泰國《個人數(shù)據(jù)保護法》經(jīng)兩次推遲后正式生效 |
來源:聚銘網(wǎng)絡 發(fā)布時間:2022-06-30 瀏覽次數(shù): |
信息來源:安全內參
文 | 楊春白雪 信通院互聯(lián)網(wǎng)法律研究中心研究員 趙曼妤 信通院互聯(lián)網(wǎng)法律研究中心實習生 2022年6月1日,泰國《個人數(shù)據(jù)保護法》(簡稱PDPA)經(jīng)過兩次推遲后正式生效,成為泰國第一部綜合性數(shù)據(jù)保護立法。泰國PDPA最初于2019年5月27日在泰國皇家政府公報上公布,其正式生效時間受新冠疫情影響分別于2020年5月和2021年6月經(jīng)歷了兩次推遲。從主要內容來看,泰國PDPA借鑒了歐盟《通用數(shù)據(jù)保護條例》(GDPR)的立法模式,共分為七章,涉及數(shù)據(jù)主體權利、數(shù)據(jù)處理者義務、跨境數(shù)據(jù)傳輸、濫用個人數(shù)據(jù)處罰等方面。從立法目的來看,泰國PDPA體現(xiàn)出泰國作為東盟經(jīng)濟體在自由貿(mào)易方面的考量。 一、主要內容介紹 在參考歐盟GDPR的基礎上,泰國PDPA也呈現(xiàn)出聚焦本國個人數(shù)據(jù)保護現(xiàn)狀的差異化制度安排。 在概念界定方面,PDPA首先界定了個人數(shù)據(jù)的概念,涵蓋與個人相關聯(lián)的、可以直接或間接用于識別個人的所有數(shù)據(jù),具體包括姓名、身份證號碼、地址、電話號碼、電子郵箱、財務明細、種族及宗教信息、性行為及性取向信息、犯罪記錄、健康證明等。PDPA并未明確界定敏感數(shù)據(jù)的內涵,但是要求數(shù)據(jù)處理者和控制者必須在數(shù)據(jù)主體的明確同意下收集、使用或者披露種族、性別、宗族、政黨和生物識別信息等敏感個人數(shù)據(jù)。值得注意的是,PDPA對個人數(shù)據(jù)的定義中沒有提及IP地址和cookie標識符,也未涉及匿名數(shù)據(jù)和假名數(shù)據(jù)等。 在適用范圍方面,PDPA規(guī)定的數(shù)據(jù)保護義務適用于在泰國本地或者為泰國居民收集、使用和披露個人數(shù)據(jù)的所有數(shù)據(jù)控制者與處理者。據(jù)此,PDPA既適用于在泰國設立的數(shù)據(jù)控制者和處理者,也適用于地處泰國境外但向泰國境內主體提供商品、服務或監(jiān)控的數(shù)據(jù)控制者和處理者,在一定程度上明確了PDPA的域外適用效力。PDPA關于數(shù)據(jù)保護義務的適用范圍擴張旨在盡量涵蓋與泰國數(shù)據(jù)主體相關的所有處理活動,切實加強個人數(shù)據(jù)保護要求。此外,PDPA明確排除了對國家公共安全機構、司法機構等的適用,目前關于政府機構處理個人數(shù)據(jù)的法律規(guī)范尚未出臺,后續(xù)應該會提上立法進程。 在數(shù)據(jù)主體權利保護方面,PDPA與GDPR類似,明確規(guī)定了數(shù)據(jù)主體享有一系列權利,包括知情權、訪問權、糾正權、刪除權、更新權以及獲得匿名化數(shù)據(jù)的權利等。PDPA要求數(shù)據(jù)控制者和處理者以有效的法律依據(jù)為前提處理個人數(shù)據(jù),包括同意、履行合同、履行法律義務、基于公共利益、基于合法和重大利益、避免對數(shù)據(jù)主體造成生命危險等情形。PDPA還規(guī)定了數(shù)據(jù)主體具有請求匿名化個人數(shù)據(jù)的權利,但是匿名化數(shù)據(jù)的保護邊界尚不明晰,可能造成法律適用難題以及數(shù)據(jù)主體與數(shù)據(jù)控制者和處理者之間的利益失衡。 在數(shù)據(jù)控制者和處理者責任方面,PDPA和GDPR對于數(shù)據(jù)控制者和處理者在保障數(shù)據(jù)主體權利、任命數(shù)據(jù)保護官、數(shù)據(jù)泄露通知、保存記錄、安全措施等方面的責任要求范圍相似。對于數(shù)據(jù)保護官(DPO),GDPR中明確要求了DPO的獨立性,PDPA對此并未加以明確。為了防范數(shù)據(jù)泄漏事件,PDPA引入了GDPR中要求數(shù)據(jù)控制者和處理者實施適當?shù)陌踩胧?,在發(fā)生個人數(shù)據(jù)泄露后的72小時內強制性履行泄露通知義務,及時通報監(jiān)管當局和數(shù)據(jù)主體。 在數(shù)據(jù)跨境傳輸方面,數(shù)據(jù)控制者和處理者在未征得數(shù)據(jù)主體同意的情況下,不得將個人數(shù)據(jù)轉移至泰國境外,除非滿足相關法律要求或者屬于合同履行所必須。數(shù)據(jù)接收國應當采取與PDPA相匹配的數(shù)據(jù)保護標準,否則無法將個人數(shù)據(jù)轉移到泰國境外,除非滿足相關法律要求。與GDPR不同的是,PDPA沒有涉及遵守法院判決、國際司法合作協(xié)定的數(shù)據(jù)跨境傳輸問題。與此同時,PDPA支持多項自由貿(mào)易協(xié)定(FTA)關于數(shù)據(jù)隱私和安全保障的要求,這將為泰國在歐盟、東盟自由貿(mào)易中經(jīng)濟的可持續(xù)發(fā)展提供機遇。 在處罰措施方面,PDPA和GDPR均賦予數(shù)據(jù)主體就數(shù)據(jù)控制者和處理者因違反該法而造成任何損害的賠償請求權,并且允許數(shù)據(jù)主體向有關監(jiān)管機構或專家委員會提出投訴。PDPA對于濫用個人數(shù)據(jù)的行為引入了嚴格的處罰措施,涵蓋民事賠償、行政處罰與刑事處罰,包括從50萬泰銖到500萬泰銖的罰款以及懲罰性賠償,某些涉及敏感個人數(shù)據(jù)和非法披露的違規(guī)行為可能會受到高達一年的監(jiān)禁。PDPA和GDPR在罰款力度上存在差異,PDPA明確規(guī)定賠償范圍限于數(shù)據(jù)主體為防止可能發(fā)生的損害而產(chǎn)生的費用或者已經(jīng)造成的損失。 二、相關研判分析 從立法目的來看,泰國《個人數(shù)據(jù)保護法》不僅體現(xiàn)出泰國順應全球立法趨勢加強個人數(shù)據(jù)保護的決心,還彰顯了泰國作為東盟經(jīng)濟體在促進經(jīng)濟發(fā)展和自由貿(mào)易方面的目的考量。 首先,立法的基本目的在于保護泰國數(shù)據(jù)主體的個人數(shù)據(jù)免于非法收集、使用和共享,順應時代趨勢加強個人數(shù)據(jù)保護。泰國擁有超過79%的互聯(lián)網(wǎng)滲透率和高于76%的移動網(wǎng)滲透率,近年來國內數(shù)據(jù)泄露、網(wǎng)絡詐騙、釣魚網(wǎng)站等事件呈現(xiàn)高發(fā)態(tài)勢,引發(fā)嚴重后果。在PDPA出臺之前,泰國國內尚無規(guī)范個人數(shù)據(jù)保護的法律;PDPA的生效將彌補泰國國內個人數(shù)據(jù)保護規(guī)范的立法空白,為行政機關和司法機關提供裁量和懲罰依據(jù),有效預防并切實打擊個人數(shù)據(jù)泄露事件的發(fā)生。 其次,PDPA有利于護航泰國互聯(lián)網(wǎng)經(jīng)濟和電商行業(yè)的蓬勃發(fā)展。新冠疫情肆虐和疫情防控政策使得越來越多的消費者選擇網(wǎng)上購物,電商平臺的同期營商數(shù)據(jù)普遍上揚。泰國在線購物行業(yè)的年均收入已經(jīng)成為東盟地區(qū)最高的國家之一,這對泰國個人數(shù)據(jù)安全保護提出了更高的要求。PDPA確立的制度框架可以為泰國電商生態(tài)的發(fā)展與成熟保駕護航,為電商基礎設施的完善提供法律保障,從而帶動包括技術支持、市場營銷、企業(yè)服務、支付工具等領域的蓬勃發(fā)展。PDPA大部分承繼GDPR的規(guī)定,對于已經(jīng)進行數(shù)字化轉型、實施數(shù)據(jù)合規(guī)的企業(yè)可能不會造成過重的合規(guī)負擔。 最后,PDPA規(guī)范數(shù)據(jù)跨境傳輸助力跨境商貿(mào)自由化發(fā)展。泰國作為東盟經(jīng)濟體的重要一員,在后疫情時代抓住經(jīng)濟發(fā)展機遇、促進自由貿(mào)易方面具有雄心壯志。電子商務的蓬勃發(fā)展加強了企業(yè)間的溝通,也開拓了跨境電商布局海外的前景,其中不可避免地涉及到數(shù)據(jù)跨境傳輸。PDPA不僅承繼了GDPR在數(shù)據(jù)跨境傳輸?shù)母咭螅€體現(xiàn)出其基于泰國國情的特殊考量,比如支持多項自由貿(mào)易協(xié)定關于數(shù)據(jù)隱私的規(guī)定。泰國希望在個人數(shù)據(jù)保護方面向歐盟看齊,提升其在自由貿(mào)易談判中的吸引力和影響力,為跨境商貿(mào)自由化的未來探索新的可能性。 三、關于下一步工作 不可否認,PDPA的正式生效對泰國的中小企業(yè)提出了嚴峻挑戰(zhàn)。作為經(jīng)濟發(fā)展的中堅力量,中小企業(yè)需要采取必要措施以確保數(shù)據(jù)處理活動遵守PDPA,包括審查內部政策、培訓員工、制定必要審核流程等。目前,泰國中小企業(yè)的基礎普遍薄弱,無法勝任迅速的數(shù)字化轉型,經(jīng)濟實力也難以應對數(shù)據(jù)合規(guī)帶來的較高成本。泰國數(shù)字經(jīng)濟與社會部(IMS)曾發(fā)布《關于個人數(shù)據(jù)安全標準(2020)的通知》,規(guī)定了個人數(shù)據(jù)安全措施的最低標準以及相關行政保障、技術保障和物理保障措施,用以提高泰國居民和企業(yè)對個人數(shù)據(jù)保護重要性的認識,支持中小企業(yè)開展數(shù)據(jù)合規(guī)活動。 PDPA生效后,為了確保數(shù)據(jù)保護措施充分實施,泰國數(shù)字經(jīng)濟與社會部進一步制定了八項指南預案,涉及中小企業(yè)豁免、安全保障措施、投訴管理機制、執(zhí)法處罰機制、專家委員會任命機制等。延長法律規(guī)范的生效時間、規(guī)定過渡時期保障措施、完善系列配套指南等做法符合發(fā)展中國家進行數(shù)據(jù)保護的現(xiàn)實國情,也體現(xiàn)出泰國通過落實配套措施,明確PDPA的執(zhí)行進路,強化監(jiān)管力度以保障數(shù)據(jù)安全的決心。 總體來說,GDPR的出臺推動全球數(shù)據(jù)治理進入新階段,東南亞國家紛紛效仿,開啟數(shù)據(jù)立法熱潮。泰國最新生效的PDPA大部分借鑒了GDPR的規(guī)范要求,符合GDPR標準的泰國跨境公司將不會違反PDPA,在一定程度上避免了數(shù)據(jù)合規(guī)標準不一的問題。與此同時,泰國作為發(fā)展中國家,數(shù)據(jù)保護雛形正在構建,在實踐中可能難以與歐盟國家高水平的數(shù)據(jù)保護要求保持一致。PDPA規(guī)范中彰顯的本地數(shù)據(jù)保護特色不足,可能導致泰國數(shù)據(jù)保護規(guī)范在本國實施過程中出現(xiàn)法律制度與社會現(xiàn)實間的差異,發(fā)展中國家如何制定符合本國國情的數(shù)據(jù)保護制度值得深入關注與探討。
|