泰国个人数据保护法正式生效,违规泄露隐私或可罚500万泰铢
近日,泰国全国新闻委员会发布公告称,泰国《个人数据保护法》(Personal Data Protection Act B.E.2562,简称PDPA)将于2022年6月1日正式生效。
PDPA最初于2019年5月在泰国皇家公报上颁布,留有一年的宽限期。但由于新冠肺炎疫情的爆发和当地企业对此缺乏准备,泰国政府发布了皇家法令将合规期限延长至2022年6月1日。作为泰国数字经济转型路线中12项数字相关法律之一,泰国数字经济和社会部部长Chaiwut Thanakamanusorn认为,新法律将在促进数字经济发展方面发挥关键作用。
►►►
泰国第一部数据保护相关法律
PDPA是泰国制订的第一部用于管理和保护数据的法律,该法案适用于在泰国境内为泰国提供产品或服务而处理个人数据的实体。PDPA规定了数据控制者和数据处理者(包括公共和私人实体)在处理、收集或披露个人数据之前,应如何获得数据主体的同意。此外,PDPA规定数据主体有权要求访问其个人数据,并有权删除此类数据。数据主体也有权反对收集、使用或披露他们的个人数据。
事实上,PDPA也在多方面体现了欧盟《通用数据保护条例》(GDPR)中的内容。具体而言,该法规要求数据控制者和处理者具有处理个人数据(即可以直接或间接识别在世自然人的数据)的有效法律依据。如果此类个人数据是敏感的个人数据(例如健康数据、生物特征数据、种族、宗教、性偏好和犯罪记录),数据控制者和处理者必须确保数据主体明确同意此类数据的收集、使用或披露.。
在处罚措施方面,泰国皇家公报概述了三种类型的责任:刑事、民事和行政责任。处罚取决于违规的程度和类型,刑事处罚包括最高100万泰铢(约合19万人民币)的罚款以及最高一年的监禁,而行政处罚则可能导致最高500万泰铢(约合97万人民币)的罚款和最高两倍于实际损失金额的惩罚性赔偿。
此外,泰国个人数据保护委员会(CDPC)近日在社交媒体上表示,该法案在某些特定情况下将对数据使用者给予豁免。例如,未经他人许可拍摄包含他人个人信息的照片或视频,如果拍摄者并无恶意,这种行为将不违法。在上传该类照片或视频时,如果内容不用做商业用途或对当事人造成伤害,这种行为也不会违法。房主在屋内安装监控摄像头,如用于防止犯罪或保证房主安全的情况下,该摄像头无需标有警告标识。在用于公共利益、合同义务、重大利益或遵守法律的情况下,数据使用者无需在每次使用数据前向个人数据的所有者取得许可等。
►►►
中小企业面临合规压力
泰国PDPA的最终落地,对加强泰国个人数据保护、推动泰国数字经济建设都起到了关键作用。然而,受新冠肺炎疫情对于经济的冲击,泰国许多企业尚未做好合规准备。
根据泰国贸易委员会和泰国商会大学的一项关于PDPA合规准备的调查,在接受采访的近4000家企业中,只有8%的企业表示他们已采取措施能够完全适应新的法律,31%的企业则表示他们甚至还未开始合规过程。
泰国工业联合会董事会董事Pranontha Titavunno在接受媒体采访时表示,大型上市企业可能已经按照PDPA的要求采取了合规措施,但80%-90%的公司仍然对如何遵守法律而感到困惑。
泰国最大的移动运营商Advanced Info Service(AIS)首席执行官Somchai Lertsutiwong 在接受采访时表示,自PDPA于2019 年发布以来,该公司一直在研究、开发和改进设备和流程以确保合规性,目前已为立法的实施做好充分准备。在国际企业方面,中国电子商务巨头阿里巴巴集团的云计算服务部门阿里云,于上月上线了首个泰国数据中心,注册资本为 10.6 亿泰铢。阿里巴巴泰国国家经理 Tyler Qiu 表示,该数据中心已取得相关证书,符合PDPA和泰国银行发布的金融监管指南。
对于可以聘请专业人员帮助合规的大型企业而言,PDPA的推行并不会对企业经营造成很大困扰。但对于众多中小企业和在线商户来说,疫情背景下新法律的实施无疑会加重企业经营的负担。
Pranontha表示,在过去两年中,许多企业都受到新冠肺炎疫情的影响,他们对PDPA的实施毫无准备。为了遵守法律,企业必须寻求法律顾问的帮助,这增加了他们的经济负担。此外,泰国商业、工业和银行业联合常设委员会 (JSCCIB) 已请求政府推迟全面执行PDPA。
面对法律落地面临的种种困难,个人数据保护委员会法律小组委员会成员Paiboon Amornpinyokiat 表示,在PDPA实施的第一年,政府将只专注于向违规者发出警告并敦促他们遵守法律。他说,第一年的核心任务是保护人民的数据保护权利,同时加大力度提高相关方对法律的认识。
记者 | 郭美婷 实习生童佳轩
编辑 | 吴立洋 钟雨欣
- 点击关注 -
微信号| ComplianceTech
高速发展的时代背景下,一方面行业分工在层层细化,一方面跨学科的交叉研究又越来越不可或缺。科技与法律表面上是两个相去甚远的专业领域,但就数据治理与隐私保护而言,只有跨界互通才可能找到最佳的解决方案。
“合规科技专题文章”旨在兼顾科技与法律的双重视角,深度解读数据技术的逻辑原理与数据合规的法律要求,从而促进技术人与法律人的双向理解,探讨数据利用与个人权益协调发展的可行方案。