泰國(guó)PDPA 執(zhí)法趨嚴(yán)，中企不可掉以輕心

2024 年第三季度，泰國(guó)對(duì)一家大型企業(yè)開出 700 萬泰銖（約合 140 萬元人民幣）行政罰款，案由包括未按要求任命數(shù)據(jù)保護(hù)官（DPO）、數(shù)據(jù)泄露后未及時(shí)報(bào)告、安全措施不到位導(dǎo)致數(shù)據(jù)流入詐騙團(tuán)伙。這是泰國(guó)《2019 年個(gè)人數(shù)據(jù)保護(hù)法》（PDPA）生效以來的首個(gè)重大處罰案例，釋放出 “監(jiān)管從嚴(yán)” 的明確信號(hào) —— 對(duì)于計(jì)劃或已在泰國(guó)開展業(yè)務(wù)的中企而言，PDPA 合規(guī)不再是 “可選動(dòng)作”，而是 “生存底線”。

中企出海泰國(guó)PDPA 合規(guī)三大核心要求

1. 主體定位：先明確 “數(shù)據(jù)控制者” 還是 “數(shù)據(jù)處理者”

PDPA 將合規(guī)義務(wù)主體分為兩類，中企需先判定自身角色，再對(duì)應(yīng)履行義務(wù)：

數(shù)據(jù)控制者（如在泰設(shè)立的子公司、直接向泰籍用戶提供服務(wù)的平臺(tái)）：需承擔(dān)“數(shù)據(jù)最小化”“目的限制”“72 小時(shí)數(shù)據(jù)泄露通知”“任命 DPO” 等核心義務(wù)，例如收集泰籍用戶信息時(shí)，只能收集 “提供服務(wù)必需的信息”，且需提前告知用戶收集目的。

數(shù)據(jù)處理者（如受泰國(guó)企業(yè)委托處理數(shù)據(jù)的中企外包服務(wù)商）：需嚴(yán)格按數(shù)據(jù)控制者的指示處理數(shù)據(jù)，且必須在72 小時(shí)內(nèi)將數(shù)據(jù)泄露情況告知數(shù)據(jù)控制者，不可擅自擴(kuò)大處理范圍。

2. 敏感數(shù)據(jù)：“明確同意” 是紅線，例外情形需謹(jǐn)慎

泰國(guó)PDPA 對(duì) “敏感個(gè)人數(shù)據(jù)” 的保護(hù)力度遠(yuǎn)高于普通數(shù)據(jù)，包括健康信息、宗教信仰、生物識(shí)別數(shù)據(jù)（如人臉信息）等。中企處理此類數(shù)據(jù)時(shí)：

原則上必須獲得用戶“明確同意”，且同意需以 “單獨(dú)勾選”“書面確認(rèn)” 等可追溯的形式獲取，不可默認(rèn)勾選或嵌套在服務(wù)條款中；

僅在“預(yù)防生命危險(xiǎn)”“公共衛(wèi)生緊急情況” 等極個(gè)別情形下可豁免同意，但需留存 “豁免情形的證明材料”（如醫(yī)院的緊急救治記錄），避免后續(xù)爭(zhēng)議。

3. 域外效力：即使總部在國(guó)內(nèi)，服務(wù)泰籍用戶仍需合規(guī)

PDPA 具有極強(qiáng)的域外效力：只要中企的業(yè)務(wù)滿足 “向泰國(guó)境內(nèi)用戶提供商品 / 服務(wù)”（如跨境電商面向泰國(guó)發(fā)貨）或 “監(jiān)控泰國(guó)用戶行為”（如 APP 收集泰籍用戶的位置數(shù)據(jù)），即使企業(yè)總部在國(guó)內(nèi)、服務(wù)器不在泰國(guó)，仍需遵守 PDPA—— 典型操作是 “任命泰國(guó)本地代表”，負(fù)責(zé)對(duì)接 PDPC（泰國(guó)個(gè)人數(shù)據(jù)保護(hù)委員會(huì)）的監(jiān)管要求，否則可能面臨 “禁止向泰國(guó)提供服務(wù)” 的風(fēng)險(xiǎn)。

中企合規(guī)實(shí)操四步走，避開常見誤區(qū)

1.第一步：梳理數(shù)據(jù)地圖，識(shí)別合規(guī)風(fēng)險(xiǎn)點(diǎn)先盤點(diǎn) “在泰國(guó)收集、使用、傳輸?shù)乃袀€(gè)人數(shù)據(jù)”，例如用戶注冊(cè)信息、支付記錄、客服聊天記錄等，標(biāo)注 “是否為敏感數(shù)據(jù)”“是否跨境傳輸”，重點(diǎn)關(guān)注 “間接識(shí)別數(shù)據(jù)”（如用戶的手機(jī)號(hào)、收貨地址）—— 這類數(shù)據(jù)在泰國(guó)同樣被認(rèn)定為 “個(gè)人數(shù)據(jù)”，需納入合規(guī)管理。

2.第二步：完善內(nèi)部制度，關(guān)鍵崗位要配齊若處理 “大規(guī)模數(shù)據(jù)”（如 APP 用戶超 10 萬）或 “敏感數(shù)據(jù)”（如健康類 APP），需立即任命 DPO，且 DPO 需向泰國(guó) PDPC 辦公室備案；同時(shí)制定《數(shù)據(jù)泄露應(yīng)急預(yù)案》，明確 “數(shù)據(jù)泄露后誰負(fù)責(zé)報(bào)告”“如何通知用戶”“72 小時(shí)內(nèi)的報(bào)告流程”，避免因流程混亂錯(cuò)過報(bào)告時(shí)限。

3.第三步：用戶同意與告知，形式要合規(guī)在泰國(guó)用戶注冊(cè)或使用服務(wù)時(shí)，需單獨(dú)彈出 “個(gè)人數(shù)據(jù)處理告知書”，明確告知 “數(shù)據(jù)用途”“留存期限”“可向哪些第三方披露”（如是否共享給國(guó)內(nèi)總部），且同意按鈕需 “清晰獨(dú)立”，不可與 “同意服務(wù)條款” 捆綁 —— 泰國(guó) PDPC 明確禁止 “不勾選同意就無法使用服務(wù)” 的 “強(qiáng)制同意” 模式（除非同意是提供服務(wù)的必要前提）。

4.第四步：跨境傳輸數(shù)據(jù)，優(yōu)先鎖定合規(guī)路徑若需將泰國(guó)用戶數(shù)據(jù)傳輸至國(guó)內(nèi)（如總部進(jìn)行數(shù)據(jù)分析），目前泰國(guó)尚未公布 “數(shù)據(jù)保護(hù)充分的國(guó)家名單”（白名單），中企可優(yōu)先選擇 “簽訂標(biāo)準(zhǔn)合同條款”，例如采用《東盟跨境數(shù)據(jù)流動(dòng)示范合同條款》，或參考?xì)W盟 GDPR 的標(biāo)準(zhǔn)合同條款（需符合 PDPC 要求），避免因 “跨境傳輸無合規(guī)依據(jù)” 被處罰。

常見誤區(qū)提醒：這些“想當(dāng)然” 的操作都是坑

誤區(qū)1：“數(shù)據(jù)匿名化后就可以隨意使用”—— 泰國(guó)要求 “匿名化需徹底刪除直接識(shí)別信息”（如姓名、身份證號(hào)），且需留存 “匿名化處理記錄”，若匿名化后仍可通過其他方式還原識(shí)別用戶，仍視為 “個(gè)人數(shù)據(jù)”；

誤區(qū)2：“數(shù)據(jù)泄露后沒造成損失就不用報(bào)告”——PDPA 規(guī)定 “只要發(fā)生泄露，無論是否造成損失，均需在 72 小時(shí)內(nèi)報(bào)告 PDPC”，僅當(dāng) “泄露無任何風(fēng)險(xiǎn)”（如泄露的是已過期的用戶地址）才可豁免，且需自行舉證 “無風(fēng)險(xiǎn)”，舉證難度極高；

誤區(qū)3：“國(guó)內(nèi)的合規(guī)體系直接套用就行”—— 中國(guó)《個(gè)人信息保護(hù)法》與 PDPA 存在差異，例如中國(guó)對(duì) “跨境傳輸” 主要要求 “安全評(píng)估”，而泰國(guó)要求 “白名單 + 合同條款”，直接套用國(guó)內(nèi)制度易出現(xiàn)合規(guī)漏洞。

對(duì)于計(jì)劃深耕泰國(guó)市場(chǎng)的中企而言，PDPA 合規(guī)不是一次性任務(wù)，而是長(zhǎng)期動(dòng)態(tài)管理 —— 建議定期（如每半年）審查數(shù)據(jù)處理活動(dòng)，關(guān)注 PDPC 發(fā)布的最新公告（如即將公布的 “白名單國(guó)家”），及時(shí)調(diào)整合規(guī)策略，避免因監(jiān)管要求變化導(dǎo)致合規(guī)失效。