根據(jù)《數(shù)據(jù)出境安全評(píng)估申報(bào)指南》的相關(guān)規(guī)定，數(shù)據(jù)出境行為主要包括：（一）數(shù)據(jù)處理者將在境內(nèi)運(yùn)營中收集和產(chǎn)生的數(shù)據(jù)傳輸至境外；（二）數(shù)據(jù)處理者收集和產(chǎn)生的數(shù)據(jù)存儲(chǔ)在境內(nèi)，境外的機(jī)構(gòu)、組織或者個(gè)人可以查詢、調(diào)取、下載、導(dǎo)出；（三）符合《個(gè)人信息保護(hù)法》第三條第二款情形，在境外處理境內(nèi)自然人個(gè)人信息等其他數(shù)據(jù)處理活動(dòng)。因此，數(shù)據(jù)出境包含兩個(gè)面向，一是將數(shù)據(jù)實(shí)際發(fā)送、傳輸至境外，亦即數(shù)據(jù)在物理上跨越國界；二是在境外通過技術(shù)手段訪問儲(chǔ)存在國內(nèi)的數(shù)據(jù)。

2021年7月“滴滴”在紐交所掛牌上市，該境外上市安排引起了相關(guān)部門有關(guān)數(shù)據(jù)跨境流動(dòng)的關(guān)注，隨后國家網(wǎng)信辦宣布對“滴滴出行”實(shí)施網(wǎng)絡(luò)安全審查。經(jīng)審查，國家網(wǎng)信辦認(rèn)為滴滴公司共存在八個(gè)方面的違法事實(shí)，包括一是違法收集用戶手機(jī)相冊信息；二是過度收集用戶剪切板信息、應(yīng)用列表信息；三是過度收集乘客人臉識(shí)別、年齡段、職業(yè)、親情關(guān)系和打車地址信息；四是過度收集乘客的精準(zhǔn)位置；五是過度收集司機(jī)學(xué)歷、司機(jī)身份證號(hào)信息；六是在未明確告知乘客情況下分析乘客出行意圖信息、常駐城市信息和異地商務(wù)/異地旅游信息；七是頻繁索取無關(guān)的“電話權(quán)限”；八是未準(zhǔn)確、清晰說明個(gè)人信息處理目的。最終國家網(wǎng)信辦對滴滴全球股份有限公司處人民幣80.26億元罰款，對其董事長兼CEO、總裁各處人民幣100萬元罰款。^[注1]該案不僅為我國數(shù)據(jù)流動(dòng)監(jiān)管敲響警鐘，也應(yīng)成為出海企業(yè)的前車之鑒。企業(yè)如何在有效利用數(shù)據(jù)資源和數(shù)據(jù)合規(guī)監(jiān)管中尋找平衡，也成為在出海過程不得不面對并予以重點(diǎn)關(guān)注的問題。

2024年7月1日正式施行的《對外承包工程項(xiàng)目備案和立項(xiàng)管理辦法》對于中國境內(nèi)注冊企業(yè)（以下簡稱企業(yè)）承包的境外建設(shè)工程項(xiàng)目，包括工程的咨詢、勘察、設(shè)計(jì)、監(jiān)理、施工、采購安裝、運(yùn)營維護(hù)等項(xiàng)目時(shí)應(yīng)當(dāng)向管轄部門做備案和立項(xiàng)申報(bào)進(jìn)行了相關(guān)規(guī)定。雖然該規(guī)定并未特別說明備案、立項(xiàng)事項(xiàng)應(yīng)當(dāng)包含數(shù)據(jù)跨境保護(hù)等內(nèi)容，但是結(jié)合項(xiàng)目可行性研究和立項(xiàng)論證的相關(guān)法律法規(guī)規(guī)定可知，企業(yè)在海外投資建廠、承包項(xiàng)目伴隨著大量數(shù)據(jù)的跨境傳輸及在境外對國內(nèi)數(shù)據(jù)的訪問，企業(yè)出海時(shí)必然面臨嚴(yán)格的數(shù)據(jù)跨境流動(dòng)安全監(jiān)管，特別是與國家安全相關(guān)的重要數(shù)據(jù)以及包含員工個(gè)人數(shù)據(jù)在內(nèi)的大量信息均應(yīng)作為項(xiàng)目計(jì)劃、實(shí)施的重要關(guān)切內(nèi)容。企業(yè)必須謹(jǐn)慎應(yīng)對此類審查，否則不僅會(huì)影響海外項(xiàng)目的備案與立項(xiàng)審查，甚至?xí)媾R嚴(yán)重的罰款或行政處罰。

另一方面，中國企業(yè)在海外承包工程時(shí)所發(fā)生的出境數(shù)據(jù)可能在當(dāng)?shù)乇患庸ぬ幚砘蚺c其他在當(dāng)?shù)厮鸭臄?shù)據(jù)集成，并很可能發(fā)生數(shù)據(jù)的二次流動(dòng)，它們可能返回中國，亦可能流向第三國。同時(shí)，東道國項(xiàng)目運(yùn)營過程中，企業(yè)所控制的數(shù)據(jù)在不斷積累和處理，涉及海外員工的個(gè)人信息的內(nèi)容也在不斷增加。對于尚未部署國際數(shù)據(jù)中心的出海企業(yè)，由于信息管理和海外商業(yè)決策職能依舊位于中國，數(shù)據(jù)往往會(huì)被國內(nèi)員工所訪問或者回傳至國內(nèi)使用。當(dāng)企業(yè)需要利用這些來自不同國家和地區(qū)的數(shù)據(jù)來開拓和經(jīng)營市場時(shí)，繁復(fù)的來源地法律的管制和要求無疑將對企業(yè)的數(shù)據(jù)合規(guī)管理帶來嚴(yán)峻的挑戰(zhàn)。

據(jù)此，基于以上兩個(gè)方向的合規(guī)風(fēng)險(xiǎn)，本文將沿著此路徑分別梳理和分析，中資企業(yè)在東南亞國家對外承包項(xiàng)目時(shí)面臨的我國數(shù)據(jù)出境監(jiān)管規(guī)則審查與數(shù)據(jù)回傳時(shí)的東南亞國家數(shù)據(jù)監(jiān)管規(guī)則挑戰(zhàn)。

(一) 數(shù)據(jù)出境監(jiān)管法律體系

目前，《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》是我國數(shù)據(jù)跨境流動(dòng)安全監(jiān)管規(guī)則三大立法基石。^[注2]在數(shù)據(jù)出境問題上，三部基礎(chǔ)性法律的監(jiān)管重點(diǎn)各有側(cè)重。具體而言，《網(wǎng)絡(luò)安全法》側(cè)重對關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者向境外提供重要數(shù)據(jù)及個(gè)人信息進(jìn)行監(jiān)管，且已提出具體合規(guī)要求；《數(shù)據(jù)安全法》在《網(wǎng)絡(luò)安全法》基礎(chǔ)上提出了與關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者相對的概念—其它數(shù)據(jù)處理者，并表明會(huì)相應(yīng)出臺(tái)管理規(guī)定；《個(gè)人信息保護(hù)法》則較為完整地規(guī)定了個(gè)人信息出境所需滿足的合規(guī)要求。同時(shí)，大量政府規(guī)章、規(guī)范性文件細(xì)化了相關(guān)的舉措和管理規(guī)范，金融、征信等大量涉及數(shù)據(jù)跨境的行業(yè)性規(guī)范也相繼出臺(tái)，形成了多層次的規(guī)范框架。總體而言，我國的數(shù)據(jù)出境監(jiān)管的側(cè)重點(diǎn)在如下幾個(gè)方面：

一是數(shù)據(jù)的分類分級(jí)管理是數(shù)據(jù)跨境流動(dòng)合理監(jiān)管的前提和基礎(chǔ)。數(shù)據(jù)分類分級(jí)管理制度目的在于厘清數(shù)據(jù)保護(hù)重點(diǎn)，對不同類型和級(jí)別的數(shù)據(jù)實(shí)施不同的保護(hù)，從而保障數(shù)據(jù)的安全、有序流動(dòng)。我國《網(wǎng)絡(luò)安全法》第21條規(guī)定了國家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。同時(shí)《數(shù)據(jù)安全法》第21條進(jìn)一步明確了國家建立數(shù)據(jù)分類分級(jí)保護(hù)制度。《個(gè)人信息保護(hù)法》也貫徹了對個(gè)人數(shù)據(jù)也將一般數(shù)據(jù)和敏感數(shù)據(jù)作出區(qū)分，就不同的分類級(jí)別設(shè)置了更嚴(yán)格的保護(hù)規(guī)則。

二是數(shù)據(jù)本地化措施是限制數(shù)據(jù)跨境流動(dòng)最常見的手段，域內(nèi)管轄權(quán)的行使方能體現(xiàn)國家主權(quán)原則。基于對傳統(tǒng)管轄權(quán)的理解，將數(shù)據(jù)控制在領(lǐng)土范圍內(nèi)，亦即數(shù)據(jù)本地化存儲(chǔ)，是最穩(wěn)妥地實(shí)現(xiàn)數(shù)據(jù)控制、防止因數(shù)據(jù)流動(dòng)而危害國家安全的方法。數(shù)據(jù)本地化模式主要?jiǎng)澐譃橐韵滤姆N：“強(qiáng)硬性”數(shù)據(jù)本地化、“軟化式”數(shù)據(jù)本地化、“混合型”數(shù)據(jù)本地化，以及“事實(shí)上”數(shù)據(jù)本地化。中國通常被認(rèn)為是“強(qiáng)硬性”數(shù)據(jù)本地化的國家，對數(shù)據(jù)本地化有較高的要求。^[注3]分析我國數(shù)據(jù)監(jiān)管主要法律規(guī)范，《網(wǎng)絡(luò)安全法》和《個(gè)人信息保護(hù)法》都以“數(shù)據(jù)本地化儲(chǔ)存”為原則，以“數(shù)據(jù)出境安全評(píng)估”為例外，而《數(shù)據(jù)安全法》則要求向境外司法或者執(zhí)法機(jī)構(gòu)提供存儲(chǔ)于中華人民共和國境內(nèi)的個(gè)人信息時(shí)經(jīng)過特別批準(zhǔn)，^[注4]整體來看仍是本地化的體現(xiàn)。

三是數(shù)據(jù)出境安全評(píng)估制度在數(shù)據(jù)跨境安全監(jiān)管中占據(jù)相當(dāng)重要的地位。數(shù)據(jù)出境安全評(píng)估的目的并不是限制數(shù)據(jù)跨境自由流動(dòng)，而是促進(jìn)數(shù)據(jù)安全、有序流動(dòng)以避免數(shù)據(jù)的無序、隨意流動(dòng)，進(jìn)而對國家安全、社會(huì)公共利益等造成威脅。根據(jù)《網(wǎng)絡(luò)安全法》第37條的規(guī)定，符合要求的數(shù)據(jù)出境應(yīng)當(dāng)按照國家網(wǎng)信辦會(huì)同國務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評(píng)估。安全評(píng)估作為個(gè)人數(shù)據(jù)與重要數(shù)據(jù)出境的前置要求，為后續(xù)的立法工作提供標(biāo)桿。2022年實(shí)施的《數(shù)據(jù)出境安全評(píng)估辦法》作為我國數(shù)據(jù)出境評(píng)估制度的重要規(guī)則依據(jù)，詳細(xì)地規(guī)定了數(shù)據(jù)類型、出境方式以及申報(bào)數(shù)據(jù)出境安全評(píng)估所需的材料與流程等內(nèi)容，進(jìn)一步完善了我國的數(shù)據(jù)跨境流動(dòng)監(jiān)管規(guī)則法律體系。雖然2024年3月公布的《促進(jìn)和規(guī)范數(shù)據(jù)跨境流動(dòng)規(guī)定》做出一定的制度“松綁”，但遵循相關(guān)指引同樣是對企業(yè)開展數(shù)據(jù)流動(dòng)及數(shù)據(jù)合規(guī)管理的更高要求。

(二) 數(shù)據(jù)出境合規(guī)路徑

根據(jù)上述數(shù)據(jù)出境監(jiān)管法律體系，我國初步建立了數(shù)據(jù)出境安全評(píng)估、個(gè)人信息出境標(biāo)準(zhǔn)合同、個(gè)人信息保護(hù)認(rèn)證、三步走的數(shù)據(jù)出境路徑。企業(yè)可遵循上述合規(guī)路徑處理數(shù)據(jù)出境業(yè)務(wù)，避免數(shù)據(jù)出境合規(guī)問題影響海外承包項(xiàng)目的備案和立項(xiàng)審查。

1. 數(shù)據(jù)出境安全評(píng)估

數(shù)據(jù)出境安全評(píng)估是我國數(shù)據(jù)跨境流動(dòng)監(jiān)管最主要的手段，與我國法律制度中的其他評(píng)估制度相比，蘊(yùn)含著更強(qiáng)的國家安全考量和獨(dú)立的直接法律效力。^[注5]根據(jù)《數(shù)據(jù)出境安全評(píng)估辦法》的第4條規(guī)定，數(shù)據(jù)處理者向境外提供數(shù)據(jù)，有下列情形之一的，應(yīng)當(dāng)通過所在地省級(jí)網(wǎng)信部門向國家網(wǎng)信部門申報(bào)數(shù)據(jù)出境安全評(píng)估：①數(shù)據(jù)處理者向境外提供重要數(shù)據(jù)；②關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者和處理100萬人以上個(gè)人信息的數(shù)據(jù)處理者向境外提供個(gè)人信息；③自上年1月1日起累計(jì)向境外提供10萬人個(gè)人信息或者1萬人敏感個(gè)人信息的數(shù)據(jù)處理者向境外提供個(gè)人信息；④國家網(wǎng)信部門規(guī)定的其他需要申報(bào)數(shù)據(jù)出境安全評(píng)估的情形。該條規(guī)定明確了數(shù)據(jù)處理者向境外提供數(shù)據(jù)時(shí)應(yīng)當(dāng)進(jìn)行申報(bào)數(shù)據(jù)出境安全評(píng)估的范圍。

上述四類需要申報(bào)數(shù)據(jù)出境安全評(píng)估的情形中，重要數(shù)據(jù)的識(shí)別是企業(yè)面臨的難點(diǎn)。根據(jù)《數(shù)據(jù)出境安全評(píng)估辦法》第19條，重要數(shù)據(jù)是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用等，可能危害國家安全、經(jīng)濟(jì)運(yùn)行、社會(huì)穩(wěn)定、公共健康和安全等的數(shù)據(jù)。通過目的解釋來看，重要數(shù)據(jù)的評(píng)價(jià)應(yīng)當(dāng)基于最終的損害結(jié)果是否可能威脅國家安全和公眾利益，但如果進(jìn)一步做擴(kuò)大解釋，則理論上任何一條重要數(shù)據(jù)出境都需要完成數(shù)據(jù)安全評(píng)估，而此“一刀切”的做法顯然不符合該辦法的立法本意。另一方面，是否進(jìn)行數(shù)據(jù)出境安全評(píng)估常常有賴于數(shù)據(jù)控制者的主觀判斷，但實(shí)踐中一般企業(yè)顯然不具備判斷相關(guān)數(shù)據(jù)被不當(dāng)使用是否會(huì)影響國家安全的能力，因此全憑數(shù)據(jù)控制者的主觀認(rèn)識(shí)水平并不能有效地確保辦法的有效實(shí)施，最終也很可能造成難以挽回的損失。

據(jù)此，《促進(jìn)和規(guī)范數(shù)據(jù)跨境流動(dòng)規(guī)定》第2條規(guī)定：數(shù)據(jù)處理者應(yīng)當(dāng)按照相關(guān)規(guī)定識(shí)別、申報(bào)重要數(shù)據(jù)。未被相關(guān)部門、地區(qū)告知或者公開發(fā)布為重要數(shù)據(jù)的，數(shù)據(jù)處理者不需要作為重要數(shù)據(jù)申報(bào)數(shù)據(jù)出境安全評(píng)估。換言之，數(shù)據(jù)處理者并不需要對何為重大數(shù)據(jù)進(jìn)行自主判斷。但盡管如此，企業(yè)仍可對相關(guān)數(shù)據(jù)分類標(biāo)準(zhǔn)予以關(guān)注。例如國家標(biāo)準(zhǔn)化管理委員會(huì)發(fā)布的《數(shù)據(jù)安全技術(shù) 數(shù)據(jù)分類分級(jí)規(guī)則》（GB/T 43697-2024）附錄中較為詳細(xì)列舉了重要數(shù)據(jù)識(shí)別的相關(guān)因素。上述標(biāo)準(zhǔn)為企業(yè)識(shí)別重要數(shù)據(jù)提供了指引，企業(yè)可在對相關(guān)因素進(jìn)行考量的基礎(chǔ)上，更好地在企業(yè)內(nèi)部建立數(shù)據(jù)分類分級(jí)管理制度。

2. 個(gè)人信息出境標(biāo)準(zhǔn)合同

根據(jù)《個(gè)人信息保護(hù)法》第38條規(guī)定，個(gè)人信息處理者因業(yè)務(wù)等需要，確需向中華人民共和國境外提供個(gè)人信息的，應(yīng)當(dāng)按照國家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同與境外接收方訂立合同，約定雙方的權(quán)利和義務(wù)。2023年公布生效的《個(gè)人信息出境標(biāo)準(zhǔn)合同辦法》（以下簡稱“辦法”）與隨附的《個(gè)人信息出境標(biāo)準(zhǔn)合同》范本為標(biāo)準(zhǔn)合同的實(shí)施提供了指引。根據(jù)《辦法》第4條規(guī)定，個(gè)人信息處理者通過訂立標(biāo)準(zhǔn)合同的方式向境外提供個(gè)人信息的，應(yīng)當(dāng)同時(shí)符合下列情形：①非關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者；②處理個(gè)人信息不滿100萬人的；③自上年1月1日起累計(jì)向境外提供個(gè)人信息不滿10萬人的；④自上年1月1日起累計(jì)向境外提供敏感個(gè)人信息不滿1萬人的；⑤法律、行政法規(guī)或者國家網(wǎng)信部門另有規(guī)定的，從其規(guī)定。另外，個(gè)人信息處理者不得采取數(shù)量拆分等手段，將依法應(yīng)當(dāng)通過出境安全評(píng)估的個(gè)人信息通過訂立標(biāo)準(zhǔn)合同的方式向境外提供。

具體而言，《個(gè)人信息出境標(biāo)準(zhǔn)合同》范本為企業(yè)訂立標(biāo)準(zhǔn)合同提供了指引。標(biāo)準(zhǔn)合同包括定義、個(gè)人信息處理者的義務(wù)、境外接收方的義務(wù)、境外接收方所在國家或者地區(qū)個(gè)人信息保護(hù)政策和法規(guī)對合同履行的影響、個(gè)人信息主體的權(quán)利、救濟(jì)、合同解除、違約責(zé)任、其他等。而備案流程則需參考《個(gè)人信息出境標(biāo)準(zhǔn)合同備案指南（第一版）》規(guī)定完成，即個(gè)人信息處理者應(yīng)當(dāng)在標(biāo)準(zhǔn)合同生效之日起10個(gè)工作日內(nèi)，通過送達(dá)書面材料并附帶材料電子版的方式，向所在地省級(jí)網(wǎng)信辦備案。

個(gè)人信息出境標(biāo)準(zhǔn)合同進(jìn)一步豐富了我國的數(shù)據(jù)出境安全治理規(guī)則，相較于個(gè)人信息出境的其他法定方式，標(biāo)準(zhǔn)合同是一種無需審查、相對輕量級(jí)的跨境機(jī)制，前提是雙方必須使用國家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同條款。^[注6]

3. 個(gè)人信息保護(hù)認(rèn)證

個(gè)人信息保護(hù)認(rèn)證，是依據(jù)GB/T35273-2020《信息安全技術(shù)個(gè)人信息安全規(guī)范》等有關(guān)國家標(biāo)準(zhǔn)，證明個(gè)人信息處理者在認(rèn)證范圍內(nèi)開展的個(gè)人信息收集、存儲(chǔ)、使用、加工、傳輸、提供、公開、刪除以及跨境等處理活動(dòng)符合認(rèn)證依據(jù)標(biāo)準(zhǔn)要求。對于開展跨境處理活動(dòng)的個(gè)人信息處理者，還應(yīng)當(dāng)符合TC260-PG-20222A《個(gè)人信息跨境處理活動(dòng)安全認(rèn)證規(guī)范》。

2022年11月4日，國家市場監(jiān)督管理總局、國家互聯(lián)網(wǎng)信息辦公室發(fā)布2022年第37號(hào)公告，決定實(shí)施個(gè)人信息保護(hù)認(rèn)證，鼓勵(lì)個(gè)人信息處理者通過認(rèn)證方式提升個(gè)人信息保護(hù)能力。從事個(gè)人信息保護(hù)認(rèn)證工作的認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)經(jīng)批準(zhǔn)后開展有關(guān)認(rèn)證活動(dòng)，并按照《個(gè)人信息保護(hù)認(rèn)證實(shí)施規(guī)則》（以下簡稱“《實(shí)施規(guī)則》”）實(shí)施認(rèn)證活動(dòng)。具體認(rèn)證程序則包括技術(shù)驗(yàn)證、現(xiàn)場審核及獲證后監(jiān)督三個(gè)環(huán)節(jié)。認(rèn)證證書有效期為3年。在有效期內(nèi)，通過認(rèn)證機(jī)構(gòu)的獲證后監(jiān)督，保持認(rèn)證證書的有效性。證書到期需繼續(xù)使用的，認(rèn)證委托人應(yīng)當(dāng)在有效期屆滿前6個(gè)月內(nèi)提出認(rèn)證委托。認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)采用獲證后監(jiān)督的方式，對符合認(rèn)證要求的委托人換發(fā)新證書。

綜合三條合規(guī)路徑，數(shù)據(jù)出境安全評(píng)估具有相對強(qiáng)制性，也是最嚴(yán)格的路徑。同時(shí)三條路徑也并非并列關(guān)系，數(shù)據(jù)安全評(píng)估具有優(yōu)先性。盡管根據(jù)對《個(gè)人信息保護(hù)法》第38條的理解，個(gè)人信息出境時(shí)三條路徑“擇其一即可”，但對于有大規(guī)模數(shù)據(jù)出境需求的企業(yè)和境外機(jī)構(gòu)而言，數(shù)據(jù)出境安全評(píng)估往往是首選，留給標(biāo)準(zhǔn)合同與安全認(rèn)證的適用空間少之又少。^[注7]若企業(yè)符合安全評(píng)估的適用情形，則必須選擇該路徑；若未滿足相關(guān)適用條件，則可根據(jù)實(shí)際情況選擇標(biāo)準(zhǔn)合同或認(rèn)證路徑。

(三) 數(shù)據(jù)出境豁免情形

《促進(jìn)和規(guī)范數(shù)據(jù)跨境流動(dòng)規(guī)定》第三到六條列明了四種數(shù)據(jù)出境的豁免情形，可歸納如下：

1. 法定豁免

首先，根據(jù)《促進(jìn)和規(guī)范數(shù)據(jù)跨境流動(dòng)規(guī)定》第3條的規(guī)定，國際貿(mào)易、跨境運(yùn)輸、學(xué)術(shù)合作、跨國生產(chǎn)制造和市場營銷等活動(dòng)中收集和產(chǎn)生的數(shù)據(jù)向境外提供，不包含個(gè)人信息或者重要數(shù)據(jù)的，免予申報(bào)數(shù)據(jù)出境安全評(píng)估、訂立個(gè)人信息出境標(biāo)準(zhǔn)合同、通過個(gè)人信息保護(hù)認(rèn)證。該條款包含兩個(gè)構(gòu)成要件，首先是數(shù)據(jù)出境行為需要發(fā)生在符合條款規(guī)定場景中，其次是出境數(shù)據(jù)中不包含個(gè)人信息或者重要數(shù)據(jù)。該條款屬于聲明性條款。事實(shí)上，非個(gè)人信息或非重要數(shù)據(jù)無需申報(bào)數(shù)據(jù)出境安全評(píng)估、訂立個(gè)人信息出境標(biāo)準(zhǔn)合同或完成個(gè)人信息保護(hù)認(rèn)證即可出境，是我國數(shù)據(jù)跨境流動(dòng)監(jiān)管規(guī)則下的應(yīng)有之義。

2. 數(shù)據(jù)過境豁免

根據(jù)《促進(jìn)和規(guī)范數(shù)據(jù)跨境流動(dòng)規(guī)定》第4條的規(guī)定，數(shù)據(jù)處理者在境外收集和產(chǎn)生的個(gè)人信息傳輸至境內(nèi)處理后向境外提供，處理過程中沒有引入境內(nèi)個(gè)人信息或者重要數(shù)據(jù)的，免予申報(bào)數(shù)據(jù)出境安全評(píng)估、訂立個(gè)人信息出境標(biāo)準(zhǔn)合同、通過個(gè)人信息保護(hù)認(rèn)證。根據(jù)上述規(guī)定，獲取數(shù)據(jù)過境豁免的關(guān)鍵要素在于“沒有引入境內(nèi)個(gè)人信息或者重要數(shù)據(jù)”。如未引入相關(guān)數(shù)據(jù)，則單純的數(shù)據(jù)過境行為即可落入豁免范疇。

3. 與個(gè)人信息出境相關(guān)的豁免

根據(jù)《促進(jìn)和規(guī)范數(shù)據(jù)跨境流動(dòng)規(guī)定》第5條的規(guī)定，數(shù)據(jù)處理者向境外提供個(gè)人信息，符合下列條件之一的，免予申報(bào)數(shù)據(jù)出境安全評(píng)估、訂立個(gè)人信息出境標(biāo)準(zhǔn)合同、通過個(gè)人信息保護(hù)認(rèn)證：為訂立、履行個(gè)人作為一方當(dāng)事人的合同，如跨境購物、跨境寄遞、跨境匯款、跨境支付、跨境開戶、機(jī)票酒店預(yù)訂、簽證辦理、考試服務(wù)等，確需向境外提供個(gè)人信息的；按照依法制定的勞動(dòng)規(guī)章制度和依法簽訂的集體合同實(shí)施跨境人力資源管理，確需向境外提供員工個(gè)人信息的；緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全，確需向境外提供個(gè)人信息的；關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者以外的數(shù)據(jù)處理者自當(dāng)年1月1日起累計(jì)向境外提供不滿10萬人個(gè)人信息（不含敏感個(gè)人信息）的。該條規(guī)范明確了幾種跨境提供個(gè)人信息跨境傳輸行為情形，也是該《促進(jìn)和規(guī)范數(shù)據(jù)跨境流動(dòng)規(guī)定》之中非澄清性的、實(shí)質(zhì)性的豁免行為。需要注意的是，上述條款僅針對個(gè)人信息，不包含重要數(shù)據(jù)。同時(shí)，企業(yè)應(yīng)該采取更加審慎的態(tài)度理解該條中的豁免情形，特別是對數(shù)據(jù)出境必要性的理解上，需要以相關(guān)規(guī)則與案例為指引。

4. 自貿(mào)區(qū)負(fù)面清單

根據(jù)《促進(jìn)和規(guī)范數(shù)據(jù)跨境流動(dòng)規(guī)定》第6條的規(guī)定，自由貿(mào)易試驗(yàn)區(qū)在國家數(shù)據(jù)分類分級(jí)保護(hù)制度框架下，可以自行制定區(qū)內(nèi)需要納入數(shù)據(jù)出境安全評(píng)估、個(gè)人信息出境標(biāo)準(zhǔn)合同、個(gè)人信息保護(hù)認(rèn)證管理范圍的數(shù)據(jù)清單（以下簡稱負(fù)面清單），經(jīng)省級(jí)網(wǎng)絡(luò)安全和信息化委員會(huì)批準(zhǔn)后，報(bào)國家網(wǎng)信部門、國家數(shù)據(jù)管理部門備案。自由貿(mào)易試驗(yàn)區(qū)內(nèi)數(shù)據(jù)處理者向境外提供負(fù)面清單外的數(shù)據(jù)，可以免予申報(bào)數(shù)據(jù)出境安全評(píng)估、訂立個(gè)人信息出境標(biāo)準(zhǔn)合同、通過個(gè)人信息保護(hù)認(rèn)證。據(jù)此，自貿(mào)區(qū)可以制定需要進(jìn)行前置審批的數(shù)據(jù)負(fù)面清單，在屬地省級(jí)網(wǎng)信辦審批并報(bào)備國家網(wǎng)信辦后，清單外的數(shù)據(jù)出境均無需前置審批手續(xù)。

綜上所述，我國的數(shù)據(jù)跨境流動(dòng)規(guī)則正趨于完善，通過基礎(chǔ)法律與相關(guān)規(guī)則、標(biāo)準(zhǔn)的相互配合，為企業(yè)數(shù)據(jù)出境提供較為規(guī)范的指引。企業(yè)在對外承包工程前，應(yīng)當(dāng)關(guān)注涉及的數(shù)據(jù)出境問題，針對不同類型的數(shù)據(jù)采取適當(dāng)?shù)臄?shù)據(jù)出境路徑，但應(yīng)明確以數(shù)據(jù)出境安全評(píng)估為主、標(biāo)準(zhǔn)合同與安全認(rèn)證為輔的思路。同時(shí)，審慎對待和適用數(shù)據(jù)出境豁免規(guī)則，避免因主觀、寬泛的理解而使自己陷入合規(guī)風(fēng)險(xiǎn)中。

在“一帶一路”倡議下，中國企業(yè)不斷加大“走出去”的步伐，在全球范圍內(nèi)的多個(gè)國家和地區(qū)積極開展投資和建設(shè)。面對歐美市場高飽和競爭態(tài)勢，東南亞地區(qū)正處于增量市場階段，具備堅(jiān)實(shí)增長基礎(chǔ)，已成為中國出海企業(yè)的重要拓展方向。在境外建設(shè)和運(yùn)營公共交通、公用設(shè)施、能源電力等基礎(chǔ)設(shè)施項(xiàng)目都會(huì)獲取大量數(shù)據(jù)，過程中必然面臨數(shù)據(jù)處理和跨境流動(dòng)安排。如何遵守當(dāng)?shù)氐臄?shù)據(jù)保護(hù)法律規(guī)范，妥善處理數(shù)據(jù)收集、存儲(chǔ)、出境及使用等問題，是企業(yè)對外承包工程中履行跨境數(shù)據(jù)保護(hù)義務(wù)的難題。本文將對主要東南亞區(qū)域以及部分國家的數(shù)據(jù)跨境監(jiān)管規(guī)則進(jìn)行梳理和分析，為企業(yè)項(xiàng)目運(yùn)營過程中進(jìn)行數(shù)據(jù)回傳或數(shù)據(jù)跨境傳輸提供指引。

(一) 數(shù)據(jù)跨境傳輸?shù)膮^(qū)域安排

除去各國的數(shù)據(jù)跨境監(jiān)管政策，雙邊或區(qū)域性條約也包含了有關(guān)數(shù)據(jù)跨境流動(dòng)的安排，例如APEC CBPR體系，東南亞國家聯(lián)盟（Association of Southeast Asian Nations—ASEAN）（東盟）和《區(qū)域全面經(jīng)濟(jì)伙伴關(guān)系協(xié)定》（Regional Comprehensive Economic Partnership）（RCEP）等。

1. 東盟數(shù)據(jù)跨境傳輸安排

2016年，東盟依托《東盟經(jīng)濟(jì)共同體藍(lán)圖2025》和《東盟信息通信技術(shù)總體規(guī)劃2020》，出臺(tái)了《東盟個(gè)人數(shù)據(jù)保護(hù)框架》。該框架旨在統(tǒng)一東盟內(nèi)的網(wǎng)絡(luò)安全和數(shù)據(jù)流動(dòng)標(biāo)準(zhǔn)，整體增強(qiáng)東盟的數(shù)據(jù)保護(hù)水平。2019年，東盟發(fā)布了《東盟跨境數(shù)據(jù)流動(dòng)機(jī)制的關(guān)鍵方法》以繼續(xù)細(xì)化具體路徑；2021年，《東盟數(shù)據(jù)管理框架》《東盟跨境數(shù)據(jù)流動(dòng)示范合同條款》（ASEAN Model Contractual Clauses for Cross Border Data Flows，MCCs）的發(fā)布，為東盟內(nèi)部數(shù)據(jù)跨境流動(dòng)制定了規(guī)則，目的是促進(jìn)東盟地區(qū)數(shù)據(jù)相關(guān)的商業(yè)業(yè)務(wù)運(yùn)營，同時(shí)確保跨境數(shù)據(jù)傳輸過程中的個(gè)人數(shù)據(jù)保護(hù)。MCCs根據(jù)數(shù)據(jù)傳輸方式的不同，給出了“數(shù)據(jù)控制者到數(shù)據(jù)處理者”及“數(shù)據(jù)控制者到數(shù)據(jù)控制者”兩種合同模板，在合同中通過必備條款、可選條款以及相關(guān)選擇條款明確了數(shù)據(jù)跨境流動(dòng)雙方的責(zé)任、所需的數(shù)據(jù)保護(hù)措施和相關(guān)義務(wù)。^[注8]MCCs屬于自愿性條款和指導(dǎo)性范本，旨在為數(shù)據(jù)傳輸各方提供參考，在不與MCCs沖突的前提下，合同各方可以根據(jù)各成員國國內(nèi)法對其進(jìn)行調(diào)整，包括根據(jù)商業(yè)安排和交易需要增加條款等。同時(shí)，盡管MCCs是為了東盟成員國之間的數(shù)據(jù)跨境流動(dòng)而設(shè)計(jì)，但是東盟不排斥企業(yè)在東盟成員國以外使用。

2. RCEP下的數(shù)據(jù)跨境傳輸安排

在RCEP項(xiàng)下，促進(jìn)數(shù)據(jù)自由流動(dòng)是其數(shù)據(jù)跨境治理的基本原則。RCEP電子商務(wù)章節(jié)對數(shù)據(jù)跨境流動(dòng)作出了安排，明確各成員方不能將設(shè)施本地化作為在其境內(nèi)開展業(yè)務(wù)的條件，也不能阻止為實(shí)現(xiàn)業(yè)務(wù)需要而開展的數(shù)據(jù)跨境流動(dòng)活動(dòng)。但同時(shí)也規(guī)定了公共政策目標(biāo)與基本安全利益例外條款，明確各成員方在以下情況下可以規(guī)定設(shè)施本地化或限制數(shù)據(jù)跨境流動(dòng)：是為了實(shí)現(xiàn)合法的公共利益所必須，且要求是合理的、非歧視的、不會(huì)變相限制貿(mào)易；或者是保護(hù)基本安全利益所必須。^[注9]在兩類例外情境下，東道國都享有較大的自由裁量權(quán)，可自由對公共政策、安全利益等作出判斷。

值得注意的是，RCEP在安全例外項(xiàng)下排除了其他締約方的異議權(quán)，亦即，當(dāng)締約方以安全例外為由限制數(shù)據(jù)跨境流動(dòng)時(shí)，其他締約方不可對此提出異議，爭議解決機(jī)構(gòu)也無權(quán)介入。可以窺見，盡管RCEP已明確數(shù)據(jù)跨境自由流動(dòng)的原則，但鑒于地緣政治、經(jīng)濟(jì)狀況等，締約國依然對可能涉及國家安全利益的數(shù)據(jù)跨境流動(dòng)采取相對審慎的態(tài)度。

(二) 馬來西亞數(shù)據(jù)跨境監(jiān)管規(guī)則

1. 數(shù)據(jù)保護(hù)法律體系

馬來西亞是東南亞國家中較早推行數(shù)據(jù)保護(hù)的國家，2010年就發(fā)布了《個(gè)人數(shù)據(jù)保護(hù)法》（Personal Data Protection Act 2010）（PDPA 2010），該法是一部綜合性立法，任何有關(guān)個(gè)人數(shù)據(jù)收集、記錄、保存或處理的商業(yè)活動(dòng)必須遵守相關(guān)原則。

2011年，馬來西亞通信和多媒體委員會(huì)（Ministry of Communications and Multimedia Commission）（MCMC）的下屬機(jī)構(gòu)——個(gè)人數(shù)據(jù)保護(hù)部（Personal Data Protection Department）（JPDP）正式成立，主要職責(zé)是負(fù)責(zé)監(jiān)督和管理商業(yè)交易中涉及的個(gè)人數(shù)據(jù)處理行為，確保數(shù)據(jù)使用者不會(huì)濫用及誤用個(gè)人數(shù)據(jù)，以及發(fā)布數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)、行為守則等規(guī)范性文件，貫徹落實(shí)PDPA 2010的實(shí)施。

2013年馬來西亞針對PDPA進(jìn)一步出臺(tái)了一系列附屬法例，具體包括《個(gè)人數(shù)據(jù)保護(hù)條例》（Personal Data Protection Regulations 2013）、《個(gè)人數(shù)據(jù)保護(hù)（數(shù)據(jù)使用者類別）令》（Personal Data Protection (Class of Data Users) Order 2013）、《個(gè)人數(shù)據(jù)保護(hù)（數(shù)據(jù)使用者注冊）條例》（Personal Data Protection (Registration of Data User) Regulations 2013）及《個(gè)人數(shù)據(jù)保護(hù)（費(fèi)用）條例》（Personal Data Protection (Fees) Regulations 2013）。

2016年，馬來西亞重新對數(shù)據(jù)使用者類別進(jìn)行了修訂，發(fā)布了《個(gè)人數(shù)據(jù)保護(hù)（數(shù)據(jù)使用者類別）（修訂）令》（Personal Data Protection (Class of Data Users) (Amendment) Order 2016），以及《個(gè)人數(shù)據(jù)保護(hù)（復(fù)合犯罪）條例》（Personal Data Protection (Compounding of Offences) Regulations 2016）。另外，馬來西亞的個(gè)人數(shù)據(jù)保護(hù)委員會(huì)（Personal Data Protection Commission）（PDPC）作為數(shù)據(jù)保護(hù)與監(jiān)管的重要部門，也會(huì)發(fā)布數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)、行為守則、公眾咨詢文件以及進(jìn)行執(zhí)法活動(dòng)。

2. 數(shù)據(jù)出境要求

馬來西亞的數(shù)據(jù)流動(dòng)監(jiān)管法律通過例外情形的規(guī)定允許數(shù)據(jù)跨境流動(dòng)。^[注10]亦即，根據(jù)PDPA 2010的第129條的規(guī)定，原則上數(shù)據(jù)使用者不得將數(shù)據(jù)主體的任何個(gè)人數(shù)據(jù)轉(zhuǎn)移到馬來西亞以外的地方，但下列情況除外：首先是數(shù)據(jù)傳輸至部長根據(jù)PDPC建議指定的地區(qū)。該地區(qū)有與PDPA 2010實(shí)質(zhì)性相似或目的相同的法律。其次，若數(shù)據(jù)出境目的地并非指定地區(qū)，則個(gè)人數(shù)據(jù)在下列情況下仍可出境：

(1) 數(shù)據(jù)主體同意；

(2) 履行數(shù)據(jù)主體和數(shù)據(jù)使用者之間的合同所必需；

(3) 訂立或履行數(shù)據(jù)使用者與第三方之間的合同所必需；（該合同是應(yīng)數(shù)據(jù)主體要求而訂立，或符合數(shù)據(jù)主體的利益）

(4) 為了法律程序或?yàn)榱双@得法律意見或?yàn)榱舜_立、行使或捍衛(wèi)合法權(quán)利；

(5) 數(shù)據(jù)使用者有合理理由相信，跨境傳輸是為了避免或減輕對數(shù)據(jù)主體的不利行為，且獲得數(shù)據(jù)主體書面同意是不切實(shí)際的，如果獲得同意是可行的，則數(shù)據(jù)主體會(huì)給予同意；

(6) 數(shù)據(jù)使用者已采取一切合理的預(yù)防措施并盡一切努力確保個(gè)人數(shù)據(jù)不會(huì)在其他地方以違反PDPA 2010的方式處理；

(7) 為保護(hù)數(shù)據(jù)主體的切身利益所必需；

(8) 為公共利益所必需。

綜上，馬來西亞的數(shù)據(jù)跨境監(jiān)管政策仍以本地化儲(chǔ)存為原則，跨境轉(zhuǎn)移為例外。同時(shí)，明確了相當(dāng)保護(hù)水平是馬來西亞判定數(shù)據(jù)跨境傳輸?shù)暮诵臉?biāo)準(zhǔn)，但也通過數(shù)據(jù)主體同意等規(guī)則為數(shù)據(jù)跨境傳輸提供了例外路徑。

(三) 泰國數(shù)據(jù)跨境監(jiān)管規(guī)則

1. 數(shù)據(jù)保護(hù)法律體系

相較而言，泰國的數(shù)據(jù)保護(hù)法律立法起步較晚。2019年泰國國家立法議會(huì)通過了《個(gè)人數(shù)據(jù)保護(hù)法》（Personal Data Protection Act 2019）（PDPA 2019）和《網(wǎng)絡(luò)安全法》（Cybersecurity Act 2019）。制訂上述法案的目的是直接管理個(gè)人數(shù)據(jù)的收集、儲(chǔ)存、使用或處理，明確數(shù)據(jù)控制者和數(shù)據(jù)處理者的義務(wù)，以及數(shù)據(jù)主體的基本權(quán)利，加強(qiáng)網(wǎng)絡(luò)空間的法律保障，確保國家安全及個(gè)人數(shù)據(jù)隱私安全。但PDPA 2019經(jīng)過兩次推遲后于2022年才正式生效，成為泰國第一部綜合性數(shù)據(jù)保護(hù)立法。其后，泰國個(gè)人數(shù)據(jù)保護(hù)委員會(huì)（Personal Data Protection Committee）（PDPC）發(fā)布了一系列指引，對PDPA 2019做出細(xì)化規(guī)定。2022年6月21日，在皇家公報(bào)上發(fā)布了關(guān)于PDPA 2019的四項(xiàng)新公告，旨在為數(shù)據(jù)處理者和數(shù)據(jù)控制者就如何遵循PDPA 2019做出規(guī)范要求，其中包含：

(1) 豁免中小型企業(yè)或中小企業(yè)的數(shù)據(jù)保護(hù)官的數(shù)據(jù)記錄要求；

(2) 數(shù)據(jù)保護(hù)官制作和保存?zhèn)€人數(shù)據(jù)記錄的條款和措施；

(3) 數(shù)據(jù)保護(hù)官應(yīng)當(dāng)采取的安全措施；

(4) 專家委員會(huì)實(shí)施行政罰款和行政處罰的措施。

2022年7月11日，PDPC發(fā)布了兩個(gè)通知，對其接受、處理投訴的規(guī)則以及專家委員會(huì)的選聘作出了規(guī)定。2022年9月7日，PDPC再次頒布了兩個(gè)指引，分別是《向數(shù)據(jù)主體獲得同意的指引》和《向數(shù)據(jù)主體通知收集信息的目的以及其他細(xì)節(jié)的指引》，旨在幫助數(shù)據(jù)控制者及相關(guān)主體更好的理解并遵循PDPA 2019關(guān)于數(shù)據(jù)主體知情同意的規(guī)則。

2. 數(shù)據(jù)出境要求

在泰國數(shù)據(jù)保護(hù)規(guī)則體系下，數(shù)據(jù)出境有三種方式：首先，根據(jù)PDPA 2019，進(jìn)行個(gè)人數(shù)據(jù)出境需確保目的地國家或國際組織的數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)足夠充分，且遵守了PDPC發(fā)布的個(gè)人數(shù)據(jù)出境的保護(hù)標(biāo)準(zhǔn)，但以下情況除外：

(1) 為遵守法律規(guī)定；

(2) 在數(shù)據(jù)主體已被告知該目的地國家或國際組織的個(gè)人數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)不足的前提下，仍然獲得了數(shù)據(jù)主體同意的；

(3) 履行數(shù)據(jù)主體作為當(dāng)事人的合同所必需，或者在訂立合同前已經(jīng)應(yīng)數(shù)據(jù)主體的要求采取措施的；

(4) 遵守?cái)?shù)據(jù)控制者與他人之間為了數(shù)據(jù)主體的利益而訂立的合同所必需；

(5) 為防止或遏止對數(shù)據(jù)主體或其他人的生命、身體或健康的危險(xiǎn)，數(shù)據(jù)主體無法及時(shí)給予同意時(shí)；

(6) 為開展涉及重大公共利益的活動(dòng)所必需。

如果數(shù)據(jù)控制者對目的地國家或國際組織的數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)是否足夠充分存疑，可以提交PDPC審查決定。其次，泰國針對跨國關(guān)聯(lián)業(yè)務(wù)及跨國集團(tuán)企業(yè)開展了“個(gè)人數(shù)據(jù)保護(hù)政策”審查機(jī)制，即如果企業(yè)的“個(gè)人數(shù)據(jù)保護(hù)政策”通過了PDPC的審查和認(rèn)證，即便不符合上述數(shù)據(jù)出境的規(guī)定也可以進(jìn)行個(gè)人數(shù)據(jù)的跨境傳輸。最后，PDPA 2019以實(shí)質(zhì)性要求為兜底，如果數(shù)據(jù)控制者或數(shù)據(jù)處理者提供適當(dāng)?shù)谋Ｗo(hù)措施，使數(shù)據(jù)主體的權(quán)利得以執(zhí)行，包括根據(jù)PDPC規(guī)定和公布的規(guī)則和方法采取有效的法律補(bǔ)救措施，數(shù)據(jù)控制者或數(shù)據(jù)處理者即可以將個(gè)人數(shù)據(jù)發(fā)送或傳輸?shù)酵鈬?

總體而言，泰國的數(shù)據(jù)跨境監(jiān)管規(guī)則仍未擺脫歐盟數(shù)據(jù)保護(hù)規(guī)則的影響，充分保護(hù)標(biāo)準(zhǔn)仍是其進(jìn)行數(shù)據(jù)跨境傳輸?shù)闹饕袛嘁蛩亍Ｍ瑫r(shí)，PDPA 2019也提供了數(shù)據(jù)保護(hù)認(rèn)證、適當(dāng)保護(hù)措施以及充分保護(hù)例外等路徑。顯然，數(shù)據(jù)處理者在泰國面臨著更加寬松的合規(guī)要求。

(四) 越南數(shù)據(jù)跨境監(jiān)管規(guī)則

1. 數(shù)據(jù)保護(hù)法律體系

2021年2月，越南發(fā)布了《個(gè)人數(shù)據(jù)保護(hù)法》草案（Personal Data Protection Decree）（PDPD草案）并公開征求意見。2022年3月，越南政府通過了關(guān)于該草案的第27/NQCP號(hào)決議，表明該草案距離通過又推進(jìn)了一步。而相較于個(gè)人數(shù)據(jù)保護(hù)，越南對網(wǎng)絡(luò)安全的監(jiān)管體系相對完善，主要法律規(guī)范包括：《網(wǎng)絡(luò)信息安全法》（86/2015/QH13）、《網(wǎng)絡(luò)安全法》（24/2018/QH14）、《關(guān)于管理、提供和使用互聯(lián)網(wǎng)服務(wù)和在線信息法令》（72/2013/ND-CP）、《關(guān)于信息系統(tǒng)安全分類法令》（85 /2016/ND-CP）、《全國網(wǎng)絡(luò)信息安全事件協(xié)調(diào)和響應(yīng)辦法》（20/2017/TT-BTTTT）、2022年《網(wǎng)絡(luò)安全法若干條款的詳細(xì)規(guī)定》（53/2022/ND-CP）以及《網(wǎng)絡(luò)安全領(lǐng)域行政違法行為處罰法令》等文件。

為了加強(qiáng)數(shù)據(jù)管理，越南《網(wǎng)絡(luò)安全法》中納入了數(shù)據(jù)本地化儲(chǔ)存條款。在越南提供電信網(wǎng)絡(luò)、互聯(lián)網(wǎng)和網(wǎng)絡(luò)增值服務(wù)的國內(nèi)外企業(yè)，其收集、挖掘、分析和處理有關(guān)個(gè)人信息的數(shù)據(jù)、服務(wù)用戶關(guān)系數(shù)據(jù)、服務(wù)用戶生成的數(shù)據(jù)必須在政府規(guī)定的時(shí)間內(nèi)儲(chǔ)存在越南。《網(wǎng)絡(luò)安全法若干條款的詳細(xì)規(guī)定》又對此規(guī)定進(jìn)行了細(xì)化，對于在越南開展特定行業(yè)的外國企業(yè)必須將上述類型數(shù)據(jù)儲(chǔ)存在本地，并在企業(yè)提供的服務(wù)被使用的情況下在越南設(shè)置分支機(jī)構(gòu)或代表處。而特定行業(yè)包括：電信服務(wù)；在網(wǎng)絡(luò)空間存儲(chǔ)和共享數(shù)據(jù)；為越南服務(wù)用戶提供國內(nèi)或國際域名；電子商務(wù)；在線支付；支付中介；通過網(wǎng)絡(luò)空間傳輸連接服務(wù)；社交網(wǎng)絡(luò)和社交媒體；網(wǎng)絡(luò)視頻游戲；以短信、語音通話、視頻通話、電子郵件、在線聊天等形式在網(wǎng)絡(luò)空間提供、管理或運(yùn)營其他信息的服務(wù)。另外，數(shù)據(jù)儲(chǔ)存期限最低為24個(gè)月，用于調(diào)查和處理違反網(wǎng)絡(luò)安全法的系統(tǒng)日志至少保存12個(gè)月。

2. 數(shù)據(jù)出境要求

根據(jù)PDPD草案的規(guī)定，數(shù)據(jù)處理者不得將個(gè)人數(shù)據(jù)傳輸?shù)皆侥弦酝獾膰一虻貐^(qū)，除非同時(shí)滿足下列條件：（1）當(dāng)數(shù)據(jù)主體同意傳輸時(shí)；（2）原始數(shù)據(jù)存儲(chǔ)在越南；（3）有文件證明其所傳輸?shù)膰摇⒌貐^(qū)已頒布個(gè)人數(shù)據(jù)保護(hù)條例并達(dá)到或高于PDPD草案規(guī)定的水平；（4）獲得個(gè)人數(shù)據(jù)保護(hù)委員會(huì)的書面同意。同時(shí)，PDPD草案又規(guī)定，在下列情況下，不符合上述規(guī)定條件的個(gè)人數(shù)據(jù)也可以轉(zhuǎn)移出越南領(lǐng)土：（1）獲得數(shù)據(jù)主體的同意；（2）獲得個(gè)人數(shù)據(jù)保護(hù)委員會(huì)的書面同意；（3）數(shù)據(jù)處理者承諾保護(hù)個(gè)人數(shù)據(jù)；（4）數(shù)據(jù)處理者承諾采取個(gè)人數(shù)據(jù)保護(hù)措施。

另外，向境外傳輸個(gè)人數(shù)據(jù)的數(shù)據(jù)處理者需將數(shù)據(jù)傳輸歷史記錄保存3年，并且在傳輸前進(jìn)行數(shù)據(jù)跨境傳輸?shù)怯洝?shù)據(jù)處理者需要向監(jiān)管部門提交“個(gè)人數(shù)據(jù)跨境傳輸申請”以及“個(gè)人數(shù)據(jù)跨境傳輸影響評(píng)估報(bào)告”。如果涉及處理敏感個(gè)人數(shù)據(jù)的，還需要提供“處理敏感個(gè)人數(shù)據(jù)申請”與“處理敏感個(gè)人數(shù)據(jù)影響評(píng)估報(bào)告”等文件。個(gè)人數(shù)據(jù)保護(hù)委員會(huì)每年會(huì)定期評(píng)估個(gè)人數(shù)據(jù)處理者在越南境外的個(gè)人數(shù)據(jù)傳輸情況。

(五) 菲律賓數(shù)據(jù)跨境監(jiān)管規(guī)則

1. 數(shù)據(jù)保護(hù)法律體系

菲律賓的數(shù)據(jù)保護(hù)法律體系主要以2012年的《數(shù)據(jù)隱私法》（Data Privacy Act of 2012）（DPA）以及2016年的《數(shù)據(jù)隱私法實(shí)施細(xì)則和條例》（Implementing Rules and Regulations of the Data Privacy Act of 2012）（IRR）為基礎(chǔ)。國家隱私委員會(huì)（National Privacy Commission）（NPC）是菲律賓主管個(gè)人數(shù)據(jù)保護(hù)的部門，其主要職責(zé)之一是解釋DPA、IRR及其他數(shù)據(jù)隱私法的規(guī)定并發(fā)布與數(shù)據(jù)保護(hù)相關(guān)的法律指南。目前NPC發(fā)布了大量的通函、咨詢、咨詢意見及咨詢采納。

2. 數(shù)據(jù)出境的要求

DPA及IRR規(guī)定了數(shù)據(jù)傳輸?shù)呢?zé)任原則，數(shù)據(jù)控制者應(yīng)對其控制或保管的個(gè)人數(shù)據(jù)負(fù)責(zé)，數(shù)據(jù)控制者應(yīng)使用合同或其他合理的方式為個(gè)人數(shù)據(jù)提供同等程度的保護(hù)，且需與數(shù)據(jù)接收方進(jìn)行跨境安排和合作。上述責(zé)任包括：

(1) 個(gè)?信息控制者有責(zé)任遵守DPA、IRR以及NPC發(fā)布的其他要求，并在個(gè)人信息處理者或第三?處理信息時(shí)使用合同或其他合理手段提供相當(dāng)?平的保護(hù)。

(2) 個(gè)?信息控制者應(yīng)指定一人或多?負(fù)責(zé)遵守法律規(guī)定，并將負(fù)責(zé)人的身份告知數(shù)據(jù)主體。菲律賓數(shù)據(jù)出境監(jiān)管強(qiáng)調(diào)對數(shù)據(jù)控制者的約束，通過對數(shù)據(jù)控制者處理數(shù)據(jù)行為的規(guī)制，達(dá)到保護(hù)數(shù)據(jù)安全和個(gè)人隱私的目的。

(六) 新加坡數(shù)據(jù)跨境監(jiān)管規(guī)則

1. 數(shù)據(jù)保護(hù)法律體系

新加坡的數(shù)據(jù)保護(hù)法律體系以2012年的《個(gè)人數(shù)據(jù)保護(hù)法》（Personal Data Protection Act）（PDPA 2012）為主，該法是一部規(guī)范個(gè)人數(shù)據(jù)處理行為的綜合性立法，其中包含了關(guān)于數(shù)據(jù)跨境傳輸?shù)幕疽蟆?020年11月2日，新加坡議會(huì)通過了《個(gè)人數(shù)據(jù)保護(hù)法（修正案）》，該修正案自2021年2月1日起分階段生效。同時(shí)，為了更好地執(zhí)行PDPA 2012，新加坡個(gè)人數(shù)據(jù)保護(hù)委員會(huì)陸續(xù)出臺(tái)了一系列條例及指引，包括《2021個(gè)人數(shù)據(jù)保護(hù)條例》（Personal Data Protection Regulations 2021）（PDPR）、《個(gè)保法下關(guān)鍵概念咨詢指南》（PDPA Guidelines）等文件。

2. 數(shù)據(jù)出境的要求

在數(shù)據(jù)出境方面，新加坡對標(biāo)歐盟確立了“保護(hù)水平相當(dāng)”標(biāo)準(zhǔn)。根據(jù)PDPA 2012的規(guī)定，任何機(jī)構(gòu)不得將任何個(gè)人數(shù)據(jù)傳輸?shù)叫录悠乱酝獾膰一虻貐^(qū)，除非能夠確保對傳輸?shù)膫€(gè)人數(shù)據(jù)提供相當(dāng)?shù)谋Ｗo(hù)標(biāo)準(zhǔn)。PDPR進(jìn)一步細(xì)化規(guī)定機(jī)構(gòu)只有在采取適當(dāng)措施，確保數(shù)據(jù)接收方受法律強(qiáng)制義務(wù)的約束，以保證對傳輸?shù)膫€(gè)人數(shù)據(jù)提供與PDPA 2012相當(dāng)?shù)谋Ｗo(hù)標(biāo)準(zhǔn)時(shí)，才能將個(gè)人數(shù)據(jù)向第三國轉(zhuǎn)移。其中，法律強(qiáng)制義務(wù)包括簽訂數(shù)據(jù)傳輸協(xié)議以及建立具有約束力的集團(tuán)規(guī)則。

從實(shí)踐及PDPA Guidelines建議看，簽訂數(shù)據(jù)傳輸協(xié)議、建立有約束力的公司規(guī)則，是持續(xù)傳輸或集團(tuán)內(nèi)部傳輸場景中最為常見的實(shí)現(xiàn)數(shù)據(jù)跨境傳輸?shù)姆绞健Ｆ渲校屑s束力的集團(tuán)規(guī)則對于持續(xù)的數(shù)據(jù)傳輸來說具有極大的便利性。此外，數(shù)據(jù)接收方認(rèn)證也是履行“保護(hù)水平相當(dāng)”標(biāo)準(zhǔn)義務(wù)的方式。當(dāng)接收方為數(shù)據(jù)中介方時(shí)，接收方應(yīng)取得APEC Privacy Recognition for Processors System（APEC PRP）或APEC Cross Border Privacy Rules System（APEC CBPR）的認(rèn)證；當(dāng)接收方為數(shù)據(jù)中介外的其他組織（如數(shù)據(jù)控制者）時(shí)，該接收方應(yīng)取得APEC CBPR認(rèn)證。^[注11]但無論是通過APEC PRP抑或是CBPR，其取得認(rèn)證的程序和步驟都是相對繁瑣的。

除此之外，PDPA所構(gòu)建的個(gè)人數(shù)據(jù)保護(hù)體系還提供了諸多例外規(guī)則，使得新加坡的數(shù)據(jù)跨境監(jiān)管更為靈活。此類例外規(guī)則或可為上述數(shù)據(jù)處理者提供更加方便、更低成本的數(shù)據(jù)跨境傳輸合規(guī)路徑。值得注意的包括PDPA第10條規(guī)定的例外規(guī)則包含個(gè)人同意例外（取得個(gè)人關(guān)于數(shù)據(jù)跨境的同意或視為同意）、公開數(shù)據(jù)例外、數(shù)據(jù)中轉(zhuǎn)例外、履行合同例外、維護(hù)個(gè)人切身利益例外以及維護(hù)國家利益例外。此外，PDPA第26條還規(guī)定了向PDPC申請豁免的規(guī)則（PDPC享有較大的自由裁量權(quán)）。其中，公共可用性例外和個(gè)人同意例外規(guī)則的設(shè)定是新加坡主要的突破和創(chuàng)新。

(七) 印度尼西亞數(shù)據(jù)跨境監(jiān)管規(guī)則

1. 數(shù)據(jù)保護(hù)法律體系

2022年10月17日，印度尼西亞《個(gè)人數(shù)據(jù)保護(hù)法案》（PDP Law）正式生效，這是印尼首部針對個(gè)人數(shù)據(jù)隱私安全與保護(hù)的專門性立法。在此之前，印尼有關(guān)個(gè)人數(shù)據(jù)保護(hù)的規(guī)定散見于《信息與電子交易法》《電子系統(tǒng)個(gè)人數(shù)據(jù)保護(hù)條例》《電子系統(tǒng)（網(wǎng)絡(luò)與信息）實(shí)施規(guī)則》等法規(guī)中。個(gè)人數(shù)據(jù)保護(hù)由通信部負(fù)責(zé)監(jiān)管，但必須指出的是，PDP Law為數(shù)據(jù)控制者和處理者提供了兩年的過渡期（直至2024年10月17日）。

2. 數(shù)據(jù)出境的要求

一般而言，PDP Law要求公共服務(wù)數(shù)據(jù)必須在國內(nèi)存儲(chǔ)。對于非公共服務(wù)數(shù)據(jù)，數(shù)據(jù)控制者必須向通信和信息技術(shù)部報(bào)備并確保已經(jīng)采取適當(dāng)?shù)谋Ｗo(hù)措施。根據(jù)印尼PDP Law的規(guī)定，數(shù)據(jù)控制者可以將個(gè)人數(shù)據(jù)傳輸給印尼境外的數(shù)據(jù)控制者和/或數(shù)據(jù)處理者，但需要達(dá)到以下主要要求：首先是與歐盟類似的充分性保護(hù)標(biāo)準(zhǔn)。亦即數(shù)據(jù)控制者應(yīng)確保數(shù)據(jù)控制者和/或接受個(gè)人數(shù)據(jù)傳輸?shù)膫€(gè)人數(shù)據(jù)處理者的住所所在國的個(gè)人數(shù)據(jù)保護(hù)水平等于或高于印尼PDP Law規(guī)定的水平，數(shù)據(jù)控制者有義務(wù)確保對個(gè)人數(shù)據(jù)進(jìn)行充分和有約束力的保護(hù)。其次，數(shù)據(jù)處理者在得到數(shù)據(jù)主體充分同意的基礎(chǔ)上，才可進(jìn)行數(shù)據(jù)跨境傳輸。

(八) 老撾數(shù)據(jù)跨境監(jiān)管規(guī)則

1. 數(shù)據(jù)保護(hù)法律體系

老撾的數(shù)據(jù)保護(hù)立法主要為《電子數(shù)據(jù)保護(hù)法》和《打擊和預(yù)防網(wǎng)絡(luò)犯罪法》。其中《電子數(shù)據(jù)保護(hù)法》規(guī)范了收集、處理個(gè)人數(shù)據(jù)行為，而《打擊和預(yù)防網(wǎng)絡(luò)犯罪法》，規(guī)定了打擊、預(yù)防、遏制網(wǎng)絡(luò)犯罪行為，以及保護(hù)數(shù)據(jù)庫系統(tǒng)、服務(wù)器系統(tǒng)、計(jì)算機(jī)信息和數(shù)據(jù)。除此之外，數(shù)據(jù)保護(hù)相關(guān)內(nèi)容散見于其他法律規(guī)定之中，如《電子交易法》規(guī)定了服務(wù)供應(yīng)商應(yīng)保護(hù)數(shù)據(jù)的完整性、可靠性和安全性以及用戶個(gè)人信息的隱私和機(jī)密性；《網(wǎng)絡(luò)犯罪處罰決定》規(guī)定了對未經(jīng)許可刪除計(jì)算機(jī)數(shù)據(jù)等行為的處罰；《刑法典》規(guī)定了涉及計(jì)算機(jī)系統(tǒng)和數(shù)據(jù)的犯罪行為以及刑罰條款。

2. 數(shù)據(jù)出境的要求

根據(jù)老撾《電子數(shù)據(jù)保護(hù)法》的規(guī)定，老撾數(shù)據(jù)跨境傳輸?shù)囊话阋蟀ǎ?

(1) 取得數(shù)據(jù)主體同意；

(2) 數(shù)據(jù)接收方具有保護(hù)傳輸?shù)臄?shù)據(jù)的能力；

(3) 對重要信息進(jìn)行加密，如財(cái)會(huì)數(shù)據(jù)；

(4) 不偽造傳輸數(shù)據(jù)的來源；

(5) 數(shù)據(jù)控制者與數(shù)據(jù)接收方遵守簽署的協(xié)議；

(6) 數(shù)據(jù)接收方拒絕則立即停止傳輸。

數(shù)據(jù)跨境流動(dòng)在促進(jìn)國際貿(mào)易與投資發(fā)展的同時(shí)，也對國家安全與個(gè)人隱私保護(hù)提出了挑戰(zhàn)。為了減少數(shù)據(jù)跨境流動(dòng)給國家安全和公共利益帶來的風(fēng)險(xiǎn)，許多國家和地區(qū)采取了數(shù)據(jù)本地化的策略。數(shù)據(jù)本地化制度疊加數(shù)據(jù)出口管制、長臂管轄、區(qū)際沖突規(guī)則等因素，使得出海企業(yè)在數(shù)據(jù)跨境時(shí)往往面臨“雙向合規(guī)”的困難。

(一) 數(shù)據(jù)分類分級(jí)保護(hù)

首先，數(shù)據(jù)分類分級(jí)管理是我國數(shù)據(jù)保護(hù)的基礎(chǔ)。不同類型數(shù)據(jù)的風(fēng)險(xiǎn)等級(jí)存在差異。數(shù)據(jù)分類分級(jí)管理通過定性和定量的方式確定數(shù)據(jù)保護(hù)的方式與先后順序，并根據(jù)分類分級(jí)結(jié)果在具體的應(yīng)用場景中對數(shù)據(jù)采取不同的安全保障措施。這一過程需要企業(yè)對合規(guī)風(fēng)險(xiǎn)進(jìn)行持續(xù)監(jiān)測和評(píng)估，及時(shí)調(diào)整和完善合規(guī)策略。

(二) 熟悉與追蹤數(shù)據(jù)監(jiān)管法律規(guī)則

熟悉東道國數(shù)據(jù)監(jiān)管法律規(guī)則是確保數(shù)據(jù)跨境回傳合規(guī)的前提。前述關(guān)于東南亞國家數(shù)據(jù)跨境監(jiān)管規(guī)則的梳理與分析可知，盡管東南亞各國關(guān)于跨境數(shù)據(jù)流動(dòng)的立法基本遵循相似的規(guī)則，但在實(shí)施細(xì)則方面仍存在一定差異。部分國家通過專門立法的方式，制定了規(guī)范數(shù)據(jù)跨境傳輸活動(dòng)的具體法律規(guī)定，而部分國家的相關(guān)規(guī)定則散見于其他法律法規(guī)之中。因此，對外承包工程企業(yè)在業(yè)務(wù)之外，應(yīng)當(dāng)重視數(shù)據(jù)出境合規(guī)，在出海前應(yīng)對東道國數(shù)據(jù)監(jiān)管政策作詳細(xì)的盡職調(diào)查，可聘請專業(yè)團(tuán)隊(duì)對東道國的數(shù)據(jù)監(jiān)管法律環(huán)境作出評(píng)估，出具專業(yè)法律和合規(guī)意見。

(三) 將數(shù)據(jù)出境保護(hù)納入企業(yè)對外承包工程項(xiàng)目的立項(xiàng)論證

企業(yè)應(yīng)當(dāng)根據(jù)不同數(shù)據(jù)出境合規(guī)路徑的要求向監(jiān)管部門進(jìn)行評(píng)估申報(bào)或備案，而該舉措也應(yīng)當(dāng)納入企業(yè)對外承包工程項(xiàng)目的立項(xiàng)論證中，作為項(xiàng)目合規(guī)管理的重要支撐。據(jù)此，企業(yè)應(yīng)當(dāng)配備專業(yè)人員在內(nèi)部成立專門的數(shù)據(jù)合規(guī)管理部門，結(jié)合對外承包工程項(xiàng)目的業(yè)務(wù)特性進(jìn)行綜合、精準(zhǔn)的研判，協(xié)調(diào)并推進(jìn)細(xì)分工作流程，以確保全面且細(xì)致地掌握數(shù)據(jù)流情況。

(四) 尋求多樣化的合規(guī)渠道

企業(yè)可以在出海過程中尋求多樣化的合規(guī)渠道，提前做好合規(guī)路徑規(guī)劃，破解數(shù)據(jù)跨境合規(guī)困境。盡管各國都對數(shù)據(jù)獲取與處理，特別是個(gè)人數(shù)據(jù)保護(hù)作出了較為嚴(yán)格的安排，但通常也會(huì)留有一些例外空間和合法轉(zhuǎn)移渠道。以東南亞國家中數(shù)據(jù)保護(hù)政策較為完善的新加坡為例，常規(guī)的數(shù)據(jù)跨境傳輸路徑往往需要花費(fèi)大量的經(jīng)濟(jì)和時(shí)間成本，但實(shí)際收益與其投入難以平衡。對此，PDPA的例外規(guī)則為數(shù)據(jù)處理者提供了更為靈活的數(shù)據(jù)傳輸方式和合規(guī)路徑選擇。企業(yè)可結(jié)合自身狀況，構(gòu)建更具可行性、降本增效的合規(guī)路徑。

中國企業(yè)在東南亞地區(qū)開展投資活動(dòng)、承包項(xiàng)目的過程中，信息安全保護(hù)與數(shù)據(jù)處理合規(guī)是其需要面對的重要問題。在數(shù)據(jù)跨境方面，企業(yè)往往面臨著雙向合規(guī)的壓力。

因此，在東南亞地區(qū)開展業(yè)務(wù)之前，一方面要做好數(shù)據(jù)分類分級(jí)保護(hù)等工作，審慎應(yīng)對國內(nèi)數(shù)據(jù)出境規(guī)則的審查，避免因數(shù)據(jù)安全問題而影響項(xiàng)目備案與立項(xiàng)審查。另一方面，應(yīng)當(dāng)重點(diǎn)關(guān)注東南亞各國的數(shù)字經(jīng)濟(jì)發(fā)展水平和營商環(huán)境，尤其是各國數(shù)據(jù)保護(hù)法律體系的現(xiàn)狀和監(jiān)管動(dòng)態(tài)。應(yīng)當(dāng)強(qiáng)化對擬出海國家和地區(qū)數(shù)據(jù)保護(hù)法律的認(rèn)識(shí)和理解，進(jìn)行充分調(diào)查和事先研判，不斷提升企業(yè)的數(shù)據(jù)合規(guī)水平。

同時(shí)，靈活運(yùn)用東道國的數(shù)據(jù)跨境傳輸例外規(guī)則，尋找靈活多樣的數(shù)據(jù)出境合規(guī)路徑，保證項(xiàng)目運(yùn)營過程中數(shù)據(jù)的順利傳輸。