东南亚数据隐私与网络安全：法规动态、国别差异｜iLaw

东南亚地区近年来因市场潜力大、供应链优势、政策支持、基础设施需求大、文化亲近感以及年轻化人口结构等因素，吸引了众多投资者。新加坡、马来西亚、印尼、越南、菲律宾等国家成为热门投资区域。需要注意的是，本文在分析东南亚的同时，也涵盖了印度的相关情况。印度虽然不属于东南亚，但凭借其庞大的市场和快速发展的经济，也成为投资者关注的焦点，并且在某些方面与东南亚地区存在相似性。

在这些区域在投资时，除考虑市场、政治、经济等因素外，法律法规要求也至关重要。

2024年东南亚地区，无论是数据保护、数据隐私、网络安全的层面都发生了很多的变化，相关的法律法规有了进一步的修订。在某些层面，当地立法者、执法者对于构建本国的法律法规的框架不再完全以欧盟的GDPR为蓝本，而是针对自己本国的国情和经济状况，以及当地的现实情况，制定符合本国需求的法律框架

东南亚个人数据保护和数据安全法律法规框架

数据保护方面的立法框架

上图可以体现出东南亚针对数据保护的立法比较可视化的时间轴。

马来西亚：东南亚区域第一个有数据保护立法的国家。2010年，《个人数据保护法》（PDPA）正式颁布。该法于2013年11月15日全面生效，标志着马来西亚在数据保护领域迈出了重要一步。

新加坡：新加坡于2012年颁布了《个人数据保护法》（PDPA），并于2013年7月1日正式生效。该法旨在平衡个人数据保护与商业需求，是新加坡数据保护的核心立法。

菲律宾：东南亚地区数据保护立法较早的国家之一。菲律宾于2012年颁布了《数据隐私法》（DPA），颁布后很快生效。

老挝：几年之后东南亚区域里面又有了一些新的变化。老挝于2018年颁布了《电子数据保护法》，虽然该法并非综合性数据保护立法，但体现了老挝对数据保护的关注。该法主要针对电子数据的保护，为后续立法奠定了基础。

自此延续大概十多年之后，伴随着欧盟GDPR的生效，2020年开始东南亚地区在数据保护立法方面又开始了一波趋势。

老挝出台了一系列行业性的数据保护法规，柬埔寨也制定了关于个人身份信息数据管理、使用和保护的法令。与此同时，新加坡和马来西亚的立法者敏锐地意识到，需要将本国的法律法规与新时代的要求相匹配，以更高标准构建国家的数据保护框架。在2022-2024年期间，新加坡和马来西亚均对现有的个人信息保护法进行了修订工作。例如，马来西亚的《个人信息保护法》修订版本已于2024年正式生效。

泰国：2022年6月，泰国首部个人数据保护方面法律《个人数据保护法》（PDPA）正式生效。在这之前，立法者给了本国的公民组织、企业一定的缓冲期。受新冠疫情影响，PDPA从2019年年中颁布到2022年的6月份，经历了两年的缓冲期才开始正式的生效。印

度尼西亚：印尼个人数据保护法从2022年的年终开始颁布，经过了两年的缓冲期到2024年的年终开始正式生效。

印度：印度的个人数据保护法发展较为曲折。2018年曾有初稿，2022年的版本未获通过。2023年通过了新的《数字个人数据保护法》（DPDPA），但生效时间尚未明确。尽管如此，印度电子和信息技术部（MeitY）已于2025年1月发布了支持DPDPA的相关规则草案（DPDPR），目前仍在征求意见中。

马来西亚PDPA修订：马来西亚的PDPA修订中，原法律将个人信息的控制者和处理者统称为“数据使用者（Data User）”，未作区分。新修订的法律明确了控制者与处理者的角色，并赋予了相应的责任、义务和权利，同时更新了数据保护标准及数据传输规则。

新加坡PDPA修订：2020年，新加坡通过了重大修订，要点包括：一是引入强制性数据泄露通知制度，要求组织在合理时间内通知受影响个人及监管机构；二是扩展了数据的经许可授权使用范围；三是强制要求所有在新加坡运营的组织任命数据保护官（DPO），并需在2024年9月30日前完成DPO注册。

网络安全方面的立法框架

从时间轴来看，东南亚国家网络安全立法起步较晚。印度较早制定了信息技术法，但整体立法进展缓慢，直到2014年菲律宾通过了网络犯罪预防法。2018年起，东南亚网络安全立法进入密集阶段。2020至2024年，新加坡、马来西亚、印尼等主要国家纷纷出台相关立法，初步构建了网络安全保护框架。

马来西亚《网络安全法》：马来西亚2024年新拟定的网络安全法主要针对NCII（对国家网络安全有重大影响的实体），要求其承担网络安全责任，包括每年至少一次风险评估、每两年至少一次审计及网络安全事件通报机制。该法仅适用于符合NCII条件的实体，而非所有在马来西亚运营的公司。

印度《信息技术法》：印度《信息技术法》生效较早，规范了信息和设备的保护，是DPDPA颁布前个人信息保护和打击网络犯罪的主要依据。其对网络犯罪的打击规定较为明确和清晰。

值得注意的国别差异中的若干重要事项

敏感个人信息

不同国家的法律对敏感个人信息的定义和范围存在差异。例如，常见的敏感信息包括政治观点、宗教信仰、健康信息、种族、民族遗传信息、生物识别信息和儿童个人信息等。然而，具体认定并不完全一致。比如，印尼法律未明确将儿童个人信息列为敏感信息；而在越南，个人位置信息（如GPS定位）被认定为敏感个人信息，而印度、马来西亚和印尼则未将其纳入敏感信息范围。类似地，中国和韩国也将个人位置信息视为敏感信息。

合法性基础

常见的合法性基础：数据主体同意、合同必要、法律义务、生命健康、公共利益、统计研究、合法权益、已公开的信息、符合公共利益的新闻报道。

数据主体同意是处理个人信息的核心合法性基础，几乎所有国家都要求除获得主体同意外，不得处理敏感个人信息。但在老挝和缅甸，数据主体同意是唯一的合法性基础。

履行合同必要和法律义务在大多数国家也是常见的合法性基础。此外，为维护生命健康或公共利益（如救灾、防疫）处理个人数据，无需数据主体同意。

在某些国家，为科学研究或统计目的处理个人信息也无需同意。合法权益是数据控制者的另一合法性基础，但需在实践中平衡控制者与数据主体的权益，只有当控制者的利益高于数据主体时，才可适用。

国别差异：不同国家对个人信息处理的合法性基础要求不同。例如，老挝和缅甸仅认可数据主体同意，而其他国家可能接受更多合法性基础。因此，在处理个人信息时，需根据具体国家的法律要求，选择合适的合规策略。

数据保护官

任命DPO是否是强制性的要求?

新加坡和马来西亚，只要组织涉及个人信息处理，无论规模大小或业务性质如何，都需任命DPO，这是强制性条件。并非所有国家都要求DPO任命。菲律宾没有相关规定，但泰国、越南、印尼、印度等国在特定场景下要求组织任命DPO。以泰国为例，如果组织被政府监管机构规定和公布，或拥有大量个人数据且定期监控个人信息或系统，或核心活动涉及处理敏感个人信息，就需要任命DPO。越南也有类似要求，处理敏感信息的组织需任命DPO。印度DPDPA提出了一个比较特别的概念“重要数据受托人”(significant Data riduciany)，目前在其他法律还没看到类似或相似概念。重要数据受托人必须任命DPO，且DPO应常驻印度。

DPO的任职资格有一定要求。新加坡政府在信息保护框架下，希望组织内部有人员承担DPO角色，以便与政府保持高效沟通。新加坡对DPO的任职要求较高，需熟悉数据保护法律法规，包括国际法规，以及掌握数据安全知识，如加密、访问控制、数据备份等。

数据跨境传输

数据本地化存储：除越南和印度外，其他国家基本没有数据本地化存储的要求，这对境外公司较为友好。

数据是否可以自由的出境：从美国和欧盟的法律来看，数据跨境相对自由。除越南和印度外，许多国家可通过签署标准合同条款（SCC）或依赖企业内部规则（BCR）实现数据跨境传输。

越南要求数据主体同意是数据跨境的唯一合法性基础，且需在越南留存数据备份，同时需证明接收国的数据保护水平高于越南，并获得政府批准。

印度要求敏感个人信息、生物识别信息和财务数据等关键数据必须存储在境内，跨境传输需依据白名单和政府指引。2023年《数字个人数据保护法》（DPDPA）实施后，印度从制定黑名单转向制定白名单，更符合国际最佳实践。

此外，印度对支付、银行等特定行业有更严格的数据本地化和跨境传输限制，接收国的数据保护水平也需获印度政府认可。

法律责任

这张表格梳理了东南亚各国违反数据保护法需承担的法律责任种类，包括行政处罚的罚款金额及刑事责任涉及人员，供参考。

刑事责任

东南亚区域内数据流向的国际性条约和协定

东南亚的数据流动涉及多个国际条约和协定，如东盟跨境数据流动框架、MCC、DDFM、RCEP和TPP等。这些协议促进了东盟内部的数据自由流动。此外，CPTPP等更广泛的国际协定也对区域数据流动产生影响。其中，新加坡、越南、文莱和马来西亚出现在多个数据流动协定中，值得关注。

越南作为重点分析对象，其经济发展迅速，人口年轻，承接了大量产业转移，GDP增长显著。2023年4月，越南颁布了《个人数据保护法》（PDPA），并于同年7月1日生效，规定了数据保护的基本框架，包括适用范围、个人数据定义、合法性基础、数据主体权利、告知机制和跨境传输等内容。

2024年，越南发布新的个人数据保护法草案，预计2026年生效。新法案旨在提升数据保护水平，贴近国际最佳实践，以适应加入CPTPP后的需求。与现行法令相比，新草案在数据跨境传输方面更加宽松，不再严格限制数据出境，而是提出了更灵活的条件，显示出越南希望促进数据流动自由化的意图。