Chính sách bảo mật ở các quốc gia chính ASEAN
Từ góc độ truyền dữ liệu xuyên biên giới và yêu cầu bản địa hóa

27 tháng 7 năm 2021

Việc xử lý thông tin cá nhân không được tránh khi tiến hành kinh doanh. Mặt khác, chẳng hạn như xử lý hoặc rò rỉ không phù hợp, đôi khi được đề cập trong các báo cáo tin tức, có thể làm hỏng nghiêm trọng hình ảnh của công ty. Trong Liên minh châu Âu (EU), "Quy định bảo vệ dữ liệu chung của EU (GDPR)"Có hiệu lực vào năm 2016 và bắt đầu ứng dụng vào năm 2018. Các biện pháp bảo vệ thông tin cá nhân bằng cách thiết lập luật pháp và các quy định đã được thực hiện không chỉ ở EU mà còn ở các quốc gia và khu vực khác nhau trên thế giới, và các quốc gia này, các quốc gia này, các quốc gia đều có thể nhận ra các quốc gia ở khu vực này. Malaysia, Philippines, Việt Nam) khi phát triển các doanh nghiệp xử lý thông tin cá nhân trong khu vực.

Luật chung về tiến trình bảo vệ thông tin cá nhân

Ở Đông Nam Á, các luật chung liên quan đến việc bảo vệ thông tin cá nhân đang được phát triển (xem Bảng 1).

Đầu tiên, ở SingaporeĐạo luật bảo vệ thông tin cá nhân sửa đổi (2020)Nhưng ở MalaysiaĐạo luật về quyền riêng tư (2010)(396,79kb)đã được thành lập. Cả hai đều tuân thủ GDPR. Các quy định của ngành khác nhau, như tài chính và viễn thông, được quy định dưới dạng luật đặc biệt ở Singapore và các quy tắc ứng xử ở Malaysia. Ở Philippines, như một luật chungĐạo luật bảo mật dữ liệu (2012)| đã được thiết lập, nhưng chi tiết chỉ được đặt ra dưới dạng các thông báo khác nhau cho các cơ quan chính phủ.

Thái Lan cũng có luật bảo vệ thông tin cá nhân tuân thủ GDPR. Tuy nhiên, chỉ có một số bài báo có hiệu lực từ ngày 28 tháng 5 năm 2019. Nói cách khác, có một giai đoạn chuyển tiếp cho các chương lớn yêu cầu các công ty phải hành động, như việc thu thập, sử dụng và tiết lộ thông tin cá nhân và hình phạt cho các vi phạm. Việc thực thi toàn bộ toàn bộ luật pháp, bao gồm cả những điều này, bị trì hoãn do tác động của đại dịch covid-19 (Tham khảo tin tức kinh doanh ngày 7 tháng 5 năm 2021).

Mặt khác, các luật chung chưa được thực thi ở Indonesia hoặc Việt Nam cho đến bây giờ. Nói cách khác, có nhiều luật và quy định liên quan đến việc bảo vệ thông tin cá nhân, và mỗi luật có một định nghĩa và xử lý thông tin cá nhân khác nhau. Ví dụ: "Quy định của chính phủ về hoạt động của các hệ thống và giao dịch điện tử, số 71, 2019"Xác định thông tin cá nhân là" đó là thứ có thể xác định được cho một cá nhân hoặc có thể được xác định bằng cách kết hợp nó với thông tin khác, trực tiếp hoặc gián tiếp thông qua các hệ thống điện tử hoặc không điện tử.Bộ Truyền thông và Thông tin số 20, 2016"đề cập đến" dữ liệu cá nhân cụ thể được lưu trữ, duy trì, kiểm soát vì lợi ích của sự thật và được bảo vệ bởi bảo mật. "Mỗi người có một định nghĩa khác nhau.

Tuy nhiên, cả hai quốc gia đang chuẩn bị cho việc ban hành luật chung. Ví dụ, tại Việt Nam, một "quyết định bảo vệ thông tin cá nhân" đã được công bố vào tháng 2 năm 2021. Dự thảo ngày có hiệu lực được ấn định vào ngày 1 tháng 12 năm 2021 và Bộ An toàn Công cộng Việt Nam đã chấp nhận các bình luận công khai (Tham khảo tin tức kinh doanh ngày 2 tháng 4 năm 2021). Ở Indonesia cũng vậy"Chính sách bảo mật"(451.93kb)hiện đang được thảo luận tại Hạ viện kể từ tháng 7 năm 2021.

Bảng 1: Đạo luật bảo vệ thông tin cá nhân toàn diện của các quốc gia ASEAN lớn
tên quốc gia	Tên hợp pháp	status	Bộ điều chỉnh
Singapore	Đạo luật bảo vệ thông tin cá nhân sửa đổi (2020)	được thi hành	Ủy ban chính sách bảo mật
Malaysia	Đạo luật về quyền riêng tư (2010)	được thi hành	Ủy ban đa phương tiện truyền thông Malaysia
Philippines	Đạo luật bảo mật dữ liệu (2012)	được thi hành	Ủy ban bảo mật quốc gia
Thái Lan	Đạo luật riêng tư	Hiệu suất đầy đủ của Đạo luật sẽ được gia hạn thêm một năm (ngày 1 tháng 6 đến ngày 31 tháng 5 năm 2022)	Ủy ban Chính sách bảo mật
Indonesia	Đạo luật riêng tư	theo cach vao m88 cuộc thảo luận về chế độ ăn uống	Bộ Truyền thông và Thông tin
Việt Nam	Chính sách bảo mật	theo cach vao m88 cuộc thảo luận về chế độ ăn uống	Bộ An toàn Công cộng

Nguồn: Jetro được tạo dựa trên luật pháp và quy định ở các quốc gia khác nhau

Truyền dữ liệu xuyên biên giới không được quy định cũng sẽ được cấp quyền có điều kiện

Tiếp theo, chúng tôi sẽ kiểm tra cách mỗi quốc gia đã điều chỉnh "truyền dữ liệu xuyên biên giới" của thông tin cá nhân. Ở đây, "Truyền dữ liệu xuyên biên giới" đề cập đến việc chuyển dữ liệu cụ thể từ một quốc gia cụ thể sang quốc gia khác (ở nước ngoài). Theo như chúng ta có thể thấy các luật và quy định liên quan của mỗi quốc gia, rõ ràng nhiều quốc gia được phép trong điều kiện họ yêu cầu mức độ bảo vệ tương đương với quốc gia xuất xứ của dữ liệu (xem Bảng 2).

Bảng 2: Quy định quốc gia về truyền dữ liệu xuyên biên giới
Quốc gia	Tên hợp pháp	điểm
Singapore	Chính sách bảo mật (2014)	Quyền có điều kiện: Chỉ được phép cho các quốc gia có cùng mức độ bảo vệ dữ liệu như Singapore
Malaysia	Đạo luật về quyền riêng tư (2010)	Sự cho phép có điều kiện: Được phê duyệt bởi Ủy viên Ủy ban đa phương tiện truyền thông Malaysia và chỉ cho phép cho các quốc gia có cùng mức độ bảo vệ dữ liệu như Malaysia.
Philippines	Đạo luật bảo mật dữ liệu (2012)	Quyền có điều kiện: Chỉ được phép cho các quốc gia có cùng mức độ bảo vệ dữ liệu như Philippines
Thái Lan	Đạo luật riêng tư	Quyền có điều kiện: Chỉ được phép cho các quốc gia có cùng mức độ bảo vệ dữ liệu như Thái Lan.
Indonesia	Chính sách bảo mật	Quyền có điều kiện: 1) Có cùng mức độ bảo vệ dữ liệu như Indonesia 2) Quốc gia đã đạt được thỏa thuận với Indonesia.
Indonesia	Đạo luật hiện tại (nhiều)	Theo nguyên tắc chung, không có quy định cụ thể. Tuy nhiên, chỉ có lĩnh vực tài chính được yêu cầu báo cáo cho Bộ Truyền thông và Thông tin.
Việt Nam	Pháp lệnh dân chủ về bảo vệ thông tin cá nhân	Giấy phép có điều kiện: Tất cả các điều kiện phải được đáp ứng, bao gồm: 1) Chủ thể dữ liệu có thỏa thuận và 2) Thông tin cá nhân ban đầu được lưu trữ ở Việt Nam 3) Quốc gia có cùng mức độ bảo vệ dữ liệu như Việt Nam.
Việt Nam	Hành động hiện tại (nhiều sự tồn tại)	Không có gì cụ thể

Nguồn: Jetro được tạo dựa trên luật pháp và quy định ở các quốc gia khác nhau

Không có quy định nào liên quan đến truyền dữ liệu xuyên biên giới ở Việt Nam cho đến bây giờ. Tuy nhiên, đề xuất các điều khoản bảo vệ thông tin cá nhân hiện đang được thảo luận trong chế độ ăn kiêng dự kiến sẽ áp đặt các điều kiện nghiêm ngặt. Cụ thể, người ta nói rằng bốn điều kiện phải được đáp ứng: (1) sự đồng ý của cá nhân, (2) dữ liệu gốc sẽ được lưu trữ tại Việt Nam, (3) sẽ có một tài liệu chứng chỉ với các điều khoản tương đương hoặc chặt chẽ hơn so với các quy định của CÔNG CỘNG.

Hiện tại, ở Indonesia, không có quy định nào về việc chuyển dữ liệu xuyên biên giới của thông tin cá nhân. Tuy nhiên,Quy định quản lý rủi ro cho cach vao m88 ngân hàng(90,14kb)vàQuy định về quản lý rủi ro của cach vao m88 công ty bảo hiểm(250.34kb), chỉ cần ngành tài chính được yêu cầu báo cáo với Bộ Truyền thông và Thông tin. Một khi Đạo luật bảo vệ thông tin cá nhân được ban hành, có khả năng điều kiện có thể là quốc gia được di dời sẽ yêu cầu cùng mức độ bảo vệ dữ liệu, giống như các quốc gia khác, vì vậy cần phải thận trọng.

Coi chừng yêu cầu bản địa hóa dữ liệu

Bản địa hóa dữ liệu là một quy định cho phép dữ liệu quan trọng như thông tin cá nhân được lưu giữ ở nước bạn, với mục đích bảo vệ sự an toàn của các ngành công nghiệp và quốc gia của đất nước bạn. Hiện tại, không có quy định nghiêm ngặt nào được thực hiện ở Đông Nam Á (xem Bảng 3). Nó không được quy định ở các nước lớn ở Singapore, Thái Lan hoặc Malaysia. Ở Philippines, nó được quy định độc quyền trong khu vực công.

Mặt khác, ở Indonesia, nó được xác định trong các lĩnh vực cụ thể như ngành tài chính và bảo hiểm, và cũng có những công ty thực sự thiết lập các trung tâm dữ liệu trong công ty riêng của họ. Tuy nhiên, dự thảo Đạo luật Bảo vệ Thông tin Cá nhân hiện đang được thảo luận tại Indonesia trong chế độ ăn kiêng không chứa bất kỳ thông tin nào liên quan đến bản địa hóa dữ liệu. Nhìn vào nó theo cách này, cần phải ghi nhớ cách xử lý các quy định hiện hành.

Tại Việt Nam, hiện tại, Đạo luật an ninh mạng tuyên bố rằng "trong lĩnh vực CNTT, công nghệ và thương mại (đặc biệt là thương mại điện tử), cần lưu trữ dữ liệu thông tin cá nhân được thu thập, sử dụng, phân tích và xử lý tại Việt Nam trong thời kỳ Việt Nam. Tuy nhiên, không có thiết lập như "giai đoạn" được đề cập ở đây tại thời điểm này. Như đã đề cập ở trên, các điều khoản bảo vệ thông tin cá nhân hiện đang được thảo luận trong chế độ ăn kiêng dự kiến sẽ áp đặt "dữ liệu gốc phải được lưu trữ ở Việt Nam" như một yêu cầu cho việc truyền dữ liệu xuyên biên giới. Cần phải lưu ý rằng điều này sẽ không được quy định hoặc thực hiện từ góc độ nội địa hóa dữ liệu.

Bảng 3: Quy định quốc gia liên quan đến bản địa hóa dữ liệu
Tên quốc gia	Tên hợp pháp	khu vực công cộng	Khu vực tư nhân					khác
Tên quốc gia	Tên hợp pháp	khu vực công cộng	Tài chính và bảo hiểm	Y tế và Sức khỏe	thương mại	CNTT/công nghệ	Bank	khác
Singapore	Chính sách bảo mật (2014)	×	×	×	×	×	×	×
Malaysia	Đạo luật về quyền riêng tư (2010)	×	×	×	×	×	×	×
Philippines	Đạo luật bảo mật dữ liệu (2012)	〇	×	×	×	×	×	×
Thái Lan	Đạo luật riêng tư	×	×	×	×	×	×	×
Indonesia	cach vao m88 quy tắc liên quan đến quản lý rủi ro ngân hàng, v.v.	〇	△	×	×	×	△	×
Việt Nam	Đạo luật an ninh mạng	×	×	×	〇	〇	×	×

Lưu ý: "×" chỉ ra không có quy định, "" chỉ ra một quy định và "" "chỉ ra một quy định có điều kiện.
Nguồn: Jetro được tạo dựa trên luật pháp và quy định ở các quốc gia khác nhau

Vui lòng chú ý đến Khung quốc tế

Ngay cả khi GDPR không có cơ sở trong EU, nếu nó xử lý thông tin cá nhân tại EU cho các mục đích cung cấp dịch vụ hoặc sản phẩm, có khả năng có thể áp dụng (áp dụng bên ngoài). Mặt khác, Hiệp hội các quốc gia Đông Nam Á (ASEAN) có liên quan đến nhiều thỏa thuận quốc tế liên quan đến việc bảo vệ thông tin cá nhân. Ví dụ"Khung bảo mật ASEAN(45,76kb)"(Được thành lập vào tháng 11 năm 2016) đặt các quy tắc chung ASEAN liên quan đến bảo vệ thông tin cá nhân và truyền dữ liệu xuyên biên giới. Tuy nhiên, khung không ràng buộc về mặt pháp lý và được giao phó với các phản ứng tự nguyện cho các quốc gia thành viên.

Mặt khác, "Thỏa thuận toàn diện và nâng cao về Quan hệ đối tác xuyên Thái Bình Dương (CPTPP, được gọi là TPP11)" bao gồm nội dung nâng cao, chẳng hạn như cung cấp chuyển giao dữ liệu miễn phí có chứa thông tin cá nhân và cấm các yêu cầu cài đặt dữ liệu nội địa (lưu ý). Thỏa thuận hợp tác kinh tế toàn diện (RCEC), bao gồm tất cả các quốc gia thành viên ASEAN, cũng bao gồm luồng miễn phí dữ liệu và các thông tin khác để thúc đẩy thương mại điện tử. Chúng tôi hy vọng rằng những điều này sẽ cải thiện môi trường cả trong và ngoài khu vực.

Theo cách này, khi xử lý thông tin cá nhân qua biên giới, các công ty cần kiểm tra không chỉ quốc gia họ hoạt động, mà cả luật pháp và quy định của quốc gia nơi dữ liệu được chuyển. Xin lưu ý rằng luật pháp của mỗi quốc gia cũng thường cung cấp các hình phạt cho vi phạm các quy định. Ví dụ, theo Đạo luật bảo vệ thông tin cá nhân được sửa đổi tại Singapore, nếu một công ty hoặc tổ chức vi phạm luật, phạt tiền sẽ được áp dụng cho các công ty có doanh thu hàng năm từ 10 triệu đô la (khoảng 810 triệu yên, S $, 1S $ = khoảng 81 yên) hoặc nhiều hơn, và các công ty khác sẽ được tính với tối đa 1 triệu đô la. Khi sự quan tâm đến lĩnh vực này đang phát triển trên toàn thế giới, các quy tắc có thể tiếp tục thay đổi trong tương lai. Điều quan trọng là thu thập thông tin liên quan hàng ngày và cố gắng quản lý thông tin cá nhân đúng cách.

Lưu ý:: Đến nay, các thành viên ASEAN bao gồm Singapore, Việt Nam, Malaysia và Brunei. Tuy nhiên, Malaysia và Brunei vẫn chưa hiệu quả kể từ tháng 7 năm 2021.

Giới thiệu tác giả: Văn phòng Jetro Jakarta
Ueno Wataru; Jetro tham gia vào năm 2012. Ông đã làm việc trong Bộ phận các vấn đề chung (2012-2014), Văn phòng Jetro Mumbai (2014-2015) và Bộ Kế hoạch, Nhóm Chiến lược Khu vực ở nước ngoài (ASEAN) (2015-2019). Chúng tôi cung cấp các khuyến nghị chính sách khác nhau cho ASEAN và hỗ trợ các doanh nghiệp vừa và nhỏ của Nhật Bản ở Indonesia.