大数跨境
首页
>
出海 |泰国:跨境数据传输规则
>
0
0

出海 |泰国:跨境数据传输规则

出海 |泰国:跨境数据传输规则 MJCM出海合规
2025-11-18
1
导读:本文旨在系统地介绍泰国围绕《个人数据保护法》(PDPA)制定的跨境数据传输保护规定,并重点阐述东盟示范合同条款
摘要
本文旨在系统地介绍泰国围绕《个人数据保护法》(PDPA)制定的跨境数据传输保护规定,并重点阐述东盟示范合同条款(ASEAN MCCs)在其中发挥的作用。
一、 泰国跨境数据传输法规概览

泰国的主要数据保护法规是《个人数据保护法》(PDPA)。关于跨境数据传输义务,PDPA 在第 28 条和第 29 条中规定了相关要求。为了具体落实这些义务,泰国制定了两项进一步的实施条例,即所谓的“通知” (notifications)。
这两项通知共为数据出口方提供了
三种主要选择
来履行其数据传输义务:
1.
依赖目的地国数据保护标准的充分性(Adequacy Criteria)
2.
依赖具有约束力的公司规则(BCRs)
3.
依赖适当的保障措施(Appropriate Safeguards),其中包含东盟示范合同条款(ASEAN MCCs)
二、 履行数据传输义务的机制

1. 充分性标准  
首个实施条例侧重于充分性标准。根据该规定,数据控制者可以将个人数据传输到具有足够数据保护标准的接收国。
  • 评估因素:
    评估目的地国是否具备充分性,需要考虑两个核心因素:首先,目的地国必须拥有与 PDPA 保护标准相当的法律或措施;其次,目的地国必须设有数据保护机构(DPA)。
  • 确定流程:
    任何对目的地国的充分性存疑的数据控制者,都可以请求泰国个人数据保护委员会(PDPC)审查并确定该国家是否具备充分性
2. 豁免情况 
如果在尚未发布充分性决定或数据控制者不愿依赖充分性决定的情况下,可以依靠 PDPA 提供的
豁免条款
(或称减损条款)进行数据传输。
在以下情况下,数据控制者无需依赖充分性决定即可进行个人数据传输:
*   为了遵守法律规定。
*   已获得数据主体同意。
*   传输对于履行合同是必需的。
*   传输是为了履行符合数据主体利益的合同。
*   基于重大利益(Vital Interest),即必须传输数据以防止对健康造成损害或避免发生其他不良事件。
*   基于公共利益,即组织的职能或职责涉及重大的公共利益,并且传输数据至关重要。

3. BCRs 和适当的保障措施 

A. 具有约束力的公司规则 (BCRs)
如果组织作为跨多个司法管辖区运营的集团公司,可以使用 BCRs。组织需要创建 BCRs 并提交给 PDPC 办公室审批

PDPC 批准 BCRs 的大致标准包括:BCR 是否对其集团公司具有强制执行力,以及 BCR 的条款是否符合 PDPA 的规定和保护标准。

B. 适当的保障措施 (Appropriate Safeguards)
组织可以依赖多种“适当的保障措施”进行跨境数据传输:
1.  合同条款 (Contractual Clauses): 该措施下包含三种具体选项。
*   监管规定的合同条款: 数据出口方与数据进口方签订合同,必须在合同中包含本法规规定的条款,以确保提供足够的保护,如安全性、收集/使用/披露的保护,并为数据主体提供有效的法律救济。
*   东盟示范合同条款 (ASEAN MCCs): 组织可以使用经批准的 ASEAN MCCs,以证明其符合传输义务并提供充分的保障措施。
*   标准合同条款 (SCCs): 泰国正在借鉴欧盟的标准合同条款(EU SCCs)。当合作方是欧盟公司时,使用 SCCs 将有助于确保合规性。
2.  认证 (Certification): PDPC 正在制定认可的认证类型标准。泰国正在考虑加入全球 CBPR,一旦决定加入,全球 CBPR 将成为该规定下认可的认证之一。
3.  公共机构之间的协议: 如果公共机构之间有具有法律约束力的协议,则可以使用该协议进行个人数据传输。
三、 ASEAN MCCs:促进数据传输信任

1. MCCs 的优势与认可度
在各国对数据传输保护机制的观点各异时,合同机制被视为一个普遍的共同点,许多司法管辖区都认可合同手段作为证明符合传输义务的工具。
ASEAN MCCs 本质上是
合同条款
,它们具有以下优势:
*   灵活性和易用性: MCCs 易于使用且足够灵活,允许企业纳入更多的商业要求条款,同时不禁止添加此类条款。
*   适用性: MCCs 已在许多东盟国家被接受。即使接收方公司不在东盟国家,只要双方同意使用 MCCs,数据出口方仍可继续使用。
*   结构: MCCs 包含两个模块,其具体细节将由其他机构进行解释。
2. 泰国对 MCCs 的推广工作
为了帮助企业了解和使用跨境数据流机制(包括 ASEAN MCCs),PDPC 泰国提供了一系列指南,其中包括《跨境数据传输指南系列》。
  • MCCs 指南内容:
    在东盟指南的第五章中,详细解释了如何使用 ASEAN MCCs,例如何时使用、模块数量、模块差异以及各模块的条款细节。该指南还附带了使用 ASEAN MCCs 的模板和条款及条件。
3. 行业反馈和未来展望
PDPC 泰国通过与行业举办研讨会,收集了关于 MCCs 使用的反馈。
  • 正面反馈:
    组织认为 MCCs 是灵活的模板,且已是
    可随时使用
    的格式。鉴于 90% 的组织已经在某种程度上使用合同手段进行数据传输,MCCs 模板对于企业尤其有用。
  • 挑战与建议:
    接收到的反馈包括希望将 MCCs 从目前的两个模块扩展到
    四个模块
    (控制者到处理者、控制者到控制者、处理者到处理者、处理者到控制者),以借鉴欧盟 SCCs 的模块设置。此外,一些公司反映,他们仍然需要对 MCCs 进行协商和修改,因此可能最终选择使用自己的模板。
PDPC 的后续工作: PDPC 泰国将推出新的指南,聚焦于特定行业的用例,解释不同领域(如保险、银行和金融、电信、运输和物流、医疗保健)如何应用 MCCs。
就像使用一个通用的多功能适配器一样,ASEAN MCCs 试图在多样化的东盟法律环境中,提供一个灵活且被广泛接受的合同保障机制,使得企业能够更顺畅、更信任地进行跨境数据传输,同时满足泰国 PDPA 的合规要求。

【声明】内容源于网络
0
0
MJCM出海合规
各类跨境出海行业相关资讯
内容 73
粉丝 0
MJCM出海合规 各类跨境出海行业相关资讯
总阅读487
粉丝0
内容73