适用场景
计划或已在泰国、越南开展业务,涉及收集、处理当地用户个人数据的中国出海企业(如电商、社交、金融科技、在线服务等)。
核心要点
1. 法律适用范围与域外效力
泰国和越南的数据保护法均具有域外效力。只要向两国境内个人提供商品/服务或监控其行为,即使企业未在当地设立实体,也可能受其管辖。企业需根据自身业务模式(如是否设实体、是否面向当地用户)准确判断适用法律。
2. 处理个人数据的合法依据与同意要求
两国均要求处理个人数据必须有合法依据,数据主体的“同意”是最常用但非唯一的基础。泰国和越南对“告知同意”有严格规定:必须事前告知、目的明确、语言清晰、同意需主动明确作出(如勾选、点击),且同意请求需与其他条款(如用户协议)分离。
3. 数据跨境传输与本地化要求
泰国规则类似欧盟GDPR,向境外传输数据需满足目的地国家有充分保护水平、采取适当保护措施(如签署标准合同)或符合特定例外情形。越南规则独特,特定行业的境外服务商可能被要求将数据存储在越南境内并设立分支机构,且所有数据出境均需向监管部门提交评估报告并获备案。
4. 数据主体权利与响应时限
两国法律均赋予数据主体查阅、更正、删除、撤回同意等权利。企业需建立内部流程以响应这些请求。泰国对查阅请求的响应时限为30天;越南要求对所有权利请求在72小时内响应,时限要求更为严格。
5. 数据保护官(DPO)任命与组织义务
在特定情况下(如处理大量数据、核心业务涉及敏感数据处理等),企业被强制要求任命DPO。DPO信息需向监管机构备案。企业需明确自身在数据处理活动中的角色(控制者或处理者),以确定相应义务,如进行数据保护影响评估(DPIA)、发生数据泄露时通知监管机构等。
实务建议
- 业务启动前进行合规映射:根据业务模式(是否设实体、用户面向、数据类型)判断适用泰国PDPA和/或越南PDPD,并识别自身是数据控制者还是处理者。
- 设计合规的告知同意流程:确保隐私政策/告知内容用当地语言、清晰列明处理目的;获取同意时使用独立的勾选框等肯定性动作;避免“一揽子”同意。
- 建立数据主体权利响应机制:设立内部流程,确保能在法定时限内(泰国查阅权30天,越南各类请求72小时)响应用户的权利请求。
- 规划数据跨境传输路径:若需从泰国出境数据,优先考虑使用欧盟标准合同条款(SCCs)或东盟示范合同;若需从越南出境,则提前准备按官方模板完成DPIA报告并向A05局提交备案。
- 评估并履行DPO任命义务:检查业务是否触发强制任命DPO的情形(如处理敏感数据、数据量巨大),如需任命,确保人选具备专业知识,并完成向监管机构的备案。
- 为越南业务做好本地化准备:若属于电信、电商、社交网络等特定行业并向越南用户提供服务,应提前规划数据本地化存储及在越设立分支机构/代表处的可能性。
风险提示
- 切勿忽视域外效力:即使公司注册地和中国,只要业务触及泰、越境内个人,就必须遵守当地数据法,不可仅依据中国法律进行合规设计。
- 避免“一刀切”的同意设计:泰国和越南均要求同意必须针对特定目的,且告知需清晰。将同意条款隐藏在冗长的用户协议中,或设计为默认勾选,均存在合规风险。
- 混淆数据控制者与处理者义务:角色不同,法律责任差异巨大(如数据泄露通知、DPIA义务主体)。与第三方合作时,需通过协议明确角色划分与责任承担。
- 低估越南数据出境监管强度:越南的数据出境需事前评估并报备,且监管机构有权暂停传输。未经报备擅自出境将面临处罚,不可简单套用其他国家的出境方案。
- 误判敏感个人数据范围:两国对敏感数据的定义与中国不完全相同(如越南将身份证号视为一般数据)。需依据当地法律对数据分类,采取相应级别的保护措施。