泰国首部《个人数据保护法》(Personal Data Protection Act,以下简称“PDPA”)于2022年6月1日生效,该法为关于个人数据收集、使用、披露等的综合性立法,且就违法违规处理个人数据的民事责任、刑事责任以及行政责任作出明确规定。

泰国数据合规重点解读

根据由谷歌、淡马锡和贝恩公司联合发布的《2021东南亚互联网经济年度报告》,自2020年疫情开始至2021年上半年,泰国新增900万数字消费者。2021年9月1日起,当非泰国居民电子服务提供商和电子平台通过向泰国非增值税注册客户提供电子服务所取得的收入超过180万泰铢/年时,泰国政府将对该等服务提供商或平台征收7%的增值税。由此可见,在全球疫情常态化背景下,泰国也与诸多东南亚国家一样,正在进行数字化转型。

除此之外,泰国拟重启与欧盟的自贸协定谈判,泰国除需满足欧盟对环境、知识产权方面的要求外,还需满足GDPR的要求。在内部消费转型与外部要求双重驱动下,泰国颁布单独立法规范个人数据的处理行为。本文将简述泰国数据保护法律体系。


一、数据保护法律体系概况

泰国首部《个人数据保护法》(Personal Data Protection Act,以下简称“PDPA”)于2022年6月1日生效,该法为关于个人数据收集、使用、披露等的综合性立法,且就违法违规处理个人数据的民事责任、刑事责任以及行政责任作出明确规定。近日,泰国政府公报发布了针对PDPA的二级立法,包括《个人数据控制者安全措施》、《个人数据处理者个人数据处理活动记录的准备和保存标准和方法》、《免除小型企业数据控制者记录》以及《专家委员会发布行政罚款和命令的标准》。泰国个人数据保护委员会(Personal Data Protection Committee,以下简称“PDPC”)负责后续法律的实施。


二、适用范围

PDPA适用于泰国境内的数据控制者/处理者收集、使用和/或披露个人数据,无论个人数据的收集、使用和/或披露行为是否发生在泰国境内。
PDPA的适用范围


三、处理合法性基础

可以对标《个人信息保护法》第13条对泰国数据处理合法性基础进行理解。

泰国数据处理合法性基础包括:取得个人同意;为实现公共利益准备历史文件或档案有关目的,或为与研究或统计有关目的;预防对自然人的生命、身体或健康的危险;为履行与数据主体签订的合同;符合公共利益或行使官方授予的权力;数据控制者、其他自然人或实体的合法利益;对数据控制者遵守法律是必要的。
对标《个人信息保护法》第13条理解泰国数据处理的合法性基础


四、数据控制者义务

PDPA规定的数据控制者义务包括:目的限制义务、通知义务、保留限制义务、保护义务、准确性义务、数据处理记录义务、数据跨境转移限制义务、数据泄露通知义务、数据保护官任命义务、儿童保护义务等。
PDPA规定的数据控制者义务


五、数据主体权利与保护

泰国数据保护法律体系下的数据主体权利与我国相似,包括知情权、访问权、数据可移植权、反对权、删除权等,详见下表:

泰国数据保护法律体系下的数据主体权利包括:知情权、访问权、数据可移植权、反对权、删除权、限制使用权、整改权等。
泰国数据保护法律体系下的数据主体权利


六、跨境传输

根据PDPA,若组织跨境转移个人数据,接收方所在的国家或国际组织应具有足够的数据保护标准,并应按照PDPC颁布的标准或规定执行,但以下情况除外:

跨境转移个人数据,接收方所在的国家或国际组织应具有足够的数据保护标准,并应按照PDPC颁布的标准或规定执行的例外情况。


七、法律责任承担

数据控制者违法违规处理个人数据,需要承担民事、刑事或者行政责任,具体如下:

数据控制者违法违规处理个人数据,需要承担民事、刑事或者行政责任具体惩罚措施以及考量因素。

以上为我们对泰国数据合规的重点解读,希望能为出海泰国的企业提供参考,下期我们将推出马来西亚数据合规解读文章,欢迎各位持续关注。

文 | 兰迪数据合规团队(丁学明、陈梦园、熊雅洁律师)


相关阅读:
泰国《个人数据保护法》PDPA实施,对于互联网企业的影响
泰国银行关于金融机构的数据治理管理办法