关于数据隐私的常见问题:泰国

Published on 07 Jan 2022 | 1 minute read
一部东南亚各地数据隐私现状常见问题的指南

 

点击此处,下载《数据隐私常见问题》指南。

点击此处,查看其他司法管辖区的《数据隐私常见问题》公开指南。

 

泰国是否颁布了数据隐私法?若有,这样的法律是否得到了执行?若没有,则以哪些法律为依据呢?

有,泰国颁布了《个人数据保护法》(PDPA)。这是首个管辖数据保护的统一法案。在其颁布之前,先出台了《官方信息法案》,但后者仅管辖国家机构所占有或控制的数据保护,故其适用范围不够广。2019年5月27日,《个人数据保护法》在《皇家公报》上进行公示,次日生效。但是,其中的多数条款并未执行,因为政府通过颁布《皇家法令》,给予大部分国家及私人实体等诸多企业豁免,该项豁免的有效期从《个人数据保护法》首次实施之日起到2021年5月31日止。随后,该项豁免又延长了一年,所以在2022年6月1日,《个人数据保护法》才会被全面执行。

但是,现已经签发了《部长令》,鼓励享有豁免的实体在这些延期阶段中,采用《个人数据保护法》所规定的数据保护措施和标准。

 

目前哪些与数据保护相关的重要法律文书尚未生效?若有,有具体的时间表吗?

就个人数据保护而言,《个人数据保护法》提出了多项原则,但具体措施则留待次级法规进一步规定。《个人数据保护法》要求由个人数据保护委员会(“PDPC”)负责发布并执行次级法规,但目前尚未委任个人数据保护委员会。因此,尚未发布且未执行的重要法律文书均属于次级法规。

此类次级法规包括三套,目前正在通过公开听证会进行讨论。2021年2月,组织了关于第一套法规的公开听证会,接着在2021年6月,又组织了关于第二套法规的公开听证会。目前,尚未公布关于第三套法规公开听证会的时间安排,但预计将在2021年8月左右进行。

目前还没有确定具体的时间表,不过有望在2022年6月1日第二轮《个人数据保护法》延期结束后出台次级法规。

 

泰国数据保护法的适用对象是谁?

《个人数据保护法》适用于在泰王国境内,作为数据控制方和/或数据处理方,收集、使用或披露自然人个人数据的任何自然人或法人,无论此类收集、使用或披露是在泰王国境内或境外完成。针对数据控制方或数据处理方不在泰国境内的情况,只要该数据控制方或数据处理方的活动涉及向泰国境内的数据主体提供商品或服务,无论是否要求数据主体付款,或涉及监控泰国境内的数据主体的行为,则《个人数据保护法》也适用于对该泰国境内人员的个人数据的收集、使用或披露。

《个人数据保护法》不应适用于负责维护国家安全的国家机构所采取的行动,也不应适用于因个人利益或自身家庭活动而收集、使用或披露个人数据的行为。

 

就个人数据保护而言,泰国的有关监管部门和执法部门是哪些?

《个人数据保护法》由数字经济与社会部监管。《个人数据保护法》将成立个人数据保护委员会和个人数据保护委员会办公室。

个人数据保护委员会的职权涉及监管和执行两个方面,包括就个人数据的促进与保护制定总行动计划,根据《个人数据保护法》确定与个人数据保护相关的行动措施或准则,就《个人数据保护法》的执行发布通知或条例,就传送或转移至外国的个人数据公布并建立保护标准、就《个人数据保护法》的执行问题作出解释和裁决,等等。

个人数据保护委员会办公室的职权为执行《个人数据保护法》的学术和行政任务,包括就个人数据的促进与保护起草总行动计划,跟踪并评估对《个人数据保护法》的遵守情况等。截至2021年8月6日,尚未委任个人数据保护委员会和个人数据保护委员会办公室。

 

在泰国是如何定义个人数据的?

个人数据被定义为任何与在世自然人相关的、能够直接或间接地确认其身份的信息。

根据政府颁布的《个人数据保护法》摘要传单,个人数据包括姓名、身份证号码、地址、电话号码、电子邮件地址、财务明细、种族、宗教或哲学信仰、性行为、犯罪记录、健康记录、等等。

 

法律中是否区分了个人数据与敏感数据?

是的。尽管《个人数据保护法》中未明确定义什么是敏感个人数据,但其中单独列出了一条规定,就某些个人数据的收集设置了严格要求,此类数据往往涉及种族或民族本源、政治观点、邪教、宗教、哲学信仰、性行为、犯罪记录、健康数据、残疾、贸易/工会信息、遗传数据、生物识别数据,以及可能以个人数据保护委员会进一步规定的方式影响数据主体的任何数据。

收集上述个人数据需要取得数据主体的明确同意,不过也有少数例外。

 

在泰国,同意要求指什么?

即需要有明确且自愿给予的同意。根据《个人数据保护法》,除非在收集、使用或披露之前或之时,数据主体已表示同意,否则数据控制方不得收集、使用或披露数据主体的个人数据。在《个人数据保护法》中,未对同意形式作出任何要求,但授权了个人数据保护委员会去要求数据控制方按其规定的形式及陈述,征求数据主体的同意。

这样的征求必须以书面声明或电子方式明确提出。在征求数据主体的同意时,数据控制方必须告知对方为何要收集、使用或披露其个人数据。这样的征求必须以明显区别于其他事宜的方式提出,其形式及陈述须易于理解,语言表达须清晰明了,并且就该目的而言,不得欺骗或误导数据主体。

数据主体可随时撤回其同意。同意的撤销与授予应同样方便,除非法律或合同中设置了有利于数据主体的限制。

 

对个人数据的跨境转移有哪些限制吗?

若接收国或接收组织被认定设有完善的数据保护标准,则数据控制方可以将个人数据转移或传送至外国或国际组织并且应遵守个人数据保护委员会规定的条例,但以下情况除外:

  1. 为符合法律规定;
  2. 在已告知数据主体目的地国家或国家组织的个人数据保护标准不够完善的前提下,获得了数据主体同意;
  3. 为了履行数据主体所签署的合同或为了在签订合同前采取数据主体所要求的措施所必需的情况;

d.为了遵守数据控制方与其他人员或法人之间出于维护数据主体的利益而订立的合同;

  1. 为了规避或制止对数据主体或其他人员构成的生命、身体或健康危险,而此时数据主体无法给予同意;
  2. 为开展与重大公共利益相关的活动所必需的情况。

对于在泰国境内且向其在泰国境外的关联方转移数据的数据控制方或数据处理方,若他们就该转移设置了个人数据保护政策,并且该政策已通过个人数据保护委员会办公室的审查和认证,则该转移可免除遵守上述条例。

目前尚未成立个人数据保护委员会和个人数据保护委员会办公室。因此,设有完善个人数据保护标准的目的地国家及组织名单、个人数据保护委员会的转移条例、个人数据保护委员会就关联方之间转移政策的审查认证条例及办法也尚未出台。

30% Complete
Deputy Country Manager and Head of Dispute Resolution Team
+66 2 653 2730
Principal and Head of Digital & Commercial at Lusheng Law Firm (Rouse's strategic partner)
+86 21 3251 9966
Deputy Country Manager and Head of Dispute Resolution Team
+66 2 653 2730
Principal and Head of Digital & Commercial at Lusheng Law Firm (Rouse's strategic partner)
+86 21 3251 9966