北京
2025 年8月,泰国个人数据保护委员会(PDPC)公布了本年度 5 起个人数据泄露典型案件的行政处罚结果,涉事的数据控制者与数据处理者合计被处以超 1450 万泰铢罚金。这一系列执法动作,不仅彰显了泰国对个人数据保护的监管强度,更给计划或已在泰国布局业务的出海企业,划定了清晰的合规红线。
一、五起典型案件:覆盖多行业的合规漏洞全景
此次被处罚的主体涵盖政府机构、私立医院、IT 产品销售企业、化妆品公司、玩具公司及其合作的外包服务商,不同场景下的违规行为与处罚结果,为各行业出海企业提供了鲜活的合规镜鉴。
1. 政府机构与系统开发商:未设安全防线 + 缺 DPA 协议的双重失责
某提供公共服务的政府机构,因使用的自研网页应用遭黑客攻击,导致超 20 万公民(多为老年人)的个人数据被泄露并在暗网售卖。经查,该政府机构作为数据控制者,既未搭建适配的个人数据安全防护体系,也未与系统开发商签订《数据处理协议》(DPA);而系统开发商作为数据处理者,同样未落实安全防护措施,即便未收到 DPA 协议也未就数据保护义务提出异议。最终,双方各被处以 15.312 万泰铢罚金。
2. 私立医院与外包个人:医疗数据销毁环节的监管真空
某私立医院将医疗记录销毁工作外包给个人,却未对销毁流程进行有效监督,导致超 1000 份含敏感信息的医疗记录未被合规销毁,反而被倒卖后制成零食包装袋并被拍照传播。涉事个人作为数据处理者,既未按约定执行销毁流程,也未在数据泄露后及时通知医院。最终医院被罚 121 万泰铢,外包个人仅被罚 1.694 万泰铢,二者处罚力度的悬殊,也体现了监管对数据控制者主体责任的严格认定。
3. IT 产品销售企业:三项违规叠加领最高罚单
某 IT 设备销售企业因数据泄露导致客户遭遇诈骗,且未对受害者进行任何赔偿,同时存在三大核心违规行为:未落实个人数据安全防护措施、数据泄露后未向 PDPC 上报、未按要求任命数据保护官(DPO)。三项违规行为叠加下,该企业被处以 700 万泰铢罚金,成为此次 5 起案件中单笔罚金最高的案例。
4. 化妆品公司:安全缺失 + 未上报泄露的常规性失责
某化妆品公司因个人数据泄露导致客户被诈骗,其核心违规点为未搭建有效安全防护体系、数据泄露后未向 PDPC 履行上报义务,最终被处以 250 万泰铢罚金。
5. 玩具公司与系统开发商:安全漏洞下的责任分化
某玩具公司通过外包系统开发商搭建的预约系统遭黑客攻击引发数据泄露,尽管玩具公司对受害者进行了损害赔偿,但双方均未落实个人数据安全防护措施,且系统开发商未参与任何赔偿。最终玩具公司被罚 50 万泰铢,系统开发商被罚 300 万泰铢,凸显了监管对数据处理者安全义务的严格追责。
二、泰国 PDPA 执法核心逻辑:责任共担 + 多维度裁量
从此次 5 起案件的处罚规则来看,泰国 PDPC 的执法逻辑已形成明确体系,这也是出海企业必须掌握的合规底层逻辑。
1. 数据控制者与处理者的责任共担机制
此次案件中,多起涉外包合作的场景均出现 “数据控制者 + 数据处理者” 同时被罚的情况。PDPC 明确,即便企业将数据处理环节外包,也需对整个供应链的数据安全负责,既要强化自身安全措施,更要对合作服务商的安全框架进行全流程监督,不能因外包而转移或豁免自身的主体责任。
2. 行政罚款的四大裁量维度
2025 年 4 月 23 日,泰国《专家委员会行政罚款裁定标准公告》正式生效,该文件明确了 PDPC 核定罚金的四大核心考量因素:数据控制者 / 处理者的业务规模、数据泄露发生时的安全防护标准、泄露后的补救与损害缓解措施、对数据主体的赔偿情况。
从案件处罚趋势来看,大型企业的罚金普遍高于小微企业与个人;而未对受害者进行赔偿的主体,会被施加更重的处罚,如上述 IT 产品销售企业因未赔偿受害者,叠加多项违规,成为罚金最高的主体。
三、出海泰国企业的 PDPA 合规行动指南
此次1450万泰铢的罚单,为出海泰国的企业敲响了合规警钟,结合案件暴露的漏洞,企业需从以下维度搭建合规体系:
1.筑牢安全防护基础:无论企业作为数据控制者还是处理者,均需搭建适配业务场景的个人数据安全防护体系,覆盖数据收集、存储、传输、销毁全生命周期,尤其要强化系统防黑客攻击能力。
2.规范外包合作管控:若存在数据处理外包需求,必须与合作方签订正式的 DPA 协议,明确双方数据保护义务;同时建立外包服务商的全流程监管机制,尤其是医疗、政务等敏感数据的销毁、传输环节,杜绝监管真空。
3.落实核心岗位与上报义务:企业需判断自身是否符合 DPO 任命要求,若满足条件则需及时设立专职岗位;一旦发生数据泄露,需第一时间向 PDPC 履行上报义务,同时启动应急补救流程。
4.建立损害赔偿与缓解机制:数据泄露发生后,需及时对受害数据主体进行赔偿与安抚,积极采取损害缓解措施,此举可作为减轻行政处罚的重要考量因素。
目前泰国 PDPC 仍有多起数据保护案件在调查中,监管力度持续加码。对于出海泰国的企业而言,个人数据保护已不再是 “可选动作”,而是关乎企业经营存续的 “必答题”,唯有提前梳理合规风险、搭建完善的 PDPA 合规体系,才能在泰国市场实现稳健经营。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
