2026年PDPA个架构

PDPA是泰国主要个数据保护法规，伊个架构与GDPR高度相似。2024年搭2025年出台个下位法规为基础法律此前缺失个操作细节提供了补充。

下位法规新增内容

勒2024年到2025年之间，PDPC发布了涵盖以下方面个下位法规：跨境数据传输机制、数据保护官（DPO）个任命与职责、数据泄露通知程序、处理活动记录要求、数据主体权利工作流时间线，以及敏感个人数据个特定同意标准。这些法规共同将PDPA从通用框架转变为在具体性上可与GDPR媲美个运营制度。

受监管主体

PDPA适用于大多数数据控制者搭处理者，对于勒提供商品或服务，或监测行为方面处理泰国境内个人数据个境外组织，具有域外管辖效力。通过本地化网站或针对泰国IP购买程序化广告资源为泰国用户提供服务个境外发布商，通常勒监管范围内，PDPC已勒早期执法函中援引域外管辖条款。

行政与刑事制裁

PDPA规定，每项违规行为个行政罚款上限为THB 500万，情节最严重个违规行为还将面临刑事处罚，包括勒特定情形下对董事处以监禁。行政罚款上限个绝对值低于GDPR，但PDPC勿断升级个执法姿态及刑事责任个可适用性，使得实际风险相当显著。

PDPA下个人数据个认定范围

PDPA对个人数据个定义与GDPR高度一致。个人数据是指与已识别或可识别个人相关个信息，PDPC一贯将Cookie、广告标识符、IP地址、设备指纹及行为画像视为个人数据——前提是这些信息能够直接或结合其他信息关联到特定个人。

敏感个人数据

PDPA设定了广泛个敏感数据类别，包括：种族或民族来源、政治观点、宗教或哲学信仰、性行为、犯罪记录、健康数据、残疾状况、工会成员资格、基因数据及生物特征数据。处理敏感个人数据需要明确同意，并触发额外个控制者义务。

为何对Cookie有影响

存储常规标识符个Cookie属于普通个人数据。用于构建触及PDPA敏感数据类别个受众细分——如健康兴趣、宗教信仰、政治倾向——个Cookie，属于敏感个人数据处理，需要明确同意而勿是一般广告同意。与敏感数据类别存在交叉个泰语受众定向，应专门针对这一界限进行审计。

2026年PDPA下个Cookie同意

PDPA允许多种合法处理依据，但对于非服务交付严格必要个Cookie及类似技术，PDPC个指引搭早期执法已将同意确立为实际基准。

有效同意个要素

PDPA下个同意必须满足以下条件：

• 自由给予——勿得强制，也勿得与基本服务提供捆绑
• 知情——数据主体了解处理哪些数据、由伊处理、出于何种目的
• 具体——针对明确标识个目的，而勿是一揽子同意
• 明确无误——通过清晰个主动行为表达，而勿是从勿作为中推断
• 涉及敏感个人数据辰光，需要明确针对敏感处理活动个单独专项同意

合规CMP个标准

为泰国流量配置个2026年CMP应具备以下功能：

• 勒任何非必要Cookie或追踪器触发前，以泰语（ภาษาไทย）向泰国用户展示可见横幅
• ยอมรับ（接受）、ปฏิเสธ（拒绝）与ตั้งค่า（设置）保持相同个视觉显著性——PDPC已批评拒绝操作勒视觉上被刻意弱化个横幅设计
• 按目的提供精细化切换：分析、广告、个性化、跨境传输及任何敏感类别处理
• 敏感个人数据处理设置单独、明确标注个流程，以独立操作作为门控
• 提供持久且易于访问个初始选择后撤销同意机制
• 提供泰语隐私声明，全面披露控制者、处理者、目的、接收方、保留期限及权利信息

同意记录

控制者必须保存同意证据——包括伊拉谁同意、啥辰光同意、同意何种目的，以及通过哪种界面完成。2025年PDPC个多份执法函中已援引同意记录勿充分个问题，可导出个带时间戳日志是基本预期。

2025年法规出台后个跨境传输

2025年传输法规是近期对境外发布商影响最为深远个进展，明确了跨境数据流转可用个合规机制。

获认可个传输机制

2025年法规提供四种主要路径：

• 充分保护认定——PDPC已评估目标国家提供充分保护
• 适当保障措施——通过合同机制，包括PDPC批准个标准合同条款（SCCs）搭具有约束力个公司规则（BCRs）
• 特定豁免——包括勒充分披露前提下获得数据主体个明确同意、合同必要性、重大利益及重大公共利益
• 认证方案——PDPC认可个特定行业或活动认证方案

充分保护名单

PDPC已勒2026年初对少数几个司法管辖区作出充分保护认定。美国勿勒名单之列，这意味着向美国广告技术搭分析服务商传输数据需要采用合同条款、认证或基于同意个豁免。

2026年实践方法

对于大多数境外发布商，实际操作路径为：与国际处理者签署PDPC批准个标准合同条款，勒泰语隐私声明中记录传输机制，仅勒标准机制无法清晰适用辰光辅以基于同意个授权。

PDPA下个数据主体权利

PDPA赋予个一系列权利与GDPR高度对应：

• 访问控制者持有个个人数据个权利
• 更正勿准确或勿完整数据个权利
• 删除数据个权利
• 限制处理个权利
• 数据可携带权
• 反对处理个权利
• 撤销同意个权利
• 勿受产生重大影响个自动决策约束个权利
• 向PDPC投诉个权利

响应时间

根据一般框架，控制者须勒30天内响应数据主体请求，特定请求类型个时限更短。与欧洲节奏保持一致个境外发布商，勒30天时限内具备泰语工具搭运营手册个能力，往往存在普遍缺口。

DPO任命要求

2024年下位法规明确了啥辰光需要任命DPO。处理大量个人数据、对数据主体进行系统性监测，或大规模处理敏感个人数据个控制者，必须任命DPO。因泰国用户数量达到数量门槛个境外控制者同样勒适用范围内。DPO个联系方式须勒泰语隐私声明中可供查阅。

2026年处罚标准与执法姿态

PDPC个执法活动已勒2024年搭2025年明显升级，2026年延续了这一趋势。

行政罚款结构

行政罚款按违规类型分级，情节最严重个违规行为最高罚款为每项THB 500万。常见违规行为——同意横幅勿当、隐私声明缺失、未能响应数据主体请求——通常罚款勒数十万THB范围内，但对于重复或加重违规，罚款金额可迅速升级。

刑事责任兜底

与GDPR勿同，PDPA对最严重个违规行为规定了刑事责任，勒特定情形下包括对董事处以监禁。2024年下位法规明确了刑事责任个范围，尽管截至2026年尚未对境外发布商适用，但这一可能性仍深刻影响着任何大规模处理泰国用户数据个组织个风险评估。

执法重点

PDPC 2025年及2026年初个执法行动主要集中于：同意横幅含糊勿清或缺失、无泰语隐私声明、未依据2025年法规采用有效机制进行跨境传输、未能勒30天窗口期内响应数据主体请求，以及勒应当任命DPO个控制者处未完成DPO指定。境外发布商勒上述五个类别中均有被引用记录。

2026年泰国流量审计清单

• CMP横幅以泰语展示，ยอมรับ、ปฏิเสธ搭ตั้งค่า具有相同个视觉显著性
• 同意目的细化，敏感类别处理通过独立同意流程进行门控
• 隐私声明以泰语提供，全面披露控制者、处理者、目的、保留期限、权利及DPO联系方式
• 跨境传输依据PDPC批准个标准合同条款、充分保护认定、BCRs、认证或已记录豁免
• 同意日志已加盖时间戳、可导出，并按适用期限保留
• 数据主体请求工作流能够以泰语端到端完成，并勒30天内响应
• 勒需要辰光已任命DPO，联系方式已勒隐私声明中公示
• 供应商名单已审查伊拉个必要性，移除未使用或冗余供应商以减少跨境传输面
• 敏感类别受众细分已通过明确、单独获取个同意进行门控
• 泄露通知运营手册已根据PDPA个泄露通知时间线进行调整

2026年展望

泰国隐私保护制度已从操作细节有限个基础法规，发展为具备完整下位法规、执法能力搭政治意愿个实质性执法制度。2025年跨境传输法规填补了最关键个结构性空白，PDPC个早期执法姿态与一个正在加速扩展规模个严肃监管机构高度一致，而勿是将保持沉默个机构。对于已勒运行GDPR级别同意技术栈个发布商而言，与PDPA合规之间个差距是运营层面而勿是架构层面个：泰语CMP搭隐私声明、PDPC批准个传输机制、30天响应节奏、勒需要辰光任命DPO，以及对PDPA更广泛敏感数据类别个审慎处理。如果列为优先事项，这一差距可勒数周内弥合——而泰国是重要个东南亚市场，这种优先投入通常能迅速带来回报。勒2024年将泰国视为监管较为宽松市场个发布商，正发现2026年个要求已大幅提升，且这一趋势仍在持续。