ความเป็นส่วนตัวบนโลกออนไลน์ กับราคา 'ค่า(ไม่)คุ้มครอง'
คอลัมน์ "อินโนสเปซ" โดย "บัซซี่บล็อก" หนังสือพิมพ์คมชัดลึก
ในปีปัจจุบัน (พ.ศ. 2562) จากข้อมูลที่จัดทำโดย Hootsuite และ We Are Social เปิดเผยว่า มีประชากรทั่วโลกมากกว่า 4.39 พันล้านคน ท่องไปในโลกออนไลน์ ขณะที่กลุ่มที่เป็นชาวโซเชียลก็มีจำนวนเพิ่มขึ้นเป็น 3.48 พันล้านคน
ตัวเลขนี้ทำให้องค์กรรัฐ โดยเฉพาะหน่วยงานด้านกำกับดูแลความปลอดภัยและคุ้มครองประชาชนในหลายประเทศทั่วโลก จำเป็นต้อง ‘ออกแบบ’ กฎหมายใหม่ที่ก้าวทันโลกออนไลน์และเครือข่ายโซเชียล
ซึ่งส่วนหนึ่งของกฎหมายเหล่านี้ ก็คือการกำกับดูแลด้วยมาตรการที่เป็นสากล เพื่อให้แน่ใจได้ว่า ‘ภาคธุรกิจ’ หรือเจ้าของแพลตฟอร์มสื่อโซเชียลต่างๆ ที่ได้รับประโยชน์มหาศาลจากผู้บริโภคยุคโซเชียล จะให้ความคุ้มครองดูแลรักษาข้อมูลส่วนตัวลูกค้าไม่ให้ ‘รั่วไหล’ หรือถูกนำไป ‘ใช้’ โดยที่เจ้าของข้อมูล ‘ไม่รู้ตัว’
หนึ่งในกฎหมายที่พูดถึงข้างต้น และเรียกได้ว่าสร้างแรงสั่นสะเทือนไปแล้วทั่วโลก ก็คือ กฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป หรือ GDPR (General Data Protection Regulation) ซึ่งมีผลบังคับใช้ตั้งแต่เมื่อวันที่ 25 พ.ค. 2561 กำหนดหลักเกณฑ์ให้ทุกผู้ประกอบการต้องเก็บรวบรวมหรือประมวลผลข้อมูลส่วนบุคคลของบุคคลที่มีสัญชาติหรือที่มีถิ่นพำนักในสหภาพยุโรปให้ได้ตามมาตรฐาน
มิฉะนั้นแล้วจะถูกดำเนินคดีที่มีเพดานค่าปรับสูงถึง 20 ล้านยูโร หรือ 4% ของรายได้รวมทั้งปีของธุรกิจ แล้วแต่ว่าจำนวนใดจะมากกว่า
ปัจจัยข้อสำคัญที่กฎหมายฉบับนี้ ‘สะเทือน’ ทั้งโลก เนื่องจากขอบเขตการบังคับใช้นั้นครอบคลุมไปถึงผู้ประกอบการธุรกิจรายใดๆ ก็ตามในทุกประเทศทั่วโลก ที่มีการติดต่อทำธุรกรรมและต้องจัดเก็บข้อมูลพื้นฐานส่วนตัวของลูกค้าในประเทศกลุ่มสหภาพยุโรป ต้องปฏิบัติตามกฎหมาย GDPR ด้วย
เฟซบุ๊ก-บริติชแอร์ฯ-แมริออท ควงแขนจ่ายค่าปรับโหด
เดือนกรกฎาคม 2562 ดูเหมือนจะเป็นเดือนแห่งการ ‘ลงดาบ’ บริษัทยักษ์ใหญ่ระดับโลก ที่พลาดท่าทำ ‘ข้อมูล(ลูกค้า)หลุด’ โดยข้อมูลจาก http://www.enforcementtracker.com ซึ่งเป็นเว็บไซต์ทางการสำหรับอัพเดทข้อมูลการลงโทษและจำนวนค่าปรับของผู้ที่ถูกตัดสินแล้วว่าละเมิดกฎหมาย GDPR เปิดเผยว่า ปัจจุบันมีการตัดสินกรณีที่ละเมิดและค่าปรับแล้ว 66 ราย วงเงินค่าปรับมีตั้งแต่หลักร้อยยูโร ไปจนสูงหลักร้อยล้านยูโร
โดยเฉพาะเมื่อเดือนกรกฎาคมที่เพิ่งสิ้นสุดไป ในวันที่ 7 ได้มีการประกาศลงโทษสายการบิน British Airways ที่ถูกสั่งปรับ 204.6 ล้านยูโร จากการถูกเจาะระบบข้อมูลเมื่อเดือนกันยายน 2561 โดยมีข้อมูลลูกค้าที่ถูกขโมยไปได้กว่า 500,000 คน เหตุเกิดจากระบบความมั่นคงปลอดภัยที่หละหลวมของบริษัท
และในวันถัดมา เครือโรงแรมชั้นนำระดับโลก Marriott International ซึ่งเป็นบริษัทแม่ของเครือโรงแรม รวมทั้ง W, Westin, Le Meridien และ Sheraton ถูกปรับ 110.39 ล้านยูโร
เนื่องจากข้อมูลส่วนบุคคล รวมถึงรายละเอียดบัตรเครดิต หมายเลขพาสปอร์ต และวันเดือนปีเกิดของลูกค้ากว่า 339 ล้านคนถูกขโมย ซึ่งในจำนวนนี้เป็นชาวอังกฤษ 7 ล้านคน และมีที่เกี่ยวข้องกับประชากรอื่นในสหภาพยุโรปด้วย
ขณะที่ มีรายงานข่าวกล่าวว่า ปัจจุบันยักษ์โซเชียลเบอร์หนึ่งของโลกอย่าง เฟซบุ๊ก ก็กำลังอยู่ในกระบวนการสอบสวนการละเมิดกฎหมาย GDPR ถึง 19 กรณี โดยในจำนวนนั้น 11 กรณีมุ่งเป้าเฟซบุ๊กโดยตรง และที่เหลือกระจายกันในเครือข่ายธุรกิจใต้ร่มเงาเฟซบุ๊ก
อย่างเช่น อินสตาแกรม, WhatsApp เป็นต้น และแม้ปัจจุบันการสอบสวนในส่วนนี้ยังไม่ได้ข้อยุติ แต่เฟซบุ๊ก ก็มีความเคลื่อนไหว และตัดสินใจยอมจ่ายค่าปรับในบ้านของตัวเองที่สหรัฐอเมริกาแล้ว
‘เฟซบุ๊ก’ สร้างสถิติโลก ‘ค่าปรับ’
เฟซบุ๊กศูนย์การเรียนรู้ด้านการคุ้มครองข้อมูลส่วนบุคคล (Data Protection Knowledge Center: DPKC) ได้นำเสนอข่าว “เฟซบุ๊ก กับบทลงโทษสูงสุดเป็นประวัติการณ์โลก ภายใต้กฎหมาย Privacy” ว่าในที่สุดเมื่อวันที่ 24 กรกฎาคมที่ผ่านมา คณะกรรมาธิการการค้าแห่งสหพันธรัฐ (Federal Trade Commission : FTC) ซึ่งเป็นหน่วยงานรัฐบาลกลางสหรัฐฯ แถลงข่าวการลงโทษเฟซบุ๊กอย่างเป็นทางการว่า
บริษัท เฟซบุ๊ก จะจ่ายค่าปรับ 5 พันล้านดอลลาร์สหรัฐ จากข้อหาการละเมิดระเบียบของ FTC (2012 FTC order) ในเรื่องการหลอกลวงผู้ใช้เกี่ยวกับความสามารถในการควบคุมความเป็นส่วนตัวในข้อมูลส่วนบุคคลของพวกเขา
โทษปรับนี้นับว่าสูงที่สุดในโลก หรือเกือบ 20 เท่าที่เคยได้ปรับกับบริษัทใดๆ ในเรื่องการละเมิดส่วนตัวผู้บริโภค และเป็นบทลงโทษที่ใหญ่ที่สุดเท่าที่เคยประเมินโดยรัฐบาลสหรัฐฯ สำหรับการละเมิดใด ๆ
ขณะเดียวกัน FTC ยังมีคำสั่งอื่นๆ เช่น ให้เฟซบุ๊กปรับโครงสร้างที่ให้ความสำคัญกับเรื่องความเป็นส่วนตัว โดยให้จัดตั้งคณะกรรมการดูแลความเป็นส่วนตัวที่มีความเป็นอิสระจากบอร์ดของเฟซบุ๊ก, ขจัดอำนาจตัดสินใจของ ‘มาร์ค ซักเคอร์เบิร์ก’ ซีอีโอเฟซบุ๊ก ในเรื่องที่จะส่งผลกระทบต่อข้อมูลส่วนบุคคลของผู้ใช้งาน และตัวคณะกรรมการชุดใหม่นี้จะถูกปลดได้จากเสียงส่วนใหญ่ของบอร์ดเท่านั้น เป็นต้น
อีกทั้ง ยังมีข้อกำหนด เช่น ห้ามให้ใช้เบอร์โทร.ที่ได้รับ เพื่อเปิดใช้งานฟีเจอร์ด้านความมั่นคงปลอดภัย (เช่น ยืนยันตัวตนสองขั้นตอน) ไปใช้สำหรับการโฆษณา, ต้องแจ้งอย่างชัดเจนถึงการใช้เทคโนโลยีจดจำใบหน้าและขอความยินยอมจากผู้ใช้ก่อนการใช้งาน, ห้ามขออีเมล์ที่ผู้ใช้สมัครกับบริการอื่น ๆ เป็นต้น
กูเกิล ก็ไม่รอดมือ GDPR
อย่างไรก็ตาม บริษัทระดับโลกรายแรกที่ถูกลงดาบจากกฎหมาย GDPR ด้วยค่าปรับทะลุหลักล้านไปเป็นรายแรก ก็คือ กูเกิล โดยเมื่อวันที่ 21 มกราคม 2562 นี้ Commission Nationale de l'Informatique et des Libertés (CNIL) หน่วยงานด้านการคุ้มครองข้อมูลของฝรั่งเศส สั่งปรับกูเกิลเป็นเงิน 50 ล้านยูโร เนื่องจากทำผิดกฎ GDPR ใน 2 เรื่อง ได้แก่
ข้อหาแรกคือ เรื่องความโปร่งใสในการนำข้อมูลไปใช้งาน ซึ่ง GDPR กำหนดให้บริษัทต้องประกาศให้ผู้ใช้ทราบว่าจะนำข้อมูลไปจัดเก็บและประมวลผลอย่างไรบ้างเพื่อแสดงโฆษณาให้ตรงตามผู้ใช้แต่ละคน แต่ประกาศของกูเกิลกระจัดกระจายอยู่ตามที่ต่างๆ ทำให้ค้นหาได้ยากและมีขั้นตอนซับซ้อน
ข้อหาที่สองคือ กระบวนการขอคำยินยอมจากผู้ใช้งาน ‘ไม่ชัดเจน’ เพราะแม้กูเกิลขอคำยินยอมจากผู้ใช้เพื่อนำข้อมูลไปใช้แสดงผลโฆษณา แต่คำขอนั้นไม่ได้ระบุชัดเจนว่าขอข้อมูลไปใช้กับบริการใดบ้าง และการยินยอมให้ข้อมูลต่อกูเกิลเป็นการให้ข้อมูลทั้งหมดกับบริการทุกตัว
แล้วธุรกิจไทยต้องเตรียมรับมืออย่างไร
สำหรับประเทศไทยสามารถฝ่าแรงต้านจน “พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล” ผ่านเมื่อช่วงต้นปีนี้ และประกาศในราชกิจจานุเบกษา เมื่อปลายเดือนพฤษภาคม ด้วยความตระหนักจากทุกภาคส่วนที่เกี่ยวข้องถึงความสำคัญที่ประเทศไทย ‘จำเป็น’ ต้องมีกฎหมายด้านนี้ที่เทียบชั้นมาตรฐานสากล ซึ่งกระบวนการจากนี้จะต้องมีการจัดทำกฎหมายลูกออกมารองรับอีกนับสิบๆ ฉบับให้ครอบคลุมทุกธุรกิจ/บริการที่จำเป็นต้องมีการร้องขอ หรือจัดเก็บข้อมูลส่วนบุคคลของผู้ใช้บริการหรือทำธุรกรรม ดังนั้น จึงมีการให้ระยะผ่อนผันเป็นเวลา 1 ปี
ขณะที่ เมื่อไม่นานนี้ เว็บไซต์ Ad Addict ได้ทำการสรุป 5 ประเด็นสำคัญจาก พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลที่ทุกธุรกิจต้องเตรียมรับมือ จากเวทีสัมมนา พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 โดย สมาคมโฆษณาดิจิตอล (ประเทศไทย)
โดยได้สรุปเป็น 5 ประเด็นสำคัญจากพ.ร.บ.ตัวนี้ให้ทุกธุรกิจเตรียมรับมือ ดังนี้ 1. ข้อมูลส่วนบุคคลคือข้อมูลที่สามารถระบุตัวตนได้ในทางตรงหรือทางอ้อม ก็คือ ข้อมูลที่เกี่ยวข้องกับเราที่สามารถนำว่าระบุถึงตัวเราได้ในทางตรงหรือทางอ้อม ไม่ว่าจะเป็น ชื่อ นามสกุล เลขบัตรประจำตัวประชาชน กรุ๊ปเลือด E-mail เบอร์โทรศัพท์ สีที่ชอบและอื่นๆทั้งหมดนี้ถือเป็นข้อมูลส่วนบุคคลทั้งสิ้น
2. ต่อไปในการเก็บข้อมูลส่วนบุคคลต้องได้ตามมาตรฐานที่ พ.ร.บ.กำหนด พ.ร.บ.จะเน้นไปที่การสร้างมาตรฐานให้กับนิติบุคคล องค์กรต่างๆ มหาวิทยาลัย ในการเก็บข้อมูลส่วนบุคคลไปจนถึงการนำไปใช้ จะต้องได้รับคำยินยอมจากเจ้าของข้อมูล รวมไปถึงการจัดเก็บข้อมูลจะต้องปลอดภัย ได้มาตรฐานไม่ให้ข้อมูลหลุดออกมา
3. ข้อมูลส่วนบุคคลที่มีอยู่ หรือเก็บมาก่อนหน้านี้ต้องเช็คว่าได้มาอย่างไร ถูกต้องไหม ข้อมูลส่วนบุคคลที่บริษัท ร้านค้า หรืองค์กรต่างๆ เก็บมาก่อนที่จะมีพ.ร.บ.ตัวนี้ก็จะต้องกลับไปดูกันว่าข้อมูลที่ได้มาได้มาอย่างถูกต้องไหม ตรงตามข้อกำหนดไหม ในส่วนตรงนี้อาจไม่ต้องถึงขั้นย้อนกลับไปขออนุญาตเจ้าของข้อมูลทุกคน แต่ต้องมีช่องทางให้เจ้าของข้อมูลนั้นยกเลิกหรือเอาข้อมูลของตัวเองออกจากระบบ ถ้าจะใช้ข้อมูลตรงนี้ ก็อาจต้องมีการขออนุญาต
4. เป็นประตูสู่โอกาสใหม่ๆ ไม่ว่าจะในทางธุรกิจหรือการทำงาน กฎหมายการคุ้มครองข้อมูลส่วนบุคคลเป็นสิ่งที่หลายๆ ประเทศก็เริ่มมีกการบังคับใช้ออกมาแล้วเช่นกัน จริงๆ พ.ร.บ.ของไทยเราตัวนี้ก็อิงกับ GDPR หรือ General Data Protection Regulation ของสหภาพยุโรป ซึ่งมีข้อห้ามไม่ให้มีการแลกเปลี่ยน หรือซื้อขายข้อมูลกับประเทศที่ไม่มีกฎหมายเกี่ยวกับเรื่องการคุ้มครองข้อมูลส่วนบุคคล ดังนั้น เมื่อประเทศไทยมีกฎหมายตรงนี้ก็เปิดโอกาสในการทำธุรกิจ กับต่างประเทศมากขึ้น อีกทั้งสร้างให้เกิดอาชีพใหม่คือ DPO หรือ Data Protection Officer ที่จะมาทำหน้าที่ดูแลและตรวจเช็คให้เป็นไปตามกฎหมาย
5. มีเวลาเตรียมตัวอีก 2-3 ปี ก่อนจะมีผลบังคับใช้ เนื่องจากต้องรอการจัดตั้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลก่อน ซึ่งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลจะทำหน้าที่ออกประกาศ ออกข้อกำหนดและแนวปฏิบัติซึ่งจะเป็นมาตรฐานที่เราทุกคนจะต้องปฏิบัติตาม
******************//*******************