2026年PDPA嘅架構

PDPA係泰國主要嘅數據保護法規，佢嘅架構與GDPR高度相似。2024年同2025年出台嘅下位法規為基礎法律此前缺失嘅操作細節提供咗補充。

下位法規新增內容

喺2024年到2025年之間，PDPC發布咗涵蓋以下方面嘅下位法規：跨境數據傳輸機制、數據保護官（DPO）嘅任命與職責、數據洩露通知程序、處理活動記錄要求、數據主體權利工作流時間線，以及敏感個人數據嘅特定同意標準。呢啲法規共同將PDPA從通用框架轉變為喺具體性上可與GDPR媲美嘅運營制度。

受監管主體

PDPA適用於大多數數據控制者同處理者，對於喺提供商品或服務，或監測行為方面處理泰國境內個人數據嘅境外組織，具有域外管轄效力。通過本地化網站或針對泰國IP購買程序化廣告資源為泰國用戶提供服務嘅境外發布商，通常喺監管範圍內，PDPC已喺早期執法函中援引域外管轄條款。

行政與刑事制裁

PDPA規定，每項違規行為嘅行政罰款上限為THB 500萬，情節最嚴重嘅違規行為仲會面臨刑事處罰，包括喺特定情形下對董事處以監禁。行政罰款上限嘅絕對值低於GDPR，但PDPC不斷升級嘅執法姿態及刑事責任嘅可適用性，使得實際風險相當顯著。

PDPA下個人數據嘅認定範圍

PDPA對個人數據嘅定義與GDPR高度一致。個人數據係指與已識別或可識別個人相關嘅資訊，PDPC一貫將Cookie、廣告標識符、IP地址、設備指紋及行為畫像視為個人數據——前提係呢啲資訊能夠直接或結合其他資訊關聯到特定個人。

敏感個人數據

PDPA設定咗廣泛嘅敏感數據類別，包括：種族或民族來源、政治觀點、宗教或哲學信仰、性行為、犯罪記錄、健康數據、殘疾狀況、工會成員資格、基因數據及生物特徵數據。處理敏感個人數據需要明確同意，並觸發額外嘅控制者義務。

為何對Cookie有影響

存儲常規標識符嘅Cookie屬於普通個人數據。用於構建觸及PDPA敏感數據類別嘅受眾細分——如健康興趣、宗教信仰、政治傾向——嘅Cookie，屬於敏感個人數據處理，需要明確同意而唔係一般廣告同意。與敏感數據類別存在交叉嘅泰語受眾定向，應專門針對呢個界限進行審計。

2026年PDPA下嘅Cookie同意

PDPA允許多種合法處理依據，但對於非服務交付嚴格必要嘅Cookie及類似技術，PDPC嘅指引同早期執法已將同意確立為實際基準。

有效同意嘅要素

PDPA下嘅同意必須滿足以下條件：

• 自由給予——唔得強制，亦唔得與基本服務提供捆綁
• 知情——數據主體了解處理哪啲數據、由邊個處理、出於咩目的
• 具體——針對明確標識嘅目的，而唔係一攬子同意
• 明確無誤——通過清晰嘅主動行為表達，而唔係從不作為中推斷
• 涉及敏感個人數據嘅時候，需要明確針對敏感處理活動嘅單獨專項同意

合規CMP嘅標準

為泰國流量配置嘅2026年CMP應具備以下功能：

• 喺任何非必要Cookie或追蹤器觸發前，以泰語（ภาษาไทย）向泰國用戶展示可見橫幅
• ยอมรับ（接受）、ปฏิเสธ（拒絕）與ตั้งค่า（設置）保持相同嘅視覺顯著性——PDPC已批評拒絕操作喺視覺上被刻意弱化嘅橫幅設計
• 按目的提供精細化切換：分析、廣告、個性化、跨境傳輸及任何敏感類別處理
• 敏感個人數據處理設置單獨、明確標注嘅流程，以獨立操作作為門控
• 提供持久且易於訪問嘅初始選擇後撤銷同意機制
• 提供泰語私隱聲明，全面披露控制者、處理者、目的、接收方、保留期限及權利資訊

同意記錄

控制者必須保存同意證據——包括邊個同意咗、幾時同意、同意咩目的，以及通過哪種界面完成。2025年PDPC嘅多份執法函中已援引同意記錄唔充分嘅問題，可導出嘅帶時間戳日誌係基本預期。

2025年法規出台後嘅跨境傳輸

2025年傳輸法規係近期對境外發布商影響最為深遠嘅進展，明確咗跨境數據流轉可用嘅合規機制。

獲認可嘅傳輸機制

2025年法規提供四種主要路徑：

• 充分保護認定——PDPC已評估目標國家提供充分保護
• 適當保障措施——通過合同機制，包括PDPC批准嘅標準合同條款（SCCs）同具有約束力嘅公司規則（BCRs）
• 特定豁免——包括喺充分披露前提下獲得數據主體嘅明確同意、合同必要性、重大利益及重大公共利益
• 認證方案——PDPC認可嘅特定行業或活動認證方案

充分保護名單

PDPC已喺2026年初對少數幾個司法管轄區作出充分保護認定。美國唔喺名單之列，呢個意味住向美國廣告技術同分析服務商傳輸數據需要採用合同條款、認證或基於同意嘅豁免。

2026年實踐方法

對於大多數境外發布商，實際操作路徑為：與國際處理者簽署PDPC批准嘅標準合同條款，喺泰語私隱聲明中記錄傳輸機制，僅喺標準機制無法清晰適用嘅時候輔以基於同意嘅授權。

PDPA下嘅數據主體權利

PDPA賦予嘅一系列權利與GDPR高度對應：

• 訪問控制者持有嘅個人數據嘅權利
• 更正唔準確或唔完整數據嘅權利
• 刪除數據嘅權利
• 限制處理嘅權利
• 數據可攜帶權
• 反對處理嘅權利
• 撤銷同意嘅權利
• 唔受產生重大影響嘅自動決策約束嘅權利
• 向PDPC投訴嘅權利

響應時間

根據一般框架，控制者須喺30天內響應數據主體請求，特定請求類型嘅時限更短。與歐洲節奏保持一致嘅境外發布商，喺30天時限內具備泰語工具同運營手冊嘅能力，往往存在普遍缺口。

DPO任命要求

2024年下位法規明確咗幾時需要任命DPO。處理大量個人數據、對數據主體進行系統性監測，或大規模處理敏感個人數據嘅控制者，必須任命DPO。因泰國用戶數量達到數量門檻嘅境外控制者同樣喺適用範圍內。DPO嘅聯繫方式須喺泰語私隱聲明中可供查閱。

2026年處罰標準與執法姿態

PDPC嘅執法活動已喺2024年同2025年明顯升級，2026年延續咗呢個趨勢。

行政罰款結構

行政罰款按違規類型分級，情節最嚴重嘅違規行為最高罰款為每項THB 500萬。常見違規行為——同意橫幅唔當、私隱聲明缺失、未能響應數據主體請求——通常罰款喺數十萬THB範圍內，但對於重複或加重違規，罰款金額可迅速升級。

刑事責任兜底

與GDPR唔同，PDPA對最嚴重嘅違規行為規定咗刑事責任，喺特定情形下包括對董事處以監禁。2024年下位法規明確咗刑事責任嘅範圍，儘管截至2026年尚未對境外發布商適用，但呢個可能性仍深刻影響住任何大規模處理泰國用戶數據嘅組織嘅風險評估。

執法重點

PDPC 2025年及2026年初嘅執法行動主要集中於：同意橫幅含糊唔清或缺失、無泰語私隱聲明、未依據2025年法規採用有效機制進行跨境傳輸、未能喺30天窗口期內響應數據主體請求，以及喺應當任命DPO嘅控制者處未完成DPO指定。境外發布商喺上述五個類別中均有被引用記錄。

2026年泰國流量審計清單

• CMP橫幅以泰語展示，ยอมรับ、ปฏิเสธ同ตั้งค่า具有相同嘅視覺顯著性
• 同意目的細化，敏感類別處理通過獨立同意流程進行門控
• 私隱聲明以泰語提供，全面披露控制者、處理者、目的、保留期限、權利及DPO聯繫方式
• 跨境傳輸依據PDPC批准嘅標準合同條款、充分保護認定、BCRs、認證或已記錄豁免
• 同意日誌已加蓋時間戳、可導出，並按適用期限保留
• 數據主體請求工作流能夠以泰語端到端完成，並喺30天內響應
• 喺需要嘅時候已任命DPO，聯繫方式已喺私隱聲明中公示
• 供應商名單已審查佢哋嘅必要性，移除未使用或冗餘供應商以減少跨境傳輸面
• 敏感類別受眾細分已通過明確、單獨獲取嘅同意進行門控
• 洩露通知運營手冊已根據PDPA嘅洩露通知時間線進行調整

2026年展望

泰國私隱保護制度已從操作細節有限嘅基礎法規，發展為具備完整下位法規、執法能力同政治意願嘅實質性執法制度。2025年跨境傳輸法規填補咗最關鍵嘅結構性空白，PDPC嘅早期執法姿態與一個正在加速擴展規模嘅嚴肅監管機構高度一致，而唔係將保持沉默嘅機構。對於已經喺運行GDPR級別同意技術棧嘅發布商嚟講，與PDPA合規之間嘅差距係運營層面而唔係架構層面嘅：泰語CMP同私隱聲明、PDPC批准嘅傳輸機制、30天響應節奏、喺需要時任命DPO，以及對PDPA更廣泛敏感數據類別嘅審慎處理。如果列為優先事項，呢個差距可喺數週內彌合——而泰國係重要嘅東南亞市場，呢種優先投入通常能迅速帶來回報。喺2024年將泰國視為監管較為寬鬆市場嘅發布商，正發現2026年嘅要求已大幅提升，且呢個趨勢仍在持續。