数据是信息时代的石油。尽管社会经济和政治环境复杂多变,但在加强个人数据保护方面,很多亚洲管辖区正在大步迈进。
泰国颁布了 2019 年个人数据保护法 (PDPA),以保护自然人的个人数据免受未经授权或非法的收集、使用或披露。该法于 2019 年 5 月 27 日生效,但其全面执行已被推迟两次,最近一次推迟到 2022 年 6 月 1 日。
数据保护主管机关
PDPA 规定成立个人数据保护委员会 (PDPC),负责下列事务:
- 确定保护个人数据的措施或程序;
- 发布通知或法规;
- 公布数据保护程序和向海外传输数据的保护标准;和
- 制定支持和保护个人数据的总体计划。
PDPC 还有权设立下属委员会以审议或执行任何行动,并规定在其下设立专家委员会来调查和审议投诉,解决与个人数据有关的争议。
最后,PDPA 规定设立 PDPC 办公室和监督委员会。该办公室为 PDPC、其委员会和监督委员会执行学术和行政任务。该办公室还有权审查和认证国际数据传输政策。
材料、地域范围
合伙人
曼谷Weerawong Chinnavat & Partners
电话: +66 2264 8000 (ext. 8116)
电邮: chumpicha.v@weerawongcp.com
PDPA 规范泰国的数据控制者或数据处理者对个人数据的收集、使用和披露行为(统称为“处理数据行为”),无论数据处理行为是否发生在该国。
如果数据控制者或数据处理者位于泰国境外,则 PDPA 适用于其在泰国处理数据的行为。其中数据控制者或数据处理者的活动涉及:(1)向泰国境内的数据主体提供商品或服务,无论数据主体是否支付任何款项; (2) 监测数据主体在泰国的行为。但是,PDPA 不适用于:
- 仅为个人利益或家庭活动而收集的数据;
- 有关公共当局运作的数据;
- 仅为与大众媒体、美术或文学有关的活动收集的数据;
- 属于议会或议会委员会职责和权力的数据;
- 有关法院审判和裁决的数据,以及法律诉讼中官员的工作情况;和
- 信用局公司及其成员收集的数据。
数据的收集、使用和披露
PDPA 将个人数据定义为与可识别的个人直接或间接相关的任何信息,但不包括有关已故人士的信息。
有两种类型的个人数据:一般个人数据和敏感数据。一般个人数据包括敏感数据以外任何类型的个人数据。敏感数据包括PDPC规定的有关种族、民族、政治观点、宗教或哲学信仰、性行为、犯罪记录、残疾的数据,以及工会信息、健康数据、遗传数据、生物特征数据和可能对数据主体造成类似影响的任何其他信息。
除非有法律依据允许,否则处理个人数据需要数据主体的明确同意。但是,未经同意处理个人数据的合法依据包括:研究;切身利益;合同;为公共利益或在官方授权下执行的任务;数据控制者的合法利益(与数据主体的权利相平衡);合法的非营利活动;公共数据;法律索赔;法律义务。
国际数据传输
根据 PDPA,仅在少数情况下才允许个人数据的国际传输,包括:(1) 传输到由 PDPC 确定的具有完善数据保护标准的目的地国家;(2) 传输是基于经 PDPC 办公室审查和批准的集团数据保护政策;(3) 特定例外情况,包括传输是为了遵守法律或已获得同意的情况下,前提是数据主体已被告知目的地国家的数据保护标准不完善。
数据控制者和处理者
律师
曼谷Weerawong Chinnavat & Partners
电话: +62 2264 8000 (ext. 8070)
电邮: thaya.u@weerawongcp.com
PDPA 对数据控制者和处理者作出区分:前者有权对数据处理行为做出决定,后者根据前者或其代表下达的命令进行数据处理。
数据控制者必须实施安全措施和验证程序,并向 PDPC 办公室提供任何违规通知。PDPA 要求数据控制者采取适当措施,防止个人数据未经授权或非法丢失、访问、使用、更改、更正或披露。数据控制者必须与数据处理者签订协议,以确保遵守 PDPA。
数据处理者负责实施安全措施,通知数据控制者任何违规行为,并准备和维护日志。
透明度和问责制
透明度是 PDPA 下的一项关键原则,数据控制者必须在数据收集之前或之时告知数据主体以下内容:
- 收集的目的,包括其法律依据;
- 不提供信息的影响;
- 待收集的数据和存储期限;
- 可能获得个人数据的个人或实体的类别;
- 数据控制者和控制者代表或数据保护官(视情况而定)的联系信息、地址和联系方式;和
- 数据主体的权利。
此外,数据处理行为必须按照先前通知数据主体的目的进行,除非数据主体已被告知新的目的并已获得其事先同意。
对于 PDPA 下的问责制,数据控制者还必须保留以下记录,并提供给数据主体和 PDPC 办公室检查:
- 收集的个人数据;
- 收集的目的;
- 数据控制者的详细信息;
- 个人数据的保留期限;
- 访问个人数据的权利和方法;
- 无须获取同意的个人数据的使用或披露;
- 拒绝请求或反对; 和
- 说明防止数据泄露的适当安全措施。
数据泄露通知
PDPA 要求数据控制者在发现任何个人数据泄露事件后 72 小时内通知 PDPC 办公室,除非该泄露事件不太可能损害数据主体的权利和自由。如果泄露事件对数据主体的权利和自由构成高风险,数据控制者必须立即通知数据主体并采取补救措施。
数据主体的权利
数据主体对数据控制者享有权利,包括要求访问和获取其个人数据副本、数据可迁移性、反对处理、被遗忘、限制使用个人数据以及修改他们的数据以确保准确性等权利。
处罚
对不遵守 PDPA 的处罚包括刑事、行政和民事处罚。刑事处罚包括最高一年的监禁和/或最高 100 万泰铢(29,250 美元)的罚款。如果违规是由公司负责人的指示或疏忽造成,该人也可能受到同样的处罚。民事责任包括最高为实际损失金额两倍的惩罚性赔偿,民事赔偿可通过集体诉讼提出。PDPC 有权就一般数据处以最高300万泰铢的行政罚款,就敏感数据处以 500 万泰铢的行政罚款。
附属条例
PDPC已经就三个附属条例草案举行公开听证会,目前正在就以下事项对三个草案进行审议:
- 获得数据主体同意的标准和方法;
- 个人数据的处理;
- 对敏感个人数据采取适当的数据保护方法;
- 向海外传输数据的标准和保护措施;
- 活动记录、数据主体请求的方法和泄露报告;
- 数据保护官员;
- 任命外国代表;
- 特别规定的行业例外情况;
- 与数据主体权利有关的义务;
- 数据处理者的职责;
- 行为准则;
- 数据保护影响评估和自动化决策; 和
- 个人数据保护标准和认证。
WEERAWONG CHINNAVAT & PARTNERS
22/F, Mercury Tower, 540 Ploenchit Road, Lumpini
Pathumwan, Bangkok 10330, Thailand
电话: +662 264 8215
www.weerawongcp.com
