泰国针对个人数据跨境流动做出更完善规定

2023年10月27日，泰国个人数据保护委员会 (PDPC) 分别根据《2019 年个人数据保护法》(PDPA)第28条和第 29条发布了两部跨境数据传输法规草案，以供公众咨询。

根据《个人数据保护法》第28条规定的数据传输条例草案（简称“第28条草案”）涉及将个人数据传输到被认为具有适当数据保护标准的目的地国或国际组织的问题。除其他程序性事项外，“第28条草案”规定，数据接收方应根据本草案规定的个人数据保护标准制定适当的数据保护标准（第5条），数据保护标准是否适当将根据某些因素来确定，包括目的地国或国际组织是否存在不低于泰国规定的法律措施或机制等（第6条）。

根据《个人数据保护法》第29条规定的数据传输条例草案（简称“第29条草案”）规定，如果个人数据发送方或转移方与个人数据接收方在同一关联企业或同一企业集团中制定了个人数据保护政策，并经PDPC审查和认证，则位于泰国的数据控制方或数据处理方可将个人数据发送或传输给位于外国且从事同一关联企业或同一企业集团的个人数据接收方（第5条）。PDPC 应评估个人数据保护政策的内容和实质，除其他要求外，该政策应具有法律效力和可执行性（第7条）。

此外，“第29条草案”规定，如果PDPC没有根据《个人数据保护法》第28条就接收个人数据的目的地国家或国际组织的个人数据保护标准的充分性做出决定，或者根据第5条企业没有个人数据保护政策，数据控制者或数据处理者也可以向外国发送或转移个人数据，但必须实施以下适当的保障措施（第8条）：

1.合同条款；

2.关于收集、使用和披露个人数据的证明，确保根据公认标准采取适当的保障措施；以及

3.在个人数据跨境或国际转移的情况下，在法规或协议中规定数据保护措施，这些法规 或协议在泰国国家机构和其他国家的国家机构之间具有法律约束力和可执行性。

附背景知识：

根据《个人数据保护法》第28条，如果接收国采取了符合PDPA委员会发布的适当性标准的充分个人数据保护措施，则数据控制者可以将个人数据传输至外国。PDPA委员会负责宣布已采取该等个人数据保护措施的国家名单（“白名单国家”）。如果个人数据将传输至非白名单国家列表上的国家，但该国家符合第28条项下的豁免适用，即采取所述充分个人数据保护措施，则仍可以进行跨境传输。

此外，《个人数据保护法》第29条提供了将个人数据传输至外国的替代方法。该条规定，若集团公司已制定与数据保护相关的具有约束力的公司规则（Binding Corporate Rules, 简称“BCR”），且BCR必须由PDPA委员会根据其发布的条例进行审查和认证。如果公司BCR已通过审查认证，前述第28条不再适用于此类个人数据的转移。

根据《个人数据保护法》第28、29条，个人数据的跨境传输可以在不存在任何白名单国家或经认证的 BCR的情况下进行，但前提是数据传输者提供了能够执行数据主体权利的适当保护措施，包括根据PDPA委员会发布的法规采取的有效法律补救措施。

关注“广东技术性贸易措施”，获取更多服务。