信息來源：安全內(nèi)參

文 | 楊春白雪 信通院互聯(lián)網(wǎng)法律研究中心研究員

趙曼妤 信通院互聯(lián)網(wǎng)法律研究中心實習(xí)生

2022年6月1日，泰國《個人數(shù)據(jù)保護法》（簡稱PDPA）經(jīng)過兩次推遲后正式生效，成為泰國第一部綜合性數(shù)據(jù)保護立法。泰國PDPA最初于2019年5月27日在泰國皇家政府公報上公布，其正式生效時間受新冠疫情影響分別于2020年5月和2021年6月經(jīng)歷了兩次推遲。從主要內(nèi)容來看，泰國PDPA借鑒了歐盟《通用數(shù)據(jù)保護條例》（GDPR）的立法模式，共分為七章，涉及數(shù)據(jù)主體權(quán)利、數(shù)據(jù)處理者義務(wù)、跨境數(shù)據(jù)傳輸、濫用個人數(shù)據(jù)處罰等方面。從立法目的來看，泰國PDPA體現(xiàn)出泰國作為東盟經(jīng)濟體在自由貿(mào)易方面的考量。

一、主要內(nèi)容介紹

在參考歐盟GDPR的基礎(chǔ)上，泰國PDPA也呈現(xiàn)出聚焦本國個人數(shù)據(jù)保護現(xiàn)狀的差異化制度安排。

在概念界定方面，PDPA首先界定了個人數(shù)據(jù)的概念，涵蓋與個人相關(guān)聯(lián)的、可以直接或間接用于識別個人的所有數(shù)據(jù)，具體包括姓名、身份證號碼、地址、電話號碼、電子郵箱、財務(wù)明細、種族及宗教信息、性行為及性取向信息、犯罪記錄、健康證明等。PDPA并未明確界定敏感數(shù)據(jù)的內(nèi)涵，但是要求數(shù)據(jù)處理者和控制者必須在數(shù)據(jù)主體的明確同意下收集、使用或者披露種族、性別、宗族、政黨和生物識別信息等敏感個人數(shù)據(jù)。值得注意的是，PDPA對個人數(shù)據(jù)的定義中沒有提及IP地址和cookie標識符，也未涉及匿名數(shù)據(jù)和假名數(shù)據(jù)等。

在適用范圍方面，PDPA規(guī)定的數(shù)據(jù)保護義務(wù)適用于在泰國本地或者為泰國居民收集、使用和披露個人數(shù)據(jù)的所有數(shù)據(jù)控制者與處理者。據(jù)此，PDPA既適用于在泰國設(shè)立的數(shù)據(jù)控制者和處理者，也適用于地處泰國境外但向泰國境內(nèi)主體提供商品、服務(wù)或監(jiān)控的數(shù)據(jù)控制者和處理者，在一定程度上明確了PDPA的域外適用效力。PDPA關(guān)于數(shù)據(jù)保護義務(wù)的適用范圍擴張旨在盡量涵蓋與泰國數(shù)據(jù)主體相關(guān)的所有處理活動，切實加強個人數(shù)據(jù)保護要求。此外，PDPA明確排除了對國家公共安全機構(gòu)、司法機構(gòu)等的適用，目前關(guān)于政府機構(gòu)處理個人數(shù)據(jù)的法律規(guī)范尚未出臺，后續(xù)應(yīng)該會提上立法進程。

在數(shù)據(jù)主體權(quán)利保護方面，PDPA與GDPR類似，明確規(guī)定了數(shù)據(jù)主體享有一系列權(quán)利，包括知情權(quán)、訪問權(quán)、糾正權(quán)、刪除權(quán)、更新權(quán)以及獲得匿名化數(shù)據(jù)的權(quán)利等。PDPA要求數(shù)據(jù)控制者和處理者以有效的法律依據(jù)為前提處理個人數(shù)據(jù)，包括同意、履行合同、履行法律義務(wù)、基于公共利益、基于合法和重大利益、避免對數(shù)據(jù)主體造成生命危險等情形。PDPA還規(guī)定了數(shù)據(jù)主體具有請求匿名化個人數(shù)據(jù)的權(quán)利，但是匿名化數(shù)據(jù)的保護邊界尚不明晰，可能造成法律適用難題以及數(shù)據(jù)主體與數(shù)據(jù)控制者和處理者之間的利益失衡。

在數(shù)據(jù)控制者和處理者責(zé)任方面，PDPA和GDPR對于數(shù)據(jù)控制者和處理者在保障數(shù)據(jù)主體權(quán)利、任命數(shù)據(jù)保護官、數(shù)據(jù)泄露通知、保存記錄、安全措施等方面的責(zé)任要求范圍相似。對于數(shù)據(jù)保護官（DPO），GDPR中明確要求了DPO的獨立性，PDPA對此并未加以明確。為了防范數(shù)據(jù)泄漏事件，PDPA引入了GDPR中要求數(shù)據(jù)控制者和處理者實施適當?shù)陌踩胧?，在發(fā)生個人數(shù)據(jù)泄露后的72小時內(nèi)強制性履行泄露通知義務(wù)，及時通報監(jiān)管當局和數(shù)據(jù)主體。

在數(shù)據(jù)跨境傳輸方面，數(shù)據(jù)控制者和處理者在未征得數(shù)據(jù)主體同意的情況下，不得將個人數(shù)據(jù)轉(zhuǎn)移至泰國境外，除非滿足相關(guān)法律要求或者屬于合同履行所必須。數(shù)據(jù)接收國應(yīng)當采取與PDPA相匹配的數(shù)據(jù)保護標準，否則無法將個人數(shù)據(jù)轉(zhuǎn)移到泰國境外，除非滿足相關(guān)法律要求。與GDPR不同的是，PDPA沒有涉及遵守法院判決、國際司法合作協(xié)定的數(shù)據(jù)跨境傳輸問題。與此同時，PDPA支持多項自由貿(mào)易協(xié)定（FTA）關(guān)于數(shù)據(jù)隱私和安全保障的要求，這將為泰國在歐盟、東盟自由貿(mào)易中經(jīng)濟的可持續(xù)發(fā)展提供機遇。

在處罰措施方面，PDPA和GDPR均賦予數(shù)據(jù)主體就數(shù)據(jù)控制者和處理者因違反該法而造成任何損害的賠償請求權(quán)，并且允許數(shù)據(jù)主體向有關(guān)監(jiān)管機構(gòu)或?qū)＜椅瘑T會提出投訴。PDPA對于濫用個人數(shù)據(jù)的行為引入了嚴格的處罰措施，涵蓋民事賠償、行政處罰與刑事處罰，包括從50萬泰銖到500萬泰銖的罰款以及懲罰性賠償，某些涉及敏感個人數(shù)據(jù)和非法披露的違規(guī)行為可能會受到高達一年的監(jiān)禁。PDPA和GDPR在罰款力度上存在差異，PDPA明確規(guī)定賠償范圍限于數(shù)據(jù)主體為防止可能發(fā)生的損害而產(chǎn)生的費用或者已經(jīng)造成的損失。

二、相關(guān)研判分析

從立法目的來看，泰國《個人數(shù)據(jù)保護法》不僅體現(xiàn)出泰國順應(yīng)全球立法趨勢加強個人數(shù)據(jù)保護的決心，還彰顯了泰國作為東盟經(jīng)濟體在促進經(jīng)濟發(fā)展和自由貿(mào)易方面的目的考量。

首先，立法的基本目的在于保護泰國數(shù)據(jù)主體的個人數(shù)據(jù)免于非法收集、使用和共享，順應(yīng)時代趨勢加強個人數(shù)據(jù)保護。泰國擁有超過79%的互聯(lián)網(wǎng)滲透率和高于76%的移動網(wǎng)滲透率，近年來國內(nèi)數(shù)據(jù)泄露、網(wǎng)絡(luò)詐騙、釣魚網(wǎng)站等事件呈現(xiàn)高發(fā)態(tài)勢，引發(fā)嚴重后果。在PDPA出臺之前，泰國國內(nèi)尚無規(guī)范個人數(shù)據(jù)保護的法律；PDPA的生效將彌補泰國國內(nèi)個人數(shù)據(jù)保護規(guī)范的立法空白，為行政機關(guān)和司法機關(guān)提供裁量和懲罰依據(jù)，有效預(yù)防并切實打擊個人數(shù)據(jù)泄露事件的發(fā)生。

其次，PDPA有利于護航泰國互聯(lián)網(wǎng)經(jīng)濟和電商行業(yè)的蓬勃發(fā)展。新冠疫情肆虐和疫情防控政策使得越來越多的消費者選擇網(wǎng)上購物，電商平臺的同期營商數(shù)據(jù)普遍上揚。泰國在線購物行業(yè)的年均收入已經(jīng)成為東盟地區(qū)最高的國家之一，這對泰國個人數(shù)據(jù)安全保護提出了更高的要求。PDPA確立的制度框架可以為泰國電商生態(tài)的發(fā)展與成熟保駕護航，為電商基礎(chǔ)設(shè)施的完善提供法律保障，從而帶動包括技術(shù)支持、市場營銷、企業(yè)服務(wù)、支付工具等領(lǐng)域的蓬勃發(fā)展。PDPA大部分承繼GDPR的規(guī)定，對于已經(jīng)進行數(shù)字化轉(zhuǎn)型、實施數(shù)據(jù)合規(guī)的企業(yè)可能不會造成過重的合規(guī)負擔(dān)。

最后，PDPA規(guī)范數(shù)據(jù)跨境傳輸助力跨境商貿(mào)自由化發(fā)展。泰國作為東盟經(jīng)濟體的重要一員，在后疫情時代抓住經(jīng)濟發(fā)展機遇、促進自由貿(mào)易方面具有雄心壯志。電子商務(wù)的蓬勃發(fā)展加強了企業(yè)間的溝通，也開拓了跨境電商布局海外的前景，其中不可避免地涉及到數(shù)據(jù)跨境傳輸。PDPA不僅承繼了GDPR在數(shù)據(jù)跨境傳輸?shù)母咭?，還體現(xiàn)出其基于泰國國情的特殊考量，比如支持多項自由貿(mào)易協(xié)定關(guān)于數(shù)據(jù)隱私的規(guī)定。泰國希望在個人數(shù)據(jù)保護方面向歐盟看齊，提升其在自由貿(mào)易談判中的吸引力和影響力，為跨境商貿(mào)自由化的未來探索新的可能性。

三、關(guān)于下一步工作

不可否認，PDPA的正式生效對泰國的中小企業(yè)提出了嚴峻挑戰(zhàn)。作為經(jīng)濟發(fā)展的中堅力量，中小企業(yè)需要采取必要措施以確保數(shù)據(jù)處理活動遵守PDPA，包括審查內(nèi)部政策、培訓(xùn)員工、制定必要審核流程等。目前，泰國中小企業(yè)的基礎(chǔ)普遍薄弱，無法勝任迅速的數(shù)字化轉(zhuǎn)型，經(jīng)濟實力也難以應(yīng)對數(shù)據(jù)合規(guī)帶來的較高成本。泰國數(shù)字經(jīng)濟與社會部（IMS）曾發(fā)布《關(guān)于個人數(shù)據(jù)安全標準（2020）的通知》，規(guī)定了個人數(shù)據(jù)安全措施的最低標準以及相關(guān)行政保障、技術(shù)保障和物理保障措施，用以提高泰國居民和企業(yè)對個人數(shù)據(jù)保護重要性的認識，支持中小企業(yè)開展數(shù)據(jù)合規(guī)活動。

PDPA生效后，為了確保數(shù)據(jù)保護措施充分實施，泰國數(shù)字經(jīng)濟與社會部進一步制定了八項指南預(yù)案，涉及中小企業(yè)豁免、安全保障措施、投訴管理機制、執(zhí)法處罰機制、專家委員會任命機制等。延長法律規(guī)范的生效時間、規(guī)定過渡時期保障措施、完善系列配套指南等做法符合發(fā)展中國家進行數(shù)據(jù)保護的現(xiàn)實國情，也體現(xiàn)出泰國通過落實配套措施，明確PDPA的執(zhí)行進路，強化監(jiān)管力度以保障數(shù)據(jù)安全的決心。

總體來說，GDPR的出臺推動全球數(shù)據(jù)治理進入新階段，東南亞國家紛紛效仿，開啟數(shù)據(jù)立法熱潮。泰國最新生效的PDPA大部分借鑒了GDPR的規(guī)范要求，符合GDPR標準的泰國跨境公司將不會違反PDPA，在一定程度上避免了數(shù)據(jù)合規(guī)標準不一的問題。與此同時，泰國作為發(fā)展中國家，數(shù)據(jù)保護雛形正在構(gòu)建，在實踐中可能難以與歐盟國家高水平的數(shù)據(jù)保護要求保持一致。PDPA規(guī)范中彰顯的本地數(shù)據(jù)保護特色不足，可能導(dǎo)致泰國數(shù)據(jù)保護規(guī)范在本國實施過程中出現(xiàn)法律制度與社會現(xiàn)實間的差異，發(fā)展中國家如何制定符合本國國情的數(shù)據(jù)保護制度值得深入關(guān)注與探討。