根據《數據出境安全評估申報指南》的相關規定，數據出境行為主要包括：（一）數據處理者將在境內運營中收集和產生的數據傳輸至境外；（二）數據處理者收集和產生的數據存儲在境內，境外的機構、組織或者個人可以查詢、調取、下載、導出；（三）符合《個人信息保護法》第三條第二款情形，在境外處理境內自然人個人信息等其他數據處理活動。因此，數據出境包含兩個面向，一是將數據實際發送、傳輸至境外，亦即數據在物理上跨越國界；二是在境外通過技術手段訪問儲存在國內的數據。

2021年7月“滴滴”在紐交所掛牌上市，該境外上市安排引起了相關部門有關數據跨境流動的關注，隨后國家網信辦宣布對“滴滴出行”實施網絡安全審查。經審查，國家網信辦認為滴滴公司共存在八個方面的違法事實，包括一是違法收集用戶手機相冊信息；二是過度收集用戶剪切板信息、應用列表信息；三是過度收集乘客人臉識別、年齡段、職業、親情關系和打車地址信息；四是過度收集乘客的精準位置；五是過度收集司機學歷、司機身份證號信息；六是在未明確告知乘客情況下分析乘客出行意圖信息、常駐城市信息和異地商務/異地旅游信息；七是頻繁索取無關的“電話權限”；八是未準確、清晰說明個人信息處理目的。最終國家網信辦對滴滴全球股份有限公司處人民幣80.26億元罰款，對其董事長兼CEO、總裁各處人民幣100萬元罰款。^[注1]該案不僅為我國數據流動監管敲響警鐘，也應成為出海企業的前車之鑒。企業如何在有效利用數據資源和數據合規監管中尋找平衡，也成為在出海過程不得不面對并予以重點關注的問題。

2024年7月1日正式施行的《對外承包工程項目備案和立項管理辦法》對于中國境內注冊企業（以下簡稱企業）承包的境外建設工程項目，包括工程的咨詢、勘察、設計、監理、施工、采購安裝、運營維護等項目時應當向管轄部門做備案和立項申報進行了相關規定。雖然該規定并未特別說明備案、立項事項應當包含數據跨境保護等內容，但是結合項目可行性研究和立項論證的相關法律法規規定可知，企業在海外投資建廠、承包項目伴隨著大量數據的跨境傳輸及在境外對國內數據的訪問，企業出海時必然面臨嚴格的數據跨境流動安全監管，特別是與國家安全相關的重要數據以及包含員工個人數據在內的大量信息均應作為項目計劃、實施的重要關切內容。企業必須謹慎應對此類審查，否則不僅會影響海外項目的備案與立項審查，甚至會面臨嚴重的罰款或行政處罰。

另一方面，中國企業在海外承包工程時所發生的出境數據可能在當地被加工處理或與其他在當地搜集的數據集成，并很可能發生數據的二次流動，它們可能返回中國，亦可能流向第三國。同時，東道國項目運營過程中，企業所控制的數據在不斷積累和處理，涉及海外員工的個人信息的內容也在不斷增加。對于尚未部署國際數據中心的出海企業，由于信息管理和海外商業決策職能依舊位于中國，數據往往會被國內員工所訪問或者回傳至國內使用。當企業需要利用這些來自不同國家和地區的數據來開拓和經營市場時，繁復的來源地法律的管制和要求無疑將對企業的數據合規管理帶來嚴峻的挑戰。

據此，基于以上兩個方向的合規風險，本文將沿著此路徑分別梳理和分析，中資企業在東南亞國家對外承包項目時面臨的我國數據出境監管規則審查與數據回傳時的東南亞國家數據監管規則挑戰。

(一) 數據出境監管法律體系

目前，《網絡安全法》《數據安全法》和《個人信息保護法》是我國數據跨境流動安全監管規則三大立法基石。^[注2]在數據出境問題上，三部基礎性法律的監管重點各有側重。具體而言，《網絡安全法》側重對關鍵信息基礎設施運營者向境外提供重要數據及個人信息進行監管，且已提出具體合規要求；《數據安全法》在《網絡安全法》基礎上提出了與關鍵信息基礎設施運營者相對的概念—其它數據處理者，并表明會相應出臺管理規定；《個人信息保護法》則較為完整地規定了個人信息出境所需滿足的合規要求。同時，大量政府規章、規范性文件細化了相關的舉措和管理規范，金融、征信等大量涉及數據跨境的行業性規范也相繼出臺，形成了多層次的規范框架?？傮w而言，我國的數據出境監管的側重點在如下幾個方面：

一是數據的分類分級管理是數據跨境流動合理監管的前提和基礎。數據分類分級管理制度目的在于厘清數據保護重點，對不同類型和級別的數據實施不同的保護，從而保障數據的安全、有序流動。我國《網絡安全法》第21條規定了國家實行網絡安全等級保護制度。同時《數據安全法》第21條進一步明確了國家建立數據分類分級保護制度?！秱€人信息保護法》也貫徹了對個人數據也將一般數據和敏感數據作出區分，就不同的分類級別設置了更嚴格的保護規則。

二是數據本地化措施是限制數據跨境流動最常見的手段，域內管轄權的行使方能體現國家主權原則。基于對傳統管轄權的理解，將數據控制在領土范圍內，亦即數據本地化存儲，是最穩妥地實現數據控制、防止因數據流動而危害國家安全的方法。數據本地化模式主要劃分為以下四種：“強硬性”數據本地化、“軟化式”數據本地化、“混合型”數據本地化，以及“事實上”數據本地化。中國通常被認為是“強硬性”數據本地化的國家，對數據本地化有較高的要求。^[注3]分析我國數據監管主要法律規范，《網絡安全法》和《個人信息保護法》都以“數據本地化儲存”為原則，以“數據出境安全評估”為例外，而《數據安全法》則要求向境外司法或者執法機構提供存儲于中華人民共和國境內的個人信息時經過特別批準，^[注4]整體來看仍是本地化的體現。

三是數據出境安全評估制度在數據跨境安全監管中占據相當重要的地位。數據出境安全評估的目的并不是限制數據跨境自由流動，而是促進數據安全、有序流動以避免數據的無序、隨意流動，進而對國家安全、社會公共利益等造成威脅。根據《網絡安全法》第37條的規定，符合要求的數據出境應當按照國家網信辦會同國務院有關部門制定的辦法進行安全評估。安全評估作為個人數據與重要數據出境的前置要求，為后續的立法工作提供標桿。2022年實施的《數據出境安全評估辦法》作為我國數據出境評估制度的重要規則依據，詳細地規定了數據類型、出境方式以及申報數據出境安全評估所需的材料與流程等內容，進一步完善了我國的數據跨境流動監管規則法律體系。雖然2024年3月公布的《促進和規范數據跨境流動規定》做出一定的制度“松綁”，但遵循相關指引同樣是對企業開展數據流動及數據合規管理的更高要求。

(二) 數據出境合規路徑

根據上述數據出境監管法律體系，我國初步建立了數據出境安全評估、個人信息出境標準合同、個人信息保護認證、三步走的數據出境路徑。企業可遵循上述合規路徑處理數據出境業務，避免數據出境合規問題影響海外承包項目的備案和立項審查。

1. 數據出境安全評估

數據出境安全評估是我國數據跨境流動監管最主要的手段，與我國法律制度中的其他評估制度相比，蘊含著更強的國家安全考量和獨立的直接法律效力。^[注5]根據《數據出境安全評估辦法》的第4條規定，數據處理者向境外提供數據，有下列情形之一的，應當通過所在地省級網信部門向國家網信部門申報數據出境安全評估：①數據處理者向境外提供重要數據；②關鍵信息基礎設施運營者和處理100萬人以上個人信息的數據處理者向境外提供個人信息；③自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數據處理者向境外提供個人信息；④國家網信部門規定的其他需要申報數據出境安全評估的情形。該條規定明確了數據處理者向境外提供數據時應當進行申報數據出境安全評估的范圍。

上述四類需要申報數據出境安全評估的情形中，重要數據的識別是企業面臨的難點。根據《數據出境安全評估辦法》第19條，重要數據是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用等，可能危害國家安全、經濟運行、社會穩定、公共健康和安全等的數據。通過目的解釋來看，重要數據的評價應當基于最終的損害結果是否可能威脅國家安全和公眾利益，但如果進一步做擴大解釋，則理論上任何一條重要數據出境都需要完成數據安全評估，而此“一刀切”的做法顯然不符合該辦法的立法本意。另一方面，是否進行數據出境安全評估常常有賴于數據控制者的主觀判斷，但實踐中一般企業顯然不具備判斷相關數據被不當使用是否會影響國家安全的能力，因此全憑數據控制者的主觀認識水平并不能有效地確保辦法的有效實施，最終也很可能造成難以挽回的損失。

據此，《促進和規范數據跨境流動規定》第2條規定：數據處理者應當按照相關規定識別、申報重要數據。未被相關部門、地區告知或者公開發布為重要數據的，數據處理者不需要作為重要數據申報數據出境安全評估。換言之，數據處理者并不需要對何為重大數據進行自主判斷。但盡管如此，企業仍可對相關數據分類標準予以關注。例如國家標準化管理委員會發布的《數據安全技術 數據分類分級規則》（GB/T 43697-2024）附錄中較為詳細列舉了重要數據識別的相關因素。上述標準為企業識別重要數據提供了指引，企業可在對相關因素進行考量的基礎上，更好地在企業內部建立數據分類分級管理制度。

2. 個人信息出境標準合同

根據《個人信息保護法》第38條規定，個人信息處理者因業務等需要，確需向中華人民共和國境外提供個人信息的，應當按照國家網信部門制定的標準合同與境外接收方訂立合同，約定雙方的權利和義務。2023年公布生效的《個人信息出境標準合同辦法》（以下簡稱“辦法”）與隨附的《個人信息出境標準合同》范本為標準合同的實施提供了指引。根據《辦法》第4條規定，個人信息處理者通過訂立標準合同的方式向境外提供個人信息的，應當同時符合下列情形：①非關鍵信息基礎設施運營者；②處理個人信息不滿100萬人的；③自上年1月1日起累計向境外提供個人信息不滿10萬人的；④自上年1月1日起累計向境外提供敏感個人信息不滿1萬人的；⑤法律、行政法規或者國家網信部門另有規定的，從其規定。另外，個人信息處理者不得采取數量拆分等手段，將依法應當通過出境安全評估的個人信息通過訂立標準合同的方式向境外提供。

具體而言，《個人信息出境標準合同》范本為企業訂立標準合同提供了指引。標準合同包括定義、個人信息處理者的義務、境外接收方的義務、境外接收方所在國家或者地區個人信息保護政策和法規對合同履行的影響、個人信息主體的權利、救濟、合同解除、違約責任、其他等。而備案流程則需參考《個人信息出境標準合同備案指南（第一版）》規定完成，即個人信息處理者應當在標準合同生效之日起10個工作日內，通過送達書面材料并附帶材料電子版的方式，向所在地省級網信辦備案。

個人信息出境標準合同進一步豐富了我國的數據出境安全治理規則，相較于個人信息出境的其他法定方式，標準合同是一種無需審查、相對輕量級的跨境機制，前提是雙方必須使用國家網信部門制定的標準合同條款。^[注6]

3. 個人信息保護認證

個人信息保護認證，是依據GB/T35273-2020《信息安全技術個人信息安全規范》等有關國家標準，證明個人信息處理者在認證范圍內開展的個人信息收集、存儲、使用、加工、傳輸、提供、公開、刪除以及跨境等處理活動符合認證依據標準要求。對于開展跨境處理活動的個人信息處理者，還應當符合TC260-PG-20222A《個人信息跨境處理活動安全認證規范》。

2022年11月4日，國家市場監督管理總局、國家互聯網信息辦公室發布2022年第37號公告，決定實施個人信息保護認證，鼓勵個人信息處理者通過認證方式提升個人信息保護能力。從事個人信息保護認證工作的認證機構應當經批準后開展有關認證活動，并按照《個人信息保護認證實施規則》（以下簡稱“《實施規則》”）實施認證活動。具體認證程序則包括技術驗證、現場審核及獲證后監督三個環節。認證證書有效期為3年。在有效期內，通過認證機構的獲證后監督，保持認證證書的有效性。證書到期需繼續使用的，認證委托人應當在有效期屆滿前6個月內提出認證委托。認證機構應當采用獲證后監督的方式，對符合認證要求的委托人換發新證書。

綜合三條合規路徑，數據出境安全評估具有相對強制性，也是最嚴格的路徑。同時三條路徑也并非并列關系，數據安全評估具有優先性。盡管根據對《個人信息保護法》第38條的理解，個人信息出境時三條路徑“擇其一即可”，但對于有大規模數據出境需求的企業和境外機構而言，數據出境安全評估往往是首選，留給標準合同與安全認證的適用空間少之又少。^[注7]若企業符合安全評估的適用情形，則必須選擇該路徑；若未滿足相關適用條件，則可根據實際情況選擇標準合同或認證路徑。

(三) 數據出境豁免情形

《促進和規范數據跨境流動規定》第三到六條列明了四種數據出境的豁免情形，可歸納如下：

1. 法定豁免

首先，根據《促進和規范數據跨境流動規定》第3條的規定，國際貿易、跨境運輸、學術合作、跨國生產制造和市場營銷等活動中收集和產生的數據向境外提供，不包含個人信息或者重要數據的，免予申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證。該條款包含兩個構成要件，首先是數據出境行為需要發生在符合條款規定場景中，其次是出境數據中不包含個人信息或者重要數據。該條款屬于聲明性條款。事實上，非個人信息或非重要數據無需申報數據出境安全評估、訂立個人信息出境標準合同或完成個人信息保護認證即可出境，是我國數據跨境流動監管規則下的應有之義。

2. 數據過境豁免

根據《促進和規范數據跨境流動規定》第4條的規定，數據處理者在境外收集和產生的個人信息傳輸至境內處理后向境外提供，處理過程中沒有引入境內個人信息或者重要數據的，免予申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證。根據上述規定，獲取數據過境豁免的關鍵要素在于“沒有引入境內個人信息或者重要數據”。如未引入相關數據，則單純的數據過境行為即可落入豁免范疇。

3. 與個人信息出境相關的豁免

根據《促進和規范數據跨境流動規定》第5條的規定，數據處理者向境外提供個人信息，符合下列條件之一的，免予申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證：為訂立、履行個人作為一方當事人的合同，如跨境購物、跨境寄遞、跨境匯款、跨境支付、跨境開戶、機票酒店預訂、簽證辦理、考試服務等，確需向境外提供個人信息的；按照依法制定的勞動規章制度和依法簽訂的集體合同實施跨境人力資源管理，確需向境外提供員工個人信息的；緊急情況下為保護自然人的生命健康和財產安全，確需向境外提供個人信息的；關鍵信息基礎設施運營者以外的數據處理者自當年1月1日起累計向境外提供不滿10萬人個人信息（不含敏感個人信息）的。該條規范明確了幾種跨境提供個人信息跨境傳輸行為情形，也是該《促進和規范數據跨境流動規定》之中非澄清性的、實質性的豁免行為。需要注意的是，上述條款僅針對個人信息，不包含重要數據。同時，企業應該采取更加審慎的態度理解該條中的豁免情形，特別是對數據出境必要性的理解上，需要以相關規則與案例為指引。

4. 自貿區負面清單

根據《促進和規范數據跨境流動規定》第6條的規定，自由貿易試驗區在國家數據分類分級保護制度框架下，可以自行制定區內需要納入數據出境安全評估、個人信息出境標準合同、個人信息保護認證管理范圍的數據清單（以下簡稱負面清單），經省級網絡安全和信息化委員會批準后，報國家網信部門、國家數據管理部門備案。自由貿易試驗區內數據處理者向境外提供負面清單外的數據，可以免予申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證。據此，自貿區可以制定需要進行前置審批的數據負面清單，在屬地省級網信辦審批并報備國家網信辦后，清單外的數據出境均無需前置審批手續。

綜上所述，我國的數據跨境流動規則正趨于完善，通過基礎法律與相關規則、標準的相互配合，為企業數據出境提供較為規范的指引。企業在對外承包工程前，應當關注涉及的數據出境問題，針對不同類型的數據采取適當的數據出境路徑，但應明確以數據出境安全評估為主、標準合同與安全認證為輔的思路。同時，審慎對待和適用數據出境豁免規則，避免因主觀、寬泛的理解而使自己陷入合規風險中。

在“一帶一路”倡議下，中國企業不斷加大“走出去”的步伐，在全球范圍內的多個國家和地區積極開展投資和建設。面對歐美市場高飽和競爭態勢，東南亞地區正處于增量市場階段，具備堅實增長基礎，已成為中國出海企業的重要拓展方向。在境外建設和運營公共交通、公用設施、能源電力等基礎設施項目都會獲取大量數據，過程中必然面臨數據處理和跨境流動安排。如何遵守當地的數據保護法律規范，妥善處理數據收集、存儲、出境及使用等問題，是企業對外承包工程中履行跨境數據保護義務的難題。本文將對主要東南亞區域以及部分國家的數據跨境監管規則進行梳理和分析，為企業項目運營過程中進行數據回傳或數據跨境傳輸提供指引。

(一) 數據跨境傳輸的區域安排

除去各國的數據跨境監管政策，雙邊或區域性條約也包含了有關數據跨境流動的安排，例如APEC CBPR體系，東南亞國家聯盟（Association of Southeast Asian Nations—ASEAN）（東盟）和《區域全面經濟伙伴關系協定》（Regional Comprehensive Economic Partnership）（RCEP）等。

1. 東盟數據跨境傳輸安排

2016年，東盟依托《東盟經濟共同體藍圖2025》和《東盟信息通信技術總體規劃2020》，出臺了《東盟個人數據保護框架》。該框架旨在統一東盟內的網絡安全和數據流動標準，整體增強東盟的數據保護水平。2019年，東盟發布了《東盟跨境數據流動機制的關鍵方法》以繼續細化具體路徑；2021年，《東盟數據管理框架》《東盟跨境數據流動示范合同條款》（ASEAN Model Contractual Clauses for Cross Border Data Flows，MCCs）的發布，為東盟內部數據跨境流動制定了規則，目的是促進東盟地區數據相關的商業業務運營，同時確?？缇硵祿鬏斶^程中的個人數據保護。MCCs根據數據傳輸方式的不同，給出了“數據控制者到數據處理者”及“數據控制者到數據控制者”兩種合同模板，在合同中通過必備條款、可選條款以及相關選擇條款明確了數據跨境流動雙方的責任、所需的數據保護措施和相關義務。^[注8]MCCs屬于自愿性條款和指導性范本，旨在為數據傳輸各方提供參考，在不與MCCs沖突的前提下，合同各方可以根據各成員國國內法對其進行調整，包括根據商業安排和交易需要增加條款等。同時，盡管MCCs是為了東盟成員國之間的數據跨境流動而設計，但是東盟不排斥企業在東盟成員國以外使用。

2. RCEP下的數據跨境傳輸安排

在RCEP項下，促進數據自由流動是其數據跨境治理的基本原則。RCEP電子商務章節對數據跨境流動作出了安排，明確各成員方不能將設施本地化作為在其境內開展業務的條件，也不能阻止為實現業務需要而開展的數據跨境流動活動。但同時也規定了公共政策目標與基本安全利益例外條款，明確各成員方在以下情況下可以規定設施本地化或限制數據跨境流動：是為了實現合法的公共利益所必須，且要求是合理的、非歧視的、不會變相限制貿易；或者是保護基本安全利益所必須。^[注9]在兩類例外情境下，東道國都享有較大的自由裁量權，可自由對公共政策、安全利益等作出判斷。

值得注意的是，RCEP在安全例外項下排除了其他締約方的異議權，亦即，當締約方以安全例外為由限制數據跨境流動時，其他締約方不可對此提出異議，爭議解決機構也無權介入?？梢愿Q見，盡管RCEP已明確數據跨境自由流動的原則，但鑒于地緣政治、經濟狀況等，締約國依然對可能涉及國家安全利益的數據跨境流動采取相對審慎的態度。

(二) 馬來西亞數據跨境監管規則

1. 數據保護法律體系

馬來西亞是東南亞國家中較早推行數據保護的國家，2010年就發布了《個人數據保護法》（Personal Data Protection Act 2010）（PDPA 2010），該法是一部綜合性立法，任何有關個人數據收集、記錄、保存或處理的商業活動必須遵守相關原則。

2011年，馬來西亞通信和多媒體委員會（Ministry of Communications and Multimedia Commission）（MCMC）的下屬機構——個人數據保護部（Personal Data Protection Department）（JPDP）正式成立，主要職責是負責監督和管理商業交易中涉及的個人數據處理行為，確保數據使用者不會濫用及誤用個人數據，以及發布數據保護標準、行為守則等規范性文件，貫徹落實PDPA 2010的實施。

2013年馬來西亞針對PDPA進一步出臺了一系列附屬法例，具體包括《個人數據保護條例》（Personal Data Protection Regulations 2013）、《個人數據保護（數據使用者類別）令》（Personal Data Protection (Class of Data Users) Order 2013）、《個人數據保護（數據使用者注冊）條例》（Personal Data Protection (Registration of Data User) Regulations 2013）及《個人數據保護（費用）條例》（Personal Data Protection (Fees) Regulations 2013）。

2016年，馬來西亞重新對數據使用者類別進行了修訂，發布了《個人數據保護（數據使用者類別）（修訂）令》（Personal Data Protection (Class of Data Users) (Amendment) Order 2016），以及《個人數據保護（復合犯罪）條例》（Personal Data Protection (Compounding of Offences) Regulations 2016）。另外，馬來西亞的個人數據保護委員會（Personal Data Protection Commission）（PDPC）作為數據保護與監管的重要部門，也會發布數據保護標準、行為守則、公眾咨詢文件以及進行執法活動。

2. 數據出境要求

馬來西亞的數據流動監管法律通過例外情形的規定允許數據跨境流動。^[注10]亦即，根據PDPA 2010的第129條的規定，原則上數據使用者不得將數據主體的任何個人數據轉移到馬來西亞以外的地方，但下列情況除外：首先是數據傳輸至部長根據PDPC建議指定的地區。該地區有與PDPA 2010實質性相似或目的相同的法律。其次，若數據出境目的地并非指定地區，則個人數據在下列情況下仍可出境：

(1) 數據主體同意；

(2) 履行數據主體和數據使用者之間的合同所必需；

(3) 訂立或履行數據使用者與第三方之間的合同所必需；（該合同是應數據主體要求而訂立，或符合數據主體的利益）

(4) 為了法律程序或為了獲得法律意見或為了確立、行使或捍衛合法權利；

(5) 數據使用者有合理理由相信，跨境傳輸是為了避免或減輕對數據主體的不利行為，且獲得數據主體書面同意是不切實際的，如果獲得同意是可行的，則數據主體會給予同意；

(6) 數據使用者已采取一切合理的預防措施并盡一切努力確保個人數據不會在其他地方以違反PDPA 2010的方式處理；

(7) 為保護數據主體的切身利益所必需；

(8) 為公共利益所必需。

綜上，馬來西亞的數據跨境監管政策仍以本地化儲存為原則，跨境轉移為例外。同時，明確了相當保護水平是馬來西亞判定數據跨境傳輸的核心標準，但也通過數據主體同意等規則為數據跨境傳輸提供了例外路徑。

(三) 泰國數據跨境監管規則

1. 數據保護法律體系

相較而言，泰國的數據保護法律立法起步較晚。2019年泰國國家立法議會通過了《個人數據保護法》（Personal Data Protection Act 2019）（PDPA 2019）和《網絡安全法》（Cybersecurity Act 2019）。制訂上述法案的目的是直接管理個人數據的收集、儲存、使用或處理，明確數據控制者和數據處理者的義務，以及數據主體的基本權利，加強網絡空間的法律保障，確保國家安全及個人數據隱私安全。但PDPA 2019經過兩次推遲后于2022年才正式生效，成為泰國第一部綜合性數據保護立法。其后，泰國個人數據保護委員會（Personal Data Protection Committee）（PDPC）發布了一系列指引，對PDPA 2019做出細化規定。2022年6月21日，在皇家公報上發布了關于PDPA 2019的四項新公告，旨在為數據處理者和數據控制者就如何遵循PDPA 2019做出規范要求，其中包含：

(1) 豁免中小型企業或中小企業的數據保護官的數據記錄要求；

(2) 數據保護官制作和保存個人數據記錄的條款和措施；

(3) 數據保護官應當采取的安全措施；

(4) 專家委員會實施行政罰款和行政處罰的措施。

2022年7月11日，PDPC發布了兩個通知，對其接受、處理投訴的規則以及專家委員會的選聘作出了規定。2022年9月7日，PDPC再次頒布了兩個指引，分別是《向數據主體獲得同意的指引》和《向數據主體通知收集信息的目的以及其他細節的指引》，旨在幫助數據控制者及相關主體更好的理解并遵循PDPA 2019關于數據主體知情同意的規則。

2. 數據出境要求

在泰國數據保護規則體系下，數據出境有三種方式：首先，根據PDPA 2019，進行個人數據出境需確保目的地國家或國際組織的數據保護標準足夠充分，且遵守了PDPC發布的個人數據出境的保護標準，但以下情況除外：

(1) 為遵守法律規定；

(2) 在數據主體已被告知該目的地國家或國際組織的個人數據保護標準不足的前提下，仍然獲得了數據主體同意的；

(3) 履行數據主體作為當事人的合同所必需，或者在訂立合同前已經應數據主體的要求采取措施的；

(4) 遵守數據控制者與他人之間為了數據主體的利益而訂立的合同所必需；

(5) 為防止或遏止對數據主體或其他人的生命、身體或健康的危險，數據主體無法及時給予同意時；

(6) 為開展涉及重大公共利益的活動所必需。

如果數據控制者對目的地國家或國際組織的數據保護標準是否足夠充分存疑，可以提交PDPC審查決定。其次，泰國針對跨國關聯業務及跨國集團企業開展了“個人數據保護政策”審查機制，即如果企業的“個人數據保護政策”通過了PDPC的審查和認證，即便不符合上述數據出境的規定也可以進行個人數據的跨境傳輸。最后，PDPA 2019以實質性要求為兜底，如果數據控制者或數據處理者提供適當的保護措施，使數據主體的權利得以執行，包括根據PDPC規定和公布的規則和方法采取有效的法律補救措施，數據控制者或數據處理者即可以將個人數據發送或傳輸到外國。

總體而言，泰國的數據跨境監管規則仍未擺脫歐盟數據保護規則的影響，充分保護標準仍是其進行數據跨境傳輸的主要判斷因素。同時，PDPA 2019也提供了數據保護認證、適當保護措施以及充分保護例外等路徑。顯然，數據處理者在泰國面臨著更加寬松的合規要求。

(四) 越南數據跨境監管規則

1. 數據保護法律體系

2021年2月，越南發布了《個人數據保護法》草案（Personal Data Protection Decree）（PDPD草案）并公開征求意見。2022年3月，越南政府通過了關于該草案的第27/NQCP號決議，表明該草案距離通過又推進了一步。而相較于個人數據保護，越南對網絡安全的監管體系相對完善，主要法律規范包括：《網絡信息安全法》（86/2015/QH13）、《網絡安全法》（24/2018/QH14）、《關于管理、提供和使用互聯網服務和在線信息法令》（72/2013/ND-CP）、《關于信息系統安全分類法令》（85 /2016/ND-CP）、《全國網絡信息安全事件協調和響應辦法》（20/2017/TT-BTTTT）、2022年《網絡安全法若干條款的詳細規定》（53/2022/ND-CP）以及《網絡安全領域行政違法行為處罰法令》等文件。

為了加強數據管理，越南《網絡安全法》中納入了數據本地化儲存條款。在越南提供電信網絡、互聯網和網絡增值服務的國內外企業，其收集、挖掘、分析和處理有關個人信息的數據、服務用戶關系數據、服務用戶生成的數據必須在政府規定的時間內儲存在越南。《網絡安全法若干條款的詳細規定》又對此規定進行了細化，對于在越南開展特定行業的外國企業必須將上述類型數據儲存在本地，并在企業提供的服務被使用的情況下在越南設置分支機構或代表處。而特定行業包括：電信服務；在網絡空間存儲和共享數據；為越南服務用戶提供國內或國際域名；電子商務；在線支付；支付中介；通過網絡空間傳輸連接服務；社交網絡和社交媒體；網絡視頻游戲；以短信、語音通話、視頻通話、電子郵件、在線聊天等形式在網絡空間提供、管理或運營其他信息的服務。另外，數據儲存期限最低為24個月，用于調查和處理違反網絡安全法的系統日志至少保存12個月。

2. 數據出境要求

根據PDPD草案的規定，數據處理者不得將個人數據傳輸到越南以外的國家或地區，除非同時滿足下列條件：（1）當數據主體同意傳輸時；（2）原始數據存儲在越南；（3）有文件證明其所傳輸的國家、地區已頒布個人數據保護條例并達到或高于PDPD草案規定的水平；（4）獲得個人數據保護委員會的書面同意。同時，PDPD草案又規定，在下列情況下，不符合上述規定條件的個人數據也可以轉移出越南領土：（1）獲得數據主體的同意；（2）獲得個人數據保護委員會的書面同意；（3）數據處理者承諾保護個人數據；（4）數據處理者承諾采取個人數據保護措施。

另外，向境外傳輸個人數據的數據處理者需將數據傳輸歷史記錄保存3年，并且在傳輸前進行數據跨境傳輸登記。數據處理者需要向監管部門提交“個人數據跨境傳輸申請”以及“個人數據跨境傳輸影響評估報告”。如果涉及處理敏感個人數據的，還需要提供“處理敏感個人數據申請”與“處理敏感個人數據影響評估報告”等文件。個人數據保護委員會每年會定期評估個人數據處理者在越南境外的個人數據傳輸情況。

(五) 菲律賓數據跨境監管規則

1. 數據保護法律體系

菲律賓的數據保護法律體系主要以2012年的《數據隱私法》（Data Privacy Act of 2012）（DPA）以及2016年的《數據隱私法實施細則和條例》（Implementing Rules and Regulations of the Data Privacy Act of 2012）（IRR）為基礎。國家隱私委員會（National Privacy Commission）（NPC）是菲律賓主管個人數據保護的部門，其主要職責之一是解釋DPA、IRR及其他數據隱私法的規定并發布與數據保護相關的法律指南。目前NPC發布了大量的通函、咨詢、咨詢意見及咨詢采納。

2. 數據出境的要求

DPA及IRR規定了數據傳輸的責任原則，數據控制者應對其控制或保管的個人數據負責，數據控制者應使用合同或其他合理的方式為個人數據提供同等程度的保護，且需與數據接收方進行跨境安排和合作。上述責任包括：

(1) 個?信息控制者有責任遵守DPA、IRR以及NPC發布的其他要求，并在個人信息處理者或第三?處理信息時使用合同或其他合理手段提供相當?平的保護。

(2) 個?信息控制者應指定一人或多?負責遵守法律規定，并將負責人的身份告知數據主體。菲律賓數據出境監管強調對數據控制者的約束，通過對數據控制者處理數據行為的規制，達到保護數據安全和個人隱私的目的。

(六) 新加坡數據跨境監管規則

1. 數據保護法律體系

新加坡的數據保護法律體系以2012年的《個人數據保護法》（Personal Data Protection Act）（PDPA 2012）為主，該法是一部規范個人數據處理行為的綜合性立法，其中包含了關于數據跨境傳輸的基本要求。2020年11月2日，新加坡議會通過了《個人數據保護法（修正案）》，該修正案自2021年2月1日起分階段生效。同時，為了更好地執行PDPA 2012，新加坡個人數據保護委員會陸續出臺了一系列條例及指引，包括《2021個人數據保護條例》（Personal Data Protection Regulations 2021）（PDPR）、《個保法下關鍵概念咨詢指南》（PDPA Guidelines）等文件。

2. 數據出境的要求

在數據出境方面，新加坡對標歐盟確立了“保護水平相當”標準。根據PDPA 2012的規定，任何機構不得將任何個人數據傳輸到新加坡以外的國家或地區，除非能夠確保對傳輸的個人數據提供相當的保護標準。PDPR進一步細化規定機構只有在采取適當措施，確保數據接收方受法律強制義務的約束，以保證對傳輸的個人數據提供與PDPA 2012相當的保護標準時，才能將個人數據向第三國轉移。其中，法律強制義務包括簽訂數據傳輸協議以及建立具有約束力的集團規則。

從實踐及PDPA Guidelines建議看，簽訂數據傳輸協議、建立有約束力的公司規則，是持續傳輸或集團內部傳輸場景中最為常見的實現數據跨境傳輸的方式。其中，有約束力的集團規則對于持續的數據傳輸來說具有極大的便利性。此外，數據接收方認證也是履行“保護水平相當”標準義務的方式。當接收方為數據中介方時，接收方應取得APEC Privacy Recognition for Processors System（APEC PRP）或APEC Cross Border Privacy Rules System（APEC CBPR）的認證；當接收方為數據中介外的其他組織（如數據控制者）時，該接收方應取得APEC CBPR認證。^[注11]但無論是通過APEC PRP抑或是CBPR，其取得認證的程序和步驟都是相對繁瑣的。

除此之外，PDPA所構建的個人數據保護體系還提供了諸多例外規則，使得新加坡的數據跨境監管更為靈活。此類例外規則或可為上述數據處理者提供更加方便、更低成本的數據跨境傳輸合規路徑。值得注意的包括PDPA第10條規定的例外規則包含個人同意例外（取得個人關于數據跨境的同意或視為同意）、公開數據例外、數據中轉例外、履行合同例外、維護個人切身利益例外以及維護國家利益例外。此外，PDPA第26條還規定了向PDPC申請豁免的規則（PDPC享有較大的自由裁量權）。其中，公共可用性例外和個人同意例外規則的設定是新加坡主要的突破和創新。

(七) 印度尼西亞數據跨境監管規則

1. 數據保護法律體系

2022年10月17日，印度尼西亞《個人數據保護法案》（PDP Law）正式生效，這是印尼首部針對個人數據隱私安全與保護的專門性立法。在此之前，印尼有關個人數據保護的規定散見于《信息與電子交易法》《電子系統個人數據保護條例》《電子系統（網絡與信息）實施規則》等法規中。個人數據保護由通信部負責監管，但必須指出的是，PDP Law為數據控制者和處理者提供了兩年的過渡期（直至2024年10月17日）。

2. 數據出境的要求

一般而言，PDP Law要求公共服務數據必須在國內存儲。對于非公共服務數據，數據控制者必須向通信和信息技術部報備并確保已經采取適當的保護措施。根據印尼PDP Law的規定，數據控制者可以將個人數據傳輸給印尼境外的數據控制者和/或數據處理者，但需要達到以下主要要求：首先是與歐盟類似的充分性保護標準。亦即數據控制者應確保數據控制者和/或接受個人數據傳輸的個人數據處理者的住所所在國的個人數據保護水平等于或高于印尼PDP Law規定的水平，數據控制者有義務確保對個人數據進行充分和有約束力的保護。其次，數據處理者在得到數據主體充分同意的基礎上，才可進行數據跨境傳輸。

(八) 老撾數據跨境監管規則

1. 數據保護法律體系

老撾的數據保護立法主要為《電子數據保護法》和《打擊和預防網絡犯罪法》。其中《電子數據保護法》規范了收集、處理個人數據行為，而《打擊和預防網絡犯罪法》，規定了打擊、預防、遏制網絡犯罪行為，以及保護數據庫系統、服務器系統、計算機信息和數據。除此之外，數據保護相關內容散見于其他法律規定之中，如《電子交易法》規定了服務供應商應保護數據的完整性、可靠性和安全性以及用戶個人信息的隱私和機密性；《網絡犯罪處罰決定》規定了對未經許可刪除計算機數據等行為的處罰；《刑法典》規定了涉及計算機系統和數據的犯罪行為以及刑罰條款。

2. 數據出境的要求

根據老撾《電子數據保護法》的規定，老撾數據跨境傳輸的一般要求包括：

(1) 取得數據主體同意；

(2) 數據接收方具有保護傳輸的數據的能力；

(3) 對重要信息進行加密，如財會數據；

(4) 不偽造傳輸數據的來源；

(5) 數據控制者與數據接收方遵守簽署的協議；

(6) 數據接收方拒絕則立即停止傳輸。

數據跨境流動在促進國際貿易與投資發展的同時，也對國家安全與個人隱私保護提出了挑戰。為了減少數據跨境流動給國家安全和公共利益帶來的風險，許多國家和地區采取了數據本地化的策略。數據本地化制度疊加數據出口管制、長臂管轄、區際沖突規則等因素，使得出海企業在數據跨境時往往面臨“雙向合規”的困難。

(一) 數據分類分級保護

首先，數據分類分級管理是我國數據保護的基礎。不同類型數據的風險等級存在差異。數據分類分級管理通過定性和定量的方式確定數據保護的方式與先后順序，并根據分類分級結果在具體的應用場景中對數據采取不同的安全保障措施。這一過程需要企業對合規風險進行持續監測和評估，及時調整和完善合規策略。

(二) 熟悉與追蹤數據監管法律規則

熟悉東道國數據監管法律規則是確保數據跨境回傳合規的前提。前述關于東南亞國家數據跨境監管規則的梳理與分析可知，盡管東南亞各國關于跨境數據流動的立法基本遵循相似的規則，但在實施細則方面仍存在一定差異。部分國家通過專門立法的方式，制定了規范數據跨境傳輸活動的具體法律規定，而部分國家的相關規定則散見于其他法律法規之中。因此，對外承包工程企業在業務之外，應當重視數據出境合規，在出海前應對東道國數據監管政策作詳細的盡職調查，可聘請專業團隊對東道國的數據監管法律環境作出評估，出具專業法律和合規意見。

(三) 將數據出境保護納入企業對外承包工程項目的立項論證

企業應當根據不同數據出境合規路徑的要求向監管部門進行評估申報或備案，而該舉措也應當納入企業對外承包工程項目的立項論證中，作為項目合規管理的重要支撐。據此，企業應當配備專業人員在內部成立專門的數據合規管理部門，結合對外承包工程項目的業務特性進行綜合、精準的研判，協調并推進細分工作流程，以確保全面且細致地掌握數據流情況。

(四) 尋求多樣化的合規渠道

企業可以在出海過程中尋求多樣化的合規渠道，提前做好合規路徑規劃，破解數據跨境合規困境。盡管各國都對數據獲取與處理，特別是個人數據保護作出了較為嚴格的安排，但通常也會留有一些例外空間和合法轉移渠道。以東南亞國家中數據保護政策較為完善的新加坡為例，常規的數據跨境傳輸路徑往往需要花費大量的經濟和時間成本，但實際收益與其投入難以平衡。對此，PDPA的例外規則為數據處理者提供了更為靈活的數據傳輸方式和合規路徑選擇。企業可結合自身狀況，構建更具可行性、降本增效的合規路徑。

中國企業在東南亞地區開展投資活動、承包項目的過程中，信息安全保護與數據處理合規是其需要面對的重要問題。在數據跨境方面，企業往往面臨著雙向合規的壓力。

因此，在東南亞地區開展業務之前，一方面要做好數據分類分級保護等工作，審慎應對國內數據出境規則的審查，避免因數據安全問題而影響項目備案與立項審查。另一方面，應當重點關注東南亞各國的數字經濟發展水平和營商環境，尤其是各國數據保護法律體系的現狀和監管動態。應當強化對擬出海國家和地區數據保護法律的認識和理解，進行充分調查和事先研判，不斷提升企業的數據合規水平。

同時，靈活運用東道國的數據跨境傳輸例外規則，尋找靈活多樣的數據出境合規路徑，保證項目運營過程中數據的順利傳輸。