越来越多中企通过跨境电商、制造业投资、数字服务等方式进入泰国市场。但泰国《2019 年个人数据保护法》(PDPA)与中国《个人信息保护法》(PIPL)虽均以 “保护个人数据” 为核心,在监管范围、义务要求、执法力度等方面存在显著差异 —— 中企若以 “国内合规经验” 套用于泰国,极易踩坑。
本文从 “中企出海高频场景” 出发,对比两大法律的核心差异,帮企业提前规避合规风险。
一、监管范围:泰国 PDPA 的 “域外效力” 更宽泛,中企易触线
1. 泰国 PDPA:“服务泰国用户” 即受管辖,无需 “境内设立实体”
PDPA 的域外效力判断标准极为明确:只要企业的行为满足 “向泰国境内数据主体提供商品 / 服务”(无论是否收费,如免费 APP 面向泰国用户开放)或 “监控泰国境内数据主体行为”(如收集泰籍用户的 APP 使用习惯),即使企业 “不在泰国设立实体、服务器不在泰国”,仍需遵守 PDPA。
典型案例:中国某跨境电商平台,仅通过线上向泰国用户销售商品,未在泰国设立公司,但因收集了泰籍用户的姓名、地址、支付信息,被泰国 PDPC 要求 “任命本地代表”,否则限制其向泰国用户提供服务。
2. 中国 PIPL:以 “境内处理” 为核心,域外效力有 “双重门槛”
PIPL 的域外效力需同时满足两个条件:“处理境内自然人的个人信息”+“在境内设立机构 / 向境内提供服务 / 从境内收集信息”,且更侧重 “对境内自然人权益产生影响” 的情形 —— 例如中国企业处理泰国用户数据,若服务器在国内、但未向中国境内提供服务,通常不受 PIPL 管辖。
差异影响:中企需 “双向合规”,避免顾此失彼
若中企在泰国设立子公司,同时处理 “泰国用户数据” 和 “中国员工数据”,需同时遵守 PDPA(泰国用户数据)和 PIPL(中国员工数据跨境传输需符合 PIPL 的安全评估要求);
若中企仅在国内运营、但服务泰国用户,需重点遵守 PDPA 的 “域外合规要求”(如任命本地代表),而 PIPL 的影响较小。
二、敏感数据保护:泰国 “明确同意” 要求更严格,例外情形更少
1. 泰国 PDPA:敏感数据 “原则上需明确同意”,例外情形极窄
PDPA 将 “健康信息、宗教信仰、生物识别数据、犯罪记录” 等列为敏感数据,处理此类数据需获得用户 “明确同意”(如单独签署书面同意书、APP 内单独勾选 “同意处理生物识别数据”),且同意需 “可撤回、可追溯”。
仅有的例外情形包括 “预防生命危险”(如医院紧急救治时使用患者健康数据)、“公共卫生紧急情况”(如疫情期间统计感染数据),且需留存 “例外情形的证明材料”—— 例如医院需记录 “为何无法获取患者同意”,否则视为违法处理。
2. 中国 PIPL:敏感数据 “同意 + 特定条件”,例外情形更灵活
PIPL 对敏感个人信息的处理,原则上需 “单独同意”,但例外情形更宽泛,例如 “为公共利益实施新闻报道、舆论监督等行为,在合理范围内处理敏感个人信息”(如媒体报道泰国疫情时使用公开的患者人数数据),无需获得同意。
差异影响:中企处理泰国敏感数据,不可 “照搬国内流程”
案例对比:中国某健康类 APP 在泰国提供服务,若需收集用户的血压、心率数据(敏感数据),在国内可通过 “APP 内弹窗单独同意” 即可,但在泰国需额外提供 “同意撤回入口”,且撤回流程需与 “同意流程同样简便”(如同意时点击 1 次,撤回时也只需 1 次点击),否则可能被认定为 “同意无效”;
关键提醒:泰国 PDPA 明确禁止 “以‘不同意处理敏感数据’为由拒绝提供非必要服务”,例如健康 APP 不可要求 “用户不同意提供心率数据,就无法使用挂号功能”(除非心率数据是挂号的必要前提)。
三、数据主体权利:泰国 “可携带权” 更具体,中企需优化响应流程
1. 泰国 PDPA:数据可携带权 “格式要求明确”,需支持 “自动传输”
PDPA 要求数据主体提出 “数据可携带权请求” 时(如要求将 APP 内的个人数据转移至另一平台),数据控制者需提供 “可通过自动工具读取使用” 的格式(如 CSV、JSON 格式),且需支持 “直接传输至另一数据控制者”(如用户要求将泰国电商平台的购物记录传输至另一电商平台,中企需协助完成传输),不可要求用户 “自行下载后再上传”。
2. 中国 PIPL:数据可携带权 “原则性规定”,格式未细化
PIPL 虽规定了数据可携带权,但未明确 “具体格式” 和 “是否需自动传输”,实践中企业通常提供 “下载链接”,由用户自行下载后处理,监管对 “自动传输” 暂无强制要求。
差异影响:中企需升级技术系统,满足泰国的 “自动传输” 要求
若中企在泰国运营 APP 或网站,需在技术层面实现 “用户数据的标准化导出” 和 “跨平台自动传输”,例如用户在 APP 内点击 “转移数据至 A 平台”,系统可直接将数据发送至 A 平台的指定接口,而非仅提供下载功能 —— 这对中企的技术架构提出了更高要求,需提前规划改造。
四、跨境传输:泰国 “白名单未出”,中企需优先锁定替代路径
1. 泰国 PDPA:白名单缺位,标准合同条款是当前优选
PDPA 允许向 “数据保护标准充分的国家 / 组织”(白名单)跨境传输数据,但目前 PDPC 尚未公布白名单。中企若需将泰国数据传输至国内,可选择的合规路径包括:
与数据主体签订 “知情同意书”,明确告知 “目的国保护标准不足”,且获得用户单独同意;
签订 “绑定公司规则”(适用于集团内传输,需 PDPC 认证);
采用 “标准合同条款”,如《东盟跨境数据流动示范合同条款》或符合 PDPC 要求的 GDPR 标准合同条款。
2. 中国 PIPL:跨境传输以 “安全评估” 为核心,分级管理
PIPL 对跨境传输的核心要求是 “安全评估”:若企业处理的个人信息达到 “关键信息基础设施” 或 “处理个人信息超 100 万人” 等标准,需通过国家网信办的安全评估;未达到标准的,可通过 “签订标准合同”“认证” 等方式跨境传输。
差异影响:中企需 “双轨制” 规划跨境传输方案
若中企需将 “泰国用户数据” 传输至国内总部,需同时满足:
i.泰国 PDPA 要求:签订标准合同条款或获得用户同意;
ii.中国 PIPL 要求:若传输的数据包含 “中国公民信息”,需按 PIPL 完成安全评估或签订标准合同;
关键提醒:泰国 PDPA 禁止 “以‘数据跨境传输’为由,要求用户放弃数据主体权利”(如要求用户同意 “数据传输至中国后不可撤回同意”),此类条款在泰国会被认定为无效。
五、执法力度:泰国 “首罚已落地”,中企需重视整改与沟通
1. 泰国 PDPA:罚款金额高,整改要求具体
2024 年泰国对某企业开出 700 万泰铢(约 140 万人民币)罚款,是 PDPA 生效以来的首个重大处罚,且处罚决定中明确 “需在 30 日内完成 DPO 任命、60 日内完善安全措施”,若未按期整改将追加罚款 ——PDPC 的执法特点是 “先处罚再要求整改”,且整改效果需接受复查。
2. 中国 PIPL:执法侧重 “责令整改 + 罚款”,注重事前提醒
PIPL 实施以来,执法多以 “责令限期整改” 为优先,对情节严重的才处以罚款(如 2023 年某平台因违规处理个人信息被罚款 5000 万元),且通常会给予企业 “整改缓冲期”,执法更注重 “引导企业合规”。
差异影响:中企在泰国需 “主动合规 + 快速响应”
若收到泰国 PDPC 的 “合规问询函”,需在规定时限内(通常为 15-30 日)提交书面回复,不可拖延;
发生数据泄露后,需严格遵守 “72 小时内报告 PDPC” 的要求,即使泄露原因尚未查明,也需先提交 “初步报告”,后续再补充细节 —— 泰国 PDPC 对 “延迟报告” 的容忍度极低,延迟 1 天即可能面临罚款。
中企应对建议:建立 “泰中双合规” 体系,避免合规脱节
1.合规团队配置:若在泰国开展业务,建议组建 “本地合规人员 + 国内 PIPL 专家” 的团队,本地人员负责对接 PDPC 的监管要求,国内专家负责协调 “中泰数据跨境传输的双向合规”;
2.制度适配改造:将国内的《个人信息保护制度》改造为 “符合 PDPA 要求的版本”,例如在 “用户同意条款” 中增加 “敏感数据明确同意”“撤回同意流程”,在 “数据泄露预案” 中补充 “72 小时报告 PDPC 的流程”;
3.定期合规审计:每季度开展 “泰中合规差异审计”,重点检查 “敏感数据处理”“跨境传输”“数据主体权利响应” 等高频风险点,及时调整合规策略 —— 例如若 PDPC 公布了 “白名单国家”,需立即评估 “是否可通过白名单路径传输数据”,降低合规成本。
对于中企而言,理解泰中两国个人数据保护法的差异,不仅是 “避免处罚” 的需要,更是 “赢得泰国用户信任” 的关键 —— 在数据保护意识日益提升的泰国市场,合规的企业更易获得用户青睐,形成长期竞争优势。
