泰国《个人数据保护法(2019年)》(Personal Data Protection Act B.E. 2562 [2019],简称PDPA)将于2022年6月1日正式生效,该法规定个人数据主体享有受法律保护的权利。个人数据主体有权选择是否同意他人收集、使用和披露其个人数据,并且该选择将不会构成其权利被限制的条件,此外,如果个人数据主体权利受到侵犯,个人数据主体有权利投诉和要求赔偿。
下面我们来了解一下《个人数据保护法》的保护范围,以及同意披露个人数据之前、同意时和同意之后的权利。
《个人数据保护法》中个人数据和数据主体权利的定义
个人数据 | 个人数据主体的权利 |
1.可直接或间接识别特定自然人的数据,如姓名、地址、电话号码、电子邮箱等数据。 但不包括已故者的数据,也不包括法人的数据,如公司电子邮箱、注册号和地址等、化名以及匿名数据等。 2.敏感个人数据(Sensitive Personal Data),如种族、民族、政治观点、信仰、宗教或哲学、性取向、犯罪记录、健康和残疾数据、工会数据、遗传数据以及生物数据等。 法律对敏感个人数据的保护比对普通个人数据的保护更为严格。 | 1.无需要求而获知的权利: - 收集哪些数据; - 收集数据的目的; - 该数据的保存期限; - 数据转发的对象; - 数据管理人员的联系方式。 * 若是从其他来源收集数据,则须告知。 * 若日后该数据的使用目的有变更,则须告知。 2.撤销同意的权利: 3.访问个人数据的权利; 4.更正个人数据的权利; 5.删除个人数据的权利; 6.禁止处理个人数据的权利; 7.转移个人数据的权利; 8.反对或中止处理个人数据的权利。 |
若发生侵权事件,个人数据主体可投诉并要求赔偿。 在向法院提起诉讼的情况下,法院应酌情根据数据主体的实际损失金额确定赔偿金,并可能加重处罚但不得超过两倍。
|
不需经个人数据主体同意即可对个人数据进行处理以符合自然人和所联系的机构之间的互动性质并遵守其他相关法律规定,的豁免规定如下:
- 在《个人数据保护法》生效之前收集的原有数据:可继续保留并按原始目的使用,但机构须规定撤销同意的方式并通知数据主体,以便于数据主体撤销同意,同时如果机构需要披露该数据,必须征得数据主体的同意。
- 为履行合同收集数据(Contractual Basis):为履行数据主体为合同方的合同收集所必要的个人数据不需经过个人数据主体的同意。所收集的数据只能用于向该数据主体提供服务(如果对客户的个人数据进行分析以用于市场营销,须先征得个人数据主体的同意),例如客户向银行申请开立账户、客户在医院接受治疗、客户在在线平台上开立账户以购买商品等。
- 出于合法利益收集数据(Legitimate Interest):须评估合理性且不得过度侵犯个人权利,如为安全目的在建筑物、营业场所安装闭路电视摄像头来记录客户图像,检查客户数据以防止欺诈等。
- 为履行法律义务收集数据(Legal Obligation):指数据管理人员按法律规定收集数据,如银行编制可疑交易报告以提交反洗钱署(AMLO),机构编制预扣税报告以提交税务局等。
- 为切身利益收集数据(Vital Interest):指在数字主体无法表示同意的情况下处理数据。
- 为公共任务收集数据(Public Task):指政府机构根据被授予的权限和职责处理数据,如国家反腐败委员会(NACC)对政务官的数据进行处理以防止和打击腐败等。
- 为保存档案/研究/统计收集数据(Historical Document/Research/Statistic):为公共利益或研究或统计目的制作历史记录、档案而对数据进行处理,在此情况下将采取适当的个人数据保护措施。
在同意他人使用数据前,数据主体应注意:
《个人数据保护法》如何防止对个人数据主体造成潜在损失?
- 减轻被侵权的损失:从未联系过的公司或机构在为了推销商品或服务而联系数据主体时必须征得数据主体同意,例如呼叫中心打电话来推销保险或个人贷款等商品或服务时,必须告知从哪得来的电话号码并且数据主体本人曾经同意接受营销信息,同时必须明确地说明如何取消接受该营销信息的渠道。
- 防范网络威胁:该法规定个人数据收集者和处理者必须具备数据访问控制系统和数据泄露防范系统,防止类似于曾经发生过的黑客从泰国在线平台窃取超过1,000万条客户信息的事件。
- 建立对各种网络交易的信任:该法的适用范围涵盖国内外所有机构包括向泰国境内的个人数据主体提供商品或服务的外国在线交易平台,如通过在线渠道接受酒店预订的外国网站等。
- 对侵权者的处罚:对导致个人数据主体被侵权的数据收集、使用和传播者进行刑事和行政处罚,例如系统出现问题导致数据泄露和未经客户同意将个人数据出售给其他机构等(刑事处罚:最高1年监禁和/或最高100万泰铢的罚金;行政处罚:最高500万泰铢的罚款)。
《个人数据保护法》为大规模个人数据库的使用制定了规范,同时也有助于数据主体监管个人数据的安全以增强对使用数字技术的信任。该法为在泰国收集、使用和传输个人数据的所有机构提供了个人数据保护指南。因此,使用各种服务的“数据主体"应了解自己有选择是否同意让这些机构收集、使用和披露个人数据的权利,例如通过统一提供电子邮箱和电话号码来换取优惠券可能导致您的数据被用于该服务供应商的产品推销活动。不过,数据主体也有权利随时撤销该同意。