泰國PDPA執(zhí)法重拳落地：2025年5起數(shù)據(jù)泄露案1450萬泰銖罰單！

2025 年8月，泰國個人數(shù)據(jù)保護(hù)委員會（PDPC）公布了本年度 5 起個人數(shù)據(jù)泄露典型案件的行政處罰結(jié)果，涉事的數(shù)據(jù)控制者與數(shù)據(jù)處理者合計被處以超 1450 萬泰銖罰金。這一系列執(zhí)法動作，不僅彰顯了泰國對個人數(shù)據(jù)保護(hù)的監(jiān)管強度，更給計劃或已在泰國布局業(yè)務(wù)的出海企業(yè)，劃定了清晰的合規(guī)紅線。

一、五起典型案件：覆蓋多行業(yè)的合規(guī)漏洞全景

此次被處罰的主體涵蓋政府機構(gòu)、私立醫(yī)院、IT 產(chǎn)品銷售企業(yè)、化妝品公司、玩具公司及其合作的外包服務(wù)商，不同場景下的違規(guī)行為與處罰結(jié)果，為各行業(yè)出海企業(yè)提供了鮮活的合規(guī)鏡鑒。

1. 政府機構(gòu)與系統(tǒng)開發(fā)商：未設(shè)安全防線 + 缺 DPA 協(xié)議的雙重失責(zé)

某提供公共服務(wù)的政府機構(gòu)，因使用的自研網(wǎng)頁應(yīng)用遭黑客攻擊，導(dǎo)致超 20 萬公民（多為老年人）的個人數(shù)據(jù)被泄露并在暗網(wǎng)售賣。經(jīng)查，該政府機構(gòu)作為數(shù)據(jù)控制者，既未搭建適配的個人數(shù)據(jù)安全防護(hù)體系，也未與系統(tǒng)開發(fā)商簽訂《數(shù)據(jù)處理協(xié)議》（DPA）；而系統(tǒng)開發(fā)商作為數(shù)據(jù)處理者，同樣未落實安全防護(hù)措施，即便未收到 DPA 協(xié)議也未就數(shù)據(jù)保護(hù)義務(wù)提出異議。最終，雙方各被處以 15.312 萬泰銖罰金。

2. 私立醫(yī)院與外包個人：醫(yī)療數(shù)據(jù)銷毀環(huán)節(jié)的監(jiān)管真空

某私立醫(yī)院將醫(yī)療記錄銷毀工作外包給個人，卻未對銷毀流程進(jìn)行有效監(jiān)督，導(dǎo)致超 1000 份含敏感信息的醫(yī)療記錄未被合規(guī)銷毀，反而被倒賣后制成零食包裝袋并被拍照傳播。涉事個人作為數(shù)據(jù)處理者，既未按約定執(zhí)行銷毀流程，也未在數(shù)據(jù)泄露后及時通知醫(yī)院。最終醫(yī)院被罰 121 萬泰銖，外包個人僅被罰 1.694 萬泰銖，二者處罰力度的懸殊，也體現(xiàn)了監(jiān)管對數(shù)據(jù)控制者主體責(zé)任的嚴(yán)格認(rèn)定。

3. IT 產(chǎn)品銷售企業(yè)：三項違規(guī)疊加領(lǐng)最高罰單

某 IT 設(shè)備銷售企業(yè)因數(shù)據(jù)泄露導(dǎo)致客戶遭遇詐騙，且未對受害者進(jìn)行任何賠償，同時存在三大核心違規(guī)行為：未落實個人數(shù)據(jù)安全防護(hù)措施、數(shù)據(jù)泄露后未向 PDPC 上報、未按要求任命數(shù)據(jù)保護(hù)官（DPO）。三項違規(guī)行為疊加下，該企業(yè)被處以 700 萬泰銖罰金，成為此次 5 起案件中單筆罰金最高的案例。

4. 化妝品公司：安全缺失 + 未上報泄露的常規(guī)性失責(zé)

某化妝品公司因個人數(shù)據(jù)泄露導(dǎo)致客戶被詐騙，其核心違規(guī)點為未搭建有效安全防護(hù)體系、數(shù)據(jù)泄露后未向 PDPC 履行上報義務(wù)，最終被處以 250 萬泰銖罰金。

5. 玩具公司與系統(tǒng)開發(fā)商：安全漏洞下的責(zé)任分化

某玩具公司通過外包系統(tǒng)開發(fā)商搭建的預(yù)約系統(tǒng)遭黑客攻擊引發(fā)數(shù)據(jù)泄露，盡管玩具公司對受害者進(jìn)行了損害賠償，但雙方均未落實個人數(shù)據(jù)安全防護(hù)措施，且系統(tǒng)開發(fā)商未參與任何賠償。最終玩具公司被罰 50 萬泰銖，系統(tǒng)開發(fā)商被罰 300 萬泰銖，凸顯了監(jiān)管對數(shù)據(jù)處理者安全義務(wù)的嚴(yán)格追責(zé)。

二、泰國 PDPA 執(zhí)法核心邏輯：責(zé)任共擔(dān) + 多維度裁量

從此次 5 起案件的處罰規(guī)則來看，泰國 PDPC 的執(zhí)法邏輯已形成明確體系，這也是出海企業(yè)必須掌握的合規(guī)底層邏輯。

1. 數(shù)據(jù)控制者與處理者的責(zé)任共擔(dān)機制

此次案件中，多起涉外包合作的場景均出現(xiàn) “數(shù)據(jù)控制者 + 數(shù)據(jù)處理者” 同時被罰的情況。PDPC 明確，即便企業(yè)將數(shù)據(jù)處理環(huán)節(jié)外包，也需對整個供應(yīng)鏈的數(shù)據(jù)安全負(fù)責(zé)，既要強化自身安全措施，更要對合作服務(wù)商的安全框架進(jìn)行全流程監(jiān)督，不能因外包而轉(zhuǎn)移或豁免自身的主體責(zé)任。

2. 行政罰款的四大裁量維度

2025 年 4 月 23 日，泰國《專家委員會行政罰款裁定標(biāo)準(zhǔn)公告》正式生效，該文件明確了 PDPC 核定罰金的四大核心考量因素：數(shù)據(jù)控制者 / 處理者的業(yè)務(wù)規(guī)模、數(shù)據(jù)泄露發(fā)生時的安全防護(hù)標(biāo)準(zhǔn)、泄露后的補救與損害緩解措施、對數(shù)據(jù)主體的賠償情況。

從案件處罰趨勢來看，大型企業(yè)的罰金普遍高于小微企業(yè)與個人；而未對受害者進(jìn)行賠償?shù)闹黧w，會被施加更重的處罰，如上述 IT 產(chǎn)品銷售企業(yè)因未賠償受害者，疊加多項違規(guī)，成為罰金最高的主體。

三、出海泰國企業(yè)的 PDPA 合規(guī)行動指南

此次1450萬泰銖的罰單，為出海泰國的企業(yè)敲響了合規(guī)警鐘，結(jié)合案件暴露的漏洞，企業(yè)需從以下維度搭建合規(guī)體系：

1.筑牢安全防護(hù)基礎(chǔ)：無論企業(yè)作為數(shù)據(jù)控制者還是處理者，均需搭建適配業(yè)務(wù)場景的個人數(shù)據(jù)安全防護(hù)體系，覆蓋數(shù)據(jù)收集、存儲、傳輸、銷毀全生命周期，尤其要強化系統(tǒng)防黑客攻擊能力。

2.規(guī)范外包合作管控：若存在數(shù)據(jù)處理外包需求，必須與合作方簽訂正式的 DPA 協(xié)議，明確雙方數(shù)據(jù)保護(hù)義務(wù)；同時建立外包服務(wù)商的全流程監(jiān)管機制，尤其是醫(yī)療、政務(wù)等敏感數(shù)據(jù)的銷毀、傳輸環(huán)節(jié)，杜絕監(jiān)管真空。

3.落實核心崗位與上報義務(wù)：企業(yè)需判斷自身是否符合 DPO 任命要求，若滿足條件則需及時設(shè)立專職崗位；一旦發(fā)生數(shù)據(jù)泄露，需第一時間向 PDPC 履行上報義務(wù)，同時啟動應(yīng)急補救流程。

4.建立損害賠償與緩解機制：數(shù)據(jù)泄露發(fā)生后，需及時對受害數(shù)據(jù)主體進(jìn)行賠償與安撫，積極采取損害緩解措施，此舉可作為減輕行政處罰的重要考量因素。

目前泰國 PDPC 仍有多起數(shù)據(jù)保護(hù)案件在調(diào)查中，監(jiān)管力度持續(xù)加碼。對于出海泰國的企業(yè)而言，個人數(shù)據(jù)保護(hù)已不再是 “可選動作”，而是關(guān)乎企業(yè)經(jīng)營存續(xù)的 “必答題”，唯有提前梳理合規(guī)風(fēng)險、搭建完善的 PDPA 合規(guī)體系，才能在泰國市場實現(xiàn)穩(wěn)健經(jīng)營。