行業(yè)動(dòng)態(tài)

泰國《個(gè)人數(shù)據(jù)保護(hù)法》經(jīng)兩次推遲后正式生效

來源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2022-06-30    瀏覽次數(shù):
 

信息來源:安全內(nèi)參


文 | 楊春白雪 信通院互聯(lián)網(wǎng)法律研究中心研究員

趙曼妤 信通院互聯(lián)網(wǎng)法律研究中心實(shí)習(xí)生

2022年6月1日,泰國《個(gè)人數(shù)據(jù)保護(hù)法》(簡稱PDPA)經(jīng)過兩次推遲后正式生效,成為泰國第一部綜合性數(shù)據(jù)保護(hù)立法。泰國PDPA最初于2019年5月27日在泰國皇家政府公報(bào)上公布,其正式生效時(shí)間受新冠疫情影響分別于2020年5月和2021年6月經(jīng)歷了兩次推遲。從主要內(nèi)容來看,泰國PDPA借鑒了歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR)的立法模式,共分為七章,涉及數(shù)據(jù)主體權(quán)利、數(shù)據(jù)處理者義務(wù)、跨境數(shù)據(jù)傳輸、濫用個(gè)人數(shù)據(jù)處罰等方面。從立法目的來看,泰國PDPA體現(xiàn)出泰國作為東盟經(jīng)濟(jì)體在自由貿(mào)易方面的考量。

一、主要內(nèi)容介紹

在參考?xì)W盟GDPR的基礎(chǔ)上,泰國PDPA也呈現(xiàn)出聚焦本國個(gè)人數(shù)據(jù)保護(hù)現(xiàn)狀的差異化制度安排。

在概念界定方面,PDPA首先界定了個(gè)人數(shù)據(jù)的概念,涵蓋與個(gè)人相關(guān)聯(lián)的、可以直接或間接用于識(shí)別個(gè)人的所有數(shù)據(jù),具體包括姓名、身份證號(hào)碼、地址、電話號(hào)碼、電子郵箱、財(cái)務(wù)明細(xì)、種族及宗教信息、性行為及性取向信息、犯罪記錄、健康證明等。PDPA并未明確界定敏感數(shù)據(jù)的內(nèi)涵,但是要求數(shù)據(jù)處理者和控制者必須在數(shù)據(jù)主體的明確同意下收集、使用或者披露種族、性別、宗族、政黨和生物識(shí)別信息等敏感個(gè)人數(shù)據(jù)。值得注意的是,PDPA對(duì)個(gè)人數(shù)據(jù)的定義中沒有提及IP地址和cookie標(biāo)識(shí)符,也未涉及匿名數(shù)據(jù)和假名數(shù)據(jù)等。

在適用范圍方面,PDPA規(guī)定的數(shù)據(jù)保護(hù)義務(wù)適用于在泰國本地或者為泰國居民收集、使用和披露個(gè)人數(shù)據(jù)的所有數(shù)據(jù)控制者與處理者。據(jù)此,PDPA既適用于在泰國設(shè)立的數(shù)據(jù)控制者和處理者,也適用于地處泰國境外但向泰國境內(nèi)主體提供商品、服務(wù)或監(jiān)控的數(shù)據(jù)控制者和處理者,在一定程度上明確了PDPA的域外適用效力。PDPA關(guān)于數(shù)據(jù)保護(hù)義務(wù)的適用范圍擴(kuò)張旨在盡量涵蓋與泰國數(shù)據(jù)主體相關(guān)的所有處理活動(dòng),切實(shí)加強(qiáng)個(gè)人數(shù)據(jù)保護(hù)要求。此外,PDPA明確排除了對(duì)國家公共安全機(jī)構(gòu)、司法機(jī)構(gòu)等的適用,目前關(guān)于政府機(jī)構(gòu)處理個(gè)人數(shù)據(jù)的法律規(guī)范尚未出臺(tái),后續(xù)應(yīng)該會(huì)提上立法進(jìn)程。

在數(shù)據(jù)主體權(quán)利保護(hù)方面,PDPA與GDPR類似,明確規(guī)定了數(shù)據(jù)主體享有一系列權(quán)利,包括知情權(quán)、訪問權(quán)、糾正權(quán)、刪除權(quán)、更新權(quán)以及獲得匿名化數(shù)據(jù)的權(quán)利等。PDPA要求數(shù)據(jù)控制者和處理者以有效的法律依據(jù)為前提處理個(gè)人數(shù)據(jù),包括同意、履行合同、履行法律義務(wù)、基于公共利益、基于合法和重大利益、避免對(duì)數(shù)據(jù)主體造成生命危險(xiǎn)等情形。PDPA還規(guī)定了數(shù)據(jù)主體具有請(qǐng)求匿名化個(gè)人數(shù)據(jù)的權(quán)利,但是匿名化數(shù)據(jù)的保護(hù)邊界尚不明晰,可能造成法律適用難題以及數(shù)據(jù)主體與數(shù)據(jù)控制者和處理者之間的利益失衡。

在數(shù)據(jù)控制者和處理者責(zé)任方面,PDPA和GDPR對(duì)于數(shù)據(jù)控制者和處理者在保障數(shù)據(jù)主體權(quán)利、任命數(shù)據(jù)保護(hù)官、數(shù)據(jù)泄露通知、保存記錄、安全措施等方面的責(zé)任要求范圍相似。對(duì)于數(shù)據(jù)保護(hù)官(DPO),GDPR中明確要求了DPO的獨(dú)立性,PDPA對(duì)此并未加以明確。為了防范數(shù)據(jù)泄漏事件,PDPA引入了GDPR中要求數(shù)據(jù)控制者和處理者實(shí)施適當(dāng)?shù)陌踩胧诎l(fā)生個(gè)人數(shù)據(jù)泄露后的72小時(shí)內(nèi)強(qiáng)制性履行泄露通知義務(wù),及時(shí)通報(bào)監(jiān)管當(dāng)局和數(shù)據(jù)主體。

在數(shù)據(jù)跨境傳輸方面,數(shù)據(jù)控制者和處理者在未征得數(shù)據(jù)主體同意的情況下,不得將個(gè)人數(shù)據(jù)轉(zhuǎn)移至泰國境外,除非滿足相關(guān)法律要求或者屬于合同履行所必須。數(shù)據(jù)接收國應(yīng)當(dāng)采取與PDPA相匹配的數(shù)據(jù)保護(hù)標(biāo)準(zhǔn),否則無法將個(gè)人數(shù)據(jù)轉(zhuǎn)移到泰國境外,除非滿足相關(guān)法律要求。與GDPR不同的是,PDPA沒有涉及遵守法院判決、國際司法合作協(xié)定的數(shù)據(jù)跨境傳輸問題。與此同時(shí),PDPA支持多項(xiàng)自由貿(mào)易協(xié)定(FTA)關(guān)于數(shù)據(jù)隱私和安全保障的要求,這將為泰國在歐盟、東盟自由貿(mào)易中經(jīng)濟(jì)的可持續(xù)發(fā)展提供機(jī)遇。

在處罰措施方面,PDPA和GDPR均賦予數(shù)據(jù)主體就數(shù)據(jù)控制者和處理者因違反該法而造成任何損害的賠償請(qǐng)求權(quán),并且允許數(shù)據(jù)主體向有關(guān)監(jiān)管機(jī)構(gòu)或?qū)<椅瘑T會(huì)提出投訴。PDPA對(duì)于濫用個(gè)人數(shù)據(jù)的行為引入了嚴(yán)格的處罰措施,涵蓋民事賠償、行政處罰與刑事處罰,包括從50萬泰銖到500萬泰銖的罰款以及懲罰性賠償,某些涉及敏感個(gè)人數(shù)據(jù)和非法披露的違規(guī)行為可能會(huì)受到高達(dá)一年的監(jiān)禁。PDPA和GDPR在罰款力度上存在差異,PDPA明確規(guī)定賠償范圍限于數(shù)據(jù)主體為防止可能發(fā)生的損害而產(chǎn)生的費(fèi)用或者已經(jīng)造成的損失。

二、相關(guān)研判分析

從立法目的來看,泰國《個(gè)人數(shù)據(jù)保護(hù)法》不僅體現(xiàn)出泰國順應(yīng)全球立法趨勢(shì)加強(qiáng)個(gè)人數(shù)據(jù)保護(hù)的決心,還彰顯了泰國作為東盟經(jīng)濟(jì)體在促進(jìn)經(jīng)濟(jì)發(fā)展和自由貿(mào)易方面的目的考量。

首先,立法的基本目的在于保護(hù)泰國數(shù)據(jù)主體的個(gè)人數(shù)據(jù)免于非法收集、使用和共享,順應(yīng)時(shí)代趨勢(shì)加強(qiáng)個(gè)人數(shù)據(jù)保護(hù)。泰國擁有超過79%的互聯(lián)網(wǎng)滲透率和高于76%的移動(dòng)網(wǎng)滲透率,近年來國內(nèi)數(shù)據(jù)泄露、網(wǎng)絡(luò)詐騙、釣魚網(wǎng)站等事件呈現(xiàn)高發(fā)態(tài)勢(shì),引發(fā)嚴(yán)重后果。在PDPA出臺(tái)之前,泰國國內(nèi)尚無規(guī)范個(gè)人數(shù)據(jù)保護(hù)的法律;PDPA的生效將彌補(bǔ)泰國國內(nèi)個(gè)人數(shù)據(jù)保護(hù)規(guī)范的立法空白,為行政機(jī)關(guān)和司法機(jī)關(guān)提供裁量和懲罰依據(jù),有效預(yù)防并切實(shí)打擊個(gè)人數(shù)據(jù)泄露事件的發(fā)生。

其次,PDPA有利于護(hù)航泰國互聯(lián)網(wǎng)經(jīng)濟(jì)和電商行業(yè)的蓬勃發(fā)展。新冠疫情肆虐和疫情防控政策使得越來越多的消費(fèi)者選擇網(wǎng)上購物,電商平臺(tái)的同期營商數(shù)據(jù)普遍上揚(yáng)。泰國在線購物行業(yè)的年均收入已經(jīng)成為東盟地區(qū)最高的國家之一,這對(duì)泰國個(gè)人數(shù)據(jù)安全保護(hù)提出了更高的要求。PDPA確立的制度框架可以為泰國電商生態(tài)的發(fā)展與成熟保駕護(hù)航,為電商基礎(chǔ)設(shè)施的完善提供法律保障,從而帶動(dòng)包括技術(shù)支持、市場營銷、企業(yè)服務(wù)、支付工具等領(lǐng)域的蓬勃發(fā)展。PDPA大部分承繼GDPR的規(guī)定,對(duì)于已經(jīng)進(jìn)行數(shù)字化轉(zhuǎn)型、實(shí)施數(shù)據(jù)合規(guī)的企業(yè)可能不會(huì)造成過重的合規(guī)負(fù)擔(dān)。

最后,PDPA規(guī)范數(shù)據(jù)跨境傳輸助力跨境商貿(mào)自由化發(fā)展。泰國作為東盟經(jīng)濟(jì)體的重要一員,在后疫情時(shí)代抓住經(jīng)濟(jì)發(fā)展機(jī)遇、促進(jìn)自由貿(mào)易方面具有雄心壯志。電子商務(wù)的蓬勃發(fā)展加強(qiáng)了企業(yè)間的溝通,也開拓了跨境電商布局海外的前景,其中不可避免地涉及到數(shù)據(jù)跨境傳輸。PDPA不僅承繼了GDPR在數(shù)據(jù)跨境傳輸?shù)母咭?,還體現(xiàn)出其基于泰國國情的特殊考量,比如支持多項(xiàng)自由貿(mào)易協(xié)定關(guān)于數(shù)據(jù)隱私的規(guī)定。泰國希望在個(gè)人數(shù)據(jù)保護(hù)方面向歐盟看齊,提升其在自由貿(mào)易談判中的吸引力和影響力,為跨境商貿(mào)自由化的未來探索新的可能性。

三、關(guān)于下一步工作

不可否認(rèn),PDPA的正式生效對(duì)泰國的中小企業(yè)提出了嚴(yán)峻挑戰(zhàn)。作為經(jīng)濟(jì)發(fā)展的中堅(jiān)力量,中小企業(yè)需要采取必要措施以確保數(shù)據(jù)處理活動(dòng)遵守PDPA,包括審查內(nèi)部政策、培訓(xùn)員工、制定必要審核流程等。目前,泰國中小企業(yè)的基礎(chǔ)普遍薄弱,無法勝任迅速的數(shù)字化轉(zhuǎn)型,經(jīng)濟(jì)實(shí)力也難以應(yīng)對(duì)數(shù)據(jù)合規(guī)帶來的較高成本。泰國數(shù)字經(jīng)濟(jì)與社會(huì)部(IMS)曾發(fā)布《關(guān)于個(gè)人數(shù)據(jù)安全標(biāo)準(zhǔn)(2020)的通知》,規(guī)定了個(gè)人數(shù)據(jù)安全措施的最低標(biāo)準(zhǔn)以及相關(guān)行政保障、技術(shù)保障和物理保障措施,用以提高泰國居民和企業(yè)對(duì)個(gè)人數(shù)據(jù)保護(hù)重要性的認(rèn)識(shí),支持中小企業(yè)開展數(shù)據(jù)合規(guī)活動(dòng)。

PDPA生效后,為了確保數(shù)據(jù)保護(hù)措施充分實(shí)施,泰國數(shù)字經(jīng)濟(jì)與社會(huì)部進(jìn)一步制定了八項(xiàng)指南預(yù)案,涉及中小企業(yè)豁免、安全保障措施、投訴管理機(jī)制、執(zhí)法處罰機(jī)制、專家委員會(huì)任命機(jī)制等。延長法律規(guī)范的生效時(shí)間、規(guī)定過渡時(shí)期保障措施、完善系列配套指南等做法符合發(fā)展中國家進(jìn)行數(shù)據(jù)保護(hù)的現(xiàn)實(shí)國情,也體現(xiàn)出泰國通過落實(shí)配套措施,明確PDPA的執(zhí)行進(jìn)路,強(qiáng)化監(jiān)管力度以保障數(shù)據(jù)安全的決心。

總體來說,GDPR的出臺(tái)推動(dòng)全球數(shù)據(jù)治理進(jìn)入新階段,東南亞國家紛紛效仿,開啟數(shù)據(jù)立法熱潮。泰國最新生效的PDPA大部分借鑒了GDPR的規(guī)范要求,符合GDPR標(biāo)準(zhǔn)的泰國跨境公司將不會(huì)違反PDPA,在一定程度上避免了數(shù)據(jù)合規(guī)標(biāo)準(zhǔn)不一的問題。與此同時(shí),泰國作為發(fā)展中國家,數(shù)據(jù)保護(hù)雛形正在構(gòu)建,在實(shí)踐中可能難以與歐盟國家高水平的數(shù)據(jù)保護(hù)要求保持一致。PDPA規(guī)范中彰顯的本地?cái)?shù)據(jù)保護(hù)特色不足,可能導(dǎo)致泰國數(shù)據(jù)保護(hù)規(guī)范在本國實(shí)施過程中出現(xiàn)法律制度與社會(huì)現(xiàn)實(shí)間的差異,發(fā)展中國家如何制定符合本國國情的數(shù)據(jù)保護(hù)制度值得深入關(guān)注與探討。


 
 

上一篇:PHP多個(gè)遠(yuǎn)程代碼執(zhí)行漏洞風(fēng)險(xiǎn)預(yù)警

下一篇:MITRE發(fā)布最危險(xiǎn)軟件漏洞TOP25榜單