东南亚数据本地化与数据传输问题：企业需知要点

本说明涵盖东南亚国家的数据本地化及跨境数据传输要求

当前实际情况如下：跨国公司正日益倾向于在区域云中心整合其数据，而非在其开展业务的每个辖区均搭建基础设施。此类企业会从客户及本地员工处收集大量个人数据 —— 随着跨国公司在东南亚地区投资规模的扩大，这一趋势只会愈发明显。而随着投资的加速，所收集数据的体量及敏感度也将大幅提升。本文将探讨东南亚各国不断演变的本地规则，及其对上述数据管理实践可能产生的影响。

印度尼西亚

印度尼西亚的数据本地化主要由 2019 年第 71 号政府条例（GR 71）及 2022 年颁布的《个人数据保护法》（PDP Law）规制，两部法规共同构建了该国数据存储与处理的精细化框架。

印度尼西亚的数据本地化规则主要强制要求公共部门数据及特定敏感金融领域数据在本地进行存储与处理；而私营部门及非金融领域数据，在符合严格监管要求及数据保护义务的前提下，通常可存储于境外。

然而，特定行业法规（尤以金融服务领域为典型）对私营企业设定了更为严格的本地化要求（例如，银行必须对金融数据实施本地化存储）。

依据 2022 年《个人数据保护法》（PDP Law）的规定，印度尼西亚允许个人数据在分别满足不同层级条件的前提下出境传输。该法律的核心要求为：跨境传输的数据必须获得与印度尼西亚法律规定同等水平的保护。

主要要求如下：

· 充分性原则：数据控制者可将数据传输至数据保护标准等于或高于印度尼西亚的国家。“充分性” 的评估工作最终将由专门的数据保护机构负责（截至 2025 年 9 月，该机构尚未投入运作）。

· 适当保障措施：若目的地国家缺乏足够的数据保护标准，则需采取具有法律约束力且可执行的保障措施（如合同条款），以确保个人数据获得同等水平的保护。

· 明确同意：若既无法满足充分性原则，也无法落实适当保障措施，则数据控制者在进行数据传输前，必须获得数据主体的明确同意。

行政程序方面，数据控制者必须就跨境数据传输事宜向印度尼西亚通信与信息部进行报告并开展协调，通常需在每次传输前及传输后均向该部门履行通知义务。

新加坡

新加坡不设一般性数据本地化义务。作为枢纽型经济体，该国积极推动数据流动，具体举措包括参与《东盟数字经济框架协议》及签署跨境数字贸易协定（如与澳大利亚、英国、韩国等国签订的数字经济协定）。仅在少数受严格监管的特定行业（如银行业、保险业、医疗健康业）存在有限的本地化限制：在这些行业中，监管机构可能要求部分类别数据（如财务账簿、健康记录）需确保新加坡境内监管机构可获取。

在数据出境传输方面， 《个人数据保护法》（ PDPA）为核心规制法律。若接收数据的机构承诺提供与《个人数据保护法》相当的保护标准， 则允许开展跨境数据传输。

核心机制包括：

· 具有法律执行力的义务：通过有约束力的公司规则、纳入新加坡个人数据保护委员会（PDPC）示范条款的合同，或遵守亚太经合组织（APEC）跨境隐私规则（CBPR）等方式实现。

· 同意：个人的明确同意是另一项合法性依据。

· 视为同意的豁免情形：当数据传输为履行与个人之间的合同所必需时，适用视为同意的豁免。

新加坡个人数据保护委员会（PDPC）已发布关于 核心概念的详细咨询指南及跨境合规工具包。与印度尼西亚不同，新加坡的规制框架侧重强调机构责任，而非要求数据传输前获得审批。

马来西亚

马来西亚暂未设定全面性数据本地化要求，但在金融服务、电信及医疗健康领域（尤其在马来西亚国家银行及各行业监管机构的监管下）执行更为严格的规制条件。对于普通商业实体而言，若遵守数据传输相关规则，其数据可存储于境外。

在数据出境传输方面，2024年修订的《个人数据保护法》自 2025 年 1 月 1 日起分阶段生效，其中关于跨境数据传输的特别条款（即 “基于充分性的模式”）于 2025 年 4 月 1 日正式生效。该条款确立了 “基于充分性的模式”：数据可传输至法律体系与《个人数据保护法》（PDPA）实质相似，或能提供与该法同等充分保护水平的目的地。这一模式取代了此前的白名单制度，消除了因官方白名单未发布而存在的法律不确定性。此外，符合以下豁免情形时也可进行数据传输，例如：

· 个人的同意；

· 履行合同所必需；

· 公共利益或法律主张相关；

· 金融 / 医疗领域传输已获得 监管机构批准

马来西亚数字部拥有监管管辖权，但在实际操作中，各行业监管机构会对敏感行业的跨境数据传输事宜进行协同监管。

泰国

泰国《个人数据保护法》（Thailand PDPA，2022 年生效）未设定一般性数据本地化义务。但根据《网络安全法》颁布的下位法及官方通知规定，部分政府机构及关键信息基础设施运营者（如电信、能源、金融领域运营者）在使用云服务时，可能被要求将其数据存储于泰国境内。

泰国《个人数据保护法》对个人数据国际传输采用与欧盟《通用数据保护条例》（GDPR）相近的规制框架，具体要求如下：

· 充分性认定：数据可传输至被认定为具备充分保护水平的法域。但截至 2025 年 9 月，泰国个人数据保护委员会（PDPC）尚未发布目的地国家 “白名单”。

· 充分性要求的豁免情形

o 法律规定所必需；

o 经数据主体知情同意 —— 需明确告知数据主体接收国或接收机构可能存在数据保护水平不足的情况；

o 特定情形下必需，例如履行法定义务、实现合同目的、保护生命健康，或维护重大公共利益。

· 适当保障措施：若无法满足充分性要求，数据控制者 / 处理者需采取适当保障措施，确保数据主体权利具备可执行性。泰国个人数据保护委员会（PDPC）已正式认可《东盟跨境数据流动示范合同条款》及欧盟 GDPR 标准合同条款为合法保障措施，具体包括：

o 合同类措施：采用经 PDPC 批准并推荐的具有约束力的协议或合同条款，例如（1）《东盟跨境数据流动示范合同条款》；（2）欧盟 GDPR《个人数据向第三国传输标准合同条款》；

o 认证类措施：通过 PDPC 批准的认证机制，证明符合公认的数据保护标准；

o 集团内部传输：在采用经 PDPC 批准的有约束力的公司规则（BCRs）前提下，允许企业集团内部数据跨境传输。

· “无第三方访问” 原则：若数据控制者对境外存储或传输的数据保有唯一且排他的控制权（如持有加密密钥），且无任何第三方可访问该数据，则根据泰国《个人数据保护法》，此类行为不被视为 “数据传输”。这一规则允许企业使用境外云基础设施，而无需触发该法律规定的跨境数据传输合规义务。

菲律宾

菲律宾暂未设定普遍性数据本地化要求。

在数据出境传输方面，《2012 年数据隐私法》（DPA）是菲律宾数据隐私领域的核心立法，该法允许数据进行国际传输，但要求必须通过合同或其他合理方式，确保数据获得同等水平的保护。

可采用的机制包括：

· 充分性原则：数据可传输至符合菲律宾国家隐私委员会（NPC）充分性要求的法域。

· 合同保障措施：包括采用示范条款、签订对接收方具有约束力的法律文件等。

· 同意：在无法确保存在充分保障措施的情况下，可基于数据主体的同意进行传输。

对此，菲律宾国家隐私委员会（NPC）已发布一份咨询指南（《NPC 咨询指南第 2024-01 号》），就跨境个人数据传输可采用的各类示范合同条款提供指引，其中包括东盟、欧洲委员会、欧盟委员会，以及英国、新西兰、阿根廷等国数据隐私机构发布的示范 / 标准合同条款等。

越南

越南实施的是东盟地区最为严格的数据本地化制度之一。

根据《第 53/2022/ND-CP  号法令》（该法令为 2018 年《网络安全法》的实施细则），向越南用户提供特定类型服务的境外主体 —— 尤其包括电信服务、数据存储 / 共享服务、域名服务、电子商务、在线支付、社交网络 / 社交媒体、网络游戏及其他在线信息服务 —— 在特定情形下（如存在违规行为和 / 或未配合主管部门工作），应越南公安部（MPS）书面要求，需履行以下义务：

● 将特定用户数据（包括用户个人数据、用户生成数据及用户关系数据）存储于越南境内；

● 在越南设立本地分公司或代表处。 ¹

上述义务需在越南公安部作出决定之日起 12 个月内履行完毕，且数据留存期限自收到要求之日起计算，最短需保持 24 个月。²

此外，《第 147/2024/ND-CP 号法令》（关于互联网服务及网络信息管理、提供与使用）要求特定服务提供者必须在越南境内实际部署至少一套服务器系统，以便主管部门开展检查、监管工作，并按要求存储、提供相关信息。这一要求是以下主体获得经营许可 / 开展运营的常设条件：

· 综合信息网站运营者； ³

· 越南本土社交网络服务提供者； ⁴

· 网络游戏服务提供企业； ⁵

· 移动网络信息服务提供企业。 ⁶

在越南数据出境传输方面，越南政府对个人数据与非个人数据的跨境传输均实施规制。

根据《第 13/2023/ND-CP 号法令》及《个人数据保护法》（2026 年 1 月 1 日生效），开展个人数据跨境传输的机构需履行以下义务：

· 使用官方表格编制《跨境传输影响评估报告》（CTIA）；

· 在传输启动之日起 60 日内，向主管部门提交 1 份《跨境传输影响评估报告》原件；

· 当《跨境传输影响评估报告》内容发生变更时，需对其进行更新与修订。 ⁷

对于非个人数据， 《数据法》为被归类为 “重要数据” 或 “核心数据” 的非个人数据跨境传输 / 处理设定了基本原则。 ⁸两类数据均需编制并提交《跨境传输影响评估报告》（CTIA）档案材料，但在传输要求上存在差异：核心数据需在获得事前批准后才可传输，而重要数据仅需提交档案材料（无需事前批准）。

柬埔寨

柬埔寨在数据保护体系建设方面仍处于初期阶段。截至 2025 年，该国尚未出台一般性数据本地化法律，但特定行业规制（如柬埔寨国家银行监管下的金融服务领域、电信牌照相关要求）可能设定数据本地化义务。

在数据出境传输方面，柬埔寨目前尚无生效的综合性个人数据保护法（《个人数据保护法（草案）》正处于讨论阶段），当前实践主要依赖合同约定、各监管机构专项规则及国际条约。具体如下：

· 通常情况下，经数据主体同意或具备合同保障措施，即可开展数据出境传输；

· 预计未来出台的相关法律，或将参照其他东盟国家模式，采用 “充分性认定 + 保障措施 + 同意” 的规制框架。

执行摘要：东南亚数据本地化及跨境传输

参考文献

Indonesia

Government of Indonesia. (2019). Government Regulation No. 71 of 2019 on Electronic Systems and Transactions (GR 71/2019). Retrieved from (https://peraturan.go.id)

Government of Indonesia. (2022). Law No. 27 of 2022 on Personal Data Protection. Retrieved from (https://peraturan.go.id)

Ministry of Communication and Informatics (Kominfo). Personal Data Protection Guidance. (https://kominfo.go.id)

Singapore

Parliament of Singapore. (2012). Personal Data Protection Act (as amended 2021). Retrieved from (https://sso.agc.gov.sg)

PDPC. (2021). Advisory Guidelines on Key Concepts in the PDPA. (https://www.pdpc.gov.sg)

Malaysia

Parliament of Malaysia. (2010). Personal Data Protection Act 2010 (Act 709). Retrieved from (https://www.agc.gov.my)

JPDP (Malaysia). Guidelines & Standards. Retrieved from (https://www.pdp.gov.my)

Thailand

Royal Thai Government. (2019). Personal Data Protection Act B.E. 2562 (2019). Retrieved from (http://ratchakitcha.soc.go.th)

Personal Data Protection Committee (PDPC Thailand). (2022). Implementation Guidelines. (https://pdpc.or.th)

Philippines

Republic Act No. 10173. (2012). Data Privacy Act of 2012. Retrieved from (https://www.officialgazette.gov.ph)

NPC. (2016). Implementing Rules and Regulations. (https://privacy.gov.ph)

Vietnam:

Government of Vietnam. (2018). Law on Cybersecurity. Available at (https://vanban.chinhphu.vn/?pageid=27160&docid=206114)

Government of Vietnam. (2024). Law on Data. Available at (https://chinhphu.vn/?pageid=27160&docid=212488&classid=1&typegroupid=3)

Government of Vietnam. (2025). Law on Personal Data Protection. Available at (https://chinhphu.vn/?pageid=27160&docid=214590&classid=1&typegroupid=3)

Government of Vietnam. (2022). Decree 53/2022/ND-CP – Implementation of Law on Cybersecurity. Available at (https://vanban.chinhphu.vn/?pageid=27160&docid=206381)

Government of Vietnam. (2023). Decree 13/2023/ND-CP on Personal Data Protection. Available at (https://vanban.chinhphu.vn/?pageid=27160&docid=207759)

Government of Vietnam. (2024). Decree 147/2024/ND-CP on the management, provision and use of internet services and information in cyberspace. Available at (https://vanban.chinhphu.vn/?pageid=27160&docid=211654)

Government of Vietnam. (2025). Decree 165/2025/ND-CP – Implementation of Law on Data. Available at (https://chinhphu.vn/?pageid=27160&docid=214331&classid=1&typegroupid=4)

Cambodia:

MPTC. (2025). Draft Law on Personal Data Protection. Retrieved from (https://opendevelopmentcambodia.net)

National Bank of Cambodia. (2019). Technology Risk Management Guidelines. Retrieved from (https://www.nbc.gov.kh/NBC-Risk-Management-Guidelines)

Footnotes

1. Art. 26 of Decree 53/2022/ND-CP

2. Arts. 26.6(c) and 27 of Decree 53/2022/ND-CP

3. Art. 34.2 of Decree 147/2024/ND-CP

4. Art. 35.10 of Decree 147/2024/ND-CP

5. Art. 54.1 of Decree 147/2024//ND-CP

6. Art. 74.2 of Decree 147/2024/ND-CP

7. Art. 25 of Decree 13/2023/ND-CP; Art. 20 and 22 of the Law on Personal Data Protection

8. Art. 23.2 of the Law on Data; Art. 12.5 of Decree 165/2025/ND-CP

本文首发于LexisNexis （律商联讯），如需转载，请联系我们。

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.