คอลัมนิสต์

กรณีศึกษา CalOPPA กฎหมายคุ้มครองข้อมูลส่วนบุคคล***

By กฎหมาย 4.028 พ.ค. 2018 เวลา 3:20 น.
กรณีศึกษา CalOPPA กฎหมายคุ้มครองข้อมูลส่วนบุคคล***

บทความนี้ ผู้เขียนได้นำร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. … ฉบับแก้ไขหลังรับฟังความคิดเห็น (“ร่างพ.ร.บ.ฯ”) มาเปรียบเทียบ

กับกฎหมายคุ้มครองข้อมูลส่วนบุคคลออนไลน์แห่งมลรัฐแคลิฟอร์เนีย สหรัฐ หรือ California Online Privacy Protection Act (“CalOPPA”) เนื่องจาา เป็นรัฐแรกในสหรัฐ ที่กำหนดให้เว็บไซต์ของธุรกิจและบริการต่าง ๆ ต้องเขียนนโยบายคุ้มครองข้อมูลส่วนบุคคลบนเว็บไซต์ของตน โดย CalOPPA นั้นมีผลบังคับใช้ครั้งแรกในปี 2004 และได้มีการแก้ไขอีกครั้งในปี 2013

ร่างพ.ร.บ.ฯ มาตรา 6 กำหนดว่า “ผู้ควบคุมข้อมูลส่วนบุคคล” หมายถึงบุคคลหรือนิติบุคคลที่มีอำนาจตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล และ “ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายความถึง บุคคลหรือนิติบุคคลที่ดำเนินการเกี่ยวการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคลภายใต้คำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล เดิมร่างพ.ร.บ.ฯ ฉบับนี้มิได้ระบุให้ชัดเจนถึงขอบเขตในการบังคับใช้ว่าผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลนั้น รวมถึงบุคคลต่างชาติหรือนิติบุคคลที่ไม่ได้จดทะเบียนในประเทศไทยหรือไม่ แต่หลังรับฟังความเห็น จึงได้ปรับแก้ไขเพิ่มเติมมาตรา 5 โดยให้กฎหมายใช้บังคับแก่การเก็บรวบรวม การใช้ หรือการเปิดเผย ข้อมูลส่วนบุคคลที่เกิดขึ้นในราชอาณาจักรโดยผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูล ส่วนบุคคล ไม่ว่าผู้นั้นจะอยู่ในหรือนอกราชอาณาจักรหรือไม่

หลักการดังกล่าวสอดคล้องกับ CalOPPA ที่ได้วางหลักไว้ใน Business and Professions Code Division 8, Chapter 22, 2275 ว่าผู้ควบคุมข้อมูลนั้นหมายถึง เจ้าของเว็บไซต์ธุรกิจหรือบริการที่รวบรวมข้อมูลส่วนบุคคลผ่านทางอินเตอร์เน็ตของบุคคลผู้อยู่อาศัยในแคลิฟอร์เนียที่เข้าเว็บไซต์ดังกล่าว โดยไม่ได้จำกัดว่าเจ้าของเว็บไซต์ธุรกิจหรือบริการนั้น ๆ จะต้องจดทะเบียนในแคลิฟอร์เนียหรือแม้แต่ประเทศสหรัฐหรือไม่

ส่วนคำว่า “ข้อมูลส่วนบุคคล” ตามร่างพ.ร.บ.ฯ มาตรา 6 ให้คำจำกัดความไว้ว่า “ข้อมูลที่เกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงการระบุเฉพาะชื่อ ตำแหน่ง สถานที่ทำงาน หรือที่อยู่ทางธุรกิจและข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ

จากคำนิยาม จะเห็นได้ว่าร่างพ.ร.บ.ฯ มาตรา 6 ได้วางหลักการให้ข้อมูลส่วนบุคคลนั้นรวมถึงข้อมูลที่สามารถนำมาใช้ระบุตัวบุคคล (ธรรมดา)นั้น ๆ ไม่ว่าทางตรงหรืออ้อม หากแต่ไม่รวมถึงการระบุเพียงชื่อ ตำแหน่ง หรือ สถานที่ทำงานหรือที่อยู่ทางธุรกิจ ในขณะที่ข้อมูลส่วนบุคคล หรือ Personally identifiable information (PII) ตาม CalOPPA นั้นหมายถึง ข้อมูลที่ถูกรวบรวมผ่านทางอินเตอร์เน็ตโดยเป็นข้อมูลที่เกี่ยวกับผู้บริโภคโดยรวมถึง ชื่อ นามสกุล ที่อยู่ อีเมล์ เบอร์โทรศัพท์ หมายเลขประจำตัวตามฐานข้อมูลทะเบียนราษฎร์ สิ่งใด ๆ ที่อาจใช้ในการระบุตัวตนของผู้ใช้ โดยรวมถึงวันเกิด ส่วนสูง น้ำหนัก สีผม ที่ถูกถามและเก็บรวบรวมออนไลน์ จากคำนิยามดังกล่าว คำจำกัดความของข้อมูลส่วนบุคคลหรือ PII จึงกว้างและครอบคลุมข้อมูลต่าง ๆ มากกว่าคำนิยามตามร่างพ.ร.บ.ฯ มาตรา 6

CalOPPA เป็นกฎหมายที่รู้จักกันในนามของ กฎหมายบังคับให้ธุรกิจและบริการที่มีการเก็บรวบรวมข้อมูลส่วนบุคคล (PII) ต้องเปิดเผยนโนบายด้านข้อมูลส่วนบุคคลออนไลน์ (Disclosure of their online privacy policy) โดยข้อกำหนดตาม CalOPPA นั้น เจ้าของธุรกิจหรือบริการสามารถเปิดเผยนโยบายข้อมูลส่วนบุคคลได้ 3 วิธีดังนี้ (1) โดยการขึ้นนโยบายด้านข้อมูลส่วนบุคคลไว้บนหน้าแรกของเว็บไซต์ (2) โดยการใส่ link บนไอคอนที่มีคำว่า “privacy” บนหน้าแรกของเว็บไซต์ หรือ (3) โดยการใส่ลิงค์ผ่าน hypertext ที่มีคำว่า PRIVACY ตัวพิมพ์ใหญ่ขนาดใหญ่กว่าหรือเท่ากับข้อความอื่น ๆ ในหน้าแรกของเว็บไซต์นั้น ๆ 

หากไม่ทำตามข้อกำหนดดังกล่าว ธุรกิจก็อาจจะสูญเสียโอกาสในการเข้าถึงลูกค้าที่อยู่อาศัยในมลรัฐแคลิฟอร์เนียได้ซึ่งสอดคล้องกับร่างพ.ร.บ.ฯ มาตรา 18 ที่กำหนดให้ ผู้ควบคุมข้อมูลส่วนบุคคลต้องทำการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่ได้แจ้งเจ้าของข้อมูลส่วนบุคคลไว้ก่อนหรือในขณะที่เก็บรวบรวมข้อมูลส่วนบุคคลนั้น แต่เนื่องจากกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลเป็นเรื่องใหม่ จึงต้องดูกันต่อไปว่าอนุบัญญัติต่าง ๆ ที่จะออกมาภายหลังกฎหมายใช้บังคับจะเป็นไปในรูปแบบใดหรือจะมีการแก้ไขในชั้น สนช. หรือไม่

ความแตกต่างอีกประการหนึ่งของร่างพ.ร.บ.ฯ จาก CalOPPA คือระบบการได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล (Consent seeking system) โดยร่างพ.ร.บ.ฯ มาตรา 17 กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลต้องได้รับความยินยอมไว้ก่อนหรือในขณะที่กระทำการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคล โดยระบุว่าการขอความยินยอมนั้นจะต้องทำเป็นหนังสือ หรือ โดยผ่านระบบอิเล็กทรอนิกส์ โดยในการขอความยินยอมนั้น เจ้าของธุรกิจหรือบริการจะต้องแจ้งวัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคล และเจ้าของข้อมูลส่วนบุคคลนั้นจะถอนความยินยอมเมื่อไรก็ได้ เว้นแต่จะมีข้อจำกัดสิทธิตามกฎหมายหรือสัญญา ในขณะที่ตาม CalOPPA จะใช้หลักความยินยอมโดยปริยาย (Implied consent) ซึ่งจะมีความง่าย สะดวกต่อผู้ประกอบการและลดต้นทุนในการประกอบธุรกิจ แต่ก็อาจจะไม่คุ้มครองเจ้าของของข้อมูลส่วนบุคคลอย่างเพียงพอ

อย่างไรก็ตาม ร่างพ.ร.บ.ฯ ได้กำหนดข้อยกเว้นการขอความยินยอมไว้ในมาตรา 21 อีกด้วย ประกอบด้วย  (1) เพื่อประโยชน์ในการศึกษาวิจัยหรือสถิติเพื่อประโยชน์สาธารณะ แต่ผู้ควบคุมข้อมูลส่วนบุคคลนั้นจะต้องเก็บข้อมูลส่วนบุคคลไว้เป็นความลับ (2) เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล  (3) เป็นข้อมูลที่เปิดเผยต่อสาธารณะด้วยความยินยอมไม่ว่าโดยตรงหรือปริยายของเจ้าของข้อมูลส่วนบุคคล  (4) มีความจำเป็นในการดำเนินภารกิจเพื่อประโยชน์สาธารณะหรือในการใช้อำนาจรัฐ แต่ข้อยกเว้นนี้ไม่สามารถนำมากล่าวอ้างได้หากประโยชน์สาธารณะนั้นด้อยกว่าประโยชน์หรือสิทธิเสรีภาพขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคล (5) เป็นไปเพื่อประโยชน์โดยชอบด้วยกฎหมายสำหรับผู้ควบคุมข้อมูลส่วนบุคคลหรือของบุคคลที่สาม แต่หากเจ้าของข้อมูลเป็นเด็กและประโยชน์ดังกล่าวด้อยกว่าสิทธิเสรีภาพขั้นพื้นฐาน (6) เป็นการปฏิบัติตามกฎหมายหรือกรณีอื่นๆ 

จากการเปรียบเทียบดังกล่าว จะพบว่าร่างพ.ร.บ.ฯ นั้นวางหลักการไว้ค่อนข้างกว้างเมื่อเปรียบเทียบกับ CalOPPA ซึ่งคงต้องติดตามกันต่อไปว่าจะมีการแก้ไข หรือมีการตราอนุบัญัติต่าง ๆ ที่จะออกภายหลังเพื่อทำให้กฎหมายฉบับนี้มีความเฉพาะเจาะจงมากขึ้นหรือไม่.

 

*** ชื่อเต็ม: กรณีศึกษา CalOPPA ต่อการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคล

โดย... 

ดร.สรรเพชุดา ครุฑเครือ

คณะนิติศาสตร์ มหาวิทยาลัยสงขลานครินทร์