在亚洲，充分了解数据隐私框架至关重要。然而，虽然该地区的法律有着相似的内容，但由于隐私合规文化相对较新，而且各司法管辖区的做法各不相同，因此仍然存在差距。在此，专家们将详细介绍菲律宾、泰国和印度尼西亚如何建立其管理个人数据的法律框架。

导航

---

印度尼西亚

菲律宾

泰国

印度尼西亚

信息技术的发展和用户在数字媒体中的参与度增加，提高了人们对获得个人隐私这一基本人权的认识。鉴于个人数据的大量使用和利用，个人数据保护已变得十分紧迫，这使得隐私越来越受到重视。

在印尼，个人数据保护法规比较分散，主要体现在《电子信息与交易法》（EIT法）、健康与病历法规以及人口管理法。目前，EIT法及其实施细则已成为电子系统中个人数据保护的主要参考，适用于各个行业。然而，现在迫切需要一个一致的监管和法律框架来解决这个问题。

为了解决数字时代日益重要的个人数据保护问题，印尼政府正在起草一项法案（PDP法案），该法案目前正在定稿。PDP法案旨在成为印尼的主要隐私法。PDP法案以欧盟的《通用数据保护条例》(GDPR)为基础，对数据隐私保护进行了一些重大且急需的修改，使其更加符合其他国家目前适用的标准（尤其是GDPR）。对PDP法案进行的重大调整概述如下。

个人数据的分类

EIT法、《关于提供电子系统和交易的2019年第71号政府条例》(GR 71)以及通信和信息技术部(MCIT)《关于电子系统中个人数据保护的2016年第20号条例》(MR 20/2016) 均未对个人数据进行明确描述，而将其宽泛地定义为“通过使用电子系统和/或非电子手段直接或间接地使用该数据或将其与其他信息相结合来识别或能够识别该人身份、与个人有关的任何数据” 。

在即将出台的PDP法案中，个人数据分为一般个人数据和特定个人数据，前者包括姓名、性别、国籍、宗教信仰以及用于识别个人身份的其他综合数据；后者包括健康、生物特征、基因、政治观点、犯罪记录、个人财务数据、性取向、儿童数据以及法律法规规定的其他数据。

然而，无论如何分类，PDP法案没有区分一般个人数据和特定个人数据的处理要求。因此，PDP法案的实施细则以及后续的部门规章可能需要对此作出详细规定。

数据控制人与数据处理人

目前，印尼的法律和法规没有区分数据控制人和处理人。因此，处理个人数据的各方均需承担相同的责任和义务，无论其在数据处理中的实际角色如何。

PDP法案解决了这一问题，它与GDPR一样，将数据控制人和处理人的角色分开。PDP法案将数据控制人定义为决定个人数据处理目的并控制个人数据处理的一方，而数据处理人则被定义为代表数据控制人处理个人数据的一方。

PDP法案进一步区分了责任，处理个人数据的责任由数据控制人而非处理人承担。然而，如果数据处理人在处理时偏离由数据控制人预先设定的指令、顺序或目的（这意味着前者的角色等同于数据控制人的角色），则数据处理人应承担责任。

法律依据

根据GR 71，个人数据被处理的任何人均必须对数据处理明确表示同意。目前，除执法事项外，印尼的法律和法规并不基于此而运作。这一要求被企业视为一种负担，因为他们需要获得数据主体的明确同意，而该同意有时可能被合理地视为已经暗示或不可能获得。

PDP法案采用了类似于GDPR的原则，同意只是合法处理个人数据的若干要求之一。PDP法案为未经同意而处理个人数据的情况引入了类似于GDPR条款的例外情况：

(1)为履行数据主体为一方的合同，或为了在订立合同之前满足数据主体的要求；

(2)为遵守法律规定的数据控制人义务；

(3)为实现数据主体的重大利益；

(4)为行使法律赋予数据控制人的权力；

(5)履行数据控制人为了公共利益而必须履行的公共服务义务；和/或

(6)为追求数据控制人或数据主体的合法利益。

PDP法案中有关强制性同意规定的例外情况，与GR 71的条款相抵触。然而，由于PDP法案在监管体系中的地位将高于GR 71，因此其条款可能会取代GR 71的条款，包括有关个人数据处理合法基础的条款。

跨境数据转移

根据MR 20/2016，个人数据的跨境转移不受限制，前提是转移得到数据主体的同意，并与印尼通信和信息技术部或其他相关部门进行协调。根据印尼通信和信息技术部的现行政策，应通过提交年度报告来实施强制性协调。

PDP法案就控制人对控制人的跨境个人数据传输提出了新的规定，跨境个人数据传输将受到以下条件的限制：

(1)伙伴国家的个人数据保护水平等于或高于PDP法案中的规定；

(2)国家之间有国际协议；

(3)数据控制人之间订立了涉及个人数据保护事项的合同；和/或

(4)数据主体的同意。

但上述规定不适用于控制人对处理人的跨境个人数据转移。

数据泄露

一旦发生数据泄露，GR 71和MR 20/2016要求电子系统运营商在第一时间向MCIT和执法机构报告泄露情况，并在发现泄露后14天内通知数据主体。

PDP法案还对报告义务进行了详细规定，这些规定也适用于电子和传统的个人数据处理。根据PDP法案，数据控制人必须在72小时内书面通知数据主体及通信和信息技术部，告知未能保护个人数据的情况。通知必须详细说明：(i)泄露的数据；(ii)数据何时以及如何外泄；(iii)管理和恢复工作。

数据保护官

PDP法案还引入一项义务，规定符合以下标准的数据控制人和处理人应任命一名数据保护官：

(1)数据处理是为了提供公共服务；

(2)数据控制人的主要活动需要对个人数据进行大规模、频繁和系统的监控；以及

(3)数据控制人的核心活动涉及大规模处理特定个人数据和/或与犯罪活动有关的个人数据。

必须根据数据隐私方面的专业资格、法律知识和实践经验来任命数据保护官。然而，PDP法案并未具体规定强制性资格、技能或教育背景。一般而言，他们的角色是保护和确保由数据控制人或处理人处理的个人数据的安全。

结论

虽然PDP法案被列为立法的优先事项，但目前尚不清楚它何时将作为法律发布和颁布。由于印尼政府仍在集中精力处理新冠疫情，该法案的定稿可能会被推迟。

印尼企业对该法案非常期待，因为全面和一致的个人数据法规是其活动的一个重要方面。由于商业活动已经从根本上变得更加国际化，PDP法案被视为更符合国际标准，如要在这个日益全球化的数字化时代做生意，这是不可避免的结果。

作者：ABNR律师事务所合伙人Agus Ahadi Deradjat、Kevin Omar Sidharta 和律师Mahiswara Timur

Ali Budiardjo Nugroho Reksodiputro Counsellors at Law (ABNR)

Graha CIMB Niaga, 24/F

Jl. Jend. Sudirman, Kav. 58

Jakarta – 12190, Indonesia

电话: +62 21 250 5125/5136

电邮: info@abnrlaw.com

 

www.abnrlaw.com

---

菲律宾

2012年8月15日，《菲律宾数据隐私法》签署成为法律。这是一部管理菲律宾数据隐私保护的综合性法律。菲律宾国家隐私委员会(NPC)是法律主要授权的负责监督该法的管理和实施的政府机构，于2016年8月24日根据该法的《实施细则和条例》(IRR)成立。

《菲律宾数据隐私法》的颁布是为了应对全球范围内更自由的个人数据交换，以及制定数据保护的国际标准，菲律宾是业务流程外包(BPO)服务的全球领导者。

在该法于2012年颁布之前，由于没有对个人数据处理进行集中监管，也没有对数据主体采取全面保护措施，当时大量的个人数据被滥用和误用。从毫无节制地使用和分享联系信息用于最初预期目的以外的目的，到身份盗窃或安全漏洞，这都损害了数据主体受宪法保障的隐私权。

数据隐私制度最早起源于2006年，当时菲律宾贸易和工业部(DTI)发布了第8-2006号行政命令——《个人数据保护指南》。该指南是以欧盟当时的《1995年数据保护指令》（即现行《通用数据保护条例》(GDPR)的前身）为蓝本。因此，该法深深植根于GDPR所倡导的标准和原则。

这部隐私法适用于所有类型的个人信息处理，也适用于私营和政府部门中参与个人信息处理的任何自然人或法人，它涵盖了不在菲律宾境内但有以下行为之一的数据控制人和处理人：(1)使用菲律宾境内的设备；(2)在菲律宾设有办事处、分支机构或代理机构。

除了确定该法适用性的这一检验标准外，如果被处理的个人数据涉及菲律宾公民或菲律宾居民，无论数据主体在哪里，也无论处理在哪里进行，该法也适用于个人信息处理。

例如，该法适用于目前在美国工作的海外菲律宾工人(OFW)的、由菲律宾当地银行处理的个人数据。此外，菲律宾的隐私法也适用于同一海外菲律宾工人的个人数据由位于菲律宾境外的外国银行处理的情况。至于国家隐私委员会如何对上述外国银行执法，则是完全不同的问题。

根据该法，“个人数据处理”被定义为对个人信息执行的任何操作或一组操作（如收集、记录、组织、存储、更新、修改、检索、咨询、使用、整合、屏蔽、删除和销毁）。“个人信息控制人”是指控制个人信息的收集、保存、处理或使用的任何个人或组织（那些按照另一个人或组织的指示履行该等职能的人，或因个人、家庭或家庭事务而履行相同职能的个人除外）。“个人信息处理人”是指个人信息控制人可以向其外包个人数据处理的任何自然人或法人。

下列类型的信息不受该法的管辖：

1. 1. 与现任或前任政府公务员的职务或职能有关的信息；
   2. 与个人根据政府合同提供的服务相关的信息；
   3. 与政府给予个人的任何自由支配的经济利益有关的信息；
   4. 为新闻、艺术、文学或研究目的而处理的个人信息；
   5. 履行公共部门职能所需的信息；
   6. 银行和金融机构遵守《反洗钱法》所需的信息；以及
   7. 根据外国司法管辖区的法律从外国司法管辖区的居民处收集的个人信息。

该法区分了“个人信息”和“敏感个人信息”，因为对信息的合法处理规定了不同的要求。个人信息是指明显反映个人身份的任何信息，或可以合理和直接确定的任何信息，或与其他信息放在一起时可直接和肯定地确定个人身份的信息。

敏感个人信息是指关于一个人的种族、婚姻状况、年龄以及宗教、哲学或政治信仰的个人信息。它包括健康和教育、任何法庭诉讼、政府机构发布的个人特有信息（例如，社保号码、健康记录、执照和纳税申报表），以及法律或法规明确宣布为机密的信息。

《菲律宾数据隐私法》及其《实施细则和条例》通常要求在有效处理个人数据之前获得数据主体的同意，除非个人数据的处理是在该法及其《实施细则和条例》明确规定的任何条件下进行的。请注意，该法仅承认有效的明示同意，而反对默示同意。该法将默示同意定义为“任何自由给予的具体知情的意思表示……[以及]应以书面、电子或记录方式证明”。

该法全面概述了数据主体对其个人信息的权利，这些权利与GDPR所承认的权利类似。这些权利包括：

(1) 知情权；

(2) 查阅权；

(3) 反对权；

(4) 删除和屏蔽权；

(5) 纠正权；

(6) 投诉权；

(7) 损害赔偿权；

(8) 数据可移植权。

数据控制人和数据处理人必须遵守和尊重数据主体的这些权利，除非个人信息被用于科学和统计研究，并且不对数据主体开展任何活动和作出任何决定，或者收集这些信息是为了调查数据主体的任何刑事、行政或税务责任。

该法概述了个人信息安全的一般原则，以及与个人信息转移有关的责任，就政府内敏感个人信息的安全作出了具体规定，并就数据泄露和报告数据泄露事件的基本准则作出了规定。

与GDPR实施的制度类似，菲律宾隐私法律和法规规定，个人信息控制人在个人数据被泄露的情况下有义务通知泄露的情况。此类泄露通知必须送达受影响的数据主体，并向国家隐私委员会报告。向国家隐私委员会提交的泄露通知必须在个人信息控制人或个人信息处理人知道或有合理理由相信发生了需要通知的个人数据泄露后的72小时内完成。

菲律宾隐私法规要求指定或任命一名数据隐私官(DPO)。然而，并非所有DPO都必须在国家隐私委员会登记。下列情况下，DPO必须在国家隐私委员会登记：(1)如果实体雇用250人或以上；(2)如果实体处理包含至少1000人的敏感个人信息的记录；或者(3)如果实体的个人信息处理工作可能对数据主体的权利和自由构成风险，或者被认为不是偶尔发生。

关于最后一项标准，国家隐私委员会发布了指南，列举了它认为强制性登记要求所涵盖的部门，而不论数据主体的数量或容量，也不论正在处理的个人信息。需要进行强制性登记的关键行业如下：

(1)政府机构；

(2)银行和非银行金融机构；

(3)电信和互联网服务提供商；

(4)BPO公司；

(5)大学、学院和所有其他学校和培训机构；

(6)医院、诊所和其他医疗设施；

(7)保险公司和保险经纪人；

(8)从事直销、网络销售和提供奖励卡和酬宾方案的其他公司；

(9)从事研究的制药公司；以及

(10)为上述任何一个关键行业的个人信息控制人处理个人数据的个人信息处理人。

除DPO外，《实施细则和条例》还特别规定，某些形式的数据处理系统必须在国家隐私委员会登记。

最后，违反该法的行为将被处以强制性监禁和罚款。如果涉及敏感个人信息，处罚幅度更大。当至少100人的个人信息受到影响并被视为大规模时，将受到最高处罚。虽然国家隐私委员会和其他相关部门曾提议对该法进行修改，包括取消监禁处罚，但由于目前的新冠疫情，这些提议均被搁置。

作者：ACCRALAW律师事务所合伙人John Paul M Gaba

ACCRALAW

22nd Floor, ACCRALAW Tower

2nd Avenue corner, 30th Street
Crescent Park West Bonifacio Global City,

1635 Taguig, Metro Manila, Philippines

电话: +63 2 8830 8000

电邮: accra@accralaw.com

www.accralaw.com

---

泰国

2019年，泰国颁布了《个人数据保护法》(PDPA)，旨在保护自然人的个人数据免遭未经授权或非法收集、使用或披露。PDPA于2019年5月27日生效，但新冠肺炎疫情导致泰国政府将执行日期推迟至2021年5月31日。然而，最低安全标准已经适用：数据控制人必须向其员工和相关方告知个人数据保护的重要性，并且必须采取一定的行政、技术和物理保护措施。

数据主管部门

PDPA设立了个人数据保护委员会(PDPC)，该委员会下设一个专家委员会和一个小组委员会。根据该法第16条，委员会的职责包括：

(1) 确定个人数据保护的措施或程序；

(2) 发布通知或规定；

(3) 公布保护程序的标准和转移到国外的数据的保护标准；以及

(4) 编制支持和保护个人数据的总体规划。

PDPA还设立了PDPC办公室，其是一个国家机构，还是保护个人数据的学术服务中心，同时还设立了一个监督委员会。

PDPA的许多规定包括在次级条例中，这些次级条例仍有待PDPC宣布和实施。2021年2月，监管机构就次级条例草案举行了一次公开听证会，计划在2021年6月前推出以下次级条例：

1. 1. 获得同意的标准和方法；
   2. 处理个人数据的通知；
   3. 处理敏感个人数据的适当数据保护方法；
   4. 向海外转移数据的标准和保护措施；
   5. 个人数据活动记录、数据主体请求方法和个人数据泄露报告；
   6. 数据处理的安全措施；
   7. 数据保护官员；以及
   8. 投诉和行政执法程序。

豁免行业和机构

PDPA对泰国的数据控制人或数据处理人收集、使用和披露个人数据进行监管。然而，PDPA不适用于下列情况：

(1) 收集数据的人仅为其个人利益或家庭活动收集这些数据。

(2) 公共部门的运作；

(3) 仅为大众媒体、美术或文学活动而收集的数据；

(4) 根据议会或议会委员会的职责和权力收集的数据；

(5) 法院的审判和裁决，以及官员在法律诉讼中的工作；

(6) 信贷机构公司及其成员收集的数据；以及

(7) 死者的数据。

某些行业，例如信贷和医疗保健公司，需要遵守其他特定的法律和附属法规。

个人数据

根据PDPA第6条，个人数据是指与可识别的个人直接或间接相关的任何信息，但不包括死者。

个人数据分为两类：一般个人数据（第24条）和敏感数据（第26条）。收集一般数据需要数据主体的同意。个人数据包括数据主体的地址、电子邮件地址、电话号码、信用卡信息等。

PDPA对敏感的个人数据有更严格的规定。根据PDPA第26条和第27条，未经数据主体的明确同意（在明确的声明中予以确认，而非从行动中推断出的同意），禁止对敏感个人数据进行任何处理。如果有处理数据的合法依据，如重大利益、公共数据、法律申索和法律义务，则关于同意的规定也有例外。

数据控制人和处理人

PDPA对控制个人数据的人和提供个人数据处理服务的人进行了区分。

根据PDPA第6条：

. 数据控制人是有权决定收集、使用或披露个人数据的自然人或法人；以及

. 数据处理人是根据数据控制人发出或代表数据控制人发出的命令，在收集、使用或披露个人数据方面进行操作的自然人或法人。

PDPA第37条规定了数据控制人的职责，包括安排安全措施和核查程序，以及向PDPC办公室通报与个人数据有关的任何违规行为。

PDPA第37条规定，数据控制人必须提供并保持适当的安全措施，以防止个人数据在未经授权或非法的情况下丢失、获取、使用、更改、更正或披露。

PDPA第40条规定了数据处理人的职责，包括安排安全措施，向数据控制人通报与个人数据有关的任何违规行为，以及编制和维护日志。

大多数在经营过程中收集个人数据的公司将被视为控制人或处理人，必须遵守PDPA。如果数据控制人或数据处理人在泰国境外，PDPA适用于收集、使用或披露在泰国境内主体的个人数据，其中数据控制人或数据处理人的活动包括：(1)向在泰国的数据主体提供货物或服务，无论款项是否由数据主体支付；(2)监测数据主体在泰国境内的行为。

数据收集

根据PDPA第21条，个人数据的收集、使用或披露不得以与先前通知数据主体目的不同的方式进行，除非数据主体已被告知新的目的，并且在收集、使用或披露之前已获得其同意。

根据PDPA第23条，数据控制人必须在收集个人数据之前或之时向数据主体通报以下情况：

1. 1. 收集个人数据的目的；
   2. 个人数据的储存期；
   3. 数据控制人的身份（联系方式）；
   4. 数据主体披露其个人数据的原因；
   5. 个人数据潜在接收人的身份证明；
   6. 需要收集的信息；
   7. 数据主体的权利；以及
   8. 不提供信息的影响。

第39条规定，数据控制人必须保存以下记录：

1. 1. 收集的个人数据；
   2. 收集个人数据的目的；
   3. 数据控制人的详细信息；
   4. 个人数据的保存期限；
   5. 查阅个人数据的权利和方法；
   6. 使用或披露无需遵守同意规定的个人数据；
   7. 拒绝请求或反对；以及
   8. 解释防止个人数据外泄的适当安全措施。

根据PDPA第30条，数据主体有权要求查阅和获得由数据控制人负责的与其相关的个人数据副本。根据PDPA第35条，数据控制人必须确保个人数据准确、同步更新、完整以及无误导。

法律依据

根据PDPA第20条，如果未成年人的同意行为不属于《民事和商业法》第22-24条规定的未成年人有权单独做出的行为，则需要得到对未成年人负有家长责任的人的同意。如果未成年人不满10周岁，也需要这种同意。

根据PDPA第24条和第27条，未经数据主体同意，数据控制人不得处理个人数据，除非基于以下理由有合法依据：研究、重大利益、合同、公共任务或政府权力、数据控制人的合法利益（与数据主体的权利相平衡）以及法律义务。

数据泄露

PDPA第37(4)条规定，数据控制人应在知悉任何个人数据泄露后72小时内通知PDPC办公室。

PDPA对违法行为的处罚包括刑事和民事处罚。刑事处罚包括最高一年的监禁和/或最高100万泰铢（32500美元）的罚款。

此外，如果违法行为是由公司董事或负责人的指示或不作为造成的，根据PDPA，他/她也可能受到同样的处罚。民事责任包括惩罚性赔偿，最高可达任何实际损失金额的两倍。还可以在集体诉讼中提出民事损害赔偿。此外，PDPC专家委员会有权对任何违法者处以最高500万泰铢（163417美元）的行政罚款。

结论

由于PDPA具有域外适用性，预计将对泰国境内外旨在收集和使用个人数据或监测该国自然人行为的企业产生重大影响。

作者：Weerawong Chinnavat & Partners律师事务所驻曼谷合伙人Veeranuch Thammavaranucupt、Thaya Uthayophas

WEERAWONG CHINNAVAT & PARTNERS

22nd Floor, Mercury Tower

540 Ploenchit RoadLumpini Pathumwan
Bangkok 10330,Thailand

电话: +662 264 8000

传真: +662 657 2222

 

www.weerawongcp.com