泰国个人数据保护委员会于2023年12月25日发布了两份通知(均于2024年3月24日正式生效)。 第一个是根据《泰国个人数据保护法》第28条制定的通知(以下简称第28条通知),规定了判断目的地国家或国际组织个人数据保护水平的标准个人数据传输到的目的地是足够的; 二是根据《泰国个人数据保护法》第二十九条制定的通知(以下简称第二十九条通知),该通知规定了目的地国家或地区实施适当保护措施的标准在没有政策或充分性决定的情况下个人数据转移到的国际组织这两个通知旨在规范泰国的个人数据跨境转移,并确保人们的相关权利不受到侵犯。
两个通知发布的背景
《泰国个人数据保护法》是泰国颁布的第一部管理和保护数据的法律。 它适用于在泰国处理个人数据以便为泰国提供产品或服务的实体。 已于2022年6月1日正式实施并生效。 作为泰国数字经济转型路线中的12部数字相关法律之一,该法对推动泰国数字经济发展发挥着关键作用。
根据该法规定,未经数据主体同意,数据控制者和数据处理者不得将个人数据转移到泰国境外,除非满足相关法律要求或履行合同所必需。 数据接收国应采取符合法律的保护标准,除非法律另有约定,个人数据不得转移到泰国境外。
《泰国个人数据保护法》旨在保护个人隐私免受恶意侵犯,但如果是正常的无意行为,则不构成侵犯个人隐私。 在此基础上,28号、29号公告明确了个人数据跨境传输的豁免,将部分个人数据的发送或传输排除在《泰国个人数据保护法》中“个人数据跨境传输”的范围内除了《泰国个人数据保护法》的适用范围外,第29条通知还明确说明了如何适用《泰国个人数据保护法》为个人数据跨境传输提供豁免。
两份通知的主要内容
根据泰国《个人数据保护法》和两个通知,泰国个人数据跨境传输存在三个关键机制,即(1)充分性决定; (2)具有约束力的公司规则; (3)适当的保障措施。
“发送或传输个人数据”的定义
《泰国个人数据保护法》没有对“发送或转移个人数据”进行定义,仅在第28条中提及:“如果数据控制者在泰国境外发送或转移个人数据,则接收此类个人数据的目的地为国家或国际组织应该有适当的数据保护标准。”
《通知》第二十八条和《通知》第二十九条明确规定了个人数据的发送或者传输,是指“个人数据发送方以物理方式或者通过计算机系统、网络远程方式向个人数据接收方发送或者传输个人数据。 ”。它进一步定义了哪些活动将被视为或不会被视为“发送或传输个人数据”。在遵守泰国个人数据保护法规定的传输限制的前提下,这两个通知均采用“禁止第三方访问”原则,即个人数据第三方无法访问的在泰国境外传输或存储的数据将被排除在“发送或传输个人数据”之外。
具体而言,以下性质的个人数据的发送或传输不属于“个人数据跨境传输”的范围: (一)通过作为数据中转站的中介机构发送或传输个人数据; (2) 在计算机系统或数据存储介质之间发送或传输个人数据(前提是没有第三方能够访问此类个人数据)。 例如,云计算服务提供商发送或传输个人数据。
充分性决定
根据泰国个人数据保护法第28条,如果个人数据接收者采取了符合泰国个人数据保护委员会颁布的充分性标准的充分个人数据保护措施,数据控制者可以进行个人数据跨境传输。 泰国个人数据保护委员会负责公布已采取充分个人数据保护措施的国家名单(白名单国家)。 如果个人数据接收者不在白名单国家名单中,但个人数据接收者符合第28条的豁免规定,即如果采取了充分的个人数据保护措施,数据控制者仍然可以进行跨境传输。
28号通知规定了接收个人数据跨境传输的目的地国家或国际组织建立适当数据保护标准的例外情况,明确泰国个人数据保护委员会是否确定目的地国家或国际组织是否有“充分”的原则和标准个人数据保护标准的因素。
泰国个人数据保护委员会确定目的地国家或国际组织为接收个人数据而制定的个人数据保护标准是否足够。 需要从以下两个方面来确定:
1、目的地国家或国际组织建立的个人数据保护法律措施或机制不得低于泰国个人数据保护法。 特别是,数据控制者有责任提供适当的安全措施以及适当的个人数据保护措施,以确保数据主体权利的可执行性并提供有效的法律补救措施。
2. 目的地国家或国际组织负责执行个人数据保护法律法规的相关组织或国际组织执行个人数据保护法律法规的权力不应低于《泰国个人数据保护法》赋予的权力。
根据上述标准,如果数据接收国被判定为“已采取充分个人数据保护措施的国家”,那么个人数据跨境传输至该国时无需采取额外的保护措施。
具有约束力的公司规则
泰国个人数据保护法第 29 条提供了将个人数据转移到国外的替代方案。 该条规定,如果企业制定了与个人数据保护相关的具有约束力的企业规则,并且该约束性企业规则已经泰国个人数据保护委员会按照其发布的规定进行审查和认证,则《泰国个人数据保护法》 《数据保护法》第 28 条不再适用于此类个人数据跨境传输。
29号通知进一步明确了个人数据跨境传输需要采取的其他额外保护措施,并规定了泰国个人数据保护委员会审查和批准具有约束力的企业规则的方式和内容。 泰国个人数据保护委员会将重点从以下三个方面审查具有约束力的企业规则:
1. 具有约束力的公司规则必须对同一关联企业或同一公司集团的每个相关成员(无论是法人还是自然人)具有法律约束力并适用,包括数据处理者、数据传输者和数据接收者及其员工、参与集团内个人数据传输或接收的员工或人员;
2.具有约束力的公司规则必须包含有关个人数据跨境传输的个人的权利和投诉的规定;
3. 具有约束力的公司规则必须包含《泰国个人数据保护法》规定的个人数据保护和安全措施的最低标准。
适当的保障措施
根据《泰国个人数据保护法》第28条和第29条,如果数据传输方提供了能够执行数据主体权利的适当保护措施,包括根据泰国个人数据保护委员会颁布的规定采取有效的法律补救措施,个人数据也可以跨境传输,无需任何白名单国家或经过认证的具有约束力的公司规则。
29号通知进一步详细说明了泰国个人数据保护委员会不承认特定国家为具有足够个人数据保护标准的目的地国,或者数据控制者或数据处理者没有批准的具有约束力的公司规则的情况。 在这种情况下,应采取至少与具有约束力的公司规则相同水平的个人数据保护措施,包括以下内容:
1. 标准合同条款。 使用泰国个人数据保护委员会规定的涵盖个人数据跨境传输的标准合同条款来约束合同各方的责任和义务,并确保采取适当的措施来保护个人数据。
合规的标准合同条款一般必须满足以下两个标准之一,才能被视为个人数据跨境传输的有效保障:首先,标准合同条款由当事人起草,具有约束力,并包含最低要求的条款载于具有约束力的公司规则和适当保障措施的通知中。 二是标准合同条款由当事人根据外国法律起草或由国际组织制定,其内容和条款涉及数据保护,符合东盟跨境数据传输示范合同条款; 或者它们是关于将个人数据传输到第三国的欧盟标准合同条款; 或泰国个人数据保护委员会进一步规定的任何其他示范条款。
2. 认证。 根据泰国个人数据保护委员会确定的公认标准实施适当保护措施的认证必须包括通知中指定的个人数据保护内容。
3、规定或协议。 泰国国家机构与外国国家机构之间关于相互传输个人数据的具有法律约束力且可执行的法规或协议。
在整个传输过程中,数据传输者必须采取适当的安全措施来保护所传输的个人数据。 安全措施应符合《泰国个人数据保护法》的相关规定,并至少达到相关法律规定的最低标准。
(作者单位:江苏省淮安市中级人民法院)(金兆新)
(人民法院报)
