‘เป๋าตัง’ ความยินยอม และความโปร่งใสในการประมวลผล

‘เป๋าตัง’ ความยินยอม และความโปร่งใสในการประมวลผล

แอปเป๋าตัง ทำให้ประเด็นเรื่องการคุ้มครองข้อมูลส่วนบุคคล ได้รับความสนใจมากขึ้นในช่วงสัปดาห์ที่ผ่านมา

มีคำถามหลายประการเกี่ยวกับเงื่อนไขของความยินยอมให้ใช้ข้อมูลส่วนบุคคลของผู้ใช้บริการ ซึ่งแม้ว่า PDPA หรือพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จะยังไม่มีผลใช้บังคับ แต่การทำความเข้าใจถึงสิทธิและหน้าที่ของบุคคลที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลจากกรณีศึกษาครั้งนี้ก็น่าจะทำให้ท่านผู้อ่านได้เล็งเห็นถึงความสำคัญของกฎหมายฉบับนี้ไปพร้อม ๆ กัน

The Economist (6-12 May 2017) ย้ำให้เห็นถึงความสำคัญของข้อมูลในยุคดิจิทัลว่าเป็นเสมือน “น้ำมัน” และเป็นทรัพยากรที่มีค่ามากที่สุดในโลก (world’s most valuable resource) การที่ข้อมูลถูกเปรียบเทียบเสมือนหนึ่งมูลค่าของน้ำมันดิบนั้น เนื่องจากข้อมูลเหล่านี้เมื่อนำมาผ่านกระบวนการบางอย่าง อาทิ profiling หรือ analytic ผู้ที่เป็นเจ้าของข้อมูลจะสามารถแสวงหาประโยชน์ทางเศรษฐกิจได้อย่างมากมาย รวมถึงซึ่งการนำมาซึ่งอำนาจผูกขาดทางการตลาด โดยได้ยกตัวอย่างของ Google, Amazon, Facebook, Apple แล Microsoft ในฐานะ Tech Giant ที่ครอบครองทรัพยากรที่สำคัญของโลกในยุคเศรษฐกิจดิจิทัล

เมื่อข้อมูลส่วนบุคคลเป็นสินทรัพย์ที่มีค่ามหาศาล หลาย ๆ ประเทศจึงได้เล็งเห็นถึงความไม่เท่าเทียมและปัญหาที่อาจจะเกิดขึ้นจากการใช้เทคโนโลยีในการประมวลผลข้อมูลส่วนบุคคลอย่างไม่โปร่งใสและไม่เป็นธรรมกับเจ้าของข้อมูลส่วนบุคคล จึงได้มีการตรากฎหมายที่เข้มงวดมากขึ้นเพื่อคุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคลจากการใช้อำนาจผูกขาดหรืออำนาจทางธุรกิจในการกำหนดเงื่อนไขการประมวลผลข้อมูลส่วนบุคคล

หนึ่งในกลุ่มประเทศที่มีการปรับปรุงกฎหมายเพื่อให้ทันต่อความเปลี่ยนแปลงของเทคโนโลยี คือ กลุ่มสหภาพยุโรปที่ได้ทำการยกเลิก Data Protection Directive 1995 และให้มีการใช้บังคับ General Data Protection Regulation 2016/679 (GDPR) เพื่อกำหนดสิทธิและหน้าที่ของบุคคลต่าง ๆ ในกระบวนการประมวลผลข้อมูลส่วนบุคคลให้สอดคล้องกับสภาพเศรษฐกิจและสังคมที่เปลี่ยนไป จนกระทั่ง GDPR ได้กลายมาเป็นกฎหมายต้นแบบของหลาย ๆ ประเทศในการปรับปรุงระบบกฎหมายของตนเองให้มีความสอดคล้องกับ GDPR ซึ่งก็รวมถึง PDPA ของประเทศไทยด้วย และกลายเป็น Global Legal Order ในเรื่องของการคุ้มครองข้อมูลส่วนบุคคล

หลักการของ GDPR ที่สำคัญและเกี่ยวข้องกับกรณีของแอปเป๋าตัง ได้แก่ หลักความโปร่งใส หลักความยินยอมที่ชอบด้วยกฎหมาย และการโอนข้อมูลไปยังบุคคลที่สาม ซึ่งอาจนำมาเทียบเคียงเป็นกรณีศึกษาของการกำหนดนโยบายความเป็นส่วนตัวของแอปเป๋าตังและการขอความยินยอมตาม PDPA ได้ดังนี้

  1. หลักความโปร่งใส (Transparency Principle)

หลักความโปร่งใสเป็นส่วนหนึ่งของหลักการประมวลผลข้อแรกตาม GDPR (lawfulness, fairness and transparency) โดยหลักการดังกล่าวเรียกร้องให้ผู้ควบคุมข้อมูลส่วนบุคคลต้องมีความโปร่งใสต่อเจ้าของข้อมูลส่วนบุคคลในกระบวนการเก็บรวบรวม ใช้ หรือประมวลผลข้อมูลส่วนบุคคลที่เกี่ยวข้อง ต้องให้เจ้าของข้อมูลส่วนบุคคลได้ทราบว่าข้อมูลจะถูกประมวลผลอย่างไรบ้าง

การชี้แจงต่าง ๆ ที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลเหล่านั้นสามารถเข้าถึงได้ง่ายและเข้าใจง่าย โดยใช้ภาษาที่ชัดเจน และเจ้าของข้อมูลส่วนบุคคลควรได้รับรู้ถึงความเสี่ยงจากการประมวลผลและได้ทราบถึงสิทธิต่าง ๆ ของตนเอง เป็นต้น

ซึ่งหลักการเหล่านี้ก่อให้เกิดหน้าที่ในการแจ้งการประมวลผล (Privacy Notice) เพื่อให้เจ้าของข้อมูลส่วนบุคคลได้ทราบว่าข้อมูลส่วนบุคคลของเขาถูกใช้โดยใคร อย่างไร  เพื่อวัตถุประสงค์ใด มีการโอนหรือเปิดเผยข้อมูลไปยังบุคคลใดบ้าง ข้อมูลเหล่านี้จะถูกเก็บไว้นานแค่ไหน เพียงใด และมีมาตรการด้านความปลอดภัยของข้อมูลอย่างไร ฯลฯ ต้องใช้ภาษาที่สามารถเข้าใจได้โดยบุคคลที่ได้รับแจ้ง อีกทั้งต้องไม่มีลักษณะให้เกิดความสับสนหลงผิดในข้อมูลที่ได้รับด้วย

2.การตั้งค่าความยินยอม หากผู้ควบคุมข้อมูลส่วนบุคคลประสงค์จะใช้ความยินยอมเป็นฐานในการประมวลผลข้อมูลส่วนบุคคล (consent as lawful basis) การให้ความยินยอมโดยผู้ใช้บริการต้องเป็นไปโดยอิสระ ดังนั้น ค่าเริ่มต้น (privacy by default) ต้องกำหนดเป็น “ไม่ยินยอม” เท่านั้น เพื่อให้ผู้ใช้งานมีสิทธิเลือกว่าจะให้ความ “ยินยอม” หรือไม่อย่างแท้จริง การกำหนดค่าตั้งต้นเป็น “ยินยอม” (pre-ticked box) เป็นการกระทำที่ขัดต่อหลักการ เจตนา และวัตถุประสงค์ของกฎหมายคุ้มครองข้อมูลส่วนบุคคล

การเพิกถอนความยินยอม ความยินยอมนั้น โดยหลักการต้องสามารถเพิกถอนได้โดยง่าย ซึ่งหมายความว่าระบบ/แอป ต้องออกแบบให้ผู้ใช้สามารถ “เปิด/ปิด” ความยินยอมได้ และต้องมีระบบการทำงานของแอปที่เป็นหลักประกันได้ว่าจะไม่มีการประมวลผลข้อมูลส่วนบุคคลของผู้ใช้ที่ได้เพิกถอนความยินยอมแล้ว ซึ่งตรงจุดนี้ ทั้งหน้าบ้าน (interface) และหลังบ้าน (application control) ต้องทำงานตรงกันและสื่อสารกันอย่างถูกต้อง

3.การโอนข้อมูลไปยังบุคคลที่สาม กรณีที่มีการโอนข้อมูลส่วนบุคคลไปยังบุคคลที่สามภายในประเทศ อาจจะกล่าวได้ว่ากฎหมายไม่ได้มีข้อจำกัดเรื่องการโอนหรือการเปิดเผยข้อมูลต่อบุคคลที่สามไว้โดยชัดแจ้ง เพียงแต่ผู้ควบคุมข้อมูลส่วนบุคคลต้องคำนึงถึงหลักความโปร่งใสประกอบด้วย กล่าวคือ ต้องระบุตัวบุคคลผู้รับโอนข้อมูลไว้ในหนังสือแจ้งการประมวลผลให้ครบถ้วน และอาจต้องพิจารณาประกอบ “หลักความเป็นธรรม” (Fairness Principle) ในกรณีที่การโอนหรือเปิดเผยข้อมูลไปยังบุคคลที่สามนั้นเกินกว่าความคาดหมายโดยสมเหตุสมผลของเจ้าของข้อมูล (reasonable expectation) โดยเฉพาะอย่างยิ่งหากเป็นการขายข้อมูลส่วนบุคคลหรือเป็นการดำเนินการเพื่อประโยชน์ในเชิงพาณิชย์ด้วยแล้ว ยิ่งต้องระบุข้อมูลเกี่ยวกับผู้รับโอนให้ชัดเจน

 เมื่อนำหลักการและข้อสังเกตทั้ง 3 ประการข้างต้นไปพิจารณาประกอบกรณี “เป๋าตัง”  ท่านผู้อ่านคงมีคำตอบในใจกันแล้วว่าการขอความยินยอมตามที่เป็นข่าวนั้น น่าจะชอบหรือไม่ชอบด้วยกฎหมายเพียงใด.

อ้างอิง

  1. EDPB, Guidelines 4/2019, Article 25 Data Protection by Design and by Default, version 2.0 adopted on 20 October 2020.
  2. Article 29 Working Party, Guidelines on transparency under Regulation 2016/679, adopted on 29 November 2017 (Revised and Adopted on 11 April 2018)
  3. EDPB, Guidelines 05/2020 on consent under Regulation 2016/679, adopted on 4 May 2020
  4. Morgan, R. and R. Boardman (2019). Data Protection Strategy: Implementing Data Protection Compliance. London, Sweet & Maxwell/Thomson Reuters.
  5. The Economist Magazine May 6 - 12 2017, The world's most valuable resource.