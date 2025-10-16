ARTICLE
16 October 2025

东南亚数据本地化与数据传输问题：企业需知要点

当前实际情况如下：跨国公司正日益倾向于在区域云中心整合其数据，而非在其开展业务的每个辖区均搭建基础设施。此类企业会从客户及本地员
本说明涵盖东南亚国家的数据本地化及跨境数据传输要求

当前实际情况如下：跨国公司正日益倾向于在区域云中心整合其数据，而非在其开展业务的每个辖区均搭建基础设施。此类企业会从客户及本地员工处收集大量个人数据 —— 随着跨国公司在东南亚地区投资规模的扩大，这一趋势只会愈发明显。而随着投资的加速，所收集数据的体量及敏感度也将大幅提升。本文将探讨东南亚各国不断演变的本地规则，及其对上述数据管理实践可能产生的影响。

印度尼西亚

印度尼西亚的数据本地化主要由 2019 年第 71 号政府条例（GR 71）及 2022 年颁布的《个人数据保护法》（PDP Law）规制，两部法规共同构建了该国数据存储与处理的精细化框架。

印度尼西亚的数据本地化规则主要强制要求公共部门数据及特定敏感金融领域数据在本地进行存储与处理；而私营部门及非金融领域数据，在符合严格监管要求及数据保护义务的前提下，通常可存储于境外。

然而，特定行业法规（尤以金融服务领域为典型）对私营企业设定了更为严格的本地化要求（例如，银行必须对金融数据实施本地化存储）。

依据 2022 年《个人数据保护法》（PDP Law）的规定，印度尼西亚允许个人数据在分别满足不同层级条件的前提下出境传输。该法律的核心要求为：跨境传输的数据必须获得与印度尼西亚法律规定同等水平的保护。

主要要求如下：

· 充分性原则：数据控制者可将数据传输至数据保护标准等于或高于印度尼西亚的国家。“充分性” 的评估工作最终将由专门的数据保护机构负责（截至 2025 年 9 月，该机构尚未投入运作）。

· 适当保障措施：若目的地国家缺乏足够的数据保护标准，则需采取具有法律约束力且可执行的保障措施（如合同条款），以确保个人数据获得同等水平的保护。

· 明确同意：若既无法满足充分性原则，也无法落实适当保障措施，则数据控制者在进行数据传输前，必须获得数据主体的明确同意。

行政程序方面，数据控制者必须就跨境数据传输事宜向印度尼西亚通信与信息部进行报告并开展协调，通常需在每次传输前及传输后均向该部门履行通知义务。

新加坡

新加坡不设一般性数据本地化义务。作为枢纽型经济体，该国积极推动数据流动，具体举措包括参与《东盟数字经济框架协议》及签署跨境数字贸易协定（如与澳大利亚、英国、韩国等国签订的数字经济协定）。仅在少数受严格监管的特定行业（如银行业、保险业、医疗健康业）存在有限的本地化限制：在这些行业中，监管机构可能要求部分类别数据（如财务账簿、健康记录）需确保新加坡境内监管机构可获取。

数据出境传输方面， 《个人数据保护法》（ PDPA为核心规制法律。若接收数据的机构承诺提供与《个人数据保护法》相当的保护标准， 则允许开展跨境数据传输。

核心机制包括：

· 具有法律执行力的义务：通过有约束力的公司规则、纳入新加坡个人数据保护委员会（PDPC）示范条款的合同，或遵守亚太经合组织（APEC）跨境隐私规则（CBPR）等方式实现。

· 同意：个人的明确同意是另一项合法性依据。

· 视为同意的豁免情形：当数据传输为履行与个人之间的合同所必需时，适用视为同意的豁免。

新加坡个人数据保护委员会（PDPC）已发布关于 核心概念的详细咨询指南及跨境合规工具包。与印度尼西亚不同，新加坡的规制框架侧重强调机构责任，而非要求数据传输前获得审批。

马来西亚

马来西亚暂未设定全面性数据本地化要求，但在金融服务、电信及医疗健康领域（尤其在马来西亚国家银行及各行业监管机构的监管下）执行更为严格的规制条件。对于普通商业实体而言，若遵守数据传输相关规则，其数据可存储于境外。

在数据出境传输方面，2024年修订的《个人数据保护法》自 2025 年 1 月 1 日起分阶段生效，其中关于跨境数据传输的特别条款（即 “基于充分性的模式”）于 2025 年 4 月 1 日正式生效。该条款确立了 “基于充分性的模式”：数据可传输至法律体系与《个人数据保护法》（PDPA）实质相似，或能提供与该法同等充分保护水平的目的地。这一模式取代了此前的白名单制度，消除了因官方白名单未发布而存在的法律不确定性。此外，符合以下豁免情形时也可进行数据传输，例如：

· 个人的同意；

· 履行合同所必需；

· 公共利益或法律主张相关；

· 金融 / 医疗领域传输已获得 监管机构批准

马来西亚数字部拥有监管管辖权，但在实际操作中，各行业监管机构会对敏感行业的跨境数据传输事宜进行协同监管。

泰国

泰国《个人数据保护法》（Thailand PDPA，2022 年生效）未设定一般性数据本地化义务。但根据《网络安全法》颁布的下位法及官方通知规定，部分政府机构及关键信息基础设施运营者（如电信、能源、金融领域运营者）在使用云服务时，可能被要求将其数据存储于泰国境内。

泰国《个人数据保护法》对个人数据国际传输采用与欧盟《通用数据保护条例》（GDPR）相近的规制框架，具体要求如下：

· 充分性认定：数据可传输至被认定为具备充分保护水平的法域。但截至 2025 年 9 月，泰国个人数据保护委员会（PDPC）尚未发布目的地国家 “白名单”。

· 充分性要求的豁免情形

o 法律规定所必需；

o 经数据主体知情同意 —— 需明确告知数据主体接收国或接收机构可能存在数据保护水平不足的情况；

o 特定情形下必需，例如履行法定义务、实现合同目的、保护生命健康，或维护重大公共利益。

· 适当保障措施：若无法满足充分性要求，数据控制者 / 处理者需采取适当保障措施，确保数据主体权利具备可执行性。泰国个人数据保护委员会（PDPC）已正式认可《东盟跨境数据流动示范合同条款》及欧盟 GDPR 标准合同条款为合法保障措施，具体包括：

合同类措施：采用经 PDPC 批准并推荐的具有约束力的协议或合同条款，例如（1）《东盟跨境数据流动示范合同条款》；（2）欧盟 GDPR《个人数据向第三国传输标准合同条款》；

认证类措施：通过 PDPC 批准的认证机制，证明符合公认的数据保护标准；

集团内部传输：在采用经 PDPC 批准的有约束力的公司规则（BCRs）前提下，允许企业集团内部数据跨境传输。

· “无第三方访问” 原则：若数据控制者对境外存储或传输的数据保有唯一且排他的控制权（如持有加密密钥），且无任何第三方可访问该数据，则根据泰国《个人数据保护法》，此类行为不被视为 “数据传输”。这一规则允许企业使用境外云基础设施，而无需触发该法律规定的跨境数据传输合规义务。

菲律宾

菲律宾暂未设定普遍性数据本地化要求。

在数据出境传输方面，《2012 年数据隐私法》（DPA）是菲律宾数据隐私领域的核心立法，该法允许数据进行国际传输，但要求必须通过合同或其他合理方式，确保数据获得同等水平的保护。

可采用的机制包括：

· 充分性原则：数据可传输至符合菲律宾国家隐私委员会（NPC）充分性要求的法域。

· 合同保障措施：包括采用示范条款、签订对接收方具有约束力的法律文件等。

· 同意：在无法确保存在充分保障措施的情况下，可基于数据主体的同意进行传输。

对此，菲律宾国家隐私委员会（NPC）已发布一份咨询指南（《NPC 咨询指南第 2024-01 号》），就跨境个人数据传输可采用的各类示范合同条款提供指引，其中包括东盟、欧洲委员会、欧盟委员会，以及英国、新西兰、阿根廷等国数据隐私机构发布的示范 / 标准合同条款等。

越南

越南实施的是东盟地区最为严格的数据本地化制度之一。

根据《第 53/2022/ND-CP  号法令》（该法令为 2018 年《网络安全法》的实施细则），向越南用户提供特定类型服务的境外主体 —— 尤其包括电信服务、数据存储 / 共享服务、域名服务、电子商务、在线支付、社交网络 / 社交媒体、网络游戏及其他在线信息服务 —— 在特定情形下（如存在违规行为和 / 或未配合主管部门工作），应越南公安部（MPS）书面要求，需履行以下义务：

● 将特定用户数据（包括用户个人数据、用户生成数据及用户关系数据）存储于越南境内；

● 在越南设立本地分公司或代表处。 1

上述义务需在越南公安部作出决定之日起 12 个月内履行完毕，且数据留存期限自收到要求之日起计算，最短需保持 24 个月。2

此外，《第 147/2024/ND-CP 号法令》（关于互联网服务及网络信息管理、提供与使用）要求特定服务提供者必须在越南境内实际部署至少一套服务器系统，以便主管部门开展检查、监管工作，并按要求存储、提供相关信息。这一要求是以下主体获得经营许可 / 开展运营的常设条件：

· 综合信息网站运营者； 3

· 越南本土社交网络服务提供者； 4

· 网络游戏服务提供企业； 5

· 移动网络信息服务提供企业。 6

在越南数据出境传输方面，越南政府对个人数据与非个人数据的跨境传输均实施规制。

根据《第 13/2023/ND-CP 号法令》及《个人数据保护法》（2026 年 1 月 1 日生效），开展个人数据跨境传输的机构需履行以下义务：

· 使用官方表格编制《跨境传输影响评估报告》（CTIA）；

· 在传输启动之日起 60 日内，向主管部门提交 1 份《跨境传输影响评估报告》原件；

· 当《跨境传输影响评估报告》内容发生变更时，需对其进行更新与修订。 7

对于非个人数据， 《数据法》为被归类为 “重要数据” 或 “核心数据” 的非个人数据跨境传输 / 处理设定了基本原则。 8两类数据均需编制并提交《跨境传输影响评估报告》（CTIA）档案材料，但在传输要求上存在差异：核心数据需在获得事前批准后才可传输，而重要数据仅需提交档案材料（无需事前批准）。

柬埔寨

柬埔寨在数据保护体系建设方面仍处于初期阶段。截至 2025 年，该国尚未出台一般性数据本地化法律，但特定行业规制（如柬埔寨国家银行监管下的金融服务领域、电信牌照相关要求）可能设定数据本地化义务。

在数据出境传输方面，柬埔寨目前尚无生效的综合性个人数据保护法（《个人数据保护法（草案）》正处于讨论阶段），当前实践主要依赖合同约定、各监管机构专项规则及国际条约。具体如下：

· 通常情况下，经数据主体同意或具备合同保障措施，即可开展数据出境传输；

· 预计未来出台的相关法律，或将参照其他东盟国家模式，采用 “充分性认定 + 保障措施 + 同意” 的规制框架。

执行摘要：东南亚数据本地化及跨境传输

国家

本地化要求力度

跨境传输规则

主要监管机构

印度尼西亚

中至严格（分行业） :

公共部门及金融领域数据须本地化存储；

私营非金融领域数据在监管下可采用境外存储

允许传输的情形：（1）符合充分性原则；（2）具备合同保障措施；（3）获得明确同意。需向相关部门履行传输前、后通知义务

通信与数字化部（Komdigi）；

待设立的数据保护机构

新加坡

 :

无一般性本地化要求；

仅银行业、医疗健康业等特定领域有有限义务。

积极推动数据跨境流动

接收方承诺提供与《个人数据保护法》（PDPA）同等水平保护的，允许传输。合规机制包括：合同约定、有约束力的规则、参与亚太经合组织跨境隐私规则（CBPR）、获得同意

个人数据保护委员会（PDPC）

马来西亚

低至中（分行业） : 

金融、电信、医疗等部分行业监管机构设定限制；无全面性本地化要求

“基于充分性的模式”：数据可传输至法律体系与《个人数据保护法》（PDPA）实质相似的目的地

个人数据保护部（JPDP，隶属于数字部）

泰国

 : 

无一般性强制要求，但金融、电信等行业监管机构可能设定存储义务

允许传输的情形：（1）符合充分性原则；

（2）具备保障措施（合同条款、有约束力的公司规则（BCRs））；（3）获得同意。采用类似欧盟《通用数据保护条例》（GDPR）的规制框架

个人数据保护委员会（PDPC）

菲律宾

低至中（关键领域） :

无广泛性本地化要求，但银行、政府相关主体等可能需留存本地数据副本

接收方法域能确保同等保护水平的，允许传输。其他合规路径包括：合同约定、获得同意

国家隐私委员会（NPC）

越南

高（范围较广） :

向越南用户提供服务的境外主体（电信、在线服务、电子商务等）可能被要求将用户数据本地存储，部分情形下需设立本地分支机构 / 代表处

个人数据、重要数据及核心数据的境外传输需向越南公安部履行通知 / 审批义务；需满足同意、必要性、安全处理等要求，为东盟地区规制最严格的国家

公安部（MPS）

柬埔寨

极低（体系建设中） :

尚无一般性本地化法律；

银行业、电信业等有部分限制

无综合性法律规制，通常经同意或具备合同保障即可传输；未来法律或引入 “充分性 + 保障措施 + 同意” 模式

当前为各行业监管机构（如国家银行、电信监管机构）；

《个人数据保护法（草案）》待出台

本文首发于LexisNexis （律商联讯），如需转载，请联系我们。

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

