引入
2024
随着全球信息化进程加速,个人数据安全问题日益凸显。截至目前,全球已有132个国家(地区)实施了数据保护和隐私法,其中欧盟的GDPR尤为引人瞩目。在此背景下,泰国也积极响应,于2019年5月27日推出了与GDPR内容相契合的《个人数据保护法》(PDPA)。本文将为您解答关于泰国数据保护与隐私法的相关问题。
问
泰国数据保护的立法框架是怎么样的?
答
泰国有专门的数据保护法 ;《个人数据保护法案》BE 2562 (2019) (PDPA)于 2019 年 5 月 27 日在泰国皇家政府公报上公布,并于 2022 年 6 月 1 日全面生效并可执行。
《PDPA》旨在保障个人及个人资料,并规定企业在收集、使用及披露个人资料时应负的责任。PDPA 主要基于欧盟通用数据保护 条例(GDPR),因此两者之间存在一些相似之处。例如,关于处理的法律依据,两个文本都有类似的规定,两者都将同意、履行合同、法律义务、合法利益或切身利益列为法律依据。
此外,PDPA 反映了 GDPR 的域外适用性,适用于泰国以外的数据控制者和数据处理者,如果他们处理泰国数据主体的个人数据,并向数据主体提供商品和服务,或监控数据主体的行为。此外,这两个法律都赋予了数据主体若干权利,包括删除权、知情权、异议权、数据可携带权、纠正权、限制处理权和访问(查阅)权。
问
泰国哪个政府部门负责监督数据保护法?
答
在泰国,负责监督和执行数据保护法的机构是个人数据保护委员会(PDPC)。
问
违反泰国数据保护法是否会导致行政制裁或命令,或刑事处罚?如何处理此类违规行为?
答
违反数据保护法会导致以下民事、刑事和行政责任处罚。
1、民事责任处罚
根据 PDPA,数据控制者或数据处理者,其操作违反了个人数据保护 ,或未能遵守 PDPA 的规定,应当赔偿数据主体的这些损害,无论此类违规行为是故意的还是疏忽的,除非数据控制者或数据处理者能够证明此类违规行为是由于以下两点:
• 不可抗力,或者数据主体的作为或不作为;
• 遵从政府官员依法行使其职责和权力的命令而采取的行动。
上述赔偿包括数据主体为防止可能发生的损害或为抑制已发生的伤害而花费的一切必要费用。
此外,管辖法院有权命令数据控制者或数据处理者除上述实际赔偿外,在法院认为适当的情况下,支付惩罚性赔偿。但是,这种惩罚性赔偿不得超过实际赔偿金额的两倍。
2、刑事责任处罚
根据《PDPA》,第26-28 节规定的不遵守规定的最高处罚是由专家委员会开出的不超过100 万泰铢的罚款。根据违反《PDPA》第 26-28 条的情况,处罚也可能是不超过一年的监禁。
3、行政责任处罚
根据《PDPA》,违反法律的数据控制者或数据处理者可能面临最高 500 万泰铢的行政罚款。
此外,《个人数据保护委员会关于专家委员会行政处罚指导方针的通知》规定了两个级别的违法行为分类:
• 非严重级别:违反此级别 PDPA 的个人信息(PI)所有者或 PI 处理者将受到警告或命令其在规定时间内停止任何非法行为的处罚。
• 严重级别:不符合专家委员会命令或违反该级别 PDPA 的 PI 所有者或 PI 处理者将受到 PDPA 规定的行政罚款的处罚。
上述通知中没有对违规的严重程度进行定义。严重程度的确定必须由专家委员会主要根据这方面的违规结果和影响来确定。
问
泰国数据保护法是否涵盖所有行业和类型的组织?哪些活动领域超出了其保护范围?
答
个人资料保护法案 BE 2562 (2019) (PDPA)应排除其对以下组织和活动的适用:
• 个人信息(PI)的处理,其收集 PI 仅用于个人利益或作为家庭/家庭活动(例如父母收集其子女的个人信息以创建遗嘱);
• 有责任维护国家安全的公共当局的运作,包括国家的金融安全或公共安全,包括有关预防和打击洗钱、法医科学或网络安全的责任;
• 法院的审判和裁决以及官员在法律诉讼、法律执行和财产保管中的工作操作,包括刑事司法程序的工作操作;
• 泰国议会,包括由议会任命的个人资料保护委员会,在其职责范围内收集、使用或披露个人资料;
• 根据管理征信机构业务职能的法律,征信机构公司及其成员所承担的数据操作;
• 某些处理情况,包括个人或法人仅在符合职业道德或公共利益的大众媒体、美术或文学活动中使用或披露所收集的个人数据。
问
泰国数据保护法是否涵盖截取通信、电子营销或对个人的监控和监视?
答
PDPA 涵盖了通讯拦截、电子营销以及个人监控。
问
PDPA涵盖哪些类别和类型的PI(个人信息)?
答
所有PI,无论是任何形式(书面、电子或照片等),都受PDPA 的保护。此外,《PDPA》将“个人资料”定义为能够直接或间接识别该人的任何与该人有关的资料;然而,这并不包括死者的信息。
问
该法律的适用范围是否仅限于在企业的司法管辖区内实际建立或经营的 PI 所有者和处理者,或者该法律是否具有域外效力?
答
PDPA 适用于在泰国收集、使用或披露数据主体的 PI,无论 PI 的收集、使用或披露是否发生在泰国。关于域外范围,PDPA 适用于泰国以外的 PI 所有者和 PI 处理者,其PI的收集、使用或披露涉及泰国的数据主体。域外覆盖适用于向泰国数据主体提供商品或服务的相关活动,无论是否需要付款或数据主体的行为在泰国是否受到监控。
问
法律是否规定 PI 的处理必须在特定的理由下合法化,例如为了履行所有者的法律义务,或者个人已经同意?
答
个人数据保护法BE 2562 (2019) (PDPA)规定,个人信息(PI)所有者(控制者)不得收集、使用或披露 PI,除非:
• 数据主体已事先同意;
• 履行合同需要处理时;
• 有必要遵守 PI 拥有人须遵守的法律;
• 是为了抑制对数据主体生命的危险;
• 是为了数据控制者履行出于公共利益而执行的任务;
• 是为了实现与公共利益研究和统计相关的目的;
• 它是为了 PI 拥有人的合法利益,而该等利益并不凌驾于资料主体的合法利益。
问
法律是否对处理特定类别和类型的 PI 有更严格的规定?
答
《PDPA》第 26 条要求明确同意收集关于种族、族裔血统、政治观点、文化、宗教或哲学信仰、性行为、犯罪记录、健康数据、残疾、工会信息、遗传信息、生物特征数据或任何可能以同样方式影响数据主体的数据(敏感数据)的 PI。此外,个人资料保障委员会将发布有关敏感资料的补充条例,并可能进一步规定有关处理敏感资料的更多要求。
问
泰国PDPA是否限制可以持有的 PI (个人信息)值或 PI 值可以持有的时间长度?
答
PDPA 不限制 PI 的数量和 PI 可以保持的时间长度。此外,在收集 PI 时,PI 拥有人须在收集前或收集过程中
通知资料当事人保留个人资料。如果无法指定固定的保留期限,则必须提供预估的保留期限。
目前,泰国的PDPA仍有几个方面需要 PDPC 进一步澄清。例如,需要对跨境数据传输提供更明确的指导,特别是关于确定目的地国家充分数据保护的标准。此外,PDPC 尚未进一步澄清数据保护官的指定标准,包括他们的资格,或进一步澄清数据代表。PDPC 正在努力为 PDPA提供全面的指导和解释,这对于寻求在泰国遵守 PDPA 的企业至关重要。
注:本文所提供的法律解读仅供参考,来源于律意通过法律检索,整理了泰国数据合规律师专家的建议、并进行中文翻译及校对后的内容。然而,这些解读不应被视为正式的法律意见或建议。我司不对任何由于本文提供的信息或读者的理解差异而引起的任何后果承担责任。由于泰国法律动态的变化,本文涉及的法律问题的准确性和适用性可能会因特定情况的变化而发生改变。最后,未经我们公司明确授权,任何对本文内容的复制、修改、再发表或其他形式的使用均不被允许。
关于我们
律意是一家创新型综合性跨境法律服务平台。基于创始团队在法律大数据及法律服务行业近20年的经验,拥有覆盖全球151个国家和地区的资深律师网络及各行业法律专家资源,已经为数十家跨境制造与消费类企业节约了50%的时间与经济成本。致力于为企业出海提供专业、完善、便捷的一站式法律服务。
联系电话:+86 21 31200806
邮箱:inquiry@lawpurpose.com
地址:上海市静安区愚园路108号7层728
编辑/排版:Elina
