การปฏิบัติตามกฎหมาย7 พฤษภาคม 2026 | FlexyConsent

การยินยอมคุกกี้ภายใต้ CCPA และ CPRA: กฎหมายความเป็นส่วนตัวของแคลิฟอร์เนียหมายถึงอะไรสำหรับเว็บไซต์ของคุณ

ทำความเข้าใจกรอบกฎหมายความเป็นส่วนตัวของรัฐแคลิฟอร์เนีย

รัฐแคลิฟอร์เนียเป็นผู้นำของสหรัฐอเมริกาในด้านกฎหมายความเป็นส่วนตัวของผู้บริโภค และกฎห��ายเหล่านี้ส่งผลกระทบต่อเว็บไซต์ทั่วโลก California Consumer Privacy Act (CCPA) ซึ่งได้รับการแก้ไขอย่างมีนัยสำคัญโดย California Privacy Rights Act (CPRA) ที่มีผลใช้บังคับตั้งแต่เดือนมกราคม 2023 กำหนดภาระหน้าที่ให้กับธุรกิจใด ๆ ที่เก็บรวบรวมข้อมูลส่วนบุคคลของผู้อยู่อาศัยในรัฐแคลิฟอร์เนีย — ไม่ว่าธุรกิจนั้นจะตั้งอยู่ที่ใดก็ตาม

สำหรับเจ้าของเว็บไซต์ ผลในทางปฏิบัติจะเน้นไปที่คุกกี้ เทคโนโลยีติดตาม และวิธีที่ข้อมูลผู้ใช้ถูกแชร์กับบุคคลที่สาม แม้ว่าโมเดลของรัฐแคลิฟอร์เนียจะแตกต่างจาก GDPR ของยุโรปอย่างมีนัยสำคัญ แต่ก็ยังต้��งให้ความสำคัญอย่างรอบคอบกับกลไกการยินยอมและสิทธิของผู้ใช้

CCPA/CPRA: ใครอยู่ภายใต้บังคับของกฎหมาย?

กฎหมายนี้ใช้กับธุรกิจที่แสวงหากำไรซึ่งเข้าเกณฑ์อย่างน้อยหนึ่งข้อต่อไปนี้:

มีรายได้รวมต่อปีเกินกว่า 25 ล้านดอลลาร์สหรัฐ
ซื้อ ขาย หรือแชร์ข้อมูลส่วนบุคคลของผู้อยู่อาศัย ครัวเรือน หรืออุปกรณ์ในรัฐแคลิฟอร์เนียจำนวน 100,000 รายขึ้นไปต่อปี
มีรายได้ต่อปี ตั้งแต่ 50 เปอร์เซ็นต์ขึ้นไปมาจากการขายหรือแชร์ข้อมูลส่วนบุคคลของผู้อยู่อาศัยในรัฐแคลิฟอร์เนีย

��กณฑ์ข้อที่สองมีความสำคัญเป็นพิเศษสำหรับเว็บไซต์ที่มีโฆษณา หากเว็บไซต์ของคุณใช้คุกกี้ของบุคคลที่สามเพื่อการโฆษณาแบบเจาะกลุ่ม และมีทราฟฟิกจากรัฐแคลิฟอร์เนียจำนวนมาก คุณอาจกำลังประมวลผลข้อมูลของผู้ใช้ในรัฐแคลิฟอร์เนียมากกว่า 100,000 รายต่อปีผ่านคุกกี้เหล่านั้นเพียงอย่างเดียว

Opt-Out กับ Opt-In: ความแตกต่างพื้นฐานจาก GDPR

นี่คือความแตกต่างที่สำคัญที่สุดที่ผู้ให้บริการเว็บไซต์ต้องเข้าใจ ภายใต้ GDPR ค่าเริ่มต้นคือการยินยอมแบบ opt-in: คุณไม่สามารถตั้งค่าคุกกี้ที่ไม่จำเป็นได้จนกว่าผู��ใช้จะให้ความยินยอมอย่างชัดแจ้ง ภายใต้ CCPA/CPRA ค่าเริ่มต้นคือopt-out: คุณสามารถประมวลผลข้อมูลส่วนบุคคล (รวมถึงผ่านคุกกี้) ได้จนกว่าผู้ใช้จะบอกให้คุณหยุด

สิ่งนี้ทำให้ประสบการณ์การให้ความยินยอมของผู้เยี่ยมชมจากรัฐแคลิฟอร์เนียแตกต่างไปโดยพื้นฐาน:

แนวทางแบบ GDPR: บล็อกคุกกี้ที่ไม่จำเป็นทั้งหมด แสดงแบนเนอร์ รอการให้ความยินยอมอย่างชัดแจ้ง จากนั้นจึงค่อยตั้งค่าคุกกี้
แนวทางแบบ CCPA/CPRA: สามารถตั้งค่าคุกกี้ได้ตามค่าเริ่มต้น จัดให้มีลิงก์ที่ชัดเจนและมองเห็นได้ง่ายว่า "Do Not Sell or Share My Personal Information" เมื่อผู้ใช้ใช้สิทธินี้ ให้หยุดแชร์ข้อมูลของพวกเขากับบุคคลที่สาม

อย่างไรก็ตาม ยังมีข้อยกเว้นที่สำคัญ สำหรับผู้เยาว์อายุต่ำกว่า 16 ปี CCPA/CPRA จะเปลี่ยนเป็นโมเดล opt-in — คุณต้องได้รับความยินยอมอย่างชัดแจ้งก่อนที่จะขายหรือแชร์ข้อมูลส่วนบุคคลของพวกเขา สำหรับเด็กอายุต่ำกว่า 13 ปี ต้องได้รับความยินยอมจากผู้ปกครองหรือผู้ดูแล

ข้อกำหนดเรื่อง "Do Not Sell or Share"

CPRA ได้ขยายสิทธิ์ "Do Not Sell" เดิมของ CCPA ให้ครอบคลุมถึง "sharing" — ซึ่งมุ่งเป้าไปที่การแลกเปลี่ยนข้อมูลท��่เกิดขึ้นผ่านคุกกี้โฆษณาของบุคคลที่สามโดยเฉพาะ เมื่อผู้ใช้เยี่ยมชมเว็บไซต์ของคุณและคุกกี้ของคุณส่งข้อมูลการท่องเว็บของพวกเขาไปยังเครือข่ายโฆษณา การกระทำนั้นถือเป็นการsharing ภายใต้ CPRA แม้ว่าจะไม่มีการแลกเปลี่ยนเงินโดยตรงก็ตาม

ภาระหน้าที่ของคุณรวมถึง:

ลิงก์ที่ชัดเจนมีชื่อว่า "Do Not Sell or Share My Personal Information" บนหน้าแรกและในนโยบายความเป็นส่วนตัวของคุณ
กลไกให้ผู้ใช้ใช้สิทธินี้ได้อย่างง่ายดาย โดยไม่ต้องสร้างบัญชีผู้ใช้
ปฏิบัติตามคำขอภายในระยะเวลา15 วันทำการ
��ม่เลือกปฏิบัติต่อผู้ใช้ที่ใช้สิทธินี้ (เช่น ไม่ทำให้ประสบการณ์การใช้งานของพวกเขาแย่ลง)

Global Privacy Control (GPC)

Global Privacy Control เป็นสัญญาณในระดับเบราว์เซอร์ที่ผู้ใช้สามารถเปิดใช้งานเพื่อสื่อสารความต้องการ opt-out ของตนไปยังทุกเว็บไซต์ที่เข้าเยี่ยมชมโดยอัตโนมัติ เบราว์เซอร์หลักอย่าง Firefox และ Brave รองรับ GPC ในตัว และส่วนขยายเบราว์เซอร์ก็ช่วยเพิ่มการรองรับให้กับ Chrome และเบราว์เซอร์อื่น ๆ

ภายใต้ข้อบังคับของ CPRA ธุรกิจต้องเคารพสัญญาณ GPCในฐานะคำขอ opt-out ที่ถูกต้อง ซึ่งมีผลในทางปฏิบัติอย่างมีนัยสำคัญดังนี้:

เว็บไซต์ของคุณต้องสามารถตรวจจับ HTTP header Sec-GPC: 1 หรือ property ของ JavaScript navigator.globalPrivacyControl ได้
เมื่อมีการตรวจพบ คุณต้องปฏิบัติต่อมันเสมือนว่าผู้ใช้ได้คลิก "Do Not Sell or Share" แล้ว
คุกกี้ของบุคคลที่สามที่ใช้เพื่อการโฆษณาต้องถูกระงับสำหรับผู้ใช้เหล่านี้

การใช้งาน GPC กำลังเติบโตอย่างต่อเนื่อง มีการประเมินว่าปัจจุบันมีทราฟฟิกเว็บประมาณ 5 ถึง 10 เปอร์เซ็นต์ที่ส่งสัญญาณ GPC และสัดส่วนนี้ยิ่งสูงขึ้นในกลุ่มผู้ใช้ที่ให้ความสำคัญกับความเป็นส่วนตัวในรัฐแคลิฟอร์เนีย

เมื่อใดที่คุณจำเป็นต��องมีแบนเนอร์คุกกี้สำหรับผู้ใช้ในแคลิฟอร์เนียจริง ๆ ?

จุดนี้เองที่หลายธุรกิจมักสับสน โดยเคร่งครัดแล้ว CCPA/CPRA ไม่ได้กำหนดให้ต้องมีแบนเนอร์ยินยอมคุกกี้แบบยุโรป เนื่องจากใช้โมเดล opt-out อย่างไรก็ตาม คุณจำเป็นต้องมี:

ลิงก์ "Do Not Sell or Share" ที่เข้าถึงได้ง่าย
กลไกเพื่อระงับการแชร์ข้อมูลกับบุคคลที่สามเมื่อผู้ใช้ opt-out หรือส่งสัญญาณ GPC
นโยบายความเป็นส่วนตัวที่เปิดเผยหมวดหมู่ของข้อมูลส่วนบุคคลที่เก็บรวบรวม วัตถุประสงค์ และบุคคลที่สามที่มีการแชร์ข้อมูลด้วย
สำหรับเว็บไซต์ที่ให้บริการผู้ใช้ในยุโรปด้วย แบนเนอร์ยินยอมที่สอดคล้องกับ GDPR ซึ่งสามารถทำงานร่วมกับกลไก opt-out ภายใต้ CCPA ได้

ในทางปฏิบัติ เว็บไซต์ส่วนใหญ่ที่ให้บริการทั้งผู้ใช้ในยุโรปและแคลิฟอร์เนียจะใช้ส่วนติดต่อการจัดการยินยอมแบบรวมหนึ่งเดียวที่ปรับพฤติกรรมตามตำแหน่งที่ตั้งของผู้เยี่ยมชม วิธีนี้ช่วยหลีกเลี่ยงการต้องดูแลระบบการยินยอมสองชุดแยกจากกันโดยสิ้นเชิง

ข้อควรพิจารณาในการใช้งานจริง

การทำให้สอดคล้องกับ CCPA/CPRA ควบคู่ไปกับ GDPR สร้างความท้าทายแบบโหมดคู่ แพลตฟอร์มจัดการ��ินยอมของคุณจำเป็นต้อง:

ตรวจจับตำแหน่งของผู้เยี่ยมชมอย่างแม่นยำโดยใช้การระบุตำแหน่งจาก IP
ใช้กรอบกฎหมายที่ถูกต้อง — opt-in สำหรับผู้เยี่ยมชมจาก EEA/UK opt-out สำหรับผู้เยี่ยมชมจากรัฐแคลิฟอร์เนีย และอาจไม่มีข้อกำหนดสำหรับผู้เยี่ยมชมจากภูมิภาคอื่น
จัดการลิงก์ "Do Not Sell or Share"สำหรับผู้เยี่ยมชมจากรัฐแคลิฟอร์เนีย ไม่ว่าจะอยู่ในแบนเนอร์หรือเป็นองค์ประกอบบนหน้าเว็บแยกต่างหาก
ตรวจจับและเคารพสัญญาณ GPCก่อนที่จะมีการตั้งค่าคุกกี้ของบุคคลที่สามใด ๆ
ควบคุมพฤติกรรมของคุกกี้ให้สอดคล้อง — บล็อกคุกกี้โฆษณาของบุคคลที่สามสำหรับผู้ใช้ที่ opt-out ในขณะที่ยังอนุญาตให้การวิเคราะห์แบบ first-party ดำเนินต่อไปได้

การใช้งานทางเทคนิคยังต้องคำนึงถึงความแตกต่างระหว่างคุกกี้วิเคราะห์แบบ first-party (ซึ่งโดยทั่วไปถือว่าอนุญาตได้ภายใต้ CCPA/CPRA ในฐานะวัตถุประสงค์ทางธุรกิจ) และคุกกี้โฆษณาของบุคคลที่สาม (ซึ่งถือเป็นการ sharing และอยู่ภายใต้สิทธิ opt-out)

FlexyConsent การกำหนดเป้าหมายตามภูมิศาสตร์สำหรับผู้เยี่ยมชมจากแคลิฟอร์เนีย

FlexyConsent จัดการความท้าทายแบบโหมดคู่ผ่านการกำหนดเป้าหมายตามภูมิศาสตร์โดยอัตโนมัติ เมื่อผู้เยี่ยมชมจากรัฐแคลิฟอร์เนียเข้ามายังเว็บไซต์ของคุณ FlexyConsent จะปรับพฤติกรรมให้สอดคล้องกับข้อกำหนดของ CCPA/CPRA:

การเปิดใช้งานโหมด opt-out: แทนที่จะบล็อกคุกกี้ทั้งหมดตั้งแต่แรก FlexyConsent จะแสดงตัวเลือก "Do Not Sell or Share My Personal Information" อย่างเด่นชัด
การตรวจจับสัญญาณ GPC: FlexyConsent ตรวจสอบสัญญาณ Global Privacy Control โดยอัตโนมัติ และเมื่อพบ จะระงับการแชร์ข้อมูลกับบุคคลที่สามโดยไม่ต้องให้ผู้ใช้ทำอะไรเพิ่มเติม
การบล็อกตามหมวดหมู่: เมื่อผู้ใช้จากรัฐแคลิฟอร์เนีย opt-out FlexyConsent จะบล็อกคุกกี้โฆษณาและการติดตามข้ามเว็บไซต์อย่างเลือกสรร ในขณะที่ยังคงรักษาการทำงานของการวิเคราะห์แบบ first-party ที่อยู่ภายใต้ข้อยกเว้นวัตถุประสงค์ทางธุรกิจ
การอยู่ร่วมกับ GDPR อย่างไร้รอยต่อ: การติดตั้ง FlexyConsent เดียวกันรองรับทั้งสองกรอบกฎหมาย ผู้เยี่ยมชมจากยุโรปจะเห็นแบนเนอร์ opt-in ที่สอดคล้องกับ GDPR พร้อมการควบคุมตามหมวดหมู่แบบละเอียด ผู้เยี่ยมชมจากรัฐแคลิฟอร์เนียจะเห็นกลไก opt-out ที่เหมาะสม ผู้เยี่ยมชมจากภูมิภาคที่ไม่มีกฎระเบียบจะได้รับข้อความแจ้งขั้นต่ำหรือไม่มี��บนเนอร์เลย ขึ้นอยู่กับการตั้งค่าของคุณ

ในฐานะGoogle-certified CMPที่รองรับIAB TCF 2.3 และConsent Mode V2 FlexyConsent ทำให้มั่นใจได้ว่าสัญญาณการยินยอมจะถูกสื่อสารไปยังบริการของ Google อย่างถูกต้อง ไม่ว่ากรอบกฎหมายใดจะถูกนำมาใช้ก็ตาม ซึ่งหมายความว่าการตั้งค่า Google Analytics และ Google Ads ของคุณจะทำงานได้อย่างถูกต้องทั้งสำหรับผู้ใช้ในยุโรปที่ opt-in และผู้ใช้ในรัฐแคลิฟอร์เนียที่ไม่ได้ opt-out

ประเด็นสำคัญ: โมเดล opt-out ของรัฐแคลิฟอร์เนียอาจดูเหมือนมีข้อจำกัดน้อยกว่าแนวทาง opt-in ของ GDPR แต่ข้อกำหนดในทางปฏิบัติ — โ��ยเฉพาะอย่างยิ่งเกี่ยวกับสัญญาณ GPC และคำจำกัดความที่กว้างของคำว่า "sharing" — ทำให้เว็บไซต์ส่วนใหญ่ที่พึ่งพารายได้จากโฆษณาจำเป็นต้องมีโซลูชันจัดการยินยอมที่มีความซับซ้อน การใช้การจัดการยินยอมแบบกำหนดเป้าหมายตามภูมิศาสตร์ที่ปรับให้เข้ากับทั้งสองกรอบกฎหมายมีความน่าเชื่อถือมากกว่าการพยายามใช้แนวทางเดียวกับผู้ใช้ทั่วโลก