ISO / GMP / อย.

CCPA / CPRA คืออะไร? คู่มือ California Consumer Privacy Act สำหรับ SME ไทยส่งออกสหรัฐ 2026

รวมทุกเรื่องที่ SME ไทยต้องรู้เกี่ยวกับ CCPA และ CPRA — กฎหมายคุ้มครองข้อมูลผู้บริโภคของรัฐแคลิฟอร์เนีย ครอบคลุมสิทธิผู้บริโภค, เกณฑ์ความเข้าข่าย, บทลงโทษ และ Checklist ปฏิบัติตามสำหรับผู้ส่งออกไทยปี 2026

AF
ADS FIT Team
·8 นาที
Share:
CCPA / CPRA คืออะไร? คู่มือ California Consumer Privacy Act สำหรับ SME ไทยส่งออกสหรัฐ 2026

# CCPA / CPRA คืออะไร? คู่มือ California Consumer Privacy Act สำหรับ SME ไทยส่งออกสหรัฐ 2026

ถ้าธุรกิจของคุณมีลูกค้าหรือผู้เยี่ยมชมเว็บไซต์จากรัฐ California แม้เพียงรายเดียว เรื่อง CCPA (California Consumer Privacy Act) และ CPRA (California Privacy Rights Act) คือเรื่องที่คุณไม่ควรมองข้าม เพราะหน่วยงานบังคับใช้กฎหมายอย่าง California Privacy Protection Agency (CPPA) เริ่มออกตรวจสอบและปรับจริงแล้วในปี 2026

บทความนี้จะอธิบายให้ PM, เจ้าของธุรกิจ SME และทีมพัฒนาระบบเข้าใจว่า CCPA/CPRA บังคับใช้กับใคร, ต้องทำอะไรบ้าง, และวางระบบอย่างไรให้ปลอดภัยจากค่าปรับหลักล้านบาท

สำหรับผู้ส่งออกไทยที่ขายสินค้าออนไลน์ไปสหรัฐ (Amazon, Shopify, Etsy) หรือให้บริการ SaaS/Digital Service กับลูกค้าในแคลิฟอร์เนีย การปฏิบัติตาม CCPA ไม่ใช่ทางเลือกอีกต่อไป แต่เป็น License to Operate

CCPA vs CPRA ต่างกันอย่างไร

| หัวข้อ | CCPA (2020) | CPRA (2023+) |

|--------|-------------|---------------|

| ชื่อเต็ม | California Consumer Privacy Act | California Privacy Rights Act |

| ผลบังคับใช้ | 1 มกราคม 2020 | 1 มกราคม 2023 (บังคับใช้จริง 1 ก.ค. 2023) |

| หน่วยงานกำกับ | Attorney General | CPPA (California Privacy Protection Agency) |

| ข้อมูลอ่อนไหว (Sensitive PI) | ไม่แยกประเภท | แยกประเภทชัด ต้องมีสิทธิจำกัดการใช้งาน |

| สิทธิแก้ไขข้อมูล (Right to Correct) | ไม่มี | มี |

| Data Minimization | ไม่บังคับ | บังคับ |

| ระยะเวลาเก็บข้อมูล | ไม่กำหนด | ต้องกำหนดและเปิดเผย |

พูดง่าย ๆ CPRA คือการอัปเกรด CCPA ให้เข้าใกล้ GDPR ของยุโรปมากขึ้น เพิ่มอำนาจหน่วยงานกำกับและให้สิทธิผู้บริโภคครอบคลุมกว่าเดิม เมื่อคุยเรื่องนี้ในปี 2026 เราหมายถึง CCPA + CPRA รวมกัน

ธุรกิจของคุณเข้าข่ายหรือไม่

CCPA/CPRA จะบังคับกับธุรกิจที่ "ทำธุรกิจในแคลิฟอร์เนีย" และเข้าเกณฑ์อย่างน้อย 1 ใน 3 ข้อนี้:

  • มีรายได้รวมต่อปีเกิน **25 ล้านเหรียญสหรัฐ**
  • ซื้อ/ขาย/แชร์ข้อมูลส่วนบุคคลของ **ผู้บริโภคในแคลิฟอร์เนีย ≥ 100,000 ราย/ครัวเรือน/อุปกรณ์** ต่อปี
  • มีรายได้ ≥ **50%** จากการขายหรือแชร์ข้อมูลส่วนบุคคล

    • สำหรับ SME ไทยที่เข้าข่ายบ่อยที่สุดคือเกณฑ์ที่ 2 — ร้านอีคอมเมิร์ซ, SaaS, หรือเว็บท่องเที่ยวที่มีผู้เยี่ยมชมจากแคลิฟอร์เนียจำนวนมาก เพราะ cookie, IP address, device ID ถือเป็น "Personal Information" ตามนิยามของ CCPA แล้ว

    สิทธิผู้บริโภค 7 ข้อที่คุณต้องรองรับ

  • Right to Know — สิทธิรู้ว่ามีการเก็บข้อมูลอะไรบ้าง เก็บจากแหล่งไหน ใช้ทำอะไร แชร์กับใคร
  • Right to Delete — สิทธิขอให้ลบข้อมูลส่วนบุคคล
  • Right to Correct (CPRA) — สิทธิขอแก้ไขข้อมูลที่ไม่ถูกต้อง
  • Right to Opt-Out of Sale/Sharing — สิทธิไม่ยินยอมให้ขายหรือแชร์ข้อมูล (ต้องมีปุ่ม "Do Not Sell or Share My Personal Information" บนเว็บไซต์)
  • Right to Limit Use of Sensitive PI (CPRA) — สิทธิจำกัดการใช้ข้อมูลอ่อนไหว เช่น เชื้อชาติ, ศาสนา, สุขภาพ, พิกัดแม่นยำ
  • Right to Non-Discrimination — ห้ามเลือกปฏิบัติเมื่อผู้บริโภคใช้สิทธิ (ห้ามคิดราคาแพงขึ้น/ลดคุณภาพบริการ)
  • Right to Data Portability — สิทธิรับข้อมูลในรูปแบบที่นำไปใช้ต่อได้

    • เว็บไซต์คุณต้องตอบคำขอเหล่านี้ ภายใน 45 วัน และต้องมี Verifiable Consumer Request เพื่อยืนยันตัวตนผู้ร้องขอ

    Checklist ปฏิบัติตาม CCPA/CPRA สำหรับ SME ไทย

    ทำตามขั้นตอนต่อไปนี้เพื่อลดความเสี่ยงค่าปรับ:

  • **Step 1: Data Inventory** — ทำบัญชีข้อมูลส่วนบุคคลทั้งหมดที่เก็บ (ชื่อ, อีเมล, IP, cookie, payment, geolocation) ระบุว่าเก็บจาก source ไหน ใช้ทำอะไร เก็บไว้ที่ไหน แชร์กับใคร (Third-party processors)
  • **Step 2: อัปเดต Privacy Policy** — เพิ่มส่วน California Residents ระบุ 7 สิทธิ, ประเภทข้อมูลที่เก็บ 12 เดือนย้อนหลัง, วิธีติดต่อใช้สิทธิ, และระยะเวลาเก็บข้อมูล
  • **Step 3: ติดตั้ง "Do Not Sell or Share" Link** — ต้องอยู่ที่ footer ทุกหน้า ใช้ข้อความตามกฎหมายเป๊ะ ๆ
  • **Step 4: รองรับ Global Privacy Control (GPC)** — เมื่อ browser ส่ง signal GPC:1 ต้องถือว่าผู้ใช้ opt-out แล้วโดยอัตโนมัติ
  • **Step 5: สร้างกระบวนการ DSR (Data Subject Request)** — เช่น ฟอร์มบนเว็บ, อีเมล privacy@yourcompany.com, หรือหมายเลขโทรศัพท์
  • **Step 6: Service Provider Agreements** — ทำสัญญากับ vendors (เช่น Google Analytics, Mailchimp, Shopify) ให้เป็นไปตามมาตรา 1798.140(ag) โดยระบุขอบเขตการใช้ข้อมูลชัดเจน
  • **Step 7: Training พนักงาน** — ทุกคนที่จัดการคำขอใช้สิทธิต้องได้รับการอบรมอย่างน้อยปีละครั้ง

    • บทลงโทษ — ราคาที่ต้องจ่ายหากละเมิด

    CCPA/CPRA กำหนดค่าปรับชัดเจนและเริ่มบังคับใช้แล้ว:

    | ประเภทความผิด | ค่าปรับต่อกรณี |

    |-----------------|-----------------|

    | ละเมิดโดยไม่ตั้งใจ (unintentional) | สูงสุด 2,500 USD |

    | ละเมิดโดยตั้งใจ (intentional) | สูงสุด 7,500 USD |

    | ละเมิดเกี่ยวกับข้อมูลเด็กอายุต่ำกว่า 16 ปี | สูงสุด 7,500 USD |

    ข้อควรระวัง: ค่าปรับคิดต่อการละเมิดต่อผู้บริโภค 1 ราย ถ้ามีผู้บริโภค 100,000 คนได้รับผลกระทบ ค่าปรับอาจสูงถึง 750 ล้าน USD นอกจากนี้ผู้บริโภคยังฟ้องแพ่งได้ (Private Right of Action) กรณี data breach

    ตัวอย่างจริง: Sephora ถูกปรับ 1.2 ล้าน USD ปี 2022 เพราะไม่เปิดเผยว่าขายข้อมูลและไม่รองรับปุ่ม opt-out อย่างถูกต้อง — SME ไทยก็โดนเช่นกันได้หากไม่ปฏิบัติตาม

    CCPA vs PDPA vs GDPR — เทียบให้เข้าใจง่าย

    | หัวข้อ | PDPA (ไทย) | CCPA/CPRA (แคลิฟอร์เนีย) | GDPR (EU) |

    |--------|-----------|---------------------------|-----------|

    | ฐานกฎหมายในการประมวลผล | ต้องมี 1 ใน 7 ฐาน | Opt-out model | ต้องมี 1 ใน 6 ฐาน |

    | ความยินยอม | Opt-in เป็นหลัก | Opt-out เป็นหลัก | Opt-in เป็นหลัก |

    | ระยะเวลาตอบคำขอ | 30 วัน | 45 วัน | 30 วัน |

    | ค่าปรับสูงสุด | 5 ล้านบาท | 7,500 USD/กรณี | 20M EUR หรือ 4% revenue |

    | Data Protection Officer | บางกรณี | ไม่บังคับ | บังคับในบางกรณี |

    เริ่มต้นอย่างไรเมื่อทรัพยากรจำกัด

    1. เริ่มจาก Data Map ง่าย ๆ ด้วย spreadsheet ก่อน — ระบุทุก form, tracking script, third-party cookie

    2. ใช้ Consent Management Platform (CMP) เช่น Cookiebot, OneTrust, Osano หรือ OpenSource CookieConsent สำหรับรองรับ GPC และ opt-out

    3. อัปเดต Privacy Policy ใช้ template จาก IAPP หรือจ้างทนายเฉพาะทาง (ราคาเริ่มต้นประมาณ 30,000–80,000 บาท)

    4. ตั้ง Privacy Inbox (privacy@yourcompany.com) และ SOP ตอบคำขอภายใน 10 วันแรก

    5. หากเข้าข่าย high-risk พิจารณาทำ Privacy Risk Assessment ตามที่ CPRA กำหนด

    สรุป — Key Takeaways

  • CCPA/CPRA ใช้กับทุกธุรกิจที่มี **ผู้เยี่ยมชมเว็บจากแคลิฟอร์เนีย ≥ 100,000 ราย/ปี** แม้ไม่ตั้งอยู่ในสหรัฐ
  • ต้องมีปุ่ม **"Do Not Sell or Share"** และรองรับสัญญาณ **Global Privacy Control**
  • สิทธิผู้บริโภค 7 ข้อต้องรองรับ ตอบภายใน **45 วัน**
  • ค่าปรับ 2,500–7,500 USD ต่อกรณี รวมกันอาจถึงหลายร้อยล้าน
  • วางระบบตั้งแต่ **Data Inventory → Privacy Policy → CMP → DSR Process** จะปลอดภัยกว่ารอให้โดนสอบสวน

    • CTA — พร้อมยกระดับมาตรฐาน Data Privacy ธุรกิจของคุณ? ทีม ADS FIT ให้คำปรึกษาวางระบบ PDPA / CCPA / GDPR สำหรับ SME ไทยตั้งแต่ Data Mapping, Privacy Policy, จนถึง Technical Implementation — [ติดต่อเรา](https://www.adsfit.co.th/contact) เพื่อรับ Free Assessment 30 นาที หรือ [อ่านบทความ Compliance อื่น](https://www.adsfit.co.th/blog?category=compliance)

    Tags

    #CCPA#CPRA#Data Privacy#Compliance#California Privacy#SME Export#Thailand 2026

    สนใจโซลูชันนี้?

    ปรึกษาทีม ADS FIT ฟรี เราพร้อมออกแบบระบบที่ฟิตกับธุรกิจของคุณ

    ติดต่อเรา →

    บทความที่เกี่ยวข้อง

    🛡️

    PDPA DPA 2026: คู่มือ Data Processing Agreement สัญญาประมวลผลข้อมูลส่วนบุคคล SME ไทย

    7 พฤษภาคม 2569 · 8 นาที
    🛡️

    ISO 37001 คืออะไร? คู่มือ Anti-Bribery Management ธุรกิจไทย 2026

    7 พฤษภาคม 2569 · 8 นาที
    🛡️

    ISO 14001 Environmental Management System (EMS): คู่มือมาตรฐานสิ่งแวดล้อมสำหรับ SME ไทย 2026

    7 พฤษภาคม 2569 · 9 นาที