2023年10月27日，泰國個(gè)人數(shù)據(jù)保護(hù)委員會(huì) (PDPC) 分別根據(jù)《2019 年個(gè)人數(shù)據(jù)保護(hù)法》(PDPA)第28條和第 29條發(fā)布了兩部跨境數(shù)據(jù)傳輸法規(guī)草案，以供公眾咨詢。

根據(jù)《個(gè)人數(shù)據(jù)保護(hù)法》第28條規(guī)定的數(shù)據(jù)傳輸條例草案（簡稱“第28條草案”）涉及將個(gè)人數(shù)據(jù)傳輸?shù)奖徽J(rèn)為具有適當(dāng)數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)的目的地國或國際組織的問題。除其他程序性事項(xiàng)外，“第28條草案”規(guī)定，數(shù)據(jù)接收方應(yīng)根據(jù)本草案規(guī)定的個(gè)人數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)制定適當(dāng)?shù)臄?shù)據(jù)保護(hù)標(biāo)準(zhǔn)（第5條），數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)是否適當(dāng)將根據(jù)某些因素來確定，包括目的地國或國際組織是否存在不低于泰國規(guī)定的法律措施或機(jī)制等（第6條）。

根據(jù)《個(gè)人數(shù)據(jù)保護(hù)法》第29條規(guī)定的數(shù)據(jù)傳輸條例草案（簡稱“第29條草案”）規(guī)定，如果個(gè)人數(shù)據(jù)發(fā)送方或轉(zhuǎn)移方與個(gè)人數(shù)據(jù)接收方在同一關(guān)聯(lián)企業(yè)或同一企業(yè)集團(tuán)中制定了個(gè)人數(shù)據(jù)保護(hù)政策，并經(jīng)PDPC審查和認(rèn)證，則位于泰國的數(shù)據(jù)控制方或數(shù)據(jù)處理方可將個(gè)人數(shù)據(jù)發(fā)送或傳輸給位于外國且從事同一關(guān)聯(lián)企業(yè)或同一企業(yè)集團(tuán)的個(gè)人數(shù)據(jù)接收方（第5條）。PDPC 應(yīng)評估個(gè)人數(shù)據(jù)保護(hù)政策的內(nèi)容和實(shí)質(zhì)，除其他要求外，該政策應(yīng)具有法律效力和可執(zhí)行性（第7條）。

此外，“第29條草案”規(guī)定，如果PDPC沒有根據(jù)《個(gè)人數(shù)據(jù)保護(hù)法》第28條就接收個(gè)人數(shù)據(jù)的目的地國家或國際組織的個(gè)人數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)的充分性做出決定，或者根據(jù)第5條企業(yè)沒有個(gè)人數(shù)據(jù)保護(hù)政策，數(shù)據(jù)控制者或數(shù)據(jù)處理者也可以向外國發(fā)送或轉(zhuǎn)移個(gè)人數(shù)據(jù)，但必須實(shí)施以下適當(dāng)?shù)谋Ｕ洗胧ǖ?條）：

1.合同條款；

2.關(guān)于收集、使用和披露個(gè)人數(shù)據(jù)的證明，確保根據(jù)公認(rèn)標(biāo)準(zhǔn)采取適當(dāng)?shù)谋Ｕ洗胧?；以?/p>

3.在個(gè)人數(shù)據(jù)跨境或國際轉(zhuǎn)移的情況下，在法規(guī)或協(xié)議中規(guī)定數(shù)據(jù)保護(hù)措施，這些法規(guī) 或協(xié)議在泰國國家機(jī)構(gòu)和其他國家的國家機(jī)構(gòu)之間具有法律約束力和可執(zhí)行性。

附背景知識(shí)：

根據(jù)《個(gè)人數(shù)據(jù)保護(hù)法》第28條，如果接收國采取了符合PDPA委員會(huì)發(fā)布的適當(dāng)性標(biāo)準(zhǔn)的充分個(gè)人數(shù)據(jù)保護(hù)措施，則數(shù)據(jù)控制者可以將個(gè)人數(shù)據(jù)傳輸至外國。PDPA委員會(huì)負(fù)責(zé)宣布已采取該等個(gè)人數(shù)據(jù)保護(hù)措施的國家名單（“白名單國家”）。如果個(gè)人數(shù)據(jù)將傳輸至非白名單國家列表上的國家，但該國家符合第28條項(xiàng)下的豁免適用，即采取所述充分個(gè)人數(shù)據(jù)保護(hù)措施，則仍可以進(jìn)行跨境傳輸。

此外，《個(gè)人數(shù)據(jù)保護(hù)法》第29條提供了將個(gè)人數(shù)據(jù)傳輸至外國的替代方法。該條規(guī)定，若集團(tuán)公司已制定與數(shù)據(jù)保護(hù)相關(guān)的具有約束力的公司規(guī)則（Binding Corporate Rules, 簡稱“BCR”），且BCR必須由PDPA委員會(huì)根據(jù)其發(fā)布的條例進(jìn)行審查和認(rèn)證。如果公司BCR已通過審查認(rèn)證，前述第28條不再適用于此類個(gè)人數(shù)據(jù)的轉(zhuǎn)移。

根據(jù)《個(gè)人數(shù)據(jù)保護(hù)法》第28、29條，個(gè)人數(shù)據(jù)的跨境傳輸可以在不存在任何白名單國家或經(jīng)認(rèn)證的 BCR的情況下進(jìn)行，但前提是數(shù)據(jù)傳輸者提供了能夠執(zhí)行數(shù)據(jù)主體權(quán)利的適當(dāng)保護(hù)措施，包括根據(jù)PDPA委員會(huì)發(fā)布的法規(guī)采取的有效法律補(bǔ)救措施。

關(guān)注“廣東技術(shù)性貿(mào)易措施”，獲取更多服務(wù)。