官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
老挝正在进行数字化转型,信息和通信技术产业快速发展,老挝政府制定了2030年信息和通信技术产业发展愿景、信息和通信技术产业发展战略等一系列规划和政策,并在2015年出台了《打击和预防网络犯罪法》,2017年出台了《信息通信技术法》以及《电子数据保护法》等法律法规。但据世界银行消息,与其他可比区域经济体相比,老挝在互联网服务的可访问性、质量和可负担性等方面都明显落后,如互联网价格较高、大容量数据传输所需的固定宽带尤其受到限制等。
数据保护法律体系概况
老挝的数据保护立法主要为《电子数据保护法》和《打击和预防网络犯罪法》。其中《电子数据保护法》规范了收集、处理个人数据行为,《打击和预防网络犯罪法》,规定了打击、预防、遏制网络犯罪行为,以及保护数据库系统、服务器系统、计算机信息和数据。此外,老挝技术和通信部针对以上两法颁布了实施指南,阐述了某些条款的详细信息。
除此之外,数据保护相关内容散见于其他法律规定之中,如:《电子交易法》,规定了服务供应商应保护数据的完整性、可靠性和安全性以及用户个人信息的隐私和机密性;《网络犯罪处罚决定》,规定了对未经许可删除计算机数据等行为的处罚条款;《刑法典》,规定了涉及计算机系统和数据的犯罪行为以及刑罚条款。
老挝暂未设立专门监管数据处理行为的机构,技术和通信部负责监管数据处理行为以及发布与数据保护相关的指南,除此之外,老挝计算机应急响应小组也将提供协助。
适用范围
适用范围 | 域内: 在老挝境内收集、处理个人数据的个人、组织以及法人,即使在老挝没有实体,但从事受其法律规定的活动。 |
处理合法性基础
在老挝,数据主体同意是唯一的数据处理合法性基础,与之相较,中国的数据处理合法性基础较为多样。
中国 | 老挝 |
1. 取得个人的同意; 2. 为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需; 3. 为履行法定职责或者法定义务所必需; 4. 为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需; 5. 为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息; 6. 依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息; 7. 法律、行政法规规定的其他情形。 | 1. 取得数据主体的同意。 |
数据控制者义务
《电子数据保护法》等规定了数据控制者的多项义务,具体如下:
序号 | 义务类型 | 义务内容 |
1 | 同意义务 | 数据控制者在收集、处理个人数据之前应征得数据主体的同意,尤其是敏感个人数据。 |
2 | 保密义务 | 数据控制者应确保收集和处理的数据按照保密原则进行。 |
3 | 及时响应行权义务 | 数据控制者应及时响应数据主体访问、更正以及删除等的行权请求。 |
4 | 系统更新义务 | 数据控制者应创建和更新数据库系统、数据库备份系统、安全系统、自动数据搜索系统、数据恢复系统等。 |
5 | 安全义务 | 数据控制者应确保收集和处理的数据均按照安全原则进行,使用适当的措施来保证系统得到良好的维护以及对保护系统进行评估等。 |
6 | 社会义务 | 数据控制者应研究和利用信息技术接近社会需求。 |
7 | 数据转移限制义务 | 数据控制者可以在征得数据主体同意的基础上转移数据,同时需要满足数据接收方能保护传输的数据等条件。 |
8 | 任命数据保护管理人员义务 | 数据控制者应任命数据保护管理人员。 |
9 | 数据泄漏义务 | 数据泄漏事件发生时,数据控制者应与相关部门协调,并寻求老挝计算机应急响应小组建议。 |
10 | 数据保留义务 | 数据控制者可在必要范围内保留数据,但在目的终止或保留期限届满后应予以删除。 |
数据主体权利与保护
老挝数据保护法律体系下的数据主体权利详见下表:
数据主体权利 |
1. 知情权 数据控制者应告知收集的数据的目的、数据主体的权利等。 2. 访问权 数据主体具有访问个人数据的权利,数据控制者应规定数据主体访问数据的安全标准。 3. 更正权 数据主体具有要求更正个人数据的权利。 4. 通知权 数据主体具有通知数据控制者与相关部门数据损坏或存在风险的权利。 5. 删除权 数据主体具有要求删除个人数据的权利。 6. 反对权 数据主体有权要求数据控制者停止处理其个人数据。 7. 投诉权 数据主体有权在未从电子数据保护中受益时向相关部门投诉。 |
数据传输
法律要求 | 具体内容 |
一般传输要求 | 1. 取得数据主体同意; 2. 数据接收方具有保护传输的数据的能力; 3. 对重要信息进行加密,如财会数据; 4. 不伪造传输数据的来源; 5. 数据控制者与数据接收方遵守签署的协议; 6. 数据接收方拒绝则立即停止传输。 |
法律责任承担
数据控制者违法违规处理个人数据,需要承担法律责任,主要包括以下方面:
民事责任:
赔偿给数据主体造成的损害。
行政责任:
警告和再教育;
将处以 1500 万老挝基普的罚款。
刑事责任:
非法访问计算机系统:
任何人在具有特殊保护系统的计算机系统中使用电子工具,意图非法获取有关商业、金融或个人私人信息、法人、组织数据,处以三个月至一年不等的监禁,并处以 200万基普至 500万基普不等的罚款。
非法截取计算机数据:
任何人在未经许可的情况下,以电子方式截取数据,处以三个月至三年不等的监禁,并处以 400万基普至2000万基普不等的罚款。
干扰计算机系统:
任何人使用计算机程序、病毒或其他工具,阻碍或破坏计算机操作系统,通过隐藏数据传输器的地址或来源来传输计算机数据或电子信息,以干扰操作系统,处以一年至五年的监禁,并处以500万基普至 3000万基普不等的罚款。
以上为我们对老挝数据合规的重点解读,虽然老挝颁布了《电子数据保护法》以及《电子数据保护法实施指南》,但与东南亚其他具有数据保护单独立法国家相比,其对于数据处理行为规范以及监管规定不够全面,但不排除为实现数字化转型,后续出台更为细致的条款,以及技术和通信部加强监管态势,出海老挝企业需持续关注。