关键词:数据泄露 适当安全措施 事件报告 DPA DPO
2025年8月1日,泰国个人数据保护委员会(PDPC)发布公告,集中通报了5起违反《个人数据保护法》(PDPA)的处罚决定。这些涉及政府机构、私营企业和数据处理者的案例,凸显泰国监管机构对数据泄露的执法和倒查力度加强,为在泰经营企业提供重要合规警示。
数字经济与社会部长Prasert Jantararuangtong表示,政府高度重视执行PDPA,特别是在公共和私营机构在未采取适当安全措施的情况下收集、使用或披露大量个人数据的情况。“数据泄露必须为零”是政府的明确目标。
一、涉案主体、处罚金额与违规事实
1. 政府机构及其处理者
处罚金额:该政府机构(控制者)及其系统开发商(处理者)各被处罚153,120泰铢(约合人民币3万元)。
违规事实:
未实施密码强度管理及定期风险评估
未签订数据处理协议(DPA)
导致超20万公民个人信息被泄露至暗网
2. 医疗机构及其处理者
处罚金额:该医疗机构(控制者)被处罚1,210,000泰铢(约人民币23.7万元),受委托销毁文件的第三方员工(处理者员工)被处罚16,940泰铢(约人民币0.33万元)。
违规事实:
委托第三方销毁患者医疗记录,但未持续进行监督、审计
涉事员工擅自将医疗记录违规带回家,且未报告医疗机构(控制者),违反了处理者义务
导致泄露了1,000多份被归类为敏感个人数据的患者医疗记录
3. 电商企业
处罚金额:700万泰铢(约人民币137.2万元)
违规事实:
长期处理用户数据但未依法任命数据保护官(DPO)
未依法向PDPC报告数据泄露事件
4. 化妆品企业
处罚金额:250万泰铢(约人民币49万元)
违规事实:
未能实施适当安全措施
未依法向PDPC报告数据泄露事件
5. 玩具企业及其处理者
处罚金额:该玩具企业(控制者)被处罚50万泰铢(约人民币9.8万元),其处理者被处罚300万泰铢(约人民币58.8万元)。
违规事实:
双方均未能实施适当安全措施,导致数据泄露
二、PDPA数据泄露执法趋势分析
1. 全面覆盖各类主体
本批执法决定涵盖公共和私营主体,政府机构、医疗机构、中小私营企业均被纳入监管和处罚范围。
2. 强化“控制者-处理者”双罚制
案例1、2、5表明委托第三方处理数据时,控制者需持续监督、实施适当安全措施,否则很有可能承担连带责任,无论数据泄露事件是否是从控制者处发生的。
3. 基础合规要求成倒查不合规的高发区
未任命DPO(案例3)、未签DPA协议(案例1)、未依法报告数据泄露事件(案例3、4)等“基础性漏洞”成高发处罚诱因。
*本文作者:黄竞一
参考文件:
https://www.facebook.com/pdpceagleeye/posts/pfbid0EBy6DzP327b8Je3dmneHDDgcnD16M4PaQWmepi3nFLbJnWFJPrttz9A8NWjJijxNl?rdid=4mH7YHT4wSvdNJH9
https://www.dataguidance.com/news/thailand-pdpc-announces-five-enforcement-decisions
声明:本文来自网络与数据法实务,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
