中国企业出海之M88 app合规 —— 东南亚系列(一):泰国、越南
近几年来,我国将东盟国家作为周边外交的优先方向和高质量共建“一带一路”的重点地区。中国同东盟国家在各类经济领域的多方面合作已经成为亚太地区经济区域协作的重要典范。据官方发布的文件显示,中国同东盟国家在基础设施联通、区域经济贸易、数字经济伙伴关系等多方面都正在取得积极的合作成果1。在此背景下,中国企业向东南亚各国开展各类出海业务的经济活动显著增多,当这些经济活动涉及开展个人M88 app处理活动,就不得不考虑如何遵守当地M88 app保护相关法律和监管的要求,规避跨国经营中的M88 app合规风险。鉴于此,我们初步选取东南亚地区的四个国家:泰国、越南、马来西亚和印度尼西亚进行研究,希望通过对这些国家的M88 app合规制度和实践的分析讨论,为中国企业开展出海业务提供M88 app合规指引方向。本文将首先聚焦于泰国和越南。
一、概述
泰国有关个人M88 app保护的综合性法律是于2019年5月颁布,2022年6月1日才正式全面生效的《个人M88 app保护法》(Personal Data Protection Act,简称“泰国PDPA”)。随后,泰国的个人M88 app保护监管机构——泰国个人M88 app保护委员会(Personal Data Protection Committee,简称“泰国PDPC”)又陆续发布了相关的通知、指南文件,就个人M88 app保护方面的规定进行了补充,构成了泰国个人M88 app保护方面的规则体系。从内容上看,泰国PDPA广泛参考了欧盟《通用M88 app保护条例》(General Data Protection Regulation,简称“GDPR”),借鉴了GDPR的许多重要概念。尽管如此,泰国PDPA也有区别于GDPR的特殊方面。
越南关于个人M88 app保护的综合性法律是2023年7月1日正式生效的《个人M88 app保护法令》(Decree on the Protection of Personal Data,简称“越南PDPD”),在此之前有关个人M88 app保护的规定散落在不同的法律法规中,例如网络安全法、消费者权利保护法、网络信息安全法、IT法案、电子交易法等。除越南PDPD外,越南也颁布过一些法令,对网络安全法的解读、互联网服务及在线信息的管理、提供和使用等方面做出补充规定。其中,部分法令曾引起广泛讨论,例如《第53/2022/ND-CP号法令》(Decree No. 53/2022/ND-CP of the Government dated 15 August 2022 elaborating a number of articles of the Law on Cybersecurity of Vietnam,简称“《第53号法令》”)对特定M88 app与实体提出了M88 app本地化要求,引起企业广泛关注。2024年2月29日,越南公安部宣布计划制定新的《个人M88 app保护法》(Law on Personal Data Protection),旨在建立更强大的个人M88 app保护框架和法规,保证个人M88 app的安全管理、处理和使用,也承诺将解决越南PDPD等现行法规与其他有关个人M88 app保护的法律之间的冲突。但相关方也表示新的《个人M88 app保护法》的起草和发布可能是一个漫长的过程,需要至少两到三年的时间。
除了上述提及的有关个人M88 app保护的主要法律法规,与其他大多数国家/地区的M88 app保护立法体系类似,泰国和越南在各个领域/行业(例如医疗、金融、科技等)也会发布与该领域/行业相关的个人M88 app保护的特殊规则。企业在评估个人M88 app合规要求时也需要审慎考虑其所在领域/行业的特殊要求,特别是隶属于监管相对严格的行业,或其处理的M88 app相对敏感时,需特别注意。
为帮助企业更系统地理解泰国、越南在个人M88 app保护方面的重要规则,下文我们将从个人M88 app保护法的适用范围和重要定义、个人M88 app处理的合法性基础、告知同意的要求、M88 app主体权利、M88 app控制者和处理者的权利义务、M88 app本地化及跨境转移规则、M88 app保护影响评估(简称“DPIA”)、M88 app保护官的任命要求,这几大方面对泰国、越南的法律要求进行对比分析,并为中国企业在泰国、越南经营活动中涉及的个人M88 app处理活动,提供初步的指引和提示。
二、个人M88 app保护法的适用范围
(一) 泰国PDPA的适用范围
根据泰国PDPA第5条规定,在泰国境内的任何自然人或法人的收集、使用或披露个人M88 app的行为,无论该行为本身是否发生在泰国境内,都需要遵守PDPA。除此之外,泰国PDPA还存在一定的域外效力。即,如果自然人或法人位于泰国境外,但是存在以下两类活动,则仍然受到泰国PDPA的约束:(1)向位于泰国境内的M88 app主体提供商品或服务(无论M88 app主体是否支付对价);或(2)对M88 app主体发生在泰国境内的行为进行监控。
泰国PDPA的第4条也明确了不适用该法案的特定情形,例如,某自然人为了个人的利益或家庭活动而收集、使用或披露个人M88 app;自然人或法人使用或披露个人M88 app仅用于大众媒体、艺术或文学活动且符合专业道德或公共利益;负有维护国家安全职责的公共机构、众议院、参议院、议会及其任命的其他委员会或组织为履职而收集、使用或披露个人M88 app;法院的审判及裁判工作或相关官员在诉讼、执行、财产保存等工作操作;征信机构及其成员依法运营M88 app。该排除适用条款较为特别,无论是GDPR还是我国的《个人信息保护法》,均未明确排除上述情形的适用。
企业出海泰国需要根据自身出海的模式(例如是在当地设立相关实体运营还是在当地未设立相关实体,但会向泰国当地个人提供产品或服务),判断其多大程度上受到泰国PDPA的约束。
(二) 越南PDPD的适用范围
越南PDPD关于适用范围的规定相对粗略。根据越南PDPD第1条,该法令适用于(1)越南的机构、组织和个人;(2)位于越南境内的外国公共机构、实体和个人;(3)在外国运营的越南机构、组织和个人;以及(4)直接处理或参与处理越南境内个人M88 app的外国机构、组织和个人。
从上述规定可以看出越南PDPD也存在一定程度的域外效力。即使某机构、组织或个人位于越南境外,但其直接处理或参与处理越南境内的个人M88 app,也可能受到越南PDPD的约束。相比而言,泰国PDPA的域外效力借鉴了GDPR下的域外效力的规定,相对具体。但越南PDPD的域外效力的范围则更为宽泛,因此具体场景(例如某面向全球用户的网站同样也可以被越南用户无差别访问和使用从而涉及对越南用户个人M88 app的处理)是否必然受到越南PDPD的域外效力约束,仍待实践检验。
(三) 有关个人M88 app、敏感个人M88 app
个人M88 app保护领域有一些普遍但重要的定义,该等定义对于企业如何开展个人M88 app保护工作有较大的影响。据此,我们对泰国PDPA和越南PDPD中重要概念/术语的定义,做了如下对比。
(1) 个人M88 app
在个人M88 app的定义方面,泰国PDPA和越南PDPD没有太大的区别。均指与自然人相关联,能够直接或间接识别具体个人的信息。但是泰国PDPA明确表明,个人M88 app不包含死者的个人信息,而越南PDPD并未明确排除死者的个人信息。
(2) 敏感个人M88 app
对于敏感个人M88 app的定义,泰国PDPA和越南PDPD存在较大的区别。首先,泰国PDPA没有明确提出“敏感个人M88 app”的概念,但是其第26条对“与个人种族、民族、政治观点、宗教信仰、性行为、犯罪记录、健康M88 app、残疾、工会信息、遗传M88 app、生物识别M88 app或任何可能以个人M88 app保护委员会规定的方式影响M88 app主体的M88 app”的收集行为作出明确的限制。实践中普遍将其解释为对敏感个人M88 app的处理规则。
越南PDPD则采取明确列举的方式,将一般的个人M88 app和敏感个人M88 app分别进行列举。其中,敏感个人M88 app是指与个人隐私相关的个人M88 app,一旦受到侵犯,将直接影响个人的合法权益和利益,包括:(1)政治和宗教观点;(2)健康状况和健康记录中提到的个人信息,不包括血型信息;(3)关于种族或民族的信息;(4)与个人遗传或获得的遗传特征相关的遗传M88 app信息;(5)关于个人生物特征或生物属性的生物识别信息;(6)关于个人的性生活或性取向的信息;(7)执法机构收集和存储的犯罪和犯罪活动M88 app;(8)信贷机构、外国银行分行、支付服务提供商及其他获得许可的机构的客户信息,包括:依法规定的客户身份识别、账户、存款、存放的资产、交易、在信贷机构、银行分行和支付服务提供商处的担保组织和个人信息;(9)通过定位服务确定的个人位置;(10)法律特别规定需要特别保护的其他特定个人M88 app。对敏感个人M88 app进行明确列举的方式有利于企业对M88 app的敏感性进行判断。不过值得注意的是,越南对于敏感个人M88 app的定义和范围和中国不完全相同。例如,越南PDPD将身份证号码、护照号码、驾驶证号、纳税人识别号、社会保险号、健康保险卡号、数字账户信息、反映网络空间活动和活动历史的个人M88 app等认定为一般个人M88 app,但是该等信息在中国被视为敏感个人M88 app。因此,企业在对其所处理的M88 app的敏感性进行判断时,仍需要结合该处理活动所受的管辖法律进行判断。
三、处理个人M88 app的合法性基础及告知同意的要求
(1) 合法性基础
全球主要的国家/地区有关个人M88 app保护的立法几乎都要求处理个人M88 app必须具有合法性基础。并且随着立法发展,“获取M88 app主体的同意”在许多国家已经不是唯一的处理个人M88 app的合法性基础,其他常见的合法性基础还包括为签订和履行与M88 app主体的合同所必须、为履行法定职责或法定义务所必须、为保护自然人的生命健康所必须、公共利益等。目前,泰国和越南的立法中也都包含上述合法性基础,但泰国还特别将统计研究作为一项合法性基础,并参照GDPR将“合法权益”作为一项处理个人M88 app的合法性基础。在使用“合法利益”的合法性基础时,通常需要判断该个人M88 app的处理行为是为了M88 app控制者或其他任何自然人或法人的合法利益所必需,且不能与M88 app主体的基本权利相冲突。
无论是泰国还是越南,M88 app主体的“同意”尽管不是唯一的处理个人M88 app的合法性基础,但仍然是最重要且最常被使用的合法性基础。泰国PDPA和越南PDPD均对告知和同意提出了严格的要求。
(2) 泰国有关告知同意的具体要求
根据泰国PDPA第19条的规定,在没有其他法律法规允许的情况下,除非M88 app主体在收集、使用或披露个人M88 app之前或之时已给予同意,否则M88 app控制者不得收集、使用和披露个人M88 app。同意的请求必须通过书面或电子方式明确做出,并且请求同意时,M88 app控制者应当告知收集、使用或披露个人M88 app的目的等信息。此类同意请求应使用清晰明了的语言,以易于理解的形式和陈述向M88 app主体告知,并且不会对M88 app主体造成欺骗或误导。
关于向M88 app主体进行告知以便获取其同意的具体程序,2022年,泰国PDPC颁布了《根据PDPA获取M88 app主体同意的指南》(Guideline on Requesting Consent from the Data Subject under the Personal Data Protection Act B.E. 2562 (2019),简称“《同意指南》”)、《根据PDPA向M88 app主体通知收集个人M88 app的目的及详情信息的程序指南》(Guideline on Procedures for Notifying the Purpose and Details relating to the Collection of Personal Data from Data Subjects under the Personal Data Protection Act. 2562 (2019),简称“《通知指南》”)。
《同意指南》中包含以下要点:
第一,关于告知的形式和内容必须满足以下要求:
必须在收集、使用或披露个人M88 app之前或之时请求同意;
M88 app控制者在向M88 app主体进行告知时,必须说明具体的收集个人M88 app的目的和细节,不能只做笼统的告知,且禁止在收集、使用或披露多种类型或多个主体的个人M88 app时只披露某项目的,并合并获取一项同意;
具体设计的请求同意的表格或声明应当具有易于访问和理解的形式,语言应当易于阅读,不存在欺骗或误导M88 app主体的情况;
请求同意的声明应当与与其他声明分开,如用户协议、服务协议等。
第二,同意必须满足以下要求:
必须是M88 app主体自愿、自由地作出;
必须通过明确且肯定性的动作完成,如通过提交M88 app主体自己准备的同意书、在M88 app控制者准备的同意表上签字以授予同意、M88 app主体自己点击复选框表示同意、连续两次按下手机上的按钮或滑动屏幕以明确表示M88 app主体的同意。
《通知指南》则明确了在通知M88 app主体有关收集、使用和披露个人M88 app的目的和细节时应遵循公平、目的限制的原则,具体体现为:
M88 app控制者必须确保在收集个人M88 app之前或之时通知M88 app主体关于M88 app处理活动的目的和细节,使其能够识别使用和披露个人M88 app所产生的影响,并且必须确保用于通知目的和细节的语言和文本清晰易懂;
与收集、使用和披露个人M88 app有关的目的和细节必须有限且明确,M88 app控制者不得超出已通知M88 app主体的目的范围使用个人M88 app。
在此基础上,《通知指南》列出了可用于通知收集个人M88 app的目的和细节的方法,例如书面通知、口头通知、通过短信、电子邮件、彩信、电话或任何其他电子方式的通知,为了提醒M88 app主体及时了解有关收集个人M88 app的目的和细节,可以提供专门的链接,并在相关的指引文本中设置下划线。
(3) 越南有关告知同意的要求
越南PDPD第11条和13条对告知和同意做出了具体要求。M88 app控制者在基于M88 app主体的同意开展个人M88 app处理活动之前,应向M88 app主体履行告知义务,并获取M88 app主体的同意。告知和同意应分别符合以下要求:
告知必须满足以下要求:
M88 app控制者必须在处理个人M88 app之前进行一次性的告知;
告知的内容应当包含有关个人M88 app处理活动的所有相关内容,包括处理目的、与处理目的相关的使用的个人M88 app类型、处理个人M88 app的方法、与处理目的相关的参与个人M88 app处理活动的组织及其相关信息、处理活动可能发生的不良后果和损害、处理活动开始和结束时间、M88 app主体的权利和义务;
告知应当通过电子或书面的可验证的方式进行。
同意必须满足以下要求:
同意必须是在知情的情况下自愿作出才有效;
同意必须以书面、口头、勾选同意框、发送消息、选择同意按钮等方式明确表示确认,沉默或不作响应都不应视为同意;
同意必须和具体的某一特定目的相关联,如果存在多个目的,M88 app控制者应当分别告知所有的目的,以便M88 app主体分别明确同意其中的某一特定目的。
四、M88 app主体的权利
根据对泰国PDPA和越南PDPD的内容对比,M88 app主体享有的个人M88 app权利类型相似,都涵盖了GDPR下M88 app主体享有的主要权利,包括查阅复制权、更正权、删除权、撤回同意的权利、限制处理的权利、反对权、M88 app可携带权。
在M88 app主体请求响应的时间要求方面,泰国PDPA规定,M88 app控制者必须在收到请求后最多30天内响应该请求,不得无故拖延,且不得延长期限。但泰国PDPA规定的30天时限仅针对查阅复制权的请求,其他类型的请求尚没有具体的时间限制。虽然没有规定其他类型请求的回复时间限制,但泰国PDPA规定,如果M88 app控制者未能回应上述任何请求,M88 app主体可以向相关当局提出投诉。越南PDPD要求M88 app控制者在72小时内完成M88 app主体权利请求响应。
五、M88 app控制者和处理者的权利义务
在个人M88 app处理活动中,M88 app控制者和M88 app处理者各自需要承担的义务有所不同。通观泰国和越南M88 app保护法律的要求,二者的区别包括:
一般情况下,M88 app控制者必须承担个人M88 app处理活动的责任,落实告知同意的要求,采取适当的组织和技术措施保障个人M88 app的安全,形成个人M88 app处理记录,并需要和监管部门保持沟通合作。而M88 app处理者只是根据M88 app控制者给出的指令或按照双方签署的协议执行个人M88 app处理活动,并配合M88 app控制者履行其法定义务。
具体的业务场景下,M88 app控制者和M88 app处理者承担的义务也存在差异:
(1) 响应M88 app主体的权利请求:M88 app控制者需要及时响应M88 app主体的权利请求,而M88 app处理者只需要在接到M88 app控制者的指示后配合完成个人M88 app更正的义务。
(2) 发生M88 app泄露等安全事件时的通知:由M88 app控制者履行向监管部门的通知义务,M88 app处理者只需要及时通知M88 app控制者即可。
(3) DPIA:泰国将义务主体限定在M88 app控制者,而越南要求M88 app控制者和M88 app处理者都需要履行该项义务。
(4) M88 app跨境转移:泰国要求M88 app控制者履行作为M88 app对外传输方或境外接收方的合规义务,而M88 app处理者仅可能作为M88 app的接收方存在,无权主动发起将个人M88 app向境外传输的请求。越南则规定M88 app控制者、M88 app处理者均有权作为M88 app出境方开展M88 app跨境转移活动。
中国企业在海外开展业务时,需要先行判断在特定的个人M88 app处理活动中自己的角色是属于可以自主决定个人M88 app处理活动的M88 app控制者,还是代表M88 app控制者并接受其指令开展个人M88 app处理活动的M88 app处理者。在明确角色后,再进一步确认自身需要履行的合规义务。
六、M88 app跨境转移规则
(一) 泰国
泰国的M88 app跨境转移规则借鉴了GDPR,要求在向泰国以外的国家或地区转移任何个人M88 app之前,应首先确保该等M88 app转移具有以下任一合法依据:
(1) 充分保护水平的国家:个人M88 app转移的目的地是被泰国认可的具有充分的M88 app保护标准,并按照泰国PDPC规定的个人M88 app保护规则执行的国家。目前,泰国PDPC目前尚未发布具有充分的M88 app保护标准的白名单国家列表;
(2) 采取适当保护措施:个人M88 app跨境转移采取了适当的保护措施(包括签署标准合同条款、经监管部门认可的具有约束力的公司内部准则、认证以及泰国政府机构与外国政府机构之间的约束性文件);或
(3) 例外情形:适用特定的例外情形,包括(i)为了遵守法律的要求;(ii)已获得M88 app主体的同意,前提是M88 app主体已被告知目的地国家或国际组织的个人M88 app保护标准不足;(iii)为了履行M88 app主体作为一方的合同,或者为了在签订合同前应M88 app主体的要求采取措施;(iv)为了遵守M88 app控制方与其他自然人或法人之间的合同,以维护M88 app主体的利益;(v)为了防止或抑制对M88 app主体或其他人的生命、身体或健康的危险,而M88 app主体当时没有能力给予同意;(vi)进行与重大公共利益相关的活动所必需;
需要注意的是,虽然泰国没有如GDPR体系发布专门的M88 app跨境转移影响评估(简称“TIA”)指引,但在具体执行M88 app出境时,作为M88 app出境方的M88 app控制者仍需根据M88 app跨境情况,开展TIA。若TIA表明M88 app跨境传输活动为高风险且无法找到足够措施将风险降低至可接受水平,应在处理前向监管机构咨询并接收书面建议。同时,无论最终的评估结果显示是否需要与监管部门协商,都仍应留存M88 app处理活动记录、安全保护措施证明、影响评估记录等证明文件。实践中,在采取适当的保护措施时,对于企业而言最便利的方式是签署标准合同,目前泰国允许企业选择欧盟委员会发布的标准合同条款(EU SCCs),或东盟委员会发布的M88 app跨境流动示范合同条款(ASEAN MCCs)。
(二)越南
与泰国借鉴GDPR搭建M88 app跨境转移规则不同,越南的M88 app跨境规则有较大差异:
1. M88 app本地化及境外企业设立分支机构或代表处的要求
越南《网络安全法》第26条第3款规定,越南本土和海外的网络服务提供商若涉及收集、处理、分析某些类型M88 app的活动,必须在越南境内存储M88 app,且海外服务提供者必须在泰国境内设立分支机构和代表处。
《第53号法令》将上述规则进行了细化,并对M88 app本地化要求进行了必要的限定,该法令自2022年10月1日生效,基本规则如下:
(1) 越南境内设立的网络服务提供商:无论提供何种服务类型,都必须落实M88 app本地化要求。
(2) 越南境外设立的网络服务提供商:在触发以下条件时,需要落实M88 app本地化要求,并在越南境内设立分支机构或代表处:
a) 向越南用户提供的服务落入以下范围:
电信服务;
在网络服务中存储和共享M88 app;
为越南的服务使用者提供国内或国际域名;
电子商务;
在线支付;
支付中介;
通过网络空间的交通连接服务;
社交网络和社交媒体;
在线视频游戏;
通过消息、语音通话、视频通话、电子邮件和在线聊天的形式在网络空间提供、管理或操作其他信息的服务。
b) 服务/在线平台被用于违反越南法律且收到监管部门(越南公安部网络安全和高科技犯罪预防局,简称“A05”)的书面通知。
c) 收到A05的书面通知后仍未能采取有效的网络安全保护措施导致违法情形未能纠正。
(3) 越南境外设立的网络服务提供商在收到A05的通知后有12个月的期限可以执行M88 app本地化和设立分支机构或代表处的要求。
(4) 进行本地存储的M88 app类型为:i)服务用户的个人信息M88 app、服务用户创建的M88 app,例如,账户名/身份、服务使用时间、信用卡信息、电子邮件、访问IP、与账户或M88 app相关的注册电话号码等;ii)服务用户的网络关系M88 app,例如朋友关系、互动群等。
2. M88 app跨境转移影响评估要求
目前,根据越南PDPD和《第13/2023/ND-CP号法令》(简称“《第13号法令》”),越南并没有像泰国一样建立类似的白名单国家制度,而是采用所有的个人M88 app出境都需要开展M88 app跨境转移影响评估的规则。根据该评估规则,越南的M88 app跨境转移影响评估并非只是一种自评估,而是一种在评估完成后按照法定要求提交相关评估文件到监管部门的申报备案,只有评估通过监管部门的审查,才能开展个人M88 app出境活动。因此,在越南开展M88 app出境活动,不止需要留存相关评估记录形成档案以备监管部门检查,M88 app出境方还需要在处理个人M88 app之日起60天内,主动依照PDPD附录中的官方模版表格,向A05提交评估档案,并在个人M88 app传输完成后,将M88 app传输内容的相关信息及负责传输的组织或个人的联系方式以书面形式通知A05。最后,越南赋予A05在特定情形下暂停个人M88 app出境的权力,包括发现传输的个人M88 app被用于违反越南社会主义共和国利益和国家安全的活动;M88 app出境活动违反国家法律和越南签署的国际公约;M88 app出境活动将导致越南公民的个人M88 app被泄露或丢失。
七、DPIA
目前泰国对DPIA并没有进行直接的规定,只是在泰国PDPA第37条第1款指出,为了防止未经授权或非法的M88 app访问、使用、更改、更正或披露个人M88 app导致M88 app丢失,M88 app控制者必须提供适当的安全措施,且在必要时或技术发生变化时需要及时对这些措施进行审查,以确认安全保护措施的有效性。对此泰国PDPC发布的《通知指南》中,进一步规定M88 app控制者从其他来源收集、使用或披露个人M88 app之前,应实施DPIA,以识别和评估可能因使用或披露个人M88 app而产生的风险,同时在使用人工智能等现代技术导致处理或披露大量个人M88 app时也应当实施DPIA。
越南关于DPIA的规定更加严格,要求对所有个人M88 app处理活动都必须进行评估,并形成M88 app处理活动的记录和影响评估档案,向监管部门提交。越南PDPD附录中专门发布了DPIA报告的官方模版。
八、组织内设置DPO的要求
关于在企业组织内设置DPO的要求,泰国和越南两国的相关法律法规要求如下:
(1) 触发任命的情形:
泰国和越南均在特定的情形下要求企业内强制任命DPO:
泰国法下的强制任命DPO的情形包括:M88 app控制者或M88 app处理者是监管机构规定和公布的公共机构;M88 app控制者或M88 app处理者拥有大量个人M88 app2且需要定期监控个人M88 app或系统;M88 app控制者或M88 app处理者的核心活动是处理敏感个人M88 app。
越南则仅规定当企业组织收集和处理敏感个人M88 app时,需要任命DPO。
(2) 资质和岗位要求:
泰国和越南都要求DPO应当具备M88 app合规领域的专业知识和技能。
泰国允许公司内的员工或外部第三方专业服务人员担任公司的DPO,而越南的法律实践中一般要求DPO是公司的内部员工。
泰国和越南都允许DPO可以是母公司或同一组织内的关联公司的员工。
特别的,越南PDPD要求如果企业内存在收集和处理敏感个人M88 app的情形,除了任命DPO,企业内还需要设置专门的M88 app保护部门,但泰国目前没有强制性的法律要求公司内必须设立专门的M88 app保护委员会或工作机构,尽管实践中大多数企业仍然会设置该等委员会或工作机构。
(3) 职责要求:
泰国PDPA第42条要求DPO承担向企业组织提供法律咨询意见并开展调查,确保企业组织的业务活动遵守泰国M88 app保护法律法规的要求,并在企业内出现违规行为时,与监管部门进行协调和合作。
越南PDPD目前就DPO的职责内容,没有具体说明。
(4) 备案要求:
泰国和越南都有登记备案的要求,M88 app控制者和M88 app处理者有义务向监管机构提供DPO的基本信息、联系地址和联系方式。
对于打算在泰国或越南当地设立公司实体的中国企业而言,需特别注意当地关于M88 app合规管理人员或组织的任命要求。目前两国都规定需强制任命DPO的特定情形,即在该等特定情形发生时,必须任命DPO。但实践中,即使未触发强制任命DPO的情形,企业出于合规需要,其最佳实践仍然是任命一名DPO。但需要注意的是,一旦任命了DPO,则DPO的相关信息需要向监管部门备案。
1. 参见推进“一带一路”建设工作领导小组办公室发布的《中国—东盟国家 共建“一带一路”发展报告》,https://www.yidaiyilu.gov.cn/a/icmp/2023/12/15/20231215179983118/c720a536a9494c1bb107420dbedacb40.pdf
2. 关于企业组织处理个人M88 app的规模,泰国PDPC曾发布指南,规定如果M88 app控制者或M88 app处理者处理超过10万条包含个人M88 app的记录,则必须任命DPO。
