企业出海——海外数据合规概览（泰国篇） - 金杜律师事务所

标签：公司与并购-跨境投资和并购，数字经济，电信、传媒、娱乐与高科技-数据及隐私权保护

泰国是东盟地区第二大经济体。2023年，泰国国民生产总值达5121.93亿美元[1]（约37191.87亿人民币）。近年来，泰国持续吸引外国投资，2023泰国外国直接投资的投资额达6630亿泰铢（约1332.44亿人民币），同比增长72%[2]。

当前，中泰经贸合作正迎来新的机遇期[3]。在中国—东盟自贸区持续深化、“一带一路”倡议全方位推进的大背景下，2022年中泰贸易总额达到1350亿美元，中国连续第10年成为泰国第一大贸易伙伴，中国对泰投资12.7亿美元，成为泰国最大的外资来源国[4]。

本文将主要介绍泰国目前个人信息保护立法概况，为中国企业出海泰国提供个人信息保护相关风险防范建议。

一、泰国个人数据保护立法概况

泰国《个人数据保护法案》（Personal Data Protection Act，B.E. 2562（2019）以下简称“PDPA”）于2019年5月27日在《泰国政府公报》上公布，并于2022年6月1日正式生效[5]。PDPA共包括七个章节，其中第一章（Personal Data Protection Committee）与第四章（Office of the Personal Data Protection Committee）明确了泰国个人数据保护委员会（Personal Data Protection Committee，以下简称“PDPC”）的组织设立与职责等内容、第二章（Personal Data Protection）规定了个人数据控制者的主要责任、第三章（Rights of the data subject）明确了个人数据主体权利、第五章（Complaints），第六章（Civil Liability），第七章（Penalties）则明确了违规处理个人数据的救济、责任及处罚等相关规定。

依据PDPA第43条成立的PDPC是泰国个人数据保护监管机构，其主要职责包括：

1. 根据相关的国家政策、战略和国家计划，编制促进和保护个人数据的总体规划草案，以及解决政策实施障碍的总体规划和措施草案；

2. 促进和支持开发与个人数据保护相关的技术；

3. 起草与政策、国家战略和有关国家计划相一致的关于个人数据推广和保护业务的总体计划；

4. 为政府机构和私人机构提供咨询，使其遵守PDPA；

5. 制定课程大纲，为个人数据控制者、个人数据处理者、数据保护官员、雇员、服务提供者或一般公众的工作提供培训；

6. 与国内和国际组织或机构签订协议并开展合作等[6]。

目前PDPC已经发布一系列相关文件细化PDPA的具体规定，包括：

1. 关于发布行政处罚令考虑标准的通知[7]；

2. 关于维护个人数据控制者安全措施的通知[8]；

3. 关于根据《个人数据保护法》第28条跨境传输个人数据的通知[9]；

4. 关于根据《个人数据保护法》第29条跨境传输个人数据的通知[10]；

5. 关于个人数据泄露通知规则与方法的通知[11]；

6. 关于为个人数据控制者准备和保留个人数据处理活动记录的标准和程序的通知[12]。

值得注意的是，泰国于2019年发布《网络安全法案》（Cybersecurity Act, B. E. 2562 (2019)），该法案规定了关键信息基础设施运营者（Organization of Critical Information Infrastructure, 以下简称“CIIO”）的主要网络安全义务，并明确了关键信息基础设施的定义，即政府机构或私人组织在与维护国家安全、公共安全、国家经济安全或符合公共利益的基础设施有关的业务中使用的计算机或计算机系统[13]。

泰国国家网络安全委员会（National Cybersecurity Committee）基于《网络安全法案》的规定发布了若干关于CIIO的通知，进一步明确如何认定CIIO及其主要责任。

二、泰国个人数据保护主要制度

个人数据、个人数据控制者及处理者的含义

PDPA明确了个人数据的概念，即与个人有关的任何可以直接或间接地识别该个人身份的数据，但不包括已故个人的数据[14]。

虽然PDPA并未单独定义敏感个人数据，但PDPA第26条规定了个人数据控制者在处理如下个人数据时必须获得个人数据主体的明确同意（Explicit Consent）或具备其他法定情形：与种族、族裔、政治观点、宗教或哲学信仰、性行为、犯罪记录、健康数据、残疾、工会信息、遗传信息、生物识别数据或任何其他可能同等程度影响数据主体的个人数据[15]。

个人数据控制者是指有能力或职责决定个人数据收集、使用或披露的个人或法人；个人数据处理者是指根据个人数据控制者或其代表发出的命令收集、使用或披露个人数据，但其自身不是个人数据控制者的个人或法人。

个人数据控制者的主要义务

PDPA第三章规定了个人数据控制者对于个人数据的保护义务，包括处理个人数据的一般性条款以及对于个人数据收集、使用和披露的特别要求[16]。

个人数据控制者处理个人数据应取得个人数据主体的同意，或具备如下情形：

1. 为公共利益、研究或统计目的制作历史记录、档案对个人数据进行处理；

2. 预防或制止对个人的生命、身体或健康的危险；

3. 履行个人数据主体作为合同一方的合同所必需，或为了在签订合同前应个人数据主体的要求而采取措施；

4. 个人数据控制者为公共利益执行任务所必需；

5. 为个人数据控制者、另一个人或实体的合法利益，除非该等利益被个人数据主体的基本权利所凌驾[17]。

此外，PDPA亦明确个人数据控制者处理个人数据前应向个人数据主体告知其处理目的、保留期限等信息[18]。同时，PDPA也规定了个人数据控制者的其他个人数据保护义务，包括采取适当的安全措施、防止个人数据未经授权的访问、在个人数据保存期限终止后删除个人数据等[19]。

对于个人数据安全事件的响应，PDPA规定了个人数据控制者在发现个人数据泄露后的72小时内履行通知的强制性义务，除非该等事件不会对个人数据主体的权利和自由造成任何风险。若个人数据安全事件可能对个人数据主体的权利和自由造成高风险，个人数据控制者也应将个人数据安全事件及补救措施通知个人数据主体[20]。

PDPA明确个人数据主体享有一系列权利，包括知情权、访问权、数据可携带权、反对权、删除权以及限制处理权等[21]。个人数据控制者在个人数据主体行使上述权利时，应及时响应。

处罚措施

对于违反个人数据保护规定的个人数据处理行为，PDPA明确了相关民事责任、行政责任和刑事责任。

就民事责任而言，个人数据控制者或个人数据处理者违反PDPA，对个人数据主体造成损害的，应赔偿相应损失。前述民事责任的范围包括个人数据主体为预防或补救损害所产生的费用或损失[22]。此外，PDPA亦明确法院有权命令个人数据控制者或个人数据处理者支付惩罚性赔偿，但该等惩罚性赔偿不超过实际损失的两倍[23]。

就行政责任而言，PDPA第82条至第90条详细列举了个人数据处理者违反相关规定可能受到的行政处罚，包括最高可能受到5,000,000泰铢（约1,008,950人民币）的罚金[24]。

就刑事责任而言，个人数据控制者为使自己或他人获得非法利益，违反PDPA关于违规使用、披露或跨境传输个人数据的规定的，可能会面临最高一年的监禁和/或不超过1,000,000泰铢（约201,790人民币）的罚金[25]。如果实施违法行为的主体属于法人，则由指示法人实施该行为的董事、经理或其他人承担相应法律责任[26]。

三、泰国个人数据跨境传输的规定

对于出海企业而言，个人数据回传（即泰国当地个人数据跨境传输至中国）是其关注的合规重点问题之一。

PDPA规定，个人数据控制者将个人数据传输至泰国境外时，应确保接收方所在的国家或地区具有充分的数据保护标准（Adequate Data Protection Standard），并按照PDPC颁布的个人数据保护标准进行跨境传输，除非满足PDPA第28条明确的豁免情形（如为了遵守法律规定、为了履行个人数据主体作为一方的合同所必需等）[27]。如果集团内部已经制定关于个人数据跨境传输的保护规则（Personal Data Protection Policy），且该等保护规则已通过PDPC的审查和认证，则个人数据控制者可以依据该等保护规则进行跨境传输个人数据[28]。

PDPC在2023年12月25日发布了两项关于个人数据跨境传输的通知：“关于根据《个人数据保护法》第28条跨境传输个人数据的通知”（以下简称“《28条通知》”）；“关于根据《个人数据保护法》第29条跨境传输个人数据的通知”（以下简称“《29条通知》”）。《28条通知》明确了判断境外接收方所在国家或地区是否达到充分的数据保护的标准（具体内容见下文）；《29条通知》明确了跨境传输个人数据适用的约束性公司规则，或在缺乏前述充分的数据保护标准及约束性公司规则的情况下，实施其他适当保护措施的标准（具体内容见下文）。两项通知已于2024年3月24日正式生效，重点内容如下：

跨境传输的定义

《28条通知》及《29条通知》进一步解释了PDPA关于向境外“发送或传输个人数据（Send or Transfers the Personal Data to a Foreign Country）”是指个人数据的发送方通过物理手段、计算机系统或网络远程向个人数据的接收方发送或传输个人数据。但是，作为数据中转站的中介结构发送或传输个人数据以及在计算机系统或数据存储介质之间发送或传输个人数据（条件是任何第三方都无法访问这些数据）不属于前述向境外“发送或传输个人数据”的范围，例如，一般性的云计算服务提供商发送或传输个人数据[29]。

充分的数据保护标准

《28条通知》明确，判断个人数据接收方所在国家是否满足充分的数据保护标准的要求，应基于如下两个方面进行确定：

1. 境外接收方所在国家或国际组织制定的个人数据保护法律措施或机制不得低于PDPA，特别是个人数据控制者有责任提供适当的安全措施以及适当的个人数据保护措施，以确保个人数据主体权利可行使，并提供有效的法律救济措施。

2. 境外接收方所在国家或国际组织有负责执行个人数据保护法律法规的有关组织，其执行个人数据保护法律法规的权力不得低于PDPA所赋予的权力[30]。

目前PDPC尚未发布符合上述充分数据保护标准国家的白名单。

约束性公司规则

PDPA第29条规定，若泰国的个人数据控制者或处理者与境外接收方在同一关联企业或集团中制定了个人数据保护规则（约束性公司规则，即Binding Corporate Rules），且该等约束性公司规则已通过PDPC的审查和认证，则个人数据控制者或处理者可以向位于泰国境外且从事相同附属业务或在同一集团内的境外接收方传输个人数据[31]。

《29条通知》进一步明确，PDPC在审查和认证约束性公司规则时，至少确保该等约束性公司规则符合如下标准：

1. 约束性公司规则需对同一关联企业或在同一企业集团中的每个相关成员具有约束力和可执行性，并且适用于每个相关成员，无论是法人还是自然人，包括相关个人数据处理者、个人数据的发送方或接收方，及其员工、雇员或与个人数据发送方或接收方有关的任何人；

2. 有关于个人数据保护、个人数据主体权利以及就跨境传输的个人数据所属个人的权利和投诉的条款；

3. 有符合PDPA且符合法律规定的最低标准的个人数据保护措施和安全措施[32]。

适当的保护措施

若泰国境内个人数据处理者的个人数据跨境传输活动不能满足前述充分的数据保护标准或约束性公司规则，其也可以通过适当的保护措施（Appropriate Safeguards）跨境传输个人数据[33]。

《29条通知》明确，适当的保障措施包括：

1. 标准合同条款：符合公认的个人数据发送或传输的合同条款，即PDPC规定的跨境传输个人数据合同或国际个人数据传输的个人数据保护合同条款，适用于个人数据的发送方以及个人数据的接收方，以确定合同各方的责任和条件，确保对个人数据的适当保护。

2. 认证（Certification）：与个人数据控制者或处理者的个人数据收集、使用和披露有关的认证，与跨境传输个人数据或国际个人数据转移有关的认证，确保根据公认标准提供适当的保障。

3. 法规或协议：就跨境传输个人数据，泰国国家机构与其他国家的国家机构之间具有法律约束力和可执行性的法规或协议[34]。

结语

从上文可见，目前泰国已建立了个人数据保护立法体系，其概念界定、适用范围、数据主体权利、数据处理者义务、跨境数据传输、处罚措施等制度安排与欧盟GDPR有不少相似之处，但也体现出了泰国自身个人数据保护特点的制度设计。在执法层面，PDPC已经在官网陆续发布了针对个人数据泄露事件的调查。随着关于个人数据跨境传输的两份专项通知在今年3月正式生效，泰国关于个人数据跨境传输的具体监管也将逐步落地。此外，泰国也已建立针对网络安全的监管制度。结合这些因素，我们建议出海泰国的中国企业对泰国个人数据保护及网络安全相关的法律法规予以充分重视，确保个人数据处理活动符合泰国相关规定，并尽早搭建相应的境外数据合规及网络安全体系。

感谢实习生陈旭竹、万晴对本文做出的贡献。

扫码订阅“金杜律师事务所”，了解更多业务资讯