ISO / GMP / อย.

PIPL คืออะไร? คู่มือกฎหมายคุ้มครองข้อมูลส่วนบุคคลจีน สำหรับผู้ส่งออกและธุรกิจไทย 2026

PIPL (Personal Information Protection Law) คือกฎหมายคุ้มครองข้อมูลส่วนบุคคลของจีนที่มีบทลงโทษสูงสุด 50 ล้านหยวน หรือ 5% ของรายได้ต่อปี คู่มือนี้อธิบายข้อกำหนด PIPL, CAC Security Assessment, Standard Contract และแนวทางปฏิบัติสำหรับธุรกิจไทยที่ส่งออกหรือมีลูกค้าจีน

AF
ADS FIT Team
·8 นาที
Share:
PIPL คืออะไร? คู่มือกฎหมายคุ้มครองข้อมูลส่วนบุคคลจีน สำหรับผู้ส่งออกและธุรกิจไทย 2026

# PIPL คืออะไร? คู่มือกฎหมายคุ้มครองข้อมูลส่วนบุคคลจีน สำหรับผู้ส่งออกและธุรกิจไทย 2026

ปี 2026 เศรษฐกิจไทย–จีนเชื่อมโยงกันแน่นแฟ้นกว่าที่เคย ทั้งการค้าชายแดน อีคอมเมิร์ซข้ามพรมแดน ท่องเที่ยว และ Supply Chain ในภาคการผลิต แต่สิ่งที่ผู้ประกอบการไทยหลายรายยังไม่ตระหนักคือ เมื่อคุณเก็บหรือประมวลผลข้อมูลส่วนบุคคลของพลเมืองจีน ไม่ว่าจะอยู่ที่ไทยหรือจีน คุณอาจเข้าข่ายต้องปฏิบัติตาม PIPL (Personal Information Protection Law) กฎหมายคุ้มครองข้อมูลส่วนบุคคลที่เข้มงวดที่สุดฉบับหนึ่งของโลก

บทความนี้จะพาคุณเข้าใจ PIPL แบบเจาะลึก ตั้งแต่ขอบเขตการบังคับใช้ สิทธิของเจ้าของข้อมูล กลไก Cross-border Data Transfer 3 แบบ บทลงโทษระดับสูงสุด 50 ล้านหยวน พร้อมแนวทางปฏิบัติที่ธุรกิจไทย SME ควรรู้ก่อนจะถูกร้องเรียนจาก CAC (Cyberspace Administration of China)

ไม่ว่าคุณจะทำ E-commerce ขายของไปจีนผ่าน Tmall/JD Shopify ส่งสินค้าผ่าน Cross-border Logistics หรือพัฒนา SaaS ให้ลูกค้าจีนใช้งาน การเข้าใจ PIPL คือก้าวแรกของการป้องกันความเสี่ยงทางกฎหมายและสร้างความน่าเชื่อถือในตลาดจีน

PIPL คืออะไร และใครต้องปฏิบัติตาม

PIPL หรือ 个人信息保护法 เป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลฉบับแรกของจีนที่ครอบคลุมทั้งระบบ มีผลบังคับใช้ตั้งแต่ 1 พฤศจิกายน 2021 โครงสร้างของกฎหมายได้รับอิทธิพลจาก GDPR ของยุโรป แต่เข้มงวดกว่าในหลายมิติ โดยเฉพาะการโอนข้อมูลข้ามประเทศและการควบคุมจากภาครัฐ

PIPL มีผลบังคับใช้แบบ Extraterritorial คล้าย GDPR หมายความว่าแม้บริษัทของคุณจะตั้งอยู่ในไทย หากเข้าเงื่อนไขข้อใดข้อหนึ่งต่อไปนี้ ก็ต้องปฏิบัติตาม PIPL

| เงื่อนไข | ตัวอย่างธุรกิจไทยที่เข้าข่าย |

|---|---|

| ประมวลผลข้อมูลภายในจีน | โรงงานไทยที่มีสาขาในเซี่ยงไฮ้ |

| ให้บริการสินค้า/บริการแก่พลเมืองจีนในจีน | E-commerce ส่งออกผ่าน Tmall Global |

| วิเคราะห์พฤติกรรมพลเมืองจีนในจีน | ทำ Retargeting Ads หานักท่องเที่ยวจีน |

| สถานการณ์อื่นตามกฎหมายจีน | SaaS ที่ผู้ใช้เป็นบริษัทจีน |

หากเข้าข่าย คุณต้องตั้ง ตัวแทนในจีน (Local Representative) หรือจัดตั้งสำนักงานเฉพาะ พร้อมรายงานชื่อและช่องทางติดต่อไปยัง CAC ซึ่งต่างจาก GDPR ที่อนุญาตให้ตั้งตัวแทนในสมาชิก EU ใด ๆ ก็ได้

Legal Basis 7 ข้อและสิทธิของเจ้าของข้อมูล

PIPL กำหนดฐานทางกฎหมาย (Legal Basis) ในการประมวลผลข้อมูลไว้ชัดเจน โดยต่างจาก PDPA ไทยและ GDPR ตรงที่ Legitimate Interest ไม่ใช่ฐานทางกฎหมายใน PIPL ทำให้ "Consent" เป็นฐานหลักสำหรับธุรกิจเอกชนส่วนใหญ่

ฐานทางกฎหมายหลัก ๆ ประกอบด้วย การได้รับ Consent ที่ชัดแจ้งและแยกส่วน, การปฏิบัติตามสัญญา, การปฏิบัติหน้าที่ตามกฎหมาย, การตอบสนองเหตุฉุกเฉินสาธารณสุข, การรายงานข่าวเพื่อประโยชน์สาธารณะ, การประมวลผลข้อมูลที่เปิดเผยต่อสาธารณะโดยชอบ และฐานอื่นตามที่กฎหมายกำหนด

สิทธิของเจ้าของข้อมูลตาม PIPL ครอบคลุมแทบทุกด้าน ได้แก่

  • สิทธิรับทราบและเลือกตัดสินใจ (Right to Know & Decide)
  • สิทธิเข้าถึงและคัดลอกข้อมูล (Right to Access & Copy)
  • สิทธิโอนย้ายข้อมูล (Right to Data Portability)
  • สิทธิแก้ไขและลบข้อมูล (Right to Rectification & Erasure)
  • สิทธิจำกัดการประมวลผลและคัดค้าน (Right to Restrict & Object)
  • สิทธิขอคำอธิบายระบบ Automated Decision-Making
  • สิทธิจัดการข้อมูลของผู้เสียชีวิต (ต่างจาก GDPR)

    • ที่น่าสนใจคือ PIPL ให้สิทธิ "ญาติใกล้ชิด" ในการใช้สิทธิเหนือข้อมูลของผู้เสียชีวิต ซึ่งเป็นแนวคิดเฉพาะของกฎหมายจีน

    Cross-border Data Transfer 3 กลไกที่ต้องเลือก

    จุดที่ธุรกิจไทยต้องระวังที่สุดคือการโอนข้อมูลจากจีนออกนอกประเทศ เพราะ PIPL บังคับให้เลือกกลไก Cross-border Transfer อย่างใดอย่างหนึ่ง ตามกฎ CAC ฉบับปรับปรุง 22 มีนาคม 2024

    | กลไก | เหมาะกับใคร | เงื่อนไขสำคัญ |

    |---|---|---|

    | CAC Security Assessment | CIIO, โอนข้อมูล > 1 ล้านคน/ปี, Sensitive > 10,000 คน/ปี | ผ่านการประเมินจาก CAC โดยตรง |

    | Standard Contract (SCC) | ข้อมูลทั่วไป 100,000–1,000,000 คน/ปี | ใช้แบบฟอร์ม CAC + ยื่น PIPIA |

    | Certification | บริษัทในเครือข้ามชาติ | ได้รับรองจากหน่วยรับรองที่ CAC ยอมรับ |

    จุดยกเว้นใหม่ที่สำคัญในปี 2024 คือ การโอนข้อมูลไม่เกิน 100,000 คน/ปี ที่ไม่ใช่ข้อมูลอ่อนไหว อาจไม่ต้องใช้กลไกใดเลย ซึ่งช่วยลดภาระของ SME ที่ทำธุรกิจปริมาณไม่มาก แต่ยังต้องทำ PIPIA (Personal Information Protection Impact Assessment) เก็บเป็นหลักฐานอยู่ดี

    อย่างไรก็ตาม หากคุณโอนข้อมูลอ่อนไหว เช่น ข้อมูลสุขภาพ ข้อมูลทางการเงิน ข้อมูลชีวมาตร แม้เพียง 1 รายการก็อาจเข้าข่ายต้องผ่าน Assessment ขึ้นกับปริมาณและบริบท

    ขั้นตอนเตรียมความพร้อม PIPL สำหรับ SME ไทย

    การทำ PIPL Compliance ไม่จำเป็นต้องเริ่มจากศูนย์ ธุรกิจที่มี PDPA หรือ GDPR อยู่แล้วสามารถต่อยอดได้

  • **ขั้นที่ 1 — Data Mapping:** สำรวจว่าข้อมูลพลเมืองจีนอยู่ที่ไหนบ้าง เก็บเข้ามาอย่างไร ใครเข้าถึงได้ และโอนออกนอกจีนหรือไม่
  • **ขั้นที่ 2 — Gap Assessment:** เปรียบเทียบมาตรการปัจจุบันกับข้อกำหนด PIPL โดยเฉพาะเรื่อง Separate Consent, DPO และ Local Representative
  • **ขั้นที่ 3 — Privacy Notice ภาษาจีน:** จัดทำ Notice ภาษาจีนตัวย่อที่อธิบายวัตถุประสงค์ ระยะเวลาเก็บ และช่องทางใช้สิทธิ
  • **ขั้นที่ 4 — Consent Mechanism:** แยก Consent สำหรับข้อมูลอ่อนไหวและการโอนข้ามประเทศอย่างชัดเจน ไม่รวมในกล่องเดียว
  • **ขั้นที่ 5 — PIPIA:** จัดทำประเมินผลกระทบสำหรับการประมวลผลข้อมูลอ่อนไหวและ Cross-border Transfer เก็บไว้อย่างน้อย 3 ปี
  • **ขั้นที่ 6 — เลือกกลไก Transfer:** ประเมินปริมาณและความอ่อนไหว จากนั้นเลือก SCC หรือ Security Assessment
  • **ขั้นที่ 7 — ตั้ง DPO/Representative:** หากเข้าเกณฑ์ (ประมวลผล > 1 ล้านคน) ต้องตั้ง DPO และรายงานต่อ CAC

    • เปรียบเทียบ PIPL vs GDPR vs PDPA

    | ประเด็น | PIPL (จีน) | GDPR (EU) | PDPA (ไทย) |

    |---|---|---|---|

    | บทลงโทษสูงสุด | 50 ล้านหยวน หรือ 5% รายได้ | 20 ล้านยูโร หรือ 4% รายได้ | 5 ล้านบาท |

    | Legitimate Interest | ไม่มี | มี | มี |

    | Local Representative | ต้องอยู่ในจีน | อยู่ใน EU ประเทศใดก็ได้ | ไม่บังคับ |

    | Cross-border Transfer | 3 กลไกจำกัด | SCC, BCR, Adequacy | Adequacy, Safeguards |

    | Separate Consent | บังคับ | แนะนำ | แนะนำ |

    บทลงโทษและกรณีศึกษา

    บทลงโทษสูงสุดของ PIPL อยู่ที่ 50 ล้านหยวน (~250 ล้านบาท) หรือ 5% ของรายได้ต่อปี แล้วแต่จำนวนใดสูงกว่า พร้อมสั่งระงับการดำเนินงาน เพิกถอนใบอนุญาต และแบนผู้บริหารไม่ให้ดำรงตำแหน่งบริษัทอื่น คดีที่เป็นที่รู้จักคือ Didi Global ถูกปรับราว 8 พันล้านหยวนในปี 2022 ซึ่งรวมทั้งการละเมิด PIPL, DSL และ CSL

    สำหรับ SME ไทย ความเสี่ยงที่เจอบ่อยคือ การไม่ได้ขอ Separate Consent สำหรับการโอนข้อมูลข้ามประเทศ, การใช้ Standard Contract เวอร์ชันเก่า, และการไม่จัดทำ PIPIA อย่างเป็นลายลักษณ์อักษร

    สรุป: เริ่มจาก Data Mapping วันนี้

    PIPL เป็นกฎหมายที่เข้มงวดแต่ไม่ใช่กำแพงปิดตลาดจีน สิ่งที่ธุรกิจไทยต้องทำคือเข้าใจขอบเขต ทำ Data Mapping ให้ชัด แยก Consent ให้ถูก และเลือกกลไก Cross-border Transfer ที่เหมาะกับปริมาณข้อมูลจริง ยิ่งเริ่มเร็ว ยิ่งได้เปรียบคู่แข่งในการสร้างความน่าเชื่อถือกับพาร์ทเนอร์และลูกค้าจีน

    ADS FIT ช่วยผู้ส่งออกและ SaaS ไทยวางระบบ Consent Management, Data Mapping และ Privacy Notice พร้อมเชื่อมกับระบบ PDPA เดิมให้เป็น Framework เดียว [ติดต่อทีม ADS FIT](https://www.adsfit.co.th) เพื่อรับคำปรึกษาเบื้องต้นฟรี หรืออ่านคู่มือ [GDPR](https://www.adsfit.co.th/blog/gdpr-compliance-guide-thailand-business-2026) และ [PDPA](https://www.adsfit.co.th/blog/pdpa-guide-sme-business-2026) เพื่อเปรียบเทียบมาตรฐานระหว่างประเทศ

    Tags

    #PIPL#China PIPL#Data Protection#Cross-border Transfer#CAC#Compliance

    สนใจโซลูชันนี้?

    ปรึกษาทีม ADS FIT ฟรี เราพร้อมออกแบบระบบที่ฟิตกับธุรกิจของคุณ

    ติดต่อเรา →

    บทความที่เกี่ยวข้อง

    🛡️

    PDPA DPA 2026: คู่มือ Data Processing Agreement สัญญาประมวลผลข้อมูลส่วนบุคคล SME ไทย

    7 พฤษภาคม 2569 · 8 นาที
    🛡️

    ISO 37001 คืออะไร? คู่มือ Anti-Bribery Management ธุรกิจไทย 2026

    7 พฤษภาคม 2569 · 8 นาที
    🛡️

    ISO 14001 Environmental Management System (EMS): คู่มือมาตรฐานสิ่งแวดล้อมสำหรับ SME ไทย 2026

    7 พฤษภาคม 2569 · 9 นาที