W&W团队解读|泰国最新个人数据跨境路径Q&A(附法规合集)
文/ 王捷 倪子媛 邹思乐
W&W国际法律团队
专注互联网出海法律实务:
W&W国际法律团队深耕海外多地区多条业务线,通过多年来积累的出海法律服务经验以及资源优势,结合本土化的合规经验与国际化的思维,致力于为出海互联网企业提供专业的一站式法律解决方案,为逐鹿海外的互联网企业提供优质及多元化的法律服务,为各类新型业务搭建运营合规体系及提供有效的风险评估及合规解决方案。
互联网前沿领域法律服务:
W&W国际法律团队深耕出海法律实务的同时,也紧跟互联网前沿动态,可以为互联网企业提供前沿领域的法律服务,为企业开拓新的业务领域保驾护航,比如AIGC产品全链路合规法律服务,包括AI与数据合规, AIGC与知识产权布局、侵权风险防范,内容审核标准制定等。
覆盖以下行业领域:
物联网、智能家居、智能汽车、车联网、芯片制造、Web3.0、NFT、AI、电子设备及智能终端制造、数字化安全、IOT、云计算与服务、社交网络平台、电子商务、短视频视听直播、网络游戏、人力资源等行业领域。
(此处仅展示部分内容,如有任何需求,请尽管与我们联系。)
引言
2023年10月27日,泰国个人数据保护委员会 (PDPC) 分别根据《2019 年个人数据保护法》(PDPA) 第28条和第 29 条发布了两部跨境数据传输法规草案,以供公众咨询。
一、泰国法下关于个人信息跨境传输的法律框架
(后台回复”泰国数据跨境“获取法规大礼包)
2023年10月27日,泰国个人数据保护委员会 (PDPC) 分别根据《2019 年个人数据保护法》(PDPA) 第28条和第 29 条发布了两部跨境数据传输法规草案,以供公众咨询。截至目前,若在泰国有相关业务,你需要了解泰国法下关于个人信息跨境传输的法律框架:
个人信息跨境传输法律框架
No.1 | 《官方信息法》 The Official Information Act B.E. 2540 (1997) |
No.2 | 《信用信息业务经营法》 The Credit Information Business Operation Act B.E. 2545 (2002) |
No.3 | 《儿童保护法》 The Child Protection Act B.E. 2546 |
No.4 | 《国家卫生法》 The National Health Act B.E. 2550 (2007) |
No.5 | 《支付系统法》 The Payment System Act B.E. 2560 (2017) |
No.6 | 《网络安全法》 The Cybersecurity Act B.E. 2562 (2019) |
No.7 | 《个人数据保护法》 The Personal Data Protection Act B.E. 2562 (2019) |
No.8 | 《个人数据控制者安全措施》 (Notification of the PDPC re: Security Measures of the Data Controller B.E. 2565 (2022) |
No.9 | 《个人数据处理活动记录的准备和保存标准和方法》 Notification of the PDPC re: Rules and Methods for Preparation and Maintenance of Records of Personal Data Processing Activities for the Data Processor B.E. 2565 (2022) |
No.10 | 《免除小型企业数据控制者记录》 Exemption from Maintenance of Records Obligation of the Data Controller Which Is a Small Organization B.E. 2565 (2022) |
No.11 | 关于根据《个人数据保护法》获得数据当事人同意的操作指南 Operational Guideline re: Obtaining Consent from Data Subjects under the PDPA |
No.12 | 关于《个人数据保护法》(B.E. 2562(2019))第28条向外国发送或转移的个人数据保护标准的通知 Notification of the Personal Data Protection Committee on Criteria for the Protection of Personal Data Sent or Transferred to a Foreign Country pursuant to Section 28 of the Personal Data Protection Act, B.E. 2562(2019) |
No.13 | 关于《个人数据保护法》(B.E. 2562(2019))第29条向外国发送或转移的个人数据保护标准的通知。 Notification of the Personal Data Protection Committee on Criteria for the Protection of Personal Data Sent or Transferred to a Foreign Country pursuant to Section 29 of the Personal Data Protection Act, B.E. 2562(2019) |
二、泰国最新数据跨境文件说了什么?
01
完善了“发送或传输个人数据”的定义
是指个人数据的发送者或让与人通过物理手段或通过计算机系统或网络远程向个人数据的接收者发送或转移个人数据。
但是,它不包括以计算机系统或计算机网络之间数据传输的中介形式或临时数据存储的形式发送和接收个人数据,不允许外部个人访问上述个人数据的临时或永久格式,但作为个人数据发送者的数据控制者或数据处理者,或此类个人数据的数据控制或数据处理的人员、雇员或承包商除外。
例如,在通过国际网络发送数据或通过云计算服务提供商的系统发送数据的情况下,不涉及除此类个人数据的数据控制者或数据处理者之外的任何个人,也不涉及由于技术措施或法律条件而访问个人数据的人员、员工或承包商。
02
细化数据跨境路径规则
原则上泰国允许附条件的数据跨境,接收此类个人数据的目的国或国际组织应根据本通知规定的个人数据保护标准制定适当的数据保护标准。但也存在两种豁免情形,一般传输豁免&集团之间传输豁免,具体请看下图:
其中,如果集团之间传输不使用 BCR,而选择自行拟定的数据传输合同条款,必须包含:
(a) 收集、使用和披露个人数据,包括向个人数据接收方发送或转移个人数据,必须符合个人数据保护法律;
(b) 个人数据的发送者或转让人以及个人数据的接收者必须安排符合个人数据保护法律规定的最低标准的安全措施;
且则需要根据自身角色注意不同的义务:
(另外可选择东盟或GDPR示范合同条款内容,详情参考上图)
后台回复“泰国数据跨境”获取法规大礼包!
三、假设国内企业在泰国有相关业务,数据方面需要关注哪些内容呢?
泰国是否允许数据跨境?
我的行为是否算出境?
01
PDPA并未对“跨境传输”作出一个较为精准的定义,仅在PDPA第二章第三部分个人数据的使用和披露的28条提及:如果数据控制者将个人数据发送或转移到外国,接收这些个人数据的目的地国家或国际组织应具备适当的数据保护标准。
但根据 PDPC于2023年10月27日发布的29条草案定义,个人数据的转移是指个人数据转移者以实际转移(物理转移)或透过计算机系统或互联网网络遥距转移的方式,向个人数据接收者发送或转移个人数据。它不包括通过中间人在计算机系统或互联网络之间传输发送个人数据,也不包括云计算服务提供商永久或临时存储或保留个人数据。具体情况仍需具体分析。
是否需要数据本地化存储?
02
暂未要求
03
如何获取自然人的同意?
根据PDPA第19条规定,数据控制者应通过书面声明或电子方式明确提出同意请求(隐私政策)。例如通过使用数据主体的用户名和密码、电子签名、生物识别数据或任何其他电子方式。在请求数据主体同意时:
数据控制者还应告知收集、使用或披露个人资料的目的。通知可以多种方式发出,其中包括由数据控制者准备隐私通知、书面、口头、短信、电子邮件、电话或其他电子方式(如URL或QR码)。
数据控制者可以选择采用分层方式,通过超链接将数据主体导向包含隐私通知细节的相关页面。该同意的请求应以与其他事项明确区分的方式提出,并采用易于获取和理解的形式和陈述,使用清晰、简明的语言。
“
为了更好的让大家了解相关资讯,W&W国际法团队整理了最新泰国数据跨境法律法规合集,后台回复“泰国数据跨境”获取法规大礼包!
主编介绍
王 捷 律师
垦丁国际业务部负责人、广州执行主任
W&W国际法律团队创始人
荣登律商联讯(LexisNexis)2023「40位40岁以下的法律精英」榜单
业务领域:
个人信息保护与全球数据合规、数据合规、互联网与网络法实务合规、企业出海合规、网络安全
王律师持有CIPP/E(国际信息隐私专家认证/欧盟)、区块链应用操作员资格证书、数据安全师、数据合规官资格证书,是联合国世界丝绸之路委员会专家,中国国际贸易促进委员会深圳调解中心专家调解员,广东省法学会信息通讯法学常务理事,荷兰RuG国际经济法与商法硕士。
王律师曾在阿里巴巴大文娱集团、国际律所与海外仲裁委员会工作积累了12年+科技型公司实务经验,具备中外律所从业背景。专业能力模块包括产品风险管控、业务流程搭建、竞对攻防布局、政府监管合规、海外公司治理等。王律师已为多家头部与一线的知名互联网公司、大中型外资企业及大型国企提供专业法律服务,行业覆盖物联网、智能终端制造、IOT、云计算与服务、社交网络平台、电子商务及平台、智能汽车与车机系统、芯片制造业、网络游戏、Web 3.0、NFT、AI、以及GPT等新兴领域。
王律师擅长解决由互联网、数据及智能技术引发的数据安全风险与合规解决方案落地,包括数据保护与合规、产品风险管控、业务流程搭建、风险分析评估、政府监管合规、竞对攻防布局,已为各类涉互联网企业拓展全球市场提供法律支持,尤其擅长为企业出海欧美、东南亚、印度、日韩、中东、中国港澳台地区等新兴及重要市场提供有效的合规解决方案与落地支持。
同时,王律师独著《Comparison of Various Compliance Points of Data Protection Laws in Ten Countries/Regions》,在全球最高分的六篇论文中,荣获国际知名隐私组织FPF第 12 届政策制定者年度隐私论文奖,该文章同时被评为年度隐私政策制定者“必读”文章。其耕笔的多篇互联网与数据合规文章收录于国际知名专业数据库。
联系方式:jie.wang@kindinglaw.com
+86 13650790754
推荐阅读:
垦丁荣誉|王捷律师荣登律商联讯2023年 “40位40岁以下的法律精英”榜单
W&W国际法律团队 | 欧盟-美国隐私框架「DPF」解读全系列
W&W国际法律团队 | 印度2023数字个人数据保护法案最新要点解读
W&W团队解读:《网络安全标准实践指南—粤港澳大湾区跨境个人信息保护要求(征求意见稿)》
挥毫泼墨谱合规 | 2023《全球数据合规法律观察报告》重磅发布
要点分析 | 欧盟Artificial Intelligence Act 解读(二)
要点分析 | 欧盟Artificial Intelligence Act 解读(一)
重榜发布 | 《AIGC产业发展与法律合规实务手册》(第一版)
重磅蓝皮书 | 《中国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较报告》发布
2023年中重磅 | V4.0版《个人信息保护与数据合规法律汇编》如期而至
北美动态 | 美国:加利福尼亚州CPPA发布网络安全审计法规修订草案