作者:袁立志、朱垒、朱唯嘉
泰国作为东南亚地区的主要经济体和汽车市场,是近年来中国汽车出海的重要目标地之一。2023年,中国汽车品牌在东南亚地区销售新能源乘用车8.7万辆,占东南亚地区新能源乘用车总销量70.1%,处于绝对领先地位。各大主机厂(如比亚迪、广汽埃安等)亦纷纷在泰国建立工厂。[1]在市场快速发展的同时,泰国的数据隐私保护法,也对中国车企提出了合规挑战。
本文将从法律监管体系、数据保护一般规则与汽车领域高频场景数据合规要求着手,拆解泰国数据隐私保护法律要求,为中国汽车出海泰国提供参考。
1.泰国数据隐私保护法律监管体系
泰国的一般数据保护法律主要是泰国《个人数据保护法》(简称“PDPA”)。[2]PDPA于2022年6月1日正式生效,是泰国第一部综合性数据保护立法。PDPA适用于在泰国设立的数据控制者和处理者,也适用于在泰国境外向泰国境内主体提供商品、服务或监控的数据控制者和处理者。
为进一步细化PDPA实施规则,泰国个人数据保护委员会发布了《免除小型企业数据控制者处理活动的记录要求》《数据处理者准备和维护处理活动记录的规则和方法》《数据控制者安全措施》《专家委员会发出行政罚款命令的考量规则》《根据PDPA第28条向外国发送或传输个人数据的保护标准》(简称“第28条通知”)、《根据PDPA第29条向外国发送或传输个人数据的保护标准》(简称“第29条通知”)、《关于任命DPO的通知》等文件。[3]
目前未见泰国针对汽车领域数据隐私保护的专门立法。
泰国数据保护的主要监管机构是泰国个人数据保护委员会(简称“PDPC”)。PDPA规定滥用个人数据的行为者可能会面临民事赔偿、行政处罚与刑事处罚。从公开新闻报道来看,目前该法实施两年,PDPC的主要监管手段是敦促和警告,处罚并不多见。
2.泰国数据隐私保护一般规则
(1)适用范围
根据PDPA第5条,PDPA适用于位于泰国境内的数据控制者或数据处理者对个人数据的收集、使用、披露行为,不论上述行为是否发生于泰国境内。
PDPA在以下情形中适用于位于泰国境外的数据控制者或数据处理者对境内数据主体个人数据的收集、使用、披露行为:(i)向在泰国境内的数据主体提供商品或服务,无论数据主体是否支付费用;(ii)对数据主体发生在泰国境内行为进行监控。
根据PDPA第4条,PDPA不适用于如下情形:(i)个人为个人利益或家庭活动而收集、使用或披露个人数据;(ii)公共当局执行维护国家安全的职责,包括防止洗钱,从事法医科学和维护网络安全的活动;(iii)个人或法人为大众传媒、美术或文学活动而使用或披露收集的个人数据,且这些活动符合职业道德或出于公共利益;(iv)众议院、参议院和国会及其任命的委员会在履行职责和权力时收集、使用或披露个人数据;(v)法院在审判和裁决以及其他法律程序中的工作,包括法律执行和财产押存,以及根据刑事司法程序进行的工作;(vi)征信机构及其成员根据信用业务操作法律进行的工作;(vii)其他类似情况或为了公共利益而需要不适用PDPA已通过皇家法令予以规定的情况。
(2)个人数据/敏感个人数据的定义
根据PDPA第6、26条,个人数据指与个人相关联的、可以直接或间接用于识别个人的任何数据(不包含死者信息),具体包括姓名、身份证号码、地址、电话号码、电子邮箱、财务明细等;
敏感个人数据指与种族或民族血统、政治观点、邪教、宗教或哲学信仰、性行为、犯罪记录、健康数据、残疾、工会信息、遗传数据、生物特征数据有关的任何个人数据,或可能以相同方式影响数据主体的任何数据。
(3)义务主体
PDPA采取了“控制者”与“处理者”二分概念。根据PDPA第6条,“数据控制者”指在个人数据的收集、使用和披露方面,拥有决策权的任何个人或实体。“数据处理者”指代表或在数据控制者指示下,进行个人数据收集、使用或披露的任何个人或实体。
(4)告知与合法性基础
数据控制者在收集个人数据前应履行告知义务,并具备处理的合法性基础。
根据PDPA第23条,控制者应在收集个人数据前或收集时告知数据主体以下信息:(i)收集、使用、披露个人数据的目的;(ii)数据主体为遵守法律规定、合同约定或为签订合同必须提供个人数据的情况,以及不提供个人数据可能产生的影响;(iii)收集个人数据的种类及保存期限;(iv)可能对外披露所收集个人数据的人员和实体类型;(v)数据控制者的信息、地址、联系方式,数据控制者代表或数据保护负责人信息;(vi)数据主体依据PDPA享有的权利。
根据PDPA第19、24条,控制者能够依赖的合法性基础包括:(i)数据主体的同意;(ii)实现与为公共利益或与研究或统计有关的目的而准备历史文件或档案的目的;(iii)为签订或履行数据主体作为一方的合同所必需;(iv)为保护数据主体的生命、身体或健康;(v)为维护公众利益;(vi)为实现控制者或第三方的合法利益所必需;(vii)为履行法定义务。
(5)数据合作
根据PDPA第27条,除非具有其他合法性基础,否则数据控制者不得在未经数据主体同意的情况下披露个人数据,通过披露获得个人数据的数据控制者不得超出获得该等个人数据时通知披露方的目的使用个人数据。因此,数据控制者应向数据主体告知合作方的名称或类型,并与合作方订立数据保护协议(在双方系独立的数据控制者的情况下无强制要求)。
根据PDPA第40条,数据处理者应承担以下义务:(i)仅根据数据控制者的指示进行与个人数据的收集、使用或披露有关的活动;(ii)提供适当的安全措施,以防止个人数据未经授权或非法的丢失、访问、使用、更改、更正或披露,并在发生个人数据泄露时通知数据控制者;(iii)准备并维护对其个人信息处理活动的记录。若数据处理者未能根据数据控制者的指示进行活动,则应视为处理个人数据的数据控制者。
(6)数据本地化存储
PDPA无对个人信息的本地化存储要求。
(7)数据跨境转移
根据PDPA第28、29条,结合PDPA发布的“第28条通知”、“第29条通知规定”规定,仅当接收地具有足够的个人数据保护标准或满足跨境转移条件之一时,个人数据才能转移到第三国。总结而言,泰国的数据跨境转移路径包括如下:
路径一:“充分性认定”。PDPC发布的“第28条通知”明确了PDPC作出充分性认定的标准,若接收国被评判为“充分保护国家”,则向该国家传输个人数据无需采取额外的防护措施。目前,PDPC尚未发布其认定的“充分保护国家”名单。
路径二:“适当措施”。PDPA允许在下列情况下进行跨境转移:(i)向集团公司内的控制人员或处理人员转移个人数据,且该集团公司已制定经委员会批准的具有约束力的公司规则(“BCR”);及(ii)在委员会尚未批准具有约束力的公司规则的情况下,控制人员或处理人员采取“适当措施”以及根据委员会的指引采取有效的法律补救措施后,可以向第三国转移个人数据。根据“第29条通知”,“适当措施”包括:标准合同条款、认证、及泰国作为缔约方的法规或协议。[4]
路径三:“转移条件”。根据PDPA,如满足转移条件亦可进行数据跨境转移,具体包括:(i)履行法定义务;(ii)在被告知接收国数据保护法律的不足之后,数据主体同意转移;(iii)履行个人作为合同一方当事人所必需;(iv)为履行个人作为利益第三人的合同项下义务;(v)为了防止或消除该个人或其它人的生命、人身或健康面临的危险而该个人当时不能表示同意的转移;或(vi)公共任务所需要的转移。
(8)数据主体权利
根据PDPA第30-35条,数据主体享有知情权、访问权、更正权、删除权、限制处理权、可携权、反对权和撤回同意权。
具体来说,根据PDPA第30、31条,数据主体有权访问其个人数据并获得个人数据副本,有权要求披露未经其同意获得其个人数据的情况。数据控制者应立即响应请求,并在三十日内响应完成。数据控制者应当以可读格式或通常使用的自动化工具或设备使用的格式向数据主体提供个人数据。数据主体亦可要求:(i)数据控制者在可通过自动化手段发送或转移个人数据的情况下,将此类格式的个人数据发送或传输给其他数据控制者;(ii)直接向其提供向其他数据控制者发送或传输的此类格式的个人数据。
根据PDPA第32条,数据主体在下列情形中,有权随时反对控制者对其个人数据的收集、使用、披露:(i)控制者以保护公共利益、履行公共权力、保护他人合法权益为合法性基础处理个人数据,除非控制者证明其具有充分的合法性基础或其是在法律诉讼中收集、使用、披露个人数据;(ii)收集、使用、披露个人数据是以直接营销为目的;(iii)收集、使用、披露个人数据是以科学、历史或统计研究为目的,除非这对数据控制者为公共利益执行任务是必要的。
根据PDPA第33条,数据主体在下列情形中,可要求控制者擦除、销毁其个人数据,或对其个人数据进行匿名化处理:(i)个人数据对于收集、使用、披露的原目的不再必要;(ii)数据主体撤回同意,且控制者不具备其他合法性基础;(iii)数据主体行使反对权;(iv)个人数据被非法收集、使用、披露。
根据PDPA第34条,数据主体在下列情形中可限制控制者对个人数据的使用:(i)控制者对其权利行使处于核实、审查阶段;(ii)个人数据对于收集、使用、披露的原目的不再必要,但数据主体为了诉讼需要保留该等个人数据;(iii)个人数据被非法收集、使用、披露,但数据主体仅请求限制使用。
(9)数据保护负责人(DPO)
根据PDPA第41条,若控制者或处理者的核心活动是收集、使用或公开个人数据,即应当任命数据保护负责人(DPO)。为了帮助数据控制者确认其是否需要任命DPO,PDPC发布了供数据控制者参考的评估表,以及关于DPO的通知信息表格。
(10)数据处理记录(RoPA)
根据PDPA第39条,数据控制者通常应通过书面或电子化方式,记录数据处理活动,以便数据主体和监管机构进行查看。数据处理记录应包括如下内容:处理的个人数据;个人数据处理目的;数据控制者详情;数据保存期限;个人数据行权响应方式和条件;数据使用和披露情况;安全保障措施等。
根据《免除小型企业数据控制者处理活动的记录要求》,小型企业数据控制者或偶尔处理个人数据的企业无需进行数据处理活动记录。小型企业包括根据泰国《中小型企业法》成立的中小型企业、家庭企业、社团企业等。
(11)数据安全事件处置
根据PDPA第37条,数据控制者应毫不迟延地、在可行的情况下在发现后72小时内通知PDPC有关个人数据泄露的情况。如果个人数据泄露可能对个人权利和自由造成高风险,数据控制者必须立即向数据主体通报泄露事件和补救措施。
3.汽车领域高频场景数据隐私合规要点
(1)汽车营销场景
☑隐私通知:
根据PDPA第23条,数据控制者必须在收集个人数据之前或之时告知数据主体所需的详细信息,例如收集的目的、数据保留期限、涉及对外披露的接收方类别、数据控制者及其代表信息、数据主体的权利等,除非数据主体已经知道此类细节。
☑电子邮件/电话/短信营销:
对于个人客户而言,在取得其同意或是该个人系已存在业务关系的客户的情形下,汽车企业能够以直接营销为目的通过电子通信方式(包括电子邮件、电话、短信)处理个人数据。同时,个人有权反对上述处理。对于企业客户而言,汽车企业开展直接营销无需事先取得企业客户的书面同意。此外,根据泰国《直销法》(Direct Sales and Direct Marketing Act,DMA)第27条[6],在向客户(包括个人和企业客户)开展直销业务之前,经营者必须向泰国消费者保护委员会办公室(OCPB)注册该直销活动。
(2)汽车金融场景
☑告知数据共享的情况:
如涉及向银行、融资租赁公司等金融机构提供消费者数据的,根据PDPA第23、27条,汽车销售商应通过隐私政策等方式向涉及的数据主体告知数据接收方类型,并取得数据主体的同意或具备其他合法性基础。
(3)车联网场景
☑遵循数据保护一般规则:
汽车企业应当遵守PDPA规定的数据保护原则(包括合法、目的限制、数据最小化、准确性等)和数据处理的一般规则(参见第2部分)。
(4)充电场景
☑遵循数据保护一般规则:
汽车企业应当遵守PDPA规定的数据保护原则(包括合法、目的限制、数据最小化、准确性等)和数据处理的一般规则(参见第2部分)。
(5)自动驾驶场景
☑遵循数据保护一般规则:
目前泰国没有制定专门适用于自动驾驶的相关法律或标准,仅在其《工业产品标准法》中提及有关自动驾驶相关工业产品标准。目前,汽车生产商在开发设计自动驾驶系统时,应当遵守PDPA规定的数据保护原则(包括合法、目的限制、数据最小化、准确性等)和数据处理的一般规则(参见第2部分)。
此外,泰国在近几年发布有针对人工智能监管的法令草案,如《泰国促进和支持人工智能创新法(草案)》《泰国人工智能系统服务商业运营皇家法令(草案)》(简称“《AI运营法令草案》”)[7]等。其中《AI运营法令草案》提及自动驾驶系统,并将其归为高风险人工智能系统。相关文件均为草案阶段,尚未正式出台,考虑到全球人工智能立法进程之快,汽车企业需持续关注并着手准备相关应对措施。
(6)售后维修
☑遵循数据保护一般规则:
汽车企业应当遵守PDPA规定的数据保护原则(包括合法、目的限制、数据最小化、准确性等)和数据处理的一般规则(参见第2部分)。
(7)OTA汽车远程升级
☑遵循R156相关要求:
泰国是联合国《1958年协定书》的缔约方。根据联合国有关R156的适用国家及生效时间文件(United Nations Regulation No. 156. UN Regulation on uniform provisions concerning the approval of vehicles with regards to software update and software updates management system),R156在2021年即对泰国生效。因此,车企在泰国同样应当遵循R156中关于OTA的相关要求。
注释
