การปฏิบัติตามกฎระเบียบ13 เม.ย. 2026 | FlexyConsent

กฎหมาย DPDP ของอินเดีย: คุกกี้และคอนเซนต์ในตลาดดิจิทัลที่ใหญ่ที่สุดในโลก

อินเดียได้ออกกฎหมาย Digital Personal Data Protection Act (DPDP Act) ในปี 2023 และกฎลูกที่ทำให้กฎหมายนี้สามารถบังคับใช้ใน��างปฏิบัติได้มีผลใช้บังคับแล้ว ด้วยจำนวนผู้ใช้อินเทอร์เน็ตมากกว่า 850 ล้านคน อินเดียเป็นตลาดที่ผู้จัดพิมพ์โฆษณาและผู้ให้บริการ SaaS ระดับโลกไม่อาจมองข้ามได้ — และ DPDP Act ยังนำมาซึ่งภาระหน้าที่ด้านคอนเซนต์ที่แตกต่างจาก GDPR, CCPA และกรอบอื่น ๆ ที่คุณอาจรองรับอยู่แล้วอย่างมีนัยสำคัญ

คู่มือนี้อธิบายว่า DPDP Act จัดการกับคุกกี้และตัวระบุเพื่อการติดตามอย่างไร กฎหมายนี้ใช้กับใครบ้าง และลักษณะของประสบการณ์คอนเซนต์ที่ปฏิบัติตามกฎหมายสำหรับผู้ใช้ในอินเดียควรเป็นอย่างไร

ขอบเขตการบังคับใช้ของ DPDP Act

DPDP Act กำกับดูแลการประมวลผลข้อมูลส่วนบุคคลดิจิทัลภายในอินเดีย ตลอดจนการประมวลผลนอกประเทศอินเดียที่เกี่ยวข้องกับการเสนอขายสินค้าและบริการให้แก่บุคคลในอินเดีย ในทางปฏิบัติ หากเว็บไซต์ของคุณสามารถเข้าถึงได้โดยผู้ใช้ในอินเดียและคุณเก็บรวบรวมข้อมูลส่วนบุคคลผ่านเว็บไซต์นั้น — รวมถึงผ่านคุกกี้, SDK, พิกเซล หรือเทคนิคการฟิงเกอร์พรินต์ — กฎหมายนี้แทบจะแน่นอนว่าใช้บังคับกับคุณ

กฎหมายนี้ใช้บทบาทหลัก 2 บทบาท ได้แก่ Data Fiduciary (เทียบเคียงได้กับผู้ควบคุมข้อมูลตาม GDPR) และ Data Processor ผู้ให้บริการรายใหญ่จำนวนไม่มากอาจถูกกำหนดให้เป็น Significant Data Fiduciary ซึ่งจะทำให้มีภาระหน้าที่เพิ่มเติม เช่น การประเมินผลกระทบด้านการคุ้มครองข้อมูล และการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลที่พำนักอยู่ในอินเดีย

DPDP Act จัดการกับคุกกี้และตัวติดตามอย่างไร

แตกต่างจาก ePrivacy Directive DPDP Act ไม่ได้จัดให้คุกกี้เป็นหมวดหมู่เฉพาะ แต่ออกกฎควบคุม การประมวลผล ข้อมูลส่วนบุคคลดิจิทัลทุกประเภท นั่นหมายความว่าคุกกี้ ตัวระบุอุปกรณ์ ที่อยู่ IP รหัสโฆษณา และอีเมลที่ถูกแฮช ล้วนอยู่ในขอบเขต��องกฎหมายเมื่อเชื่อมโยง — โดยตรงหรือโดยอ้อม — กับบุคคลที่สามารถระบุตัวตนได้

ผลที่ตามมาสำหรับผู้จัดพิมพ์จึงค่อนข้างตรงไปตรงมา: หากคุกกี้หรือแท็กบนเว็บไซต์ของคุณทำให้มีการเก็บรวบรวมหรือแชร์ข้อมูลส่วนบุคคล คุณจำเป็นต้องมีฐานทางกฎหมายที่ชอบด้วยกฎหมาย ภายใต้ DPDP Act ฐานดังกล่าวแทบจะเป็น คอนเซนต์ แทบทั้งหมด โดยมีข้อยกเว้นที่แคบมากสำหรับ "legitimate uses" ที่กำหนดไว้ในกฎหมาย

ลักษณะของคอนเซนต์ที่ถูกต้องตามกฎหมาย

DPDP Act กำหนดมาตรฐานสูงสำหรับคอนเซนต์ โดยต้องเป็นการยินยอมที่���ห้โดยเสรี เฉพาะเจาะจง ได้รับข้อมูลเพียงพอ ไม่มีเงื่อนไข และชัดแจ้ง และต้องแสดงออกผ่านการกระทำยืนยันที่ชัดเจน กล่องที่ถูกติ๊กไว้ล่วงหน้า การสันนิษฐานว่าผู้ใช้ยินยอมจากการท่องเว็บไซต์ต่อไป หรือการออกแบบแบบ "cookie wall" ที่ผูกการเข้าถึงกับการกดยอมรับ ล้วนไม่สอดคล้องกับข้อกำหนดเหล่านี้

ยังมีข้อกำหนดเฉพาะของ DPDP อีก 2 ประการที่สำคัญต่อ UX ด้านคอนเซนต์:

ข้อมูลของเด็กและคอนเซนต์จากผู้ปกครอง

DPDP Act ถือว่าบุคคลที่มีอายุต่ำกว่า 18 ปีเป็นเด็ก และกำหนดให้ต้องไ��้รับคอนเซนต์จากผู้ปกครองที่สามารถตรวจสอบได้ก่อนจะประมวลผลข้อมูลส่วนบุคคลของเด็ก นอกจากนี้ยังกำหนดข้อห้ามการติดตามพฤติกรรมและโฆษณาเชิงพฤติกรรมที่มุ่งเป้าไปยังเด็ก เว็บไซต์ใดก็ตามที่เด็กในอินเดียสามารถเข้าถึงได้ — ซึ่งในทางปฏิบัติก็หมายถึงแทบทุกเว็บไซต์ — จำเป็นต้องมีกลยุทธ์จำกัดอายุหรือแนวทางตามระดับความเสี่ยง และต้องสามารถบล็อกสคริปต์ติดตามเมื่อตรวจสอบแล้วว่าไม่มีคอนเซนต์จากผู้ปกครอง

สิทธิของผู้ใช้ที่ CMP ของคุณต้องรองรับ

Data Principal (ผู้ใช้) ในอินเดียมีชุดสิทธิที่ต้องสามารถดำเนินการได้ผ่านเลเยอร์คอนเซนต์และการตั้งค่าความชอบของคุณ:

CMP ที่ปฏิบัติตามกฎหมายควรมีลิงก์การตั้งค่าความชอบที่มองเห็นได้ตลอดเวลา รองรับการถอนคอนเซนต์��นคลิกเดียว และบันทึกเหตุการณ์คอนเซนต์ในลักษณะที่สามารถแสดงต่อหน่วยงานได้เมื่อมีการสอบสวน

การโอนข้อมูลข้ามพรมแดน

DPDP Act ใช้แนวทางแบบ "บัญชีดำ" สำหรับการโอนข้อมูลระหว่างประเทศ: สามารถโอนข้อมูลส่วนบุคคลออกนอกอินเดียได้ เว้นแต่ประเทศปลายทางจะถูกจำกัดไว้โดยรัฐบาลกลาง แนวทางนี้เปิดกว้างกว่า ระบบ adequacy ของ GDPR แต่คุณก็ควรบันทึกไว้ให้ชัดเจนว่ามีประเทศที่สามใดบ้างที่ได้รับข้อมูลจากผู้ใช้ในอินเดีย และติดตามบัญชีรายชื่อประเทศที่ถูกจำกัดซึ่งทางการประกาศใช้

บทลงโทษและการบังคับใช้

บทลงโทษทางการเงินภายใต้ DPDP Act อยู่ในระดับสูง Data Protection Board สามารถสั่งปรับได้สูงสุด ₹250 crore (ประมาณ $30 million USD) สำหรับการไม่ดำเนินมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม และปรับได้สูงสุด ₹200 crore สำหรับการไม่ปฏิบัติตามภาระหน้าที่เกี่ยวกับข้อมูลของเด็ก ความล้มเหลวที่เกี่ยวข้องกับคอนเซนต์ — รวมถึงการเก็บคอนเซนต์ผ่านแบนเนอร์ที่ไม่เป็นไปตามข้อกำหนด — อาจถูกปรับได้สูงสุด ₹50 crore ต่อการกระทำความผิดหนึ่งครั้ง

การทำให้คอนเซนต์ใน CMP ของคุณสอดคล้องกับ DPDP

  1. ตรวจจับผู้ใช้���นอินเดียด้วยวิธีระบุตำแหน่งทางภูมิศาสตร์ และใช้เทมเพลตคอนเซนต์แบบเฉพาะสำหรับ DPDP แทนการนำแบนเนอร์แบบ GDPR มาใช้ซ้ำ เนื้อหาการแจ้งและตัวเลือกด้านภาษาที่ต้องใช้แตกต่างกัน
  2. แสดงข้อความแจ้งในหลายภาษาของอินเดีย อย่างน้อยควรรองรับภาษาฮินดีและภาษาอังกฤษ และเพิ่มภาษาประจำภูมิภาคตามสัดส่วนทราฟฟิกของคุณ
  3. บล็อกตัวติดตามที่ไม่จำเป็นทั้งหมดโดยค่าเริ่มต้น โหลดโฆษณา เครื่องมือวิเคราะห์ และ SDK ของบุคคลที่สามเฉพาะหลังจากได้รับคอนเซนต์ที่ยืนยันอย่างชัดแจ้งแล้วเท่าน���้น
  4. แยกวัตถุประสงค์ให้ชัดเจน อย่ารวมโฆษณา การวิเคราะห์ และการปรับแต่งส่วนบุคคลไว้ในปุ่ม "ยอมรับ" เพียงครั้งเดียว หากผู้ใช้สามารถมีเหตุผลที่จะยอมรับบางประเภทแต่ปฏิเสธบางประเภทได้
  5. บันทึกเหตุการณ์คอนเซนต์และการถอนคอนเซนต์ พร้อมระบุเวลาที่แน่นอน เวอร์ชันของข้อความแจ้งที่แสดง และภาษาที่ผู้ใช้เลือก เพื่อให้คุณสามารถพิสูจน์การปฏิบัติตามข้อกำหนดต่อหน่วยงานกำกับดูแลได้เมื่อมีการสอบถาม
  6. จัดให้มีลิงก์การตั้งค่าความชอบที่มองเห็นได้ชัดเจนบนทุกหน้�� เพื่อให้ผู้ใช้สามารถตรวจสอบ อัปเดต หรือถอนคอนเซนต์ได้ทุกเวลา

DPDP vs. GDPR: ความแตกต่างในทางปฏิบัติ

บทสรุป

DPDP Act ทำให้อินเดียก้าวสู่ภูมิทัศน์การคุ้มครองข้อมูลระดับโลกสมัยใหม่ในแบบของตนเอง — เน้นคอนเซนต์เป็นหลัก ออกแบบมาให้รองรับหลายภาษา และให้ความคุ้มครองผู้เยาว์ในระดับที่เข้มงวดเป็นพิเศษ ผู้จัดพิมพ์และแพลตฟอร์มที่ใช้ CMP ระดับ GDPR อยู่แล้วถือว่ามีจ��ดเริ่มต้นที่ดี แต่ก็ยังต้องปรับเนื้อหาแบนเนอร์ การรองรับภาษา การจัดการอายุ และการบันทึกข้อมูลให้สอดคล้องกับข้อกำหนดของ DPDP การมองว่าอินเดียเป็นเพียง "อีกหนึ่งเขตอำนาจของ GDPR" คือหนทางลัดที่สุดที่จะทำให้คุณต้องไปชี้แจงต่อ Data Protection Board

← บล็อก อ่านทั้งหมด →