泰国PDPA介绍与应对建议-RCEP框架下跨境企业个人数据与网络安全合规要点

前言

RegionComprehensiveEconomicPartnership(RCEP) 区域全面经济伙伴关系协定，是亚太地区规模最大、影响最深远的自由贸易协定。该协议旨在创造合作机制，简化成员国间贸易壁垒，促进区域自由贸易流动。在数字经济高度发展的今天，促进成员国间的数据流动是促进贸易自由的主要方式之一，因此，RCEP对于一般贸易数据持较为宽松的状态，旨在促进成员国间的数据流动和无差异的数据跨境。在这一主要原则的指导下，第十二章电子商务针对各成员国提出了个人信息保护和数据安全的具体规定，在保障数据所有者的基本权利的前提下，要求各国法律和政策的公开性和透明性要求。同时，RCEP也给与成员国一定的自主权，特别是基于“公共政策”“基本安全利益”原因的数据流动，成员国可自行规定。泰国作为RCEP首批生效的国家，也是最早提出数字化转型计划的东盟国家，数字经济在泰国发展迅猛，对于个人数据合规和安全提出了巨大挑战。因此，本文结合RCEP框架以及泰国的个人数据保护和网络安全的合规要求，针对泰国的企业，提出针对性的数据合规建议，供广大在东盟投资的华人企业以启示。

一、个人数据与网络安全合规的规定

1）重视个人信息权利保护

个人信息权利的保护，已然成为跨境电子商务、数字经济发展的重要的前提之一。RCEP第八条要求各缔约国应当建立用户个人信息保护的法律框架, 并且，应当充分借鉴和考虑国际通用的准则和标准、指南，细化个人信息保护措施。第八条着重强调了个人信息所有者的权利，包括公布个人权利救济的方式，并且鼓励企业将个人信息保护的相关政策和程序在网络上进行公示。由此可知，在此要求下，RCEP 成员的个人数据保护立法活动将持续进行。同时，RCEP也考虑到各成员国经济、科技和法律治理的发展阶段不同，缔约国可以约定该条实际施行的时间，如柬埔寨和老挝约定合约成效后五年的豁免时间。企业应当结合各国个人数据合规和安全法律要求，进行针对性的应对措施。

2）以自由流通为原则，以“公共政策”“基本安全利益”为底线, 以安全监管为手段

RCEP的立法原意在于促进区域间成员国的贸易自由流动，因此“数据自由流动”是数据合规的主要原则。第十条也重申了促进跨境电子电商的发展，保障各成员国之间的数据流动和贸易流动，避免“不必要的监管的负担”的原则。第十二条要求，成员国对于促进区域内的贸易流动的相关措施进行公布。保证交易的政策透明性，对有可能影响区域内电子商务发展的措施，应当给予合理、及时的解释。第十五条强调了各缔约国之间不得设施阻碍数据传输的行为。RCEP 也意识到基于地方保护主义和地缘政治的影响，部分国家会利用数据本地化的要求限制数据的流通，从而影响区域间贸易流动。因此，第十四条规定，成员国不得以数据本地化存储为条件对其他缔约方进入本领域将开展商业活动涉限。同时，RCEP也充分考虑到各国经济、技术、政治、法律发展的不平衡性和差异性，将“公共政策”“基本安全利益”作为数据本地化的特殊例外情况。在促进数据流动，保障公平贸易，反歧视合作的总体原则下，保留一定的空间，以确保各缔约国平衡经济发展和国家安全之间的冲突。

有效的数据安全部署是数据自由流动的前提和手段。RCEP 第十三条要求各国增强应对网络安全突发事件的能力和网络安全团队建设，以应对可能发生的网络安全事件，并且通过各种形式的合作，达到网络安全的共同治理，最大程度的进行合作共赢。

二、泰国现行数据合规政策

以数字化转型促进经济发展是泰国工业化4.0的长期国家经济计划，早在2015年就提出了“数字泰国”的理念。并且，泰国在东南部分别建立了数据产业集聚中心，完善数据经济的高速发展，鼓励企业的数字化转型。预计到2025年，泰国数字经济规模将达到570亿美元，占国内生产总值的30%。同时，泰国与欧盟进行自贸合作，其重要前提之一就是必须满足GDPR的相关要求。在此内外双因的驱动下，2022年6月1日，《个人数据保护法》（Personal Data Protection Act，下称“PDPA”）通过生效。该法试图与欧盟等国家的数据治理的法律规则对齐，个人数据保护委员会（PDPC）为该法的执行部门。在PDPA规定下，泰国又相继通过相关实施文件进一步细化PDPA：《个人数据控制者安全措施》、《个人数据处理者个人数据处理活动记录的准备和保存标准和方法》以及《专家委员会发布行政罚款和命令的标准》、《中小企业豁免ROPA的规定》。这些文件虽然尚在听证阶段，但是对于PDPA的具体实施提供细化要求，因此企业仍需将这些文件考虑在内。2019年，泰国《网络安全法》针对关键信息基础设施运营者(CIIO) 提出了具体的网络安全要求。根据该法规定，CIIO包括银行、公共运输、公共医疗、能源、公共设施领域的运营者，CIIO应当承担更多的网络安全保障义务。本文将主要围绕PDPA，介绍泰国的个人数据保护要求。

1）PDPA的适用范围

PDPA依据“属地原则” 和 “目标市场原则”共同界定其适用范围。“属地原则”即该法适用于泰国注册的企业和个人以商业目的收集、使用、泄露、转移个人数据的数据处理活动；“目标市场原则”，即该协议适用于向泰国民众提供服务、出售商品或者针对泰国消费者进行监测的海外企业。根据这两大原则， PDPA具有一定的域外适用性。因此，中国企业针对泰国市场开展跨境电商服务，若泰国的消费者信息被收集和处理，也会被认为是PDPA的适用范围之内。

2）个人数据处理法律基础与数据主体权利

根据PDPA的要求，一般个人数据的法律依据是：

1. 数据主体的同意；

2. 实现与准备历史文件或档案的公共利益有关的目的，或与研究或统计有关的目的；

3. 预防或制止对数据主体的生命、身体或健康的危险；

4. 与数据主体签订合同所需，或为了在签订合同前应数据主体的要求采取措施；

5. 为了公众的利益；

6. 数据控制者、另一个人或实体的合法利益，除非这些利益被其个人数据的数据主体的基本权利所凌驾；

7. 其他法律义务。

对于敏感个人数据处理，法律基础是：

1. 数据主体的明确同意；

2. 当数据主体不能同意时，预防或制止对数据主体的生命、身体或健康的危险；

3. 当慈善基金会、协会或非营利机构为其成员或相关个人开展合法活动，并且不在其组织之外披露敏感的个人数据时；

4. 当敏感的个人数据在数据主体的明确同意下被公开时；

5. 为建立、遵守、行使或因法律诉讼所必需时。

PDPA与GDPR类似，明确规定了数据主体享有一系列权利，包括：

1.知情权：数据控制者具有告知数据使用目的、数据保留期2限、对外披露主体分类等信息。

2.访问权：数据控制者应响应数据主体的访问以及获取个人信息副本请求，特殊情况除外。数据控制者应记录拒绝理由。

3.可携带权：数据控制者应响应数据主体要求，通过自动化工具或设备读取个人数据，或以常用的格式接收其个人数据，或向其他数据控制者发送或传输个人数据，但特殊情况除外。

4.反对权：数据控制者应响应数据主体反对对其个人数据的收集、使用和/或披露的要求，但特殊情况除外，数据控制者应记录拒绝理由。

5.删除权：数据主体在法定情况下可以要求删除、销毁或匿名化其个人数据。特殊情况下，数据控制者有权拒绝。

6.限制使用权：数据主体在法定情况下可以要求数据控制者限制使用其个人数据，若数据控制者未予以响应，数据主体可以向PDPC投诉。

7.纠正权：数据控制者应确保个人数据准确、最新、完整以及不具有误导性。

3）数据控制者义务

作为数据控制者，PDPA规定了多项法律义务：

1. 目的限制：数据控制者收集个人数据应限制在与其合法目的相关的必要范围内。

2. 告知：数据控制者应在处理个人数据之前告知处理的目的、保留期限等信息。

3. 留存时间限制：数据控制者应告知数据主体个人数据的保留期限。如果无法指定此类保留期限，则需要指定数据保留标准所依据的预期数据保留期限。

4. 安全保护：数据控制者应提供适当的安全措施以防止未经授权的或个人数据的非法丢失、访问、使用、更改或披露等。

5. 准确性：数据控制者应确保个人数据准确、最新、完整以及不具有误导性。

6. 数据处理记录：数据控制者应保留个人数据处理活动的记录，以供数据主体和PDPC检查，记录可以是书面或电子形式。

7. 数据泄露通知义务：数据控制者必须立即通知PDPC个人数据泄露事件，并在可行的情况下，在知道该事件后的72小时内通知。如果个人数据泄露可能对个人的权利和自由造成高风险，数据控制者应及时将泄露事件和补救措施通知数据主体。

8. 数据保护官：数据控制者在满足法定条件时应指定数据保护官。

9. 儿童个人信息保护：对于不满十周岁的未成年人，数据控制者应当征得对儿童负有父母责任的人的同意。

此外，个人数据控制者应签订协议来约束个人数据处理者代表个人数据控制者进行的活动，这种协议应根据PDPA的要求，规定个人数据处理者的义务。

4）数据跨境传输

PDPA目前没有数据本地化的要求。企业将泰国的个人数据传输至泰国境外，应确保接收方所在的国家或地区具有足够的数据保护水平，并按照PDPC颁布的标准或规定进行传输。但下列情况除外：

1.为遵守法律规定；

2.在数据主体已被告知该目的地国家或国际组织的个人数据保护标准不足的前提下，仍然获得数据主体同意的；

3.履行数据主体作为当事人的合同所必需，或者在订立合同前已经应数据主体的要求采取措施的；

4.遵守数据控制者与他人之间为了数据主体的利益而订立的合同所必需；

5.为防止或抑制对数据主体或其他人的生命、身体或健康的危险，数据主体无法及时给予同意时；

6.为开展涉及重大公共利益的活动所必需。

与GDPR相似，针对跨国企业内部的数据传输，PDPA也采用了“具有约束力的公司规则”（Binding Corporate Rules, BCR）机制。若集团公司已制定与数据保护相关的BCR，且BCR通过了PDPC根据其发布的条例进行审查和认证，则可以进行个人数据的跨境传输。

而根据2023年10月27日PDPC发布的两部跨境数据传输法规草案，若数据传输目标国家和地区未获得充分性认定，且企业没有实施BCR，企业仍然可以在满足下列条件的情况下将个人数据传输至泰国境外：

1. 合同条款；

2. 关于收集、使用和披露个人数据的证明，确保根据公认标准采取适当的保障措施；

3. 在个人数据跨境或国际转移的情况下，在法规或协议中规定数据保护措施，这些法规　或协议在泰国国家机构和其他国家的国家机构之间具有法律约束力和可执行性

三、中国企业出海泰国隐私合规应对策略

1）明确数据处理情况

隐私保护合规第一步首先离不开对于企业自身业务现状、数据处理情况的梳理与识别。企业应当针对其业务、服务和产品的性质、覆盖范围、涉及的个人数据类型、涉及的信息资产、现有的安全保护措施等情况进行充分的梳理。

01 数据处理活动场景识别：识别企业所收集、处理个人信息的产品、服务、信息系统，并梳理产品、服务和系统中所收集处理的个人数据类型、敏感个人数据类型、儿童个人数据类型、数据处理目的等。在识别数据处理活动场景时，建议企业形成数据流图和数据处理活动记录（Record of Processing Activities, RoPA），以此明确企业内外部各类型个人数据的来源与流动情况。

02 明确法律角色：在企业海外业务的经营中，不可避免的会与各种类型的第三方进行合作，产生大量的数据传输、共享、委托处理的场景，如在跨境电商业务中，企业很可能会与物流服务商、电信服务商、支付平台、第三方电商平台、广告营销公司等第三方互相传输大量消费者个人信息。企业应当明确自身角色，是数据控制者还是数据处理者，并与各合作方之间签订数据处理协议，明确各方的数据责任。

03 明确数据安全保护现状：根据收集、传输、存储、使用、分享、销毁等数据全生命周期环节，梳理现有的数据安全与隐私保护措施，如在收集个人数据前，是否明确告知了数据主体处理的目的、保留期限等信息并获得了数据主体的同意；在处理个人数据的系统里，是否采取了充分的访问控制，避免未授权的个人数据的访问及批量下载个人信息；在是否明确了数据保留期限，并及时对超出保留期限的数据进行销毁操作等。

2）梳理法律法规，形成个人数据保护基线

在明确了个人数据处理活动场景后，企业应对PDPA和支撑性规定进行充分的梳理和拆解，形成适用于自身的数据合规基线控制矩阵。在这个过程中，企业可以参考ISO 27701等业界最佳实践作为框架，来制定自身的控制基线。

3）执行差异分析

在识别了数据处理场景和数据保护基线后，企业应当基于数据保护基线，从制度流程、人员和技术等层面对数据处理活动和自身的管理水平进行差异分析，找出差异所在。

01 制度流程：隐私合规的工作并非持续的查漏补缺，需建立并落地完善的制度流程，才能确保业务的持续合规。若缺乏必要的管理制度和流程，可能会导致无法为数据主体提供形式权利的渠道、隐私政策散乱难以管控、无法及时记录RoPA、无法保留合规证据等问题，增加企业合规风险。

02 人员：一方面，企业应根据PDPA要求，必要时设立数据保护官的角色，负责企业内数据保护相关工作，并建立数据保护委员会，进行数据合规工作的资源统筹与协调；另一方面，为落实制度流程，并避免故意或无意的不合规的数据处理行为及数据安全事件，企业应对内部员工、外包人员进行意识宣贯，加强员工的数据合规意识。

03 技术：通过架构审阅、漏洞扫描、渗透测试、文档查阅等手段，对企业所采取的数据保护安全措施进行评估。

基于所发现的问题，企业应根据PDPA等法律法规、自身的资源情况，制定短期和长期的整改计划，并逐渐形成稳定的安全合规常态。

小结

个人数据合规与网络安全保障是企业的生命线，伴随企业诞生与发展的全生命周期，也是中资企业走出国门，服务全球的至关重要前提。在RCEP和PDPA的法律框架下，泰国针对数据合规与安全保障的要求日益完善，企业的合规压力逐步增大，跨境电商应当提前规划部署，避免因为数据合规原因而造成巨额罚金甚至是业务中断，错失商业机遇。从数据合规为出发点，打通中泰数据流通链路，为数据出海提供绿色航道，抢先占领新兴市场，为东南亚及整个东盟的市场布局提供保障，将会是跨境企业的必经路径。

来源：上海市贸促会