泰國PDPA隱私指南:個人資料保護法下你的權利
泰國PDPA(個人資料保護法)個人實用指南。了解你的資料權利、如何請求刪除以及企業必須遵守的規定。
泰國PDPA隱私指南:個人資料保護法下你的權利
泰國的個人資料保護法(PDPA / พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562)於2022年6月全面生效,賦予泰國居民對個人資料的重大控制權。儘管該法律已施行數年,泰國仍有許多人不知道自己擁有什麼權利或如何行使這些權利。
本指南詳細解讀PDPA對你個人意味著什麼,以及如何掌控你的個人資料。
PDPA的適用範圍
PDPA適用於任何收集、使用或揭露泰國境內人員個人資料的組織——無論是泰國還是外國組織。包括:
- 銀行和金融機構
- 電信業者(AIS、TRUE、DTAC)
- 電商平台(Shopee、Lazada)
- 社群媒體公司
- 醫院和醫療服務提供者
- 政府機構
- 雇主
- 你使用的任何網站或App
什麼算作個人資料
| 資料類型 | 範例 |
|---|---|
| 識別資訊(ข้อมูลระบุตัวตน) | 姓名、國民身分證號、護照號、ThaiD資料 |
| 聯絡資訊 | 手機號碼、電子郵件、LINE ID、地址 |
| 金融資料(ข้อมูลการเงิน) | 銀行帳戶、信用卡號、PromptPay ID |
| 生物辨識資料 | 指紋、臉部辨識資料、聲紋 |
| 健康資料(ข้อมูลสุขภาพ) | 醫療記錄、處方箋、健康保險資訊 |
| 位置資料 | GPS資料、打卡記錄、出行記錄 |
| 線上活動 | 瀏覽記錄、搜尋記錄、Cookie |
| 就業資料 | 薪資、工作經歷、績效記錄 |
你在PDPA下的權利
1. 知情權(สิทธิในการรับทราบ)
在收集資料之前,組織必須告知你:
- 收集哪些資料
- 為什麼需要
- 保存多長時間
- 與誰分享
- 你對該資料的權利
實際操作: 這就是註冊服務時看到的同意書或隱私聲明。請閱讀它——這很重要。
2. 同意權(สิทธิในการให้ความยินยอม)
資料收集前必須取得你的明確同意,除非有限的例外情況(法律義務、重大利益、公共利益或正當利益)。你還有權:
- 隨時撤回同意
- 拒絕同意而不被拒絕核心服務(公司不能因為你拒絕選擇性的資料收集而拒絕提供服務)
3. 存取權(สิทธิในการเข้าถึง)
你可以要求組織提供其持有的所有關於你的個人資料副本。他們必須在30天內回覆。
4. 資料可攜權(สิทธิในการโอนย้ายข้อมูล)
你可以要求以常用的機器可讀格式取得資料,並將其轉移給另一個服務提供者。
5. 更正權(สิทธิในการแก้ไข)
如果你的資料不準確或不完整,你有權要求更正。
6. 刪除權(สิทธิในการลบ)
在以下情況下,你可以要求組織刪除你的個人資料:
- 收集目的已不再需要該資料
- 你撤回了同意
- 你反對處理且沒有壓倒性的正當理由
- 資料係非法收集
7. 限制處理權(สิทธิในการระงับ)
你可以要求組織在爭議解決期間停止使用你的資料。
8. 反對權(สิทธิในการคัดค้าน)
你可以隨時無條件地反對用於直接行銷目的的資料處理。
PDPA權利彙總表
| 權利 | 使用情境 | 回覆期限 |
|---|---|---|
| 存取(เข้าถึง) | 想知道他們持有什麼資料 | 30天 |
| 刪除(ลบข้อมูล) | 想要刪除資料 | 30天 |
| 更正(แก้ไข) | 資料不正確 | 30天 |
| 可攜(โอนย้าย) | 更換服務提供者 | 30天 |
| 反對(คัดค้าน) | 停止行銷、使用者輪廓分析 | 行銷類即時處理 |
| 限制(ระงับ) | 爭議期間暫停處理 | 30天 |
| 撤回同意(ถอนความยินยอม) | 改變對資料使用的同意 | 視情況而定 |
如何行使你的PDPA權利
步驟1:找到資料保護聯絡人
大多數組織需要設立資料保護長(DPO)或資料請求的指定聯絡人。查找:
- 網站上的隱私政策頁面
- 服務條款中的「資料保護長」聯絡方式
- 客服部門(註明你的請求是PDPA請求)
步驟2:提交書面請求
透過電子郵件或書面信函傳送正式請求。包括:
- 你的全名和聯絡資訊
- 身分證明(遮蔽處理的身分證影本)
- 具體行使的權利
- 要存取、刪除或更正的資料描述
- 引用PDPA第30-36條
步驟3:追蹤回覆
組織必須在30天內回覆。如果拒絕,必須書面說明原因。
步驟4:必要時升級
如果組織不遵守,你可以向以下機構投訴:
- 個人資料保護委員會(PDPC) — pdpc.or.th
- 法院 — 你可以就PDPA違規造成的損害尋求賠償
主動保護你的個人資料
最小化你的資料足跡
- 僅提供服務真正需要的資料
- 為不同服務使用不同的電子郵件地址
- 盡可能拒絕選擇性的資料收集
- 定期檢查手機上的App權限
保護你分享的資訊
當你需要分享敏感的個人資訊——國民身分證號碼、銀行資訊、醫療記錄——絕不要透過LINE或電子郵件傳送。使用LOCK.PUB建立自動過期的加密密碼保護備忘錄。收件人用密碼檢視資訊後,過期即自動銷毀。聊天記錄或郵件歸檔中不會留下任何資料。
定期資料稽核
- 每季檢查社群媒體的隱私設定
- 檢查哪些App有權存取你的LINE帳號
- 檢查Google和Apple帳戶的關聯App
- 刪除不再使用的服務帳戶
企業必須遵守的規定
在PDPA下,違反資料保護規定的組織面臨:
| 違規類型 | 最高處罰 |
|---|---|
| 行政罰鍰 | 最高500萬泰銖 |
| 刑事處罰 | 最高1年有期徒刑及/或100萬泰銖罰金 |
| 民事賠償 | 實際損失 + 懲罰性賠償(最高實際損失的2倍) |
企業還必須:
- 任命資料保護長(大規模處理的情況)
- 維護資料處理活動記錄
- 實施適當的安全措施
- 在72小時內向PDPC通報資料外洩
- 跨境資料傳輸前取得同意(有例外)
日常生活中的PDPA情境
- 網路商店在你退訂後仍傳送行銷訊息 — 以違反反對權為由提出PDPA投訴
- 前雇主分享你的薪資資訊 — 請求刪除並提出投訴
- 醫院未經同意分享你的病歷 — 違反了PDPA敏感資料保護
- 電信公司將你的資料賣給廣告商 — 行使存取權查看誰取得了你的資料,然後要求刪除
總結
PDPA賦予你對個人資料的真正權力。行使這些權利是免費的,組織必須在30天內遵守。首先查看哪些服務持有你的資料,然後對不再使用的服務請求刪除。
在必要時分享敏感的個人資訊,請造訪LOCK.PUB建立自動銷毀的免費加密備忘錄——確保你的資料不會存留超過必要時間。