PERSONAL DATA: Take It Personally

เอกสารยินยอมตามกฏหมายคุ้มครองข้อมูลส่วนบุคคลของยุโรป เวอร์ชั่นโรมาเนีย

จากทริปโรมาเนียปีนี้ ระหว่างลงทะเบียนเข้าพักที่โรงแรมในแคว้นทรานซิลเวเนีย น้องพนักงานยื่นกระดาษใบนึงให้เซ็น ก็พยายามอ่านอยู่ว่ามันอะไร พนักงานบอกว่าเพื่อยืนยันว่าทางโรงแรมจะไม่เอาข้อมูลพาสปอร์ตเราไปทำอย่างอื่น เหลือบไปเห็นบรรทัดนึงที่เขียนว่า FORMULAR DE ACORD GDPR: ที่น่าจะแปลว่า เป็นไปตามข้อตกลง GDPR ก็เลย อ๋อ... ก็ยังอ่านไม่ออกอยู่ดี แต่เราๆ ที่อยู่ในวงการข้อมูลพอจะผ่านหูผ่านตากันมาบ้าง แค่ไม่เคยเห็นเป็นภาษาท้องถิ่นตัวเป็นๆ แบบนี้ แถมให้นักท่องเที่ยวต่างชาติอย่างเราเซ็นด้วย

ประเทศไทยของเราเพิ่งออกพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลเมื่อวันที่ 24 พฤษภาคม 2562 นี่เอง ว่ากันว่า พ.ร.บ. ที่ชื่อไม่คุ้นหูนี้มีที่มาจาก ระเบียบการคุ้มครองข้อมูลทั่วไป หรือ General Data Protection Regulation (GDPR) ของสหภาพยุโรป ที่เพิ่งบังคับใช้เมื่อวันที่ 25 พฤษภาคม 2561 เพื่อให้เหมาะสมกับการทำธุรกรรมต่างๆ ในยุคดิจิตอล เราจะมาคุยกันกันถึงแนวโน้มการปกป้องข้อมูลส่วนบุคคลของชาวโลกในภาพรวมกัน ว่ามันเกี่ยวข้องกับชีวิตประจำวันของเรายังไง เรายังแอบดูซีรี่ย์ตามเว็บเถื่อนได้อยู่มั้ย หรือจะมีใครแอบทำอะไรกับข้อมูลเรา ที่เราเองก็ไม่รู้ว่าไปอยู่ที่ไหนบ้างในโลกอินเตอร์เน็ต

ข้อมูลส่วนบุคคลคนก็เหมือนกับตุ๊กตาแทนตัวเรา (เครดิตภาพจาก DeviantArt Amazon.com)

ความตั้งใจของ GDPR ซึ่งเหมือนกันกับพ.ร.บ.ของเราคือ เพื่อให้องค์กรหรือหน่วยงานมีความรับผิดชอบต่อข้อมูลส่วนบุคคลของเรา เริ่มตั้งแต่การขอข้อมูลจากเรา การจัดเก็บ การนำไปใช้ ไปจนถึงการทำลายหรือลบข้อมูลส่วนบุคคลเราออกไป และเจ้าของข้อมูลอย่างเราๆ ต้องรับรู้และให้อนุญาตให้องค์กรเก็บและนำไปใช้ได้เฉพาะตามที่แจ้งขอไว้เท่านั้น ง่ายๆ คือให้มองว่าข้อมูลส่วนบุคคลเรา เป็นเหมือนทรัพย์สินชิ้นหนึ่ง ลองหลับตาคิดเปรียบเทียบว่า ข้อมูลส่วนบุคคลที่ว่าเป็นตุ๊กตาหน้าตาน่ารักน่าชังเหมือนเราเป๊ะ (ตามรูปข้างบน) เวลาเราจะให้ใคร เราก็ต้องยินยอมว่าให้ใครยืมใช้ เอาไปทำอะไร แค่ไหน คนยืมเอาไปให้ใครยืมต่อ ไปจนถึงขอดู และขอคืนได้นั่นเอง ไม่อย่างนั้นก็ไม่ต่างจากการขโมยตุ๊กตาเราไป(ถึงหน้าตาไม่น่าขโมยก็เถอะ) และที่สำคัญคือ หากคนที่เราให้ไปเผลอเรอทำหาย หรือถูกขโมยไป จะต้องบอกเราเสมอ ไปจนถึงขั้นที่เราสามารถเรียกร้องชดเชยความเสียหายจากการทำของเราหายด้วย ดีใช่มั้ยละ

ก่อนอื่นมาดูกันก่อนว่าคำว่า "ข้อมูลส่วนบุคคล" หมายถึงอะไรบ้าง จะรวม น้ำหนัก ส่วนสูง รอบเอว เราโอชิใครใน BNK48  รวมด้วยหรือเปล่า ก็มันส่วนตัวทั้งนี่นา ในส่วนนี้ พ.ร.บ.บ้านเรา และ GDPR จะหมายถึงข้อมูลที่ทำให้สามารถระบุถึงตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม อันทางตรงนี้ก็ตรงไปตรงมา พวก ชื่อ นามสกุล วันเดือนปีเกิด เลขบัตรประชาชน ที่อยูํ ลายนิ้วมือ ลายม่านตา อะไรเทือกนี้ แต่พวกระบุทางอ้อมนี่ซิ ที่เป็นส่วนที่น่ากังขา ทำให้ขอบเขตนั้นกว้างมาก เช่น ถ้าเพื่อนเราบอกว่า เมื่อวานไปทานข้าวมา โต๊ะข้างๆ เป็นนักร้องดังคนนึง อยู่แกรมมี่ ที่ร้องเพลงหาดทราย สายลม สองเรา (เก่าจัง) เราจะบอกได้อย่างมั่นใจเลยว่าเป็นคุณธงไชย แมคอินไตย์แน่นอน ทั้งๆ ที่ ไม่ว่า อาชีพ"นักร้อง" บริษัท"แกรมมี่" และ เพลง"หาดทรายฯ" ไม่มีอะไรเลยที่เป็นข้อมูลส่วนบุคคล ของคนๆหนึ่งเลย  แต่เราสามารถระบุได้"ทางอ้อม"ว่าเป็นคุณธงไชย แน่ละที่คนส่วนใหญ่คงไม่ได้ระบุกันได้ง่ายๆ แบบนั้น แต่จากความก้าวหน้าของวิทยาศาสตร์ข้อมูลในยุคหลัง ทำให้การวิเคราะห์และหาความสัมพันธ์ของข้อมูลต่างๆ จนสามารถระบุตัวตนได้แม่นยำมีความเป็นไปได้ มีการประเมินในสหรัฐอเมริกาว่า แค่รู้ เพศ วันเดือนปีเกิด และรหัสไปรษณีย์ ก็สามารถระบุตัวบุคคลได้ถึง 87% โดยกระบวนการลบล้างความเป็นนิรนาม (de-anonymization) เคยมีกรณีผู้หญิงคนหนึ่งฟ้องร้องเน็ตฟลิกซ์ (Netflix) ที่ทำให้ความเป็นเลสเบี้ยนของเธอถูกเปิดเผยโดยใช้เพียงข้อมูลการให้เรตติ้งภาพยนต์ที่ไม่มีการระบุตัวบุคคล และด้วยเทคโนโลยีปัจจุบัน เราสามารถระบุตัวตนจากลักษณะการปัดและเคาะหน้าจอโทรศัพท์มือถือ รูปแบบการเดิน ก็ล้วนแต่สามารถนำมาใช้ระบุตัวตนทางอ้อมได้เช่นกัน ยากเนอะ

เราอาจจะสงสัยว่าแล้วทำไมคนที่เขียนกฏหมายไม่ระบุให้ชัดไปเลยละ ว่าอะไรบ้างที่ใช้ระบุตัวตน จะไม่ง่ายกว่าเหรอ คำตอบคือ ก็พวกเค้า"ไม่รู้" ว่ามีอะไรบ้างยังไงละ อย่างที่บอกว่าความรู้ทางวิทยาศาสตร์ข้อมูลพัฒนาไปเรื่อยๆ ทุกวันนี้ ข้อมูลในโซเชียลของพวกเรา บ่งบอกหลายๆ เรื่อง อย่าง ความคิดเห็นทางการเมือง ความเชื่อ สุขภาพทั้งทางร่างกายและจิตใจ ซึ่งล้วนแล้วแต่เป็นข้อมูลที่ห้ามมิให้องค์กรเก็บรวบรวมโดยไม่ได้ขออนุญาตอย่างเฉพาะเจาะจงตาม พ.ร.บ และ GDPR ทั้งนั้น

แล้วพ.ร.บที่ว่ากับ DPPR มันมีผลกับชีวิตเรายังไงบ้าง อย่างที่บอกไปว่า กฏหมายมีความตั้งใจให้คนทั่วไปอย่างเราๆ มีสิทธิในข้อมูลของส่วนตัวของเรามากขึ้น นับแต่อดีตที่ข้อมูลเป็นเรื่องของอำนาจต่อรองที่ไม่เท่าเทียมระหว่างผู้มีอำนาจเหนือกว่ากับต่ำกว่า ไม่ว่าจะเป็น รัฐกับประชาชน หมอกับคนไข้ ธนาคารกับผู้กู้ การแบ่งปันข้อมูลมักเกิดประโยชน์ทางตรงให้กับผู้รวบรวม ลองคิดถึงอย่าง Google ไม่ว่าจะเป็น search engine ที่ Google ได้ประโยชน์จากค่าโฆษณาแบบจำเพาะบุคคลจำนวนมหาศาลโดยที่ผู้แบ่งปันข้อมูลนับล้านๆ ไม่ได้อะไร นอกจากผลการค้นหา และเราไม่รู้ด้วยซ้ำว่า Google เอาข้อมูลการค้นหาเราไปทำธุรกิจต่อ ทั้งๆ หากไม่มีใครยอมแบ่งปันข้อมูลการค้นหา โฆษณาของ Google จะไม่มีประสิทธิภาพมากไปกว่าการติดป้ายโฆษณาตามท้องถนนทั่วไป คนโสดอาจจะได้โฆษณาผ้าอ้อม หรือเด็กวัยรุ่นได้โฆษณาบ้านพักตากอากาศหรูหราเป็นต้น แต่แน่ละการแบ่งปันข้อมูลอย่างเหมาะสมก็ทำให้เกิดประโยชน์โดยรวม อย่างกรณีของ Google Map ทำเรารู้ว่าถนนไหนรถติด และใช้เวลาในการเดินทางประมาณเท่าไหร่ ทั้งนี้เพราะการที่เราแต่ละคนแบ่งปันข้อมูลตำแหน่งที่อยู่ของเราให้นั่นเอง ไปจนถึงการรีวิวผลิตภัณฑ์หรือร้านค้าต่างๆ กฏหมายเหล่านี้จึงเป็นความพยายามในการปรับสมดุลอำนาจระหว่างผู้รวบรวมและใช้ประโยชน์จากข้อมูลกับประชาชนอย่างเราๆ นั่นเอง

เรากลับมาที่ตุ๊กตาแทนตัวเราที่เป็นตัวแทนของข้อมูลส่วนบุคคลกัน ข้อมูลมีข้อแตกต่างจากตุ๊กหน้าแชล่มของเราตรงที่ข้อมูลสามารถถูกทำซ้ำจำนวนมากๆ และส่งต่อไปที่ไหนก็ได้บนโลกนี้ได้อย่างรวดเร็ว นั่นทำให้การควบคุมข้อมูลยุ่งยากกว่าตุ๊กตาของเรามาก แทนที่จะออกกฏข้อบังคับซับซ้อน ตามเทคโนโลยีที่เปลี่ยนแปลงไป ทั้ง พ.ร.บ.และ GDPR จึงเข้ามากำหนดเรื่องสิทธิ​ต่างๆของเราที่เป็นเจ้าของข้อมูลแทน ไม่ว่าจะเป็น สิทธิในการขอดู สิทธิในการปฏิเสธ​การเก็บ ใช้งานหรือเปิดเผย ตลอดจนสิทธิในการขอลบหรือทำลาย เหล่านี้ล้วนเป็นสิทธิพื้นฐานที่พึงมี ซึ่งอาจหมายรวมถึงข้อมูลที่ถูกคิดคำนวณออกมาอย่าง credit scoring และพารามิเตอร์ต่างๆที่ใช้คำนวณคะแนนของเราด้วย เพื่อให้เกิดความโปร่งใส ในการประมวณผลข้อมูลของเรา

ป้าเม้าจากรงกรรม (เครดิตภาพจาก Mello)

สิทธิที่มีเพิ่มขึ้นมาและน่าสงสัยว่ามีไว้ทำไมคือสิทธิที่ให้เราขอให้ลบ ทำลาย ข้อมูลส่วนบุคคลของเราที่องค์กรต่างๆ มีเก็บไว้ ซึ่งมีที่มาจากกรณีของยุโรปในเรื่อง สิทธิในการขอลบ (Right to erasure) หรือสิทธิในการถูกลืม (Right to be forgotten) ซึ่งมีที่มาจากกรณีทีมีผู้ร้องขอให้ Google และเพจต่างๆ ลบลิ้งก์ที่เชื่อมไปถึงประวัติอันไม่น่าจดจำ ตั้งแต่ คดีการเลี่ยงภาษี การชุมนุมประท้วง ไปจนถึงคดีอาชญากรรม ซึ่งไม่ใช่เป็นขอการลบ"ความเป็นจริง"ออกไป แต่เป็นลบการกระจายข่าวต่างหาก เปรียบเสมือนกับในหมู่บ้านเรามีป้าเม้าท์ ผู้รู้เรื่องของทุกคนในหมู่บ้าน แถมป้าแกมีความจำดีเยี่ยม จะนานแค่ไหนก็ไม่มีลืม ใครอยากรู้อะไร หรือจะถามว่าใครอยู่ที่ไหน ตอนนี้ทำอะไร ใครแอบกิ๊กกันอยู่ ป้าแกตอบได้หมด คนในหมู่บ้านก็ทั้งรักทั้งชังป้า เพราะถ้าถามหาใครซักคน ป้าจะเล่าประวัติที่ผ่านๆ มาของคนๆ นั้นให้คนถามฟัง ไม่ว่าจะเรื่องส่วนตัว เรื่องน่าอับอายแค่ไหนแกเล่าหมด คงดีไม่น้อยถ้าเราจะสามารถบอกให้ป้าลืมๆ ไปบ้างเถอะ ที่มาของกฎหมายข้อนี้ก็เพื่อปกป้องสิทธิของผู้คนเหล่านี้ให้สามารถใช้ชีวิตอย่างปกติสุขนั่นเอง

กฏหมายยังกำหนดให้ผู้ขอข้อมูลต้องระบุชี้แจงให้ชัดเจน อ่านและเข้าใจง่าย ไม่กำกวม ซึ่งเร็วๆ นี้เกิดกรณีหน่วยงานด้านปกป้องข้อมูลของฝรั่งเศสฟ้องปรับ Google กว่า 50 ล้านยูโร จากกรณีไม่ได้ให้รายละเอียดที่ชัดเจนเพียงพอแก่ผู้ใช้งาน ซึ่งยุโรปให้คิดค่าปรับเป็นสัดส่วนของผลประกอบการขององค์กรนั้นๆจากทั่วโลก ไม่ใช่้แค่ผลประกอบการในแต่ละประเทศหรือในยุโรปเท่านั้น โหดมั้ยละ ซึ่งสาเหตุที่ให้คิดค่าปรับโหดขนาดนี้ เพื่อให้องค์กรตื่นตัวและจริงจังกับการดูแลข้อมูลส่วนบุคคลของลูกค้าหรือผู้ใช้บริการนั่นเอง

Google เพิ่มเงื่อนไขการเข้าใช้บริการหลังเกิดกรณีฟ้องร้องที่ฝรั่งเศส

ช่วงหลังๆ เราเริ่มเห็นการเปลี่ยนแปลงในเงื่อนไขการใช้บริการต่างๆ ตั้งแต่ ปุ่มให้ยอมรับการใช้ cookie ของเว็บไซต์ต่างๆ จากเดิมที่แค่เตือน และ Facebook ให้เราลบ activity ต่างๆ ที่เราเคยทำ หรือให้เลือกว่าเรายินยอมแบ่งปันข้อมูลอะไรบ้าง ไปจนถึงกระดาษแผ่นเล็กๆ ให้เราเซ็นยินยอมที่โรงแรมในทรานซิลเวเนีย ต่อจากนี้ไปเราคงเห็นการเปลี่ยนแปลงในโลกมากมายจากกฎเกณฑ์ต่างๆ ที่ออกมา และในปี 2020 ที่จะถึงนี้ จะมีกฎหมายคุ้มครองข้อมูลส่วนบุคคลของรัฐแคลิฟอร์เนียออกมาซึ่งให้สิทธิแก่ชาวแคลิฟอร์เนียฟ้องร้องค่าเสียหายจากองค์กรหรือหน่วยงานที่บกพร่องในการดูแลรักษาข้อมูลส่วนบุคคลได้ง่ายขึ้น แน่ละแคลิฟอร์เนียเป็นที่ตั้งของบริษัทไอทียักษ์ใหญ่ทั้งหลาย คงมีเรื่องที่น่าสนใจเกิดขึ้นไม่น้อย แต่อย่างไรก็ดี ถึงแม้จะมีกฎเกณฑ์มากมายเพื่อช่วยพวกเรามีความเป็นส่วนตัวมากขึ้น การรักษาสมดุลระหว่างการแบ่งปันข้อมูลเพื่อประโยชน์ของส่วนรวมและรักษาความเป็นส่วนตัวก็เป็นสิ่งจำเป็นในโลกยุคที่ขับเคลื่อนด้วยข้อมูลของเรา

อ้างอิง:
1. Weigend, Andreas, "DATA FOR THE PEOPLE: How to Make Our Post-Privacy Economy Work for You"
2. พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒
3. "Complete guide to GDPR compliance", https://gdpr.eu/
4. Tolson, Bill, "7 ways the new California privacy law will impact all organizations", https://www.information-management.com/opinion/7-ways-the-new-california-privacy-law-will-impact-organizations-nationally