2022年是东南亚数据隐私和网络安全法律发展的里程碑年。我们的主要变化如下: 印度尼西亚新的《个人数据保护法》于2022年10月17日生效。 泰国发布了多项数据保护指南,欧博abg以补充《个人数据保护法案》,该法案于2021 6月1日全面生效。 个人数据保护法令草案仍在越南等待颁布,同时发布了新的第53号法令,为《网络安全法》提供指导。 印度2019年数据保护法案草案于2022年8月3日被撤回。该法案将被一项新的数据保护法案取代,预计将于2022年12月提交议会。 最近的一宗新加坡法院案件认定,在数据主体提出的索赔中,遇险是可诉的损失和损害。此外,根据《个人数据保护法》,最高为新加坡组织年营业额10%的行政罚款(如果年营业额超过1000万新元)于2022年10月1日生效。 马来西亚已提交各种隐私法改革提案供议会讨论。这些建议包括强制性违约通知(除其他事项外)。 菲律宾已经引入了根据数据隐私法确定罚款的新方法。 1.印度尼西亚印度尼西亚新的数据隐私法 期待已久的《个人数据保护法》(“PDPL”)自2022年10月起生效。PDPL是印度尼西亚第一部综合数据保护立法。组织将有2年的过渡期来遵守PDPL。 所有规范个人数据保护的现行法律和法规将在不违反PDPL规定的范围内保持有效(包括2019年第71号政府法规中的数据本地化要求,因为PDPL不涉及数据本地化)。我们预计未来几个月,法规将为PDPL的关键方面提供指导。 PDPL和欧盟通用数据保护条例(“GDPR”)之间有相似之处和不同之处: PDPL采用了“数据主体”、“数据控制者”和“数据处理者”的概念,并要求在3天内(比前一制度下的14天期限短得多)向当局发出强制性违约通知。 处理个人数据的法律依据类似于GDPR。除数据主体的同意外,其他法律依据包括合同必要性、法律义务、保护数据主体的切身利益和控制者的合法利益(除其他外)。替代法律依据的可用性与以前的制度有很大不同,以前的制度几乎在所有情况下都需要征得同意。 PDPL的域外范围比GDPR更广,因为它不限于某些触发条件。位于印尼境外的个人数据控制者和处理者如果在印尼处理个人数据,并且此类处理对印尼或印尼任何人都有“法律影响”,则必须遵守PDPL。PDPL中没有关于“法律影响”的指导。 PDPL的适用豁免与其他司法管辖区的适用豁免类似,例如,个人数据是为个人或家庭目的处理的,数据处理活动是为了(a)国防和安全利益;(b) 执法过程的利益;(c) 国家行政环境中的公共利益;或(d)在国家管理范围内监督金融服务、货币、支付系统部门和金融系统稳定性的利益。 跨境数据传输的传输机制与其他司法管辖区的传输机制相似,欧博官网但按优先顺序列出如下:(i)充分性决定(即可比的保护水平);(ii)对海外数据接收方具有约束力的合同条款;以及(iii)数据主体的同意。这是对以前的系统的一个重大放松,以前的系统要求在事前和事后通知通信和信息部。监管机构是否会根据未来法规发布(ii)的合同条款范本,还有待观察。 新的制裁制度规定了一系列刑事和行政罚款,数额取决于违法行为的性质。刑事制裁包括个人最高罚款40万美元,公司最高罚款400万美元,个人最高监禁6年。公司董事会和受益所有人可能受到刑事制裁。违规方可能被处以年营业额2%的行政罚款。通过这些制裁,政府发出了一个强烈的信息,即印度尼西亚必须认真对待个人数据保护。 请参阅我们的完整简报。 2.泰国泰国隐私法即将出台 自2021 6月1日《个人数据保护法》(“PDPA”)下的主要数据保护条款全面生效以来,泰国引入了多个具有不同生效日期的准则。泰国的组织应考虑新准则,以确保其数据隐私做法符合PDPA。 2022年9月7日发布的《关于根据《个人数据保护法》B.E.2562(2019)向数据主体请求同意的指南》(“同意指南”)规定了从个人获得有效同意的详细要求,包括时间和向数据主体提供的信息。 根据《个人数据保护法》向数据主体收集个人数据的目的和细节通知程序指南。2562(2019)(“通知指南”)规定了组织在向数据主体提供关于其个人数据处理方式的通知时的原则。 《中小企业记录保存义务豁免通知》(“ROPA指南”)规定了ROPA记录中必须包含的最低信息。 个人数据保护委员会办公室(“PDPC”)目前正在就其关于个人数据跨境转移的通知草案(“通知草案”)进行公开听证会,该草案将补充PDPA在泰国境外跨境转移个人数据方面的规定。通知草案遵循了GDPR的方法,并规定了具有约束力的公司规则和其他保障措施的要求,包括标准合同条款、行为准则和认证。听证会持续至2022年10月24日。 虽然PDPA下有一项祖父条款,允许数据控制者继续处理2021 6月1日之前收集的个人数据,但数据控制者需要公开渠道,数据主体可以通过这些渠道阻止数据控制者这样做。 3.越南第53号法令最终对《网络安全法》做出了一些澄清 2022年10月1日生效的第53/2022/ND-CP号法令(“第53号法令”)澄清了第24/2018/QH14号网络安全法(“网络安全法”)的一些重要方面,包括数据本地化要求对越南注册实体和外国企业的适用。 《网络安全法》和第53号法令中的标准共同规定,数据本地化要求仅适用于越南境内的实体:(i)电信网络、互联网服务提供商或在网络空间提供增值服务;以及(ii)处理越南用户的个人数据、关于越南用户关系的数据或越南用户创建的数据。国内实体必须无限期地在越南保留此类特定类别的数据。我们从公安部了解到,可以将此类数据镜像到本地服务器,并在越南境外保存个人数据副本。 对于外国企业,第53号法令明确规定,此类特定类别的数据需要存储在越南,并且只有在满足以下所有条件的情况下,才需要建立本地存在: (i) 公司在与网络空间相关的规定行业运营,这意味着除其他外,电信服务、网络空间数据存储和共享服务、电子商务和在线支付服务(“特定服务”); (ii)在提供特定服务时违反网络安全法; (iii)不遵守网络安全和预防高科技犯罪部(“DCPHC”)的通知或要求;和 (iv)DCPHC发布数据定位和本地存在建立请求。 《网络安全法》要求国内外服务提供商在越南存储用户数据。由于该要求的模糊性,包括数据本地化要求的范围,该要求引起了组织的担忧。 尽管第53号法令有助于澄清《网络安全法》的某些方面,但根据第53号命令,必须始终获得数据主体的同意,因为处理数据没有其他替代法律依据。此外,第53号法令不包含任何应通知数据泄露的阈值,这意味着所有类型的数据泄露都应向PDPC报告。 4.印度我们是否期待对印度的数据保护法律进行彻底的改革? 2022年8月3日,印度撤回了2019年出台的个人数据保护法案。印度议会对该法案进行了详细审议,在撤回前提出了80多项修正案和12项建议。一项新的数据保护法案预计将于2022年12月提交印度议会批准。 废弃法案中的关键关注领域包括敏感信息的管理以及印度政府获取数据的范围。 5.新加坡 (i) 情绪困扰被认定为可诉损失和损害新加坡上诉法院认为,根据《2012年个人数据保护法》(“PDPA”),情绪困扰可能构成可诉的“损失或损害”。在确定情绪困扰是一种损失还是损害时,里德上诉法院在Michael v Bellingham案中,Alex(司法部长,干预者)[2022]SGCA 60发现,对PDPA的更广泛解释更好地促进了PDPA的目的,议会希望PDPA的执行机制成为个人可以行使其保护个人数据权利的有效手段。法院认为,就《个人数据保护法》而言,个人数据控制权的丧失不会构成损失或损害。 (ii)新的行政罚款,最高为新加坡组织年营业额的10%根据《2020年个人数据保护(修订)法案》的修订,PDPA规定的数据违规行政罚款最高为新加坡组织年营业额的10%(如果年营业额超过1000万新元),于2022年10月1日生效。组织可能会因违反《个人数据保护法》的个人数据保护要求(不包括《个人数据保障法》第9部分和第48B(1)节)而被罚款。 6.马来西亚隐私法改革提交马来西亚议会讨论 马来西亚的数据隐私立法《2010年个人数据保护法》(“PDPA”)目前没有强制性的数据泄露通知要求。2022年10月,实施强制性数据泄露通知制度的改革已提交议会讨论。 拟议的强制性数据通知制度是个人数据保护委员会(“PDPC”)于2020年2月发布的PDPA公众咨询文件中的22项建议之一。 拟议的强制性数据泄露通知制度将要求在72小时内向PDPC报告应报告的个人数据泄露。PDPC建议发布指南,以帮助组织遵守这一新的强制性通知要求。 据报告,提交议会讨论的其他建议包括:(i)对数据处理者施加直接义务,使其遵守《PDPA》规定的安全原则;(ii)任命数据保护官员;(iii)赋予数据可移植性的权利,即数据用户应在数据主体的要求下(如果技术上可行),以用户友好的机器可读格式将数据主体的个人数据传输给另一数据用户;以及(iv)马来西亚跨境转移管辖区的“黑名单”(以取代现行的规定性“白名单”制度)。 7.菲律宾根据数据隐私法确定罚款的新方法 最近,全国人大第2022-01号通知(“通知”)关于行政罚款指南的出台,使菲律宾在确定违反《2012年数据隐私法》的罚款时采用了一种新的方法。 该准则规定了三类违规行为,即:(i)严重违规行为;(ii)重大违规行为;以及(iii)其他违规行为。违规行为的分类依据: (a) 受影响的数据主体数量; (b) 违规频率;和 (c) 不合规的原因(例如疏忽、鲁莽或故意行为)。 “严重违规”和“重大违规”将被处以相当于违法者年总收入某个百分比的行政罚款(即分别为0.5%至3%和0.25%至2%)。“其他违规行为”将被处以50000菲律宾比索(870美元)至200000菲律宾比索(3500美元)的罚款。 (责任编辑:) |