亚洲数据隐私法比较：泰国

在亚洲，充分了解数据隐私框架至关重要。然而，虽然该地区的法律有着相似的内容，但由于隐私合规文化相对较新，而且各司法管辖区的做法各不相同，因此仍然存在差距。在此，专家们将详细介绍菲律宾、泰国和印度尼西亚如何建立其管理个人数据的法律框架。

导航

2019年，泰国颁布了《个人数据保护法》(PDPA)，旨在保护自然人的个人数据免遭未经授权或非法收集、使用或披露。PDPA于2019年5月27日生效，但新冠肺炎疫情导致泰国政府将执行日期推迟至2021年5月31日。然而，最低安全标准已经适用：数据控制人必须向其员工和相关方告知个人数据保护的重要性，并且必须采取一定的行政、技术和物理保护措施。

数据主管部门

PDPA设立了个人数据保护委员会(PDPC)，该委员会下设一个专家委员会和一个小组委员会。根据该法第16条，委员会的职责包括：

(1) 确定个人数据保护的措施或程序；

(2) 发布通知或规定；

(3) 公布保护程序的标准和转移到国外的数据的保护标准；以及

(4) 编制支持和保护个人数据的总体规划。

PDPA还设立了PDPC办公室，其是一个国家机构，还是保护个人数据的学术服务中心，同时还设立了一个监督委员会。

PDPA的许多规定包括在次级条例中，这些次级条例仍有待PDPC宣布和实施。2021年2月，监管机构就次级条例草案举行了一次公开听证会，计划在2021年6月前推出以下次级条例：

1. 1. 获得同意的标准和方法；
   2. 处理个人数据的通知；
   3. 处理敏感个人数据的适当数据保护方法；
   4. 向海外转移数据的标准和保护措施；
   5. 个人数据活动记录、数据主体请求方法和个人数据泄露报告；
   6. 数据处理的安全措施；
   7. 数据保护官员；以及
   8. 投诉和行政执法程序。

豁免行业和机构

PDPA对泰国的数据控制人或数据处理人收集、使用和披露个人数据进行监管。然而，PDPA不适用于下列情况：

(1) 收集数据的人仅为其个人利益或家庭活动收集这些数据。

(2) 公共部门的运作；

(3) 仅为大众媒体、美术或文学活动而收集的数据；

(4) 根据议会或议会委员会的职责和权力收集的数据；

(5) 法院的审判和裁决，以及官员在法律诉讼中的工作；

(6) 信贷机构公司及其成员收集的数据；以及

(7) 死者的数据。

某些行业，例如信贷和医疗保健公司，需要遵守其他特定的法律和附属法规。

个人数据

根据PDPA第6条，个人数据是指与可识别的个人直接或间接相关的任何信息，但不包括死者。

个人数据分为两类：一般个人数据（第24条）和敏感数据（第26条）。收集一般数据需要数据主体的同意。个人数据包括数据主体的地址、电子邮件地址、电话号码、信用卡信息等。

PDPA对敏感的个人数据有更严格的规定。根据PDPA第26条和第27条，未经数据主体的明确同意（在明确的声明中予以确认，而非从行动中推断出的同意），禁止对敏感个人数据进行任何处理。如果有处理数据的合法依据，如重大利益、公共数据、法律申索和法律义务，则关于同意的规定也有例外。

数据控制人和处理人

PDPA对控制个人数据的人和提供个人数据处理服务的人进行了区分。

根据PDPA第6条：

. 数据控制人是有权决定收集、使用或披露个人数据的自然人或法人；以及

. 数据处理人是根据数据控制人发出或代表数据控制人发出的命令，在收集、使用或披露个人数据方面进行操作的自然人或法人。

PDPA第37条规定了数据控制人的职责，包括安排安全措施和核查程序，以及向PDPC办公室通报与个人数据有关的任何违规行为。

PDPA第37条规定，数据控制人必须提供并保持适当的安全措施，以防止个人数据在未经授权或非法的情况下丢失、获取、使用、更改、更正或披露。

PDPA第40条规定了数据处理人的职责，包括安排安全措施，向数据控制人通报与个人数据有关的任何违规行为，以及编制和维护日志。

大多数在经营过程中收集个人数据的公司将被视为控制人或处理人，必须遵守PDPA。如果数据控制人或数据处理人在泰国境外，PDPA适用于收集、使用或披露在泰国境内主体的个人数据，其中数据控制人或数据处理人的活动包括：(1)向在泰国的数据主体提供货物或服务，无论款项是否由数据主体支付；(2)监测数据主体在泰国境内的行为。

数据收集

根据PDPA第21条，个人数据的收集、使用或披露不得以与先前通知数据主体目的不同的方式进行，除非数据主体已被告知新的目的，并且在收集、使用或披露之前已获得其同意。

根据PDPA第23条，数据控制人必须在收集个人数据之前或之时向数据主体通报以下情况：

1. 1. 收集个人数据的目的；
   2. 个人数据的储存期；
   3. 数据控制人的身份（联系方式）；
   4. 数据主体披露其个人数据的原因；
   5. 个人数据潜在接收人的身份证明；
   6. 需要收集的信息；
   7. 数据主体的权利；以及
   8. 不提供信息的影响。

第39条规定，数据控制人必须保存以下记录：

1. 1. 收集的个人数据；
   2. 收集个人数据的目的；
   3. 数据控制人的详细信息；
   4. 个人数据的保存期限；
   5. 查阅个人数据的权利和方法；
   6. 使用或披露无需遵守同意规定的个人数据；
   7. 拒绝请求或反对；以及
   8. 解释防止个人数据外泄的适当安全措施。

根据PDPA第30条，数据主体有权要求查阅和获得由数据控制人负责的与其相关的个人数据副本。根据PDPA第35条，数据控制人必须确保个人数据准确、同步更新、完整以及无误导。

法律依据

根据PDPA第20条，如果未成年人的同意行为不属于《民事和商业法》第22-24条规定的未成年人有权单独做出的行为，则需要得到对未成年人负有家长责任的人的同意。如果未成年人不满10周岁，也需要这种同意。

根据PDPA第24条和第27条，未经数据主体同意，数据控制人不得处理个人数据，除非基于以下理由有合法依据：研究、重大利益、合同、公共任务或政府权力、数据控制人的合法利益（与数据主体的权利相平衡）以及法律义务。

数据泄露

PDPA第37(4)条规定，数据控制人应在知悉任何个人数据泄露后72小时内通知PDPC办公室。

PDPA对违法行为的处罚包括刑事和民事处罚。刑事处罚包括最高一年的监禁和/或最高100万泰铢（32500美元）的罚款。

此外，如果违法行为是由公司董事或负责人的指示或不作为造成的，根据PDPA，他/她也可能受到同样的处罚。民事责任包括惩罚性赔偿，最高可达任何实际损失金额的两倍。还可以在集体诉讼中提出民事损害赔偿。此外，PDPC专家委员会有权对任何违法者处以最高500万泰铢（163417美元）的行政罚款。

结论

由于PDPA具有域外适用性，预计将对泰国境内外旨在收集和使用个人数据或监测该国自然人行为的企业产生重大影响。

作者：Weerawong Chinnavat & Partners律师事务所驻曼谷合伙人Veeranuch Thammavaranucupt、Thaya Uthayophas

WEERAWONG CHINNAVAT & PARTNERS

22nd Floor, Mercury Tower

540 Ploenchit RoadLumpini Pathumwan
Bangkok 10330,Thailand

电话: +662 264 8000

传真: +662 657 2222

 

www.weerawongcp.com