태국 PDPA 2026: 쿠키 동의, 국경 간 데이터 이전 및 PDPC 집행에 관한 퍼블리셔 및 광고주 가이드
태국의 개인정보보호법 B.E. 2562(2019년) — PDPA로 알려진 — 은 여러 차례 연기 끝에 2022년 6월에 완전히 발효되었으며, 이후 3년의 대부분을 규제 역량 구축, 하위 규정 시행, 그리고 개인정보보호위원회(PDPC)가 공개적으로 「인내심 있는 집행 자세」라고 표현한 단계에서 보냈습니다. 그 자세는 이제 명확히 끝났습니다. PDPC의 2024년 및 2025년 하위 규정은 기본법이 열어둔 구체적인 세부 사항들을 채웠고, PDPC 사무국(실무 규제 기관)은 집행 역량을 구축했으며, 2026년 초까지 PDPC는 — 해외에서 태국 사용자 데이터를 처리하는 외국 플랫폼을 포함하여 — 의미 있는 수준에서 행정 과징금을 부과하기 시작했습니다. 태국 내 개인의 개인정보를 처리하는 모든 퍼블리셔, 광고주, 또는 플랫폼 — 태국에 기반을 두든 해외에서 태국 시장에 서비스를 제공하든 — 에게 2026년은 PDPA가 비교적 조용한 체제이기를 멈추고 신뢰할 수 있는 집행 우선순위가 되는 해입니다. 이 가이드는 2026년 현재의 PDPA, 쿠키 동의가 실제로 무엇을 요구하는지, 2025년 이전 규정 이후 국경 간 데이터 이전이 어떻게 작동하는지, 그리고 PDPC의 초기 집행 테마가 실제로 어떻게 보이는지를 설명합니다.
2026년 PDPA의 구조
PDPA는 태국의 주요 개인정보보호법으로, 그 구조는 GDPR과 매우 유사합니다. 2024년 및 2025년 하위 규정은 이전에 기본법에 없었던 운영상의 세부 사항을 추가했습니다.
하위 규정이 추가한 내용
2024년과 2025년에 걸쳐 PDPC는 다음을 다루는 하위 규정을 발행했습니다: 국경 간 데이터 이전 메커니즘, 개인정보보호책임자(DPO)의 임명 및 업무, 데이터 침해 통지 절차, 처리 기록 요건, 정보주체 권리 처리 업무 절차의 타임라인, 및 민감한 개인정보에 대한 구체적인 동의 기준. 이러한 규정들은 집합적으로 PDPA를 일반적인 프레임워크에서 GDPR에 필적하는 구체성을 갖춘 운영 체제로 변화시켰습니다.
규제 대상
PDPA는 대부분의 데이터 관리자와 처리자에게 적용되며, 재화 또는 서비스 제공 혹은 행동 모니터링과 관련하여 태국 내 개인의 개인정보를 처리하는 외국 조직에는 역외 적용이 됩니다. 현지화된 사이트나 태국 IP를 대상으로 구매한 프로그래매틱 인벤토리를 통해 태국 사용자에게 서비스를 제공하는 외국 퍼블리셔는 일반적으로 적용 범위에 포함되며, PDPC는 초기 집행 서신에서 역외 적용 조항을 발동했습니다.
행정적 및 형사적 제재
PDPA는 위반 건당 최대 500만 THB의 행정 과징금을, 특정 상황에서 이사의 구금을 포함한 가장 심각한 위반에 대해서는 형사 처벌도 규정하고 있습니다. 행정 과징금 상한선은 절대적 금액에서 GDPR보다 낮지만, PDPC의 강화되는 집행 자세와 형사 책임의 가능성이 실질적인 위험을 상당하게 만듭니다.
PDPA에서 개인정보에 해당하는 것
PDPA의 개인정보 정의는 GDPR을 매우 밀접하게 따릅니다. 개인정보는 식별된 또는 식별 가능한 개인에 관한 정보이며, PDPC는 쿠키, 광고 식별자, IP 주소, 기기 지문, 행동 프로필이 직접적으로 또는 다른 정보와의 조합을 통해 개인과 연결될 수 있을 때 이를 일관되게 개인정보로 취급해 왔습니다.
민감한 개인정보
PDPA는 다음을 포함하는 광범위한 민감 범주를 지정합니다: 인종적 또는 민족적 출신, 정치적 의견, 종교적 또는 철학적 신념, 성적 행동, 범죄 기록, 건강 데이터, 장애, 노동조합 가입, 유전자 데이터, 생체인식 데이터. 민감한 개인정보의 처리는 명시적 동의를 요구하고 추가적인 관리자 의무를 발생시킵니다.
쿠키에 있어 이것이 중요한 이유
일상적인 식별자를 저장하는 쿠키는 일반 개인정보입니다. PDPA 민감 목록에 해당하는 오디언스 세그먼트 — 건강 관심사, 종교적 소속, 정치적 성향 — 를 공급하는 쿠키는 민감한 개인정보 처리에 해당하며 일반 광고 동의가 아닌 명시적 동의가 필요합니다. 민감 목록과 겹치는 태국어 오디언스 타겟팅은 이 경계를 기준으로 구체적으로 감사를 받아야 합니다.
2026년 PDPA에 따른 쿠키 동의
PDPA는 처리에 대한 여러 적법한 근거를 허용하지만, 서비스 제공에 엄격히 필요하지 않은 쿠키 및 유사한 기술에 대해서는 PDPC의 가이던스와 초기 집행이 동의를 실용적인 기준으로 수렴시켰습니다.
유효한 동의의 요소
PDPA에 따른 동의는 다음을 충족해야 합니다:
- 자유롭게 제공된 — 강요 없이 또는 필수 서비스 제공과 묶음 없이
- 정보에 입각한 — 정보주체가 어떤 데이터가 누구에 의해 어떤 목적으로 처리되는지를 이해함
- 구체적인 — 포괄적 동의가 아닌 명확하게 식별된 목적에 결부됨
- 명확한 — 비활동성에서 추론되지 않고 명확한 긍정적 행위를 통해 표현됨
- 명시적인 (민감한 개인정보가 관련된 경우) — 민감한 처리에 대해 별도의 구체적인 동의를 수반함
준수하는 CMP의 모습
2026년 태국 트래픽을 위해 구성된 CMP는 다음을 제시해야 합니다:
- 비필수 쿠키나 트래커가 작동하기 전에 태국 사용자에게는 기본적으로 태국어(ภาษาไทย)로 표시되는 가시적인 배너
- ยอมรับ(수락), ปฏิเสธ(거부), ตั้งค่า(설정)에 대한 동등한 시각적 두드러짐 — PDPC는 거부 행동이 시각적으로 약화된 배너 디자인을 비판해 왔음
- 목적별 세분화된 토글: 분석, 광고, 개인화, 국경 간 이전, 및 민감 범주 처리
- 민감한 개인정보 처리를 위해 별도의 명확하게 표시된 흐름 — 자체 행동 뒤에 게이트됨
- 초기 선택 후 동의를 철회하기 위한 지속적이고 쉽게 찾을 수 있는 메커니즘
- 관리자, 처리자, 목적, 수신자, 보유 기간, 권리에 대한 전체 공개가 포함된 태국어 개인정보 처리 방침
동의 기록
관리자는 동의의 증거 — 누가, 언제, 어떤 목적으로, 어떤 인터페이스를 통해 동의했는지 — 를 유지해야 합니다. 부적절한 동의 기록은 2025년 PDPC의 여러 집행 서신에서 인용되었으며, 내보내기 가능한 타임스탬프 로그가 기준 요건입니다.
2025년 규정 이후의 국경 간 이전
2025년 이전 규정은 외국 퍼블리셔에게 가장 결과적인 최근 발전으로, 국경 간 데이터 흐름에 이용 가능한 메커니즘을 명확히 했습니다.
인정된 이전 메커니즘
2025년 규정은 네 가지 주요 경로를 제공합니다:
- 적절한 보호 지정 — PDPC가 목적지 국가를 적절한 보호를 제공하는 것으로 평가한 경우
- 적절한 보호 조치 — PDPC 승인 표준 계약 조항 및 구속력 있는 기업 규칙을 포함한 계약 메커니즘을 통해
- 특정 예외 — 적절한 공개를 수반하는 정보주체의 명시적 동의, 계약 필요성, 생명상 이익, 및 실질적인 공익을 포함함
- 인증 제도 — 특정 부문이나 활동에 대해 PDPC가 인정한 것
적정성 목록
PDPC는 2026년 초까지 일부 법역에 대해 적정성 결정을 발행했습니다. 미국은 목록에 없으며, 이는 미국 기반 광고 기술 및 분석 벤더에 대한 이전에는 계약 조항, 인증, 또는 동의 기반 예외가 필요함을 의미합니다.
실용적인 2026년 접근법
대부분의 외국 퍼블리셔에게 실무적인 접근법은 국제 처리자와 PDPC 승인 표준 계약 조항을 체결하고, 태국어 개인정보 처리 방침에 이전 메커니즘을 문서화하며, 표준 메커니즘이 명확하게 맞지 않는 경우에만 동의 기반 승인으로 보완하는 것입니다.
PDPA에 따른 정보주체 권리
PDPA는 GDPR을 매우 밀접하게 따르는 권리 세트를 부여합니다:
- 관리자가 보유한 개인정보에 대한 열람 권리
- 부정확하거나 불완전한 데이터의 정정 권리
- 삭제 권리
- 처리 제한 권리
- 데이터 이동성 권리
- 처리에 대한 이의 제기 권리
- 동의 철회 권리
- 중대한 영향을 미치는 자동화된 의사결정의 대상이 되지 않을 권리
- PDPC에 민원을 제기할 권리
응답 기한
관리자는 일반 프레임워크 하에서 정보주체의 요청에 30일 이내에 응답해야 하며, 특정 요청 유형에 대해서는 더 짧은 기간이 적용됩니다. 태국어 도구와 운영 절차를 갖춘 이 기간에 대한 운영 준비는 유럽 일정에 맞춰진 외국 퍼블리셔에게 공통적인 취약점입니다.
DPO 요건
2024년 하위 규정은 DPO가 필요한 시기를 명확히 했습니다. 대용량 개인정보를 처리하거나 정보주체를 체계적으로 모니터링하거나 대규모로 민감한 개인정보를 처리하는 관리자는 DPO를 임명해야 합니다. 태국 사용자를 통해 용량 임계값에 도달하는 외국 관리자는 적용 범위에 포함됩니다. DPO의 연락처 정보는 태국어 개인정보 처리 방침에 접근 가능해야 합니다.
2026년 과징금 및 집행 자세
PDPC의 집행 활동은 2024년과 2025년을 거치며 의미 있게 강화되었으며, 2026년도 유사한 궤도에 있습니다.
행정 과징금 구조
행정 과징금은 위반 유형에 따라 규모가 조정되며, 가장 심각한 위반에 대해서는 위반 건당 최대 500만 THB입니다. 일반적인 위반 — 부적절한 동의 배너, 개인정보 처리 방침 누락, 정보주체 요청에 대한 응답 실패 — 은 일반적으로 낮은 수십만 THB 범위의 과징금을 끌어들이지만, 반복되거나 가중된 위반에 대해서는 빠르게 증가할 수 있습니다.
형사 책임의 안전망
GDPR과 달리 PDPA는 가장 심각한 위반에 대해 형사 책임을 규정하며, 특정 상황에서 이사의 구금을 포함합니다. 2024년 하위 규정은 형사 책임의 범위를 명확히 했으며, 2026년 현재까지 외국 퍼블리셔에 적용되지 않았지만, 이 가능성은 태국 데이터를 대규모로 처리하는 모든 조직의 리스크 분석에 영향을 미칩니다.
집행 테마
PDPC의 2025년 및 2026년 초 행동은 다음을 중심으로 집중됩니다: 모호하거나 부재한 동의 배너, 태국어 개인정보 처리 방침의 부재, 2025년 규정에 따른 유효한 메커니즘 없는 국경 간 이전, 30일 기간 내 정보주체 요청에 대한 응답 실패, 및 적용 범위 내 관리자의 DPO 지정 누락. 외국 퍼블리셔는 다섯 범주 모두에서 인용되었습니다.
2026년 태국 트래픽을 위한 감사 체크리스트
- CMP 배너가 ยอมรับ, ปฏิเสธ, ตั้งค่า를 동등한 시각적 두드러짐으로 태국어로 제공됨
- 동의 목적이 세분화되어 있고 민감 범주 처리가 자체 동의 흐름 뒤에 분리됨
- 개인정보 처리 방침이 관리자, 처리자, 목적, 보유 기간, 권리, DPO 연락처의 전체 공개와 함께 태국어로 이용 가능
- 국경 간 이전이 PDPC 승인 표준 계약 조항, 적정성 지정, BCRs, 인증, 또는 문서화된 예외에 의존함
- 동의 로그에 타임스탬프가 있고 내보내기 가능하며 적용 기간 동안 보유됨
- 정보주체 요청 워크플로우가 태국어로 처음부터 끝까지 30일 이내에 응답 가능
- DPO가 필요한 경우 지정되어 있고 연락처 정보가 개인정보 처리 방침에 게시됨
- 벤더 목록이 필요성에 따라 검토되었고 국경 간 이전 표면을 줄이기 위해 미사용 또는 불필요한 벤더가 제거됨
- 민감 범주 오디언스 세그먼트가 별도로 수집된 명시적 동의 뒤에 게이트됨
- 침해 통지 절차서가 PDPA의 침해 통지 기간에 맞춰 조정됨
2026년 전망
태국의 개인정보 체제는 제한적인 운영상의 구체성을 가진 기본법에서 하위 규정, 집행 역량, 그리고 의미 있게 집행하기 위한 정치적 의지를 갖춘 체제로 성숙했습니다. 2025년 국경 간 이전 규정은 가장 결과적인 구조적 공백을 메웠고, PDPC의 초기 집행 자세는 조용히 있는 것이 아니라 확장 중인 진지한 규제 기관과 일치합니다. 이미 GDPR 수준의 동의 스택을 운영하는 퍼블리셔에게 PDPA 준수로의 격차는 건축적이 아닌 운영적입니다: 태국어 CMP와 개인정보 처리 방침, PDPC 승인 이전 메커니즘, 30일 응답 리듬, 필요한 경우 DPO 지정, PDPA의 더 넓은 민감 데이터 목록에 대한 주의. 우선순위가 주어지면 몇 주 안에 격차를 해소할 수 있으며 — 태국은 동남아시아의 중요한 시장이므로, 우선순위 부여는 일반적으로 빠르게 회수됩니다. 2024년을 통해 태국을 더 가벼운 시장으로 취급했던 퍼블리셔들은 2026년이 의미 있게 더 까다롭다는 것을 발견하고 있으며, 추세는 분명합니다.