开栏语
随着数字全球化转型的推进,数据跨境流动成为数字经济新常态,数据跨境流动规则在推动国际贸易、促进经济增长等方面发挥着重要作用,各国相继开展数据跨境流动规则的立法,并着力推进统一的规则体系建设进程。聚焦数据跨境流动规则,既能为研究数据跨境流动法律问题提供基本框架,也能为我国数据跨境流动规则的制定和完善提供经验,为此,本版开设“数据跨境流动规则”栏目,将从数据跨境流动与个人数据保护、数据跨境流动与知识产权保护等方面系统介绍相关国际组织、国家和地区数据跨境流动规则。敬请关注,欢迎投稿。
泰国个人数据保护委员会于2023年12月25日发布了两项通知(均已于2024年3月24日正式生效),一是根据《泰国个人数据保护法》第28条制定的通知(以下简称第28条通知),该通知规定了接收传输的个人数据的目的地国家或国际组织的个人数据保护水平是否充分的评判标准;二是根据《泰国个人数据保护法》第29条制定的通知(以下简称第29条通知),该通知规定了接收传输的个人数据的目的地国家或国际组织在缺乏政策或充分性决定的情况下实施适当保护措施的标准。两项通知旨在规制泰国个人数据跨境传输,确保民众相关权利不受侵犯。
两项通知发布的背景
《泰国个人数据保护法》是泰国制定的第一部用于管理和保护数据的法律,适用于在泰国境内为泰国提供产品或服务而处理个人数据的实体,已于2022年6月1日正式生效。作为泰国数字经济转型路线中12项数字相关法律之一,该法在促进泰国数字经济发展方面发挥了关键作用。
根据该法规定,数据控制者和数据处理者在未征得数据主体同意的情况下,不得将个人数据传输至泰国境外,除非满足相关法律要求或者属于合同履行所必须。数据接收国应当采取与该法相匹配的保护标准,除非法律另有约定,否则无法将个人数据传输至泰国境外。
《泰国个人数据保护法》旨在保护个人隐私不被恶意侵犯,但如果是正常的非故意的行为则不构成个人隐私侵犯问题。在此基础上,第28条通知和第29条通知明确了个人数据跨境传输存在的豁免情形,将部分个人数据的发送或传输行为排除在《泰国个人数据保护法》“个人数据跨境传输”的范围之外,第29条通知还清晰地说明了如何适用《泰国个人数据保护法》为个人数据跨境传输提供豁免。
两项通知的主要内容
根据《泰国个人数据保护法》和两项通知,泰国个人数据跨境传输有三个关键机制,分别是(1)充分性决定;(2)具有约束力的公司规则;(3)适当的保障措施。
“发送或传输个人数据”的定义
《泰国个人数据保护法》并未对“发送或传输个人数据”进行界定,仅在第28条提及:“如果数据控制者将个人数据发送或传输至泰国境外,接收这些个人数据的目的地国家或国际组织应具备适当的数据保护标准。”
第28条通知和第29条通知对发送或传输个人数据作出了明确的规定,是指“个人数据的发送者通过物理手段或通过计算机系统或网络远程向个人数据的接收者发送或传输个人数据”。还进一步界定了哪些活动将被视为或不被视为“发送或传输个人数据”。受《泰国个人数据保护法》项下的传输限制,两项通知均使用“无第三方访问”原则,即在泰国境外传输或存储的个人数据,若无法被第三方访问,将被排除在“发送或传输个人数据”的范围之外。
具体而言,以下性质的个人数据的发送或传输不属于“个人数据跨境传输”的范围:(1)作为数据中转站的中介机构发送或传输个人数据;(2)在计算机系统或数据存储介质之间发送或传输个人数据(条件是任何第三方都无法访问这些个人数据)。例如,云计算服务提供商发送或传输个人数据。
充分性决定
根据《泰国个人数据保护法》第28条,如果个人数据接收方采取了符合泰国个人数据保护委员会发布的适当性标准的充分个人数据保护措施,则数据控制者可以对个人数据进行跨境传输。泰国个人数据保护委员会负责公布已采取了充分个人数据保护措施的国家名单(白名单国家),如果个人数据接收方并不在白名单国家列表上,但该个人数据接收方符合第28条项下的豁免适用情形,即采取了充分个人数据保护措施,则数据控制者仍可以进行跨境传输。
第28条通知列明了接收跨境传输的个人数据的目的地国家或国际组织制定适当的数据保护标准的例外情形,明确了泰国个人数据保护委员会确定目的地国家或国际组织是否具有“充分”的个人数据保护标准的准则与因素。
泰国个人数据保护委员会判定接收个人数据的目的地国家或国际组织制定的个人数据保护标准是否充分,需从以下两方面进行确定:
1.目的地国家或国际组织制定的个人数据保护法律措施或机制不得低于《泰国个人数据保护法》,特别是数据控制者有责任提供适当的安全措施以及适当的个人数据保护措施,以确保数据主体权利的可执行性,并提供有效的法律救济措施。
2.负责在目的地国家或国际组织执行个人数据保护法律法规的有关组织,其执行个人数据保护法律法规的权力不得低于《泰国个人数据保护法》所赋予的权力。
根据上述标准,如果数据接收国被评判为“采取了充分个人数据保护措施的国家”,则向该国跨境传输个人数据时,无需额外采取其他防护措施。
具有约束力的公司规则
《泰国个人数据保护法》第29条提供了将个人数据传输至境外的替代方法。该条规定,若企业已制定与个人数据保护相关的具有约束力的公司规则,且具有约束力的公司规则已经通过了泰国个人数据保护委员会根据其发布的条例进行的审查和认证,《泰国个人数据保护法》第28条便不再适用于此类个人数据的跨境传输。
第29条通知进一步明确了个人数据跨境传输需要额外采取的其他防护措施,规定了泰国个人数据保护委员会对具有约束力的公司规则进行审查和批准的方法与内容。泰国个人数据保护委员会将从以下三方面对具有约束力的公司规则进行重点审查:
1.具有约束力的公司规则必须在同一关联业务或同一企业集团的每个相关成员身上具有法律约束力,并且适用于其内的每个相关成员,无论是法人还是自然人,包括数据处理者、数据传输者以及数据接收者,以及他们的雇员、员工或参与集团内个人数据传输或接收的人员;
2.具有约束力的公司规则必须包含有关跨境传输的个人数据所属个人的权利和投诉的条款;
3.具有约束力的公司规则必须包含《泰国个人数据保护法》项下个人数据保护和安全措施的最低标准。
适当的保障措施
根据《泰国个人数据保护法》第28条、第29条,若数据传输者提供了能够执行数据主体权利的适当保护措施,包括根据泰国个人数据保护委员会发布的法规采取的有效法律救济措施,个人数据也可以在不存在任何白名单国家或经认证的具有约束力的公司规则的情况下进行跨境传输。
第29条通知进一步详细规定了在泰国个人数据保护委员会不承认特定国家为具有充分个人数据保护标准的目的地国家,或数据控制者、数据处理者不存在经审批的具有约束力的公司规则情况下,应采取的至少可以提供与具有约束力的公司规则相同程度个人数据保护水平的保障措施,主要有以下几种:
1.标准合同条款。使用包含泰国个人数据保护委员会规定的个人数据跨境传输的标准合同条款,以约束合同各方的职责和义务,确保采取适当的措施保护个人数据。
合规的标准合同条款一般必须符合以下两个标准之一,才能被视为有效的个人数据跨境传输保障措施:一是标准合同条款由当事各方起草,具有约束力,并载有具有约束力的公司规则和适当保障措施通知书所载的最低要求条款。二是标准合同条款由当事人根据外国法律起草或由国际组织制定,其内容和条款涉及数据保护,符合东盟跨境数据传输示范合同条款;或是向第三国传输个人数据的欧盟标准合同条款;或是由泰国个人数据保护委员会进一步规定的任何其他示范条款。
2.认证。根据泰国个人数据保护委员会确定的公认标准对适当保障措施的实施进行认证,必须包括通知中规定的个人数据保护内容。
3.法规或协议。泰国国家机构与外国国家机构之间签订的相互传输个人数据的具有法律约束力和可执行性的法规或协议。
在整个传输过程中,数据传输者必须采取适当的安全措施保护被传输的个人数据,安全措施应符合《泰国个人数据保护法》相关规定,并至少达到相关法律规定的最低标准。
(作者单位:江苏省淮安市中级人民法院)