เมื่อปลายปีที่แล้ว สำนักงานคุ้มครองข้อมูลแห่งหนึ่งในยุโรปได้แถลงการณ์ถึงการใช้บริการติดตามผู้ใช้งานออนไลน์อย่าง Google Analytics ว่าขัดกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลยุโรป (General Data Protection Regulation: GDPR) สิ่งนี้ไม่เพียงแต่ส่งผลกระทบต่อธุรกิจที่กำลังใช้งาน Google Analytics เท่านั้น แต่ยังส่งผลถึงการตัดสินใจเลือกใช้งานบริการออนไลน์บนแพลตฟอร์มที่อยู่ในประเทศสหรัฐอเมริกา และยังไม่รวมถึงการส่งข้อมูลระหว่างยุโรปและสหรัฐอีกด้วย มีอะไรที่ซ่อนอยู่ในปัญหาดังกล่าวและเราจะถอดบทเรียนอะไรได้จากแถลงการณ์ดังกล่าวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลของเราได้บ้าง?

รายละเอียดของแถลงการณ์

รูปที่ 1 NOYB – European Center for Digital Rights องค์กรไม่แสวงหาผลกำไรที่ทำงานเกี่ยวสนับสนุนการใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคล (GDPR) ในทวีปยุโรป

เมื่อวันที่ 22 ธันวาคม 2021 สำนักงานคุ้มครองข้อมูลของประเทศออสเตรีย (Datenschutzbehörde, Data Protection Authority: DPA) ได้ออกแถลงการณ์เกี่ยวกับการร้องเรียนจากองค์กรไม่แสวงหาผลกำไรชื่อ NOYB ว่าการใช้บริการการติดตามผู้ใช้งานออนไลน์ของ Google Analytics ว่าได้เปิดเผยข้อมูล IP Address ที่เก็บจากทวีปยุโรปแล้วไปปรากฎบนเซิร์ฟเวอร์ของประเทศสหรัฐอเมริกา ซึ่งเป็นการขัดต่อกฎหมายในเรื่องการปกปิดข้อมูลส่วนบุคคลระหว่างการใช้งาน

“As the complainant has also rightly pointed out, US intelligence services take certain online identifiers (such as the IP address or unique identification numbers) as starting point for monitoring individuals.”

“…อย่างที่ผู้ร้องเรียนได้ชี้ถึงประเด็นปัญหา หน่วยสืบราชการลับของสหรัฐสามารถใช้ข้อมูลระบุตัวตนบางอย่าง (อย่างเช่น IP Address หรือ ข้อมูลตัวเลขประจำตัว) เพื่อเป็นจุดเริ่มต้นในการติดตามบุคคลได้…”

สำนักงานคุ้มครองข้อมูลของประเทศออสเตรีย (Datenschutzbehörde, Data Protection Authority: DPA)

การใช้งานข้อมูล IP Address ผิด GDPR อย่างไร?

GDPR ได้ระบุอย่างชัดเจนว่าข้อมูล IP Address เป็นข้อมูลส่วนบุคคลและไม่สามารถที่จะใช้งานข้อมูลนี้ได้แม้ว่าเราจะทำการแปลงข้อมูล IP Address นี้ให้เป็นข้อมูลนิรนามแล้วก็ตาม

Google ไม่ได้นิ่งนอนใจ จึงได้ออกแถลงการณ์ตอบโต้ในบล๊อคของ Google จากกรณีดังกล่าว โดยกล่าวในภาพรวมของการรักษาความปลอดภัยในแง่มุมต่าง ๆ ไม่ว่าจะเป็นการสนับสนุนให้ผู้ประกอบการได้ปฏิบัติตามกฎหมาย GDPR ได้ง่ายขึ้น การส่งข้อมูลข้ามทวีปจะเกิดขึ้นเมื่อข้อมูลดังกล่าวเป็นไปตามกฎเกณฑ์ข้อบังคับความเป็นส่วนตัวเท่านั้น และสามารถเปิดใช้งานการปกปิดข้อมูล IP Address ได้

อย่างไรก็ตาม ทางฝั่งผู้คุมกฎดูเหมือนว่าจะไม่พอใจในมาตรการการใช้งานการปกปิดข้อมูล IP Address ด้วยการอำพรางข้อมูล (Pseudonymization) โดยยกคำแถลงจากสำนักงานคุ้มครองข้อมูลของประเทศเยอรมนีที่กล่าวถึงการใช้ข้อมูล IP Address ที่มีการอำพรางไว้ว่าถึงแม้จะมีการอำพรางเพื่อไม่ให้ค้นพบตัวตนที่แท้จริง แต่ก็ยังสามารถ ”จำแนกจำเพาะบุคคล” (distinguishable) จากข้อมูลนั้น ๆ ได้ เพราะฉะนั้นการใช้งานข้อมูล IP Address ในรูปแบบใด ๆ จึงผิดในทุกกรณี

นอกจากนี้ ผู้ควบคุมกฎหมายคุ้มครองข้อมูลส่วนบุคคลในบางประเทศในทวีปยุโรปก็เห็นด้วยกับการที่ Google ผิดกฎหมาย GDPR ได้แก่

  • ประเทศสวีเดน: Google ถูกปรับเป็นจำนวนเงิน 75 ล้านโครนาสวีเดน (หรือประมาณ 260 ล้านบาท) จากไม่ยอมถอดข้อมูลชื่อบน Search Engine ในปี 2020
  • ประเทศฝรั่งเศส: Google ถูกปฏิเสธฟังก์ชันการปกปิด IP Address โดยชี้ว่าไม่ว่าอย่างไรหน่วยสืบราชการลับของประเทศสหรัฐก็สามารถเข้าไปใช้งานข้อมูล IP Address และข้อมูลระบุตัวตน (Personal Identifiable Information: PII) อื่น ๆ อยู่ดี
  • นอกเหนือจากประเทศออสเตรีย ผู้ดูแลกฎจากเนเธอร์แลนด์และนอร์เวย์ต่างเห็นพ้องกันกับการทำผิดกฎหมายของ Google Analytics พร้อมทั้งพยายามจะให้ผู้ประกอบการในประเทศลดการเพิ่งพาแพลตฟอร์มดังกล่าว

ผลกระทบที่จะเกิดขึ้น

เรื่องการตัดสินกรณีการกระทำผิดกฎหมายของ Google Analytics นี้ไม่เพียงแต่จะกระทบบริษัท Google เพียงเท่านั้น แต่จะยังกระทบต่อบริษัทที่ดำเนินงานในประเทศสหรัฐแต่ขายบริการให้ในกลุ่มประเทศสมาชิกสหภาพยุโรป เพราะการส่งข้อมูลส่วนบุคคลที่เก็บได้ในกลุ่มประเทศยุโรปไปให้บริษัทในประเทศสหรัฐในการวิเคราะห์จะไม่สามารถทำได้อีกต่อไป ทั้งนี้รวมถึงบริษัทในยุโรปที่ใช้บริการระบบคลาวด์คอมพิวเตอร์ที่มาจากสหรัฐก็จำเป็นต้องหาผู้ให้บริการเจ้าอื่น และกฎหมายยังเขียนไว้อีกด้วยว่าผู้ให้บริการที่มาจากทวีปอื่นจะสามารถให้บริการธุรกิจที่มาจากทวีปยุโรปได้ก็ต่อเมื่อกฎหมายคุ้มครองสิทธิความเป็นส่วนตัวในประเทศที่เก็บข้อมูลจะต้องมีความคุ้มครองที่มากกว่าหรือเท่ากันกับกฎหมายในทวีปยุโรป ซึ่งจำกัดแค่บริษัทที่ตั้งเซิร์ฟเวอร์ในประเทศยุโรปเท่านั้นที่สามารถทำธุรกิจออนไลน์ในทวีปนี้ได้ การแถลงการณ์ที่ออกมาดังกล่าวส่งผลให้เกิดต้นทุนที่เพิ่มขึ้นอย่างมากแก่หลายบริษัทขนาดเล็กในทวีปยุโรปในระยะสั้นที่จะต้องจัดหาบริการคลาวด์คอมพิวเตอร์จากผู้ให้บริการในทวีปตัวเอง อย่างไรก็ตามในระยะยาวแล้ว เราจำเป็นที่จะต้องติดตามการบังคับใช้กฎหมายนี้ต่อไปว่าจะเป็นเช่นไร

สำหรับผู้ประกอบการในยุโรปที่ใช้งาน Google Analytics ในการประกอบธุรกิจ โดยเฉพาะอย่างยิ่งนักการตลาดที่ใช้ข้อมูลในพฤติกรรมผู้บริโภคในการทำการตลาดก็จะไม่สามารถทำได้อีกต่อไปจากเหตุการณ์นี้ ถึงแม้ว่าในตอนนี้จะยังไม่มีการประกาศแบนอย่างเป็นทางการ แต่เหล่าคนทำงานที่อยากจะปฏิบัติตามกฎระเบียบย่อมเลือกที่จะหันหลังต่อการบริการนี้

กฎหมายที่เหลื่อมกันของสองทวีป

จากการรายงานข่าวนี้บนเว็บไซต์ TechCrunch Natasha Lomas นักข่าวอาวุโสได้เขียนสรุปความยุ่งเหยิงไว้ในประโยคเดียวว่า “ปัญหาที่แท้จริงของเรื่องนี้คือการปะทะกันระหว่างสิทธิความเป็นส่วนตัวของทวีปยุโรป (European privacy rights) และกฎหมายการสอดแนมของสหรัฐ (US surveillance law)” นี่อาจเป็นเหตุผลที่แท้จริงที่ทำให้ผู้ดูแลกฎของทางยุโรปถึงกลัวทางการสหรัฐ “โดยที่กฎหมายอย่างหลัง (สหรัฐฯ) ไม่แยแสต่อสิทธิส่วนบุคคลของชาติอื่นในการที่ทางการ (สหรัฐ) จะเก็บกวาดข้อมูลมาอย่างไรก็ตาม หรือแม้แต่การชดใช้ต่อความเสียหายจากการใช้ข้อมูลส่วนบุคคลนี้” เธอกล่าวเพิ่มเติม

เมื่อพูดถึงกฎหมายที่เฉพาะเจาะจงจริง ๆ ผู้ให้บริการคลาวด์คอมพิวเตอร์ที่อยู่ในประเทศสหรัฐอเมริกาจะต้องอยู่ภายใต้ Section 702 ของ Foreign Intelligence Surveillance Act ที่ให้อำนาจในการเก็บข้อมูลที่อยู่บนคลาวด์เซิร์ฟเวอร์ที่ตั้งอยู่ในสหรัฐและเป็นข้อมูลของพลเมืองที่ไม่ได้มีสัญชาติสหรัฐและไม่ได้พำนักอยู่ที่ในสหรัฐ หรือพูดง่าย ๆ ก็คือว่ารัฐบาลสหรัฐมีสิทธิที่จะขอข้อมูลผู้ใช้บริการชาติอื่น ๆ จากผู้ให้บริการสัญชาติสหรัฐได้ถูกต้องตามกฎหมาย นั่นคงเป็นเหตุผลที่เพียงพอที่ทำให้ผู้คุมกฎของยุโรปกังวลว่าหากข้อมูลตกอยู่ในผืนแผ่นดินสหรัฐแล้วนั้น ความเป็นส่วนตัวของประชากรในสหภาพยุโรปจะหมดลง

ถึงตรงนี้แล้ว ณ ขณะที่ทั้งสองฝ่ายมีการดำเนินธุรกิจร่วมกัน เป็นไปได้หรือไม่ที่ทั้งคู่จะมีข้อตกลงในการส่งข้อมูลถึงกัน เป็นกฎระเบียบที่มีการตกลงในบริษัทในแต่ละประเทศสามารถปฏิบัติได้ และถูกปกป้องจากกฎหมายพื้นเมืองในของพื้นที่นั้น ๆ แต่ทุกท่านทราบหรือไม่ว่าทั้งคู่นี้เคยพยายามที่จะให้มี ”ช่องทางการส่งข้อมูลส่วนบุคคล” ที่ไม่ผิดกฎหมาย อย่างไรก็ตามด้วยความพยายามในหลาย ๆ ครั้งที่ผ่านมากลับจบด้วยความล้มเหลว

ความพยายามในการส่งข้อมูลข้ามทวีป

รูปที่ 2 Designed by macrovector / Freepik

ความพยายามในการส่งข้อมูลข้ามทวีปเริ่มต้นขึ้นเมื่อปี ค.ศ. 2000 จากการที่คณะกรรมาธิการยุโรป (European Commission) ได้เห็นชอบหลักการที่ร่างขึ้นโดยกระทรวงพาณิชย์ของสหรัฐในการส่งข้อมูลส่วนตัวข้ามทวีป หรือที่เรียกกันว่า Safe Harbour Privacy Principles โดยหลักการดังกล่าวเขียนขึ้นไว้เพื่อให้บริษัทในสหรัฐที่เก็บข้อมูลส่วนตัวของผู้ใช้งานชาวยุโรปได้ทำตามเพื่อให้สอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลของทวีปยุโรป หลักการนี้ได้ช่วยให้ผู้ประกอบการธุรกิจออนไลน์ในสหรัฐสามารถทำธุรกิจได้อย่างถูกกฎหมายของทั้งสองประเทศคู่ค้า

จนเมื่อปี 2015 ศาลยุติธรรมแห่งสหภาพยุโรป (European Court of Justice) ได้ตัดสินให้ ”การเห็นชอบต่อหลัก Safe Harbour Privacy Principles ของคณะกรรมาธิการยุโรปเป็นโมฆะ” (“The Court of Justice declares that the Commission’s U.S. Safe Harbour Decision is invalid.”) นั้นหมายความว่าการส่งข้อมูลระหว่างทวีปนั้นถือว่าไม่ชอบด้วยหลักการคุ้มครองความเป็นส่วนตัวของสหภาพยุโรป และกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรปที่เพิ่งเกิดขึ้นภายหลังในปี 2018 แต่การตัดสินในครั้งในไม่ได้ก่อให้เกิดการยกเลิกการดำเนินธุรกิจในสหภาพยุโรปของสหรัฐ เพียงแต่ว่าเราต้องมีหลักการที่ดีกว่านี้ ด้วยความพยายามนี้ ก่อให้เกิดหลักการใหม่ที่เรียกว่า Privacy Shield

Privacy Shield คือ ชื่อของโครงการใหม่ที่จะมากำหนดหลักการของส่งข้อมูลข้ามมหาสมุทรแอตแลนติก หรือจะเรียกว่า New Safe Harbour ก็คงไม่ผิดนัก หลักการใหม่นี้ได้ทำให้ความคุ้มครองความเป็นส่วนตัวเพิ่มขึ้นมาโดยการเพิ่มอำนาจให้กับทางฝั่งผู้ตรวจสอบและผู้ใช้งานของทวีปยุโรป แต่นั่นก็ไม่เพียงพอที่จะทำให้ถูกใช้งานหลังจากที่ศาลยุติธรรมแห่งสหภาพยุโรปก็ปัดตกไปเช่นเดิมในปี 2020 และล่าสุดในปีนี้ (2022) ประธานาธิปดีสหรัฐและประธานคณะกรรมาธิการยุโรปได้เตรียมตัวร่างหลักการอีกรอบนึงที่มีชื่อเรียกว่า Trans-Atlantic Data Privacy Framework ซึ่งจะเข้ามาแทนที่ Privacy Shield และตัวอื่น ๆ ที่เพิ่งปัดตกไป

ในแง่หนึ่ง ความล่าช้าในการร่างมาตรฐานของการส่งข้อมูลส่วนบุคคลระหว่างกันนี้ได้ทำให้เกิดความไม่แน่นอนในการทำธุรกิจ ซึ่งส่งผลให้แรงจูงใจในการทำธุรกิจระหว่างมหาสมุทรแอตแลนติกลดลง และเกิดค่าใช้จ่ายที่สูงมากขึ้นอย่างที่ได้กล่าวไป นอกจากนี้ ยังเป็นเป็นตัวยับยั้งไม่ให้ภาคธุรกิจได้สร้างสรรค์นวัตกรรมอย่างที่ควรจะเป็น ซึ่งอาจจะส่งผลให้ประเทศที่มีกฎระเบียบที่รัดกุมน้อยกว่าชนะในการแข่งขันการสร้างนวัตกรรมระหว่างประเทศ

ประเทศไทยและ PDPA

ประเทศไทยเพิ่งจะเริ่มใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลหรือที่เราเรียกกันว่า PDPA เมื่อวันที่ 1 มิถุนายนที่ผ่านมา โดยสาระสำคัญหลัก ๆ ในการคุ้มครองข้อมูลส่วนบุคคลของเจ้าของข้อมูลนั้น ๆ จะคล้ายคลึงกันกับกฎหมายทางฝั่งยุโรปหรือ GDPR เช่น การขอความยินยอมก่อนการใช้งานของมูลส่วนบุคคลในการดำเนินกิจกรรมใด ๆ สิทธิของเจ้าของข้อมูลในการเรียกร้องการตรวจสอบกระบวนการในการแปรข้อมูลส่วนตัว สิทธิในการเพิกถอนการใช้งานข้อมูลส่วนตัว เป็นต้น ในส่วนที่เป็นข้อแตกต่างระหว่าง PDPA และ GDPR และเป็นส่วนที่เกี่ยวข้องกับกรณีนี้ก็คือ นิยามของข้อมูลนิรนาม และข้อมูลส่วนบุคคล โดยเฉพาะอย่างยิ่ง ข้อมูล IP Address กฎหมาย GDPR กำหนดให้ ”ข้อมูล IP Address เป็นข้อมูลส่วนบุคคล” และการใช้ทำให้ข้อมูลอำพรางข้อมูลนี้ก็ยังถือเป็นการใช้งานข้อมูลแฝง  (Pseudonymous data) นั่นคือก็ยังผิดกฎหมายอยู่ดี การใช้ข้อมูลดังกล่าวโดยไม่ได้รับการยินยอมจากเจ้าของข้อมูลมีความผิด แต่สำหรับ PDPA แล้วนั้น เรายังไม่มีข้อสรุปในกรณีของ IP Address ว่าเป็นข้อมูลส่วนบุคคลหรือไม่ มีความเป็นไปได้ว่าคำตัดสินการใช้งานข้อมูล IP Address อาจจะดูไปตามแต่ละกรณีไป 

อ่านเพิ่มเติม สำหรับนิยามของข้อมูลนิรนามและการจัดทำข้อมูลนิรนามได้ที่ การจัดทำข้อมูลนิรนาม (Data Anonymization)

สรุป

ปฏิเสธไม่ได้ว่า ปัจจุบันเทคโนโลยีดิจิทัลเข้ามามีอิทธิพลต่อเรามหาศาล สิ่งที่ตามมาด้วยคือความสามารถในการเก็บและประมวลผลข้อมูลขนาดใหญ่ในระดับที่ไม่เคยมีมาก่อน การสร้างกฎหมายคุ้มครองข้อมูลส่วนบุคคลเป็นความพยายามในการอนุญาตให้มีการใช้ข้อมูลส่วนบุคคลอย่างถูกกฎหมายและป้องกันไม่ให้การใช้ข้อมูลส่วนบุคคลในทางที่ละเมิดสิทธิความเป็นส่วนตัว เรื่องนี้เป็นเรื่องที่ยังใหม่มากสำหรับทุกประเทศและยังต้องการการวิเคราะห์และขัดเกลาในตัวบทกฎหมายอีกสักพักกว่าที่กฎหมายนี้จะพร้อมและเตรียมตัวเข้าสู่ยุคดิจิทัลอย่างเต็มตัว เรื่องการกระทำผิดกฎหมายของ Google ในกรณีของ Google Analytics อาจเป็นจุดเปลี่ยนครั้งสำคัญในหลาย ๆ เรื่อง ผู้เขียนมองว่าเรื่องนี้จะเป็นจุดเริ่มต้นของผลกระทบที่เป็นไปได้ทั้งสองทาง ในทางหนึ่ง เรื่องนี้อาจเป็นเรื่องที่ทำให้มาตรฐานในการทำธุรกิจออนไลน์มีความน่าเชื่อถือมากยิ่งขึ้น หรือไม่อาจจะเป็นจุดเริ่มต้นของความขัดแย้งระหว่างประเทศที่ยิ่งใหญ่ก็เป็นได้ เราในฐานะผู้เฝ้าดูจึงทำได้แต่ติดตามอย่างใกล้ชิดและรอดูสถานการณ์ในอนาคตต่อจากนี้

อ้างอิง
https://www.wired.com/story/google-analytics-europe-austria-privacy-shield/
https://techcrunch.com/2022/01/12/austrian-dpa-schrems-ii/

เขียนโดย อนันต์วัฒน์ ทิพย์ภาวัต
เรียบเรียงและแก้ไขโดย นววิทย์ พงศ์อนันต์

Recommended Posts