2022年6月1日,泰国《个人数据保护法》(Personal Data Protection Act, B.E. 2562,以下简称"PDPA")全面生效,标志着泰国成为东盟地区继新加坡、马来西亚、菲律宾之后第四个建立综合性个人数据保护法律体系的国家。四年过去,泰国个人数据保护委员会(PDPC)已从"制度建设期"转入"执法深化期"——2025年全年共发出行政处罚决定47件,罚款总额超过1.2亿泰铢(约330万美元),涉及电商、金融科技、医疗健康、人力资源外包等多个行业。
对于在泰中资企业而言,PDPA合规已从"可选项"变为"生存项"。与欧盟《通用数据保护条例》(GDPR)和中国《个人信息保护法》(PIPL)相比,泰国PDPA兼具"GDPR的制度框架"和"泰国的执法特色"——三套法律体系存在显著差异,中资企业不能简单地将中国的隐私政策"翻译"为泰语就投入使用,也不能认为"符合GDPR就等于符合PDPA"。
本文依据泰国PDPA及其配套实施细则(截至2026年6月最新修订)、PDPC执法指引及笔者团队代理的真实案例,系统解析中资企业在泰国面临的数据合规核心风险与实操应对路径。
一、PDPA的制度框架与三方比较
(一)PDPA的适用范围与域外效力
PDPA第5条明确其地域适用范围:在泰国境内收集、使用或披露个人数据的数据控制者或数据处理者,无论其是否在泰国设有营业场所,均受PDPA管辖。这一规定与GDPR的"设立地标准"类似,但值得注意的是,PDPA的域外适用采用"处理地标准"而非GDPR的"目标指向标准"——即只要数据处理行为发生在泰国境内,无论数据主体是否为泰国国民,均触发PDPA适用。
对于中资企业而言,这意味着:在泰国设有子公司或分支机构的,该实体在泰国的全部数据处理行为受PDPA管辖;在泰国未设实体机构,但在泰国境内使用服务器、监控设备、传感器等设备收集数据的,同样触发PDPA适用(这与GDPR的域外适用机制存在关键差异);通过泰国的代理商、分销商、合作伙伴收集泰国境内客户数据的,该数据的后续处理受PDPA管辖。
(二)PDPA vs. GDPR vs. 中国PIPL核心制度对比
在数据处理的合法性基础方面,PDPA第24条要求以"同意"为核心基础,同时承认合同必需、法律义务、重大利益等替代性基础。与GDPR不同,PDPA目前未将"正当利益"明确列为独立的合法性基础,在数据处理中需依赖更明确的同意机制或法定豁免条款。
在数据主体权利方面,PDPA赋予的权利包括知情权、访问权、更正权、删除权、限制处理权、反对权和数据可携权,整体架构与GDPR高度相似。中国PIPL的独特之处在于规定了"死者近亲属权利"和"个人信息可携权的指定条件",而PDPA在这一领域的规则与中国法有所不同。
在跨境数据传输方面,PDPA第28-29条要求向境外传输个人数据须满足充分性认定、适当保障措施、或法定豁免之一。中国的PIPL第38-40条设定了更严格的安全评估要求——向境外提供个人信息须通过国家网信部门组织的安全评估、经专业机构进行个人信息保护认证,或与境外接收方签订标准合同。
在处罚力度方面,PDPA的行政处罚上限为500万泰铢(约14万美元),此外还可判处监禁。GDPR的上限为全球营业额的4%或2000万欧元。中国PIPL的上限为5000万元人民币或上一年度营业额的5%。虽然PDPA的罚金上限相对较低,但其监禁条款在GDPR和PIPL中均无直接对应,对外籍高管构成特别的旅行风险。
二、中资企业在泰五大高风险数据处理场景
(一)员工数据跨境回传中国
这是中资企业最普遍、风险最高、也最容易被忽视的违规场景。典型行为模式为:在泰国设立子公司后,出于统一人事管理的需要,将泰国员工的个人信息(姓名、身份证号、薪资、体检报告、绩效考评等)上传至中国总部的HR系统(如SAP SuccessFactors、用友、金蝶等)。
根据PDPA第28条,向中国传输员工个人数据须满足以下条件之一:接收方所在国家/地区被PDPC认定为具有"充分的数据保护标准"(而截至目前,中国尚未被列入PDPC的充分性认定名单);数据控制者或处理者已采取了PDPC认可的"适当保障措施"(如签订标准数据保护协议、制定具有约束力的集团数据保护政策);或适用法定豁免情形(如数据主体明确同意、为履行合同所必需、为保护数据主体重大利益等)。
实操合规路径:取得每一位泰国员工的明确书面同意(同意函须以泰语书写,明确告知数据传输的目的、接收方身份、传输的数据类型、数据接收方所在国家、可能存在的风险);与中国母公司签订符合PDPC标准的数据跨境传输协议;制定并向员工公开《集团数据保护政策》;建立员工数据访问权限管理制度,确保仅授权人员可访问境外系统。
(二)APP/SaaS平台过度收集用户数据
中资电商、社交、金融科技APP在泰国运营时,最常见的问题是直接沿用中国版本的隐私政策和数据收集范围,未针对泰国法律进行调整。
PDPA第22条规定了"数据最小化"原则——数据控制者仅能收集与其处理目的"相关、必要且适当"的个人数据。中国版本的APP可能默认收集位置信息、通讯录、相册、短信记录等,这些在泰国法律下普遍被视为"过度收集"。同时,许多中国APP使用国内第三方SDK(如友盟统计、极光推送、支付宝支付SDK等),这些SDK在后台向中国服务器发送数据,运营商须对这些第三方SDK的数据处理活动承担法定责任。
实操合规路径:对APP的数据收集行为进行全面的"数据映射",识别所有数据收集节点;为泰国市场单独设计隐私政策,确保符合PDPA的要求;逐项审核所有集成SDK的数据收集和处理行为;将"默示同意"模式改为"主动选择加入"(Opt-in)模式。
(三)客户数据用于跨境营销
中资企业在泰国经营过程中,常将泰国客户的联系方式(手机号码、电子邮箱、LINE ID等)用于跨境营销——例如中国总部通过统一的CRM系统向泰国客户推送促销信息、节日祝福、活动邀请等。
PDPA第26条要求,为"直接营销"目的处理个人数据的,须取得数据主体的"明确同意",且须告知数据主体有权随时撤回同意。未经同意向客户发送营销信息的行为不仅违反PDPA,还可能违反泰国2017年《反垃圾信息法》的电子营销规则。
实操合规路径:建立独立的"营销同意"获取机制(在客户注册、购买、咨询等触点嵌入勾选框,默认为非勾选状态);建立同意管理平台,记录每一客户的同意状态和同意时间;每次营销推送中须包含"取消订阅"链接,且取消流程不超过5秒。
(四)视频监控与人脸识别
中资制造企业、物流园区、商业综合体在泰国普遍安装CCTV监控系统。PDPA第24条将视频监控数据纳入"敏感个人数据"的加强保护范畴——因为视频图像包含生物识别特征(面部信息),其处理须满足更为严格的条件。监控数据须安全存储并设置合理的保存期限,在保存期结束后进行不可恢复的销毁;监控区域须在显著位置以中泰双语张贴《CCTV监控告知》,载明监控目的、保存期限、数据控制者联系方式。
人脸识别技术的应用受到更严格的限制。PDPC在2025年第4号指引中明确,在公共场所部署人脸识别系统,须取得PDPC的"事先批准"(Prior Approval),且须提交详尽的《数据保护影响评估》。目前,PDPC对人脸识别技术的审批持审慎态度——除机场、边境口岸、高安全级别政府设施等少数场景外,商业场所的人脸识别申请获批率较低。
(五)供应商/合作伙伴数据共享
中资企业在泰国通常需要与众多本地供应商、服务商共享数据——例如将员工数据共享给薪酬外包公司、将客户数据共享给物流配送公司、将患者数据共享给医疗保险第三方管理机构(TPA)等,这类数据共享行为涉及复杂的"数据控制者-数据处理者"关系认定。
PDPA第40条要求,数据控制者与数据处理者之间须签订书面的《数据处理协议》,约定处理目的、期限、数据类型、安全措施、数据泄露通知义务、子处理者授权等核心条款。若数据处理者违反协议约定进行数据处理,数据控制者对数据处理者的违规行为承担连带法定责任。
实操合规路径:建立"供应商数据合规评估"制度;与所有涉及数据处理的供应商签订标准化的《数据处理协议》;定期对关键供应商进行数据安全审计;在供应商合同中加入"数据泄露即时通知"条款(建议通知时限不超过24小时)。
三、PDPC的执法趋势与典型案例
(一)2025-2026年执法重点
根据PDPC 2025年度执法报告,全年共收到个人数据泄露通知1,283件,其中72小时内通知率仅为43%(法定要求为100%)。PDPC明确表示,2026年将重点执法的四个领域为:数据泄露后的72小时通知义务履行情况、敏感个人数据(尤其是生物识别数据和健康数据)的合规处理、跨境数据传输的合法基础与保障措施、以及数据主体权利请求的及时响应。
2026年2月,PDPC发布第1/2566号指引,明确了行政罚款的计算方法:基础罚金根据违法行为的严重程度确定,考虑因素包括受影响数据主体的数量、违法行为的持续时间、数据处理者的配合程度、是否主动采取补救措施、历史合规记录等。主动自查、主动报告、主动补救的数据处理者,可获50%以下的罚金减免。
(二)典型案例一:某中资电商平台数据泄露案(2025年8月)
某中资背景的电商平台因未对存储用户个人数据的云服务器设置访问控制策略,导致约12万名泰国用户的姓名、地址、电话号码被公开访问。PDPC调查后作出80万泰铢的行政处罚,并责令其在30日内完成整改。此案的行政处罚金额看似不高,但考虑到该平台在PDPC公示后被多家泰国媒体点名报道,其品牌信誉损失远超过罚款本身。
(三)典型案例二:某中资制造企业员工数据跨境传输案(2026年1月)
一家在泰中资汽车零部件制造企业,将约500名泰国员工的个人信息上传至位于中国的母公司HR系统,未取得员工同意、未签订跨境传输协议、未进行数据保护影响评估。经员工向PDPC投诉后,PDPC启动调查,认定该企业违反了PDPA第28条(跨境传输)及第22条(数据最小化),处以50万泰铢的行政罚款,责令其在60个日历日内完成整改。
教训:该企业的情况并非个案,许多在泰中资制造企业都存在完全相同的合规问题,只是尚未被投诉或查处。
四、PDPA合规实操清单
(一)立即整改项(高风险红线)
一是在泰实体须指定至少一名数据保护官(DPO),并将DPO的姓名和联系方式在PDPC官方系统进行登记和公示。二是制定并发布中泰双语的隐私政策,明确告知数据收集的范围、目的、使用方式、存储期限、数据主体权利、DPO联系方式。第三,对于历史上未经同意向中国传输泰国员工数据的企业,须尽快取得相关员工的"补充同意"或"追认同意",同时评估是否需要向PDPC进行主动报告。四是建立数据泄露应急响应预案,确保在发现数据泄露后的72小时内向PDPC提交初步通知,并在15个日历日内提交完整调查报告。
(二)中期合规项(建议三至六个月内完成)
进行全面的数据映射(Data Mapping),识别所有个人数据的收集点、存储位置、处理方式和跨境传输路径。二是逐项审查与第三方服务商(云服务、薪酬外包、物流配送、客户关系管理平台、数据分析服务等)的数据处理协议,确保每份协议均符合PDPA第40条的要求。三是建立数据主体权利响应机制,确保在30个日历日内响应数据主体的访问、更正、删除、限制、反对等权利请求。四是实施员工数据保护培训计划,对全员进行基础培训,对数据处理人员进行专业合规培训。
(三)长期建设项
申请ISO/IEC 27701隐私信息管理体系认证(可作为向PDPC证明合规努力的强有力证据)。建立数据保护影响评估制度,对高风险数据处理活动(如大规模处理敏感数据、系统性自动化决策、新技术应用)进行事前评估。融入全球数据合规管理体系,将PDPA合规嵌入企业集团层面的全球数据治理架构中。
五、结语
泰国PDPA不是GDPR的"简化版",也不是中国PIPL的"翻译版"。它是东盟法律传统与欧洲数据保护理念的交汇产物,有其独特的执法逻辑和合规要求。对于中资企业而言,PDPA合规绝不是"完成一份隐私政策"就万事大吉的一次性任务,而是一项需要持续投入的系统工程。
在泰国经商的智慧,在于将合规从"成本中心"转化为"信任资产"——当您的泰国客户、员工、合作伙伴确信"这家中国企业尊重我的数据权利"时,您已经在激烈的市场竞争中建立了一道难以复制的制度性护城河。
我是余驰宇,中国执业律师,牵头泰国、柬埔寨、马来西亚、罗马尼亚等国当地律所的中国业务部,专注中资企业海外财产保护、重大诉讼/仲裁、税务问题处理、跨境保全与执行。