出海必备——东南亚数据合规监管要点（泰国、印尼篇）

2019年2月28日，泰国国家立法议会通过《个人数据保护法》。这是泰国制定的第一部用于管理和保护数据的法律，该法案适用于在泰国境内为泰国提供产品或服务而处理个人数据的实体。

PDPA于2022年6月1日正式生效。该法最初于2019年5月在泰国皇家公报上颁布，留有一年的宽限期，但由于疫情暴发，泰国政府将合规期限延长至2022年6月1日。

敏感数据：目前泰国PDPA未明确规定敏感个人信息的定义及范围，但其在第26条中明确：收集与以下任何类型的数据相关的数据需要数据主体的同意，包括收集与种族、民族血统、政治观点、宗教或哲学信仰、性行为、犯罪记录、健康数据、残疾、工会信息、遗传数据、生物识别数据有关的任何个人数据，或可能以个人数据保护委员会（以下称“PDPC”）规定的同样方式影响数据主体的任何数据。

知情权、访问权、纠正权、删除权、撤回同意权、数据可携权等权利。

根据泰国PDPA规定，数据控制者和数据处理者在未征得数据主体同意的情况下，不得将个人数据转移至泰国境外，除非满足相关法律要求或者属于合同履行所必须。数据接收国应当采取与泰国PDPA相匹配的保护标准，除非法律另有约定，否则无法将个人数据转移到泰国境外。

《根据PDPA第28条跨境传输个人数据的通知》（以下称“第28条通知”）及《根据PDPA第29条跨境传输个人数据的通知》（以下称“第29条通知”）将于2024年3月24日生效。

根据上述规定，数据的跨境传输也存在着豁免情形。其中，需要注意“第29号规定”中所述：针对同一集团/关联企业内的组织基于联合业务运营，则集团公司之间的传输可以免除上述要求。然而，此类集团公司的个人数据保护政策或具有约束力的公司规则（binding corporate rules,以下称“BCR”）必须得到监管机构的批准，相关数据控制者或数据处理者应按照规定提交监管机构审批。

大规模处理个人数据的公共机构或企业应任命数据保护官，专门负责帮助其处理个人数据以及数据主体的请求，数据保护官(Data Protection Officer,以下简称“DPO”)，将搭建起与数据主体之间的沟通渠道，以更加高效地协助数据主体解决问题。

根据泰国PDPA第41条规定，符合以下条件的数据控制者和数据处理者需要任命一名数据保护官：

(1)是监管机构规定和公布的公共机构；

(2)因收集、使用或披露监管机构规定的大规模个人数据而需要定期监控个人数据或系统；

(3)资料控制者或资料处理者的核心活动涉及收集、使用或披露敏感个人数据。

《泰国关于任命数据保护官的通知》（以下简称“通知”）于2023年12月正式生效，该规定详细说明了“核心活动”及“大规模个人数据”的要求。同时，其规定在设置DPO应当考虑以下标准：核心活动标准、定期检测标准、大规模标准。

数据控制者和数据处理者有义务向数据主体和PDPC提供DPO的信息，包括其联系地址和联系渠道。若企业经评估后认为需要设置DPO,企业应当按照指定流程并通知数据主体及PDPC。具体方式为企业可浏览PDPC官方网站中设置DPO的说明，下载并填写相关表格发送到PDPC指定邮箱。

（1）在得知实际或可疑的个人数据泄露事件后，数据控制者必须采取行动，作为数据控制者角色的企业可参考如下步骤：

（2）同时，企业将个人数据泄露事件报告PDPC时需注意以下要点信息：

违反泰国PDPA的个人或实体将承担民事责任、刑事责任及行政责任，如：非法收集、使用或披露个人数据，一经定罪可能处以500万泰铢的罚款；若未经授权使用或披露个人数据对他人造成损害或使他人遭受仇恨、羞辱或蔑视，可能面临六个月的监禁和/或50万泰铢的罚款。但泰国PDPA明确民事责任的一般赔偿范围仅限于数据主体为防止可能发生的损害而产生的费用或者已经造成的损失。

2022年9月20日，印度尼西亚众议院通过了《个人数据保护法案》，并于2022年10月17日被总统签署正式生效。这是印尼第一部针对个人数据隐私安全与保护的一般性法律。在此之前，印尼有关个人数据保护的规定散见于《信息与电子交易法》《电子系统个人数据保护条例》《电子系统（网络与信息）实施规则》等法规中，个人数据保护由通信部负责监管。

印尼PDP法中没有“敏感个人数据”的定义，而是使用“特定个人数据”一词，包括任何健康数据和记录、生物识别数据、遗传数据、犯罪记录、儿童数据、个人财务数据，和/或根据现行法律法规（可能）提供的任何其他数据。

若根据印尼PDP法第21条的规定，数据控制者有义务提供以下信息:处理个人数据的合法性、处理个人数据的目的、将被处理的个人数据的类型和相关性、包含个人数据的文件的留存期限、有关收集信息的详细信息、处理个人数据的期限、以及数据主体的权利。当用户已同意的个人数据处理规则变更时，需要在变更前通知个人数据主体。

同时，作为数据控制者处理用户个人信息，应按照第22条重新获取个人数据主体同意。第22条要求，用户对个人数据处理的同意应当通过书面（包括电子或非电子方式）或录音形式获取。

数据控制者可以根据印尼PDP法的规定将个人数据传输给印尼境外的数据控制者和/或数据处理者，但需要注意达到以下主要要求：

①需要得到充分地保护。数据控制者应确保数据控制者和/或接受个人数据传输的个人数据处理者的住所所在国的个人数据保护水平等于或高于印尼PDP法规定的水平，数据控制者有义务确保对个人数据进行充分和有约束力的保护。

②需要得到充分的同意。数据控制者必须征得个人数据主体的同意。

印尼PDP 法仅要求数据控制者和数据处理者在以下情况下必须设置DPO：

（1）个人数据处理是为了公共服务目的；

（2）数据控制者的主要业务需要大规模、频繁、系统地监控个人数据；

（3）数据控制者的主要业务涉及对特定个人数据和/或与犯罪活动相关的个人数据进行大规模个人数据处理。

但目前印尼未如泰国有专门关于DPO的具体规定。

（1）依据《2020年第5号关于私营电子系统运营商的条例》（“5号条例”）的规定，需要注册的私营部门 PSE 包括：

根据法律法规的规定，受部委或机构监管或监督的电子系统提供商；和/或通过互联网拥有在线门户、网站或应用程序的电子系统提供商，用于：

①提供、管理和/或经营商品和/或服务的报价和/或贸易；

②提供、管理和/或运营金融交易服务；

③通过数据网络通过门户或网站下载、通过电子邮件交付或通过其他应用程序向订阅者的设备交付付费数字材料或内容；

④提供、管理和/或运营通信服务，包括但不限于数字平台、网络服务和社交媒体形式的短信、语音通话、视频通话、电子邮件和在线对话；

⑤搜索引擎服务、以文本、声音、图像、动画、音乐、视频、电影和游戏或其组合和/或全部形式提供电子信息的服务；

⑥处理与电子交易活动相关的公共服务运营活动的私人数据。

（2）若企业希望了解PSE注册的流程，可参考流程如下：

违反印尼PDP法的个人和实体可能面临行政处罚、刑事制裁。个人可能面临长达6年的监禁。对于企业而言，其将面临最高600亿印尼盾的罚款，或可能被施加额外处罚如扣押因犯罪而获得的收入和/或资产、暂停业务活动、永久禁止业务活动、关闭业务活动、履行违约义务、支付赔偿金、吊销许可证和/或公司清算。同时，被处罚的主体可能会累及企业管理层成员、控制人、指挥人和实际所有人。