一、惊雷:2025-2026年PDPA执法数据全解读
2026年4月,泰国个人数据保护委员会(PDPC)发布了2025年度执法报告。这份报告的数据令人震惊:
2025年全年执法数据:
- 总投诉量:12,847件(较2024年增长73%)
- 正式立案调查:1,893件
- 作出行政处罚决定:47件
- 行政罚款总额:1.28亿泰铢(约合人民币2,560万元)
- 单笔最高罚款:700万泰铢(约合人民币140万元)
- 刑事移交案件:12件
- 消费者民事赔偿诉讼:89件
对比2024年(罚款总额仅4,200万泰铢,处罚决定21件),2025年的PDPA执法力度至少翻了3倍。
而进入2026年,执法加速势头更加明显。据PDPC 2026年3月例会纪要,2026年1月至3月,PDPC已作出18件行政处罚决定,罚款总额超过6,500万泰铢,预计全年将突破3亿泰铢。
用一句话总结:泰国PDPA的"沉睡期"已经彻底结束,合规不再是"可选项",而是"必选题"。
二、法律根基:泰国PDPA的核心架构
泰国《个人数据保护法》(Personal Data Protection Act, B.E. 2562,简称PDPA)于2019年5月27日颁布,2022年6月1日全面生效,2023年9月完成首次重大修订(PDPA (No.2) B.E. 2566)。
(一)法律适用范围(Section 4-6)
PDPA具有域外效力(Extraterritorial Application)。根据PDPA第5条:
- 在泰国境内收集、使用、披露个人数据的数据控制者(Data Controller)和数据处理者(Data Processor)适用本法
- 即使数据控制者和处理者不在泰国境内,但涉及向泰国境内数据主体提供商品或服务、或监控数据主体在泰国境内行为的,同样适用本法
这一条款直接适用于那些没有在泰国设立实体、但通过TikTok Shop、Lazada、Shopee等平台向泰国消费者销售商品的中国跨境电商卖家。
(二)核心原则(Section 19-28)
PDPA确立了以下数据处理原则:
- 合法性原则(Section 24):处理个人数据须有合法的法律基础(同意、合同必要性、法律义务、重大利益、公共利益、合法利益)
- 目的限制原则(Section 21):只能在告知并取得同意的目的范围内使用数据
- 数据最小化原则(Section 22):仅收集为实现处理目的所必需的数据
- 准确性原则(Section 23):须确保数据准确、及时更新
- 存储限制原则(Section 26):存储时间不得超过实现目的所必需的期限
- 安全原则(Section 37.1):须采取适当的技术和管理措施保护数据安全
- 问责原则(Section 28):控制者须证明其合规性
(三)处罚体系(三轨制)
泰国PDPA采用独特的"三轨制"处罚体系:
责任类型 法律依据 最高处罚 适用情形
--------- --------- --------- ---------
行政处罚 Section 90-91 500万泰铢 违反数据安全义务、未设置DPO等
民事赔偿 Section 77-78 实际损失+惩罚性赔偿(最高2倍) 数据泄露导致损害
刑事处罚 Section 79-80 6个月至1年监禁及/或最高500万泰铢罚金 非法使用或披露个人数据
注意:上述处罚可以并处罚。也就是说,一个数据泄露事件可能同时面临行政罚款、民事赔偿和刑事追诉。
三、典型案例解析
案例一:某私立医院患者数据违规使用(700万泰铢罚单)
时间:2025年9月,PDPC公布
案情:曼谷某知名私立医院(化名ABC Hospital)在患者不知情且未取得同意的情况下,将其包含病史、诊疗记录、身份证明副本在内的个人数据提供给第三方医疗数据分析公司,用于开发AI诊断算法。该医院在患者就诊时使用的同意书仅笼统提及"用于医疗目的",未具体说明数据可能与第三方共享用于AI训练。
PDPC调查发现:
- 医院的隐私政策未明确披露数据共享目的(违反Section 21目的限制原则)
- 未告知患者数据将被用于AI训练(违反Section 23透明度要求)
- 未进行数据保护影响评估(DPIA)——虽PDPA未明确要求DPIA,但PDPC认为这是最佳实践,缺乏DPIA加重了违规程度
处罚结果:
- 行政罚款:700万泰铢(按照PDPA Section 90上限500万泰铢+持续性违规附加200万泰铢)
- 责令整改:须在60日内更新隐私政策、重新取得数据主体同意、实施DPIA制度
- 附带影响:52名患者提起民事诉讼,索赔总额约2,000万泰铢
行业影响:此案一出,泰国私立医院协会(Private Hospital Association)紧急发布了行业数据保护指引,要求所有会员医院在2025年底前完成PDPA合规整改。
案例二:某电商平台数据泄露(80万泰铢罚单)
时间:2025年3月
案情:一家在泰国运营的跨境电商平台(化名ThaiMall)发生数据泄露事件,约47万名用户的姓名、电话号码、地址、订单记录被黑客窃取并在暗网销售。该公司在发现泄露后第22天才向PDPC报告(法定时限为72小时内)。
PDPC调查发现:
- 公司仅采用基本密码保护,未启用双因素认证(2FA),未对数据库进行加密(违反Section 37.1安全义务)
- 未在发现泄露后72小时内向PDPC报告(违反Section 37.4)
- 未及时通知受影响的数据主体(违反Section 37.5)
处罚结果:
- 行政罚款:80万泰铢
- 责令在30日内实施完整的信息安全方案
- 要求以短信和邮件形式通知受影响用户并提供身份盗用保护服务
本案启示:罚款金额虽不如医院案高,但该平台因泄露事件导致用户信任崩塌,2025年第二季度活跃用户下降约35%,后续处理的数据主体索赔和监管审查成本远高于罚款本身。
案例三:某金融科技APP过度收集数据(45万泰铢罚单)
时间:2025年11月
案情:一家提供P2P借贷服务的金融科技APP(化名FastLoan)在用户注册时默认勾选了"同意访问通讯录、相册、位置信息和通话记录"的权限,且用户无法单独取消其中的任何一项。该APP的隐私政策以英文撰写(大部分用户为泰语使用者),字体极小。
PDPC认定:
- 同意不是真正的"知情同意"(Informed Consent)——违反Section 19
- 收集的数据超出业务必要性——违反Section 22数据最小化原则
- 隐私政策未提供泰语版本——违反Section 23透明度要求
处罚结果:
- 行政罚款:45万泰铢
- 要求APP做以下整改:拆分同意(Granular Consent)、提供泰语隐私政策、删除已收集的非必要数据
- 在60日内向PDPC提交整改报告
四、中资企业最容易踩的五个坑
基于本人处理的PDPA合规咨询经验,以下为中资企业在泰国最常见的五个违规场景:
坑一:员工数据跨境回传中国
问题:中资企业泰国子公司将泰国员工的姓名、护照号、工资信息、家庭住址、银行账户等数据传输至中国母公司的人力资源管理系统。
法律要求:根据PDPA Section 28,将个人数据传输至泰国境外,须确保目的地国具有"充分的个人数据保护标准",或取得数据主体的明确知情同意(Separate Explicit Consent)。
当前现实:中国目前未被PDPC列入"充分保护水平国家"白名单。2025年12月,PDPC首次发布了白名单国家/地区清单,包括欧盟成员国、英国、日本、韩国、新加坡等,但不包括中国。
合规建议:
- 使用PDPA合同标准条款(PDPC发布的Standard Contractual Clauses, SCCs)作为跨境传输的法律基础
- 在劳动合同中单独增加"员工同意跨境数据传输"条款,且必须是可选择同意(Opt-in),不得为默认同意
- 评估是否可将泰国员工数据本地化处理,不传输至中国
坑二:APP过度收集用户数据
问题:中资企业在泰国运营的手机应用(社交、游戏、电商、金融类)要求用户提供远超业务必要性的权限,如通讯录、相册、麦克风、精确位置等。
法律规定:PDPA Section 22明确要求"仅收集为实现数据处理目的所必需的个人数据"。
PDPC 2026年新动向:PDPC于2026年2月发布了《移动应用个人数据保护指南》(Guidelines on Personal Data Protection for Mobile Applications),明确:
- 应用程序不应默认开启任何非必要的数据收集权限
- 数据处理目的须用简洁、清晰的语言逐项列出,禁止使用"一揽子同意"
- 预装的中国应用(如某些社交APP、工具APP)须针对泰国市场调整数据收集范围
坑三:CCTV监控违规
问题:中资企业的泰国工厂、仓库、办公楼内大面积安装CCTV,覆盖员工工位、卫生间走廊、休息室等区域,且在入口处未设置明显的"您已进入视频监控区域"告示。
法律规定:PDPA Section 26规定,CCTV监控属于个人数据处理,须有合法基础(通常为"合法利益"Legitimate Interest),且须满足比例原则。监控不得超出"保护财产安全"所必需的范围。
合规要点:
- 办公区域:可安装,但须提前告知员工监控范围、目的和存储期限
- 休息区/食堂:谨慎安装,必要时须取得员工明确同意
- 卫生间/更衣室:绝对禁止
- 监控录像存储期限:一般不超过30天,超期存储须有合理理由
- 外部承包方人员:同样受PDPA保护
坑四:未经同意的直接营销
问题:中资企业通过WhatsApp、LINE、短信或电话向泰国客户发送营销信息,但客户并未同意接收此类信息。
法律规定:PDPA Section 24(3)要求直接营销须取得数据主体的"明确同意"。且根据Section 29,数据主体有权随时撤回同意,撤回后控制者须立即停止使用数据。
2026年PDPC执法重点:PDPC在2026年1月例行新闻发布会上明确指出,未经同意的直接营销(Unsolicited Direct Marketing)将是2026年的重点执法领域之一。
合规建议:
- 收集客户资料时增设"是否同意接收营销信息"的可选勾选框(不可预设勾选)
- 每条营销信息中须包含退出(Unsubscribe)机制
- 建立内部Do Not Call/Do Not Send名单
坑五:第三方SDK数据泄露
问题:中资企业开发的APP集成了第三方SDK(支付SDK、广告SDK、数据分析SDK等),SDK在用户设备上收集了超出APP本身所需的数据,企业作为数据控制者仍须承担责任。
法律规定:PDPA Section 40规定,数据控制者使用数据处理者(包括SDK提供商)的服务时,须通过合同约束数据处理者遵守PDPA规定。如果数据处理者违规导致泄露,数据控制者仍然对数据主体承担首要责任。
典型风险:某些中国开发的SDK未经修改直接用于泰国市场,可能自动将数据回传至中国境内服务器,且用户不知情。
合规建议:
- 对每个集成SDK做数据映射(Data Mapping),明确SDK收集的数据类型、用途和传输路径
- 与SDK提供商签署数据处理协议(DPA)
- 在APP隐私政策中披露所有第三方SDK的名称和数据收集范围
五、PDPA vs GDPR vs 中国PIPL:关键对比
对比项 泰国PDPA(B.E. 2562) EU GDPR 中国PIPL
-------- ---------------------- --------- ---------
生效日期 2022.6.1 2018.5.25 2021.11.1
域外效力 有(第5条) 有(Art.3) 有(第3条)
处罚上限 行政500万泰铢(~14.4万美元) 2000万欧元或全球年营收4% 5000万人民币或上年度营业额5%
同意要求 明确同意(特定情形书面同意) 明确同意 单独同意(重要场景)
DPO要求 有(大规模处理时) 有(公共机构和大规模处理) 有(关键信息基础设施运营者等)
数据本地化 部分要求(政府数据) 无系统要求 严格数据本地化(CII)
跨境传输机制 SCCs、充分性认定、同意 SCCs、BCR、充分性认定 安全评估、SCC、认证
数据泄露通知 72小时内通知PDPC 72小时内通知监管机构 技术措施可降低泄露风险则可不通知
集体诉讼 允许 允许(通过NGO) 个人信息保护公益诉讼
从处罚力度看,PDPA的500万泰铢(约14.4万美元)上限看似不高,但实际执法中PDPC正通过"持续性违规每日加罚"来突破这一上限。此外,民事赔偿和刑事追诉的威慑力不可小觑。
六、72小时数据泄露通知义务实操指南
PDPA Section 37.4规定:数据控制者在发现个人数据泄露后,须在72小时内向PDPC报告。Section 37.5进一步要求,泄露可能对数据主体的权利和自由造成高风险(High Risk)的,还须在合理时间内无延迟地通知数据主体。
72小时应急响应流程
发现后0-4小时:初步评估
- 确认泄露事实——是真的泄露还是误报?
- 评估泄露范围——涉及哪些数据类型?预估受影响的用户数量
- 初步定性——是否达到向PDPC报告的门槛?
- 启动内部应急响应小组(IRT)
发现后4-24小时:调查与证据保全
- 技术取证——确定泄露入口点、攻击路径、受影响系统和数据
- 样本取证——获取泄露数据的样本以确认数据类型和数量
- 数据映射——确定泄露数据的存储位置和传输路径
- 法律评估——评估泄露的法律后果和可能的处罚
发现后24-48小时:报告起草
- 准备向PDPC的初步报告(Preliminary Report),包括:泄露性质、数据类别和大约数量、数据保护官(DPO)联系方式、已采取或拟采取的应对措施、可能的风险评估
- 评估是否需要通知数据主体
- 准备公关声明
发现后48-72小时:正式提交
- 正式提交PDPC报告(PDPC规定的Form Leak-1)
- 决定并执行数据主体通知方案
- 采取技术措施防止进一步泄露(如断开被攻破的服务器、重置密码等)
- 隐瞒不报:以为"私了"就能解决——PDPC通过暗网监控和第三方举报发现泄露的可能性极高,隐瞒不报属于加重处罚情节
- 48小时内不做初步报告等"调查清楚了再一并提交":PDPC要求72小时内提交的是初步报告,而非最终报告;逾期提交即构成违规
- 未指定DPO:泰国法律规定大规模处理数据的机构须指定DPO,DPO是PDPA合规的法定联系人
七、2026年PDPC最新执法方向和合规建议
2026年执法重点(据PDPC 2026年3月执法行动计划)
- 直接营销违规:未经同意的短信/电话营销将受到严查
- CCTV合规:2026年PDPC将对娱乐场所、教育机构、商场等公共区域的CCTV合规进行专项抽查
- 跨境数据违规:重点抽查使用中国等非"白名单"国家云服务的企业
- APP数据合规:针对在泰国应用商店(Google Play、App Store)上架的APP开展合规评估
- AI数据使用:PDPC于2026年1月成立了专门的人工智能数据合规工作组,重点监控利用用户数据进行AI训练的企业
中资企业PDPA合规行动清单
优先级 行动项 预计耗时 预算范围(泰铢)
------- -------- --------- ----------------
紧急 任命DPO 2周 50万-120万/年
紧急 完成数据映射(Data Mapping) 4-8周 30万-100万
紧急 制定数据泄露应急响应预案 2-4周 20万-50万
重要 更新隐私政策和同意机制 4-6周 15万-40万
重要 签署SDK数据处理协议(DPA) 4周 10万-30万
重要 实施PDPA合同标准条款(跨境传输) 2-4周 10万-20万
建议 开展员工PDPA培训 1-2周 5万-15万
建议 对数据处理行为进行DPIA 4-8周 20万-60万
八、结语
泰国PDPA执法加速不是暂时的"运动式执法",而是制度性的、不可逆的常态。随着泰国数字经济的快速增长(预计2026年泰国数字经济规模达350亿美元),PDPC的监管能力也在快速提升。
对于在泰国经营的中资企业,"数据合规"已经不是"花不花钱"的问题,而是"花小钱还是花大钱"的问题——主动合规的成本远低于被处罚后的补救成本。
从员工数据跨境回传中国,到APP过度收集泰国用户数据,从工厂CCTV监控到第三方SDK管理,每一个环节都可能成为下一个PDPA执法对象的"致命伤"。时不我待,合规宜早不宜迟。
我是余驰宇,中国执业律师,牵头柬埔寨、泰国、马来西亚、罗马尼亚等国当地律所的中国业务部,专注中资企业海外财产保护、重大诉讼/仲裁、税务问题处理、跨境保全与执行。请关注我,私信交流。
*免责声明:本文内容仅供参考,不构成法律意见。具体案件请咨询专业律师。*