境外法规观察|泰国个人数据保护法正式生效

　　据泰国当地媒体“Thai PBS WORLD”报道，泰国的《个人数据保护法》（Thailand’s Personal Data Protection Act, PDPA）于2022年6月1日正式生效。 

　　泰国政府副发言人Rachada Dhnadirek表示，PDPA将保护民众的个人数据受到合法保护，未经授权的人无法使用个人数据。根据PDPA的规定，负责控制或处理个人数据的个人或实体必须得到数据所有者的同意，才可收集、使用或披露其个人数据，并且他们还必须告知数据所有者使用个人数据的原因和具体目的。此外，PDPA允许数据所有者在遵守个人数据保护原则或相关法律法规的基础上访问、纠正、撤回或删除其个人数据。而控制和处理个人数据的机构必须采取标准安全措施来管理和储存个人数据。 

　　违反PDPA的个人或实体可能将承担民事责任或刑事责任。如：非法收集、使用或披露敏感的个人数据，一经定罪可处以500万泰铢的罚款；若未经授权使用或披露个人数据对他人造成损害或使他人遭受仇恨、羞辱或蔑视，违法者可能面临六个月的监禁和/或50万泰铢的罚款。 

　　Rachada表示，国家数字经济和社会委员会正在为政府部门开发适应PDPA这部法律的平台，预计将在今年结束开发，私营部门也将能使用该平台。 　

　　简评 

　　

《个人数据保护法》在2019年5月颁布公示，次日生效，但给予大多数实体都无法在短时间内立即落实合规要求，因此获得了一年的豁免期，此后豁免期再次延长，直到今年6月开始全面正式施行。PDPA是泰国第一部专门性的数据管理和保护立法，为泰国在个人数据保护领域跟上国际实践起到里程碑式的重要意义。该法案共有七个章节，借鉴了欧盟GDPR的立法模式，从对数据控制者和处理者，以及数据所有者两个角度，规定了前者的义务及后者的权利，很多条款都可以看出类似GDPR的影子。

PDPA包括以下主要内容：（1）明确了个人数据的概念和范围，将所有与个人相联系的、可以用于识别个人的、不论直接或间接的数据都纳入保护范围，具体包括姓名、身份证号码、地址、电话号码、电子邮件地址、财务明细、种族、宗教信息、性行为及性取向信息、犯罪记录、健康记录等，并且在其中区分敏感个人信息给予更加严格的保护。（2）明确一定的域外效力，该法案不仅适用于在泰国设立的组织，不论其是否在泰国本土收集和使用数据；也适用于泰国境外的组织，只要其向泰国境内的数据主体提供商品或服务，或对泰国数据主体的行为进行监控。（3）明确了不合规行为的处罚方式，包括民事、行政和刑事三种处罚，具体的罚则取决于违规行为的严重程度和行为类型，但也同时强调了处罚的目的并非借此获取资金，而是敦促相关主体及时更正错误行为，保障数据所有者的合法权益。（4）明确了数据控制者和处理者，不论公共或私人实体，必须在处理数据之前征得数据所有者的同意，非经明确具体的授权不得将个人数据用于任何目的，并且明确了征得同意的具体方式。（5）明确赋予数据所有者访问、删除、纠正、反对处理其相关个人数据的权利，并且要求数据控制者和处理者采取适当的措施保障所有者的上述权利，给予其提出数据请求的渠道和便捷方式。（6）要求大规模处理个人数据的政府机构或企业任命数据保护官，专门负责帮助其处理个人数据以及数据主体的请求，并且承担企业与数据主体之间的桥梁，解决任何相关问题。（7）要求数据控制者和处理者应当采取适当的安全措施，防止个人数据泄露。（8）要求数据控制者和处理者在未征得数据所有者同意的情况下，不得将个人数据输出转移至泰国境外，除非符合法律的其他规定或为了履行合同所必需。

PDPA的执行机构是泰国数字经济与社会部旗下的个人数据保护委员会及其办公室，该机构将负责监管和执法，并且在未来就该法案颁布进一步的实施标准和细则。目前，泰国仍有大量企业和实体尚未进行PDPA的完全合规，预计在未来可能会出现处罚案例。而我国相关企业应当根据判断自身是否落入该法案的监管范围，积极进行合规改革。