หน้านี้อธิบายให้ชัดเจนว่า เมื่อคุณเข้าใช้งาน gan111.com ผมมองเห็นข้อมูลอะไรของคุณบ้าง มองไม่เห็นอะไร และข้อมูลเหล่านั้นถูกนำไปใช้อย่างไร ทุกอย่างวางอยู่บนโต๊ะอย่างเปิดเผย ไม่มี tracking script ที่แอบทำงานในมุมมืด ไม่มีการขายข้อมูลให้บริษัทโฆษณา เพราะเว็บนี้ไม่ได้รับโฆษณามาตั้งแต่เริ่ม และไม่มีแผนจะรับในอนาคต
ผมเขียนหน้านี้ในภาษาที่ผู้อ่านจริง ๆ จะอ่านจบและเข้าใจ ไม่ใช่ภาษากฎหมายที่อ่านสามรอบยังไม่ทราบว่าสรุปคืออะไร แม้ว่าหน้านี้จะมีฐานเชิงกฎหมายในประเทศไทย คือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือที่เรียกว่า PDPA และในระดับสากลคือ GDPR ของสหภาพยุโรป CCPA ของรัฐแคลิฟอร์เนีย แต่ผมพยายามอธิบายในแบบที่คุณจะรู้สิทธิของคุณจริง ๆ ไม่ใช่แค่เห็น checkbox ผ่านตา
§1ข้อมูลที่ถูกเก็บ
เครื่องมือเก็บข้อมูลอย่างเดียวที่ทำงานบนเว็บนี้คือ Google Analytics 4 หรือ GA4 ซึ่งเก็บข้อมูลในรูปแบบที่ไม่ระบุตัวตน ได้แก่
- IP แบบไม่ระบุตัวตน · ใช้สำหรับประเมินภูมิภาคของคุณคร่าว ๆ ในระดับประเทศ ไม่ใช่ระดับที่อยู่
- หน้าที่เข้าชม · บทความใดที่คุณอ่าน อยู่นานเท่าใด
- ประเภทของอุปกรณ์ · มือถือ คอมพิวเตอร์ หรือแท็บเล็ต พร้อมรุ่นของ browser ที่ใช้
- แหล่งที่มาของการเข้าชม · คุณค้นเจอผ่าน Google ผ่านลิงก์บน X หรือพิมพ์ URL ตรง ๆ
ไม่มีการเก็บชื่อ อีเมล เบอร์โทรศัพท์ หรือเลขบัตรประชาชนของคุณ ยกเว้นในกรณีที่คุณส่งอีเมลมาหาผม เนื้อหาในอีเมลที่คุณเขียนเองเท่านั้นที่ผมจะเห็น
เหตุผลที่ผมดูข้อมูลเหล่านี้คือเพื่อทราบว่าบทความใดได้รับความสนใจมาก บทความใดไม่มีคนอ่าน บทความที่ไม่มีคนอ่านในรอบถัดไปก็จะไม่เขียนแนวนั้นซ้ำอีก เป็น feedback loop ในการปรับปรุงเนื้อหา ไม่ใช่การติดตามตัวบุคคล
§2Cookie
GA4 จะใช้ cookie เก็บ ID ใน browser ของคุณ เพื่อใช้ระบุว่าการเข้าใช้งานครั้งเดียวมาจาก session เดียวกัน ทำให้ระบบทราบว่าคุณคลิกผ่านหน้าใดบ้างในรอบเดียว
คุณสามารถปิดการใช้งาน cookie ในการตั้งค่าของ browser ของคุณ และเมื่อปิดแล้ว ผลที่ตามมาคือ
- การทำงานของเว็บ ไม่ได้รับผลกระทบ เพราะผมไม่ได้ใช้ cookie สำหรับ login หรือตะกร้าสินค้า
- GA4 จะมองไม่เห็นคุณ ซึ่งดีต่อคุณ และไม่ส่งผลเสียต่อผม
- กราฟราคา BTC นับถอยหลัง halving และเครื่องมืออื่น ๆ ทุกตัวยังคงใช้งานได้ตามปกติ
browser หลัก เช่น Chrome Safari Firefox และ Edge ทุกตัวมีเมนู ตั้งค่าเว็บไซต์ ปิด cookie ใช้เวลาประมาณ 5 วินาทีในการตั้งค่า
§3บริการของบุคคลภายนอก
บริการของบุคคลภายนอกที่ทำงานบนเว็บนี้ มีดังนี้ทั้งหมด ระบุไว้อย่างครบถ้วน
- Google Analytics 4 · ข้อมูลการเข้าชมแบบไม่ระบุตัวตน อธิบายไว้ใน §1
- Cloudflare · บริการ CDN เร่งความเร็ว และป้องกัน DDoS ผ่าน global edge network สำหรับผู้ใช้งานในประเทศไทย จะวิ่งผ่าน edge node สิงคโปร์เป็นหลัก
- Google Fonts · บริการ host ฟอนต์ คุณสามารถปิดผ่าน browser ได้ ฟอนต์จะ fallback ไปยังฟอนต์ระบบ
ไม่มี advertising tracking cookie · ไม่มี third party remarketing pixel · ไม่มี Facebook Pixel · ไม่มี TikTok Pixel · ไม่มี LINE OA tracking · ไม่มี fingerprinting ใด ๆ สำหรับการ retargeting ผู้ใช้เก่า
เนื่องจากเว็บนี้ไม่ได้สร้างเพื่อขายโฆษณา จึงไม่มีการติดตั้งเครื่องมือเหล่านี้ตั้งแต่เริ่ม และไม่มีแผนจะติดตั้งในอนาคต ในกรณีที่มีการเพิ่มบริการของบุคคลภายนอกใด ๆ ผมจะอัปเดตหน้านี้ก่อนการเปลี่ยนแปลงจะมีผล
§4ข้อมูลที่เกี่ยวกับลิงก์ Affiliate
เมื่อคุณคลิกลิงก์ของ exchange บนเว็บ เช่น Binance OKX Bybit Bitget Gate ระบบของ exchange ฝั่งนั้นจะรับทราบว่า การลงทะเบียนครั้งนี้มาจากรหัสแนะนำ XG188 ของ gan111.com ซึ่งเป็นการทำงานปกติของระบบ affiliate
แต่มีข้อมูลที่ผมไม่สามารถมองเห็นได้ ดังนี้
- ไม่เห็น อีเมลและเบอร์โทรที่คุณใช้ลงทะเบียนบัญชี
- ไม่เห็น จำนวนเงินที่คุณฝาก หรือเหรียญที่คุณซื้อขาย
- ไม่เห็น กำไรหรือขาดทุนของคุณ
ข้อมูลที่ exchange แสดงให้ผมเห็นคือสถิติเชิงรวม ในเดือนนี้มีผู้ใช้กี่รายลงทะเบียนผ่านรหัสของผม สร้างค่าธรรมเนียมรวมเท่าใด และส่วนแบ่งของผมเป็นเท่าใด การคุ้มครองความเป็นส่วนตัวของผู้ใช้อยู่ที่ฝั่ง exchange ไม่ได้อยู่ที่ผม
คำอธิบายเรื่อง affiliate แบบเต็ม สามารถดูได้ที่ คำชี้แจงความรับผิดชอบ §4
§5สิทธิของคุณ
ไม่ว่าคุณจะอยู่ในประเทศใด ตราบใดที่กฎหมาย เช่น PDPA ของไทย GDPR ของสหภาพยุโรป CCPA ของรัฐแคลิฟอร์เนีย หรือกฎหมายคุ้มครองข้อมูลส่วนบุคคลของจีน มีผลบังคับใช้กับคุณ คุณมีสิทธิดังต่อไปนี้
- สิทธิในการตรวจสอบ · ทราบว่าผมเก็บข้อมูลใดของคุณ ซึ่งระบุไว้ใน §1 ทั้งหมดแล้ว
- สิทธิในการลบ · ขอให้ลบข้อมูลที่เกี่ยวข้องกับคุณ
- สิทธิในการแก้ไข · ถ้าคุณเคยส่งอีเมลให้ผม คุณสามารถขอให้ผมลบอีเมลนั้นได้
- สิทธิในการถอนตัว · ปิด cookie ใน browser ของคุณ GA4 จะหยุดติดตามคุณทันที
- สิทธิในการขอความสามารถในการเคลื่อนย้าย · หรือ data portability ภายใต้ PDPA และ GDPR คุณสามารถขอข้อมูลที่ผมเก็บไว้เกี่ยวกับคุณในรูปแบบที่อ่านได้ ซึ่งสำหรับเว็บนี้คือเนื้อหาในอีเมลที่คุณส่งให้ผม
ข้อมูลใน GA4 จะถูกเก็บเป็นเวลา 14 เดือน ซึ่งเป็นระยะเวลาสูงสุดที่ GA4 อนุญาตให้กำหนด ผมไม่สามารถลบข้อมูล anonymized ID ของผู้ใช้รายใดรายหนึ่งด้วยตนเองได้ในระหว่างช่วงเวลานี้ แต่หลังจาก 14 เดือน ระบบจะลบให้อัตโนมัติ
หากคุณต้องการให้ลบอีเมลที่เคยส่งมา ขอให้ส่งอีเมลกลับมายัง [email protected] ระบุว่า ขอให้ลบอีเมลก่อนหน้านี้ ผมจะดำเนินการให้
§6การส่งผ่านข้อมูล
เรื่องที่ต้องอธิบายอย่างตรงไปตรงมา คือสถานที่จัดเก็บข้อมูลทั้งหมดในเชิงกายภาพ
- ข้อมูล GA4 · เก็บที่เซิร์ฟเวอร์ของ Google ในสหรัฐอเมริกาและในยุโรป
- Cloudflare edge log · เก็บที่ Cloudflare edge node ที่ใกล้กับคุณที่สุด สำหรับผู้ใช้ในประเทศไทยมักจะอยู่ที่ Singapore POP
- เนื้อหาของเว็บ · เก็บที่ VPS ที่ data center ของ Tokyo ผ่าน Cloudflare global network
สำหรับผู้ใช้ในประเทศไทย การเข้าใช้งานจะวิ่งผ่าน edge node ของ Cloudflare ในสิงคโปร์ ซึ่งเป็น node ที่ใกล้ที่สุดและให้ความเร็วที่ดี ความเร็วของการโหลดอยู่ที่ประมาณ 80 ถึง 120 มิลลิวินาที ขึ้นอยู่กับ ISP ของคุณ
เรื่องการส่งผ่านข้อมูลข้ามพรมแดน ตามกรอบของ PDPA ที่บังคับใช้ในประเทศไทย คุณควรทราบว่าข้อมูลของคุณที่ถูกเก็บผ่าน GA4 จะอยู่บนเซิร์ฟเวอร์ของ Google ในสหรัฐอเมริกาเป็นหลัก ซึ่งเป็นการส่งผ่านข้อมูลข้ามประเทศ การให้ความยินยอมในการเข้าใช้งานเว็บนี้ ถือว่ารับทราบในเรื่องนี้ตามแนวทางของ PDPA
§7การอัปเดตนโยบาย
นโยบายนี้จะไม่เปลี่ยนแปลงบ่อย หากมีการเปลี่ยนแปลง ผมจะทำสองอย่างต่อไปนี้
- อัปเดตเวลาที่ Last updated ที่ส่วนท้ายของหน้านี้
- หากเป็นการเปลี่ยนแปลงสำคัญ เช่น เพิ่มบริการของบุคคลภายนอกใหม่ หน้าแรกจะแสดง banner เป็นเวลา 7 วัน เพื่อให้ผู้อ่านทราบ
ผมจะไม่แอบแก้หน้านี้แล้วทำเหมือนว่าไม่เคยแก้มาก่อน การเปลี่ยนแปลงทั้งหมดจะมีบันทึกที่ ศูนย์รวมการแก้ไข ด้วย
§8การติดต่อ
คำถามเกี่ยวกับความเป็นส่วนตัว หรือการขอใช้สิทธิข้างต้น ขอให้ส่งอีเมลเป็นช่องทางหลัก
กรุณาระบุที่หัวข้อของอีเมลด้วยคำว่า ความเป็นส่วนตัว · คำขอข้อมูล หรือคล้ายกัน ผมจะให้ความสำคัญและตอบกลับภายใน 7 วันทำการเป็นปกติ ในกรณีที่ต้องการการตอบสนองเร็วกว่านั้น ขอให้ระบุไว้ในหัวข้อด้วย
§9มุมเฉพาะของผู้อ่านไทย · กรอบ PDPA และช่องทางการร้องเรียนต่อ PDPC
ส่วนนี้เขียนสำหรับผู้อ่านในประเทศไทยโดยเฉพาะ เนื่องจากกรอบการคุ้มครองข้อมูลส่วนบุคคลในไทยที่บังคับใช้คือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA Thailand ซึ่งมีรายละเอียดที่แตกต่างจาก GDPR ของสหภาพยุโรป และ CCPA ของรัฐแคลิฟอร์เนีย ในหลายจุด
หนึ่ง · กรอบของ PDPA ในประเทศไทยและการบังคับใช้
พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือที่เรียกย่อ ๆ ว่า PDPA Thailand เป็นกฎหมายของไทยที่ออกในปี 2562 และมีผลบังคับใช้เต็มรูปแบบในปี 2565 หลังจากการเลื่อนหลายรอบ กฎหมายฉบับนี้กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลทุกราย ทั้งบริษัทและบุคคลที่ดำเนินกิจกรรมเชิงพาณิชย์บนเว็บ ต้องปฏิบัติตามหลักการคุ้มครองข้อมูลในระดับที่เข้มงวดใกล้เคียงกับ GDPR
gan111.com เป็นเว็บไซต์ที่ดำเนินการโดยบุคคลธรรมดา ไม่ใช่นิติบุคคลที่จดทะเบียนในประเทศไทย แต่เนื่องจากเว็บนี้เปิดให้บริการแก่ผู้ใช้ในประเทศไทยและรับลิงก์ affiliate จาก exchange ในระดับสากล ผมจึงยึดถือแนวปฏิบัติของ PDPA เป็นมาตรฐานในการดำเนินการเก็บข้อมูลทุกประเภท แม้ว่าในเชิงเทคนิคจะไม่ได้อยู่ในขอบเขตการบังคับใช้โดยตรงทั้งหมด
ในเชิงปฏิบัติ หมายความว่าผมจะดำเนินการเก็บข้อมูลในระดับขั้นต่ำเท่าที่จำเป็น ใช้รูปแบบ anonymized IP ผ่าน GA4 เป็นค่าเริ่มต้น และไม่เก็บข้อมูลส่วนบุคคลที่อ่อนไหวใด ๆ ตามนิยามใน PDPA มาตรา 26 เช่น เชื้อชาติ ศาสนา ความเชื่อทางการเมือง ข้อมูลสุขภาพ หรือข้อมูลทางพันธุกรรม
สอง · สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หรือ PDPC
หน่วยงานที่กำกับดูแลการบังคับใช้ PDPA ในประเทศไทย คือ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หรือชื่อย่อว่า สคส. หรือ PDPC Thailand ซึ่งอยู่ภายใต้กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม
หากคุณเป็นผู้อ่านในประเทศไทย และเห็นว่าผมในฐานะผู้ดูแลเว็บ gan111.com ละเมิดสิทธิของคุณตาม PDPA เช่น เก็บข้อมูลโดยไม่ขอความยินยอม ไม่ตอบสนองคำขอใช้สิทธิภายใน 30 วัน หรือส่งผ่านข้อมูลไปยังต่างประเทศโดยไม่แจ้งให้ทราบ คุณมีสิทธิร้องเรียนต่อ PDPC ได้โดยตรง ตามมาตรา 73 ของ PDPA
ช่องทางการร้องเรียนของ PDPC สามารถดูได้ที่เว็บไซต์ทางการ www.pdpc.or.th หรือโทรศัพท์ติดต่อหน่วยงานตามที่ระบุไว้ในเว็บของ PDPC โดยตรง ผลลัพธ์ที่อาจเกิดขึ้นจากการร้องเรียน คือผมในฐานะผู้ควบคุมข้อมูล จะต้องชี้แจงและแก้ไขการกระทำที่เป็นข้อพิพาท หรือในกรณีร้ายแรง อาจถูกพิจารณาปรับตามมาตรา 84 ของ PDPA
สาม · GA4 และการส่งผ่านข้อมูลข้ามพรมแดน
เรื่องนี้ต้องอธิบายให้ชัด เพราะ GA4 ที่ใช้บนเว็บนี้ จะส่งข้อมูลของคุณไปยังเซิร์ฟเวอร์ของ Google ในสหรัฐอเมริกาเป็นหลัก ในเชิงกฎหมาย PDPA มาตรา 28 กำหนดว่าการส่งผ่านข้อมูลส่วนบุคคลไปยังต่างประเทศ ต้องดำเนินการในกรณีต่อไปนี้
- ประเทศปลายทางมีระดับการคุ้มครองข้อมูลที่เพียงพอ ในระดับเดียวกับ PDPA
- หรือเจ้าของข้อมูลให้ความยินยอมโดยชัดแจ้ง
- หรือเป็นการดำเนินการตามสัญญาที่เจ้าของข้อมูลเป็นคู่สัญญา
สำหรับ GA4 ที่ทำงานบนเว็บนี้ ผมยึดถือแนวทางการเก็บข้อมูลแบบ anonymized IP ซึ่งหมายความว่า IP ของคุณจะถูกตัดส่วนท้ายออกก่อนถูกส่งไปยัง Google ทำให้ไม่สามารถใช้ระบุตัวตนของคุณได้โดยตรง ในแนวทางของ PDPA ข้อมูลที่ผ่านการ anonymized แล้ว ไม่ถือเป็นข้อมูลส่วนบุคคลตามนิยามในมาตรา 6 ของกฎหมาย ดังนั้น การส่งผ่านข้อมูลแบบนี้จึงไม่ขัดกับ PDPA
ในเชิงระยะยาว Google ได้ลงทะเบียน Data Processing Agreement กับ Google Cloud ในระดับสากล รวมถึงในกรอบของ EU GDPR ที่เข้มงวดกว่า PDPA ของไทย ดังนั้น ในเชิงเปรียบเทียบมาตรฐานความปลอดภัย การเก็บข้อมูลผ่าน GA4 ในรูปแบบ anonymized ถือเป็นวิธีที่ปลอดภัยพอสมควรในกรอบของกฎหมายไทย
สี่ · ความแตกต่างของ cookie consent · GDPR เข้มงวด vs PDPA ผ่อนคลายกว่า
ในสหภาพยุโรปภายใต้กรอบ GDPR และ ePrivacy Directive ทุกเว็บไซต์ต้องแสดง cookie consent banner ขอความยินยอมจากผู้ใช้ก่อนตั้ง cookie ที่ไม่จำเป็น เช่น analytics cookie ของ GA4 และผู้ใช้ต้องสามารถปฏิเสธได้ง่ายเท่ากับการยอมรับ ทำให้เว็บไซต์ในยุโรปทุกรายมี cookie banner ที่ค่อนข้างเด่นชัด
ในประเทศไทยภายใต้กรอบ PDPA มาตรฐานเรื่อง cookie consent ผ่อนคลายกว่าใน GDPR ค่อนข้างมาก สำหรับ analytics cookie แบบ anonymized การให้ความยินยอมโดยปริยายผ่านการเข้าใช้งานเว็บถือว่ายอมรับได้ในเชิงปฏิบัติ และไม่จำเป็นต้องมี banner ที่บังคับให้คลิกก่อนเข้าใช้งาน นี่เป็นเหตุผลที่ gan111.com ไม่แสดง cookie consent banner ขนาดใหญ่ ซึ่งเป็นแนวปฏิบัติที่สอดคล้องกับเว็บไซต์ในประเทศไทยส่วนใหญ่
หากคุณเป็นผู้ใช้ที่ต้องการให้แน่ใจว่าไม่มี cookie ใด ๆ ถูกตั้งบน browser ของคุณ คุณสามารถปิด cookie ผ่านการตั้งค่าของ browser ก่อนเข้าใช้งานเว็บ ซึ่งเป็นการใช้สิทธิที่อยู่ในมือของคุณเองโดยสมบูรณ์
ห้า · สิทธิเชิง PDPA · access correct delete portability
ภายใต้ PDPA ผู้ที่อยู่ในประเทศไทยมีสิทธิเชิงข้อมูลส่วนบุคคล 6 ประการหลัก ตามมาตรา 30 ถึงมาตรา 37 ของกฎหมาย ผมขอแยกออกมาให้ทราบในเชิงปฏิบัติว่าจะใช้สิทธิเหล่านี้กับเว็บนี้ได้อย่างไร
- สิทธิในการขอเข้าถึงข้อมูล · ตามมาตรา 30 ส่งอีเมลมาที่ [email protected] ระบุว่า ขอใช้สิทธิ access ตาม PDPA ผมจะส่งข้อมูลที่เก็บไว้เกี่ยวกับคุณคืนกลับภายใน 30 วัน
- สิทธิในการแก้ไขข้อมูล · ตามมาตรา 35 หากข้อมูลในอีเมลที่คุณเคยส่งให้มีความไม่ถูกต้อง คุณสามารถขอแก้ไขได้
- สิทธิในการลบข้อมูล · ตามมาตรา 33 ขอให้ลบข้อมูลที่เกี่ยวข้อง ผมจะดำเนินการลบในส่วนที่อยู่ในการควบคุมของผมเอง ในส่วนของ GA4 ระบบจะลบอัตโนมัติหลัง 14 เดือน
- สิทธิในความสามารถในการเคลื่อนย้ายข้อมูล · ตามมาตรา 31 ขอข้อมูลในรูปแบบที่อ่านได้ทั่วไป สำหรับเว็บนี้คือเนื้อหาในอีเมลที่คุณเคยส่ง ในรูปแบบไฟล์ข้อความ
- สิทธิในการคัดค้านการประมวลผล · ตามมาตรา 32 ขอให้หยุดการประมวลผลข้อมูลของคุณ
- สิทธิในการถอนความยินยอม · ตามมาตรา 36 ปิด cookie ใน browser GA4 จะหยุดเก็บข้อมูลของคุณทันที
ภายใต้ PDPA ผมในฐานะผู้ควบคุมข้อมูลต้องตอบสนองคำขอใช้สิทธิภายใน 30 วันนับจากวันที่ได้รับคำขอ การไม่ตอบสนองภายในกรอบเวลานี้ อาจเป็นเหตุให้คุณร้องเรียนต่อ PDPC ได้
หก · ช่องทางอีเมลส่วนตัวสำหรับเรื่อง PDPA
เพื่อให้ผู้อ่านไทยติดต่อในเรื่อง PDPA และความเป็นส่วนตัว ผมจัดเตรียมช่องทางการติดต่อหลักที่ [email protected] สำหรับคำขอใช้สิทธิที่อ้างถึง PDPA ขอให้ระบุที่หัวข้อของอีเมลด้วยคำว่า PDPA หรือ ความเป็นส่วนตัว เพื่อให้ผมจัดลำดับความสำคัญในการตอบสนองให้เหมาะสม
หากคุณไม่ได้รับการตอบกลับภายใน 30 วันนับจากวันที่ส่งคำขอ ขอให้ทราบว่าคุณมีสิทธิเข้าร้องเรียนต่อ PDPC โดยตรงได้เลย ตามกรอบของกฎหมายไทย ซึ่งเป็นกลไกที่กฎหมายออกแบบไว้เพื่อคุ้มครองคุณในฐานะเจ้าของข้อมูล
เจ็ด · ข้อแนะนำสำหรับ retail ไทยในการใช้ exchange ระดับสากล
เรื่องที่ผมขอย้ำในส่วนนี้คือ เมื่อคุณคลิกลิงก์ affiliate จากเว็บนี้ไปยัง exchange ระดับสากล เช่น Binance หรือ OKX ข้อมูลส่วนบุคคลของคุณที่กรอกในการ KYC ที่ exchange นั้น ๆ จะอยู่ภายใต้กรอบกฎหมายของประเทศที่ exchange ตั้งอยู่ ไม่ใช่กฎหมายไทย เช่น Binance อยู่ในมอลตาและสหรัฐอาหรับเอมิเรตส์ OKX อยู่ในเซเชลส์
หมายความว่า PDPA ของไทยไม่ครอบคลุมการคุ้มครองข้อมูลของคุณที่อยู่ใน exchange เหล่านั้น คุณต้องอ่านนโยบายความเป็นส่วนตัวของ exchange แต่ละราย ก่อนตัดสินใจสมัคร เพื่อทราบมาตรฐานการคุ้มครองข้อมูลที่จะใช้กับข้อมูลของคุณในแต่ละ platform
ในเชิงปฏิบัติ exchange ใหญ่ระดับ tier 1 อย่าง Binance OKX Bybit Coinbase มีนโยบายความเป็นส่วนตัวที่ค่อนข้างเป็นมาตรฐานสากล สอดคล้องกับ GDPR ของยุโรปและ CCPA ของแคลิฟอร์เนีย ซึ่งเข้มงวดกว่า PDPA ของไทย ในระดับนี้ความเสี่ยงเชิงข้อมูลส่วนบุคคลอยู่ในระดับที่จัดการได้ในเชิง retail แต่หากคุณใช้ exchange ขนาดเล็กหรือ DEX ใหม่ ๆ ที่ไม่มีนโยบายความเป็นส่วนตัวอย่างเป็นทางการ ความเสี่ยงเชิงข้อมูลจะสูงขึ้นอย่างมีนัยสำคัญ