2019年《个人数据保护法》（“PDPA”）是泰国第一部全面的数据保护立法，最初计划于2020年5月27日生效。然而，由于新冠肺炎大流行而推迟了两轮，PDPA已于2022年6月1日生效。PDPA基于《一般数据保护条例》（条例（欧盟）2016/679）（“GDPR”），旨在确保对个人数据的保护，并为个人数据保护权受到侵犯的数据主体制定有效的补救措施。

与关于个人数据保护法的三部分系列的第二部分和第三部分类似，本文旨在强调个人数据保护的关键条款，重点关注其适用范围、重要定义以及收集、使用和披露个人信息的依据。

适用范围

一般和部门应用（第3至5节）

《个人数据保护法》适用于泰国的数据控制者或数据处理者收集、使用或披露个人数据，无论此类收集、使用和披露是否发生在泰国。如果数据控制者或数据处理者在泰国境外，PDPA将适用于个人数据的收集、使用或披露，其中涉及以下活动：

• 向在泰国的数据主体提供货物或服务，无论数据主体是否付款；或
• 监测数据主体的行为，该行为发生在泰国。

PDPA澄清，它将不适用于许多情况，包括：

• 仅为个人利益或家庭活动收集、使用或披露个人数据；
• 负责维护国家安全，包括国家金融安全或公共安全的公共当局的运作，如预防和打击洗钱、法医学或网络安全方面的职责；和
• 为大众媒体、美术或文学活动使用或披露个人数据，仅符合职业道德或公共利益。

关于管理个人数据保护的行业特定法律，《个人数据保护法》规定，除非适用例外情况，否则此类法律的规定将适用，例如关于收集、使用或披露个人数据和数据主体权利的规定，包括相关处罚，无论这些规定是否重复行业法律，都将适用。

关键定义

PIPL第6条和第26条以及关于数据保护影响评估（“DPIA”）的通知第2.1节中规定了以下定义，数据控制者的职责是让数据主体仅使用自动流程拒绝决策（“DPIA草案和自动处理通知”）。

“个人数据”是指能够直接或间接识别此人的任何与此人有关的信息，但不包括死者的信息。

数据控制者是指有权和义务就个人数据的收集、使用或披露做出决定的个人或法人。

数据处理人是指根据数据控制人或其代表发出的命令，就个人数据的收集、使用或披露进行操作的个人或法人，该个人或法人不是数据控制人。

人是指自然人。

委员会指个人数据保护委员会（“PDPC”）。

PDPA没有明确定义敏感数据。然而，《个人数据保护法》对收集与种族、族裔、政治观点、邪教、宗教或哲学信仰、性行为、犯罪记录、健康数据、残疾、工会信息、遗传数据、生物特征数据或可能以《个人数据保护法案》规定的相同方式影响数据主体的任何数据相关的个人数据作出了具体限制。

生物特征数据是指使用与人的身体或行为优势相关的技术或技术产生的个人数据，可用于将该人与其他人区分开来，如面部、虹膜或指纹识别数据。

“自动处理”是指基于所有者的个人信息以及数据控制器或数据处理器自身生成的信息（DPIA草案第2.1节和自动处理通知），在无人参与的情况下进行自动决策。

分析是指任何形式的个人数据处理，其使用信息评估个人的各个方面，特别是分析或预测个人的效率、经济状况、健康、地理位置或人员移动（DPIA草案第2.1节和自动处理通知）。

一般原则

精度原则（第35节）

数据控制员必须确保个人数据保持准确、最新、完整且不具有误导性。在这一点上，《个人数据保护法》澄清，如果数据主体要求数据控制者按照第35条行事，而数据控制者未就数据主体的请求采取行动，则数据控制者必须记录数据主体的此类请求以及《个人数据保护法案》第39条规定的理由。

合法处理（第22和23条）

个人数据的收集必须限制在与数据控制者的合法目的相关的必要范围内。

数据控制者不得收集、使用或披露个人数据，除非数据主体在收集、使用和披露个人数据时事先同意，但《个人数据保护法》或任何其他法律允许的情况除外。具体而言，《个人数据保护法》概述了在未经同意的情况下可以处理个人数据的一些情况，包括：

• 履行合同所必需的；
• 为公共利益或行使数据控制员的官方权力所需；
• 合法利益所必需的；
• 法律义务；或
• 防止或抑制对人的生命、身体或健康的危险。

此外，关于处理个人数据的保护措施的通知草案（“处理措施通知草案”）要求数据控制员证明数据的处理是为了最初根据《个人数据保护法》第26条收集数据的目的，并且采取了处理此类个人数据的适当措施。可以通过记录数据控制员进行的处理活动类型来实现上述目标（关于处理措施的通知草案第2.4节）。

此外，为保护数据处理活动而实施的措施必须评估对数据主体权利和自由的风险，且不得低于隐私专员可能引入的最低标准。在这一点上，数据管理员必须根据《个人数据保护法》第26条制定个人数据保护政策，该政策将根据数据管理员的一般隐私政策提供。除其他外，此类政策必须包括对数据处理活动的描述、数据保留政策以及在适当的保留和销毁期限内销毁个人数据（处理措施通知草案第2.5条）。

同意（第19和20条）

PDPA详细说明了同意要求，如书面声明或通过电子方式明确表示同意的要求，除非无法做到。此外，《个人数据保护法》规定了符合条件的要求，并规定，在请求同意时，数据管理员还必须告知收集、使用或披露个人数据的目的。此外，《个人数据保护法》概述了同意的具体要求，包括必须自由给予同意，数据主体可以随时撤回同意。

关于未成年人的同意，《儿童保护法》规定，如果未成年人没有单独行动的权利，也需要对儿童负有父母责任的人的同意。此外，如果未成年人未满10岁，则必须征得对儿童负有父母责任的人的同意。此外，如果数据主体不称职，则必须获得有权代表不称职人员行事的托管人的同意。在这一点上，如果数据主体是准无行为能力人，则必须获得有权代表准无行为资格人行事的馆长的同意。

重要的是，撤回同意、向数据主体发出通知、行使数据主体权利、数据主体的投诉以及PDPA下针对未成年人、无行为能力或准无行为能力的数据主体的任何其他行为，将由对儿童负有父母责任的人或有权代表无行为能力者行事的人行使。

关于获得数据主体同意的标准和方法的通知草案（“同意通知草案”）建议各协会和工作组制定一份标准的同意书或声明，以便于遵守PDPA。PDPC将收集起草的表格和声明，并指定或创建一个目录，以方便希望使用此类声明的个人。

关于获得同意标准的操作指南草案（“同意指南草案”）确立了有效同意的主要要求。

同意指南草案第4.2节要求，在获得同意时，必须确定以下内容：

• 收集、使用和披露个人数据的有效同意期；
• 同意是自由的，没有欺诈、欺骗、恐吓或虚假陈述；
• 同意是明确和具体的，而不是一般性的；和
• 在服务条款中，同意不是有条件的、强制性的或有约束力的，也不需要在签订合同之前获得同意。

此外，根据同意指南草案，数据管理员必须将以下事项告知数据主体：

• 收集、使用和披露特定个人信息的目的；
• 数据控制器及其DPO的联系信息；和
• 随时撤回同意的能力。

同意准则草案第6节阐明了未成年人的同意机制。具体而言，数据管理员必须为超过10岁但尚未达到法定年龄的未成年人制定适当的年龄验证措施，并且所使用的语言必须易于未成年人理解。对于10岁以下的未成年人，数据管理员必须获得适当用户（如其父母或监护人）的同意，并且必须制定适当措施来验证用户的父母或监护人。

在无行为能力或准无行为能力人员同意的情况下，同意指南草案第7节规定，同样的规则适用，数据管理员将被要求制定适当措施，以验证和同意用户的父母或监护人。

从第三方收集的数据（第25节）

数据管理员不得直接从数据主体以外的任何其他来源收集个人数据，除非适用例外情况。这些例外情况包括数据控制者立即通知数据主体从其他来源收集个人数据，不得超过收集之日起30天，并且必须获得数据主体的同意。

敏感数据（第26节）

《个人数据保护法》规定，禁止与种族、民族血统、政治观点、邪教、宗教或哲学信仰、性行为、犯罪记录、健康数据、残疾、工会信息、遗传数据、生物特征数据或可能以《个人数据保护法案》规定的相同方式影响数据主体的任何数据有关的个人数据，未经数据主体的明确同意，除非适用例外情况。PDPA中概述的例外情况包括：

• 明确同意；
• 在数据主体无法给予同意的情况下，防止或抑制对个人生命、身体或健康的危险；
• 法律主张的确立、遵守、行使或辩护；
• 为履行法律义务所必需的；和
• 在基金会、协会或任何其他具有政治、宗教、哲学或工会目的的非营利机构的适当保障下，在合法活动过程中进行。

关于刑事定罪数据，此类收集必须在PDPA授权机构的控制下进行，或者根据PDPA规定的规则实施数据保护措施。

更具体地说，关于处理措施的通知草案第2.8节规定，打算处理此类数据的数据控制人必须得到数据主体的书面同意，除非适用例外情况，如法律要求进行处理。此外，根据《处理措施通知草案》第2.9节，如果数据主体拒绝同意处理刑事定罪数据，数据管理员必须通知不同意的后果。此外，为了认证有关犯罪记录的信息，数据控制者可以使用认证机构来确认数据主体的个人信息，此类信息的认证不是数据主体的负担。

本文：https://cioctocdo.com/thailand-pdpa-key-principles-part-one