老挝正在进行数字化转型,信息和通信技术产业快速发展,老挝政府制定了2030年信息和通信技术产业发展愿景、信息和通信技术产业发展战略等一系列规划和政策,并在2015年出台了《打击和预防网络犯罪法》,2017年出台了《信息通信技术法》以及《电子数据保护法》等法律法规。但据世界银行消息,与其他可比区域经济体相比,老挝在互联网服务的可访问性、质量和可负担性等方面都明显落后,如互联网价格较高、大容量数据传输所需的固定宽带尤其受到限制等。
一、数据保护法律体系概况
老挝的数据保护立法主要为《电子数据保护法》和《打击和预防网络犯罪法》。其中《电子数据保护法》规范了收集、处理个人数据行为,《打击和预防网络犯罪法》,规定了打击、预防、遏制网络犯罪行为,以及保护数据库系统、服务器系统、计算机信息和数据。此外,老挝技术和通信部针对以上两法颁布了实施指南,阐述了某些条款的详细信息。
除此之外,数据保护相关内容散见于其他法律规定之中,如:《电子交易法》,规定了服务供应商应保护数据的完整性、可靠性和安全性以及用户个人信息的隐私和机密性;《网络犯罪处罚决定》,规定了对未经许可删除计算机数据等行为的处罚条款;《刑法典》,规定了涉及计算机系统和数据的犯罪行为以及刑罚条款。
老挝暂未设立专门监管数据处理行为的机构,技术和通信部负责监管数据处理行为以及发布与数据保护相关的指南,除此之外,老挝计算机应急响应小组也将提供协助。
二、适用范围
三、处理合法性基础
在老挝,数据主体同意是唯一的数据处理合法性基础,与之相较,中国的数据处理合法性基础较为多样。
四、数据控制者义务
《电子数据保护法》等规定了数据控制者的多项义务,具体如下:
五、数据主体权利与保护
老挝数据保护法律体系下的数据主体权利详见下表:
六、数据传输
七、法律责任承担
数据控制者违法违规处理个人数据,需要承担法律责任,主要包括以下方面:
1. 民事责任:
赔偿给数据主体造成的损害。
2. 行政责任:
(1) 警告和再教育;
(2) 将处以 1500 万老挝基普的罚款。
3. 刑事责任:
(1) 非法访问计算机系统:
任何人在具有特殊保护系统的计算机系统中使用电子工具,意图非法获取有关商业、金融或个人私人信息、法人、组织数据,处以三个月至一年不等的监禁,并处以 200万基普至 500万基普不等的罚款。
(2) 非法截取计算机数据:
任何人在未经许可的情况下,以电子方式截取数据,处以三个月至三年不等的监禁,并处以 400万基普至2000万基普不等的罚款。
(3) 干扰计算机系统:
任何人使用计算机程序、病毒或其他工具,阻碍或破坏计算机操作系统,通过隐藏数据传输器的地址或来源来传输计算机数据或电子信息,以干扰操作系统,处以一年至五年的监禁,并处以500万基普至 3000万基普不等的罚款。
以上为我们对老挝数据合规的重点解读,虽然老挝颁布了《电子数据保护法》以及《电子数据保护法实施指南》,但与东南亚其他具有数据保护单独立法国家相比,其对于数据处理行为规范以及监管规定不够全面,但不排除为实现数字化转型,后续出台更为细致的条款,以及技术和通信部加强监管态势,出海老挝企业需持续关注。