中文/EN
首页/海外办公室/国家/新闻详情

中企出海泰国必看!PDPA 合规实操指南,避开 700 万泰铢罚款坑-泰国律师事务所

发布时间:2025/10/17 作者:国樽律所


核心背景:泰国 PDPA 执法趋严,中企不可掉以轻心

 

2024 年第三季度,泰国对一家大型企业开出 700 万泰铢(约合 140 万元人民币)行政罚款,案由包括未按要求任命数据保护官(DPO)、数据泄露后未及时报告、安全措施不到位导致数据流入诈骗团伙。


这是泰国《2019 年个人数据保护法》(PDPA)生效以来的首个重大处罚案例,释放出 “监管从严” 的明确信号 —— 对于计划或已在泰国开展业务的中企而言,PDPA 合规不再是 “可选动作”,而是 “生存底线”。

 

中企出海泰国 PDPA 合规三大核心要求

 

1. 主体定位:先明确 “数据控制者” 还是 “数据处理者”

 

PDPA 将合规义务主体分为两类,中企需先判定自身角色,再对应履行义务:

数据控制者(如在泰设立的子公司、直接向泰籍用户提供服务的平台):需承担 “数据最小化”“目的限制”“72 小时数据泄露通知”“任命 DPO” 等核心义务,例如收集泰籍用户信息时,只能收集 “提供服务必需的信息”,且需提前告知用户收集目的。

数据处理者(如受泰国企业委托处理数据的中企外包服务商):需严格按数据控制者的指示处理数据,且必须在 72 小时内将数据泄露情况告知数据控制者,不可擅自扩大处理范围。

 

2. 敏感数据:“明确同意” 是红线,例外情形需谨慎

 

泰国 PDPA 对 “敏感个人数据” 的保护力度远高于普通数据,包括健康信息、宗教信仰、生物识别数据(如人脸信息)等。中企处理此类数据时:

原则上必须获得用户 “明确同意”,且同意需以 “单独勾选”“书面确认” 等可追溯的形式获取,不可默认勾选或嵌套在服务条款中;

仅在 “预防生命危险”“公共卫生紧急情况” 等极个别情形下可豁免同意,但需留存 “豁免情形的证明材料”(如医院的紧急救治记录),避免后续争议。

 

3. 域外效力:即使总部在国内,服务泰籍用户仍需合规

 

PDPA 具有极强的域外效力:只要中企的业务满足 “向泰国境内用户提供商品 / 服务”(如跨境电商面向泰国发货)或 “监控泰国用户行为”(如 APP 收集泰籍用户的位置数据),即使企业总部在国内、服务器不在泰国,仍需遵守 PDPA—— 典型操作是 “任命泰国本地代表”,负责对接 PDPC(泰国个人数据保护委员会)的监管要求,否则可能面临 “禁止向泰国提供服务” 的风险。

 

中企合规实操四步走,避开常见误区

 

1.第一步:梳理数据地图,识别合规风险点先盘点 “在泰国收集、使用、传输的所有个人数据”,例如用户注册信息、支付记录、客服聊天记录等,标注 “是否为敏感数据”“是否跨境传输”,重点关注 “间接识别数据”(如用户的手机号、收货地址)—— 这类数据在泰国同样被认定为 “个人数据”,需纳入合规管理。

 

2.第二步:完善内部制度,关键岗位要配齐若处理 “大规模数据”(如 APP 用户超 10 万)或 “敏感数据”(如健康类 APP),需立即任命 DPO,且 DPO 需向泰国 PDPC 办公室备案;同时制定《数据泄露应急预案》,明确 “数据泄露后谁负责报告”“如何通知用户”“72 小时内的报告流程”,避免因流程混乱错过报告时限。

 

3.第三步:用户同意与告知,形式要合规在泰国用户注册或使用服务时,需单独弹出 “个人数据处理告知书”,明确告知 “数据用途”“留存期限”“可向哪些第三方披露”(如是否共享给国内总部),且同意按钮需 “清晰独立”,不可与 “同意服务条款” 捆绑 —— 泰国 PDPC 明确禁止 “不勾选同意就无法使用服务” 的 “强制同意” 模式(除非同意是提供服务的必要前提)。

 

4.第四步:跨境传输数据,优先锁定合规路径若需将泰国用户数据传输至国内(如总部进行数据分析),目前泰国尚未公布 “数据保护充分的国家名单”(白名单),中企可优先选择 “签订标准合同条款”,例如采用《东盟跨境数据流动示范合同条款》,或参考欧盟 GDPR 的标准合同条款(需符合 PDPC 要求),避免因 “跨境传输无合规依据” 被处罚。

 

常见误区提醒:这些 “想当然” 的操作都是坑

 

误区 1:“数据匿名化后就可以随意使用”—— 泰国要求 “匿名化需彻底删除直接识别信息”(如姓名、身份证号),且需留存 “匿名化处理记录”,若匿名化后仍可通过其他方式还原识别用户,仍视为 “个人数据”;

 

误区 2:“数据泄露后没造成损失就不用报告”——PDPA 规定 “只要发生泄露,无论是否造成损失,均需在 72 小时内报告 PDPC”,仅当 “泄露无任何风险”(如泄露的是已过期的用户地址)才可豁免,且需自行举证 “无风险”,举证难度极高;

 

误区 3:“国内的合规体系直接套用就行”—— 中国《个人信息保护法》与 PDPA 存在差异,例如中国对 “跨境传输” 主要要求 “安全评估”,而泰国要求 “白名单 + 合同条款”,直接套用国内制度易出现合规漏洞。

对于计划深耕泰国市场的中企而言,PDPA 合规不是一次性任务,而是长期动态管理 —— 建议定期(如每半年)审查数据处理活动,关注 PDPC 发布的最新公告(如即将公布的 “白名单国家”),及时调整合规策略,避免因监管要求变化导致合规失效。


← 返回列表