2026年,泰国《个人数据保护法》正式从“教育期”迈入“严打期”。随着泰国个人数据保护委员会开出累计超过2150万泰铢的罚单,数据合规不再是“纸上谈兵”,而是悬在每个企业头顶的利剑。对于在泰国运营或面向泰国用户的中企而言,数据泄露72小时报告、敏感数据本地化、任命数据保护官,已成为必须跨越的生存门槛。
泰国是中国企业进入东盟市场的重要门户,从制造业到电商平台,从金融科技到数字服务,大量中企在泰国深耕布局。然而,随着泰国PDPA执法力度的急剧升温,数据合规已成为中企出海泰国的“核心考题”。
PART 01
法律框架
从生效到全面执法
PART 02
数据本地化
敏感数据存储的“红线”
PART 03
数据泄漏报告
72小时的“生死时速”
PART 04
数据保护官
任命是义务,非选择
PART 05
数据控制者与处理者的责任链
PART 06
处罚机制
高额罚单与业务中断风险
PART 07
对中国出海企业的核心影响
PART 08
结语
泰国《个人数据保护法》于2019年颁布,在经过多次延期后,于2022年6月1日正式全面生效。该法以欧盟GDPR为蓝本,建立了涵盖数据处理、跨境传输、数据主体权利、数据泄露通知、数据保护官任命等在内的完整监管体系。
执法转折点
2024年至2025年,泰国个人数据保护委员会从“教育宣导”转向“严厉执法”,累计开出超过2150万泰铢的罚单,标志着PDPA进入全面执行阶段。
关键时间节点
2019年:PDPA颁布
2022年6月1日:法律全面生效
2024年7月:开出首张700万泰铢罚单
2025年:执法力度持续加强,累计罚款超2150万泰铢
2026年:全面执法期,监管重点明确
法律条文参考
泰国PDPA第37条:数据控制者的安全措施义务
第39条:数据泄露通知义务(72小时内)
第41条:数据保护官的任命要求
第77-82条:民事、行政、刑事责任规定
虽然泰国PDPA没有像越南或中国那样明确要求“所有数据必须存储在本地”,但通过严格的跨境传输限制,实际上形成了事实上的数据本地化要求。
核心规定
向境外传输个人数据,接收国必须被泰国个人数据保护委员会认定为具有“充分保护水平”
如未被认定,数据控制者必须提供适当的保障措施(如约束性公司规则、标准合同条款)
敏感数据(如健康数据、生物特征数据)的跨境传输受到更严格限制
对中企的影响
对于在泰国运营的中企,如果向中国总部传输泰国员工的个人数据或泰国用户的交易数据,必须通过标准合同条款或约束性公司规则等机制获得合法性基础。对于涉及敏感数据的场景,建议优先考虑在泰国本地部署服务器。
这是泰国PDPA执法中最具威慑力的条款之一,也是近期开出高额罚单的主要原因。
核心规定
数据控制者必须在知悉数据泄露后72小时内向泰国个人数据保护委员会报告
报告内容需包括:泄露的性质、受影响的数据类型、潜在风险、已采取的补救措施
在有限且合理的情况下,可延长至15天,但必须提供充分理由
如泄露可能对数据主体权利和自由造成高风险,还需通知受影响的数据主体
执法案例警示
2024年,泰国一家知名在线零售商因数据泄露事件被处以700万泰铢的罚款。违规点包括:
未能及时向监管机构报告泄露事件(明知泄露却未在规定时间内报告)
安全措施严重不足(几乎所有员工都能访问客户个人数据)
未任命数据保护官(处理超过10万人数据却未任命DPO)
对中企的影响
企业必须建立数据泄露应急响应机制,确保在发现泄露后能快速评估并报告。对于在泰国无实体的企业,需确保有指定的联系人和明确的报告流程。
根据泰国PDPA,以下情况必须任命数据保护官:
数据控制者或处理者是政府机构
数据处理活动需要定期、系统性地大规模监控数据主体(如在线行为追踪)
核心业务涉及大规模处理敏感数据(如健康数据、金融数据)
此外,泰国个人数据保护委员会在执法实践中明确,处理超过10万人个人数据的企业,即使不属于上述类别,也应任命数据保护官。
数据保护官的主要职责
监督数据保护策略的实施
提供数据保护合规咨询
与监管机构对接
处理数据主体的投诉和请求
监控数据泄漏事件
对中企的影响
对于面向泰国消费者的大规模电商平台、社交应用、金融科技企业,任命数据保护官已成为法律硬性要求。企业可在内部指定一名负责人,或聘请外部顾问担任。
法律条文参考
-
PDPA第41条 -
泰国个人数据保护委员会关于DPO任命的细化指南
泰国PDPA区分了“数据控制者”和“数据处理者”,并明确两者之间的责任划分。
核心规定
数据控制者必须监督数据处理者,确保其采取符合PDPA的安全措施
数据控制者与数据处理者之间必须签订书面协议,明确处理目的、数据类型、安全措施等
数据控制者对数据处理者的违规行为承担连带责任
对中企的影响
许多中企在泰国使用第三方服务商(如云服务商、IT供应商、呼叫中心)处理个人数据。如果这些服务商发生数据泄露或违规处理,作为数据控制者的中企同样可能面临处罚。
应对策略
审查所有涉及个人数据处理的供应商合同
要求供应商提供合规证明
定期审查供应商的数据处理实践
泰国PDPA设置了多层次的处罚体系,既有巨额罚款,也有刑事追责。
1
行政罚款
违反数据保护义务:最高500万泰铢
未经同意处理个人数据:最高300万泰铢
未及时报告数据泄露:最高200万泰铢
未任命数据保护官:最高100万泰铢
2
刑事处罚
未经同意处理个人数据:最高1年监禁或500万泰铢罚款
为个人利益披露个人数据:最高6个月监禁或50万泰铢罚款
3
民事赔偿
数据主体可就因数据泄露造成的损害提起诉讼
可索赔实际损失和精神损害赔偿
4
业务中断风险
泰国个人数据保护委员会可发布纠正令,要求企业限期整改
拒不整改的,可处以每日不超过50万泰铢的追加罚款
!
执法案例警示
2024年首张罚单(700万泰铢)已释放明确信号:泰国个人数据保护委员会不仅罚款,还要求企业在7天内完成整改并报告。未能按时整改的,面临每日最高50万泰铢的追加罚款。
1
影响一:
数据架构需重新设计
许多中企在泰国的数据架构是“轻量化”的——核心系统和数据存储在中国,泰国仅保留前端。但在数据本地化要求下,这种架构面临合规风险。
应对策略:
评估是否需要在泰国本地部署服务器
对于敏感数据,优先考虑本地存储
设计数据分类和存储策略,区分可传输和不可传输的数据类型
2
影响二:
电商平台的高风险警示
电商平台处理大量用户个人数据(姓名、地址、电话、支付信息),是泰国个人数据保护委员会的监管重点。
应对策略:
任命数据保护官
建立72小时数据泄露报告机制
加强访问控制,确保只有必要人员可访问用户数据
对员工进行数据保护培训
3
影响三:
金融科技的双重监管
金融科技企业不仅受PDPA监管,还受泰国央行等金融监管机构的额外数据保护要求。
应对策略:
同时满足PDPA和行业监管要求
特别注意敏感数据(如财务数据、身份验证信息)的保护
与监管机构保持沟通,了解最新执法重点
4
影响四:
供应商管理的全面升级
数据控制者对数据处理者的连带责任,要求中企必须加强对供应商的管理。
应对策略:
更新所有涉及个人数据的供应商合同
要求供应商提供合规证明
定期审查供应商的数据处理实践
5
影响五:
合规成本的结构性上升
任命数据保护官、建立泄露响应机制、更新隐私政策、进行合规培训、可能的数据本地化部署,都将增加企业的运营成本。
应对策略:
将合规成本纳入年度预算
考虑使用自动化合规工具降低成本
与行业协会合作,共享合规资源和最佳实践
泰国PDPA已进入全面执法时代,2024年首张700万泰铢罚单只是开始。对于在泰国运营或面向泰国用户的中企,现在已没有观望的时间。数据合规不是成本,是出海泰国的“入场券”。在这个对个人数据保护日益重视的时代,主动合规的企业将在激烈的市场竞争中赢得信任和优势。
#出海 #泰国 #合规 #跨境投资 #东南亚出海 #跨境合规 #中国企业出海 #投资 #海外投资 #环球法律动态 #出海交流社群 #法律咨询 #投资指南 #跨境贸易法律服务 #涉外法律交流群 #中企出海 #跨境电商 #独立站数据合规 #跨境独立站 #海外劳动用工 #劳动合规 #东南亚数据合规 #海外劳动法 #海外雇佣 #个人数据保护 #LGPD #数据出境 #合规管理 #化妆品FDA #数据安全 #汽车出海 #新能源出海 #GDPR #PDPA
如需进一步了解泰国🇹🇭数据合规的具体条款解读,或针对具体项目的法律风险分析,欢迎后台私信我们。
[参考资料]
泰国《个人数据保护法》B.E. 2562 (2019) 官方泰文版:https://www.ratchakitcha.soc.go.th/DATA/PDF/2562/A/069/T_0052.PDF
泰国《个人数据保护法》B.E. 2562 (2019) 非官方英文版:https://cyrilla.org/fr/entity/sl9175g71u/metadata?page=1
泰国《个人数据保护法》B.E. 2562 (2019) 中文解读:https://www.kingandwood.com/cn/zh/insights/latest-thinking/overseas-data-compliance-overview-thailand.html
PDPC:https://www.dataguidance.com/jurisdictions/thailand
Linklaters - Data Protected Thailand:https://www.linklaters.com/insights/data-protected/data-protected---thailand
TMI Associates - PDPA Enforcement Update (2026年2月):https://www.tmi.gr.jp/eyes/newsletter/2026/17973.html
IAPP - 泰国PDPA首张罚单分析(2024年11月):https://iapp.org/news/a/first-fine-imposed-under-thailand-s-personal-data-protection-act
国樽律师事务所 - 中企出海泰国PDPA合规实操指南:https://www.guozunlaw.com/news-98978.html
Gentle Law IBL - Thailand PDPA 2026 Compliance Guide:https://www.gentlelawibl.com/post/thailand-pdpa-2026-for-foreign-smes-lawful-bases-dpo-cross-border-transfers-sme-exemptions-and-enforcement
PIMLEGAL - PDPA Enforcement in Thailand 2026:https://www.pimlegal.com/2026/02/03/pdpa-enforcement-in-thailand-what-every-business-must-know-in-2026/
[免责声明]
本文所载信息(包括但不限于法律法规解读、数据、应对建议等)仅供一般性参考,不构成法律、税务、贸易或任何其他专业领域的建议。使用者应自行核实信息来源的准确性和及时效性。我方不对因依赖本文内容而导致的任何直接或间接损失承担责任。相关政策及法规可能随时变动,请以各国政府及监管机构最新官方文件为准。
往期精选
2026越南法律大变局!AI、数据、用工新规密集生效,中企出海必看
精选合集
关于我们
LAW PURPOSE
律意是一家创新型综合性跨境法律服务平台。
基于创始团队在法律大数据及法律服务行业近20年的经验,拥有覆盖全球157个国家和地区的资深律师网络及各行业法律专家资源,已经为数十家跨境制造与消费类企业节约了50%的时间与经济成本。致力于为企业出海提供专业、完善、便捷的一站式法律服务。
联系/关注我们
小管家微信
小红书
知乎
播客
电话:+86 021 31200806
邮箱:inquiry@lawpurpose.com
地址:上海市静安区愚园路108号7楼728
