对于出海泰国的中企而言,“数据跨境传输” 是绕不开的核心合规难题 —— 无论是将泰国用户数据传输至国内总部进行分析,还是与国内关联公司共享数据,都需符合泰国《2019 年个人数据保护法》(PDPA)的要求。目前,泰国尚未公布 “数据保护充分的国家名单”(白名单),且对跨境传输的监管细则不断细化,中企若操作不当,可能面临 “罚款”“禁止传输” 甚至 “退出泰国市场” 的风险。本文结合 PDPA 最新要求和中企实操案例,拆解 “数据跨境传输合规路径”,帮你避开常见雷区。
一、先明确:哪些情况属于 “泰国数据跨境传输”?中企易误判
PDPA 对 “跨境传输” 的定义极为宽泛,不仅包括 “将泰国数据传输至境外服务器”(如国内总部的服务器),还包括 “境外主体访问泰国境内的数据”(如国内员工远程登录泰国子公司的系统查看用户数据)—— 只要数据的 “处理地点从泰国转移至境外”,均属于 “跨境传输”,需纳入合规管理。
中企常见误判场景:
误判 1:“服务器在泰国,国内总部远程查看数据不算跨境传输”—— 错!即使数据存储在泰国,国内员工通过远程工具访问、下载数据,仍属于 PDPA 定义的 “跨境传输”,需合规;
误判 2:“数据匿名化后传输,无需合规”—— 错!泰国要求 “匿名化需彻底删除所有可识别信息”(包括直接和间接识别信息),若匿名化后仍可通过 “与其他数据关联” 还原用户身份(如仅删除姓名,但保留手机号 + 收货地址),仍视为 “个人数据”,跨境传输需合规;
误判 3:“仅传输数据摘要,不算跨境传输”—— 错!若数据摘要仍可 “间接识别用户”(如用户消费习惯摘要 + 地区信息,可锁定特定用户群体),仍需遵守跨境传输要求。
二、PDPA 允许的跨境传输路径:五条路径,中企优先选这两种
PDPA 明确了 “合法跨境传输个人数据” 的五条路径,中企可根据自身业务场景选择,其中 “用户同意” 和 “标准合同条款” 是当前最易落地的两种方式(因白名单尚未公布)。
路径 1:获得用户 “知情同意”,需明确告知 “目的国保护不足”
这是最直接的路径,适用于 “向用户提供个性化服务” 且 “数据传输范围较小” 的场景(如跨境电商向国内总部传输用户的订单数据),但需满足两个核心条件:
1.必须告知用户 “目的国(如中国)的个人数据保护标准不足”,不可隐瞒;
2.获得用户的 “单独同意”,即同意需与 “使用服务的同意” 分开,不可捆绑 —— 例如在用户下单时,需单独弹出 “数据跨境传输同意书”,明确 “数据将传输至中国总部,用于订单处理”,且用户需主动勾选同意。
路径 2:签订 “标准合同条款”,集团内传输可选 “绑定公司规则”
若中企需 “高频、大规模传输数据”(如泰国子公司定期向国内总部传输用户数据),建议优先选择 “标准合同条款”,具体包括:
《东盟跨境数据流动示范合同条款》:东盟成员国通用,条款已符合 PDPA 要求,中企可直接采用,无需额外修改;
欧盟 GDPR 标准合同条款:需符合泰国 PDPC 的要求(如补充 “适用泰国法律” 的条款),但需注意 PDPC 可能对条款内容提出调整要求。
若传输发生在 “中企集团内的关联实体之间”(如泰国子公司与国内母公司),可申请 “绑定公司规则”(BCR)—— 即制定 “集团内数据跨境传输的保护政策”,提交 PDPC 审查认证,认证通过后,集团内所有实体均可按规则传输数据,无需为每次传输单独合规,适合 “多子公司、多业务线” 的大型中企。
路径 3:法律规定或公共利益,适用场景极窄
仅在 “法律明文允许”(如泰国税法要求向境外税务机构提供数据)或 “公共利益”(如疫情期间向国际组织传输感染数据)的情形下可使用,中企日常业务中极少涉及,且需留存 “法律依据或公共利益证明材料”,不可随意适用。
路径 4:履行合同或保护重大利益,需举证 “必要性”
履行合同:如用户在泰国下单,需将订单数据传输至国内仓库发货,此时传输是 “履行与用户的购物合同” 所必需,可豁免同意,但需证明 “传输数据是履行合同的唯一方式”;
保护重大利益:如用户在泰国遭遇紧急情况,需将其健康数据传输至国内家属,此时传输是 “保护用户生命安全” 所必需,可豁免同意,但需留存 “紧急情况证明”(如医院证明)。
路径 5:白名单国家,暂不可用
PDPA 允许向 “数据保护标准充分的国家 / 组织” 传输数据,但目前 PDPC 尚未公布白名单,中企需持续关注 PDPC 的公告,一旦白名单公布(预计未来 1-2 年内),若中国被列入,中企跨境传输将更便捷。
中企跨境传输三大雷区,90% 的企业曾踩过
雷区 1:“先传输后补同意”,视为 “违法传输”
部分中企为赶业务进度,先将泰国用户数据传输至国内,再回头向用户补要同意 —— 这在泰国属于 “无法律依据的传输”,PDPC 明确禁止,即使后续补到同意,仍可能被认定为违法,面临罚款。正确做法是 “先获得同意或确定合规路径,再传输数据”。
雷区 2:跨境传输协议 “照搬国内模板”,条款无效
中企常将国内的《数据传输协议》直接用于泰国业务,未补充 “符合 PDPA 要求” 的条款(如 “数据主体权利保障”“数据泄露后的赔偿责任”),导致协议被 PDPC 认定为无效,传输失去合规依据。例如协议中未约定 “泰国用户可向国内总部主张数据权利”,即违反 PDPA 对 “数据主体权利可执行性” 的要求。
雷区 3:不履行 “告知义务”,用户投诉风险高
即使选择 “标准合同条款” 或 “绑定公司规则”,中企仍需向泰国用户告知 “数据将跨境传输” 的信息(如在 APP 隐私政策中明确 “数据传输至中国总部,采用标准合同条款保护”),不可隐瞒 —— 泰国用户对 “数据出境” 的敏感度极高,隐瞒传输行为易引发用户投诉,进而触发 PDPC 调查。
中企合规实操三步法,降低跨境传输风险
1.第一步:分类分级,锁定高风险数据先对 “拟传输的泰国数据” 进行分类分级:
敏感数据(如健康、生物识别数据):优先选择 “单独同意 + 标准合同条款”,双重保障;
普通数据(如订单、地址数据):可选择 “履行合同” 或 “标准合同条款”,根据场景灵活选择;重点管控 “敏感数据” 的传输,避免因 “敏感数据违规传输” 导致重罚(泰国对敏感数据违规的罚款更高)。
2.第二步:签订合规协议,明确责任划分与 “接收数据的境外实体”(如国内总部、第三方服务商)签订《数据跨境传输协议》,明确:
传输数据的范围、用途(不可超范围使用);
接收方的保护义务(如需实施与泰国同等的安全措施);
数据泄露后的责任划分(如谁负责向 PDPC 报告、谁承担赔偿);避免因 “协议未明确责任”,导致数据泄露后互相推诿,错过 PDPA 要求的 72 小时报告时限。
3.第三步:留存传输记录,应对监管检查建立 “跨境传输台账”,记录每次传输的 “数据类型、传输时间、合规路径、接收方” 等信息,至少留存 3 年 ——PDPC 有权随时要求中企提供传输记录,若无法提供或记录不完整,可能被认定为 “未履行合规义务”,面临整改或罚款。
