ISO / GMP / อย.

CPRA คืออะไร? คู่มือ California Privacy Rights Act สำหรับธุรกิจไทยที่ส่งออกไปอเมริกา 2026

CPRA (California Privacy Rights Act) คือกฎหมายคุ้มครองข้อมูลส่วนบุคคลฉบับปรับปรุงของรัฐแคลิฟอร์เนียที่ธุรกิจไทยส่งออกไปอเมริกาต้องปฏิบัติตาม เรียนรู้สิทธิ์ผู้บริโภค 9 ประการ ความแตกต่างจาก CCPA และขั้นตอนเตรียมความพร้อมก่อนถูกปรับสูงสุด $7,500 ต่อรายการละเมิด

AF
ADS FIT Team
·8 นาที
Share:
🛡️

# CPRA คืออะไร? คู่มือ California Privacy Rights Act สำหรับธุรกิจไทยที่ส่งออกไปอเมริกา 2026

ถ้าธุรกิจไทยของคุณมีลูกค้าหรือเก็บข้อมูลผู้บริโภคในรัฐแคลิฟอร์เนีย สหรัฐฯ เพียง 1 คน ก็มีโอกาสต้องปฏิบัติตามกฎหมาย CPRA แล้ว รัฐแคลิฟอร์เนียเป็นรัฐที่มี GDP อันดับ 5 ของโลก มีประชากร 39 ล้านคน และเป็นตลาด E-commerce ขนาดใหญ่ที่สุดของอเมริกา

CPRA (California Privacy Rights Act) คือกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่มีผลบังคับใช้เต็มรูปแบบตั้งแต่ 1 กรกฎาคม 2023 เป็นการขยายและปรับปรุงกฎหมาย CCPA (California Consumer Privacy Act) ให้เข้มงวดขึ้น ใกล้เคียงกับ GDPR ของยุโรปมากขึ้น โดยเพิ่มสิทธิ์ใหม่ๆ ให้ผู้บริโภค และตั้งหน่วยงานกำกับดูแลเฉพาะ CPPA (California Privacy Protection Agency)

ในบทความนี้คุณจะได้เรียนรู้ความแตกต่างระหว่าง CPRA กับ CCPA, GDPR และ PDPA ของไทย สิทธิ์ 9 ประการของผู้บริโภคแคลิฟอร์เนีย ธุรกิจไทยแบบไหนต้องปฏิบัติตาม และขั้นตอนเตรียมความพร้อม

ธุรกิจไทยแบบไหนต้องปฏิบัติตาม CPRA?

CPRA บังคับใช้กับทุกธุรกิจไม่ว่าจะตั้งอยู่ที่ไหนในโลก ถ้าเข้าเงื่อนไขข้อใดข้อหนึ่งใน 3 ข้อนี้

  • มีรายได้รวมต่อปีเกิน 25 ล้าน USD (ประมาณ 900 ล้านบาท)
  • ซื้อ ขาย หรือแชร์ข้อมูลส่วนบุคคลของชาวแคลิฟอร์เนียตั้งแต่ 100,000 คน/ครัวเรือนขึ้นไปต่อปี
  • มีรายได้จากการขายหรือแชร์ข้อมูลส่วนบุคคลเกิน 50% ของรายได้รวม

    • SME ไทยที่ขายสินค้าผ่าน Shopee Global, Amazon, Etsy หรือเว็บไซต์ตัวเองที่รับคำสั่งซื้อจากแคลิฟอร์เนียต้องระวัง เพราะถึงยอดขายจะไม่ถึง 25 ล้าน USD แต่ถ้าเก็บข้อมูลลูกค้าแคลิฟอร์เนียเกิน 100,000 คน ก็เข้าเงื่อนไขแล้ว

    9 สิทธิ์ของผู้บริโภคตาม CPRA

    CPRA ให้สิทธิ์ผู้บริโภคเพิ่มเติมจาก CCPA เดิม โดยเฉพาะเรื่อง Sensitive Personal Information

  • **Right to Know** — ขอทราบว่าเก็บข้อมูลอะไร เพื่อจุดประสงค์อะไร แชร์ให้ใคร
  • **Right to Delete** — ขอลบข้อมูลส่วนบุคคล
  • **Right to Correct** — สิทธิ์ใหม่: ขอแก้ไขข้อมูลให้ถูกต้อง
  • **Right to Opt-Out of Sale** — ไม่ให้ขายข้อมูลต่อ
  • **Right to Opt-Out of Sharing** — สิทธิ์ใหม่: ไม่ให้แชร์ข้อมูลสำหรับ Cross-Context Behavioral Advertising (เช่น Facebook Pixel, Google Ads Remarketing)
  • **Right to Limit Use of SPI** — สิทธิ์ใหม่: จำกัดการใช้ข้อมูลอ่อนไหว (เชื้อชาติ, ศาสนา, ข้อมูลพันธุกรรม)
  • **Right to Data Portability** — ขอสำเนาข้อมูลในรูปแบบที่อ่านได้
  • **Right to Non-Discrimination** — ไม่ถูกเลือกปฏิบัติเมื่อใช้สิทธิ์
  • **Right to Opt-Out of Automated Decision-Making** — สิทธิ์ใหม่: ไม่ให้ AI ตัดสินใจอัตโนมัติ (กำลังร่างกฎระเบียบ)

    • เปรียบเทียบ CPRA, CCPA, GDPR และ PDPA

    | หัวข้อ | CPRA (California) | CCPA (California เดิม) | GDPR (EU) | PDPA (ไทย) |

    |--------|-------------------|------------------------|-----------|-----------|

    | พื้นที่บังคับใช้ | California | California | ทั่วยุโรป | ประเทศไทย |

    | Consent Model | Opt-Out | Opt-Out | Opt-In | Opt-In |

    | Sensitive Data | ต้องแยกแยะ | ไม่มีกำหนด | Special Category | ต้องขอ Explicit Consent |

    | DPO | ไม่บังคับ | ไม่บังคับ | บังคับ (บางกรณี) | บังคับ (บางกรณี) |

    | Penalty สูงสุด | $7,500 / ราย (เจตนา) | $7,500 / ราย | 20 ล้าน EUR หรือ 4% รายได้ | 5 ล้านบาท |

    | หน่วยงานกำกับ | CPPA | AG Office | EDPB + DPA ประเทศ | สคส. |

    Key Insight: CPRA เข้มงวดกว่า CCPA ในเรื่อง Sensitive Data และ Sharing แต่ยังใช้ Opt-Out Model (ให้ผู้บริโภคต้อง Opt-out) ต่างจาก GDPR และ PDPA ที่ใช้ Opt-In

    7 ขั้นตอนเตรียมความพร้อม CPRA

  • Data Mapping — สำรวจว่าเว็บไซต์/แอป/CRM เก็บข้อมูลอะไรบ้าง และแชร์ให้ Third Party เช่น Meta Pixel, Google Analytics, Hotjar หรือไม่
  • Update Privacy Policy — เพิ่มส่วนเฉพาะ California Residents ครอบคลุม Categories of PI, Purposes, และ Rights
  • เพิ่มปุ่ม "Do Not Sell or Share My Personal Information" — ต้องอยู่ที่ Footer หรือ Homepage แบบชัดเจน
  • ติดตั้ง Global Privacy Control (GPC) — รองรับสัญญาณ Privacy จาก Browser เช่น Firefox, Brave
  • สร้างช่องทาง DSAR — ฟอร์มหรืออีเมลเฉพาะให้ผู้บริโภคใช้สิทธิ์ Know, Delete, Correct ต้องตอบกลับภายใน 45 วัน
  • Contract กับ Service Provider — แก้ไข DPA (Data Processing Agreement) กับทุก Vendor เช่น Shopify, Mailchimp, HubSpot
  • Employee Training — ฝึกอบรมพนักงานฝ่ายขาย ฝ่ายลูกค้าสัมพันธ์ ให้รู้จักสิทธิ์และขั้นตอน

    • เครื่องมือช่วยปฏิบัติตาม CPRA

  • **OneTrust** — Enterprise Privacy Management platform ครบวงจร ราคาสูง
  • **Osano** — Consent Management Platform ราคา SME-friendly เริ่มต้น $99/เดือน
  • **Cookiebot** — CMP พร้อม Auto-scan ราคาเริ่มต้น $12/เดือน
  • **Transcend** — Data Subject Access Request automation
  • **Didomi** — Consent Management สำหรับเว็บและแอป

    • สำหรับ SME ไทย Cookiebot + ช่องทาง DSAR แบบ Email Form ก็เพียงพอในระยะเริ่มต้น ประมาณ 400-1,500 บาท/เดือน

    บทลงโทษและกรณีศึกษา

    CPPA มีอำนาจปรับและดำเนินคดีโดยไม่ต้องผ่านศาล

  • $2,500 ต่อรายการละเมิดโดยไม่เจตนา
  • $7,500 ต่อรายการละเมิดโดยเจตนา หรือรายการที่เกี่ยวกับเด็กอายุต่ำกว่า 16 ปี
  • ผู้บริโภคมีสิทธิ์ฟ้องส่วนตัว (Private Right of Action) กรณี Data Breach เรียกค่าเสียหายได้ $100-750 ต่อราย

    • กรณีศึกษา: Sephora (แบรนด์เครื่องสำอาง) ถูกปรับ $1.2 ล้าน USD ปี 2022 เพราะไม่แจ้งว่าขายข้อมูลลูกค้าและไม่ให้ Opt-Out ได้ — เป็นบทเรียนสำคัญสำหรับ E-commerce ไทยที่มีลูกค้าแคลิฟอร์เนีย

    สรุป

    CPRA คือกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่เข้มงวดที่สุดในสหรัฐฯ และมีผลข้ามพรมแดนถึงธุรกิจไทยที่มีลูกค้าแคลิฟอร์เนีย แม้ยอดขายจะไม่ถึงเกณฑ์ แต่ถ้าเก็บข้อมูลลูกค้าเกิน 100,000 คนก็ต้องปฏิบัติตาม

    Key Takeaways:

  • CPRA บังคับใช้กับธุรกิจไทยที่มีลูกค้าแคลิฟอร์เนียตามเกณฑ์ที่กำหนด
  • เพิ่มสิทธิ์ใหม่ 4 ประการ รวมถึง Right to Correct และ Limit Use of SPI
  • โทษปรับสูงสุด $7,500 ต่อรายการ + Private Right of Action
  • ต้องเพิ่มปุ่ม "Do Not Sell or Share" และช่องทาง DSAR
  • Cookiebot หรือ Osano ช่วย Compliance ได้ในงบ SME

    • ต้องการปรึกษาเรื่อง Compliance สำหรับธุรกิจ Cross-Border? ADS FIT มีทีมผู้เชี่ยวชาญที่ช่วยธุรกิจไทยวางระบบ Privacy Compliance ครอบคลุมทั้ง CPRA, GDPR, PDPA ติดต่อเราเพื่อรับคำปรึกษาฟรี หรืออ่านบทความเกี่ยวกับ GDPR, PDPA, และ DPIA เพื่อเตรียมความพร้อมในยุคที่ข้อมูลส่วนบุคคลคือทรัพย์สินที่มีค่าที่สุดของธุรกิจ

    Tags

    #CPRA#CCPA#California Privacy#Data Protection#Privacy Law#Compliance

    สนใจโซลูชันนี้?

    ปรึกษาทีม ADS FIT ฟรี เราพร้อมออกแบบระบบที่ฟิตกับธุรกิจของคุณ

    ติดต่อเรา →

    บทความที่เกี่ยวข้อง

    🛡️

    PDPA DPA 2026: คู่มือ Data Processing Agreement สัญญาประมวลผลข้อมูลส่วนบุคคล SME ไทย

    7 พฤษภาคม 2569 · 8 นาที
    🛡️

    ISO 37001 คืออะไร? คู่มือ Anti-Bribery Management ธุรกิจไทย 2026

    7 พฤษภาคม 2569 · 8 นาที
    🛡️

    ISO 14001 Environmental Management System (EMS): คู่มือมาตรฐานสิ่งแวดล้อมสำหรับ SME ไทย 2026

    7 พฤษภาคม 2569 · 9 นาที