个人资料保护政策
泰国旅游局 是依据《泰国旅游局法案》2522 年成立的法人实体, 总部位于泰国曼谷拉差贴威区玛卡山分区新碧武里路1600号,邮编10400。
泰国旅游局还在伦敦、法兰克福、巴黎、罗马、斯德哥尔摩、莫斯科、布拉格、纽约、 洛杉矶、多伦多、悉尼、吉隆坡、新加坡、雅加达、香港、北京、成都、上海、广州、昆明、 台北、东京、大阪、福冈、首尔、新德里、孟买、胡志明市和迪拜设有旅游信息服务中心, 这些服务适用于使用 www.tourismthailand.org/trustedthailand 网站以及我们提供的其他服务的用户,包括我们的网站和全球旅游信息服务中心 (“我们的服务”),还包括为旅游相关企业提供的信息。 我们尊重每一位访问我们网站、联系旅游信息中心或使用我们服务的人的隐私, 并致力于确保每个人都能获得安全的线上体验, 意识到您的个人信息及其他相关信息(统称为“信息”)的重要性。 为了让您相信我们在收集、使用或披露您的信息时是透明且负责任的, 并遵循《2562年个人数据保护法》(“个人数据保护法”)及其他相关法律, 特此制定本《个人信息保护政策》(“政策”), 以向您说明我们如何收集、使用或披露(统称为“处理”)个人信息, 包括由我们、我们的员工及代表或代我们行事的相关人员执行的操作。 我们的网站和服务均由泰国旅游局(“泰国旅游局”或“我们”)运营, 由泰国旅游局作为数据控制方对您的个人信息负有责任, 内容如下。
政策适用范围
本政策适用于与我们有关系的个人的个人信息, 无论是当前或未来, 由我们、员工、合同工、业务单位或由我们运营的其他组织形式处理, 以及代表我们或代我们处理个人信息的合同方或外部个人(“个人信息处理者”)。 本政策涵盖我们管理和控制的各种产品和服务,例如网站、系统、应用程序、文件或其他形式的服务(统称为“服务”)。
与我们有关系的个人,依据前款,包括:
- 个人客户
- 官员或工作人员、雇员
- 作为自然人的合作伙伴和服务提供商
- 与我们有关系的法人之董事、受权人、代表、代理人、股东、雇员或其他类似身份人员
- 我们的产品或服务用户
- 访问或使用我们网站的人,包括我们管理和控制的系统、应用程序、设备或其他通信渠道
- 其他我们收集其个人信息的人,例如求职者、工作人员家属、担保人、保险单受益人等
第1)至第6)项统称为“您”。
除了本政策,我们可能还会针对我们的产品或服务制定《隐私声明》(“声明”), 以明确告知服务用户其被处理的个人信息、处理的目的和合法理由、个人信息的保存期限, 以及在特定产品或服务中个人信息主体应享有的权利。
若隐私声明与本政策在重要内容上存在冲突,应以相关服务的隐私声明为准。
定义
个人信息 指有关自然人的信息,可以直接或间接识别该人的身份, 但不包括已故者、未成年人、无行为能力人、限制行为能力人, 以及无权代表他人行为的其他个人的信息。
敏感个人信息 指《2562年个人数据保护法》第26条规定的个人信息, 包括种族、民族、政治观点、宗教或哲学信仰、性行为、犯罪记录、 健康状况、残疾情况、工会信息、基因信息、生物识别信息, 或其他对个人数据主体有类似影响的信息, 由个人数据保护委员会公告规定。
个人信息处理 指对个人信息进行的任何操作,包括图片, 如收集、记录、复制、整理、存储、修改、变更、使用、检索、 披露、传递、发布、转移、合并、删除、销毁等。
个人信息主体 指我们收集、使用或披露其个人信息的自然人。
个人信息控制者 指有权决定收集、使用或披露个人信息的个人或法人。
个人信息处理者 指根据个人信息控制者的指示或代表其行事, 执行收集、使用或披露个人信息操作的个人或法人。 此类个人或法人不被视为个人信息控制者。
个人信息来源
我们从以下来源收集或获得各类个人信息:
- 我们通过各类服务渠道直接从个人信息主体处收集的个人信息,例如申请、注册、求职、签署合同、填写文件、问卷调查,或使用我们管理和控制的产品、服务或其他服务渠道,或当个人信息主体在我们的办事处或通过其他联系方式与我们沟通时收集的信息。
- 我们因个人信息主体使用网站、产品或其他服务(根据合同或使命)而收集的信息,例如通过Cookies跟踪网站、产品或服务的使用行为,或从个人信息主体设备上的软件获取的信息。
- 我们从非个人信息主体的其他来源收集的个人信息,这些来源具有合法权限、正当理由,或已获得个人信息主体的同意以向我们披露信息。例如,出于为公众提供一站式数字化服务的目的,连接数字服务;基于我们职责接收其他来源的个人信息,以建立中央数据交换中心,支持我们通过数字系统为公众提供服务;或因履行合同需要与合同方交换个人信息。
- 联系旅游信息中心的访客:若您联系了我们的旅游信息中心之一,我们会处理您自愿提供的与您的联系目的及问题相关的个人信息。例如,当您请求我们帮助寻找符合需求的住宿和交通时,您可能会自愿提供相关信息。
- 活动参与者:若您参加了我们的活动,我们会处理与您参与该活动相关的个人信息。例如,我们可能要求您填写问卷、反馈表或其他与活动相关的文件。
此外,如果您向我们提供了第三方的个人信息,您有责任根据本政策或相关产品或服务的隐私声明向该第三方说明详情, 并在需要取得同意的情况下征得该第三方同意,以便向我们披露其信息。
另外,如果个人信息主体拒绝提供我们服务所必需的信息, 可能导致我们无法完全或部分向其提供相关服务。
我们收集的个人信息类别
我们会收集并保存您在使用我们网站、旅游信息中心和网站提供的服务时提供的个人信息, 无论您是以个人身份还是作为某个组织的代表与我们联系, 我们可能会收集并处理您的个人信息,包括姓名和联系方式(如电子邮件地址、邮寄地址和电话号码), 以及您的支付信息(如有)。我们会处理这些信息以便为您提供完整的服务、 维护用户数据库、记录我们的服务使用情况。 如果您联系了我们的旅游信息中心,我们将处理您自愿提供的与您的联系目的及问题相关的信息。 某些服务会受到特定条款和条件的约束,当您使用这些服务时将适用相关条款。 如果您点击了我们网站上的社交媒体链接或与我们的社交媒体账户(如 Facebook 或 Instagram)互动, 我们可能会收集这些互动相关的信息或您的社交媒体账户信息。 此外,我们的旅游信息中心设有安全措施,包括闭路电视(CCTV)和门禁系统, 并张贴了使用CCTV的提示牌。录像内容将被安全保存,仅在必要时访问(如调查案件), 通常CCTV录像会在短时间后自动覆盖,除非需要用于调查事件(如盗窃案)。 我们也可能要求访客在旅游信息中心登记访问记录,这些记录会短期保存并安全存放,仅在必要时访问。
网站账户注册与访问:泰国旅游局(TAT)主网站允许用户注册账户以访问更多专属服务和优惠。 我们会要求申请人填写注册表,包括用户名、电子邮件、密码、其他个人信息、 未来旅行计划和旅游偏好。我们会处理您的个人信息以开通账户, 并在注册后使用您的用户名和密码进行身份验证以访问网站安全区域。 我们还会处理您的登录信息用于账户管理并与您沟通账户相关事宜。 使用网站及其专属安全区域必须遵循我们的使用条款。
图片使用申请:TAT新闻网站提供“图片申请”服务, 允许获得认证的媒体、在线媒体以及自由撰稿人访问泰国景点、活动和基础设施的高分辨率图片库。 若您申请图片,我们会要求您填写申请表,提供姓名、职位、组织名称(如有)、 邮箱、邮寄地址、手机号码和座机号码,以及其他与申请相关的信息。 我们将处理这些信息以处理并回复您的申请。
网站内容创作:如果您为我们撰写文章或博客,或参与我们发给会员的其他出版物, 并/或在我们的网站或其他媒体上发布,我们可能会使用您的个人信息 (如姓名和组织名)为您的作品署名。如果您附带了照片或其他图片, 我们可能会在文章或博客中刊登这些图片。
活动参与:TAT不时组织和主办活动,以推广泰国作为旅游目的地。 我们可能会处理您的姓名和联系方式(包括电子邮件、邮寄地址和电话号码), 用于联系您相关的活动。如果您特别请求接收活动信息, 或我们根据法律可向您发送该信息,我们会处理这些请求。
如果您参加了我们的任何活动,我们可能会使用您的个人信息记录您的出席情况并存档。 我们还可能收集和处理您的饮食偏好(如有)。 您也可能出现在活动现场拍摄的照片中,这些照片可能刊登在我们的出版物、 网站或其他媒体上。
邮件和短信营销:我们使用您的姓名和电子邮件地址发送电子邮件营销信息 (或向您所在的组织发送),使用手机号码发送短信/彩信营销信息。 内容包括泰国旅游推广资讯、组织信息、网站信息、旅游信息中心服务、 活动及促销活动。此外,会员还可订阅邮件推送的特别优惠信息。 更多关于收集的个人信息和收集方式,请参考“数据洞察与分析”部分。
处理的法律依据:使用您的个人信息是履行您与我们之间合同义务的必要行为, 或出于我们或第三方的合法利益,以确保高效提供服务。 如果我们特别征得您的同意使用照片、言论、推荐或其他内容, 我们会基于您的同意处理这些个人信息。
我们可能收集或获取以下信息,包括您的个人信息, 具体取决于您使用的服务或与我们的关系背景, 以及影响收集的其他因素。以下列出的信息类别仅为一般收集范围, 仅与您所使用或关联的产品或服务相关的信息才会适用。
| 个人信息类别 | 详细说明与示例 |
|---|---|
| 个人身份信息 | 可识别您身份的信息或来自官方文件的唯一识别信息,如: 称谓、姓名、姓氏、中间名、昵称、签名、身份证号码、国籍、驾照号码、 护照号码、户籍信息、营业执照号码、职业执照号码(各职业适用)、社会保障号码等。 |
| 个人特征信息 | 有关您个人特征的详细信息,如: 出生日期、性别、身高、体重、年龄、婚姻状况、兵役状况、照片、语言、 行为信息、兴趣偏好、破产记录、无行为能力或限制行为能力记录等。 |
| 联系信息 | 用于联系您的信息,如: 固定电话号码、手机号码、传真号码、电子邮箱、家庭邮寄地址、 在线社交账号(Line ID、MS Teams)、住所地图位置等。 |
| 服务使用信息 | 有关您使用我们产品或服务的详细信息: 用户名、密码、PIN码、单点登录信息(SSO ID)、一次性密码(OTP)、 网络流量信息、地理位置信息、照片、视频、录音、 使用行为数据(我们管理的网站或应用)、浏览记录、Cookies或类似技术、 设备编号(Device ID)、设备类型、网络连接信息、浏览器、使用语言、 操作系统等。 |
| 敏感个人信息 | 您的敏感个人信息,例如:种族、宗教信息、残疾信息、政治观点、犯罪记录、 生物识别信息(面部图像)、健康相关信息等。 |
Cookies
我们在我们管理的网站或您的设备上使用Cookies和类似技术, 具体取决于您使用的服务。这是为了确保服务的安全运行, 并为用户提供便捷和更好的使用体验, 同时优化网站以更好满足您的需求。 您可以通过浏览器(Web Browser)设置管理或删除Cookies。
当我们获得您的同意(法律要求的情况下), 我们将使用Cookies、计算机流量日志文件(log files)和其他技术, 从您用于访问我们网站的计算机硬件和软件及移动设备收集个人信息, 包括以下内容:
IP地址:用于跟踪和监控网站流量及访问量。
Session ID:用于跟踪网站使用统计、个人兴趣、职业兴趣、 人口特征、使用体验和联系偏好。
我们的网站[和电子邮件]可能使用Cookies、网络信标(web beacons) 和像素标签(pixel tags)(统称为“标签”)。 标签帮助我们统计网页访问量[或邮件打开量]和其他汇总信息。 当您点击带标签的邮件时,可能会关联您的联系方式 与[原始邮件]及相关标签。
[我们在部分邮件中使用“点击追踪URL (click-through URL)”, 链接到由我们或受托方管理的网站。 我们可能追踪点击统计,以衡量对特定内容的兴趣 及通信效果。]更多信息请参阅我们的Cookies政策。
这些数据用于洞察访问我们网站用户的行为。 在获得您的同意后,我们还会使用您的位置信息进行数据分析, 以衡量内容和服务的有效性, 了解哪些页面最受用户欢迎、网站的热门区域、 以及访客期望的功能和特点。
我们利用这些信息帮助选择未来的产品和服务、 改进网站设计,并记住您的个性化设置。
此外,我们还将这些信息用于营销目的 (更多信息请参阅下方“营销活动”部分)。
未成年人、无行为能力人及限制行为能力人的个人信息
如果我们得知需要征得同意收集的个人信息属于未成年人、无行为能力人或限制行为能力人, 我们将在获得具有代理权的监护人、监护人或保护人同意之前, 不会收集该等个人信息。此举符合相关法律规定。
如果我们在不知情的情况下收集了未成年人、无行为能力人或限制行为能力人的个人信息, 并在事后发现未获得其法定监护人、监护人或保护人的同意, 我们将在没有其他合法理由使用、收集或披露该等信息的情况下, 立即删除并销毁这些个人信息。
收集个人信息的目的
我们收集您的个人信息有多种目的,具体取决于您所使用的产品、服务或活动类型, 以及您与我们的关系和具体情境。以下列出的目的是我们一般收集和使用个人信息的范围, 仅适用于与您相关的产品或服务。
- 用于处理我们的业务交易
- 管理、使用、监控、检查和运营服务,以提供便利并满足您的需求
- 维护和更新与您相关的信息,包括涉及您的文件
- 按照法律要求制作个人信息处理记录
- 分析数据并解决与我们服务相关的问题
- 用于内部管理,包括招聘董事或职位候选人、资格评估
- 防止、侦测、避免和调查欺诈、安全违规或违法行为,保护我们和个人信息主体免受损害
- 验证身份,在您注册、联系使用服务或行使法律权利时核实信息
- 改进和提升产品和服务质量
- 风险评估与管理
- 发送通知、确认指令、沟通和向您发送信息
- 准备和交付相关文件或必要资料
- 身份验证、防止垃圾信息或未经授权或非法活动
- 分析个人和整体用户如何访问和使用我们的服务,用于研究和分析目的
- 遵守我们对监管部门、税务机关、执法机构或其他法律义务的必要操作
- 为我们、其他个人或法人实体的正当利益而采取必要行动
- 防止或消除对生命、身体或健康的危害,包括流行病监控
- 出于公共利益编制历史档案、研究或统计用途
- 遵守法律、公告、命令,处理诉讼、法庭传票要求的信息, 包括行使与您信息相关的权利
我们披露您个人信息的对象类别
根据上述目的,我们可能会将您的个人信息披露给以下人员。 下列接收方类别仅为我们一般披露个人信息的范围, 仅适用于与您使用或关联的产品或服务相关的接收方。
| 接收方类别 | 详细说明 |
|---|---|
| 法律规定或其他重要目的需要披露信息 (如公共利益相关操作) | 执法机构、监管部门或其他有重要职责的单位, 如:内阁、主管部长、内政部、税务局、国家警察局、法院、检察院、 疾病控制局、数字经济与社会部、总理办公室、领事司、泰国旅游局等。 |
| 涉及员工福利的合同方 | 我们聘请的外部单位,负责员工福利相关事务, 如保险公司、医院、薪资代发公司、银行、电信服务商、相关政府机构等。 |
| 业务合作伙伴 | 包括用于联系您的信息: 固话、手机、传真、电子邮件、家庭邮寄地址、 社交平台用户名(如Line ID、MS Teams)、住所地图等。 |
| 服务相关方 | 我们可能向合作方披露您的信息以提供服务, 如通过我们平台联系的服务提供方、营销服务商、广告媒体、金融机构、 平台服务商、电信运营商等。 |
| 服务供应商 | 我们可能委托他人提供服务或支持运营, 如:数据存储服务商(云端、档案仓库)、系统/软件/网站开发商、 文件寄送服务商、支付服务商、互联网和电信运营商、 数字身份服务商、社交媒体平台、风险管理顾问、运输公司等。 |
| 其他接收方 | 我们可能将您的信息披露给其他接收方, 用于服务运营、培训、领奖、慈善或捐赠等。 |
| 向公众披露 | 在必要情况下,我们可能会依法公开您的信息, 如法律要求的公告等。 |
向海外传输或转移个人信息
在某些情况下,我们可能需要将您的个人信息传输或转移到海外, 以便为您提供服务。例如,将个人信息传输至设在海外的云平台(Cloud)或服务器 (如新加坡、美国等),以支持设在泰国外部的信息技术系统。 具体取决于您使用或参与的服务和活动。
然而,截至本政策制定之时,个人数据保护委员会尚未公布具备充分个人数据保护标准的国家名单。 因此,在我们必须将您的个人信息传输至其他国家时, 我们将采取措施确保传输或转移的数据符合国际标准的充分保护, 或遵循法律规定的条件合法传输或转移这些信息。
适当性决定:我们将把您的个人信息转移到欧盟委员会认定 具有充分个人数据保护水平的国家。更多详情请参考: https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/adequacy-protection-personal-data-non-eu-countries_en
标准合同条款:在使用某些服务提供商时, 我们可能会采用欧盟委员会批准的标准合同条款, 以确保与欧洲相同水平的个人信息保护。 更多详情请参考: https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/model-contracts-transfer-personal-data-third-countries_en
欧盟-美国隐私盾框架(EU-U.S. Privacy Shield): 如果我们的业务合作伙伴或承包商位于美国, 我们可能会在其遵循隐私盾框架的情况下向其传输个人信息。 该框架要求合作伙伴或承包商为欧盟与美国之间共享的个人信息提供同等水平的保护。 更多详情请参考: https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/eu-us-privacy-shield_en
如需了解我们用于将您的个人信息传输出欧洲经济区(EEA)的具体机制,请联系我们。
个人信息的保存期限
我们将仅在为实现收集目的所需的期间内保留您的个人信息, 具体期限依据政策、声明或相关法律规定。 当超出保存期限,且您的个人信息已不再为实现收集目的所必需时, 我们将按照个人数据保护委员会或法律规定、或国际标准, 删除、销毁或对您的个人信息进行匿名化处理。 然而,如存在与您的个人信息相关的争议、权利行使或诉讼, 我们保留继续保存该信息的权利,直至争议、诉讼或相关事项最终裁定。
个人信息安全保护
我们采取措施保护个人信息,通过限制访问权限, 仅允许特定工作人员或依法有权或被授权的人访问, 且仅在为实现告知个人信息主体的目的所需时才可访问。 这些人员必须严格遵守我们的个人信息保护措施,并承担保密义务, 不得泄露在履职中获悉的个人信息。 我们的安全保护措施包括组织层面和技术层面的国际标准安全措施, 并遵循个人数据保护委员会的相关规定。
此外,当我们将个人信息传输、转移或披露给第三方, 无论是基于使命、合同或其他协议, 我们都会制定适当且符合法律要求的安全与保密措施, 以确保我们收集的个人信息始终保持安全。
外部网站或服务链接
我们的服务可能包含指向第三方网站或服务的链接, 这些网站或服务可能拥有与本政策不同的隐私政策。 我们建议您在访问前仔细阅读相关网站或服务的隐私政策。 我们与这些网站或服务无关,也无法控制其隐私保护措施, 对其内容、政策、损害或行为不承担任何责任。
您在《2019年个人数据保护法》下的权利
《2019年个人数据保护法》(PDPA)规定了个人信息主体享有的多项权利, 这些权利将在法律相关条款正式生效后开始实施。
具体权利包括:
- 查阅个人信息的权利:您有权要求访问、获取副本,并要求我们披露在未经您同意的情况下收集的个人信息来源。 但如法律、法院命令允许我们拒绝,或您的请求可能损害他人权利与自由,我们可拒绝该请求。
- 更正个人信息的权利:如果发现您的个人信息不正确、不完整或未更新, 您有权要求更正,以确保其准确、最新、完整,且不引起误解。
- 删除或销毁个人信息的权利:您有权要求我们删除或销毁您的个人信息, 或使其匿名化无法识别个人身份,前提是符合法律要求。
- 限制处理个人信息的权利:您有权要求我们在以下情况下限制使用您的个人信息:
- a) 在我们核查您的个人信息以应您的请求进行更正期间;
- b) 当您的个人信息被非法收集、使用或披露时;
- c) 当您的个人信息已无必要继续保存,但您希望我们保留用于行使法律权利;
- d) 在我们核实收集、使用或披露个人信息的合法理由, 或出于公共利益而处理个人信息的必要性期间, 您提出了反对请求。
- 反对处理个人信息的权利:您有权反对我们收集、使用或披露您的个人信息, 除非我们能证明有更高的合法利益、 用于法律权利的建立、执行或辩护, 或出于公共利益的需要。
- 撤回同意的权利:如您已同意我们收集、使用或披露个人信息(无论在PDPA生效前或生效后), 您可随时撤回同意,但须符合法律规定的限制, 或在您与我们之间的合同仍有效时,我们可继续保留您的信息。
- 数据可携带权:您有权以自动化格式获取您的个人信息, 并要求我们将其传输给其他个人信息控制者, 但须符合法律规定。
- 联系我们:如果您对本隐私政策有任何疑问,或希望行使上述权利, 可通过我们的联系方式与我们联系。
- 电子邮件: trustedthailand@gmail.com
- LINE 官方账号: @trustedthailand
