คอลัมนิสต์

“คน” ต้องมาก่อน “เทคโนโลยี” (8) กม.คุ้มครองข้อมูลส่วนบุคคล

หลายตอนที่ผ่านมา ผู้เขียนพยายามอธิบายการใช้ข้อมูลทางเลือกต่างๆ โดยเฉพาะ ‘รอยเท้า’ ที่เราทิ้งไว้บนโลกออนไลน์ เวลาซื้อของ

พูดคุยผ่านโซเชียลมีเดีย ฯลฯ มาประมวลเป็นคะแนนเครดิตเพื่อปล่อยสินเชื่อนั้น น่าจะช่วยทำให้คนจำนวนมากได้เข้าถึงระบบการเงินมากกว่าที่แล้วมาในอดีต

อย่างไรก็ดี ถ้าหากว่าแบบจำลองด้านเครดิตเกิดมีหรือใช้ อคติ ในทางที่ส่งผลด้านลบ กลายเป็นเลือกปฏิบัติหรือกีดกันผู้ขอสินเชื่อ (ซึ่งเป็นสิ่งที่เกิดขึ้นแล้วในต่างประเทศหลายครั้งตลอดหลายปีที่ผ่านมา) ณ วันนี้กฎหมายไทยยังไปไม่ถึง ยังมองไม่เห็น และยังไม่นับว่าเป็นเรื่องที่ผิดกฎหมาย

ความหวังหนึ่งเดียวที่เราอาจจะพอมี คือ การใช้สิทธิในการยินยอมให้เก็บรวบรวมข้อมูล และสิทธิในการขอดูวิธีนำข้อมูลส่วนบุคคลของเราไปใช้ ตามร่าง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. .... (ดาวน์โหลดร่างล่าสุด ฉบับรับฟังความคิดเห็น กันยายน 2561 ได้จาก http://www.lawamendment.go.th/index.php/component/k2/item/1297-5-20-2561)

เพื่อที่อย่างน้อยเราจะได้เรียกร้อง “ความโปร่งใส” และ “ความรับผิด” จากคนที่เก็บและเอาข้อมูลของเราไปใช้ และมีส่วนร่วมการติดตามตรวจสอบการทำงานของ อัลกอริธึม คำนวณข้อมูลเครดิต

แต่โชคร้าย ร่างกฎหมายฉบับนี้กลับยกเว้นไม่ให้ใช้บังคับแก่ “การดำเนินการกับข้อมูลของบริษัทข้อมูลเครดิตและสมาชิก ตามกฎหมายว่าด้วยการประกอบธุรกิจข้อมูลเครดิต” ตามมาตรา 4(6)

ผู้เขียนไม่เห็นว่าการยกเว้นดังกล่าวจะมีเหตุผลที่ชอบธรรมใดๆ เลย และก็ไม่เคยเห็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศไหนในโลก ยกเว้นไม่ต้องใช้กับบริษัทข้อมูลเครดิตและสมาชิก ซึ่งก็คือสถาบันการเงินทั้งหลาย และใครก็ตามที่อยากทำธุรกิจเกี่ยวกับสินเชื่อด้วย!

(ควรหมายเหตุไว้ตรงนี้ว่า นอกจากบริษัทข้อมูลเครดิตและสมาชิก ร่างกฎหมายคุ้มครองข้อมูลฉบับนี้ยังยกเว้นไม่ให้ใช้กับภาคส่วนอื่นๆ ที่ดูไร้เหตุผลพอๆ กับการยกเว้นให้ภาคการเงิน เช่น “หน่วยงานของรัฐที่มีหน้าที่ในการรักษาความมั่นคงของรัฐ” (มาตรา 4(2)) และ “บุคคลหรือนิติบุคคลซึ่งใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่ทำการเก็บรวบรวมไว้เฉพาะเพื่อกิจการสื่อมวลชน งานศิลปกรรม หรืองานวรรณกรรมอันเป็นไปตามจริยธรรมแห่งการประกอบวิชาชีพหรือเป็นประโยชน์สาธารณะเท่านั้น” (มาตรา 4(3))

ผู้เขียนเห็นว่า เราย่อมถกเถียงกันได้ว่า “เนื้อหา” ข้อใดในกฎหมายคุ้มครองข้อมูลส่วนบุคคลจะทำให้ธุรกิจทำงานลำบาก ใช้ประโยชน์จากข้อมูลยาก บังคับใช้ไม่ได้ หรือประสบปัญหาอุปสรรคอื่นใดก็ตาม เพื่อปรับปรุงแก้ไขให้กฎหมายดีขึ้น

แต่การถกเถียงเหล่านั้น จำเป็นจะต้องตั้งต้นจากการทำความเข้าใจร่วมกันว่า กฎหมายฉบับนี้ “จำเป็น” ต่อการคุ้มครองข้อมูลส่วนบุคคล ซึ่งเป็น “กรรมสิทธิ์” โดยชอบของเจ้าของข้อมูล ซึ่งก็คือเราๆ ท่านๆ ทุกคน

ไม่ใช่ตั้งหน้าตั้งตาโอดครวญอย่างเดียวแบบ “บริษัทมักง่าย” ที่อยากได้กำไรแบบง่ายๆ สบายๆ ไม่ต้องสนใจสิทธิของลูกค้า เรียกร้องให้ยกเว้นไม่ใช้กฎหมายกับตัวเองท่าเดียว แทนที่จะยอมรับกลไกกฎหมาย ทำความเข้าใจกับหลักการ และต่อรองอย่างมีเหตุมีผล

ข้อเท็จจริงที่ปรากฎชัดขึ้นเรื่อยๆ ทุกวันนี้คือ “ข้อมูล” ทั้งข้อมูลที่บอกได้ว่าเราคือใคร และเนื้อหาต่างๆ ที่เราสร้างเองออนไลน์ คือ “สินทรัพย์” ล้ำค่าของบริษัทต่างๆ ในโลกออนไลน์ สาเหตุที่เราสามารถใช้เฟซบุ๊ก ทวิตเตอร์ ไลน์ ฯลฯ ได้ฟรีๆ ก็คือ บริษัทเหล่านี้สามารถรวบรวมและประมวลผลข้อมูลมหาศาลไปจำแนกแยกแยะ ขายข้อมูลและพื้นที่ให้กับบริษัทต่างๆ ที่อยากโฆษณาหรือเรียนรู้เกี่ยวกับลูกค้า นำข้อมูลไปพัฒนาสินค้าและบริการให้ตรงจุดมากขึ้น

เราทุกคนเป็น เจ้าของข้อมูลล้ำค่าที่บริษัทเอาไปทำมาหากิน และดังนั้นจึงต้องมี กฎหมายคุ้มครองข้อมูลส่วนบุคคลมาคุ้มครองสิทธิของเรา ไม่ใช่ให้ใครเอาไปใช้ง่ายๆ เอาไปปู้ยี่ปู้ยำอย่างไรก็ได้

การบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคล โดยเฉพาะกับภาคส่วนที่อาจใช้ข้อมูลส่วนบุคคลมาลิดรอนสิทธิของเราอย่างมีอคติ อาทิ สื่อมวลชน และภาคการเงิน จึงจำเป็น แต่ร่างกฎหมายไทยกลับยกเว้น!

ในงานเปิดรับความคิดเห็น ตัวแทนจากสถาบันการเงินบางราย (ซึ่งระบุหมวกของตัวเองว่า เป็น “สมาชิกบริษัทข้อมูลเครดิต”) อ้างว่า สถาบันการเงินควรได้รับการยกเว้นจากกฎหมายฉบับนี้ เพราะกฎหมายข้อมูลเครดิตของไทย “คุ้มครองข้อมูลส่วนบุคคล” เพียงพอแล้ว แถมยังอ้างด้วยว่า บทบัญญัติในกฎหมายฉบับนี้จะไปทับซ้อนและขัดแย้งกับกฎหมายฟอกเงิน ซึ่งบังคับให้สถาบันการเงินเก็บข้อมูลส่วนบุคคล

ผู้เขียนได้ยินแล้วก็อดรู้สึกขำปนสมเพชไม่ได้ เพราะนอกจากข้ออ้างทั้งสองข้อจะ ‘ไม่จริง’ และ ‘ไม่เกี่ยว’ แล้ว ยังสะท้อนความ มักง่ายของสถาบันการเงินนั้นๆ ด้วย

เอาแค่นิยาม ความมักง่ายก็ชัดเจน– ร่างกฎหมายคุ้มครองข้อมูลส่วนบุคคลนิยาม “ข้อมูลส่วนบุคคล” ว่า “ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ”

ส่วนกฎหมายข้อมูลเครดิตนิยาม ข้อมูลเครดิตอย่างแคบกว่ากันมาก โดยหมายความเฉพาะถึง ข้อเท็จจริงเกี่ยวกับลูกค้าที่ขอสินเชื่อ” (ใครไม่ขอสินเชื่อก็ไม่เกี่ยว ต่างจากกฎหมายคุ้มครองส่วนบุคคลที่คุ้มครองทุกกรณี) และยังครอบคลุมเฉพาะประวัติสินเชื่อ และ “ข้อเท็จจริงที่บ่งชี้ถึงตัวลูกค้า และคุณสมบัติของลูกค้าที่ขอสินเชื่อ” อาทิ ชื่อ ที่อยู่ อาชีพ สถานที่ตั้งนิติบุคคล (กรณีเป็นลูกค้านิติบุคคล) – พูดง่ายๆ คือ หมายถึงเฉพาะข้อมูลบางจำพวกที่ระบุตัวตนได้ทางตรงเท่านั้น

ผู้เขียนเห็นว่า ดูแค่นิยามก็ชัดเจนแล้วว่า กฎหมายข้อมูลเครดิตไม่ครอบคลุม และไม่มีวันจะใช้ “แทน” กฎหมายคุ้มครองข้อมูลส่วนบุคคลได้เลย (ซึ่งก็ควรเป็นเช่นนั้น เพราะกฎหมายข้อมูลเครดิตมีเจตนาจะใช้กับธุรกิจการปล่อยสินเชื่ออย่างเดียว ไม่ใช่การเก็บรวบรวมข้อมูลไปขาย และออกแบบผลิตภัณฑ์ต่างๆ นานาของสถาบันการเงิน ซึ่งมีบริการมากกว่าการปล่อยสินเชื่อ)

การยกเว้นบริษัทข้อมูลเครดิตและสมาชิก – ซึ่งวันนี้กฎหมายข้อมูลเครดิตก็กำลังอยู่ระหว่างการยกร่างปรับปรุงใหม่ เพิ่ม “กิจการเกี่ยวเนื่องกับการให้สินเชื่อเป็นทางการค้าปกติ” เข้าไปในนิยาม “สถาบันการเงิน” – จึงเท่ากับเปิดช่องโหว่ขนาดใหญ่ ให้บริษัทข้อมูลเครดิต สถาบันการเงิน และใครก็ได้ที่เพียงแต่แสดงว่า “เกี่ยวเนื่อง” กับการให้สินเชื่อ (เช่น บริษัทโทรคมนาคมที่อ้างว่าเก็บข้อมูลทางเลือกไปขายคนทำแบบจำลองเครดิต) ได้รับยกเว้น ไม่ต้องทำตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลทั้งฉบับ!

นับเป็นการใส่ข้อยกเว้นในกฎหมายที่ล้าหลัง มักง่าย และไร้ความรับผิดชอบอย่างน่าตกใจยิ่ง.

 

*** ชื่อเต็ม: “คน” ต้องมาก่อน “เทคโนโลยี” (8) เมื่อกฎหมายคุ้มครองข้อมูลส่วนบุคคลจะไม่คุ้มครอง