泰国PDPA隐私指南:个人数据保护法下你的权利
泰国PDPA(个人数据保护法)个人实用指南。了解你的数据权利、如何请求删除以及企业必须遵守的规定。
泰国PDPA隐私指南:个人数据保护法下你的权利
泰国的个人数据保护法(PDPA / พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562)于2022年6月全面生效,赋予泰国居民对个人数据的重大控制权。尽管该法律已实施数年,泰国仍有许多人不知道自己拥有什么权利或如何行使这些权利。
本指南详细解读PDPA对你个人意味着什么,以及如何掌控你的个人数据。
PDPA的适用范围
PDPA适用于任何收集、使用或披露泰国境内人员个人数据的组织——无论是泰国还是外国组织。包括:
- 银行和金融机构
- 电信运营商(AIS、TRUE、DTAC)
- 电商平台(Shopee、Lazada)
- 社交媒体公司
- 医院和医疗服务提供者
- 政府机构
- 雇主
- 你使用的任何网站或App
什么算作个人数据
| 数据类型 | 示例 |
|---|---|
| 身份信息(ข้อมูลระบุตัวตน) | 姓名、国民身份证号、护照号、ThaiD数据 |
| 联系信息 | 手机号、电子邮件、微信ID、地址 |
| 金融数据(ข้อมูลการเงิน) | 银行账户、信用卡号、PromptPay ID |
| 生物识别数据 | 指纹、面部识别数据、声纹 |
| 健康数据(ข้อมูลสุขภาพ) | 医疗记录、处方、健康保险信息 |
| 位置数据 | GPS数据、签到历史、出行记录 |
| 在线活动 | 浏览历史、搜索历史、Cookie |
| 就业数据 | 薪资、工作经历、绩效记录 |
你在PDPA下的权利
1. 知情权(สิทธิในการรับทราบ)
在收集数据之前,组织必须告知你:
- 收集哪些数据
- 为什么需要
- 保存多长时间
- 与谁共享
- 你对该数据的权利
实际操作: 这就是注册服务时看到的同意书或隐私声明。请阅读它——这很重要。
2. 同意权(สิทธิในการให้ความยินยอม)
数据收集前必须获得你的明确同意,除非有限的例外情况(法律义务、重大利益、公共利益或正当利益)。你还有权:
- 随时撤回同意
- 拒绝同意而不被拒绝核心服务(公司不能因为你拒绝可选的数据收集而拒绝提供服务)
3. 访问权(สิทธิในการเข้าถึง)
你可以要求组织提供其持有的所有关于你的个人数据副本。他们必须在30天内回复。
4. 数据可携权(สิทธิในการโอนย้ายข้อมูล)
你可以要求以常用的机器可读格式获取数据,并将其转移给另一个服务提供者。
5. 更正权(สิทธิในการแก้ไข)
如果你的数据不准确或不完整,你有权要求更正。
6. 删除权(สิทธิในการลบ)
在以下情况下,你可以要求组织删除你的个人数据:
- 收集目的已不再需要该数据
- 你撤回了同意
- 你反对处理且没有压倒性的正当理由
- 数据系非法收集
7. 限制处理权(สิทธิในการระงับ)
你可以要求组织在争议解决期间停止使用你的数据。
8. 反对权(สิทธิในการคัดค้าน)
你可以随时无条件地反对用于直接营销目的的数据处理。
PDPA权利汇总表
| 权利 | 使用场景 | 回复期限 |
|---|---|---|
| 访问(เข้าถึง) | 想知道他们持有什么数据 | 30天 |
| 删除(ลบข้อมูล) | 想要删除数据 | 30天 |
| 更正(แก้ไข) | 数据不正确 | 30天 |
| 可携(โอนย้าย) | 更换服务提供者 | 30天 |
| 反对(คัดค้าน) | 停止营销、用户画像 | 营销类即时处理 |
| 限制(ระงับ) | 争议期间暂停处理 | 30天 |
| 撤回同意(ถอนความยินยอม) | 改变对数据使用的同意 | 视情况而定 |
如何行使你的PDPA权利
第1步:找到数据保护联系人
大多数组织需要设立数据保护官(DPO)或数据请求的指定联系人。查找:
- 网站上的隐私政策页面
- 服务条款中的"数据保护官"联系方式
- 客服部门(注明你的请求是PDPA请求)
第2步:提交书面请求
通过电子邮件或书面信函发送正式请求。包括:
- 你的全名和联系信息
- 身份证明(遮蔽处理的身份证复印件)
- 具体行使的权利
- 要访问、删除或更正的数据描述
- 引用PDPA第30-36条
第3步:跟踪回复
组织必须在30天内回复。如果拒绝,必须书面说明原因。
第4步:必要时升级
如果组织不遵守,你可以向以下机构投诉:
- 个人数据保护委员会(PDPC) — pdpc.or.th
- 法院 — 你可以就PDPA违规造成的损害寻求赔偿
主动保护你的个人数据
最小化你的数据足迹
- 仅提供服务真正需要的数据
- 为不同服务使用不同的电子邮件地址
- 尽可能拒绝可选的数据收集
- 定期检查手机上的App权限
保护你分享的信息
当你需要分享敏感的个人信息——国民身份证号码、银行信息、医疗记录——绝不要通过微信或电子邮件发送。使用LOCK.PUB创建自动过期的加密密码保护备忘录。收件人用密码查看信息后,过期即自动销毁。聊天记录或邮件归档中不会留下任何数据。
定期数据审计
- 每季度检查社交媒体的隐私设置
- 检查哪些App有权访问你的微信账户
- 检查Google和Apple账户的关联App
- 删除不再使用的服务账户
企业必须遵守的规定
在PDPA下,违反数据保护规定的组织面临:
| 违规类型 | 最高处罚 |
|---|---|
| 行政罚款 | 最高500万泰铢 |
| 刑事处罚 | 最高1年监禁和/或100万泰铢罚款 |
| 民事赔偿 | 实际损失 + 惩罚性赔偿(最高实际损失的2倍) |
企业还必须:
- 任命数据保护官(大规模处理的情况)
- 维护数据处理活动记录
- 实施适当的安全措施
- 在72小时内向PDPC通报数据泄露
- 跨境数据传输前获得同意(有例外)
日常生活中的PDPA场景
- 网店在你退订后仍发送营销信息 — 以违反反对权为由提出PDPA投诉
- 前雇主分享你的薪资信息 — 请求删除并提出投诉
- 医院未经同意分享你的病历 — 违反了PDPA敏感数据保护
- 电信公司将你的数据卖给广告商 — 行使访问权查看谁获取了你的数据,然后要求删除
总结
PDPA赋予你对个人数据的真正权力。行使这些权利是免费的,组织必须在30天内遵守。首先查看哪些服务持有你的数据,然后对不再使用的服务请求删除。
在必要时分享敏感的个人信息,请访问LOCK.PUB创建自动销毁的免费加密备忘录——确保你的数据不会存留超过必要时间。