泰国通过个人信息保护法

阿里巴巴集团法务部综合合规团队

近期泰国National Legislative Assembly批准了《个人信息保护法》（“PDPA”），预计将在未来几周内在政府公报上公布。

PDPA的核心规定包括如下内容

● 与泰国其他法律不同，PDPA明确规定了域外效力。泰国境外数据控制者和处理者在向泰国数据主体提供商品或服务或监控泰国境内数据主体行为时收集、使用、披露个人信息均需遵守PDPA。

● PDPA中对于数据控制者和数据处理者的定义与GDPR相类似，“个人信息”定义为与个人相关、能够直接或间接识别到个人的信息。

● 对个人信息的任何收集、披露或使用必须取得数据主体的同意。PDPA要求数据主体给出的同意必须是明确的、以书面或电子方式给出的。

● PDPA下数据主体对其个人信息享有访问权、删除权等权利。

● 未经数据主体同意，数据控制者不得将个人信息披露或传输给第三方。如果个人信息将被传输到其他国家，通常该国需对个人信息有足够的保护水平。

违反PDPA的行为将导致民事、刑事责任和行政处罚。

简评： PDPA规定了一年的过渡期，为经营者实现合规提供时间。在制定PDPA时，泰国政府在很大程度上遵循借鉴了欧盟GDPR的规定。目前泰国与个人信息保护相关的执法案例较少，且执法力度不大（一家手机供应商泄露了46000多条用户个人信息记录，但是没有受到惩罚）。预计随着新发的颁布，泰国主管机关执法力度会有所加强。