根据由谷歌、淡马锡和贝恩公司联合发布的《2021东南亚互联网经济年度报告》,自2020年疫情开始至2021年上半年,泰国新增900万数字消费者。2021年9月1日起,当非泰国居民电子服务提供商和电子平台通过向泰国非增值税注册客户提供电子服务所取得的收入超过180万泰铢/年时,泰国政府将对该等服务提供商或平台征收7%的增值税。由此可见,在全球疫情常态化背景下,泰国也与诸多东南亚国家一样,正在进行数字化转型。
除此之外,泰国拟重启与欧盟的自贸协定谈判,泰国除需满足欧盟对环境、知识产权方面的要求外,还需满足GDPR的要求。在内部消费转型与外部要求双重驱动下,泰国颁布单独立法规范个人数据的处理行为。本文将简述泰国数据保护法律体系。
一、数据保护法律体系概况
泰国首部《个人数据保护法》(Personal Data Protection Act,以下简称“PDPA”)于2022年6月1日生效,该法为关于个人数据收集、使用、披露等的综合性立法,且就违法违规处理个人数据的民事责任、刑事责任以及行政责任作出明确规定。近日,泰国政府公报发布了针对PDPA的二级立法,包括《个人数据控制者安全措施》、《个人数据处理者个人数据处理活动记录的准备和保存标准和方法》、《免除小型企业数据控制者记录》以及《专家委员会发布行政罚款和命令的标准》。泰国个人数据保护委员会(Personal Data Protection Committee,以下简称“PDPC”)负责后续法律的实施。
二、适用范围
三、处理合法性基础
可以对标《个人信息保护法》第13条对泰国数据处理合法性基础进行理解。
四、数据控制者义务
五、数据主体权利与保护
泰国数据保护法律体系下的数据主体权利与我国相似,包括知情权、访问权、数据可移植权、反对权、删除权等,详见下表:
六、跨境传输
根据PDPA,若组织跨境转移个人数据,接收方所在的国家或国际组织应具有足够的数据保护标准,并应按照PDPC颁布的标准或规定执行,但以下情况除外:
七、法律责任承担
数据控制者违法违规处理个人数据,需要承担民事、刑事或者行政责任,具体如下:
以上为我们对泰国数据合规的重点解读,希望能为出海泰国的企业提供参考,下期我们将推出马来西亚数据合规解读文章,欢迎各位持续关注。
文 | 兰迪数据合规团队(丁学明、陈梦园、熊雅洁律师)