据人民日报报道,柬埔寨于2021年发布了《数字经济和数字社会政策框架(2021—2035)》,包含139项具体措施,并提出了五大发展目标:发展数字基础设施、建立数字信任和信心、培养数字公民、建设数字政府以及促进数字商业。近年来,柬埔寨非常重视数字经济发展,颁布了《电子商务法》,并将外国电商企业纳入简化增值税登记机制。但据柬中时报消息,柬埔寨仍存在数字经济基础设施落后、缺乏ICT(资讯和通讯技术)人才、公共和私人领域对数字技术普及应用不足、网络费用缓慢和高昂等障碍。据亚太时报报道,柬埔寨正在研究起草《数据安全法》,但可能需要花费至少5年的时间,可见柬埔寨数字经济发展水平与数据保护法律体系稍显不足。
01
数据保护法律体系概况
柬埔寨暂未出台数据保护专门性立法,但关于个人信息保护的内容可见于其他法律规定之中,如:《网络犯罪法草案》,规定了打击网络犯罪和利用计算机系统实施的各种犯罪行为,包含具体的网络犯罪处罚条款;《电子商务法》,规定了预防和打击危害数据与信息系统的行为以及对在线交易服务提供者提出了基本的数据保护要求;《宪法》,规定了公民享有居住隐私权以及通过邮件、电报、传真、电传和电话进行通信的保密权;《民法典》,规定了个人享有包括隐私权在内的人身权利,有权要求禁止侵害行为;《刑法》,规定了与信息技术有关的犯罪的处罚,包括未经授权访问自动数据处理系统以及妨碍自动数据处理系统的运作等。柬埔寨暂未设立单独个人数据保护机构以监管数据处理活动,但商务部、邮电部以及内政部有权处理个人信息保护相关事项。因数据保护规定主要集中在《网络犯罪法草案》以及《电子商务法》,因此本文主要在该两法以及结合其他相关法律规定基础上解读数据合规要求。
02
适用范围
因柬埔寨暂未出台数据保护单独立法,任何在柬埔寨收集、使用或披露个人数据的自然人或实体受涉及数据保护的相关法律的约束。
对于是否具有域外适用情形,可参见下表:
03
处理合法性基础
可以对标《个人信息保护法》第13条,参照《电子商务法》以及《民法典》,对柬埔寨数据处理合法性基础进行交叉理解。
04
数据控制者义务
柬埔寨法律规定了数据控制者的某些义务,具体如下:
05
柬埔寨数据保护法律体系下的数据主体权利详见下表:
06
跨境传输
07
法律责任承担
以上为我们对柬埔寨数据合规的重点解读,因目前柬埔寨的数据保护法律体系尚处于萌芽时期,出海柬埔寨企业面临的数据合规监管相对较宽松,但仍需要注意散见于其他法律的数据保护相应规定,避免可能出现的合规风险。