2026年PDPA的架构

PDPA是泰国主要的数据保护法规，其架构与GDPR高度相似。2024年和2025年出台的下位法规为基础法律此前缺失的操作细节提供了补充。

下位法规新增内容

通过2024年至2025年间，PDPC发布了涵盖以下方面的下位法规：跨境数据传输机制、数据保护官（DPO）的任命与职责、数据泄露通知程序、处理活动记录要求、数据主体权利工作流时间线，以及敏感个人数据的特定同意标准。这些法规共同将PDPA从通用框架转变为在具体性上可与GDPR媲美的运营制度。

受监管主体

PDPA适用于大多数数据控制者和处理者，对于在提供商品或服务，或监测行为方面处理泰国境内个人数据的境外组织，具有域外管辖效力。通过本地化网站或针对泰国IP购买程序化广告资源为泰国用户提供服务的境外发布商，通常在监管范围内，PDPC已在早期执法函中援引域外管辖条款。

行政与刑事制裁

PDPA规定，每项违规行为的行政罚款上限为THB 500万，情节最严重的违规行为还将面临刑事处罚，包括在特定情形下对董事处以监禁。行政罚款上限的绝对值低于GDPR，但PDPC不断升级的执法姿态及刑事责任的可适用性，使得实际风险相当显著。

PDPA下个人数据的认定范围

PDPA对个人数据的定义与GDPR高度一致。个人数据是指与已识别或可识别个人相关的信息，PDPC一贯将Cookie、广告标识符、IP地址、设备指纹及行为画像视为个人数据——前提是这些信息能够直接或结合其他信息关联到特定个人。

敏感个人数据

PDPA设定了广泛的敏感数据类别，包括：种族或民族来源、政治观点、宗教或哲学信仰、性行为、犯罪记录、健康数据、残疾状况、工会成员资格、基因数据及生物特征数据。处理敏感个人数据需要明确同意，并触发额外的控制者义务。

为何对Cookie有影响

存储常规标识符的Cookie属于普通个人数据。用于构建触及PDPA敏感数据类别的受众细分——如健康兴趣、宗教信仰、政治倾向——的Cookie，属于敏感个人数据处理，需要明确同意而非一般广告同意。与敏感数据类别存在交叉的泰语受众定向，应专门针对这一界限进行审计。

2026年PDPA下的Cookie同意

PDPA允许多种合法处理依据，但对于非服务交付严格必要的Cookie及类似技术，PDPC的指引和早期执法已将同意确立为实际基准。

有效同意的要素

PDPA下的同意必须满足以下条件：

• 自由给予——不得强制，也不得与基本服务提供捆绑
• 知情——数据主体了解处理哪些数据、由谁处理、出于何种目的
• 具体——针对明确标识的目的，而非一揽子同意
• 明确无误——通过清晰的主动行为表达，而非从不作为中推断
• 涉及敏感个人数据时，需要明确针对敏感处理活动的单独专项同意

合规CMP的标准

为泰国流量配置的2026年CMP应具备以下功能：

• 在任何非必要Cookie或追踪器触发前，以泰语（ภาษาไทย）向泰国用户展示可见横幅
• ยอมรับ（接受）、ปฏิเสธ（拒绝）与ตั้งค่า（设置）保持相同的视觉显著性——PDPC已批评拒绝操作在视觉上被刻意弱化的横幅设计
• 按目的提供精细化切换：分析、广告、个性化、跨境传输及任何敏感类别处理
• 敏感个人数据处理设置单独、明确标注的流程，以独立操作作为门控
• 提供持久且易于访问的初始选择后撤销同意机制
• 提供泰语隐私声明，全面披露控制者、处理者、目的、接收方、保留期限及权利信息

同意记录

控制者必须保存同意证据——包括谁同意、何时同意、同意何种目的，以及通过哪种界面完成。2025年PDPC的多份执法函中已援引同意记录不充分的问题，可导出的带时间戳日志是基本预期。

2025年法规出台后的跨境传输

2025年传输法规是近期对境外发布商影响最为深远的进展，明确了跨境数据流转可用的合规机制。

获认可的传输机制

2025年法规提供四种主要路径：

• 充分保护认定——PDPC已评估目标国家提供充分保护
• 适当保障措施——通过合同机制，包括PDPC批准的标准合同条款（SCCs）和具有约束力的公司规则（BCRs）
• 特定豁免——包括在充分披露前提下获得数据主体的明确同意、合同必要性、重大利益及重大公共利益
• 认证方案——PDPC认可的特定行业或活动认证方案

充分保护名单

PDPC已于2026年初对少数几个司法管辖区作出充分保护认定。美国不在名单之列，这意味着向美国广告技术和分析服务商传输数据需要采用合同条款、认证或基于同意的豁免。

2026年实践方法

对于大多数境外发布商，实际操作路径为：与国际处理者签署PDPC批准的标准合同条款，在泰语隐私声明中记录传输机制，仅在标准机制无法清晰适用时辅以基于同意的授权。

PDPA下的数据主体权利

PDPA赋予的一系列权利与GDPR高度对应：

• 访问控制者持有的个人数据的权利
• 更正不准确或不完整数据的权利
• 删除数据的权利
• 限制处理的权利
• 数据可携带权
• 反对处理的权利
• 撤销同意的权利
• 不受产生重大影响的自动决策约束的权利
• 向PDPC投诉的权利

响应时间

根据一般框架，控制者须在30天内响应数据主体请求，特定请求类型的时限更短。与欧洲节奏保持一致的境外发布商，在30天时限内具备泰语工具和运营手册的能力，往往存在普遍缺口。

DPO任命要求

2024年下位法规明确了何时需要任命DPO。处理大量个人数据、对数据主体进行系统性监测，或大规模处理敏感个人数据的控制者，必须任命DPO。因泰国用户数量达到数量门槛的境外控制者同样在适用范围内。DPO的联系方式须在泰语隐私声明中可供查阅。

2026年处罚标准与执法姿态

PDPC的执法活动已在2024年和2025年明显升级，2026年延续了这一趋势。

行政罚款结构

行政罚款按违规类型分级，情节最严重的违规行为最高罚款为每项THB 500万。常见违规行为——同意横幅不当、隐私声明缺失、未能响应数据主体请求——通常罚款在数十万THB范围内，但对于重复或加重违规，罚款金额可迅速升级。

刑事责任兜底

与GDPR不同，PDPA对最严重的违规行为规定了刑事责任，在特定情形下包括对董事处以监禁。2024年下位法规明确了刑事责任的范围，尽管截至2026年尚未对境外发布商适用，但这一可能性仍深刻影响着任何大规模处理泰国用户数据的组织的风险评估。

执法重点

PDPC 2025年及2026年初的执法行动主要集中于：同意横幅含糊不清或缺失、无泰语隐私声明、未依据2025年法规采用有效机制进行跨境传输、未能在30天窗口期内响应数据主体请求，以及在应当任命DPO的控制者处未完成DPO指定。境外发布商在上述五个类别中均有被引用记录。

2026年泰国流量审计清单

• CMP横幅以泰语展示，ยอมรับ、ปฏิเสธ和ตั้งค่า具有相同的视觉显著性
• 同意目的细化，敏感类别处理通过独立同意流程进行门控
• 隐私声明以泰语提供，全面披露控制者、处理者、目的、保留期限、权利及DPO联系方式
• 跨境传输依据PDPC批准的标准合同条款、充分保护认定、BCRs、认证或已记录豁免
• 同意日志已加盖时间戳、可导出，并按适用期限保留
• 数据主体请求工作流能够以泰语端到端完成，并在30天内响应
• 在需要时已任命DPO，联系方式已在隐私声明中公示
• 供应商名单已审查其必要性，移除未使用或冗余供应商以减少跨境传输面
• 敏感类别受众细分已通过明确、单独获取的同意进行门控
• 泄露通知运营手册已根据PDPA的泄露通知时间线进行调整

2026年展望

泰国隐私保护制度已从操作细节有限的基础法规，发展为具备完整下位法规、执法能力和政治意愿的实质性执法制度。2025年跨境传输法规填补了最关键的结构性空白，PDPC的早期执法姿态与一个正在加速扩展规模的严肃监管机构高度一致，而非将保持沉默的机构。对于已在运行GDPR级别同意技术栈的发布商而言，与PDPA合规之间的差距是运营层面而非架构层面的：泰语CMP和隐私声明、PDPC批准的传输机制、30天响应节奏、在需要时任命DPO，以及对PDPA更广泛敏感数据类别的审慎处理。如果列为优先事项，这一差距可在数周内弥合——而泰国是重要的东南亚市场，这种优先投入通常能迅速带来回报。在2024年将泰国视为监管较为宽松市场的发布商，正发现2026年的要求已大幅提升，且这一趋势仍在持续。