freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

柬埔寨数据合规重点解读
2022-08-05 18:43:56
所属地 上海

据人民日报报道,柬埔寨于2021年发布了《数字经济和数字社会政策框架(2021—2035)》,包含139项具体措施,并提出了五大发展目标:发展数字基础设施、建立数字信任和信心、培养数字公民、建设数字政府以及促进数字商业。近年来,柬埔寨非常重视数字经济发展,颁布了《电子商务法》,并将外国电商企业纳入简化增值税登记机制。但据柬中时报消息,柬埔寨仍存在数字经济基础设施落后、缺乏ICT(资讯和通讯技术)人才、公共和私人领域对数字技术普及应用不足、网络费用缓慢和高昂等障碍。据亚太时报报道,柬埔寨正在研究起草《数据安全法》,但可能需要花费至少5年的时间,可见柬埔寨数字经济发展水平与数据保护法律体系稍显不足。

  • 数据保护法律体系概况

柬埔寨暂未出台数据保护专门性立法,但关于个人信息保护的内容可见于其他法律规定之中,如:《网络犯罪法草案》,规定了打击网络犯罪和利用计算机系统实施的各种犯罪行为,包含具体的网络犯罪处罚条款;《电子商务法》,规定了预防和打击危害数据与信息系统的行为以及对在线交易服务提供者提出了基本的数据保护要求;《宪法》,规定了公民享有居住隐私权以及通过邮件、电报、传真、电传和电话进行通信的保密权;《民法典》,规定了个人享有包括隐私权在内的人身权利,有权要求禁止侵害行为;《刑法》,规定了与信息技术有关的犯罪的处罚,包括未经授权访问自动数据处理系统以及妨碍自动数据处理系统的运作等。柬埔寨暂未设立单独个人数据保护机构以监管数据处理活动,但商务部、邮电部以及内政部有权处理个人信息保护相关事项。因数据保护规定主要集中在《网络犯罪法草案》以及《电子商务法》,因此本文主要在该两法以及结合其他相关法律规定基础上解读数据合规要求。

  • 适用范围

因柬埔寨暂未出台数据保护单独立法,任何在柬埔寨收集、使用或披露个人数据的自然人或实体受涉及数据保护的相关法律的约束。

对于是否具有域外适用情形,可参见下表:

《电子商务法》

1. 该法目标“管理柬埔寨和国际间的电子商务”;

2. 该法规定:对于在柬埔寨境内或境外有营业场所的实体,通过电子媒介或电信服务提供商向柬埔寨境内的客户发送未经请求的商业通信,应提供具有明确指定且易于激活的拒绝选项。

《网络犯罪法草案》

该法适用于:

1. 在柬埔寨境内犯下的罪行;

2. 柬埔寨境外犯下的罪行,并影响到柬埔寨的法人和自然人的利益。

  • 处理合法性基础

可以对标《个人信息保护法》第13条,参照《电子商务法》以及《民法典》,对柬埔寨数据处理合法性基础进行交叉理解。

中国

柬埔寨

1. 取得个人的同意;

2. 为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;

3. 为履行法定职责或者法定义务所必需;

4. 为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;

5. 为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;

6. 依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;

7. 法律、行政法规规定的其他情形。

1. 取得数据主体同意,《电子商务法》规定以可以确定身份的电子签名方式显示取得同意;

2. 根据与数据主体之间的合同。

  • 数据控制者义务

柬埔寨法律规定了数据控制者的某些义务,具体如下:

序号

义务类型

义务内容

1

同意义务

数据控制者在收集和处理个人数据之前需征得同意。

2

准确性义务

数据控制者应保证数据的准确、完整。

3

提供拒绝营销选项义务

对于商业通信,数据控制者应提供具有明确指定且易于激活的拒绝选项。

4

保护义务

数据控制者应采取一切手段确保信息在任何情况下都受到合理的安全保障,以避免信息未经授权的丢失、访问、使用、修改、泄漏或披露。

5

记录保留义务

数据控制者应保留原始信息。

6

数据转移限制义务

柬埔寨法律暂未要求数据本地化,但根据《网络犯罪法草案》,禁止未经授权的数据转移。

  • 数据主体权利与保护

柬埔寨数据保护法律体系下的数据主体权利详见下表:

数据主体权利

1. 知情权

采用电子形式向消费者销售商品或服务的数据控制者应当提供准确、清晰和可理解的最低限度信息。

2. 访问权

数据主体有权访问个人信息。

3. 整改权

数据主体有权更正或撤回输入的错误信息。

4. 删除权

若侵犯数据主体隐私权的影响继续存在,数据主体可以要求消除影响,如对个人数据进行删除。

5. 拒绝商业营销权

数据主体有权拒绝数据控制者通过电子媒介或者电信服务提供商进行商业营销的权利。

6. 数据可移植权

数据主体有权通过任何方式传输、存储或下载电子系统中包含的数据、信息或其他文件。

7. 损害赔偿权

数据主体有权对数据控制者违法违规处理个人数据造成的损害要求赔偿。

  • 跨境传输

根据柬埔寨法律,暂未规定数据接收方或国际组织所在国家/地区高于或等于当地数据保护要求,也没有要求必须签署完备的数据跨境传输协议等常见数据跨境传输法律要求,但需要特别提示的是,根据《网络犯罪法草案》,未经授权的数据传输会受到刑事处罚。

  • 法律责任承担

《电子商务法》

若数据控制者未采取合理安全措施保护个人信息免受未经授权或法律许可的丢失、访问、使用、修改、泄漏或披露;或任何人不得干扰电子系统,访问、检索、复制、提取、泄漏、删除或修改任何其他人恶意或未经许可保留的数据,否则需要承担法律责任,包括将被处以 1年至 2年的监禁和200万瑞尔至400万瑞尔的罚款。

《网络犯罪法草案》

1. 获取计算机数据为目的的非法访问以及违反安全措施:处3年至12年监禁,并处以600万瑞尔至2400万瑞尔的罚款;

2. 未经授权为自己或他人获取不属于其的受到特别保护的数据:处1年至3年监禁,并处以200万瑞尔至600万瑞尔的罚款;

3. 未经授权更改、删除或损坏计算机数据或限制此类数据:处2年至7年监禁,并处以400万瑞尔至1400万瑞尔的罚款;

4. 未经授权的数据传输:处3年至12年监禁,并处以600万瑞尔至2400万瑞尔的罚款;

5. 计算机系统干扰:处3年至15年监禁,并处以600万瑞尔到3000万瑞尔的罚款;

6. 除此之外,注意内容管理,如禁止儿童色情、危害柬埔寨国家完整的内容等。

以上为我们对柬埔寨数据合规的重点解读,因目前柬埔寨的数据保护法律体系尚处于萌芽时期,出海柬埔寨企业面临的数据合规监管相对较宽松,但仍需要注意散见于其他法律的数据保护相应规定,避免可能出现的合规风险。

# 柬埔寨 # 数据合规
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者