域外观察 | 泰国针对个人数据跨境流动做出更完善规定

全文约7000字，预计阅读时间40分钟

文|刘耀华 中国信通院互联网法律研究中心高级研究员

2023年10月27日，泰国个人数据保护委员会 (PDPC) 分别根据《2019 年个人数据保护法》(PDPA) 第28条和第 29 条发布了两部跨境数据传输法规草案，以供公众咨询。

根据《个人数据保护法》第28条规定的数据传输条例草案（简称“第28条草案”）涉及将个人数据传输到被认为具有适当数据保护标准的目的地国或国际组织的问题。除其他程序性事项外，“第28条草案”规定，数据接收方应根据本草案规定的个人数据保护标准制定适当的数据保护标准（第5条），数据保护标准是否适当将根据某些因素来确定，包括目的地国或国际组织是否存在不低于泰国规定的法律措施或机制等（第6条）。

根据《个人数据保护法》第29条规定的数据传输条例草案（简称“第29条草案”）规定，如果个人数据发送方或转移方与个人数据接收方在同一关联企业或同一企业集团中制定了个人数据保护政策，并经PDPC审查和认证，则位于泰国的数据控制方或数据处理方可将个人数据发送或传输给位于外国且从事同一关联企业或同一企业集团的个人数据接收方（第5条）。PDPC 应评估个人数据保护政策的内容和实质，除其他要求外，该政策应具有法律效力和可执行性（第7条）。

此外，“第29条草案”规定，如果PDPC没有根据《个人数据保护法》第28条就接收个人数据的目的地国家或国际组织的个人数据保护标准的充分性做出决定，或者根据第5条企业没有个人数据保护政策，数据控制者或数据处理者也可以向外国发送或转移个人数据，但必须实施以下适当的保障措施（第8条）：

1.合同条款；

2.关于收集、使用和披露个人数据的证明，确保根据公认标准采取适当的保障措施；以及

3.在个人数据跨境或国际转移的情况下，在法规或协议中规定数据保护措施，这些法规 或协议在泰国国家机构和其他国家的国家机构之间具有法律约束力和可执行性。

根据《个人数据保护法》第28条，如果接收国采取了符合PDPA委员会发布的适当性标准的充分个人数据保护措施，则数据控制者可以将个人数据传输至外国。PDPA委员会负责宣布已采取该等个人数据保护措施的国家名单（“白名单国家”）。如果个人数据将传输至非白名单国家列表上的国家，但该国家符合第28条项下的豁免适用，即采取所述充分个人数据保护措施，则仍可以进行跨境传输。

此外，《个人数据保护法》第29条提供了将个人数据传输至外国的替代方法。该条规定，若集团公司已制定与数据保护相关的具有约束力的公司规则（Binding Corporate Rules, 简称“BCR”），且BCR必须由PDPA委员会根据其发布的条例进行审查和认证。如果公司BCR已通过审查认证，前述第28条不再适用于此类个人数据的转移。

根据《个人数据保护法》第28、29条，个人数据的跨境传输可以在不存在任何白名单国家或经认证的 BCR的情况下进行，但前提是数据传输者提供了能够执行数据主体权利的适当保护措施，包括根据PDPA委员会发布的法规采取的有效法律补救措施。

个人数据保护委员会

关于根据《个人数据保护法》(B.E. 2562(2019))第28条向外国发送或转移的个人数据保护标准的通知

根据《个人资料保护法》(B.E. 2562(2019))第16(4)和(5)条以及第28条的规定，个人数据保护委员会发出以下通知。

第1条 本通知称为“个人数据保护委员会关于根据《个人数据保护法》(B.E. 2562 (2019) B.E. . ....)第28条向外国发送或转移的个人数据保护标准的通知”。

第2条 本通知自其在政府宪报刊登之日起90天后生效。

第3条 在本通知中，

“委员会”指个人数据保护委员会。

“办公室”指个人数据保护委员会办公室。

第4条 如果数据控制者向外国发送或转移个人数据，接收此类个人数据的目的国或国际组织应根据本通知规定的个人数据保护标准制定适当的数据保护标准，但以下情况除外：

    （1） 为了遵守法律；

    （2） 在获得数据主体同意的情况下，前提是数据主体已被告知目的地国家或国际组织的个人数据保护标准不足；

    （3） 为履行数据主体作为一方的合同而有必要，或在签订合同前应数据主体的要求采取措施；

    （4） 为了遵守数据控制者与其他人或法人之间为数据主体利益而订立的合同；

    （5） 如果是为了防止或抑制对数据主体或其他人的生命、身体或健康的危险，而数据主体当时没有能力给予同意；或

    （6） 进行与重大公共利益有关的活动所必需的。

第5条 保护个人数据的标准，即接收个人数据的目的国或国际组织应根据第4条的规定制定适当的数据保护标准，应根据以下因素的充分性确定：

    （1） 目的地国家或国际组织的个人数据保护法律措施或机制的存在不得低于泰国的个人数据法，特别是数据控制者有责任提供适当的安全措施以及适当的个人数据保护措施，以确保数据主体权利的可执行性，并提供有效的法律补救措施。

    （2） 负责在目的地国家或国际组织执行个人数据保护法律法规的一个或多个组织的存在，其执行个人数据法律法规的权力不得低于泰国的个人数据保护法。

第6条 当根据第28条第3款向委员会提交关于接收个人数据的目的地国家或国际组织的个人数据保护标准是否充分的问题以供作出决定时，办公室可以接受数据控制者提出的作出决定的案件。或者，该办公室可以收集信息，并自行向委员会提出案件。委员会可以考虑根据具体情况作出决定，也可以具体列出接收个人数据的目的地国家或国际组织的名单，这些国家或组织被认为具有适当的个人数据保护标准。

当有新证据表明接收此类个人数据的目的国或国际组织制定了适当的个人数据保护标准时，或在其他适当情况下，监督厅可要求委员会审查一项决定。

第7条 为了启动根据第6条向委员会提交案件以作出决定的程序，该办公室应编写一份关于目的地国家或国际组织个人数据保护标准的报告。监督厅可以自行编写报告，也可以提议其他组织提交报告。

第8条 委员会主席负责执行本通知。

个人数据保护委员会

关于根据《个人数据保护法》(B.E. 2562(2019))第29条向外国发送或转移的个人数据保护标准的通知

根据《个人数据保护法》(B.E. 2562(2019))第16（4）和（5）条以及第29条第2款和第3款，个人数据保护委员会发布以下通知。

第1条 本通知称为“个人数据保护委员会根据《个人数据保护法》B.E.2562（2019）B.E.…第29条关于发送或转移到外国的个人数据保护标准的通知”。

第2条 本公告自政府公报刊登之日起90天后生效。

第3条 在该通知中，

“同一关联企业或同一组企业”是指经营者对其他企业拥有控制和管理权的企业，或由对其他企业具有控制权的经营者以母公司、子公司、关联公司，或通过使用公认会计准则下的对价标准而具有法律或经济关系的自然人或法人。

“个人数据发送者或转让者”是指在外国向个人数据接收方发送或转让个人数据的数据控制人或数据处理人。

“个人数据接收者”是指为收集、使用或披露个人数据而从个人数据发送方或转让方接收个人数据的数据控制者或数据处理者。

“云计算服务提供商”是指通过使用互联网上的个人数据管理系统为他人临时或永久存储或保留个人数据的服务提供商。服务提供商的服务形式包括基础设施即服务（IaaS）、平台即服务（PaaS）、软件即服务（SaaS）、数据存储即服务（DSaaS）和无服务器计算服务上的数据管理系统，或功能即服务（FaaS）等。

“发送或传输个人数据”是指个人数据的发送者或让与人通过物理手段或通过计算机系统或网络远程向个人数据的接收者发送或转移个人数据。但是，它不包括以计算机系统或计算机网络之间数据传输的中介形式或临时数据存储的形式发送和接收个人数据不允许外部个人访问上述个人数据的临时或永久格式，但作为个人数据发送者的数据控制者或数据处理者，或此类个人数据的数据控制或数据处理的人员、雇员或承包商除外。例如，在通过国际网络发送数据或通过云计算服务提供商的系统发送数据的情况下，不涉及除此类个人数据的数据控制器或数据处理器之外的任何个人，也不涉及由于技术措施或法律条件而访问个人数据的人员、员工或承包商。

“在同一关联企业或同一企业群中的个人数据保护政策”（具有约束力的公司规则）是指个人数据的发送者或转让人与个人数据的接收者之间相互同意并具有约束力的政策或协议。其目的是为同一关联企业或同一集团企业中的个人数据建立适当的保护措施。

“委员会”是指个人数据保护委员会。

“办公室”是指个人数据保护委员会办公室。

第4条 委员会主席负责执行本通知。

第一章

跨境数据转移至同一关联企业或同一企业集团的数据控制者或数据处理者以共同经营该企业或企业集团时的个人数据保护政策

第5条 根据《个人数据保护法》B.E.2562（2019）第29条，位于泰国王国的数据控制者或数据处理者可以将个人数据发送或转移给位于外国并从事相同附属业务或在同一企业集团的个人数据接收方，前提是个人数据的发送人或转让人和个人数据的接收方在同一关联企业或同一企业集团中制定了个人数据保护政策（具有约束力的公司规则），以便共同经营经办公室审查和认证的企业或企业集团。

第6条 数据控制者或数据处理者打算将个人数据发送或转移给位于外国的同一附属企业或同一企业集团中的数据控制者和数据处理者，可以在同一附属业务或同一业务集团中提出个人数据保护政策（有约束力的公司规则），以便根据第5条共同经营企业或企业集团，根据本通知进行审查和认证。可以通过以下方法之一提交策略：

    （1） 直接向办事处提交；

    （2） 通过邮件向办事处提交；

    （3） 通过电子渠道或办公室指定的任何其他渠道提交。

第7条 该办公室应根据《个人数据保护法》和相关附属法规中规定的个人数据保护标准和标准以及公告，审查和认证根据第6条提交的同一关联企业或同一企业集团的个人数据防护政策（具有约束力的公司规则）。审查应评估个人数据保护政策的内容和实质，确保其至少符合以下标准：

    （1） 在同一关联企业的法人或自然人之间，或在同一企业集团中，包括相关数据处理方、个人数据的发送方或转让方，以及同一关联业务中的个人数据接收方，具有此类个人数据保护政策的法律效力和可执行性，或与要求该办公室审查和认证该政策的数据控制者或数据处理者在同一组业务中。在这方面，该政策必须符合个人数据保护法律，并且必须在员工、雇员或与个人数据发送人或转让人和个人数据接收方有关的任何人之间执行，以及在同一关联企业或同一企业集团中发送或转让个人数据和接收个人数据；

    （2） 有承认个人数据保护、数据主体权利以及就发送或转移到外国的个人数据提出投诉的机制的条款；和

    （3） 有符合个人数据保护法的个人数据保护措施和安全措施。安全措施必须符合法律规定的最低标准。

第二章

适当保障

第8条 如果委员会没有根据《个人数据保护法》B.E.2562（2019）第28条就接收个人数据的目的地国家或国际组织的个人数据保护标准的充分性做出决定，或者根据第5条没有个人数据保护政策，数据控制者或数据处理者可以向外国发送或转移个人数据，以豁免遵守第28条，前提是实施了适当的保障措施，根据第29条第3款，这些保障措施可以通过数据主体权利强制执行，并包括法律有效的补救措施。

第一款提到的适当保障措施可以采取以下形式：

    （1） 符合公认的个人数据发送或传输合同条款的合同条款，即委员会规定的关于跨境发送或传输个人数据或国际个人数据传输的个人数据保护合同条款，适用于个人数据的发送方或转让方以及个人数据的接收方，以确定合同各方的责任和条件，确保对个人数据的适当保护。

    （2） 与数据控制者或数据处理者的个人数据的收集、使用和披露有关的证书，与跨境发送或转移个人数据或国际个人数据转移有关的证明，确保根据公认标准提供适当的保障。

    （3） 在跨境或国际转移个人数据的情况下，泰国国家机构与其他国家的国家机构之间具有法律约束力和可执行性的法规或协议中的数据保护措施规定。

第9条 第8条中提及的适当保障措施必须至少符合以下标准：

    （1） 个人数据保护措施和法律补救措施具有法律效力和可执行性，涉及作为个人数据发送方或转让方以及个人数据接收方的法人或自然人，包括相关数据处理方，无论他们是数据控制方还是数据处理方。这些适当的保障措施还必须符合个人数据保护法律，并且必须约束员工、员工、承包商或与个人数据的发送者或转让者以及个人数据的接收者有关的任何人。

    （2） 有承认个人数据保护、数据主体权利的条款，以及就发送或转移到外国的个人数据提出投诉的机制；和

    （3） 有符合个人数据保护法的个人数据保护措施和安全措施。安全措施必须符合个人数据保护法律规定的最低标准。

第10条 符合第8条第2（1）款规定的发送或传输个人数据传输的公认合同条款的合同条款必须具有以下特征之一：

    （1） 双方约定的合同条款必须至少包括以下内容和规定：

    （a） 收集、使用和披露个人数据，包括向个人数据接收方发送或转移个人数据，必须符合个人数据保护法律；

    （b） 个人数据的发送者或转让人以及个人数据的接收者必须安排符合个人数据保护法律规定的最低标准的安全措施；

    （c） 在个人数据的接收者是数据处理者的情况下，

        1）个人数据的接收方必须严格按照个人数据发送方或转让方的指示或代表其收集、使用或披露个人数据，并按照个人数据接收方或转让方规定的目标；

         2）如果数据主体要求行使其在个人数据保护法律下的权利，则个人数据的接收方必须立即联系个人数据的发送方或转让方，除非个人数据的发送方或转让方委托个人数据的接收人代表其对行使数据主体权利的请求采取进一步行动；

        3） 个人数据的接收方必须根据合同条款将个人数据退还给个人数据的发送方或转让方，或删除或销毁个人数据，或根据个人数据的发送方或转让方提供的标准和条件，以适当的方式使数据主体无法识别个人数据。个人数据的接收者必须在完成这些行动后以书面形式向个人数据的发送者或转让人确认这一点；和

        4） 个人数据的接收方必须按照个人数据保护法规定的方式，在不无故拖延的情况下，在意识到数据泄露的72小时内，在可行的情况下尽快通知个人数据报告的发送方或转让方

    （d） 如果个人数据接收方是数据控制者，则个人数据接收方必须按照个人数据保护法律规定的方式，在数据泄露时通知个人数据的发送方或转让方，不得无故拖延，并在意识到泄露后72小时内，只要可行，除非违约行为不太可能影响个人的权利和自由；和

    （e） 必须向数据主体提供法律补救措施，或确保数据主体的权利得到保护，并可以通过有效的法律措施强制执行

    （2） 包含符合东盟跨境数据流示范合同条款的内容；或

    （3） 包含符合《通用数据保护条例》（GDPR）第2016/679号条例（EU）第46（1）条、第46（2）（c）条和第28（7）条发布的《向第三国传输个人数据标准合同条款》的内容。

第11条 第10（2）条中所述的合同范本条款的内容只能在以下情况下进行修改：

    （1） 修改与引用法律或适用法律具体相关的内容，以符合泰国关于个人数据保护的法律和其他相关法律，以及本通知；

    （2） 将内容翻译成具有相同含义的另一种语言

    （3） 作为协议的一部分，将示范合同条款中与个人数据发送人或转让人与个人数据接收方之间关系有关的内容纳入相关模块；

    （4） 选择是否将示范合同条款中的任择条款的内容作为协议的一部分；

    （5） 酌情修改示范合同条款附录中的信息；

    （6） 将示范合同条款中的内容作为另一合同或协议的一部分，而不与原始内容相冲突，也不比原始内容更影响数据主体的权利和自由；或

    （7） 在不与原始内容相冲突的情况下，在不影响数据主体的权利和自由的情况下向协议中添加其他内容或添加适当的数据保护措施。

第12条 第10（3）条下的标准合同条款的内容只能在以下情况下进行修改：

    （1） 修改与引用法律或适用法律具体相关的内容，以符合泰国关于个人数据保护的法律和其他相关法律，以及本通知；

    （2） 将内容翻译成具有相同含义的另一种语言；

    （3） 作为协议的一部分，将标准合同条款中的内容纳入与个人数据发送方或转让方与个人数据接收方之间关系有关的相关模块；

    （4） 在适当情况下修改标准合同条款附录中的信息；

    （5） 将标准合同条款中的内容作为另一合同或协议的一部分，而不与原始内容相冲突，也不比原始内容更影响数据主体的权利和自由；或

    （6） 在协议中增加其他内容或者增加适当的数据保护措施，不与原内容相冲突，不比原内容更严重地影响数据主体的权利和自由。

第13条 该办公室应通过其网站公布第10（2）条下示范合同条款和第10（3）条下标准合同条款的信息和细节。

第14条 在跨境转移或国际转移个人数据的情况下，与收集、使用和披露数据控制者或数据处理者的个人数据有关的证明，证明委员会应根据第8条第2款第（2）项下的公认标准确定适当的保障措施。