专业领域
观韬解读 | 数海灯塔:企业出海数据合规实务要点Q&A(泰国篇)
作者:王渝伟 余扬
随着东南亚数字经济的加速整合与产业链重构,泰国凭借稳定的制造业基础、不断完善的数字基础设施以及庞大的旅游与服务业市场规模,其已成为区域投资的重要目的地。在数字经济领域,通过数字化转型与外资引入,泰国基本实现结构性调整的潜力:截至2025年初,泰国的互联网用户约6540万,线上普及率约91.2%,移动连接数接近1亿条,这显示了泰国强烈的数字消费与移动场景渗透[1]。同时,泰国招商引资的势头正盛——官方统计显示2024年泰国BOI项目的申请总额达到约330亿美元[2],东南亚整体数字经济在2024年的GMV约2,630亿美元[3],这些数据共同说明数字与投资机会正吸引区域与外资布局。
从资本流向角度看,中国与泰国的经贸与投资联系近年来显著加强。基于两国地缘政治上的联系,无论是在制造、基建、绿色能源,还是在消费与数字服务领域,中国资本均表现出较强的参与度与拓展意愿[4]——这为中国企业“出海泰国”提供了现实的商业动因与渠道,但同时也意味着必须面对当地日益严格的监管与合规要求。
在立法层面,泰国已建立较为完备的个人数据保护框架及其实施机制,原则上借鉴了欧洲的数据保护规则,明确了个人数据处理的合规义务、数据主体权利与跨境传输的基本要求。对于拟布局或已落地泰国市场的中国企业而言,在聚焦市场准入、行业监管等传统领域合规义务之余,更需将泰国数据合规义务置于同等核心的战略地位——这不仅为了规避当地行政处罚、降低经营风险,更是保障业务持续运转、维护客户信任的商业关键。基于此,本所结合服务中国企业出海泰国的实务经验,从企业的视角出发,筛选出在数据合规领域受到核心关切问题,以 Q&A 的形式系统梳理并解析,助力相关企业搭建泰国数据合规基础框架。
Q1:泰国立法中主要的数据保护法律法规有哪些?
A1:泰国作为大陆法系国家,其法律层级主要可以分为法典/Code、成文法/Acts和从属法规/Subordinate Legislation(主要包括皇家法令/Royal Decree、部长级规章/Ministerial Regulation、命令和细则/Rules and Regulations等)。泰国法律体系中的数据保护框架则主要以《泰国个人数据保护法》(Personal Data Protection Act, B.E. 2562,“PDPA”)为核心,辅以个人数据保护委员会(Personal Data Protection Committee,以下简称“PDPC”)颁布的多部PDPA实施和执行规则的形式呈现。
2019年5月28日正式公布并于2022年6月1日正式生效的PDPA是泰国规范个人数据处理的主要法律。除此之外,PDPC在PDPA公布后的数年间发布了数项与数据跨境传输、记录处理活动、安全措施、个人资料泄漏、数据保护官员等等针对PDPA重要内容的从属立法。
Q2:泰国的数据监管机构是什么?
A2:于2022年1月正式成立的个人数据保护委员会(Personal Data Protection Committee,以下简称“PDPC”)是泰国主要的数据监管机构,该委员会受泰国数字经济与社会部长的监督,负责PDPA的实施与执行。根据PDPA第16条的规定,PDPC主要的职责包括:制定促进和保护个人数据的总体规划,促进并支持政府机构和私营部门根据该总体规划开展活动;确定与数据保护相关的办法和指南;发布PDPA执行细则或通知;发布并制定保护向外国发送或转移的个人数据的标准;接受个人数据保护相关的咨询等等。
Q3:如何判断PDPA是否适用于企业?
A3:PDPA中关于其适用性的规定可以总结为如下两点:
(1)若数据控制者或数据处理者位于泰国境内,则其个人数据的收集、使用或披露均需适用PDPA的规定,不论此类收集、使用或披露的行为是否发生在泰国境内;
(2)对于位于泰国境外的数据控制者或数据处理者,若其向泰国境内的数据主体提供商品或服务(无论数据主体是否作出支付),或其对数据主体行为(若该行为发生在泰国境内)进行监控,则其收集、使用或披露位于泰国的数据主体的行为仍需要适用PDPA的规定。
Q4:PDPA中与个人数据保护相关的定义有哪些?
A4:以下是PDPA中的一些重要定义:
(1)“个人数据”指与个人有关的,能够直接或间接识别该个人的任何信息,但不包括已故个人的信息;
(2)“数据控制者”指对个人数据的收集、使用或披露拥有决策权和履行决策义务的自然人或法人;
(3)“数据处理者”指根据数据控制者或其代表的指令,从事个人数据收集、使用或披露相关操作的自然人或法人,该自然人或法人并非数据控制者;
(4)“特殊类别个人数据”指任何涉及种族、民族血统、政治观点、宗教或哲学信仰、性行为、犯罪记录、健康数据、残疾状况、工会信息、遗传数据、生物识别数据,或任何可能对数据主体产生同等影响的数据。[5]
Q5:PDPA中针对数据保护官员(DPO)的任命有哪些要求?
A5:PDPA规定,满足下列任一情形的数据控制和数据处理者应当指定DPO:
(1)属于PDPC规定并公布的公共机构;
(2)因收集、使用或披露大量个人数据而需按PDPC规定定期监测个人数据或系统;
(3)核心业务活动涉及(敏感)个人资料的收集、使用或披露。
PDPA中规定的DPO的职责主要包括:
(1)向数据控制者、数据处理者及其雇员告知并说明其在PDPA下的义务;
(2)监督控制者或处理者(包括其雇员或服务提供商)在处理数据控制者、数据处理者及其雇员数据时的履职情况;
(3)作为与数据控制者、数据处理者联络的窗口。
Q6:PDPA中数据处理的合法性基础有哪些?
A6:PDPA中的合法性基础主要包括:
(1)数据主体的预先同意;
(2)为履行合同所必要;
(3)为遵守数据控制者所适用的法律所必需;
(4)为消除对数据主体的生命安全威胁;
(5)为履行数据控制者为公共利益执行的任务,实现与公共利益研究和统计相关的目的;
(6)为数据控制者的合法利益,且该利益未凌驾于数据主体的利益之上。
Q7:PDPA中与数据收集、处理相关的义务有哪些?
A7:除了需要具备合法性基础外,PDPA还向数据控制者或数据处理者施加了包括但不限于:数据跨境传输合规治理义务;数据处理记录留存义务;数据保护影响评估义务;DPO任命义务;数据安全义务与数据泄漏报告义务;可问责合规要求等等。
Q8:PDPA对于数据跨境传输的规定?
A8:根据PDPA的规定,个人数据不得从泰国境内转移至泰国境外,除非PDPC对接收国/国际组织做出了充分性保护标准的决定(目前PDPC尚未对中国作出充分性决定),或者满足法律规定的豁免事由。除了充分性决定外,若接受者与位于泰国境内的出口者属同一关联企业或同一企业集团,则可通过具约束力公司规则(Binding Corporate Rules,BCR)来满足数据跨境传输的合规要求。
除上述两种合规方式外,出口方还可通过采取适当保护措施的方式来满足数据跨境传输的合规要求,如签订数据跨境传输标准合同(MCC)、取得有关认证或传输是基于有法律约束力的文书。
Q9:违反PDPA的规定可能会面临什么样的处罚?
A9:PDPA中规定了三种处罚类型:
(1)民事诉讼:受到损害的数据主体可以对侵害其利益的数据控制者或出具处理者提起民事赔偿诉讼,赔偿包括实际损害赔偿以及惩罚性赔偿。
(2)刑事处罚:对某些严重违法行为,相关部门可针对数据控制者提起刑事诉讼,最高处罚为不超过1年的监禁或不超过100万泰铢的罚款,或两者并处。
(3)行政处罚:有关部门可对数据控制者或处理者提起行政诉讼,最高罚款为500万泰铢。
Q10:泰国数据保护立法与欧盟GDPR的区别?
A10:PDPA和GDPR均旨在保障个人及其个人数据的保护,并在企业收集、使用及披露个人数据时施加类似义务。PDPA在很大程度上是以GDPR为基础制定的,因此两者之间存在若干相似之处。例如,两部法规在处理个人数据的合法性基础方面有类似规定,均将同意、合同履行、法定义务、合法利益或生命利益列为合法依据。此外,PDPA的适用范围与GDPR也基本一致。然而,PDPA与GDPR之间也存在若干关键差异,如: PDPA并不适用于某些公共机关;GDPR中对“个人数据”的定义更为详尽等等。此外,虽然PDPA规定数据主体有权使其个人数据匿名化,但与GDPR不同,PDPA并未对“匿名化”或“假名化”数据作出定义。
[1] https://datareportal.com/reports/digital-2025-thailand
[2] https://www.thailand-business-news.com/economics/189641-thailand-sees-record-high-investment-applications-for-2024
[3] https://www.temasek.com.sg/en/news-and-resources/news-room/news/2024/-e-conomy-sea-2024-report--profitability-push-in-southeast-asia-
[4]https://www.fmprc.gov.cn/gjhdq_676201/gj_676203/yz_676205/1206_676932/1207_676944/202502/t20250208_11551388.shtml
[5] PDPA本身没有“特殊类别个人数据”的概念,而是针对此类数据的收集施加了特殊合规义务。为便于理解,此处将其归类为“特殊类别个人数据”。
