信息來(lái)源：安全內(nèi)參

文 | 楊春白雪 信通院互聯(lián)網(wǎng)法律研究中心研究員

趙曼妤 信通院互聯(lián)網(wǎng)法律研究中心實(shí)習(xí)生

2022年6月1日，泰國(guó)《個(gè)人數(shù)據(jù)保護(hù)法》（簡(jiǎn)稱(chēng)PDPA）經(jīng)過(guò)兩次推遲后正式生效，成為泰國(guó)第一部綜合性數(shù)據(jù)保護(hù)立法。泰國(guó)PDPA最初于2019年5月27日在泰國(guó)皇家政府公報(bào)上公布，其正式生效時(shí)間受新冠疫情影響分別于2020年5月和2021年6月經(jīng)歷了兩次推遲。從主要內(nèi)容來(lái)看，泰國(guó)PDPA借鑒了歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）的立法模式，共分為七章，涉及數(shù)據(jù)主體權(quán)利、數(shù)據(jù)處理者義務(wù)、跨境數(shù)據(jù)傳輸、濫用個(gè)人數(shù)據(jù)處罰等方面。從立法目的來(lái)看，泰國(guó)PDPA體現(xiàn)出泰國(guó)作為東盟經(jīng)濟(jì)體在自由貿(mào)易方面的考量。

一、主要內(nèi)容介紹

在參考?xì)W盟GDPR的基礎(chǔ)上，泰國(guó)PDPA也呈現(xiàn)出聚焦本國(guó)個(gè)人數(shù)據(jù)保護(hù)現(xiàn)狀的差異化制度安排。

在概念界定方面，PDPA首先界定了個(gè)人數(shù)據(jù)的概念，涵蓋與個(gè)人相關(guān)聯(lián)的、可以直接或間接用于識(shí)別個(gè)人的所有數(shù)據(jù)，具體包括姓名、身份證號(hào)碼、地址、電話(huà)號(hào)碼、電子郵箱、財(cái)務(wù)明細(xì)、種族及宗教信息、性行為及性取向信息、犯罪記錄、健康證明等。PDPA并未明確界定敏感數(shù)據(jù)的內(nèi)涵，但是要求數(shù)據(jù)處理者和控制者必須在數(shù)據(jù)主體的明確同意下收集、使用或者披露種族、性別、宗族、政黨和生物識(shí)別信息等敏感個(gè)人數(shù)據(jù)。值得注意的是，PDPA對(duì)個(gè)人數(shù)據(jù)的定義中沒(méi)有提及IP地址和cookie標(biāo)識(shí)符，也未涉及匿名數(shù)據(jù)和假名數(shù)據(jù)等。

在適用范圍方面，PDPA規(guī)定的數(shù)據(jù)保護(hù)義務(wù)適用于在泰國(guó)本地或者為泰國(guó)居民收集、使用和披露個(gè)人數(shù)據(jù)的所有數(shù)據(jù)控制者與處理者。據(jù)此，PDPA既適用于在泰國(guó)設(shè)立的數(shù)據(jù)控制者和處理者，也適用于地處泰國(guó)境外但向泰國(guó)境內(nèi)主體提供商品、服務(wù)或監(jiān)控的數(shù)據(jù)控制者和處理者，在一定程度上明確了PDPA的域外適用效力。PDPA關(guān)于數(shù)據(jù)保護(hù)義務(wù)的適用范圍擴(kuò)張旨在盡量涵蓋與泰國(guó)數(shù)據(jù)主體相關(guān)的所有處理活動(dòng)，切實(shí)加強(qiáng)個(gè)人數(shù)據(jù)保護(hù)要求。此外，PDPA明確排除了對(duì)國(guó)家公共安全機(jī)構(gòu)、司法機(jī)構(gòu)等的適用，目前關(guān)于政府機(jī)構(gòu)處理個(gè)人數(shù)據(jù)的法律規(guī)范尚未出臺(tái)，后續(xù)應(yīng)該會(huì)提上立法進(jìn)程。

在數(shù)據(jù)主體權(quán)利保護(hù)方面，PDPA與GDPR類(lèi)似，明確規(guī)定了數(shù)據(jù)主體享有一系列權(quán)利，包括知情權(quán)、訪(fǎng)問(wèn)權(quán)、糾正權(quán)、刪除權(quán)、更新權(quán)以及獲得匿名化數(shù)據(jù)的權(quán)利等。PDPA要求數(shù)據(jù)控制者和處理者以有效的法律依據(jù)為前提處理個(gè)人數(shù)據(jù)，包括同意、履行合同、履行法律義務(wù)、基于公共利益、基于合法和重大利益、避免對(duì)數(shù)據(jù)主體造成生命危險(xiǎn)等情形。PDPA還規(guī)定了數(shù)據(jù)主體具有請(qǐng)求匿名化個(gè)人數(shù)據(jù)的權(quán)利，但是匿名化數(shù)據(jù)的保護(hù)邊界尚不明晰，可能造成法律適用難題以及數(shù)據(jù)主體與數(shù)據(jù)控制者和處理者之間的利益失衡。

在數(shù)據(jù)控制者和處理者責(zé)任方面，PDPA和GDPR對(duì)于數(shù)據(jù)控制者和處理者在保障數(shù)據(jù)主體權(quán)利、任命數(shù)據(jù)保護(hù)官、數(shù)據(jù)泄露通知、保存記錄、安全措施等方面的責(zé)任要求范圍相似。對(duì)于數(shù)據(jù)保護(hù)官（DPO），GDPR中明確要求了DPO的獨(dú)立性，PDPA對(duì)此并未加以明確。為了防范數(shù)據(jù)泄漏事件，PDPA引入了GDPR中要求數(shù)據(jù)控制者和處理者實(shí)施適當(dāng)?shù)陌踩胧诎l(fā)生個(gè)人數(shù)據(jù)泄露后的72小時(shí)內(nèi)強(qiáng)制性履行泄露通知義務(wù)，及時(shí)通報(bào)監(jiān)管當(dāng)局和數(shù)據(jù)主體。

在數(shù)據(jù)跨境傳輸方面，數(shù)據(jù)控制者和處理者在未征得數(shù)據(jù)主體同意的情況下，不得將個(gè)人數(shù)據(jù)轉(zhuǎn)移至泰國(guó)境外，除非滿(mǎn)足相關(guān)法律要求或者屬于合同履行所必須。數(shù)據(jù)接收國(guó)應(yīng)當(dāng)采取與PDPA相匹配的數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)，否則無(wú)法將個(gè)人數(shù)據(jù)轉(zhuǎn)移到泰國(guó)境外，除非滿(mǎn)足相關(guān)法律要求。與GDPR不同的是，PDPA沒(méi)有涉及遵守法院判決、國(guó)際司法合作協(xié)定的數(shù)據(jù)跨境傳輸問(wèn)題。與此同時(shí)，PDPA支持多項(xiàng)自由貿(mào)易協(xié)定（FTA）關(guān)于數(shù)據(jù)隱私和安全保障的要求，這將為泰國(guó)在歐盟、東盟自由貿(mào)易中經(jīng)濟(jì)的可持續(xù)發(fā)展提供機(jī)遇。

在處罰措施方面，PDPA和GDPR均賦予數(shù)據(jù)主體就數(shù)據(jù)控制者和處理者因違反該法而造成任何損害的賠償請(qǐng)求權(quán)，并且允許數(shù)據(jù)主體向有關(guān)監(jiān)管機(jī)構(gòu)或?qū)＜椅瘑T會(huì)提出投訴。PDPA對(duì)于濫用個(gè)人數(shù)據(jù)的行為引入了嚴(yán)格的處罰措施，涵蓋民事賠償、行政處罰與刑事處罰，包括從50萬(wàn)泰銖到500萬(wàn)泰銖的罰款以及懲罰性賠償，某些涉及敏感個(gè)人數(shù)據(jù)和非法披露的違規(guī)行為可能會(huì)受到高達(dá)一年的監(jiān)禁。PDPA和GDPR在罰款力度上存在差異，PDPA明確規(guī)定賠償范圍限于數(shù)據(jù)主體為防止可能發(fā)生的損害而產(chǎn)生的費(fèi)用或者已經(jīng)造成的損失。

二、相關(guān)研判分析

從立法目的來(lái)看，泰國(guó)《個(gè)人數(shù)據(jù)保護(hù)法》不僅體現(xiàn)出泰國(guó)順應(yīng)全球立法趨勢(shì)加強(qiáng)個(gè)人數(shù)據(jù)保護(hù)的決心，還彰顯了泰國(guó)作為東盟經(jīng)濟(jì)體在促進(jìn)經(jīng)濟(jì)發(fā)展和自由貿(mào)易方面的目的考量。

首先，立法的基本目的在于保護(hù)泰國(guó)數(shù)據(jù)主體的個(gè)人數(shù)據(jù)免于非法收集、使用和共享，順應(yīng)時(shí)代趨勢(shì)加強(qiáng)個(gè)人數(shù)據(jù)保護(hù)。泰國(guó)擁有超過(guò)79%的互聯(lián)網(wǎng)滲透率和高于76%的移動(dòng)網(wǎng)滲透率，近年來(lái)國(guó)內(nèi)數(shù)據(jù)泄露、網(wǎng)絡(luò)詐騙、釣魚(yú)網(wǎng)站等事件呈現(xiàn)高發(fā)態(tài)勢(shì)，引發(fā)嚴(yán)重后果。在PDPA出臺(tái)之前，泰國(guó)國(guó)內(nèi)尚無(wú)規(guī)范個(gè)人數(shù)據(jù)保護(hù)的法律；PDPA的生效將彌補(bǔ)泰國(guó)國(guó)內(nèi)個(gè)人數(shù)據(jù)保護(hù)規(guī)范的立法空白，為行政機(jī)關(guān)和司法機(jī)關(guān)提供裁量和懲罰依據(jù)，有效預(yù)防并切實(shí)打擊個(gè)人數(shù)據(jù)泄露事件的發(fā)生。

其次，PDPA有利于護(hù)航泰國(guó)互聯(lián)網(wǎng)經(jīng)濟(jì)和電商行業(yè)的蓬勃發(fā)展。新冠疫情肆虐和疫情防控政策使得越來(lái)越多的消費(fèi)者選擇網(wǎng)上購(gòu)物，電商平臺(tái)的同期營(yíng)商數(shù)據(jù)普遍上揚(yáng)。泰國(guó)在線(xiàn)購(gòu)物行業(yè)的年均收入已經(jīng)成為東盟地區(qū)最高的國(guó)家之一，這對(duì)泰國(guó)個(gè)人數(shù)據(jù)安全保護(hù)提出了更高的要求。PDPA確立的制度框架可以為泰國(guó)電商生態(tài)的發(fā)展與成熟保駕護(hù)航，為電商基礎(chǔ)設(shè)施的完善提供法律保障，從而帶動(dòng)包括技術(shù)支持、市場(chǎng)營(yíng)銷(xiāo)、企業(yè)服務(wù)、支付工具等領(lǐng)域的蓬勃發(fā)展。PDPA大部分承繼GDPR的規(guī)定，對(duì)于已經(jīng)進(jìn)行數(shù)字化轉(zhuǎn)型、實(shí)施數(shù)據(jù)合規(guī)的企業(yè)可能不會(huì)造成過(guò)重的合規(guī)負(fù)擔(dān)。

最后，PDPA規(guī)范數(shù)據(jù)跨境傳輸助力跨境商貿(mào)自由化發(fā)展。泰國(guó)作為東盟經(jīng)濟(jì)體的重要一員，在后疫情時(shí)代抓住經(jīng)濟(jì)發(fā)展機(jī)遇、促進(jìn)自由貿(mào)易方面具有雄心壯志。電子商務(wù)的蓬勃發(fā)展加強(qiáng)了企業(yè)間的溝通，也開(kāi)拓了跨境電商布局海外的前景，其中不可避免地涉及到數(shù)據(jù)跨境傳輸。PDPA不僅承繼了GDPR在數(shù)據(jù)跨境傳輸?shù)母咭螅€體現(xiàn)出其基于泰國(guó)國(guó)情的特殊考量，比如支持多項(xiàng)自由貿(mào)易協(xié)定關(guān)于數(shù)據(jù)隱私的規(guī)定。泰國(guó)希望在個(gè)人數(shù)據(jù)保護(hù)方面向歐盟看齊，提升其在自由貿(mào)易談判中的吸引力和影響力，為跨境商貿(mào)自由化的未來(lái)探索新的可能性。

三、關(guān)于下一步工作

不可否認(rèn)，PDPA的正式生效對(duì)泰國(guó)的中小企業(yè)提出了嚴(yán)峻挑戰(zhàn)。作為經(jīng)濟(jì)發(fā)展的中堅(jiān)力量，中小企業(yè)需要采取必要措施以確保數(shù)據(jù)處理活動(dòng)遵守PDPA，包括審查內(nèi)部政策、培訓(xùn)員工、制定必要審核流程等。目前，泰國(guó)中小企業(yè)的基礎(chǔ)普遍薄弱，無(wú)法勝任迅速的數(shù)字化轉(zhuǎn)型，經(jīng)濟(jì)實(shí)力也難以應(yīng)對(duì)數(shù)據(jù)合規(guī)帶來(lái)的較高成本。泰國(guó)數(shù)字經(jīng)濟(jì)與社會(huì)部（IMS）曾發(fā)布《關(guān)于個(gè)人數(shù)據(jù)安全標(biāo)準(zhǔn)（2020）的通知》，規(guī)定了個(gè)人數(shù)據(jù)安全措施的最低標(biāo)準(zhǔn)以及相關(guān)行政保障、技術(shù)保障和物理保障措施，用以提高泰國(guó)居民和企業(yè)對(duì)個(gè)人數(shù)據(jù)保護(hù)重要性的認(rèn)識(shí)，支持中小企業(yè)開(kāi)展數(shù)據(jù)合規(guī)活動(dòng)。

PDPA生效后，為了確保數(shù)據(jù)保護(hù)措施充分實(shí)施，泰國(guó)數(shù)字經(jīng)濟(jì)與社會(huì)部進(jìn)一步制定了八項(xiàng)指南預(yù)案，涉及中小企業(yè)豁免、安全保障措施、投訴管理機(jī)制、執(zhí)法處罰機(jī)制、專(zhuān)家委員會(huì)任命機(jī)制等。延長(zhǎng)法律規(guī)范的生效時(shí)間、規(guī)定過(guò)渡時(shí)期保障措施、完善系列配套指南等做法符合發(fā)展中國(guó)家進(jìn)行數(shù)據(jù)保護(hù)的現(xiàn)實(shí)國(guó)情，也體現(xiàn)出泰國(guó)通過(guò)落實(shí)配套措施，明確PDPA的執(zhí)行進(jìn)路，強(qiáng)化監(jiān)管力度以保障數(shù)據(jù)安全的決心。

總體來(lái)說(shuō)，GDPR的出臺(tái)推動(dòng)全球數(shù)據(jù)治理進(jìn)入新階段，東南亞國(guó)家紛紛效仿，開(kāi)啟數(shù)據(jù)立法熱潮。泰國(guó)最新生效的PDPA大部分借鑒了GDPR的規(guī)范要求，符合GDPR標(biāo)準(zhǔn)的泰國(guó)跨境公司將不會(huì)違反PDPA，在一定程度上避免了數(shù)據(jù)合規(guī)標(biāo)準(zhǔn)不一的問(wèn)題。與此同時(shí)，泰國(guó)作為發(fā)展中國(guó)家，數(shù)據(jù)保護(hù)雛形正在構(gòu)建，在實(shí)踐中可能難以與歐盟國(guó)家高水平的數(shù)據(jù)保護(hù)要求保持一致。PDPA規(guī)范中彰顯的本地?cái)?shù)據(jù)保護(hù)特色不足，可能導(dǎo)致泰國(guó)數(shù)據(jù)保護(hù)規(guī)范在本國(guó)實(shí)施過(guò)程中出現(xiàn)法律制度與社會(huì)現(xiàn)實(shí)間的差異，發(fā)展中國(guó)家如何制定符合本國(guó)國(guó)情的數(shù)據(jù)保護(hù)制度值得深入關(guān)注與探討。