泰國《個人數據保護法》經兩次推遲后正式生效
文 | 信通院互聯網法律研究中心研究員 楊春白雪 信通院互聯網法律研究中心實習生 趙曼妤
2022年6月1日,泰國《個人數據保護法》(簡稱PDPA)經過兩次推遲后正式生效,成為泰國第一部綜合性數據保護立法。泰國PDPA最初于2019年5月27日在泰國皇家政府公報上公布,其正式生效時間受新冠疫情影響分別于2020年5月和2021年6月經歷了兩次推遲。從主要內容來看,泰國PDPA借鑒了歐盟《通用數據保護條例》(GDPR)的立法模式,共分為七章,涉及數據主體權利、數據處理者義務、跨境數據傳輸、濫用個人數據處罰等方面。從立法目的來看,泰國PDPA體現出泰國作為東盟經濟體在自由貿易方面的考量。
一、主要內容介紹
在參考歐盟GDPR的基礎上,泰國PDPA也呈現出聚焦本國個人數據保護現狀的差異化制度安排。
在概念界定方面,PDPA首先界定了個人數據的概念,涵蓋與個人相關聯的、可以直接或間接用于識別個人的所有數據,具體包括姓名、身份證號碼、地址、電話號碼、電子郵箱、財務明細、種族及宗教信息、性行為及性取向信息、犯罪記錄、健康證明等。PDPA并未明確界定敏感數據的內涵,但是要求數據處理者和控制者必須在數據主體的明確同意下收集、使用或者披露種族、性別、宗族、政黨和生物識別信息等敏感個人數據。值得注意的是,PDPA對個人數據的定義中沒有提及IP地址和cookie標識符,也未涉及匿名數據和假名數據等。
在適用范圍方面,PDPA規定的數據保護義務適用于在泰國本地或者為泰國居民收集、使用和披露個人數據的所有數據控制者與處理者。據此,PDPA既適用于在泰國設立的數據控制者和處理者,也適用于地處泰國境外但向泰國境內主體提供商品、服務或監控的數據控制者和處理者,在一定程度上明確了PDPA的域外適用效力。PDPA關于數據保護義務的適用范圍擴張旨在盡量涵蓋與泰國數據主體相關的所有處理活動,切實加強個人數據保護要求。此外,PDPA明確排除了對國家公共安全機構、司法機構等的適用,目前關于政府機構處理個人數據的法律規范尚未出臺,后續應該會提上立法進程。
在數據主體權利保護方面,PDPA與GDPR類似,明確規定了數據主體享有一系列權利,包括知情權、訪問權、糾正權、刪除權、更新權以及獲得匿名化數據的權利等。PDPA要求數據控制者和處理者以有效的法律依據為前提處理個人數據,包括同意、履行合同、履行法律義務、基于公共利益、基于合法和重大利益、避免對數據主體造成生命危險等情形。PDPA還規定了數據主體具有請求匿名化個人數據的權利,但是匿名化數據的保護邊界尚不明晰,可能造成法律適用難題以及數據主體與數據控制者和處理者之間的利益失衡。
在數據控制者和處理者責任方面,PDPA和GDPR對于數據控制者和處理者在保障數據主體權利、任命數據保護官、數據泄露通知、保存記錄、安全措施等方面的責任要求范圍相似。對于數據保護官(DPO),GDPR中明確要求了DPO的獨立性,PDPA對此并未加以明確。為了防范數據泄漏事件,PDPA引入了GDPR中要求數據控制者和處理者實施適當的安全措施,在發生個人數據泄露后的72小時內強制性履行泄露通知義務,及時通報監管當局和數據主體。
在數據跨境傳輸方面,數據控制者和處理者在未征得數據主體同意的情況下,不得將個人數據轉移至泰國境外,除非滿足相關法律要求或者屬于合同履行所必須。數據接收國應當采取與PDPA相匹配的數據保護標準,否則無法將個人數據轉移到泰國境外,除非滿足相關法律要求。與GDPR不同的是,PDPA沒有涉及遵守法院判決、國際司法合作協定的數據跨境傳輸問題。與此同時,PDPA支持多項自由貿易協定(FTA)關于數據隱私和安全保障的要求,這將為泰國在歐盟、東盟自由貿易中經濟的可持續發展提供機遇。
在處罰措施方面,PDPA和GDPR均賦予數據主體就數據控制者和處理者因違反該法而造成任何損害的賠償請求權,并且允許數據主體向有關監管機構或專家委員會提出投訴。PDPA對于濫用個人數據的行為引入了嚴格的處罰措施,涵蓋民事賠償、行政處罰與刑事處罰,包括從50萬泰銖到500萬泰銖的罰款以及懲罰性賠償,某些涉及敏感個人數據和非法披露的違規行為可能會受到高達一年的監禁。PDPA和GDPR在罰款力度上存在差異,PDPA明確規定賠償范圍限于數據主體為防止可能發生的損害而產生的費用或者已經造成的損失。
二、相關研判分析
從立法目的來看,泰國《個人數據保護法》不僅體現出泰國順應全球立法趨勢加強個人數據保護的決心,還彰顯了泰國作為東盟經濟體在促進經濟發展和自由貿易方面的目的考量。
首先,立法的基本目的在于保護泰國數據主體的個人數據免于非法收集、使用和共享,順應時代趨勢加強個人數據保護。泰國擁有超過79%的互聯網滲透率和高于76%的移動網滲透率,近年來國內數據泄露、網絡詐騙、釣魚網站等事件呈現高發態勢,引發嚴重后果。在PDPA出臺之前,泰國國內尚無規范個人數據保護的法律;PDPA的生效將彌補泰國國內個人數據保護規范的立法空白,為行政機關和司法機關提供裁量和懲罰依據,有效預防并切實打擊個人數據泄露事件的發生。
其次,PDPA有利于護航泰國互聯網經濟和電商行業的蓬勃發展。新冠疫情肆虐和疫情防控政策使得越來越多的消費者選擇網上購物,電商平臺的同期營商數據普遍上揚。泰國在線購物行業的年均收入已經成為東盟地區最高的國家之一,這對泰國個人數據安全保護提出了更高的要求。PDPA確立的制度框架可以為泰國電商生態的發展與成熟保駕護航,為電商基礎設施的完善提供法律保障,從而帶動包括技術支持、市場營銷、企業服務、支付工具等領域的蓬勃發展。PDPA大部分承繼GDPR的規定,對于已經進行數字化轉型、實施數據合規的企業可能不會造成過重的合規負擔。
最后,PDPA規范數據跨境傳輸助力跨境商貿自由化發展。泰國作為東盟經濟體的重要一員,在后疫情時代抓住經濟發展機遇、促進自由貿易方面具有雄心壯志。電子商務的蓬勃發展加強了企業間的溝通,也開拓了跨境電商布局海外的前景,其中不可避免地涉及到數據跨境傳輸。PDPA不僅承繼了GDPR在數據跨境傳輸的高要求,還體現出其基于泰國國情的特殊考量,比如支持多項自由貿易協定關于數據隱私的規定。泰國希望在個人數據保護方面向歐盟看齊,提升其在自由貿易談判中的吸引力和影響力,為跨境商貿自由化的未來探索新的可能性。
三、關于下一步工作
不可否認,PDPA的正式生效對泰國的中小企業提出了嚴峻挑戰。作為經濟發展的中堅力量,中小企業需要采取必要措施以確保數據處理活動遵守PDPA,包括審查內部政策、培訓員工、制定必要審核流程等。目前,泰國中小企業的基礎普遍薄弱,無法勝任迅速的數字化轉型,經濟實力也難以應對數據合規帶來的較高成本。泰國數字經濟與社會部(IMS)曾發布《關于個人數據安全標準(2020)的通知》,規定了個人數據安全措施的最低標準以及相關行政保障、技術保障和物理保障措施,用以提高泰國居民和企業對個人數據保護重要性的認識,支持中小企業開展數據合規活動。
PDPA生效后,為了確保數據保護措施充分實施,泰國數字經濟與社會部進一步制定了八項指南預案,涉及中小企業豁免、安全保障措施、投訴管理機制、執法處罰機制、專家委員會任命機制等。延長法律規范的生效時間、規定過渡時期保障措施、完善系列配套指南等做法符合發展中國家進行數據保護的現實國情,也體現出泰國通過落實配套措施,明確PDPA的執行進路,強化監管力度以保障數據安全的決心。
總體來說,GDPR的出臺推動全球數據治理進入新階段,東南亞國家紛紛效仿,開啟數據立法熱潮。泰國最新生效的PDPA大部分借鑒了GDPR的規范要求,符合GDPR標準的泰國跨境公司將不會違反PDPA,在一定程度上避免了數據合規標準不一的問題。與此同時,泰國作為發展中國家,數據保護雛形正在構建,在實踐中可能難以與歐盟國家高水平的數據保護要求保持一致。PDPA規范中彰顯的本地數據保護特色不足,可能導致泰國數據保護規范在本國實施過程中出現法律制度與社會現實間的差異,發展中國家如何制定符合本國國情的數據保護制度值得深入關注與探討。
(來源:信通院互聯網法律研究中心)
