近日,泰国数字经济与社会部下发公告称,已推迟两年施行的《个人数据隐私保护法》(PDPA,PersonalDataProtectionAct)已于今年6月1日起生效,以确保民众个人信息不被滥用。
具体而言,PDPA规定信息处理者在处理、收集或披露个人数据前必须获得数据所有者的同意,且必须告知其使用信息的目的。在此过程中,数据所有者享有知情权、信息访问权、信息更正权、信息转移权、信息擦除权等权力。
若企业未能遵守PDPA,则可能面临高达500万泰铢(或全球营业额4%)的罚款,还可能面临长达一年的监禁。
据悉,PDPA早在2019年5月便已出台,并于泰国皇家政府公报上发布。只是,作为泰国首部关于个人信息保护的综合性法律,PDPA受新冠疫情影响先后经历了两次推迟,直至今年才正式施行。但综合泰国政治、经济环境,或许PDPA施行背后的原因远不及此。
泰国立法背后的逻辑
基于经济面貌差异,这本无可厚非。然而,受全球新冠疫情影响,电商行业在东南亚地区增长迅猛。
据《东南亚:数字化转型的主场》报告显示,新冠疫情改变了该地区消费者原有的购买模式,2021年,将网购作为主要购物渠道的人数同比增长35%,电商网站平均浏览量更是同比增长52%,电商交易总额激增至2020年的1.8倍。
显然,新冠肺炎疫情对泰国电商起到了提振作用。与此同时,与日俱增的电商数据也对该国的信息安全提出了更高的要求。
2021年10月,泰国银行(BoT)曾公开表示,仅10月上半月,便有超10000张泰国借记卡及信用卡账户遭盗刷,涉及金额约1.3亿泰铢。事后,泰国警方称此次大规模盗刷事件很可能是因用户将支付账户绑定到各类App所致。
据泰国信息技术犯罪侦查中心(PCTPolice)披露,2022年4月中上旬,网络诈骗与网购纠纷案件占据了该国网络案件总数的94%。
另一方面,PDPA的落地似乎也与泰国同欧盟贸易伙伴关系的重启有关。
泰国与欧盟的自由贸易协定谈判始于2013年,然而就在谈判开启一年后,泰国发生军事政变,使其同欧盟关系破裂,贸易谈判也就此取消。直至2021年6月,欧盟才决定同政局相对稳定的泰国恢复贸易谈判。
在这一系列谈判中,泰国除需满足欧盟对劳工、环境、知识产权方面的要求外,泰国企业还需满足欧盟《通用数据保护条例》(GDPR)的要求。后者作为一项欧盟法律,旨在确保企业处理个人数据层面的合规性。
或许正因急于同欧盟达成贸易协定,叠加国内民众隐私保护需求,泰国政府才会将搁置两年的PDPA正式启用。
值得注意的是,PDPA除适用于从所有在泰国收集个人数据的个人、企业和网站外,也适用于向泰国民众提供服务、贩售商品的海外企业。阿里云计算服务部门上月刚于泰国建立数据中心。
对此,阿里巴巴泰国国家经理TylerQiu称其已然符合PDPA及泰国银行发布的金融监管指南。显然,阿里已对泰国新的监管环境做足应对,但据泰国工业联合会董事会董事PranonthaTitavunno透露,有相当一部分的泰国本土中小企业,并没有准备好迎接PDPA的到来。
隐私保护之外,监管对企业的制衡
目前,泰国有大约300万家中小企业和初创企业,每年为该国GDP贡献约35%。
而根据泰国2022-2026年国家社会和经济发展计划,中小企业对泰国GDP的贡献占比有望提升至50%。显然,中小企业已然成为了泰国经济增长的重要引擎。
尽管PDPA因疫情原因已延后两年施行,两年间泰国政府也围绕该法案进行了广泛宣传,但泰国贸易委员会与泰国商会大学的联合调查显示,接受采访的近4000家企业中,仅有8%的企业表示业务已满足PDPA要求,而高达31%的企业表示尚未开展合规流程,多数困于合规的企业正是中小型企业。
显然,PDPA对数据、信息的合规要求将提升企业的运营成本,尤其是在疫情波及下,实力本就不雄厚的中小企业很可能无法负担合规所需成本。
此外,2020年,大华银行曾针对东盟中小企业数字化转型展开研究,数据显示58%的东盟中小企业正在采用数字营销手段应对市场竞争环境。
而数字营销涉及用户画像、大数据处理等领域,虽有合规风险,但也是营销预算有限的中小企业获客的关键。以泰国旅游行业为例,倘若中小企业无法利用现有客户数据展开精准营销,很可能会被淹没在大型旅游企业铺天盖地的宣传之中。
也就是说,PDPA的施行很可能会对本就捉襟见肘的中小型企业带来第二重困扰,倘若采取“一刀切”的施行模式,对将经济增长重任托付于中小企业的泰国而言并不是一则好消息。
而面对上述矛盾,泰国政府正在寻求可能的解决方案。据泰国个人数据保护委员会主席ThienchaiNaNakorn透露,过渡时期政府或将出台附属法规,帮助中小企业渡过难关。
对此,泰国个人数据保护委员会成员PaiboonAmornpinyokiat从侧面给出了印证,表示PDPA施行的第一年,政府监管重心将落于敦促与警告,而非处罚。且涉及信息数量较少的小企业或将免于监管。
因此,泰国政府加速政策施行的同时,也对受合规影响较强的中小企业给予了一定程度的保护,同样的逻辑也体现在我国去年出台的《个人信息保护法》中。
中国《个人信息保护法》中明确表示:“针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用,制定专门的个人信息保护规则、标准。”相反,大型个人信息处理者(包括提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者),应当承担额外的个人信息保护义务。
严苛与宽松,欧美法律的差异化治理
针对小型企业,GDPR给予了一定程度的保护,规定雇员人数少于250人的企业能够免于记录数据处理活动,但却对适用范围予以严格限定,要求该企业所处理的数据必须是偶然性、非持续性的。
对于此问题,英国信息专员ElizabethDenham曾表示,大型科技企业现金流充足,无需惧惮合规成本,且在技术、资源方面强于小型企业,更擅于使用户同意其隐私条款。相比之下,小型企业不得不为合规更改业务模式、增加员工数,而这种过高的合规成本很可能就此扼杀了小型企业的发展机会。
显然,GDPR并没有维护好不同体量企业间的平衡。而从法律施行至今的效果来看,GDPR不仅没能保护好小型企业的利益,甚至加剧了科技巨头的垄断地位。
针对该问题,于2020年1月1日生效的《加利福尼亚州消费者隐私法》(CCPA)的做法显然有所不同。尽管CCPA仅是针对加州地区的隐私保护法律,但作为美国首部信息保护领域的系统性法案,CCPA的影响力并不局限于加州境内。
从适用面来看,GDPR面向所有欧盟内的企业及涉及欧盟民众的非欧盟企业,而CCPA则有所不同,其仅针对年总收入超过2500万美元;购买、出售或共享超过50,000名客户、家庭或设备的个人信息;超过50%的年收入来自出售个人信息的企业。
然而,作为面向民众的信息保护法律,即便法律制定部门所需考虑的维度众多,其核心终究将落于信息保护层面。就目前来看,较为严苛的GDPR虽能更好地维护民众隐私权益,但却无法保证企业间的平衡,过低的投诉门槛也使监管机构难堪重负,无法有效处理大量、重复的投诉;而相对宽松的CCPA监管主体多为大型科技公司,这也使民众仍时常遭受各类来自小型企业营销信息的困扰。
无论是泰国的PDPA还是我国的《个人信息保护法》,均延续了GDPR的脉络,即通过较为严苛的监管保证民众的信息安全。而如何确保小微企业的利益,以及减轻监管机构的治理压力,或将成为信息保护下一阶段的命题。