案例解析 | 警钟敲响！泰国PDPA再次开出巨额罚单

泰国《2019年个人数据保护法》（“PDPA”）于2022年6月1日生效。2022年至2024年，泰国个人数据保护委员会（“PDPC”）一边不断制定和公布配套法规和标准，一边逐步增强执法的力度。2024年7月31日，PDPC开出首个PDPA违法罚单，罚款金额高达700万泰铢。2025年，PDPC的执法又上了新高度。8月1日，PDPC公布5宗最新处罚案例，罚款金额合计1450万泰铢。

违反PDPA的处罚类型

PDPA规定，任何主体，包括企业和个人，如果违法，将视具体情形承担以下责任：

1.行政处罚

对于违法收集、处理、使用或泄露个人数据的主体，PDPC可基于每一项违法行为处以最高500万泰铢的罚款。

2.刑事责任

如果侵犯个人数据的违法行为对数据主体或其他主体造成损害、名誉损失或精神损失，违法者可被处以最高六个月监禁，或最高50万泰铢罚金，或二者并处；如果违法者的目的是获得非法利益，则可被处以最高一年监禁，或最高100万泰铢罚金，或二者并处。

如果违法者是法人，并且违法行为是由于其负责人（董事、经理或其他运营负责人）的指令或不作为所导致的，则该负责人也要承担与法人同等的刑事责任。

3.民事赔偿

如果数据主体因违法行为遭受损失，数据主体有权要求违法者赔偿其实际损失，包括受害者维权所产生的费用。此外，法院还可以酌情判处不超过实际损失两倍的惩罚性赔偿金。

PDPC处罚案例总结

以下是迄今6起PDPC处罚案例的总结：

对中资企业的建议

个人数据保护在中国已经有比较全面的立法和严格的执法。随着泰国加强个人数据保护的执法，在泰国投资的中资企业必须增强合规意识，既要满足中国法律的要求，也要遵守泰国的标准。考虑到在泰中资企业与中国总部之间难免发生频繁和大量的数据交换，一旦忽视个人数据保护，中国总部和泰国子公司都有可能遭受泰国监管机构的处罚。

因此，我们建议在泰中资企业尽快落实以下个人数据合规步骤：

(1) 制定个人数据保护规章制度；

(2) 实施个人数据保护的技术和流程措施；

(3) 与数据主体及其他相关交易对象签订适当的个人数据保护协议；

(4) 设置个人数据保护官，具体监督数据保护制度和措施的执行。