隐私法与个人数据保护条例

过去，泰国从未针对个人数据保护专门立法。能够适用的法律仅保护国家机构占有或控制的个人信息，而其他个人数据保护规定则分散在一般法律中，如《宪法》和针对《民商法典》项下不法行为的法律。

2019年，国家立法议会批准了泰国首个综合性《个人数据保护法（2019）》（PDPA），该法案于2022年6月1日全面生效。《个人数据保护法》就数据保护作出重要规定，个人数据保护委员会后续颁布了一系列次级立法或实施细则（未来还会陆续颁布行政法规），就数据保护的详细规则、流程、标准和指引作出规定。

对企业活动的影响

《个人数据保护法》影响收集、使用、披露或传输个人数据的所有个人/企业，无论处理的个人数据规模如何。不过，部分企业，如中小企业或慈善基金会，在符合特定标准的情况下或可免于遵守《个人数据保护法》的某些要求。

《个人数据保护法》颁布后，企业需要改变收集、使用、披露或转移个人数据的方式，这些数据包括客户、消费者、商业伙伴和员工的个人数据。个人数据不能再永久保存，其处理必须基于《个人数据保护法》规定的法律依据。

自《个人数据保护法》生效以来，泰国企业一直在积极修正它们对个人数据的处理方式，以遵守该法案，因为该法案会对违规者予以严厉处罚。

违法者可处以以下民事、行政或刑事处罚：

• 民事责任：不超过实际损失2倍的损害赔偿；
• 行政责任：最高500万泰铢的行政罚款（137,700美元）；和/或
• 刑事责任：不超过六个月至一年的监禁或不超过500,000至1,000,000泰铢的罚款，或监禁并处罚款（视案件情节而定）。

需要注意的是，刑事处罚不仅针对企业实体，负责指导相关业务的董事、经理或授权人员也可能面临同样的刑事处罚。

因此，所有处理泰国个人数据的企业实体都必须在企业内部建立一种新的数据“文化”，让每个人，从高层管理人员到运营人员，都了解并遵守《个人数据保护法》。

此外，为了遵守《个人数据保护法》，企业必须制定或修改隐私政策和个人数据处理流程和程序。不遵守《个人数据保护法》可能导致数据泄露，进而导致组织受到《个人数据保护法》处罚。

PDPA要点介绍

什么是个人数据？《个人数据保护法》规定了适用范围和适用对象。个人数据被定义为“任何与某个人有关、能够直接或间接识别此人的信息，但不包括死者的信息”。本定义下的任何数据均应受到《个人数据保护法》的保护。

《个人数据保护法》还定义了在处理过程中需要特别注意的数据，即“敏感数据”，它指与民族、种族、政治观点、文化、宗教或哲学信仰、性行为、犯罪记录、健康数据、残疾、工会信息、基因数据、生物特征数据有关的个人数据或任何可能以同样方式影响数据主体的数据。

《个人数据保护法》仅适用于保护其个人数据已由数据控制者和/或数据处理者通过该法案规定的方式进行处理的个人。因此，法人的数据不受《个人数据保护法》的保护。

相关方。《个人数据保护法》约束的对象或涉及的对象有五类：：数据主体；数据控制者；数据处理者；数据保护官；以及个人数据保护委员会。

数据控制者是指有权力和义务就个人数据的收集、使用或披露做出决定的个人或法人。数据处理者是指根据数据控制者指令或代表数据控制者收集、使用或披露个人数据的个人或法人，该个人或法人不是数据控制者。

因此，数据控制者/数据处理者可以是个人或实体，但数据控制者可以酌情决定收集、使用、披露或传输数据主体的个人数据，而数据处理者代表数据控制者或根据数据控制者的命令处理个人数据。

《个人数据保护法》主要规定数据控制者的职责和义务。数据控制者的主要职责可分为两类：

• 对数据主体的义务。主要责任包括按《个人数据保护法》的要求将数据处理的过程、目的等告知数据主体，确保法案赋予数据主体的权利得到保障。
• 企业内部的责任。主要责任包括实施安全措施，包括数据处理程序、通知数据泄露、准备数据处理协议、保存处理活动记录，或确保转移个人数据转移的目的国制定了充分的数据保护标准。

《个人数据保护法》对数据处理者施加的责任较少，但在某些情况下，如果数据处理者处理个人数据超出了数据控制者的命令或指令范围，则数据处理者也可能像数据控制者一样承担责任。

除数据控制者和数据处理者之外，数据控制者或数据处理者还应任命以下人员，包括：

• 数据保护官(DPO)，即必须具有个人数据保护方面的知识或专长的人，因为数据保护官需要向数据控制者/数据处理者提供建议并调查数据控制者/数据处理者处理数据的合规性，并与委员会办公室协调和合作；和/或
• 如果个人数据在海外处理，应还任命一位泰国代表。
• 委员会是负责监督个人数据处理是否符合《个人数据保护法》规定的监管机构。

适用范围。《个人数据保护法》兼有属地管辖和域外管辖的性质。除特例情况，泰国和海外的数据控制者和数据处理者，如果在泰国处理数据主体的个人数据，均应遵守《个人数据保护法》。

法律依据。寻求数据主体的同意是处理个人数据的一项关键原则，不过《个人数据保护法》规定了一些例外情况，即基于以下目的的个人数据处理：

• 历史目的、研究或统计；
• 重大利益；
• 法律义务；
• 合同依据；
• 公共利益；或
• 合法利益

法案对敏感数据的数理规定了额外的法律依据。

数据主体的权利。根据《个人数据保护法》，除例外情况外，数据主体应享有以下权利：

• 知情权；
• 访问/获取记录的权利；
• 数据可携带权；
• 反对权；
• 删除权；
• 限制处理权；
• 纠正权；
• 撤回同意的权利；和
• 投诉权

基于上述规定，数据控制者的一大重要责任是要告知数据主体处理个人数据的目的和依据，包括要处理的个人数据类型和保留个人数据的期限。

如须披露个人数据，则必须告知数据主体所收集的个人数据可能披露给哪类人群或实体。

最后，还必须告知数据控制者、代表（如适用）或数据保护官的信息和联系方式，以及数据主体的权利。

准备和实施

如果企业的个人数据处理方式不合规，则应立即分析现行做法与法案规定的差距。为保证业务合规，企业须采取以下措施：确定每项活动中处理个人数据的法律依据；制定或修改隐私政策，包括其他相关政策，做好记录工作；对所有内部员工进行培训，确保所有业务合作伙伴知悉企业个人数据保护文化的变化。

此外，企业可以考虑同时实施其个人数据管理流程和IT安全措施。安全措施的最低安全标准不低于委员会通知中规定的标准。

最低标准与国际标准化组织和国际电工委员会标准27001（ISO/IEC 27001）中的概念一致，其中主要概念包括数据保密性、完整性和可用性。

跨国公司

尽管泰国的《个人数据保护法》，包括实施细则，参照了《通用数据保护条例》（GDPR），但企业应记住，GDPR合规的企业不意味着在各方面都符合《个人数据保护法》。为确保合规，企业还应确保旗下所有组织均实施个人数据保护制度。子公司之间的个人数据传输也必须遵守《个人数据保护法》的要求和限制。