官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
- 关注
根据由谷歌、淡马锡和贝恩公司联合发布的《2021东南亚互联网经济年度报告》,自2020年疫情开始至2021年上半年,泰国新增900万数字消费者。
2021年9月1日起,当非泰国居民电子服务提供商和电子平台,通过向泰国非增值税注册客户提供电子服务所取得的收入超过180万泰铢/年时,泰国政府将对该等服务提供商或平台征收7%的增值税。由此可见,在全球疫情常态化背景下,泰国也与诸多东南亚国家一样,正在进行数字化转型。
除此之外,泰国拟重启与欧盟的自贸协定谈判,泰国除需满足欧盟对环境、知识产权方面的要求外,还需满足GDPR的要求。在内部消费转型与外部要求双重驱动下,泰国颁布单独立法规范个人数据的处理行为。本文将简述泰国数据保护法律体系。
数据保护法律体系概况
泰国首部《个人数据保护法》(Personal Data Protection Act,以下简称“PDPA”)于2022年6月1日生效,该法为关于个人数据收集、使用、披露等的综合性立法,且就违法违规处理个人数据的民事责任、刑事责任以及行政责任作出明确规定。近日,泰国政府公报发布了针对PDPA的二级立法,包括《个人数据控制者安全措施》、《个人数据处理者个人数据处理活动记录的准备和保存标准和方法》、《免除小型企业数据控制者记录》以及《专家委员会发布行政罚款和命令的标准》。泰国个人数据保护委员会(Personal Data Protection Committee,以下简称“PDPC”)负责后续法律的实施。
适用范围
适用范围 | 具体内容 |
适用情形 | 1. 泰国境内实体 PDPA适用于泰国境内的数据控制者/处理者收集、使用和/或披露个人数据,无论个人数据的收集、使用和/或披露行为是否发生在泰国境内。 2. 泰国境外实体 以下两种情况下,域外实体收集、使用和/或披露在泰国的数据主体的个人数据适用于PDPA: (1) 与提供商品或服务有关,无论付款是否由数据主体支付; (2) 监控数据主体发生在泰国的行为。 |
不适用情形 | 1. 仅出于个人利益或家庭活动; 2. 负责维护国家安全; 3. 仅出于基于职业道德或公共利益的大众传媒、美术或文学活动而使用或披露收集的个人数据的个人或法人; 4. 众议院、参议院和议会,在其职责和权力下收集、使用和/或披露个人数据; 5. 法院的审判以及官员在诉讼、法律执行、财产保管中的工作活动; 6. 征信机构及其成员根据征信机构业务经营管理法律进行的数据经营活动。 |
处理合法性基础
可以对标《个人信息保护法》第13条对泰国数据处理合法性基础进行理解。
中国 | 泰国 |
1. 取得个人的同意; 2. 为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需; 3. 为履行法定职责或者法定义务所必需; 4. 为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需; 5. 为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息; 6. 依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息; 7. 法律、行政法规规定的其他情形。 | 1. 取得个人的同意; 2. 为实现为公共利益准备历史文件或档案有关的目的,或为与研究或统计有关的目的; 3. 预防或抑制对自然人的生命、身体或健康的危险; 4. 对履行与数据主体签订的合同是必要的,或为了在签订合同之前应数据主体的要求采取措施; 5. 符合公众利益或行使授予的官方权力; 6. 数据控制者、其他自然人或实体的合法利益,除非此类利益被数据主体关于个人数据的基本权利所凌驾; 7. 对数据控制者遵守法律是必要的。 |
数据控制者义务
序号 | 义务 | 具体内容 |
1 | 目的限制义务 | 数据控制者收集个人数据应限制在与其合法目的相关的必要范围内。 |
2 | 通知义务 | 数据控制者应在处理个人数据之前告知处理的目的、保留期限等信息。 |
3 | 保留限制义务 | 数据控制者应告知数据主体个人数据的保留期限。如果无法指定此类保留期限,则需要指定数据保留标准所依据的预期数据保留期限。 |
4 | 保护义务 | 数据控制者应提供适当的安全措施以防止未经授权的或个人数据的非法丢失、访问、使用、更改或披露等。 |
5 | 准确性义务 | 数据控制者应确保个人数据准确、最新、完整以及不具有误导性。 |
6 | 数据处理记录义务 | 数据控制者应保留个人数据处理活动的记录,以供数据主体和PDPC检查,记录可以是书面或电子形式。 |
7 | 数据跨境转移限制义务 | 数据接收方应具有足够的数据保护标准,并应执行PDPC规定的个人数据保护规则。 |
8 | 数据泄漏通知义务 | 数据控制者必须立即通知PDPC个人数据泄露事件,并在可行的情况下,在知道该事件后的72小时内通知。如果个人数据泄露可能对个人的权利和自由造成高风险,数据控制者应及时将泄露事件和补救措施通知数据主体。 |
9 | 数据保护官任命义务 | 数据控制者在满足法定条件时应指定数据保护官。 |
10 | 儿童保护义务 | 对于不满十周岁的未成年人,数据控制者应当征得对儿童负有父母责任的人的同意。 |
数据主体权利与保护
泰国数据保护法律体系下的数据主体权利与我国相似,包括知情权、访问权、数据可移植权、反对权、删除权等,详见下表:
数据主体权利 |
1. 知情权 数据控制者具有告知数据使用目的、数据保留期限、对外披露主体分类等信息。 2. 访问权 数据控制者应响应数据主体的访问以及获取个人信息副本请求,特殊情况除外。数据控制者应记录拒绝理由。 3. 数据可移植权 数据控制者应响应数据主体要求,通过自动化工具或设备读取个人数据,或以常用的格式接收其个人数据,或向其他数据控制者发送或传输个人数据,但特殊情况除外。 4. 反对权 数据控制者应响应数据主体反对对其个人数据的收集、使用和/或披露的要求,但特殊情况除外,数据控制者应记录拒绝理由。 5. 删除权 数据主体在法定情况下可以要求删除、销毁或匿名化其个人数据。特殊情况下,数据控制者有权拒绝。 6. 限制使用权 数据主体在法定情况下可以要求数据控制者限制使用其个人数据,若数据控制者未予以响应,数据主体可以向PDPC投诉。 7. 整改权 数据控制者应确保个人数据准确、最新、完整以及不具有误导性。 |
跨境传输
根据PDPA,若组织跨境转移个人数据,接收方所在的国家或国际组织应具有足够的数据保护标准,并应按照PDPC颁布的标准或规定执行,但以下情况除外:
法律要求 | 注意事项 |
1. 为遵守法律规定; 2. 已征得数据主体同意,但须告知目的地国家或国际组织的个人数据保护标准不足; 3. 为履行数据主体为一方的合同所必需的,或为在签订合同前应数据主体的请求采取措施; 4. 为维护数据主体的利益,遵守数据控制者与其他人或法人之间的合同; 5. 为防止或者抑制对数据主体或者其他人的生命、身体或者健康的危险,在数据主体不能及时给予同意的情况下; 6. 为开展涉及重大公共利益的活动所必需的。 | 若目的地国家或国际组织的个人数据保护标准的充分性存在问题,应提交PDPC决定。 |
1. 制定个人数据保护政策(与具有约束力的公司规则“Binding Corporate Rules”,概念相近)。 | 1. 适用于关联公司间的跨境传输; 2. 个人数据保护政策需要经过PDPC审查和认证。 |
法律责任承担
数据控制者违法违规处理个人数据,需要承担民事、刑事或者行政责任,具体如下:
责任类型 | 具体内容 |
民事责任 | 1. 可要求惩罚性赔偿,但不得超过实际赔偿金额的2倍; 2. 考量因素: (1) 数据主体受到损害的严重程度; (2) 组织获得的利益等; (3) 组织的财务状况; (4) 组织提供的补救措施; (5) 数据主体促成损害的行为。 |
刑事责任 | 1. 最高监禁:1年;最高罚款:一百万泰铢;或两者兼之; 2. 责任主体可能包括高管或其他负责人员。 |
行政责任 | 1. 最高罚款:五百万泰铢; 2. 考量因素: (1) 违法行为的情节轻重; (2) 组织的业务规模; (3) PDPC制定的规则规定的其他情况。 |
以上为我们对泰国数据合规的重点解读,希望能为出海泰国的企业提供参考,下期我们将推出马来西亚数据合规解读文章,欢迎各位持续关注。
- 0 文章数
- 0 关注者