前言
2025年8月1日星期五,个人数据保护委员会办公室(“PDPC办公室”)召开新闻发布会,宣布依据《个人数据保护法》(2019年)(“PDPA”)对五家政府和私营机构处以行政处罚,具体处罚原因如下:
(1)未实施适当的安全措施以保护个人数据;
(2)未向个人数据保护委员会办公室通报数据泄漏事件;以及
(3)未依法任命数据保护官(“DPO”)。
此次简报汇总了新闻发布会要点,并列举了五起行政处罚案例。这些案例警示各机构:《个人数据保护法》的合规绝非仅是内部管理事务,更是维护公民个人数据基本权利的重要社会责任。
行政处罚案例
- 政府机构:个人数据遭窃并在暗网贩卖
某政府机构在线服务平台遭黑客入侵,超二十万民众的个人数据遭非法盗窃并在暗网交易。调查证据表明,该政府机构在个人数据保护方面存在严重疏漏:使用弱密码、未进行风险评估、且未定期审查安全措施。此外,该机构未与系统开发商签订数据处理协议,未明确其作为数据处理者的责任。相关系统开发商同样未能实施充分的安全防护措施。为此,泰国个人数据保护委员会任命的专家委员会认定双方均存在违规行为,对涉事政府机构及系统开发商各处153,120泰铢的行政罚款。
- 某大型私立医院:医疗记录未销毁以及泄露
某私立医院将患者医疗记录销毁工作外包给某小型家族企业,但未对销毁过程进行充分监督,导致约1000份敏感健康数据(根据PDPA第26条规定)泄露。令人震惊的是,部分文件被发现用作“泰式东京卷”(泰国街头小吃)的包装袋。承包商未按约定程序销毁文件,而是将文件转移至一处私人住宅,且未向医院报告数据泄露事件,严重违反数据处理者义务。专家委员会依据PDPA相关规定,对医院处以121万泰铢行政罚款,对涉事家族企业处以16,940泰铢罚款。
- 某电子产品零售商:未采取必要安全防护措施且在数据泄露事件后未履行上报义务
某电子产品零售商未采取必要的安全防护措施、在发生数据泄露事件后未依法向PDPC办公室履行上报义务,且在未依法任命数据保护官(DPO)的情况下长期大规模收集个人数据,基于上述两项违法行为,专家委员会依法对其处以700万泰铢行政罚款。
- 某化妆品公司:缺少必要安全防护措施且未就数据泄露履行上报义务
某化妆品公司缺少必要的个人数据安全防护措施,且在发生数据泄露事件后未依法向PDPC办公室上报。基于上述三项违法行为,专家委员会依法对其处以250万泰铢的行政罚款。
- 某收藏品玩具公司:缺少必要安全防护措施
某收藏品玩具公司缺少必要的个人数据安全防护措施,因此,专家委员会依法对该收藏品玩具公司及相关数据处理方分别处以50万泰铢及300万泰铢的行政罚款。数据处理方(Data Processor)指根据数据控制方(Data Controller)的指示或代表数据控制方从事个人数据收集、使用或披露活动的实体,其本身并非数据控制方。
经验教训
泰国个人数据保护委员会(PDPC)办公室公布的这五起典型案例,突出强调了企业遵守《个人数据保护法》(PDPA)的核心要求:必须完善落实必要的数据安全防护措施、依法设立数据保护官(DPO)以及严格履行数据泄露上报义务。相关机构不仅需要确保其委托的数据处理第三方履行法定义务和合同约定,还必须严格监督数据处理第三方。未完善落实必要的安全防护措施、未就数据泄露事件履行上报义务或未依法任命数据保护官(DPO)等违规行为,都将面临严厉处罚。这些案例从整体上表明,数据控制方和数据处理方必须建立事前合规体系、完善内部监管机制并落实责任追究制度,才能有效规避《个人数据保护法》(PDPA)框架下的法律风险和商誉损失。
后续合规重点与行动建议
泰国个人数据保护委员会(PDPC)办公室公布的这五起典型案例向政府部门、私营机构及相关服务提供商等发出明确警示:个人数据管理绝非单纯的技术或行政问题,而是关乎公民权利保护的重大责任,必须建立严格的安全标准、实施定期风险评估并完善透明监管机制,才能有效防范对个人权益造成不可逆损害。目前PDPC办公室正在审查大量案件,并将持续依法采取严格执法行动。与此同时,委员会致力于推进主动预防措施建设,旨在推动“数据零泄露”目标成为泰国所有机构的共同优先事项。
您可在此处查看此次更新的英文版本。
本文撰稿参与
本文由上述合伙人撰写,由立杰泰国所高级律师Kittipol Chamsawarng撰写,律师Chanon Prasirtsuk协助撰写。并由外国法律顾问吴晓敏与外国顾问亢文煜翻译。
Disclaimer
Rajah & Tann Asia is a network of member firms with local legal practices in Cambodia, Indonesia, Lao PDR, Malaysia, Myanmar, the Philippines, Singapore, Thailand and Vietnam. Our Asian network also includes our regional office in China as well as regional desks focused on Brunei, Japan and South Asia. Member firms are independently constituted and regulated in accordance with relevant local requirements.
The contents of this publication are owned by Rajah & Tann Asia together with each of its member firms and are subject to all relevant protection (including but not limited to copyright protection) under the laws of each of the countries where the member firm operates and, through international treaties, other countries. No part of this publication may be reproduced, licensed, sold, published, transmitted, modified, adapted, publicly displayed, broadcast (including storage in any medium by electronic means whether or not transiently for any purpose save as permitted herein) without the prior written permission of Rajah & Tann Asia or its respective member firms.
Please note also that whilst the information in this publication is correct to the best of our knowledge and belief at the time of writing, it is only intended to provide a general guide to the subject matter and should not be treated as legal advice or a substitute for specific professional advice for any particular course of action as such information may not suit your specific business and operational requirements. You should seek legal advice for your specific situation. In addition, the information in this publication does not create any relationship, whether legally binding or otherwise. Rajah & Tann Asia and its member firms do not accept, and fully disclaim, responsibility for any loss or damage which may result from accessing or relying on the information in this publication.
