随着中国经济地位在全球范围内的不断提升，以及经济全球化的不断紧密发展，越来越多的中国企业开始选择“走出去”的发展新规划。我国商务部发布的《“十四五”商务发展规划》中也提及:“支持企业参与全球产业链供应链重塑，促进国内外产业协同，引导对外投资合作平稳有序发展，推动中国产品、服务、技术、品牌、标准走出去。”面对欧美市场高饱和竞争态势，东南亚地区正处于增量市场阶段，具备坚实增长基础，已经成为中国出海企业的重要拓展方向。伴随着中国电商业务出海，相关物流等产业链的协同合作机会已悄然出现。

然而，在企业出海过程中，由于不同国家与地区之间存在法律、政策等差异，企业面临着如何在当地合规经营的问题，企业通常较早关注的是境外当地对于外资准入的限制，以及出海业务在当地运营所需获取的资质等问题。但随着数据合规问题在全球范围内受到更多国家的重视，如何遵守当地的数据保护法律规范，妥善处理数据收集、存储、出境、使用等问题，则成为了业务出海中又一个急需解决的难题。本文接下来将介绍部分东南亚国家的数据保护法律体系以及数据出境要求，希望能够给相关企业提供参考。

（一）马来西亚

1、数据保护法律体系

马来西亚是东南亚国家中较早推行数据保护的国家， 2010年就发布了《个人数据保护法》（Personal Data Protection Act 2010，以下简称“PDPA”），该法是一部综合性立法，任何有关个人数据收集、记录、保存或处理的商业活动必须遵守相关原则。2011年5月16日，马来西亚通信和多媒体委员会（Ministry of Communications and Multimedia Commission，以下简称“MCMC”）的下属机构——个人数据保护司（Personal Data Protection Department 。以下简称“PDPD”）正式成立，主要职责是负责监督和管理商业交易中涉及的个人数据处理行为，确保数据使用者不会滥用及误用个人数据，以及发布数据保护标准、行为守则等规范性文件，贯彻落实PDPA的实施。

2013年马来西亚针对PDPA进一步出台了一系列附属法例，具体包括《个人数据保护条例》（Personal Data Protection Regulations 2013）、《个人数据保护（数据使用者类别）令》（Personal Data Protection (Class of Data Users) Order 2013）、《个人数据保护（数据使用者注册）条例》（Personal Data Protection (Registration of Data User) Regulations 2013）及《个人数据保护（费用）条例》（Personal Data Protection (Fees) Regulations 2013）。2016年马来西亚重新对数据使用者类别进行了修订，发布了《个人数据保护（数据使用者类别）（修订）令》（Personal Data Protection (Class of Data Users) (Amendment) Order 2016），以及《个人数据保护（复合犯罪）条例》（Personal Data Protection (Compounding of Offences) Regulations 2016）。

马来西亚目前没有统一的网络安全法令，但是政府已宣布考虑引入。现在有关网络安全的法律法规分别分散在马来西亚的各种立法中，例如《1997年电脑犯罪法》、《1998年通讯与多媒体法》、《刑事法典》和PDPA。

2、数据出境要求

马来西亚在2021年数字经济蓝图中提出，为保障数字经济的发展与用户隐私安全的平衡，要对相关法律进行完整的梳理和修订。到2025年，将要修订PDPA以加强数据跨境章节的内容，制定基于国际最佳实践的数字经济征税体系。同时，所有新签订的贸易协定要包含数据跨境的内容。

根据目前的PDPA，数据使用者不得将数据主体的任何个人数据转移到马来西亚以外的地方，但下列情况除外：

（1）部长根据个人数据保护专员建议指定的地区。该地区有与PDPA实质性相似或目的相同的法律，或者个人数据保护水平至少与马来西亚相当。

（2）尽管有指定地区，下列情况仍可进行个人数据出境：（a）数据主体同意；（b）履行数据主体和数据使用者之间的合同所必需；（c）订立或履行数据使用者与第三方之间的合同所必需；（该合同是应数据主体要求而订立，或符合数据主体的利益）（d）为了法律程序或为了获得法律意见或为了确立、行使或捍卫合法权利；（e）数据使用者有合理理由相信，跨境传输是为了避免或减轻对数据主体的不利行为，且获得数据主体书面同意是不切实际的，如果获得同意是可行的，则数据主体会给予同意；（f）数据使用者已采取一切合理的预防措施并尽一切努力确保个人数据不会在其他地方以违反PDPA的方式处理；（g）为保护数据主体的切身利益所必需；（h）为公共利益所必需。

（二）泰国

1、数据保护法律体系

2019 年泰国国家立法议会通过了《个人数据保护法》（Personal Data Protection Act 2019，以下简称“PDPA”）和《网络安全法》（Cybersecurity Act 2019）。制订这些法案的目的是直接管理个人数据的收集、储存、使用或处理，明确数据控制者和数据处理者的义务，以及数据主体的基本权利，加强网络空间的法律保障，确保国家安全及个人数据私隐安全。PDPA经过两次推迟后于2022年6月1日正式生效，成为泰国第一部综合性数据保护立法。

2022年6月21日，泰国个人数据保护委员会（Personal Data Protection Committee，以下简称“PDPC”）在皇家公报上发布了关于PDPA的四项新公告，旨在为数据处理者和数据控制者提供有关其在 PDPA 下的职责的更多信息。四项公告分别为：（1）对中小型企业或中小企业的数据保护官的数据记录要求的豁免；（2）数据保护官制作和保存个人数据记录的条款和措施；（3）数据保护官应当采取的安全措施；（4）专家委员会实施行政罚款和行政处罚的措施。

2022年7月11日，PDPC发布了两个通知，对其接受、处理投诉的规则以及专家委员会的选聘作出了规定。2022年9月7日，PDPC再次颁布了两个指引，分别是《向数据主体获得同意的指引》和《向数据主体通知收集信息的目的以及其他细节的指引》，旨在帮助数据控制者及相关主体更好的理解和适用PDPA。

2、数据出境要求

根据PDPA，进行个人数据出境需确保目的地国家或国际组织的数据保护标准足够充分，且遵守了PDPC发布的个人数据出境的保护标准（目前暂未出台），但以下情况除外：

（1）为遵守法律规定；（2）在数据主体已被告知该目的地国家或国际组织的个人数据保护标准不足的前提下，仍然获得数据主体同意的；（3）履行数据主体作为当事人的合同所必需，或者在订立合同前已经应数据主体的要求采取措施的；（4）遵守数据控制者与他人之间为了数据主体的利益而订立的合同所必需；（5）为防止或抑制对数据主体或其他人的生命、身体或健康的危险，数据主体无法及时给予同意时；（6）为开展涉及重大公共利益的活动所必需。

如果数据控制者对目的地国家或国际组织的数据保护标准是否足够充分存疑，可以提交PDPC进行决定。另外，泰国针对跨国集团业务开展了“个人数据保护政策”审查机制，即如果企业的“个人数据保护政策”通过了PDPC的审查和认证，即便不符合上述数据出境的规定也可以进行个人数据的跨境传输。

最后，PDPA以实质性要求为兜底，如果数据控制者或数据处理者采取了适当的保护措施（包括按照PDPC要求采取的法律补救措施），能够确保数据主体权利，也可以进行个人数据跨境传输。

（三）越南

1、数据保护法律体系

2021年2月，越南发布了《个人数据保护法》草案（Personal Data Protection Decree，以下简称“PDPD草案”）并公开征求意见。2022年3月，越南政府通过了关于该草案的第27/NQCP号决议，表明该草案距离通过又推进了一步。

相较于个人数据保护，越南对网络安全的监管体系相对完善，主要法律规范包括：《网络信息安全法》（86/2015/QH13）、《网络安全法》（24/2018/QH14）、《关于管理、提供和使用互联网服务和在线信息法令》（72/2013/ND-CP）、《关于信息系统安全分类法令》（85 /2016/ND-CP）、《全国网络信息安全事件协调和响应办法》（20/2017/TT-BTTTT）、2022年《细化网络安全法若干条文法令》（No.53/2022/ND-CP）以及《网络安全领域行政违法行为处罚法令》等文件。

为了加强数据管理，越南《网络安全法》中纳入了数据本地化储存条款，规定“在越南网络空间提供电信网、互联网业务和其他网络增值服务的国内外企业，若有收集、开发、分析、处理个人通信数据、业务使用者关系数据和业务使用者在越南产生的数据的活动，要在政府规定的时间内在越南储存这些数据。本款规定的国内外企业要在越南设立分支机构或代表处。”后《细化网络安全法若干条文法令》又对此规定进行了细化，规定属于越南个人用户的和由个人用户创建的数据必须存储在越南本地，这些数据必须至少保存24个月，而用于刑事调查的系统日志必须至少保存12个月。

2、数据出境要求

根据PDPD草案，数据处理者不得将个人数据传输到越南以外的国家或地区，除非同时满足下列条件：（1）当数据主体同意转移时；（2）原始数据存储在越南；（3）有文件证明其所转移的国家、地区已颁布个人数据保护条例并达到或高于PDPD草案规定的水平；（4）获得个人数据保护委员会的书面同意。

另外，向境外传输个人数据的数据处理者应建立一个系统，将数据传输历史记录保存3年，并且在传输前进行数据出境登记，提交个人数据出境申请及影响评估报告。个人数据保护委员会每年会定期评估个人数据处理者在越南境外的个人数据传输情况。

由于不同国家所构建的数据保护法律体系各有不同，且存在较大差异。因此，我们建议，中国企业在业务出海之前，应当针对拟出海地区的相关数据合规法律要求，进行事先的调查与研判，确保对当地法律法规理解的正确性。另外，如何将法律调研结果准确的落实到实际操作层面，也需向当地相应的业务主管部门进行详尽的咨询与沟通。