发布日期:2025-10-27 浏览次数:
泰国认识到拥抱数字经济的重要性,并已采取重要举措,通过国家规划、战略投资和新的数字法律来促进其发展。《数据保护法》是备受关注和讨论的领域之一。本文旨在概述泰国在数据保护方面的发展,包括现行法规和指南、建立强有力的数据保护制度的潜在益处,以及泰国在不断加强数据保护实践过程中面临的挑战。本文分享的见解不仅对泰国的进步具有重要意义,也对其他正在探索类似道路的国家具有重要意义。
《 个人数据保护法》(BE 2562 (2019),也称为PDPA)于2019年5月24日公布,并于2022年6月1日全面生效。 个人数据保护委员会(PDPC) 是主要监管机构,一直积极致力于制定子法规和指南,以支持PDPA的实施。其中一些子法规和指南已经正式发布(见表1)。
| 子法规 | 日期 |
| 1. PDPC关于豁免小型组织数据控制者记录维护义务的通知BE 2565(2022) | 2022年6月21日 |
| 2. PDPC关于数据控制者安全措施的通知BE 2565(2022) | 2022年6月21日 |
| 3. 人民代表大会关于专家委员会审议签发行政罚款命令规则的通知 BE 2565 (2022) | 2022年6月21日 |
| 4. PDPC关于个人数据泄露通知规则和方法的通知BE 2565(2022) | 2022年12月15日 |
| 5. PDPC关于数据处理者个人数据处理活动记录的准备和维护规则和方法的通知BE 2565(2022) | 2022年12月17日 |
| 6. PDPC关于投诉的提交、拒绝受理、驳回、审议和审议时限的规则BE 2565(2022) | 2022年7月12日 |
| 指南 | 日期 |
| 7.《个人资料保护法》关于获取数据主体同意的操作指南(2019) | 2022年9月7日 |
| 8. 《个人资料保护法》下向资料当事人通知收集个人资料的目的及详情的操作指引 | 2022年9月7日 |
表1:个人数据保护委员会(PDPC)公布的子法规和指南(截至2023年7月14日)资料来源:PDPC网站
目前正在制定子法规草案,以进一步明确政府机构数据保护官 (DPO) 和国际数据传输的规定。此外,电信、征信机构、支付和保险等领域也存在与数据保护相关的行业特定法规。截至目前,尚未有关于《数据保护法》的公开判决。
利益相关方认为 《 数据保护法》是促进泰国数字经济发展的催化剂。有效实施该法案对于在当今数据驱动型经济中保护隐私权至关重要。它还能增强投资者信心,将泰国定位为一个有吸引力的数据中心目的地,并提高其在全球市场上的竞争力。因此,建立强大的数据保护框架是利用这些机会的重要准备步骤。亚马逊网络服务 (AWS) 最近宣布计划在泰国和其他东盟国家投资数据中心和云服务就是这种潜力的一个例子。此外,遵守国际数据保护标准可促进无缝数据流,促进合作并加强泰国参与贸易谈判,如 《全面与进步跨太平洋伙伴关系协定》(CPTPP)、 《区域全面经济伙伴关系协定》(RCEP)以及最新的《印度-太平洋繁荣经济框架》(IPEF)。
2023 年初,一起重大 个人数据泄露事件 促使 PDPC 呼吁公共机构评估其在风险和安全系统方面的准备情况。这些事件,加上一系列 数据泄露事件,可能对利益相关者对泰国数据保护措施的信心产生了不利影响。这些安全漏洞并非泰国独有。根据 2021 年 Check Point 报告,亚太地区网络攻击次数同比增长 168%,59% 的企业报告称自己是网络攻击的受害者。此外,全球网络安全劳动力缺口进一步加剧了这一问题 ,预计 2021 年该缺口将达到 272 万。
因此,泰国迫切需要建立一个健全的数据保护框架,同时确保降低数据风险。实现这一目标需要建立一个有效的数据保护框架,该框架建立在所有利益相关者的合作和持续学习的基础上,以取得适当的平衡并理解不同利益相关者的不同观点。监管机构在制定清晰的政策和监管框架、监督并与公众和企业合作方面发挥着关键作用。我们反思泰国的经验,并强调在可预见的未来面临的三大主要挑战。
1. 制定符合行业需求的法规和指南
行业标准和指南的共同制定在《个人资料保护法》合规方面发挥着至关重要的作用。早在该法生效之前,朱拉隆功大学的法学学者就制定了 数据保护指南 ,并 不断将其拓展至特定领域。此外,金融、银行和保险等行业协会也致力于制定特定行业的指南。
为了进一步促进合规和最佳实践,PDPC 已委托 泰国发展研究院 (TDRI) 举行公开听证会,并咨询七个行业。此次合作旨在创建案例研究并确定数据保护方面的最佳实践。利益相关方表现出的兴趣表明,他们已做好准备,也为 PDPC 提供了机会,可以制定与领先司法管辖区类似的具有法律约束力的行为准则。此类合作可以提高监管合规的透明度。
在技术快速发展、商业模式不断演变的时代,与所有利益相关者的合作至关重要。监管机构必须把握技术层面,并在商业实践、个人权利和其他公共利益之间取得平衡。未来的合作可能涵盖算法透明度以及收集消费者行为数据的系统自动化等主题。
2. 建立健全监管机构
为了加强执法力度并增强保护个人数据的信心,至关重要的是优先保障充足的资金并招聘合格的人员。泰国 在2019年《个人数据保护法》(PDPA)的初步实施过程中面临挑战 ,导致两次延期一年。由于新冠疫情给公共和私人组织以及监管机构带来了复杂性和压力,该法最终于2022年6月1日全面生效。这些延期对专员的任命和子法规的批准产生了影响。
充足的资金和招聘合格的人员对于加强执法力度和建立个人数据保护的信任至关重要。虽然人员和预算限制是其他国家数据保护机构面临的常见挑战,但PDPC目前的员工人数低于 其210人的目标。不过,今年计划再招聘约49名员工。目前正在努力争取990亿泰铢的预算拨款, 以支持PDPC的运营。这些资源对于PDPC有效履行职责和执行《个人数据保护法》的规定至关重要。
3. 建立清晰的监管豁免和分歧框架
泰国的 《个人数据保护法》(PDPA ) 的起草与欧盟的 《通用数据保护条例》(GDPR)高度一致,两者核心原则有很多共同之处,但略有不同。考虑到泰国企业经营状况的多样性,泰国已制定了某些豁免条款,以支持中小企业减轻合规负担。然而,泰国在解读数据保护法方面面临着碎片化的挑战,尤其是在现有的特定行业法规背景下,例如金融行业在PDPA实施前收集的敏感数据方面。需要明确哪些法律具有优先权,并适用于具体情况。
此外,目前正在审议的子法规草案包括专门针对特定公共机构的《 个人数据保护法》(PDPA)豁免条款 。此外,这些豁免的具体框架及其实施方式仍然模糊不清。这种不明确性可能会导致泰国个人数据保护标准出现分歧。因此,这种分歧可能会危及该国被纳入欧盟白名单的机会,并阻碍与拥有同等数据保护标准的国家进行跨境数据传输。为了避免此类影响,政府必须极其谨慎地处理豁免问题。任何授予的豁免都必须经过彻底评估,并与在泰国建立健全的数据保护框架的总体目标保持一致。
总体而言,在泰国执行《个人数据保护法》需要应对与国家能力、豁免和差异以及行业标准相关的挑战。通过优先投入充足的资源、与国际标准接轨并积极与私营部门合作,泰国可以加强其数据保护框架并提高合规性,从而建立信任并促进个人数据的安全且负责任的使用。
屡获殊荣的 CipherTrust Data Security Platform(CipherTrust数据安全平台/CDSP)是一套以数据为中心的集成解决方案,可消除数据安全的复杂性,加快合规性,满足泰国对数据安全保护法的要求。Thales 很荣幸被 KuppingerCole 数据安全平台领导力指南评为“总体领导者” ,在Forrester Wave评为“卓越表现者” ,并被收录于 Gartner 的数据安全平台市场指南中。
CipherTrust 平台将数据发现、分类、数据保护以及密钥和机密的集中管理整合到一个平台中。这可以减少专用于安全运营的资源,实现无处不在的合规性控制,并显著降低整个企业的风险。
揽阁信息作为Thales的合作伙伴,为众多客户提供了Thales CipherTrust 数据安全平台产品,以及相关的技术支持和解决方案。欢迎联系我们,获取更多信息。
揽阁信息 · 值得您信赖的信息安全顾问!
沪公网安备31011202021337号 网站地图
友情链接: Thales官网 芯片产品网站 服务热线
