泰国数据合规重点解读

根据由谷歌、淡马锡和贝恩公司联合发布的《2021东南亚互联网经济年度报告》，自2020年疫情开始至2021年上半年，泰国新增900万数字消费者。2021年9月1日起，当非泰国居民电子服务提供商和电子平台通过向泰国非增值税注册客户提供电子服务所取得的收入超过180万泰铢/年时，泰国政府将对该等服务提供商或平台征收7%的增值税。由此可见，在全球疫情常态化背景下，泰国也与诸多东南亚国家一样，正在进行数字化转型。

除此之外，泰国拟重启与欧盟的自贸协定谈判，泰国除需满足欧盟对环境、知识产权方面的要求外，还需满足GDPR的要求。在内部消费转型与外部要求双重驱动下，泰国颁布单独立法规范个人数据的处理行为。本文将简述泰国数据保护法律体系。

数据保护法律体系概况

泰国首部《个人数据保护法》（Personal Data Protection Act，以下简称“PDPA”）于2022年6月1日生效，该法为关于个人数据收集、使用、披露等的综合性立法，且就违法违规处理个人数据的民事责任、刑事责任以及行政责任作出明确规定。近日，泰国政府公报发布了针对PDPA的二级立法，包括《个人数据控制者安全措施》、《个人数据处理者个人数据处理活动记录的准备和保存标准和方法》、《免除小型企业数据控制者记录》以及《专家委员会发布行政罚款和命令的标准》。泰国个人数据保护委员会（Personal Data Protection Committee，以下简称“PDPC”）负责后续法律的实施。