คอลัมนิสต์

การกำหนดเป้าหมายการตลาดกับผู้ใช้สื่อสังคมออนไลน์

By Tech, Law and Security30 เม.ย. 2021 เวลา 5:00 น.
การกำหนดเป้าหมายการตลาดกับผู้ใช้สื่อสังคมออนไลน์

ตัวอย่างคำพิพากษาศาลในต่างประเทศ กรณีการได้มาซึ่งข้อมูลส่วนบุคคลของผู้ใช้สื่อสังคมออนไลน์ ทั้งจากรวบรวมเองและจากพฤติกรรมออนไลน์ของยูซเซอร์

HIGHLIGHTS 

§  ผู้ควบคุมข้อมูลส่วนบุคคคลร่วมกัน หรือ Joint controller อาจเกิดขึ้นได้ในกรณีที่บุคคลที่มีสถานะเป็นผู้ควบคุมข้อมูลส่วนบุคคลแต่ละฝ่ายต่างมีส่วนร่วมในการกำหนดวัตถุประสงค์และวิธีการร่วมกัน

§ ผู้ควบคุมข้อมูลส่วนบุคคลแต่ละรายที่เข้ามามีส่วนร่วมในการประมวลผล เพื่อกำหนดเป้าหมายการตลาดกับผู้ใช้สื่อสังคมออนไลน์ต้องมีฐานทางกฎหมายในการประมวลผล

 

การให้บริการกำหนดกลุ่มเป้าหมาย (targeting service) โดยผู้ให้บริการสื่อสังคมออนไลน์ (social media providers) ทำให้องค์กรที่ต้องการกำหนดกลุ่มเป้าหมาย (targeters) สามารถสื่อสารข้อมูลต่างๆ ไปยังผู้ใช้บริการสื่อสังคมออนไลน์ (users) ได้อย่างมีประสิทธิภาพและตรงตามเป้าหมาย ไม่ว่าจะเป็นการสื่อสารข้อมูลด้านการตลาด ด้านการเมือง หรือวัตถุประสงค์อื่น ๆ ด้วยเทคโนโลยีและกระบวนการ เพื่อช่วยในการกำหนดกลุ่มเป้าหมายมีความซับซ้อนและมีความแม่นยำมากขึ้น จากการเก็บรวบรวมข้อมูลส่วนบุคคลของผู้ใช้บริการโดยตรง ผ่านการวิเคราะห์และการสังเคราะห์จากพฤติกรรมต่าง ๆ ที่ปรากฏในแพลตฟอร์มของผู้ให้บริการสื่อสังคมออนไลน์นั้นเองหรือโดยบุคคลที่สาม และผนวกเข้ากับข้อมูลส่วนบุคคลที่อาจจะได้มาจากแหล่งอื่น ๆ อาทิ จาก data brokers  เป็นต้น

จากความแม่นยำของกระบวนการประมวลผลข้อมูลส่วนบุคคลดังกล่าวข้างต้น เมื่อพิจารณาในมิติของกฎหมายคุ้มครองข้อมูลส่วนบุคคลแล้วอาจก่อให้เกิดความเสี่ยงต่อสิทธิและเสรีภาพของผู้ใช้บริการสื่อสังคมออนไลน์ได้อย่างกว้างขวาง ซึ่งความเสี่ยงส่วนใหญ่เกิดจากการประมวลผลข้อมูลส่วนบุคคลที่ขาดความโปร่งใสและปราศจากการควบคุมจากเจ้าของข้อมูลส่วนบุคคล (lack of transparency and users control of their personal data)

ในกระบวนการกำหนดเป้าหมายการตลาดกับผู้ใช้สื่อสังคมออนไลน์ อาจจำแนกกลุ่มบุคคลที่เข้ามาเกี่ยวข้องได้ 4 จำพวก ดังนี้

  • ผู้ใช้บริการสื่อสังคมออนไลน์ (users) ซึ่งมีสถานะเป็นเจ้าของข้อมูลส่วนบุคคลที่ถูกประมวลผล
  • ผู้ให้บริการสื่อสังคมออนไลน์ (social media providers) ซึ่งเป็นเจ้าของแพลทฟอร์มผู้ให้บริการ ซึ่งนอกจากการให้บริการการเป็นสื่อสังคมออนไลน์โดยการมีระบบฐานข้อมูลสมาชิกแล้ว (account/profile) ผู้ให้บริการเหล่านี้ยังให้บริการในด้านการตลาดโดยการกำหนดเป้าหมายจากฐานข้อมูลของผู้ใช้สื่อสังคมออนไลน์อีกด้วย อาทิ Facebook, YouTube และ Twitter เป็นต้น

ผู้ให้บริการสื่อสังคมออนไลน์ สามารถประมวลผลข้อมูลส่วนบุคคลของผู้ใช้บริการจากข้อมูลจำนวนมากที่เกี่ยวข้องกับเจ้าของข้อมูลส่วนบุคคลทั้งที่อาจได้รับมาโดยตรงหรือจากพฤติกรรมการใช้บริการ อาทิ การเลือกกดชื่นชอบ หรือการเลือกรับชมเนื้อหาต่าง ๆ ซึ่งผู้ให้บริการสื่อสังคมออนไลน์สามารถสร้างโพรไฟล์ลิ่ง (profiling) แล้วนำข้อมูลเหล่านี้ไปใช้ประมวลผลและสามารถกำหนดกลุ่มเนื้อหาที่ควรสื่อสาร (โฆษณา) ได้

  • Targeters อาจจะเป็นเจ้าของผลิตภัณฑ์โดยตรงหรืออาจจะเป็นตัวแทนด้านการโฆษณาของสินค้านั้น ๆ ก็ได้ โดย Targeters คือบุคคล/องค์กร ที่ต้องการสื่อสารข้อความใด ๆ ไปยังผู้ใช้บริการสื่อสังคมออนไลน์ตามค่าพื้นฐาน (parameter) หรือเกณฑ์เฉพาะบางประการที่กำหนดขึ้น
  • กลุ่มธุรกิจ Adtech ต่าง ๆ รวมถึงพวก data broker ต่าง ๆ

ความซับซ้อนของกลุ่มบุคคลต่าง ๆ ที่เข้ามาเกี่ยวข้องกับกระบวนการประมวลผลข้อมูลส่วนบุคคลของผู้ใช้บริการ (users) ทำให้การบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลมีความซับซ้อนมากขึ้นตามลำดับ โดยเฉพาะประเด็นความรับผิดและสถานะทางกฎหมายของบุคคลตามข้อ (2)-(4) ต่อกิจกรรมการประมวลต่าง ๆ ที่เกิดขึ้น ซึ่งบุคคลแต่ละกลุ่มอาจเข้ามามีส่วนในการประมวลผลข้อมูลส่วนบุคคลในฐานะ “ผู้ควบคุมข้อมูลส่วนบุคคลร่วมกัน” (Joint Controller) ซึ่งมีกรณีศึกษาที่เคยเกิดขึ้นในสหภาพยุโรปที่น่าสนใจเกี่ยวกับประเด็นดังกล่าว ดังนี้

 ในคดี C-40/17 Fashion ID และ Case C-210/16 Wirtschaftsakademie ศาลยุติธรรมแห่งสหภาพยุโรปได้มีคำวินิจฉัยสถานะการเป็น Joint Controller ของจำเลยไว้ในทิศทางเดียวกันกล่าวคือ นิติบุคคลที่มีสถานะเป็นผู้ควบข้อมูลส่วนบุคคลแต่ละฝ่ายต่างมีส่วนร่วมในการกำหนดวัตถุประสงค์​และวิธีการ (purposes and means) ร่วมกัน แม้ผู้ควบคุมข้อมูลแต่ละฝ่ายจะดำเนินการประมวลผลข้อมูลส่วนบุคคล (processing) เพื่อประโยชน์ในทางธุรกิจที่ต่างกันตามบริบทของกิจการของแต่ละฝ่ายและต่างฝ่ายต่างไม่มีข้อตกลงในการร่วมกันประมวลผลข้อมูลส่วนบุคคลแต่อย่างใดก็ตาม

คดี C-210/16 Wirtschaftsakademie ผู้ใช้ Facebook รายหนึ่งดำเนินการจัดทำหน้า Facebook Fanpage โดยอาศัยการประมวลผลข้อมูลทางสถิติของผู้ใช้งาน (Facebook user) เพื่อใช้ในการจัดทำแผนส่งเสริมการขายและดำเนินกิจกรรมต่าง ๆ คดีนี้ ศาลมีคำวินิจฉัยว่าการที่ Facebook ดำเนินการพัฒนาปรับปรุงการจัดทำโฆษณาผ่านการประมวลผลข้อมูลส่วนบุคคลโดยการเก็บข้อมูลทางสถิติของผู้ใช้งานและทำให้ผู้จัดทำหน้า Facebook Fanpage สามารถดำเนินการประมวลผลข้อมูลส่วนบุคคลในการส่งเสริมการขายได้โดยอาศัยวิธีการเดียวกัน ถือว่าทั้ง Facebook และผู้จัดทำหน้า Facebook Fanpage มีสถานะเป็น Joint Controller เนื่องจากทั้งสองฝ่ายมีส่วนร่วมในการกำหนดวัตถุประสงค์และวิธีการในการประมวลผลข้อมูลส่วนบุคคลของผู้ใช้บริการร่วมกัน แม้การกระทำดังกล่าวจะไม่ได้เป็นไปเพื่อผลประโยชน์ร่วมกันก็ตาม  

คดี C-40/17 Fashion ID ศาลได้วางแนวคำวินิจฉัยต่อกรณี Joint Controller ไว้ในแนวทางเดียวกับคดีข้างต้น โดยในคดีนี้ผู้จัดทำเว็บไซต์ได้นำปุ่ม “Like” ของ Facebook เข้ามาเชื่อมไว้กับหน้าเว็บไซต์ของตน โดยปุ่ม Like ดังกล่าวจะทำการเก็บรวมรวมข้อมูลของผู้ใช้ (user) ที่เข้ามาเยี่ยมชมหน้าเว็บไซต์โดยมีวัตถุประสงค์ในการประมวลผลข้อมูลดังกล่าวเพื่อช่วยให้สินค้าบนหน้าเว็บไซต์ของตนสามารถมีผู้ใช้บนสื่อสังคมออนไลน์มองเห็นได้มากขึ้น ปุ่ม Like ดังกล่าวยังทำหน้าที่ส่งข้อมูลที่ถือเป็นข้อมูลส่วนบุคคลของผู้เยี่ยมชมเว็บไซต์ไปยัง Facebook อีกด้วย ศาลจึงมีคำวินิจฉัยว่าทั้ง Fashion ID และ  Facebook มีส่วนร่วมในการกำหนดวัตถุประสงค์และวิธีการในการประมวลผลข้อมูลส่วนบุคคลเพื่อประโยชน์ทางเศรษฐกิจของแต่ละฝ่าย

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ไม่ได้กำหนดว่าผู้ควบคุมข้อมูลส่วนบุคคลนั้นจะมีได้เพียงคนเดียว จึงมีความเป็นไปได้ว่าในการตีความของศาลหรือหน่วยงานที่มีอำนาจบังคับใช้กฎหมายในอนาคต หากตีความตามข้อเท็จจริงและเพื่อประโยชน์ในการคุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคล Joint Controller ก็น่าจะมีได้ภายใต้พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ดังนั้น ผู้ควบคุมข้อมูลส่วนบุคคลแต่ละรายจึงมีหน้าที่ตามกฎหมายและจะต้องมีฐานทางกฎหมายของตนเองในการประมวลผลข้อมูลส่วนบุคคล.

บทความโดย ศุภวัชร์ มาลานนท์

Certified Information Privacy Professional/ Europe

คณะนิติศาสตร์ มหาวิทยาลัยสงขลานครินทร์

ชิโนภาส อุดมผล

Optimum Solution Defined (OSD)