泰国《个人数据保护法》(Personal Data Protection Act, PDPA)自2022年6月1日全面生效,旨在保护个人数据隐私权,防止数据泄露、误用或滥用所导致的损害。为支持法律实施,政府相继发布多项配套规定,重点包括:
-
数据安全要求:个人数据控制者需采取适当技术与管理措施,保障数据完整性和机密性;
-
跨境传输标准:向境外传输数据需满足法律要求的保护标准;
-
违规处罚机制:对违法行为进行调查并处以行政罚款。
PDPA及其配套法规构建了可操作、可执行的合规框架,使企业必须对个人数据的处理承担持续法律责任。
《个人数据保护法》生效至今,执法力度不断加强,执法案件数量持续攀升如下:
- 2024年: 个人数据保护委员会 (Personal Data Protection Committee: PDPC) 对违规行为首次处以行政罚款,总额达700万泰铢;
- 2025年8月1日:PDPC针对五起涉及政府机构、私营企业及数据处理者的案件作出八项行政罚款决定,总罚款额约为2,150万泰铢,主要原因是未落实适当的数据安全措施。
值得关注的案例:大型私立医院案件
该私立医院与一家家庭承包商签订医疗记录销毁协议,但未对销毁流程进行有效监督与验证。结果,超过1,000份敏感个人数据(包括患者健康信息)泄露,其中部分被不当使用于泰式街头甜点包装。
承包商未按照协议执行销毁程序,也未在数据泄露发生时通知医院,构成个人数据处理者义务未履行。最终:
-
医院罚款:1,210,000泰铢
-
承包商罚款:16,940泰铢
该事件表明,即使外包数据处理,数据控制者仍需对数据安全承担最终责任。
未来展望:零数据泄露是每个组织的目标
PDPA执法趋势显示,泰国政府正强调零数据泄露(Zero Data Breach)为组织目标。律所建议企业采取以下措施:
-
建立全面数据保护体系:涵盖政策、技术、流程及人员管理,确保个人数据安全;
-
持续监控与风险评估:定期审查数据处理活动,识别潜在风险并采取纠正措施;
-
外包与合同管理:确保外包服务提供者严格遵守协议与法律要求,并制定有效的监督机制;
-
及时报告数据泄露事件:一旦发生数据泄露,立即向PDPC报告,以降低处罚风险。
遵守PDPA不仅是法律义务,更是企业管理风险、保护客户信任的关键。企业应将个人数据保护纳入长期合规战略,以应对不断加严的执法环境。
