“เราถ่ายรูปกับเพื่อนแล้วอัปโหลดลงโซเชียล ผิด PDPA ไหมนะ เพื่อนฟ้องเราได้หรือเปล่า?”

“การใช้ภาพจากกล้องติดหน้ารถยนต์ที่ถ่ายเห็นคนอื่นบนถนนมาเป็นหลักฐานตอนเกิดอุบัติเหตุ ถือเป็นการละเมิดความเป็นส่วนตัวหรือไม่?”

บทความนี้จะมาไขข้อข้องใจกับคำถามทั่ว ๆ ไปที่หลายคนสงสัยเกี่ยวกับ PDPA หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลที่จะเริ่มบังคับใช้ภายในกลางปีหน้า จากผู้เชี่ยวชาญด้าน PDPA ทั้ง 3 ท่าน ที่ได้ให้เกียรติมาร่วมสนทนาพูดคุยใน Clubhouse event เมื่อวันที่ 30 กันยายน ที่ผ่านมา โดยเราได้สรุปเนื้อหาและประเด็นที่น่าสนใจต่าง ๆ ที่ได้จากการพูดคุยมาให้ได้อ่านกันค่ะ

Clubhouse event นี้เป็นส่วนหนึ่งของความร่วมมือระหว่าง Government Big Data Institute (GBDi) และ ASEAN CIO Association Club (ACIOA) เพื่อส่งเสริมความฉลาดรู้ทางข้อมูล (Data Literacy) ในภูมิภาคอาเซียน โดยได้รับเกียรติจากวิทยากรผู้เชี่ยวชาญด้านการคุ้มครองข้อมูลส่วนบุคคลถึง 3 ท่าน ได้แก่ ดร.สุนทรีย์ ส่งเสริม สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม  ดร.พีรพัฒ โชคสุวัฒนสกุล อาจารย์ประจำคณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย และอาจารย์ฐิติรัตน์ ทิพย์สัมฤทธิ์กุล อาจารย์ประจำคณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์

ดร.สุนทรีย์ ส่งเสริม (กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม) ดร.พีรพัฒ โชคสุวัฒนสกุล (จุฬาลงกรณ์มหาวิทยาลัย) และ อ.ฐิติรัตน์ ทิพย์สัมฤทธิ์กุล (มหาวิทยาลัยธรรมศาสตร์)
(จากซ้ายไปขวา) ดร.สุนทรีย์ ส่งเสริม (กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม) ดร.พีรพัฒ โชคสุวัฒนสกุล (จุฬาลงกรณ์มหาวิทยาลัย) และ อ.ฐิติรัตน์ ทิพย์สัมฤทธิ์กุล (มหาวิทยาลัยธรรมศาสตร์)

ก่อนอื่นเลย มาทำความเข้าใจกันก่อนว่า PDPA คืออะไร สำคัญอย่างไร

ดร.พีรพัฒ: PDPA ย่อมาจาก Personal Data Protection Act หรือว่า พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กฎหมายที่ออกมาเพื่อคุ้มครองคนที่ข้อมูลส่วนบุคคลชี้ไปหา หรือที่เราเรียกว่าเจ้าของข้อมูลส่วนบุคคล เวลาที่มีคนจะมายุ่งกับข้อมูลของเรา เขาต้องบอกให้ได้ว่ามีสิทธิอะไร ถ้าจะมาทำให้ความเป็นส่วนตัวในข้อมูลส่วนบุคคลของเราได้รับการกระทบมากเกินไปเขาก็ควรจะไม่มีสิทธินั้น หรือเราเองก็ควรมีสิทธิที่จะปกป้องผลกระทบที่อาจเกิดขึ้นกับเราเอง กฎหมายฉบับนี้ถูกสร้างมาเพื่อคุ้มครองการใช้ชีวิตของเรา เช่น บน Social media บน Internet ที่มีข้อมูล มี Footprints ของเราเต็มไปหมด ซึ่งก็ไม่ใช่แค่ประเทศไทยที่มีกฎหมายนี้ อย่างในยุโรปก็มี GDPR ที่มีจุดประสงค์ก็เพื่อคุ้มครองพวกเราทุก ๆ คน

แล้วคำสำคัญที่ควรรู้มีอะไรบ้าง

ดร.สุนทรีย์: แน่นอนก็คือคำว่า ‘ข้อมูลส่วนบุคคล’ ซึ่งหมายถึงข้อมูลอะไรก็แล้วแต่ที่ชี้มาทำให้ระบุตัวคนได้ทั้งทางตรงและทางอ้อม นิยามนี้เป็นนิยามตามมาตรฐานสากล ถ้าถามว่าทำไมต้องให้นิยามกว้างขนาดนี้ ทำไมไม่เจาะจงไปเลยว่าอะไรคือข้อมูลส่วนบุคคลบ้าง นั่นเป็นเพราะเทคโนโลยีที่พัฒนาอย่างรวดเร็วทำให้บางครั้งข้อมูลบางอย่างที่เราไม่เคยนึกว่าจะโยงมาถึงตัวเราได้ แต่เมื่อมาประกอบกันก็อาจสามารถระบุมาถึงตัวเราได้ คำนิยามของ “ข้อมูลส่วนบุคคล” จึงต้องครอบคลุมทั้งข้อมูลที่ระบุตัวเราได้ทั้งทางตรงและทางอ้อม

คำต่อมาก็คือคำว่า ‘เจ้าของข้อมูลส่วนบุคคล’ สมัยก่อนเมื่อเราได้ยินคำว่าเจ้าของ เราจะเข้าใจว่าหน่วยงานที่เป็นคนเก็บข้อมูลก็คือเจ้าของข้อมูล แต่สำหรับกฎหมายคุ้มครองข้อมูลส่วนบุคคล คำว่าเจ้าของข้อมูลส่วนบุคคลหรือที่ภาษาอังกฤษใช้คำว่า ‘Data Subject’ นั้นหมายถึงบุคคลธรรมดาอย่างเรานี่แหละที่เป็นเจ้าของข้อมูลส่วนบุคคล

ศัพท์ใหม่ที่เพิ่มขึ้นมาอีกสองคำคือ ‘ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)’ กับ ‘ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)’ Data Controller คือคนที่เก็บรวบรวมข้อมูลของเรา ใช้ข้อมูลเรา หรือเอาไปเปิดเผย อย่างเช่น การซื้อของออนไลน์ บริษัทที่เราไปซื้อของจำเป็นต้องเก็บข้อมูลของเรา เช่นนี้จะถือว่าเขาเป็น ‘ผู้ควบคุมข้อมูลส่วนบุคคล’ ของเรา ถ้าบริษัทนี้ส่งข้อมูลไปให้อีกบริษัทหนึ่งให้ช่วยจัดการคำสั่งซื้อสินค้า บริษัทหลังนี้จะถือว่าเป็น ‘ผู้ประมวลผลข้อมูลส่วนบุคคล’ นั่นก็คือผู้ที่รับข้อมูลจากผู้ควบคุมฯ ให้ไปทำตามคำสั่ง

คำต่อมาที่อยากแนะนำคือ ‘ความยินยอม (Consent)’ กับคำว่า ‘ประกาศความเป็นส่วนตัว (Privacy Notice)’ เวลาเข้าเว็บไซต์ต่าง ๆ ก็จะเห็น pop-up ขึ้นมาและมีคำถามให้กดยอมรับหรือยินยอม เจอคำว่าประกาศความเป็นส่วนตัว บางทีก็เป็นคำว่านโยบายคุ้มครองข้อมูลส่วนบุคคล หลายคนก็งงว่าตกลงมันคืออะไร เป็นสิ่งเดียวกันหรือเปล่า ตามกฎหมายแล้วจะมีสองเรื่องอยู่ในนี้ก็คือเรื่อง ‘ความยินยอม’ กับ ‘Privacy Notice’ หรือการประกาศแจ้งความเป็นส่วนตัว เป็นการแจ้งรายละเอียดว่าเว็บไซต์นั้นจะเก็บข้อมูลอะไรเราบ้าง สมมุติจะเก็บคุกกี้ ก็ต้องบอกว่าจะเก็บคุกกี้เรื่องอะไรบ้าง หรือถ้าเราไปทำธุรกรรมที่ธนาคาร ธนาคารจะเก็บข้อมูลอะไรเราบ้าง

PDPA ถูกเลื่อนการบังคับใช้ไปหลายครั้ง ครั้งนี้จะมีการขยายเวลาอีกหรือไม่

ดร.สุนทรีย์: ในส่วนของเรื่องการบังคับใช้กฎหมาย  ทางรัฐบาลและกระทรวงตั้งใจจะให้กฎหมายฉบับนี้มีผลบังคับใช้ตามกำหนด คือในวันที่ 1 มิถุนายนปีหน้า ในปีที่ผ่านมาหลายท่านอาจจะได้เห็นกิจกรรมที่ทางสำนักงานฯ และกระทรวงฯ จัดมาตลอดเพื่อเตรียมความพร้อมให้กับผู้ประกอบการ เนื่องจากเป็นกฎหมายใหม่ที่ทำให้ต้องปรับตัวกันเยอะมาก และจะต้องออกกฎหมายระดับรอง ประกาศ หรือหลักเกณฑ์ต่าง ๆ ที่เกี่ยวข้องเป็นจำนวนมาก ซึ่งเรา (สำนักงานฯ) พยายามดึงผู้เกี่ยวข้องเข้ามามีส่วนร่วมให้มากที่สุด โดยกฎหมายระดับรองจะมีประกาศที่เกี่ยวข้องทั้งหมด 18 เรื่องที่เป็นเนื้อหาเฉพาะ

อีกโครงการคือการจัดทำแผนแม่บท ซึ่งหมายถึงการวางนโยบายระยะยาว 1-5 ปี ยุทธศาสตร์ที่สำคัญแรกเลยคือการให้ความรู้ สร้างความตระหนักรู้ และสร้างบุคคลากรให้เข้าใจกฎหมายฉบับนี้ เรามีการทำแนวทางปฏิบัติ (Guideline) เพื่อใช้เป็นแนวทางตัวอย่างสำหรับนำไปปฏิบัติเมื่อถึงเวลาที่กฎหมายฉบับนี้ถูกบังคับใช้ โดยโครงการที่ได้จัดทำขึ้นไปแล้วเป็นการเน้นในฝั่งของผู้ประกอบการ สำหรับโครงการหลังจากนี้เราจะเน้นการสร้างความรู้ความเข้าใจให้กับประชาชนให้มากขึ้น วันนี้ต้องขอบคุณทาง GBDi มากที่จัดกิจกรรมนี้ขึ้นเพื่อเป็นช่องทางให้สำนักงานฯ ได้มีโอกาสสื่อสารกับคนทั่วไป ได้รับฟังว่าคนทั่วไปมีความสงสัยในกฎหมายฉบับนี้อย่างไรบ้าง เพื่อนำไปปรับทำเป็นแผนที่จะสื่อสารส่งความรู้ เพิ่มความเข้าใจให้ประชาชนได้มากขึ้น ให้กฎหมายฉบับนี้สามารถพร้อมบังคับใช้ได้ในวันที่ 1 มิถุนายนปีหน้า

ในระหว่างนี้แต่ละฝ่ายควรมีการเตรียมตัวอย่างไรบ้าง

อ.ฐิติรัตน์: ระหว่างที่รอกฎหมายมีผลบังคับใช้ กลุ่มธุรกิจหรือองค์กรต่าง ๆ สามารถเริ่มเตรียมการเพื่อที่จะทำตามกฎหมายได้ทันที เพราะการดำเนินกิจการขององค์กรล้วนแต่มีการใช้ข้อมูลส่วนบุคคลอยู่แล้ว โดยข้อมูลส่วนบุคคลในแต่ละองค์กรอาจมาจาก ข้อมูลของลูกค้า พาร์ตเนอร์ หรือลูกจ้าง ซึ่งแต่ละกลุ่มล้วนมีความสำคัญต่อหน่วยงาน เมื่อเราเอาข้อมูลของพวกเขามาใช้เราก็ควรจะดูแลใหัดี ถ้าเราดูแลไม่ดีมันก็จะเกิดปัญหาขึ้นแบบที่เห็นในข่าว เช่น ลูกค้าเกิดความไม่พอใจแล้วหนีไปใช้แบรนด์อื่น หรือลูกจ้างรู้สึกไม่สบายใจกับองค์กรซึ่งจะนำมาสู่บรรยากาศที่ไม่ดีต่อการทำงานและอาจจะก่อให้เกิดความเสียหายต่าง ๆ ตัวกฎหมายที่ออกมานี้ถือเป็นการกำหนดมาตรฐาน สร้างความคาดหวังในสังคมที่ตรงกันว่านี่คือ ขั้นตอนที่เราจะดูแลข้อมูลของคนที่เราจะทำงานด้วยให้ดี ไม่ว่าจะเป็นลูกค้า พาร์ตเนอร์ หรือลูกจ้าง

การเตรียมตัวขององค์กรอาจจะเริ่มต้นจากการประเมินว่าองค์กรของตนใช้ข้อมูลแบบไหนอยู่บ้าง มีความเสี่ยงตรงไหน มีเรื่องไหนที่ควรจะกังวลแล้วเริ่มจากจุดนั้น เมื่อกฎหมายมีกำหนดบังคับใช้ในปีหน้าเราจะพูดได้อย่างเต็มปากว่าได้ทำตามกฎหมายแล้ว ยิ่งถ้าทำได้ก่อนก็ยิ่งแสดงให้เห็นถึงความตั้งใจ ในความเป็นจริงมีหลายหน่วยงานที่ได้ปฏิบัติตามกฎหมายนี้แล้วถึงแม้ตัวกฎหมายจะถูกเลื่อนการบังคับใช้ โดยเฉพาะหน่วยงานด้านการเงินการธนาคาร ซึ่งถือเป็นการพัฒนาการที่ดีและสะท้อนให้เห็นว่าประชาชนมีความตื่นตัวในเรื่องพวกนี้อยู่แล้ว

PDPA เกี่ยวข้องกับประชาชนทุกคนอย่างไร ประชาชนจะได้รับประโยชน์หรือเสียผลประโยชน์จากการบังคับใช้ PDPA อย่างไรบ้าง

อ.ฐิติรัตน์: คนทั่วไปน่าจะได้ประโยชน์มากกว่าเสียผลประโยชน์ในเชิงที่ว่าเราจะมีข้อมูลมากขึ้นจากบริการและแพลตฟอร์มต่าง ๆ ที่เราใช้ ถ้าใครจะเอาข้อมูลเราไปเขาต้องบอกเราว่าจะเอาไปใช้ทำอะไร ถ้าบริการไหนใช้ข้อมูลของเรามากเกินไปหรือบอกเราไม่ชัดเจน เราก็มีสิทธิเลือกไม่ใช้บริการนั้น ซึ่งแรงตอบสนองจากผู้บริโภคจะทำให้ธุรกิจต่าง ๆ ปรับตัว เช่น เคยมี E-commerce Platform ที่เชื่อมบัญชีกับเบอร์มือถือของเราเพื่อยืนยันตัวตน ซึ่งนอกจากจะเชื่อมเบอร์มือถือแล้วยังขอเข้าถึงสมุดโทรศัพท์ในมือถือเราด้วย ทำให้รู้เบอร์เพื่อน ๆ ของเรา ถ้าหากเพื่อนของเรามีบัญชีอยู่บนแพลตฟอร์มเดียวกัน เราจะสามารถเห็นได้ว่าเพื่อนไปซื้อของจากร้านไหน โดยที่แพลตฟอร์มไม่ได้บอกเราก่อนหรือไม่ได้ให้ตัวเลือกเราเลยว่าเราต้องการเชื่อมข้อมูลเหล่านั้นหรือไม่ เหตุการณ์นี้ทำให้เกิดการตอบสนองที่ค่อนข้างรุนแรง มีคนเข้าไปต่อว่า ทำให้บริษัทต้องรีบปรับตัวภายใน 1-2 วัน มีการปรับแก้ฟังก์ชันเหล่านี้

กฎหมายที่ออกมาช่วยสร้างความชัดเจนว่าอะไรคือมาตรฐานที่บริษัทจะต้องทำ หากไม่ทำตามผู้บริโภคสามารถใช้สิทธิเรียกร้องได้เต็มที่ และสามารถใช้สิทธิของตนเองเพื่อขอทราบว่าข้อมูลอะไรของเราถูกนำไปประมวลผลบ้าง หรือถูกนำไปแชร์ให้บุคคลที่สามหรือไม่ หรือเวลาที่เรารับ Spam Call เราก็สามารถถามได้ว่าเขาเอาข้อมูลเรามาจากไหน และเรามีสิทธิที่จะขอให้เขาหยุดเอาข้อมูลของเราไปใช้งาน หรือขอให้ลบจากระบบเลยก็ยังได้ หากพบว่าใครไม่ปฏิบัติตามเราสามารถร้องเรียนได้ที่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ซึ่งเป็นหน่วยงานใหม่ที่ตั้งขึ้นมาเพื่อกำกับดูแลให้องค์กรต่าง ๆ ทั้งรัฐและเอกชนทำตามกฎหมายนี้และคุ้มครองสิทธิของประชาชน

กฎหมายที่ออกมาช่วยสร้างความชัดเจนว่าอะไรคือมาตรฐานที่บริษัทจะต้องทำ หากไม่ทำตามผู้บริโภคสามารถใช้สิทธิเรียกร้องได้เต็มที่ และสามารถใช้สิทธิของตนเองเพื่อขอทราบว่าข้อมูลอะไรของเราถูกนำไปประมวลผลบ้าง

PDPA จะทำให้แนวโน้มพฤติกรรมของแต่ละคนเปลี่ยนไปอย่างไรบ้าง

ดร.พีรพัฒ: ตอนนี้คนเริ่มรู้แล้วว่ามีกฎหมายนี้ออกมา สังเกตง่าย ๆ จาก 3 ปีที่แล้ว เคยมีกรณีบัตรประชาชนหลุดเยอะมาก ถ้าเทียบกระแสตอนนั้นกับตอนนี้ที่ล่าสุดไม่กี่สัปดาห์ที่ผ่านมามีข้อมูลของสาธารณสุขหลุด จะเห็นได้ว่าการตอบรับ การตื่นตัวของคนต่างกัน คนเริ่มตื่นตัวกันมากขึ้น เริ่มระวังกันมากขึ้น หลังจากนี้ลูกค้าจะไม่ได้เลือกสิ่งของที่ราคาถูกหรือน่าใช้เพียงอย่างเดียว แต่จะเลือกสินค้าหรือบริการที่มีการคุ้มครองและมีความโปร่งใสในการดูแลข้อมูลส่วนบุคคลมากขึ้น เมื่อพฤติกรรมของฝั่ง demand หรือคนที่เป็นเจ้าของข้อมูลส่วนบุคคลเริ่มปกป้องตัวเองมากขึ้นเพราะรู้ว่าเรามีสิทธิแล้ว ส่งผลให้ ‘ผู้ควบคุมข้อมูลส่วนบุคคล’ กับ ‘ผู้ประมวลผลข้อมูลส่วนบุคคล’ มีการปรับตัวตาม ดำเนินการด้วยความระมัดระวังมากขึ้น เก็บข้อมูลเท่าที่จำเป็นจริง ๆ และให้ความสำคัญกับเรื่องข้อมูลส่วนบุคคลมากขึ้นเพราะรู้แล้วว่าลูกค้าเริ่มให้ความสำคัญ

‘ผู้ควบคุมข้อมูลส่วนบุคคล’ กับ ‘ผู้ประมวลผลข้อมูลส่วนบุคคล’ มีการปรับตัวตาม ดำเนินการด้วยความระมัดระวังมากขึ้น เก็บข้อมูลเท่าที่จำเป็นจริง ๆ และให้ความสำคัญกับเรื่องข้อมูลส่วนบุคคลมากขึ้น

ดร.สุนทรีย์: ปีที่ผ่านมาผู้บริโภคตระหนักถึงกฎหมาย PDPA มากขึ้น ผู้ประกอบการเองก็ปรับตัว จะเห็นว่ามีบริการใหม่ ๆ ที่เปิดเพิ่มขึ้นมา และบางครั้งผู้บริโภคก็จะให้ความเห็นกลับไปว่า เราไม่ได้อยากได้บริการแบบนี้ หรือมันเริ่มรุกล้ำความเป็นส่วนตัวแล้ว อย่างเช่น บริการส่งของซึ่งช่วงแรก ๆ อาจระบุให้ต้องถ่ายรูปคู่กับหน้าเราที่เป็นคนรับของเพื่อยืนยันว่าเขาส่งของถึงเราจริง แต่พอผู้บริโภคเริ่มตระหนัก (ถึงการคุ้มครองความเป็นส่วนตัว) ก็จะบอกว่า จริง ๆ มันไม่จำเป็นนะ ถ่ายบ้านเลขที่หรือมืออย่างเดียวได้หรือเปล่า หรืออย่างการซื้อของออนไลน์ที่มีการโพสต์ Tracking number เพื่อจะบอกว่าร้านค้านี้ขายดี ซึ่งมีชื่อ-ที่อยู่ของเราติดอยู่ และของที่ซื้อก็สามารถบอกความชอบของผู้ซื้อได้ ตอนนี้ก็เริ่มมีผู้บริโภคที่แจ้งกลับไปที่ร้านค้าเหล่านั้นว่าให้บอกแค่ Tracking number ไม่ต้องลงชื่อ หรือให้ส่ง Inbox มาบอกแทน หรือถ้าจะแสดงให้คนเห็นว่าร้านคุณขายดีก็โพส Tracking number แต่ลบชื่อออกไปให้หมด เพราะที่อยู่ที่ให้ไปมีไว้ให้ส่งของอย่างเดียว ไม่ใช่เพื่อให้คนอื่นรู้ว่าเราซื้ออะไร ก็อยากจะแจ้งทุกท่านว่าเรามีสิทธิที่จะสอบถามกลับไปนะ

นอกจากนี้ หลังจากกฎหมายนี้ถูกบังคับใช้ที่ยุโรปเมื่อ 3 ปีก่อน หลาย ๆ บริการที่เราใช้ก็เปลี่ยนแปลงไป เช่น ตอนนี้ Facebook ให้เราสามารถตั้งค่า Privacy ต่าง ๆ ได้มากขึ้น สมัยก่อนถ้าเราอยากเอารูปที่เก็บอยู่บน Facebook ไปไว้ที่อื่น ต้องมากดดาวน์โหลดทีละรูป แต่ด้วยกฎหมายทางสากลของทางยุโรปที่บังคับว่าผู้ให้บริการจะต้องให้บริการคนที่เป็น Data Accountability ด้วย Facebook ก็เลยอนุญาตให้เราสามารถไปตั้งค่าให้ดาวน์โหลดหรือส่งต่อรูปทั้งหมดไปไว้บน Google Photos ได้ จากเดิมเราไม่เคยคิดว่าผู้ให้บริการรายใหญ่จะร่วมมือกันในเรื่องแบบนี้ แต่พอกฎหมายออกมาทำให้ผู้ประกอบการต้องปรับตัวเพื่อให้ผู้บริโภคพึงพอใจกับบริการมากขึ้นหรืออย่างทุกวันนี้ในแอปพลิเคชันที่เราใช้เวลาถ่ายรูป เราก็เลือกให้เบลอได้ จะเห็นได้ว่า Feature ต่าง ๆ เหล่านี้ถูกพัฒนาขึ้นมาเพราะทั้งโลกกำลังตระหนักถึงการคุ้มครองข้อมูลส่วนบุคคล ประเทศจีนเดือนที่แล้วก็เพิ่งออกกฎหมายคุ้มครองข้อมูลส่วนบุคคลและจะมีผลบังคับใช้ปลายปีนี้ ซึ่งจะเห็นได้ว่าเรื่องนี้มันเป็นเรื่องที่ทำให้เกิดการพัฒนายกระดับเรื่องการใช้ข้อมูลขึ้นทั้งโลก

จะเห็นได้ว่า Feature ต่าง ๆ เหล่านี้ถูกพัฒนาขึ้นมาเพราะทั้งโลกกำลังตระหนักถึงการคุ้มครองข้อมูลส่วนบุคคล

อ.ฐิติรัตน์: ต่อไปเราจะเริ่มมีการตั้งคำถามกับสิ่งที่เราเคยทำเป็นปกติ เช่นการฝากบัตรประชาชนเอาไว้ก่อนจะเข้า-ออกหมู่บ้านของเพื่อน เราก็จะเริ่มตั้งคำถามว่าทำไปทำไม คุ้มกันหรือไม่กับการที่เราเอาสิ่งสำคัญมากในการทำธุรกรรมต่าง ๆ อย่างบัตรประชาชนไปฝากไว้กับคนที่เราไม่รู้จัก พอเราเริ่มตั้งคำถามก็จะนำมาซึ่ง Accountability ในฝั่งคนที่เอาข้อมูลเราไปใช้งาน ความรับผิดชอบของการอธิบายว่าถ้าเขาจะทำอะไรสักอย่างกับข้อมูลเรา เขาจำเป็นต้องอธิบายให้ได้ว่าทำไปทำไม หรือถ้าเอาข้อมูลไปแล้วจะดูแลข้อมูลของเราอย่างไรบ้าง เขาก็ต้องไปเรียนรู้เพื่อจะมาให้คำตอบสำหรับคำถามเหล่านี้

ในขณะที่ฝั่งประชาชนอาจตระหนักรู้ในหลักการเป็นหลัก นั่นก็คือ ข้อมูลส่วนบุคคลของเรา คนอื่นจะเอาไปใช้ได้ต้องมีความจำเป็น ต้องอธิบายได้ว่าเอาไปทำไม แล้วที่บอกว่าจำเป็น มันมีวิธีอื่นหรือไม่ที่รุกล้ำความเป็นส่วนตัวน้อยกว่าแต่บรรลุวัตถุประสงค์เดียวกันได้ ฝั่งผู้ควบคุมข้อมูลส่วนบุคคล ได้แก่ ผู้ประกอบการ หน่วยงานภาครัฐ หรือองค์กรต่าง ๆ ที่ต้องใช้ข้อมูลส่วนบุคคลของคนอื่น จำเป็นต้องศึกษาให้เข้าใจโดยละเอียด เพื่อทำตามมาตรฐาน ต้องตอบคำถามให้ได้ ต้องมีความมักง่ายน้อยลง หรือหาวิธีใหม่ ๆ ทำอย่างไรถึงจะใช้ข้อมูลได้อย่างมีประสิทธิภาพเพื่อที่จะรักษาผลประโยชน์ของทั้งสองฝั่งจากการใช้ข้อมูล

++++มาถึงคำถามที่หลายคนสงสัยกัน++++

ลงรูปที่ถ่ายกับเพื่อนบน Social Media ผิดหรือไม่ เพราะยังไม่ได้ขอ consent จากเพื่อนก่อน

อ.ฐิติรัตน์: กฎหมายนี้บังคับกับองค์กรที่เอาข้อมูลเราไปใช้ประโยชน์ทั้งในเชิงพาณิชย์และการให้บริการประชาชน ไม่ได้เน้นเข้ามาดูแลความสำคัญระหว่างคนธรรมดากับคนธรรมดา แปลว่าเราถ่ายรูปเพื่อนแล้วโพสต์เล่นบน Facebook ให้เพื่อน ๆ ของเราดูก็ไม่ได้อยู่ในขอบข่ายของกฎหมายนี้ เพราะกฎหมายนี้ไม่ได้จะเข้าไปยุ่งวุ่นวายกับชีวิตส่วนตัวของคน เวลาเราใช้ข้อมูลในชีวิตปกติอยู่กับเพื่อนกับครอบครัวก็มีการใช้ข้อมูลส่วนบุคคลกันอยู่แล้ว เช่น ไปเซอร์ไพรส์วันเกิดเพื่อนก็ต้องรู้ว่าเพื่อนเกิดวันไหน บ้านอยู่ที่ไหน ซึ่งเป็นเรื่องส่วนตัว กฎหมาย PDPA ไม่ได้เข้าไปยุ่ง กฎหมายจะยุ่งในกรณีที่ข้อมูลส่วนบุคคลไม่ได้ถูกนำมาใช้ในเรื่องส่วนตัวแต่เอามาใช้ในเรื่องที่เป็นการเป็นงาน

อย่างไรก็ดีถ้าเราเอารูปเพื่อนไปโพสแล้วไปเผลอสร้างความเดือดร้อนให้กับเขา ทำให้เกิดความเข้าใจผิด ก็มีกฎหมายที่ดูแลตรงส่วนนี้ เช่น กฎหมายที่ว่าด้วยการล่วงละเมิดภายใต้กฎเกณฑ์ของกฎหมายแพ่งทั่วไปซึ่งเป็นกฎหมายเดิมที่มีอยู่แล้ว เพราะเราก็คงไม่ได้อยากให้กฎหมาย PDPA มายุ่งวุ่นวายกับชีวิตเราขนาดนั้น ตรงนี้ก็ปล่อยให้เป็นเรื่องของมารยาทสังคม เป็นเรื่องของการปฏิบัติต่อกัน อย่าไปคิดว่ากฎหมายจะมาแทนที่มารยาททางสังคม ให้ใช้กลไกทางสังคมช่วยกันเตือน

Street photographer ที่ถ่ายติดภาพคน จริง ๆ แล้วทำได้หรือเปล่า

อ.ฐิติรัตน์: เรื่อง Street Photographer เป็นส่วนของการถ่ายรูปคนที่ไม่รู้จักกัน ซึ่งมีทั้งการนำไปใช้แบบเป็นงานอดิเรกกับใช้ทางพาณิชย์ ซึ่งถ้าเป็นการใช้เพื่อผลประโยชน์ทางพาณิชย์ แปลว่าถ้าคุณได้ประโยชน์คุณต้องมีความรับผิดชอบกับสิ่งที่คุณทำ ดังนั้นต้องอธิบายให้ได้ว่าที่ถ่ายไปเป็นพื้นที่สาธารณะแค่ไหน เจาะหน้าตัวบุคคลหรือไม่ซึ่งจะเป็นอีกประเด็นนึง แต่โดยทั่วไปแล้วในวงการ Street Photographer เองก็มีหลักการ มีจริยธรรม (Ethics) อยู่ในการทำงาน ถ้าถ่ายเล่นไม่ได้ทำให้ใครเสียหายก็ถือเป็นสิ่งที่รับได้ เข้าข่ายมารยาททางสังคมอีกเช่นกัน

ทุกวันนี้เมืองไทยยังไม่มีข้อห้ามเรื่องการถ่ายรูปในที่สาธารณะถ้าไม่ใช่การถ่ายที่ล่วงล้ำมากเกินไป แต่ถ้ามีการเอาไปใช้ เอาไป Abuse หรือ Harass มากขึ้น ในอนาคตก็อาจมีกฎหมายหรือฉันทามติร่วมกันของสังคมว่าให้เลิกทำ เช่น ในประเทศญี่ปุ่นคุณไม่สามารถไปถ่ายรูปใครตามใจชอบได้ ญี่ปุ่นบังคับให้กล้องมือถือหรือกล้องถ่ายรูปตัวใหญ่ ๆ ต้องมีเสียงชัตเตอร์และไม่สามารถที่จะปิดเสียงชัตเตอร์ได้ เพราะเขามีกฎเกณฑ์ว่าไม่อยากให้การถ่ายรูปในที่สาธารณะเป็นเรื่องปกติเนื่องจากบ้านเมืองเขามีปัญหาเรื่องคนถูก Abuse หรือถูก Harass จากเรื่องพวกนี้ ซึ่งในเรื่องนี้ก็อยากให้มองเป็นเรื่องของมารยาทหรือบรรทัดฐาน (Norm) ของสังคมด้วย ในขณะที่กฎหมาย PDPA จะเป็นการจัดการในส่วนของการเอาข้อมูลส่วนบุคคลของคนอื่นไปใช้ประโยชน์เป็นหลัก

กล้องติดหน้ารถที่ถ่ายเหตุการณ์ต่าง ๆ บนท้องถนน และอาจใช้เป็นหลักฐานในอุบัติเหตุ ถือเป็นการละเมิด PDPA หรือไม่

อ.ฐิติรัตน์: เรื่องของกล้องหน้ารถก็จะคล้าย ๆ กับเรื่องของการถ่ายภาพในที่สาธารณะ แต่จะต่างกันในเรื่องของการถ่ายตลอดเวลา ซึ่งล่วงล้ำความเป็นส่วนตัวของผู้อื่นระดับหนึ่ง การถ่ายสิ่งที่รถวิ่งผ่านไปเรื่อย ๆ อาจไม่ใช่การ monitor ใครคนหนึ่งตลอดเวลา แต่ถ้าเราไปจอดหน้าบ้านใครคนหนึ่งแล้วปล่อยให้กล้องหน้ารถเก็บภาพตลอดเวลาเพื่อดูว่ามีใครเข้า-ออกบ้านเขา เช่นนี้จะไม่ถือว่าเป็นการติดกล้องหน้ารถตามปกติ หรือถ้าใช้เพื่อแค่ดูว่ารถเรามีคนเข้ามาทำอะไรหรือไม่ก็อีกเรื่องหนึ่ง ด้วยเหตุนี้เราต้องดูพฤติกรรมการใช้งานด้วย คำถามคือเราจะแยกอย่างไรว่าวัตถุประสงค์การใช้งานมันต่างกัน ส่วนนี้ถือเป็นเรื่องยากและต้องไปดูที่พฤติกรรมการใช้งานว่าสุดท้ายแล้วข้อมูลนี้ถูกเอาไปทำอะไร ถ้าโดยทั่วไปแล้วก็คือใช้ได้

การ Scrape public information บน Internet โดยมีข้อมูลส่วนตัวอยู่สามารถทำได้หรือไม่

อ.ฐิติรัตน์: อันนี้เป็นเรื่องของการใช้ข้อมูลแบบโลกยุคใหม่ให้เราสามารถเข้าใจตลาดบนพื้นที่สื่อโซเชียล เพราะคนเริ่มคุยกันบนโลกออนไลน์มากขึ้น ทำให้คนที่ทำงานให้บริการหรือทำงานกับลูกค้าอยากใช้ประโยชน์ข้อมูล Feedback คนใช้งานที่มาแสดงออกในโลกโซเชียล ซึ่งถ้าเราจะเอาข้อมูลเช่นนี้มาใช้หลักการก็คือเราต้องดูว่า 1) มีความจำเป็นหรือไม่ 2) การเอาข้อมูลมาใช้ ทำให้เกิดความเสี่ยงอะไรกับเจ้าของข้อมูลส่วนบุคคลบ้าง และ 3) ความคาดหมายของคนโพสต์ เพราะการโพสต์บนเว็บบอร์ด เจ้าของแบรนด์ก็อาจจะเข้ามาอ่านและมี action บางอย่างเพื่อนำไปปรับปรุงสินค้าและบริการ

ดังนั้นบริบทหนึ่งของการที่ข้อมูลอยู่ในที่สาธารณะบนโลกออนไลน์ คือ ผู้โพสต์รู้ว่าจะมีคนหลากหลายมาอ่าน แต่ไม่ได้หมายความว่าพออยู่ในพื้นที่สาธารณะแล้วจะเอาไปใช้อย่างไรก็ได้ ในหลักการของการคุ้มครองข้อมูลส่วนบุคคลต้องดูว่าวัตถุประสงค์และบริบทของการใช้ข้อมูลเป็นอย่างไร คนโพสต์อาจจะแค่โพสต์คุยกับเพื่อนในกลุ่มแต่กลับถูกเอาข้อมูลไปใช้ทำการตลาด โดนยิงโฆษณามาให้ ซึ่งก็จะแปลว่าผิดวัตถุประสงค์ของบริบทของข้อมูล

ดังนั้นผู้ประกอบการที่ต้องการเก็บข้อมูลจากสาธารณะต้องดูว่าในบริบทที่ข้อมูลนั้นอยู่ อยู่แบบไหน คนที่โพสต์พอจะคาดหมายได้หรือไม่ว่าคุณจะเอาข้อมูลนั้นไปใช้ในวัตถุประสงค์ที่คุณจะใช้ ถ้าเกิดมันแตกต่างออกไปโดยสิ้นเชิง สิ่งแรกที่ผู้ควบคุมข้อมูลควรทำก็คือ พยายามหาทางว่าคุณจะบอกเจ้าตัวได้หรือไม่ว่านี่คือช่องทางที่คุณได้ข้อมูลมา คือแจ้งให้เขาทราบ เพราะหลักการของการนำข้อมูลมาใช้จริง ๆ แล้วคือคุณต้องแจ้งว่าคุณเอามา แต่กฎหมายก็มีข้อยกเว้นอยู่ว่าถ้ามีความลำบากจริง ๆ ที่จะเข้าถึงตัวหรือไปแจ้งเจ้าของข้อมูลได้ คุณก็ต้องไปประเมินต่อว่าทำอย่างไรถึงจะทำให้เจ้าของข้อมูลปลอดภัยได้มากขึ้น หรือคุณสามารถเก็บข้อมูลแบบไม่ระบุตัวตนได้หรือไม่ เช่น ถ้าเราแค่อยากรู้ว่าคนพูดถึงแบรนด์เราว่าอย่างไร ก็อาจไม่จำเป็นต้องรู้ว่าใครเป็นคนพูด ซึ่งก็จะเป็นวิธีในการช่วยทำให้เจ้าของข้อมูลปลอดภัยมากยิ่งขึ้น 

ถ้าเราจะเอาข้อมูลเช่นนี้มาใช้หลักการก็คือเราต้องดูว่า 1) มีความจำเป็นหรือไม่ 2) การเอาข้อมูลมาใช้ ทำให้เกิดความเสี่ยงอะไรกับเจ้าของข้อมูลส่วนบุคคลบ้าง และ 3) ความคาดหมายของคนโพสต์

ดร.พีรพัฒ: ถ้าเกิดเราต้อง Scrape ข้อมูลมาใช้จริง ๆ ต้องบอกให้ได้ว่า Scrape มาทำอะไร Scrape ลึกแค่ไหน บางทีเวลาเราโพสต์อาจจะเห็นแค่ข้อความหรือแค่ชื่อก็จริง แต่ถ้าเราไปดูต่อจนรู้ได้ว่า IP address คืออะไร ซึ่งก็จะลึกกว่าการที่เราแค่เปิดเว็บแล้วเจอ วิธีการ Scrape ก็มีตั้งแต่แบบผิวเผินมาก ๆ จนถึงลึกมาก ๆ ยิ่งลึกก็ยิ่งได้ข้อมูลลึกขึ้น และยิ่งลึกขึ้นก็ยิ่งต่างจากสิ่งที่เจ้าของข้อมูลคาดไว้มากเท่านั้น

วัตถุประสงค์การ Scrape ข้อมูลอาจมีตั้งแต่ Scrape มาดูเฉย ๆ มาทำ Social Listening ให้รู้ว่าคนพูดเรื่องอะไรบ้าง หรือมาทำ Profiling เพื่อเอาไปวิเคราะห์ หรือทำ Direct Marketing ซึ่งผลกระทบต่อเจ้าของข้อมูลก็ไม่เท่ากัน วิธีการที่จะช่วยก็คือการเก็บอะไรที่ทำให้ระบุตัวตนได้ยากขึ้น หรือเก็บมาเฉพาะเนื้อหาที่จำเป็นจริง ๆ ถ้าเราคิดว่าจะมี Sensitive Data ด้วย เช่น ความคิดเห็นทางการเมือง (ดูคำนิยามได้ในมาตรา 26) ก็อาจมีเงื่อนไขเพิ่มเติม

ทั้งนี้คนที่ตัดสินใจจะ Scrape ข้อมูลอาจใช้เครื่องมือที่เรียกว่า Data Protection Impact Assessment (DPIA) เพื่อประเมินผลกระทบจากกิจกรรมของเรา ซึ่งถ้าเป็นกิจกรรมที่มีความเสี่ยงสูงมาก หรือใช้เทคโนโลยีใหม่ที่เจ้าของข้อมูลคาดไม่ถึง การทำ DPIA จะสามารถเป็นเกราะกำบังให้เราได้ เพราะแปลว่าเราคิดถี่ถ้วนแล้วว่าเราทำสิ่งนี้ได้จริง ๆ 

++++คำถามจากผู้ฟัง Live สด++++

คำถาม: บริษัทมีการขอสแกนข้อมูลใบหน้าเพื่อรักษาความปลอดภัย ผมมีสิทธิเลือกไม่ให้บริษัทสแกนหน้าผมได้หรือไม่

อ.ฐิติรัตน์: เลือกได้ข้อมูลใบหน้าคือข้อมูลชีวมาตรแบบนึงและถือเป็นข้อมูลอ่อนไหว (Sensitive Data) โดยกฎหมายกำหนดไว้ว่าการนำข้อมูลเหล่านี้มาใช้งานต้องได้รับคำยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคลก่อน ซึ่งบริษัทโดยทั่วไปที่ไม่จำเป็นต้องใช้การรักษาความปลอดภัยขั้นสูงสุด ก็อาจไม่มีเหตุผลที่สามารถบังคับให้ลูกจ้างต้องยอมให้ข้อมูลชีวมาตรเหล่านี้กับบริษัท ทั้งนี้ บริษัทสามารถใช้งานข้อมูลพวกนี้ได้แต่ต้องได้รับความยินยอมก่อน หากไม่ได้รับความยินยอมบริษัทต้องหาวิธีอื่นในการให้พนักงานสามารถยืนยันตัวตนในการเข้า-ออกอาคารได้ เช่นใช้บัตรหรือรหัสแทน เว้นเสียแต่ว่ามีเหตุความจำเป็นอย่างมากกับงานที่บริษัททำอยู่และต้องการรักษาความลับขั้นสูงสุด

คำถาม: ผู้ให้บริการรายนึงทำข้อมูลรั่วไหลจำนวนมาก จะถูกลงโทษหรือต้องชดเชย Data Subject อย่างไรบ้าง

ดร.พีรพัฒ: เรื่องหนึ่งที่คนเข้าใจผิดกันเยอะก็คือ เมื่อไรที่ข้อมูลรั่วคือผิดเลย จริง ๆ ต่อให้ป้องกันดีแค่ไหนข้อมูลก็สามารถรั่วได้ ทุกเรื่องจะมีเกณฑ์อยู่ เกณฑ์ต่ำสุดเลยคือประมาท และมีมาตรการที่จะบังคับอยู่ 3 แบบ คือ ค่าเสียหายทางแพ่ง ค่าปรับทางปกครอง หรือโทษทางอาญา เรื่องข้อมูลรั่วไหลส่วนใหญ่จะไปเกี่ยวในเรื่องของค่าเสียหายกับค่าปรับ ทางอาญาส่วนใหญ่จะเป็นพวกเรื่องข้อมูล Sensitive หรือข้อมูลประเภทพิเศษ หรือกรณีที่คนที่มีหน้าที่เอาข้อมูลไปใช้ในทางที่มิชอบ ในส่วนของเรื่องแพ่งกับปกครองต้องดูว่าผู้ควบคุมหรือผู้ประมวลผลข้อมูลส่วนบุคคลใช้ความระวังมากเพียงพอ มีการประเมินความเสี่ยงของแต่ละกิจกรรมที่ชัดเจนทั้งในแง่ของการคุ้มครองข้อมูลส่วนบุคคล ความเป็นส่วนตัว ความมั่นคงปลอดภัย และมีการปิดความเสี่ยงต่าง ๆ แล้วหรือไม่ หากไม่ก็จะมีบทลงโทษต่อไป

คำถาม: เวลาที่มีการให้ยืนยันตัวตน (KYC) ต้องเก็บสำเนาบัตรประชาชนซึ่งจะมีข้อมูลศาสนาที่ติดมาด้วย เราสามารถเก็บข้อมูลนี้ต่อไปได้หรือไม่โดยที่ไม่ได้ใช้

ดร.พีรพัฒ: ต้องมาดูว่าเราเก็บข้อมูลเหล่านี้โดยมีวัตถุประสงค์เพื่อการพิสูจน์ยืนยันตัวตนหรือไม่ ส่วนสำเนาบัตรประชาชนที่มีข้อมูล sensitive ติดไป มันก็ถือเป็นความเคยชิน โดยที่ไม่รู้ว่าจริง ๆ แล้วต้องทำหรือไม่ ความเคยชินไม่ได้เป็นสิ่งที่ถูกต้อง PDPA ก็มีมาเพื่อปราบความเคยชินหลาย ๆ อย่าง ก็ต้องมาตั้งคำถามว่าจริง ๆ แล้วจำเป็นหรือไม่ที่ต้องเก็บ ถ้าไม่จำเป็นก็ตัดทิ้งไปได้เลย ซึ่งของเดิมที่มีอยู่แล้วกฎหมายใหม่ก็ไม่ได้บอกว่าต้องไปรื้อมานั่งขีดฆ่าทีละใบ

สรุปหลักการ 3 ขั้นตอน คือ 1. ตอบให้ได้ก่อนว่ากิจกรรมนั้นจำเป็นหรือไม่ 2. ถ้าต้องเก็บจริง ๆ ไม่จำเป็นต้องถึงกับไปรื้อของเดิม แต่ต้องมีกระบวนการ  เช่น การขีดฆ่า 3. ในเชิงนโยบาย ควรไปดูว่าจริง ๆ แล้วควรจะมีข้อมูล sensitive เหล่านี้บนบัตรประชาชนหรือไม่

คำถาม: ทางสำนักงานได้กำหนดเกณฑ์ขั้นต่ำของบริษัทที่ต้องมี DPO แล้วหรือยัง

ดร.สุนทรีย์: (ร่าง) กฎหมายกำหนดว่าหากบริษัทมีการประมวลผลข้อมูลส่วนบุคคลทั่วไปเกิน 50,000 รายสำหรับข้อมูลธรรมดา และ 5,000 ราย สำหรับข้อมูล sensitive เช่น ข้อมูลเชื้อชาติ ข้อมูลสุขภาพ ข้อมูลชีวภาพ ฯลฯ บริษัทจำเป็นจะต้องแต่งตั้งให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer)

ดร.พีรพัฒ: ชอบมีคำถามว่า 50,000 กับ 5,000 ราย หมายถึงข้อมูลที่กำลังจะเริ่มเก็บใหม่หรือรวมของเดิมที่เก็บไว้เดิมด้วย ซึ่งก็ควรเป็นข้อมูลทั้งหมดที่มีอยู่ในครอบครองทั้งที่ใช้และไม่ใช้ เพราะข้อมูลถ้าคุณไม่ได้ใช้คุณก็ไม่ควรจะเก็บไว้


บทส่งท้าย

จะเห็นได้ว่า PDPA เป็นเรื่องที่เกี่ยวข้องกับพวกเราทุกคน เกี่ยวกับกิจกรรมต่าง ๆ ที่เราทำในชีวิตประจำวัน และเป็นสิ่งที่ทำมาเพื่อคุ้มครองข้อมูลส่วนบุคคลของพวกเราโดยเฉพาะ หวังว่าทุกท่านจะได้รับความรู้และเข้าใจเกี่ยวกับ PDPA มากขึ้นจากบทความนี้ และสามารถใช้ประโยชน์จาก PDPA ในการรักษาสิทธิต่าง ๆ ให้กับตัวท่านเองและคนรอบข้างได้ค่ะ 😊

สัมภาษณ์โดย ภคภูมิ สารพัฒน์ และนภัสวันต์ พสุทิพย์
สรุปเนื้อหาโดย นภัสวันต์ พสุทิพย์
ตรวจทานและปรับปรุงเนื้อหาโดย พีรดล สามะศิริ

Recommended Posts