2025年PDPC罚款1.28亿泰铢增长3倍,单笔最高700万。深度拆解医院数据违规、电商泄露、APP过度收集三大典型案例,五类中资企业高风险场景与PDPA合规行动清单。

一、惊雷:2025-2026年PDPA执法数据全解读

2026年4月,泰国个人数据保护委员会(PDPC)发布了2025年度执法报告。这份报告的数据令人震惊:

2025年全年执法数据:

对比2024年(罚款总额仅4,200万泰铢,处罚决定21件),2025年的PDPA执法力度至少翻了3倍。

而进入2026年,执法加速势头更加明显。据PDPC 2026年3月例会纪要,2026年1月至3月,PDPC已作出18件行政处罚决定,罚款总额超过6,500万泰铢,预计全年将突破3亿泰铢。

用一句话总结:泰国PDPA的"沉睡期"已经彻底结束,合规不再是"可选项",而是"必选题"。

二、法律根基:泰国PDPA的核心架构

泰国《个人数据保护法》(Personal Data Protection Act, B.E. 2562,简称PDPA)于2019年5月27日颁布,2022年6月1日全面生效,2023年9月完成首次重大修订(PDPA (No.2) B.E. 2566)。

(一)法律适用范围(Section 4-6)

PDPA具有域外效力(Extraterritorial Application)。根据PDPA第5条:

这一条款直接适用于那些没有在泰国设立实体、但通过TikTok Shop、Lazada、Shopee等平台向泰国消费者销售商品的中国跨境电商卖家。

(二)核心原则(Section 19-28)

PDPA确立了以下数据处理原则:

  1. 合法性原则(Section 24):处理个人数据须有合法的法律基础(同意、合同必要性、法律义务、重大利益、公共利益、合法利益)
  2. 目的限制原则(Section 21):只能在告知并取得同意的目的范围内使用数据
  3. 数据最小化原则(Section 22):仅收集为实现处理目的所必需的数据
  4. 准确性原则(Section 23):须确保数据准确、及时更新
  5. 存储限制原则(Section 26):存储时间不得超过实现目的所必需的期限
  6. 安全原则(Section 37.1):须采取适当的技术和管理措施保护数据安全
  7. 问责原则(Section 28):控制者须证明其合规性

(三)处罚体系(三轨制)

泰国PDPA采用独特的"三轨制"处罚体系:

责任类型 法律依据 最高处罚 适用情形

--------- --------- --------- ---------

行政处罚 Section 90-91 500万泰铢 违反数据安全义务、未设置DPO等

民事赔偿 Section 77-78 实际损失+惩罚性赔偿(最高2倍) 数据泄露导致损害

刑事处罚 Section 79-80 6个月至1年监禁及/或最高500万泰铢罚金 非法使用或披露个人数据

注意:上述处罚可以并处罚。也就是说,一个数据泄露事件可能同时面临行政罚款、民事赔偿和刑事追诉。

三、典型案例解析

案例一:某私立医院患者数据违规使用(700万泰铢罚单)

时间:2025年9月,PDPC公布

案情:曼谷某知名私立医院(化名ABC Hospital)在患者不知情且未取得同意的情况下,将其包含病史、诊疗记录、身份证明副本在内的个人数据提供给第三方医疗数据分析公司,用于开发AI诊断算法。该医院在患者就诊时使用的同意书仅笼统提及"用于医疗目的",未具体说明数据可能与第三方共享用于AI训练。

PDPC调查发现

  1. 医院的隐私政策未明确披露数据共享目的(违反Section 21目的限制原则)
  2. 未告知患者数据将被用于AI训练(违反Section 23透明度要求)
  3. 未进行数据保护影响评估(DPIA)——虽PDPA未明确要求DPIA,但PDPC认为这是最佳实践,缺乏DPIA加重了违规程度

处罚结果

行业影响:此案一出,泰国私立医院协会(Private Hospital Association)紧急发布了行业数据保护指引,要求所有会员医院在2025年底前完成PDPA合规整改。

案例二:某电商平台数据泄露(80万泰铢罚单)

时间:2025年3月

案情:一家在泰国运营的跨境电商平台(化名ThaiMall)发生数据泄露事件,约47万名用户的姓名、电话号码、地址、订单记录被黑客窃取并在暗网销售。该公司在发现泄露后第22天才向PDPC报告(法定时限为72小时内)。

PDPC调查发现

  1. 公司仅采用基本密码保护,未启用双因素认证(2FA),未对数据库进行加密(违反Section 37.1安全义务)
  2. 未在发现泄露后72小时内向PDPC报告(违反Section 37.4)
  3. 未及时通知受影响的数据主体(违反Section 37.5)

处罚结果

本案启示:罚款金额虽不如医院案高,但该平台因泄露事件导致用户信任崩塌,2025年第二季度活跃用户下降约35%,后续处理的数据主体索赔和监管审查成本远高于罚款本身。

案例三:某金融科技APP过度收集数据(45万泰铢罚单)

时间:2025年11月

案情:一家提供P2P借贷服务的金融科技APP(化名FastLoan)在用户注册时默认勾选了"同意访问通讯录、相册、位置信息和通话记录"的权限,且用户无法单独取消其中的任何一项。该APP的隐私政策以英文撰写(大部分用户为泰语使用者),字体极小。

PDPC认定

  1. 同意不是真正的"知情同意"(Informed Consent)——违反Section 19
  2. 收集的数据超出业务必要性——违反Section 22数据最小化原则
  3. 隐私政策未提供泰语版本——违反Section 23透明度要求

处罚结果

四、中资企业最容易踩的五个坑

基于本人处理的PDPA合规咨询经验,以下为中资企业在泰国最常见的五个违规场景:

坑一:员工数据跨境回传中国

问题:中资企业泰国子公司将泰国员工的姓名、护照号、工资信息、家庭住址、银行账户等数据传输至中国母公司的人力资源管理系统。

法律要求:根据PDPA Section 28,将个人数据传输至泰国境外,须确保目的地国具有"充分的个人数据保护标准",或取得数据主体的明确知情同意(Separate Explicit Consent)。

当前现实:中国目前未被PDPC列入"充分保护水平国家"白名单。2025年12月,PDPC首次发布了白名单国家/地区清单,包括欧盟成员国、英国、日本、韩国、新加坡等,但不包括中国。

合规建议

坑二:APP过度收集用户数据

问题:中资企业在泰国运营的手机应用(社交、游戏、电商、金融类)要求用户提供远超业务必要性的权限,如通讯录、相册、麦克风、精确位置等。

法律规定:PDPA Section 22明确要求"仅收集为实现数据处理目的所必需的个人数据"。

PDPC 2026年新动向:PDPC于2026年2月发布了《移动应用个人数据保护指南》(Guidelines on Personal Data Protection for Mobile Applications),明确:

坑三:CCTV监控违规

问题:中资企业的泰国工厂、仓库、办公楼内大面积安装CCTV,覆盖员工工位、卫生间走廊、休息室等区域,且在入口处未设置明显的"您已进入视频监控区域"告示。

法律规定:PDPA Section 26规定,CCTV监控属于个人数据处理,须有合法基础(通常为"合法利益"Legitimate Interest),且须满足比例原则。监控不得超出"保护财产安全"所必需的范围。

合规要点

坑四:未经同意的直接营销

问题:中资企业通过WhatsApp、LINE、短信或电话向泰国客户发送营销信息,但客户并未同意接收此类信息。

法律规定:PDPA Section 24(3)要求直接营销须取得数据主体的"明确同意"。且根据Section 29,数据主体有权随时撤回同意,撤回后控制者须立即停止使用数据。

2026年PDPC执法重点:PDPC在2026年1月例行新闻发布会上明确指出,未经同意的直接营销(Unsolicited Direct Marketing)将是2026年的重点执法领域之一。

合规建议

坑五:第三方SDK数据泄露

问题:中资企业开发的APP集成了第三方SDK(支付SDK、广告SDK、数据分析SDK等),SDK在用户设备上收集了超出APP本身所需的数据,企业作为数据控制者仍须承担责任。

法律规定:PDPA Section 40规定,数据控制者使用数据处理者(包括SDK提供商)的服务时,须通过合同约束数据处理者遵守PDPA规定。如果数据处理者违规导致泄露,数据控制者仍然对数据主体承担首要责任。

典型风险:某些中国开发的SDK未经修改直接用于泰国市场,可能自动将数据回传至中国境内服务器,且用户不知情。

合规建议

五、PDPA vs GDPR vs 中国PIPL:关键对比

对比项 泰国PDPA(B.E. 2562) EU GDPR 中国PIPL

-------- ---------------------- --------- ---------

生效日期 2022.6.1 2018.5.25 2021.11.1

域外效力 有(第5条) 有(Art.3) 有(第3条)

处罚上限 行政500万泰铢(~14.4万美元) 2000万欧元或全球年营收4% 5000万人民币或上年度营业额5%

同意要求 明确同意(特定情形书面同意) 明确同意 单独同意(重要场景)

DPO要求 有(大规模处理时) 有(公共机构和大规模处理) 有(关键信息基础设施运营者等)

数据本地化 部分要求(政府数据) 无系统要求 严格数据本地化(CII)

跨境传输机制 SCCs、充分性认定、同意 SCCs、BCR、充分性认定 安全评估、SCC、认证

数据泄露通知 72小时内通知PDPC 72小时内通知监管机构 技术措施可降低泄露风险则可不通知

集体诉讼 允许 允许(通过NGO) 个人信息保护公益诉讼

从处罚力度看,PDPA的500万泰铢(约14.4万美元)上限看似不高,但实际执法中PDPC正通过"持续性违规每日加罚"来突破这一上限。此外,民事赔偿和刑事追诉的威慑力不可小觑。

六、72小时数据泄露通知义务实操指南

PDPA Section 37.4规定:数据控制者在发现个人数据泄露后,须在72小时内向PDPC报告。Section 37.5进一步要求,泄露可能对数据主体的权利和自由造成高风险(High Risk)的,还须在合理时间内无延迟地通知数据主体。

72小时应急响应流程

发现后0-4小时:初步评估

  1. 确认泄露事实——是真的泄露还是误报?
  2. 评估泄露范围——涉及哪些数据类型?预估受影响的用户数量
  3. 初步定性——是否达到向PDPC报告的门槛?
  4. 启动内部应急响应小组(IRT)

发现后4-24小时:调查与证据保全

  1. 技术取证——确定泄露入口点、攻击路径、受影响系统和数据
  2. 样本取证——获取泄露数据的样本以确认数据类型和数量
  3. 数据映射——确定泄露数据的存储位置和传输路径
  4. 法律评估——评估泄露的法律后果和可能的处罚

发现后24-48小时:报告起草

  1. 准备向PDPC的初步报告(Preliminary Report),包括:泄露性质、数据类别和大约数量、数据保护官(DPO)联系方式、已采取或拟采取的应对措施、可能的风险评估
  2. 评估是否需要通知数据主体
  3. 准备公关声明

发现后48-72小时:正式提交

  1. 正式提交PDPC报告(PDPC规定的Form Leak-1)
  2. 决定并执行数据主体通知方案
  3. 采取技术措施防止进一步泄露(如断开被攻破的服务器、重置密码等)
  1. 隐瞒不报:以为"私了"就能解决——PDPC通过暗网监控和第三方举报发现泄露的可能性极高,隐瞒不报属于加重处罚情节
  2. 48小时内不做初步报告等"调查清楚了再一并提交":PDPC要求72小时内提交的是初步报告,而非最终报告;逾期提交即构成违规
  3. 未指定DPO:泰国法律规定大规模处理数据的机构须指定DPO,DPO是PDPA合规的法定联系人

七、2026年PDPC最新执法方向和合规建议

2026年执法重点(据PDPC 2026年3月执法行动计划)

  1. 直接营销违规:未经同意的短信/电话营销将受到严查
  2. CCTV合规:2026年PDPC将对娱乐场所、教育机构、商场等公共区域的CCTV合规进行专项抽查
  3. 跨境数据违规:重点抽查使用中国等非"白名单"国家云服务的企业
  4. APP数据合规:针对在泰国应用商店(Google Play、App Store)上架的APP开展合规评估
  5. AI数据使用:PDPC于2026年1月成立了专门的人工智能数据合规工作组,重点监控利用用户数据进行AI训练的企业

中资企业PDPA合规行动清单

优先级 行动项 预计耗时 预算范围(泰铢)

------- -------- --------- ----------------

紧急 任命DPO 2周 50万-120万/年

紧急 完成数据映射(Data Mapping) 4-8周 30万-100万

紧急 制定数据泄露应急响应预案 2-4周 20万-50万

重要 更新隐私政策和同意机制 4-6周 15万-40万

重要 签署SDK数据处理协议(DPA) 4周 10万-30万

重要 实施PDPA合同标准条款(跨境传输) 2-4周 10万-20万

建议 开展员工PDPA培训 1-2周 5万-15万

建议 对数据处理行为进行DPIA 4-8周 20万-60万

八、结语

泰国PDPA执法加速不是暂时的"运动式执法",而是制度性的、不可逆的常态。随着泰国数字经济的快速增长(预计2026年泰国数字经济规模达350亿美元),PDPC的监管能力也在快速提升。

对于在泰国经营的中资企业,"数据合规"已经不是"花不花钱"的问题,而是"花小钱还是花大钱"的问题——主动合规的成本远低于被处罚后的补救成本。

从员工数据跨境回传中国,到APP过度收集泰国用户数据,从工厂CCTV监控到第三方SDK管理,每一个环节都可能成为下一个PDPA执法对象的"致命伤"。时不我待,合规宜早不宜迟。

我是余驰宇,中国执业律师,牵头柬埔寨、泰国、马来西亚、罗马尼亚等国当地律所的中国业务部,专注中资企业海外财产保护、重大诉讼/仲裁、税务问题处理、跨境保全与执行。请关注我,私信交流。

*免责声明:本文内容仅供参考,不构成法律意见。具体案件请咨询专业律师。*