信息来源：安全内参

文 | 杨春白雪 信通院互联网法律研究中心研究员

赵曼妤 信通院互联网法律研究中心实习生

2022年6月1日，泰国《个人数据保护法》（简称PDPA）经过两次推迟后正式生效，成为泰国第一部综合性数据保护立法。泰国PDPA最初于2019年5月27日在泰国皇家政府公报上公布，其正式生效时间受新冠疫情影响分别于2020年5月和2021年6月经历了两次推迟。从主要内容来看，泰国PDPA借鉴了欧盟《通用数据保护条例》（GDPR）的立法模式，共分为七章，涉及数据主体权利、数据处理者义务、跨境数据传输、滥用个人数据处罚等方面。从立法目的来看，泰国PDPA体现出泰国作为东盟经济体在自由贸易方面的考量。

一、主要内容介绍

在参考欧盟GDPR的基础上，泰国PDPA也呈现出聚焦本国个人数据保护现状的差异化制度安排。

在概念界定方面，PDPA首先界定了个人数据的概念，涵盖与个人相关联的、可以直接或间接用于识别个人的所有数据，具体包括姓名、身份证号码、地址、电话号码、电子邮箱、财务明细、种族及宗教信息、性行为及性取向信息、犯罪记录、健康证明等。PDPA并未明确界定敏感数据的内涵，但是要求数据处理者和控制者必须在数据主体的明确同意下收集、使用或者披露种族、性别、宗族、政党和生物识别信息等敏感个人数据。值得注意的是，PDPA对个人数据的定义中没有提及IP地址和cookie标识符，也未涉及匿名数据和假名数据等。

在适用范围方面，PDPA规定的数据保护义务适用于在泰国本地或者为泰国居民收集、使用和披露个人数据的所有数据控制者与处理者。据此，PDPA既适用于在泰国设立的数据控制者和处理者，也适用于地处泰国境外但向泰国境内主体提供商品、服务或监控的数据控制者和处理者，在一定程度上明确了PDPA的域外适用效力。PDPA关于数据保护义务的适用范围扩张旨在尽量涵盖与泰国数据主体相关的所有处理活动，切实加强个人数据保护要求。此外，PDPA明确排除了对国家公共安全机构、司法机构等的适用，目前关于政府机构处理个人数据的法律规范尚未出台，后续应该会提上立法进程。

在数据主体权利保护方面，PDPA与GDPR类似，明确规定了数据主体享有一系列权利，包括知情权、访问权、纠正权、删除权、更新权以及获得匿名化数据的权利等。PDPA要求数据控制者和处理者以有效的法律依据为前提处理个人数据，包括同意、履行合同、履行法律义务、基于公共利益、基于合法和重大利益、避免对数据主体造成生命危险等情形。PDPA还规定了数据主体具有请求匿名化个人数据的权利，但是匿名化数据的保护边界尚不明晰，可能造成法律适用难题以及数据主体与数据控制者和处理者之间的利益失衡。

在数据控制者和处理者责任方面，PDPA和GDPR对于数据控制者和处理者在保障数据主体权利、任命数据保护官、数据泄露通知、保存记录、安全措施等方面的责任要求范围相似。对于数据保护官（DPO），GDPR中明确要求了DPO的独立性，PDPA对此并未加以明确。为了防范数据泄漏事件，PDPA引入了GDPR中要求数据控制者和处理者实施适当的安全措施，在发生个人数据泄露后的72小时内强制性履行泄露通知义务，及时通报监管当局和数据主体。

在数据跨境传输方面，数据控制者和处理者在未征得数据主体同意的情况下，不得将个人数据转移至泰国境外，除非满足相关法律要求或者属于合同履行所必须。数据接收国应当采取与PDPA相匹配的数据保护标准，否则无法将个人数据转移到泰国境外，除非满足相关法律要求。与GDPR不同的是，PDPA没有涉及遵守法院判决、国际司法合作协定的数据跨境传输问题。与此同时，PDPA支持多项自由贸易协定（FTA）关于数据隐私和安全保障的要求，这将为泰国在欧盟、东盟自由贸易中经济的可持续发展提供机遇。

在处罚措施方面，PDPA和GDPR均赋予数据主体就数据控制者和处理者因违反该法而造成任何损害的赔偿请求权，并且允许数据主体向有关监管机构或专家委员会提出投诉。PDPA对于滥用个人数据的行为引入了严格的处罚措施，涵盖民事赔偿、行政处罚与刑事处罚，包括从50万泰铢到500万泰铢的罚款以及惩罚性赔偿，某些涉及敏感个人数据和非法披露的违规行为可能会受到高达一年的监禁。PDPA和GDPR在罚款力度上存在差异，PDPA明确规定赔偿范围限于数据主体为防止可能发生的损害而产生的费用或者已经造成的损失。

二、相关研判分析

从立法目的来看，泰国《个人数据保护法》不仅体现出泰国顺应全球立法趋势加强个人数据保护的决心，还彰显了泰国作为东盟经济体在促进经济发展和自由贸易方面的目的考量。

首先，立法的基本目的在于保护泰国数据主体的个人数据免于非法收集、使用和共享，顺应时代趋势加强个人数据保护。泰国拥有超过79%的互联网渗透率和高于76%的移动网渗透率，近年来国内数据泄露、网络诈骗、钓鱼网站等事件呈现高发态势，引发严重后果。在PDPA出台之前，泰国国内尚无规范个人数据保护的法律；PDPA的生效将弥补泰国国内个人数据保护规范的立法空白，为行政机关和司法机关提供裁量和惩罚依据，有效预防并切实打击个人数据泄露事件的发生。

其次，PDPA有利于护航泰国互联网经济和电商行业的蓬勃发展。新冠疫情肆虐和疫情防控政策使得越来越多的消费者选择网上购物，电商平台的同期营商数据普遍上扬。泰国在线购物行业的年均收入已经成为东盟地区最高的国家之一，这对泰国个人数据安全保护提出了更高的要求。PDPA确立的制度框架可以为泰国电商生态的发展与成熟保驾护航，为电商基础设施的完善提供法律保障，从而带动包括技术支持、市场营销、企业服务、支付工具等领域的蓬勃发展。PDPA大部分承继GDPR的规定，对于已经进行数字化转型、实施数据合规的企业可能不会造成过重的合规负担。

最后，PDPA规范数据跨境传输助力跨境商贸自由化发展。泰国作为东盟经济体的重要一员，在后疫情时代抓住经济发展机遇、促进自由贸易方面具有雄心壮志。电子商务的蓬勃发展加强了企业间的沟通，也开拓了跨境电商布局海外的前景，其中不可避免地涉及到数据跨境传输。PDPA不仅承继了GDPR在数据跨境传输的高要求，还体现出其基于泰国国情的特殊考量，比如支持多项自由贸易协定关于数据隐私的规定。泰国希望在个人数据保护方面向欧盟看齐，提升其在自由贸易谈判中的吸引力和影响力，为跨境商贸自由化的未来探索新的可能性。

三、关于下一步工作

不可否认，PDPA的正式生效对泰国的中小企业提出了严峻挑战。作为经济发展的中坚力量，中小企业需要采取必要措施以确保数据处理活动遵守PDPA，包括审查内部政策、培训员工、制定必要审核流程等。目前，泰国中小企业的基础普遍薄弱，无法胜任迅速的数字化转型，经济实力也难以应对数据合规带来的较高成本。泰国数字经济与社会部（IMS）曾发布《关于个人数据安全标准（2020）的通知》，规定了个人数据安全措施的最低标准以及相关行政保障、技术保障和物理保障措施，用以提高泰国居民和企业对个人数据保护重要性的认识，支持中小企业开展数据合规活动。

PDPA生效后，为了确保数据保护措施充分实施，泰国数字经济与社会部进一步制定了八项指南预案，涉及中小企业豁免、安全保障措施、投诉管理机制、执法处罚机制、专家委员会任命机制等。延长法律规范的生效时间、规定过渡时期保障措施、完善系列配套指南等做法符合发展中国家进行数据保护的现实国情，也体现出泰国通过落实配套措施，明确PDPA的执行进路，强化监管力度以保障数据安全的决心。

总体来说，GDPR的出台推动全球数据治理进入新阶段，东南亚国家纷纷效仿，开启数据立法热潮。泰国最新生效的PDPA大部分借鉴了GDPR的规范要求，符合GDPR标准的泰国跨境公司将不会违反PDPA，在一定程度上避免了数据合规标准不一的问题。与此同时，泰国作为发展中国家，数据保护雏形正在构建，在实践中可能难以与欧盟国家高水平的数据保护要求保持一致。PDPA规范中彰显的本地数据保护特色不足，可能导致泰国数据保护规范在本国实施过程中出现法律制度与社会现实间的差异，发展中国家如何制定符合本国国情的数据保护制度值得深入关注与探讨。