不超过五千万元或上一年度营业额5%的罚款，责令停业，或吊销营业执照。对责任人员可处以十万元至一百万元罚款，并可禁止其担任董事等职位。
如果数据主体蒙受损害，个人信息处理者必须证明自己未侵犯个人信息权利，方可免责。否则，个人信息处理者应承担侵权责任，并应根据数据主体的损失或个人信息处理者获得的利益支付损害赔偿，或支付法院裁定的损害赔偿。
如果个人信息处理者侵犯了众多个人的权利，检察院、法定消费者组织或某些网信办确定的组织可对个人信息处理者提起诉讼。

《数据安全法》和《网络安全法》也包含对违法行为的处罚。

数据泄露

《网络安全法》建立了分级保护制度。数据治理体制规定，一旦发生数据泄露，数据处理者和网络运营者应立即启动应急预案，采取相应补救措施，按规定通知数据主体，并向网信办和相关监管机构报告。

根据《国家网络安全事件应急预案》和《公共互联网网络安全突发事件应急预案》，网络安全事件分为四级：(1) 特别重大； (2) 重大；(3) 较大；(4) 一般。两份预案还对监管机构、监测预警系统、突发事件报告制度、调查评估和保障措施规定了详细规则。

个人信息保护负责人

《个人信息保护法》有强制指定个人信息保护负责人的规定，并规定了下列职责和法律责任：

监督个人信息处理者的数据处理活动、保护措施等等；
直接向个人信息处理者主要负责人报告；
个人法律责任包括，根据违法行为的严重程度，处以十万元至一百万元的罚款。个人信息保护负责人还可能会被禁止担任高级职位、不良信用档案记录、公示；最严重的情况下，还可能被处以行政拘留或遭到刑事起诉。

K&L GATES
44/F Edinburgh Tower, The Landmark
15 Queen’s Road Central, Hong Kong
电话: +852 2230 3500
www.klgates.com

印度

自欧盟通过《通用数据保护条例》（“GDPR”）加强个人数据保护以来，要求实施有关措施、以减少数据漏洞并保护用户隐私不被侵蚀的呼声在全球得到响应。

对科技巨头提出的滥用和粗暴处理个人数据的系列指控，是人们如何看待侵犯数据隐私问题的重大转折点。许多管辖区陆续大幅修改现有法律，为更严格的监管制度铺路。

印度也不例外，同样正在这条战线上努力。

目前，这个领域是由《信息技术法》和《2011年信息技术（合理安全惯例和程序以及敏感个人数据或信息）规则》监管。信息技术法第43A条向数据主体赋权，使其可在敏感个人信息被擅自披露时主张赔偿。第72A条是处罚条款，规定未经同意披露敏感个人信息的行为人（包括中介人）可被处以监禁或罚款。

然而，由于范围非常有限，这些法律的保护不够充分。因此，印度在2018年提出综合性法律草案《个人数据保护法案》，以重塑监管制度。此举旨在提供权利规范机制并部署权利数据基础设施，以便印度解锁数据权力。

但该法案遭到系列争论的冲击，已历经三次修订。

Manisha Singh， LexOrbis — **Manisha Singh**
合伙人
新德里LexOrbis
电邮: manisha@lexorbis.com

在提交给由印度议会两院成员组成的联合议会委员会（“JPC”）处理后，JPC报告与经修订的《数据保护法案》一起于2021年12月16日发布。新法案旨在对个人和非个人数据实施监管，这意味着拟定法律的范围已经拓宽。

拟定法律是基于印度最高法院在KS Puttaswamy诉印度联邦案中确立的原则制定。根据该原则，法律应制裁限制个人隐私权利的行为，并必须具备程序上的防范措施，防止个人隐私遭到滥用。

该法案最具有争议的要素是授予政府的近乎全权豁免。第35条规定，出于保护印度主权和完整、国家安全、与外国的友好关系以及公共秩序的需要，政府可免于遵守所有规定。尽管遭到尖锐批评，但JPC仍保留了该条文。

为限制政府的监控权力，该法案进行了补充说明，表示相关程序必须“公平、公正、合理、相称”。虽然增加豁免限制受到欢迎，但这不够充分。

司法监督对避免政府的任意行为十分关键，政府充分利用豁免的要求应由法院批准。此外，法案本身应涵盖规定充足防范措施的广泛程序机制。如同部分JPC成员在反对记录中所言，为缩小该条文的范围，应删除“公共秩序”一词。

负责监督数据保护法律落实和执行的数据保护局（DPA）还面临另一个问题。根据2019年法案，所有DPA成员应首先获得由内阁秘书和两位秘书级官员组成的提名委员会的推荐，然后再由中央政府任命。在原条文遭到批评后，JPC目前已经在2021年法案中，将总检察长加入该委员会。为使DPA完全独立，可以考虑让司法部门参与并加入一位高级法官（最好是在数据隐私方面发表过真知灼见）。

数据本地化条文也是最大的争议之一。原2018年法案中的总括性数据本地化条文遭到猛烈抨击。在该法案几个后续版本中，由于其他国家的强烈反对，此类条文略有松动。《2021年数据保护法案》现在规定“软本地化”，要求对敏感个人数据进行镜像处理，对关键数据进行强制本地处理。换言之，该法案允许在印度境外转移和存储敏感个人数据，但前提是在印度本地存储副本。

敏感个人数据包括与健康、宗教、性生活、政治信念、生物识别、遗传、财务等有关的数据。在满足某些条件的情况下（完全类似于GDPR的充分性机制），此类数据可以转移到国外。不过，向国外转移关键数据是被禁止的。关键数据必须仅在印度处理和存储，但关键数据的确切定义尚未出台。因此，关键数据会涵盖哪些数据类型尚不明确。

政府就印度如何受益于数据本地化给出了很多理由。印度拥有巨大的数据市场，而其中的大量数据实际存储在美国、爱尔兰等国家的服务器上。强制在本地存储数据会在印度国内形成大规模的数据中心，从而有助于创造本地就业。政府认为，提升印度的整体信息技术或数据基础设施将推动经济进步，并有助于印度成为全球数据处理中心。

Simtrat Kaur，LexOrbis — **Simtrat Kaur**
副合伙人
新德里LexOrbis
电邮: simrat@lexorbis.com

这种关于数据跨境转移的保护主义愿景似乎很美好，但在实施之前，对净收益的估计很重要。为确定这种制度是否会产生净收益，关键是要进行评估，即，遵守数据本地化要求的额外负担，是否可能导致在印度提供数据服务的外国企业大量流失，而且还应考虑外国政府对印度公司采取报复行动的可能性。

更出色的执法是很多人宣扬的另一项优势。评估其他管辖区内存储的数据时，印度执法机构面临诸多限制。例如，印度国内发生一起严重犯罪，而在调查过程中发现，关键证据掌握在位于美国的某些服务提供商手中，这种情况下，印度政府将别无选择，只能求助于《印美司法互助条约》（MLAT）规定的棘手的数据收集机制。

接受MLAT请求前，美国政府需要寻求法院裁定。裁定前，美国法院需要认定印度的请求是否满足相关法律要求。一旦作出裁定，美国服务提供商会生成必要数据，并与美国司法部共享，以审查是否合规，最终才会将此类数据提供给印度。这个流程通常耗时数月，而无法及时获取数据可能会阻碍相关调查。

数据本地化会为印度政府机构提供便捷的数据访问通道和解决方案，不过，衡量和分析这会在多大程度上降低印度对MLAT机制的依赖至关重要。我们可以审视一下，如果数据本地化的拟定软变通方案要求仅对敏感个人数据（而非全部个人数据）进行镜像处理，并且该方案得到采用，那么在这种情况下，执法机构所需的变得易于访问的数据或证据的比例能有多大。本地化理应是对MLAT机制以及与其他国家和地区签订有关直接访问数据的双边执行协议的补充，但评估本地存储强制令给印度签署此类协议的资格带来的冲击（因而适得其反）的风险也很重要。

社会各界对此提出各种意见。总部位于印度的全球智库观察研究基金会的近期报告认为，印度的本地存储强制令可能会构成在《阐明数据海外合法使用法》（“云端法”）项下与美国谈判执行协议的阻碍。云端法是一部授权性质的美国法律，为调查“严重犯罪”的外国政府在遇到国家数据法律冲突时访问数据开辟了国际合作道路。

如果印度是云端协议签署国，则在调查犯罪时，访问位于美国的服务提供商存储的相关数据不需要美国令状或法院裁定，有印度法院裁定即可。印度政府机构可以直接联系美国服务提供商，要求其提供必要数据。不过，云端法列出了确定充分性时需要考虑的因素。

无论如何，印度尚未表现出签署云端协议的意向。即便有这种意向，也应务必牢记，本地化强制令和政府广泛的监督权力可能对印度是否具有资格签署产生影响。

庞大规模和数量的互联网用户是印度的优势，印度也正在设想在全球数据经济中发挥这项优势。就整体评估拟定法律以及某些条文（特别是关于跨境转移的条文）可能带来的风险而言，《数据保护法案》至关重要，以确保最终的法律不会背离初衷。

鉴于相关问题的复杂性，对关键条文进行细致调整并达成共识确实是一项挑战。因此，相关法律最终出台仍需不少时日。

LEXORBIS
709-710 Tolstoy House
15-17 Tolstoy Road
New Delhi – 110001, India
电子邮箱: mail@lexorbis.com

www.lexorbis.com

泰国

泰国颁布了 2019 年个人数据保护法 (PDPA)，以保护自然人的个人数据免受未经授权或非法的收集、使用或披露。该法于 2019 年 5 月 27 日生效，但其全面执行已被推迟两次，最近一次推迟到 2022 年 6 月 1 日。

数据保护主管机关

PDPA 规定成立个人数据保护委员会 (PDPC)，负责下列事务：

确定保护个人数据的措施或程序；
发布通知或法规；
公布数据保护程序和向海外传输数据的保护标准；和
制定支持和保护个人数据的总体计划。

PDPC 还有权设立下属委员会以审议或执行任何行动，并规定在其下设立专家委员会来调查和审议投诉，解决与个人数据有关的争议。

最后，PDPA 规定设立 PDPC 办公室和监督委员会。该办公室为 PDPC、其委员会和监督委员会执行学术和行政任务。该办公室还有权审查和认证国际数据传输政策。

材料、地域范围

Chumpicha Vivitasevi，Weerawong Chinnavat & Partners — **Chumpicha Vivitasevi**
合伙人
曼谷Weerawong Chinnavat & Partners
电话: +66 2264 8000 (ext. 8116)
电邮: chumpicha.v@weerawongcp.com

PDPA 规范泰国的数据控制者或数据处理者对个人数据的收集、使用和披露行为（统称为“处理数据行为”），无论数据处理行为是否发生在该国。

如果数据控制者或数据处理者位于泰国境外，则 PDPA 适用于其在泰国处理数据的行为。其中数据控制者或数据处理者的活动涉及：(1)向泰国境内的数据主体提供商品或服务，无论数据主体是否支付任何款项； (2) 监测数据主体在泰国的行为。但是，PDPA 不适用于：

仅为个人利益或家庭活动而收集的数据；
有关公共当局运作的数据；
仅为与大众媒体、美术或文学有关的活动收集的数据；
属于议会或议会委员会职责和权力的数据；
有关法院审判和裁决的数据，以及法律诉讼中官员的工作情况；和
信用局公司及其成员收集的数据。

数据的收集、使用和披露

PDPA 将个人数据定义为与可识别的个人直接或间接相关的任何信息，但不包括有关已故人士的信息。

有两种类型的个人数据：一般个人数据和敏感数据。一般个人数据包括敏感数据以外任何类型的个人数据。敏感数据包括PDPC规定的有关种族、民族、政治观点、宗教或哲学信仰、性行为、犯罪记录、残疾的数据，以及工会信息、健康数据、遗传数据、生物特征数据和可能对数据主体造成类似影响的任何其他信息。

除非有法律依据允许，否则处理个人数据需要数据主体的明确同意。但是，未经同意处理个人数据的合法依据包括：研究；切身利益；合同；为公共利益或在官方授权下执行的任务；数据控制者的合法利益（与数据主体的权利相平衡）；合法的非营利活动；公共数据；法律索赔；法律义务。

国际数据传输

Thaya Uthayophas，Weerawong Chinnavat & Partners — **Thaya Uthayophas**
律师
曼谷Weerawong Chinnavat & Partners
电话: +62 2264 8000 (ext. 8070)
电邮: thaya.u@weerawongcp.com

根据 PDPA，仅在少数情况下才允许个人数据的国际传输，包括：(1) 传输到由 PDPC 确定的具有完善数据保护标准的目的地国家；(2) 传输是基于经 PDPC 办公室审查和批准的集团数据保护政策；(3) 特定例外情况，包括传输是为了遵守法律或已获得同意的情况下，前提是数据主体已被告知目的地国家的数据保护标准不完善。

数据控制者和处理者

PDPA 对数据控制者和处理者作出区分：前者有权对数据处理行为做出决定，后者根据前者或其代表下达的命令进行数据处理。

数据控制者必须实施安全措施和验证程序，并向 PDPC 办公室提供任何违规通知。PDPA 要求数据控制者采取适当措施，防止个人数据未经授权或非法丢失、访问、使用、更改、更正或披露。数据控制者必须与数据处理者签订协议，以确保遵守 PDPA。

数据处理者负责实施安全措施，通知数据控制者任何违规行为，并准备和维护日志。

透明度和问责制

透明度是 PDPA 下的一项关键原则，数据控制者必须在数据收集之前或之时告知数据主体以下内容：

收集的目的，包括其法律依据；
不提供信息的影响；
待收集的数据和存储期限；
可能获得个人数据的个人或实体的类别；
数据控制者和控制者代表或数据保护官（视情况而定）的联系信息、地址和联系方式；和
数据主体的权利。

此外，数据处理行为必须按照先前通知数据主体的目的进行，除非数据主体已被告知新的目的并已获得其事先同意。

对于 PDPA 下的问责制，数据控制者还必须保留以下记录，并提供给数据主体和 PDPC 办公室检查：

收集的个人数据；
收集的目的；
数据控制者的详细信息；
个人数据的保留期限；
访问个人数据的权利和方法；
无须获取同意的个人数据的使用或披露；
拒绝请求或反对；和
说明防止数据泄露的适当安全措施。

数据泄露通知

PDPA 要求数据控制者在发现任何个人数据泄露事件后 72 小时内通知 PDPC 办公室，除非该泄露事件不太可能损害数据主体的权利和自由。如果泄露事件对数据主体的权利和自由构成高风险，数据控制者必须立即通知数据主体并采取补救措施。

数据主体的权利

数据主体对数据控制者享有权利，包括要求访问和获取其个人数据副本、数据可迁移性、反对处理、被遗忘、限制使用个人数据以及修改他们的数据以确保准确性等权利。

处罚

对不遵守 PDPA 的处罚包括刑事、行政和民事处罚。刑事处罚包括最高一年的监禁和/或最高 100 万泰铢（29,250 美元）的罚款。如果违规是由公司负责人的指示或疏忽造成，该人也可能受到同样的处罚。民事责任包括最高为实际损失金额两倍的惩罚性赔偿，民事赔偿可通过集体诉讼提出。PDPC 有权就一般数据处以最高300万泰铢的行政罚款，就敏感数据处以 500 万泰铢的行政罚款。

附属条例

PDPC已经就三个附属条例草案举行公开听证会，目前正在就以下事项对三个草案进行审议：

获得数据主体同意的标准和方法；
个人数据的处理；
对敏感个人数据采取适当的数据保护方法；
向海外传输数据的标准和保护措施；
活动记录、数据主体请求的方法和泄露报告；
数据保护官员；
任命外国代表；
特别规定的行业例外情况；
与数据主体权利有关的义务；
数据处理者的职责；
行为准则；
数据保护影响评估和自动化决策；和
个人数据保护标准和认证。

WEERAWONG CHINNAVAT & PARTNERS
22/F, Mercury Tower, 540 Ploenchit Road, Lumpini
Pathumwan, Bangkok 10330, Thailand
电话: +662 264 8215
www.weerawongcp.com

菲律宾

菲律宾《数据隐私法》适用于各类个人信息的处理和参与处理的任何自然人或法人，无论个人信息由谁控制或处理。

如果个人信息的控制者、处理者并非在菲律宾创立或成立，却使用了位于该国的设备，或在该国设有办事处、分支机构或代理机构，则该法对其域外适用，但该法第4条规定的例外情形除外。

个人信息

个人信息是指，“能够表明个人身份，或持有信息的实体可合理和直接确定个人身份，或者一旦与其他信息结合在一起，将确定无疑地直接识别出个人的任何信息，无论是否以实体形式记录。”

该法还区分了个人信息和敏感个人信息，后者包括：年龄；种族背景；婚姻状况；肤色；所属的宗教、哲学、政治派别；个人健康、教育背景、基因或性生活、所犯的或被指控的罪行；政府颁发的身份证明；健康记录；税务申报。同时，《法院规则》项下的特许保密信息，即在律师-当事人关系持续期间披露的信息，也视为敏感个人信息。

适用原则

Enrique Dela Cruz，DivinaLaw律师事务所 — **Enrique Dela Cruz**
高级合伙人
DivinaLaw律师事务所马卡蒂市办公室

该法将“处理”定义为，“对个人信息执行的任何操作或任何一组操作，包括但不限于收集、记录、组织、存储、更新或修改、检索、查询、使用、合并、阻截、擦除或销毁数据。”

在遵守了该法第11条和12条项下要求的情况下，可处理个人信息。根据第11条，处理应本着透明、正当目的、比例原则进行。第12条规定，允许处理的前提为，未为法律所禁止，而且满足至少一项条件，如数据主体同意，履行合同或遵守法定义务所需，等等。

一般而言，不得处理敏感个人信息。例外情形为：数据主体已同意；现行法律法规允许；在保护数据主体或他人的生命、健康所需的情况下，数据主体无法表示同意的；实现公共组织及其社团合法的非商业目的所需；医疗目的所需；法律诉讼中保护自然人或法人合法权利和权益所需；或者，为了确立、行使或捍卫法定请求权，或向政府或公共当局提供时。

最后，2017年8月发布的《国家隐私委员会（NPC）咨询意见》明确了同意的方式。

该意见强调默示或推定同意无效，并引用了欧盟《通用数据保护条例》序言第32条的规定，“缄默、事先勾选的对话框或不作为不构成同意”。

数据主体的权利。根据《数据隐私法》第16条，数据主体享有以下权利：

获得个人信息处理通知的权利，包括关于自动做出决定和资料收集机制的存在的通知。
此外，这还包括数据主体知晓作为个人数据售卖或披露对象之人、接受处理的个人数据内容的权利；
查阅权；
对处理表示异议的权利；
擦除或阻截的权利；
损害赔偿请求权；
提起诉讼的权利，但应先穷尽其他救济手段，并满足时效要求；
要求纠正的权利；
数据可移植性的权利。

数据保护专员。个人信息控制者必须任命数据保护专员负责遵守《数据隐私法》。

登记。《数据隐私法》实施细则规定，如有下列情形之一，个人数据处理系统必须登记：

处理至少1,000名个人的敏感个人信息；
个人信息控制者或个人信息处理者雇员人数不少于250人；
雇员人数少于250人，但处理并非偶尔发生；或
雇员人数少于250人，但对信息的处理可能会危及数据主体的权利和自由。

转移。个人信息控制者对向第三方传输的个人信息负责。

泄露。一旦个人数据泄露，个人信息控制者或个人信息处理者应在发现后的72小时内，通知NPC和受影响的数据主体。