Legal Insights

泰平研究 | 企业东南亚出海实务之泰国个人数据保护法(PDPA)框架下的数据跨境

引言

在数字全球化的时代,跨境传输个人数据已成为国际商业运营的重要组成部分。为应对在此类情境中保护个人数据的需求,泰国《个人数据保护法》(“PDPA”)建立了一套关于个人数据跨境传输的严格法律框架,并就相关违法行为规定了行政、民事甚至刑事责任。

因此,涉及跨境数据传输的企业或组织—无论其身份为数据控制者或数据处理者—均应全面审查自身的数据传输机制,确保具备合法依据、采取适当保障措施,并建立健全的内部合规制度。

本文拟就泰国PDPA下跨境传输个人数据的相关合规要点进行简述。

01
法律框架

1. 主要监管机构

  • 泰国数字经济与社会部 (The Ministry of Digital Economy and Society,”MDES”)
  • 个人数据保护委员会 (Personal Data Protection Committee, “PDPC”)
  • 个人数据保护委员会办公室(Office of the PDPC, “Office”)

2. 主要适用法规

  • 《个人数据保护法》(Personal Data Protection Act 2019, “PDPA”)
  • PDPC《关于依据<个人数据保护法>第28条规定跨境传输个人数据的保护标准的通知(2023)》(“第28条通知”)
  • PDPC《关于依据<个人数据保护法>第29条规定跨境传输个人数据的保护标准的通知(2023)》(“第29条通知”)
  • PDPC发布的其他相关通知

02
关键概念与适用

 

1. 关键定义

根据PDPA第6、第26条规定:

  • 个人数据:指可直接或间接识别特定自然人身份的有关信息,但不包括已故者的信息;
  • 个人敏感数据:种族、民族出身、政治观点、宗教或哲学信仰、性行为、犯罪记录、健康数据、残疾、工会信息、遗传数据、生物识别数据,或由PDPC规定的以同样方式可能影响数据主体的其他数据。
  • 数据控制者:指具有决定个人数据的收集、使用或披露之权力和义务的自然人或法人;
  • 数据处理者:指非数据控制者,但依照数据控制者的指令或者代表数据控制者对个人数据进行收集、使用或披露的自然人或法人。

2. 适用范围

根据第28条/29条通知第3条规定:

2.1.  “发送或传输个人数据”:指由个人数据的发送方或传输方以实体方式或通过计算机系统或网络向个人数据接收方发送或传输个人数据的行为。

2.2.  不属于“发送或传输个人数据”的情形

  1. 数据中转:作为数据中转站的中介在计算机系统或网络之间进行数据传输或接收;或
  2. 数据存储(第三方不可访问):以临时或永久形式进行数据存储,且外部主体(除数据发送方及其人员、雇员或承包商以外的主体)不可访问该等个人数据。例如,通过国际网络传输数据或通过云计算服务提供商的系统发送数据,并且仅数据控制者、数据处理者或其人员、雇员或承包商在受技术措施或法律条件约束下能够访问该等个人数据的情形。

03
正当依据

根据PDPA及第28/29条通知的相关规定,数据跨境的正当依据主要有以下四类:

  1. 充分个人数据保护标准/Adequate Personal Data Protection Standard
  2. 约束性公司规则/Binding Corporate Rules, BCRS
  3. 适当保护措施/Appropriate Safeguards
  4. 法定豁免情形/Exceptions

04
正当依据之充分保护标准

1. 适用情形

根据PDPA第28条规定,数据控制者将个人数据传送至境外,接收个人数据的目的地国家或国际组织应满足“充分个人数据保护标准”。

2. 合规要点

2.1.  应获得PDPC关于保护标准充分性的决定

  • 根据PDPA第28条第3款规定,若收个人数据的目的国或国际组织的数据保护标准的充分性存在不确定性,应提交PDPC决定。
  • 根据第28条通知第8条规定,向PDPC提出充分性的决定申请时,Office可采取以下任一方式:(1)受理数据控制者提交的个案申请;或(2)由Office自行收集资料并提出申请。
  • PDPC则有权:(1)进行个案审查并作出决定;或(2)发布具备充分个人数据保护标准的目的地国家或国际组织名单(截至目前,该项白名单尚未正式公布)。
  • 复核程序

如有新证据显示接收个人数据的目的地国家或国际组织已建立起充分的个人数据保护标准或在其他适当情形下,Office有权请求PDPC对其原有决定进行复核。

2.2.  充分性标准的认定因素

  • 目的地国家或国际组织应具备与PDPA保护水平相一致的法律措施或机制,以保障个人数据安全。其中,应包括数据控制者需承担的如下责任:(1)采取适当安全措施;(2)提供可依照数据主体权利执行的个人数据保护措施;以及(3)提供有效的法律救济措施。
  • 目的地国家或国际组织已设立主管机关或机构,并赋予其执行个人数据保护相关法规的职责与权限。

05
正当依据之约束性公司规则

1. 适用情形

泰国境内的数据控制者或数据处理者,已就数据跨境制定了个人数据保护政策(约束性公司规则, BCRs,且接收数据的外国数据控制者或数据处理者与其属于同一关联企业或企业集团,并旨在共同经营该等企业或企业集团之业务。

2.  合规要点

2.1.  获得Office认证(certification)

BCRs必须提交至Office进行审查和批准。提交方式包括直接提交、邮寄或电子渠道。

2.2.  法律效力与可执行性

  • BCRs必须在同一企业集团(母公司、子公司、关联公司或相关自然人或法人)内具有法律约束力和可执行性。
  • 必须符合泰国PDPA的规定,并约束所有参与数据传输的员工、雇员和承包商。

2.3.  数据主体权利与投诉机制

BCRs必须明确包含:

  • 数据主体根据PDPA享有的权利。
  • 数据主体就跨境数据传输提出投诉的机制。

2.4.  数据保护与安全措施

实施符合PDPA标准的安全保障措施,包括:

  • 最低限度的安全措施(如加密、访问控制)。
  • 数据泄露通知程序(在发现后72小时内)。

2.5.  操作要求

对于数据处理者:

  • 仅按照数据控制者的指示处理数据。
  • 协助数据控制者响应数据主体的请求。
  • 在合同终止时返还、删除或匿名化数据。

对于数据控制者:

  • 确保数据接收方遵守PDPA原则(如目的限制、数据最小化等)。

2.6.  救济与责任

BCRs必须为数据主体提供有效的法律救济,并明确非法数据传输的责任。

2.7.  与国际标准的一致性

BCRs可参考公认框架(如东盟示范条款、欧盟标准合同条款),但必须确保符合PDPA要求。

06
正当依据之适当保护措施

1. 适用情形

1.1.  接收数据的目的地国家或国际组织未获得PDPA第28条要求的个人数据保护标准的充分性认定;或

1.2.  不存在经Office认证的BCRs。

2. 合规要点

2.1.  适当保护措施的形式

必须符合以下形式之一:

1) 标准合同条款(SCCs)

经PDPC认可的跨境数据传输条款(如东盟示范条款、欧盟SCCs或PDPC规定的其他格式)。

2) PDPC认证

开展数据跨境的数据控制者/处理者就个人数据的收集、使用及披露取得PDPC认证。

3) 政府间具有法律效力且可强制执行的协议或文书

泰国国家机关与外国国家机关之间订立的、具有法律约束力且可执行的法律文书或协议,其内容载明有关个人数据保护的规定。

2.2.  必备条款

被PDPC认可的适当保护措施的核心要求为可执行性数据主体权利安全保障,旨在确保合同条款能为数据跨境提供等同于PDPA的保护水平。原则上须涵盖以下内容:

1) 法律可执行性

对相关方(发送方、接收方、处理者)及其人员具有约束力。

2) 数据主体权利

具备明确数据保护、数据主体权利及投诉机制的条款。

3) 安全措施

  • 符合PDPA最低安全标准;
  •  防止未经授权的访问/泄露。

4) 数据处理者义务

  • 严格遵循数据发送方的指令处理数据;
  • 协助处理数据主体请求(如访问、删除);
  • 合同终止后返还/销毁数据(需书面确认)。

5) 数据泄露通知

  • 发现泄露后72小时内通知发送方;
  • 若接收方为控制者,需直接通知数据主体(低风险除外)。

6) 数据准确性及生命周期

  • 确保数据准确、完整且最新;
  •  规定删除/匿名化程序。

7) 法律救济

  • 确保数据主体可通过司法/行政途径获得有效救济;
  • 明确非法传输个人数据的责任。

2.3.  有限灵活性

允许非实质性修改,前提如下:

  • 不削弱保护水平;
  • 不影响数据主体权利。

07
正当依据之法定豁免

1.       适用情形

1.1.  数据跨境传输的目的地国家或国际组织缺乏充分的个人数据保护标准;

1.2.  不存在约束性公司规则;

1.3.  不存在适当保护措施。

2.       合规要点

若数据跨境是出于以下目的,则可豁免上述PDPA第28条及第29条规定的合规义务:

2.1.  为符合法律规定;

2.2.  数据主体知情且同意(前提:数据主体已被告知目的地国家或国际组织缺乏充分的个人数据保护标准);

2.3.  为履行数据主体作为一方当事人的合同所必需,或为依数据主体请求在订立该合同前采取相关措施所必需;

2.4.  为履行数据控制者与其他主体订立的合同,且该合同履行符合数据主体利益;

2.5.  为防止或遏制对数据主体或他人的生命、身体或健康构成危险,且数据主体当时无法给予同意;或

2.6.  为执行涉及重大公共利益的活动所必须。

08
合规风险

根据PDPA的相关规定,数据跨境的合规风险主要如下表所示:

责任类型 相关法条 违法行为 法律后果
刑事责任 第79条 未经同意或未采取保护措施传输敏感数据,且可能导致他人遭受损害、名誉受损,或使该他人受人蔑视、憎恨或羞辱。 最高6个月监禁或50万泰铢罚款,或两者并罚。
通过违法传输敏感数据的行为非法牟利。 最高1年监禁或100万泰铢罚款,或两者并罚。
民事责任 第77条 除法定原因外,数据控制者或数据处理者,在处理个人数据的过程中违反或未遵守PDPA规定,致使数据主体遭受损害。 赔偿实际损失及必要支出费用;

适用无过错责任原则(无论是否故意)。
第78条 法院可判处惩罚性赔偿(最高为实际赔偿金额的2倍);

法院将综合考虑损害严重性、违法者获利情况及补救措施等因素。
行政责任 第83条 数据控制者,未遵守PDPA第28条及第29条关于跨境数据传输的规定。 最高300万泰铢罚款。
第84条 数据控制者,未遵守关于敏感数据的跨境传输规定。 最高500万泰铢罚款。
第86条 数据处理者,未遵守跨境数据传输规定。 最高300万泰铢罚款;

数据处理者需遵循数据控制者指令,否则视为数据控制者。
第87条 数据处理者,未根据第29条规定传输敏感数据 最高500万泰铢罚款。

【版权声明】

泰平国际律师事务所(TP & ASSOCIATES)保留对本文的所有权利。未经本所书面许可,任何人不得以任何形式或通过任何方式复制本文任何受版权保护的内容,不得转载、引用或篡改本文。

Author