Grindr ‘ค่า’ ความยินยอมแห่งความรัก

Grindr ‘ค่า’ ความยินยอมแห่งความรัก

ผู้เขียนนำเสนอกรณี Grindr แอพหาคู่ชื่อดังกระทำการละเมิดข้อมูลส่วนบุคคลเกี่ยวกับพฤติกรรมทางเพศ โดยอ้างความยินยอมแบบ take-it-or-leave-it

HIGHLIGHTS    

§ ข้อมูลเกี่ยวกับพฤติกรรมทางเพศของผู้ใช้บริการแอพถูกโอนไปยังบุคคลที่สาม

§ ความยินยอมแบบ take-it-or-leave-it ไม่ใช่ความยินยอมที่ชอบด้วยกฎหมาย

§ การที่บริษัทกำหนด “นโยบายความเป็นส่วนตัว” เรื่องการโอนข้อมูลไปยังบุคคลที่สาม ไม่ถือว่าเป็นการได้รับความยินยอมตามกฎหมาย

                               ..............................................................

เมื่อวันที่ 26 มกราคม 2564 Datatilsynet ซึ่งเป็นหน่วยงานบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรปหรือ GDPR ในประเทศนอร์เวย์ ได้แถลงความเห็นเบื้องต้นเกี่ยวกับการกระทำผิดของ Grindr LLC ซึ่งเป็นบริษัทที่เป็นเจ้าของแอพ Grindr ตามคำสั่งลงวันที่ 24 มกราคม 2564 (Advance notification of an administrative fine) ต่อการกระทำผิดตาม GDPR

Grindr เป็นแอพเครือข่ายสังคมออนไลน์เพื่อการหาคู่โดยการระบุพิกัดสถานที่ (geosocial apps, GPS dating apps) สำหรับกลุ่มบุคคลที่มีความรักทางเลือกในรูปแบบต่าง ๆ และได้รับความนิยมสูงสุดในกลุ่ม LGBT โดยข้อมูล ณ สิ้นปี 2563 Grindr มีผู้ใช้งานที่เคลื่อนไหวอยู่ทั้งสิ้นราว 13.7 ล้านคน ซึ่งในจำนวนดังกล่าวมีผู้ใช้งานที่มีถิ่นที่อยู่ในนอร์เวย์จำนวนราว ๆ ร้อยละ 0.13 ของจำนวนผู้ดาวน์โหลดแอปทั้งสิ้นราว 12 ล้านครั้ง

กระบวนการสอบสวนของ Datatilsynet  เกิดขึ้นตามข้อร้องเรียนของสมาคมผู้บริโภคของนอร์เวย์ที่กล่าวหา Grindr ว่าเปิดเผยหรือแชร์ข้อมูลส่วนบุคคลของผู้ใช้บริการ “โดยไม่ถูกต้องตามกฎหมาย” ให้แก่บุคคลภายนอกที่เป็นบริษัทที่โฆษณาในแอพเวอร์ชั่นไม่เก็บค่าบริการของ Grindr ผ่านชุดเครื่องมือที่สามารถใช้ในการพัฒนาแอพพลิเคชันซอฟต์แวร์ที่กำหนดเป้าหมายไปยังแพลตฟอร์มที่เฉพาะเจาะจงหรือSDKs” (software development kits) โดยมี Twitter Inc. เป็นหุ้นส่วนด้านการโฆษณารายหนึ่งในจำนวนห้ารายที่ Grindr แชร์ข้อมูลให้ผ่าน SDKs

ปัญหาจากความยินยอมที่ไม่มีผลผูกพัน (invalid consent)

ข้อพิพาทหลักในคดีนี้ที่ Datatilsynet ต้องพิจารณาคือ Grindr ได้รับความยินยอมโดยชอบด้วยกฎหมาย (valid consent) ในการประมวลผลข้อมูลส่วนบุคคลของของผู้ใช้บริการหรือไม่  เนื่องจากความยินยอมเป็นฐานทางกฎหมายในการประมวลผลข้อมูลส่วนบุคคลสำหรับผู้ใช้บริการในกรณีนี้ ซึ่งตาม GDPR มีหลักการทางกฎหมายสำคัญที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล ดังนี้

  • สิทธิในความเป็นส่วนตัวของข้อมูลส่วนบุคคลเป็นสิทธิขั้นพื้นฐานของพลเมืองสหภาพยุโรป
  • การประมวลผลข้อมูลส่วนบุคคลของบุคคลอื่นจะกระทำได้ ต้องมีฐานทางกฎหมายเสมอ ซึ่งในกรณีของ Grindr อ้างฐาน “ความยินยอม” จากเจ้าของข้อมูลส่วนบุคคล
  • หากความยินยอมนั้นไม่ชอบด้วยกฎหมาย ก็ถือว่าบริษัทประมวลผลข้อมูลส่วนบุคคลโดยไม่มีฐานทางกฎหมายรองรับ จึงต้องมีความรับผิดทางกฎหมายต่อไป

GDPR ได้กำหนดลักษณะและแบบของความยินยอมที่ชอบด้วยกฎหมายว่า ความยินยอมนั้นต้องทำโดยอิสระ (freely given) ซึ่งหมายความว่า ผู้ใช้บริการในฐานะเจ้าของข้อมูลส่วนบุคคลต้องมีอิสระในการเลือกอย่างแท้จริงและต้องสามารถควบคุมทางเลือกเหล่านั้นได้  ดังนั้น Grindr ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล จึงมีหน้าที่ต้องแจ้งรายละเอียดเกี่ยวกับการประมวลผลข้อมูลอย่างครบถ้วนว่าจะใช้อย่างไร เพื่ออะไร หรือมีการโอนหรือส่งต่อข้อมูลนั้นไปยังบุคคลใดบ้าง โดยมีการให้รายละเอียดที่เพียงพอต่อการตัดสินใจ และไม่ใช้ถ้อยคำหรือข้อความที่ก่อให้เกิดความสับสน เพื่อให้เจ้าของข้อมูลส่วนบุคคลสามารถตัดสินใจอย่างถูกต้องว่าจะให้ความยินยอมหรือไม่

นอกจากนี้ “ความอิสระ” ยังหมายความด้วยว่า การให้ความยินยอมนั้นต้องไม่เป็น “เงื่อนไข” ในการเข้าถึงบริการและไม่เป็นการบังคับโดยปริยายให้ผู้ใช้บริการต้องจำใจยอมรับเงื่อนไขและให้ความยินยอมนั้น โดยต้องพิจารณาอำนาจต่อรองของคู่กรณีทั้งสองฝ่ายในเรื่องความไม่สมดุลของอำนาจต่อรองอีกด้วย

            ต่อข้อกล่าวหาข้างต้น Grindr ได้โต้แย้งว่าบริษัทได้รับความยินยอมจากผู้ใช้บริการแล้วโดยใช้รูปแบบตามมาตรฐานที่นิยมแพร่หลายในขณะนั้น และได้แจ้งเงื่อนไขต่าง ๆ เกี่ยวกับการประมวลผลข้อมูลและการโอนข้อมูลไว้ในแอพผ่าน “นโยบายความเป็นส่วนตัว” (Privacy Policy) แล้ว ซึ่งผู้ใช้บริการมีสิทธิที่จะกด “ยกเลิก” (CANCLE) หรือ “ยอมรับ” (ACCEPT) ก็ได้

อย่างไรก็ตาม เมื่อ Datatilsynet พิจารณาแล้วมีความเห็นว่า การขอความยินยอมแบบ “take-it-or-leave-it”  ที่ผู้ใช้บริการเพียงเลือกได้ว่าจะรับหรือไม่รับเงื่อนไขการใช้บริการ ไม่ใช่ความยินยอมที่ชอบด้วยกฎหมาย  เนื่องจากผู้ใช้บริการไม่ได้มีความอิสระอย่างแท้จริงในการให้ความยินยอมแต่อย่างใด และเมื่อพิจารณาประกอบกับการที่ข้อมูลต่าง ๆ ที่ Grindr ประมวลผลซึ่งเป็นข้อมูลที่อ่อนไหวและได้รับความคุ้มครองมากเป็นพิเศษ อาทิ “ข้อมูลเกี่ยวกับพฤติกรรมทางเพศ” ความยินยอมนั้นยิ่งต้องมีความชัดเจนมากขึ้นไปอีกขั้น ทั้งนี้ เพื่อให้สอดคล้องกับหลักความโปร่งใสและความปลอดภัยของข้อมูล

จากพฤติกรรมและความร้ายแรงของการฝ่าฝืนกฎหมายประกอบกับหลักฐานที่ชัดเจนและน่าเชื่อว่า Grindr กระทำการละเมิด GDPR จริง Datatilsynet จึงพิจารณาให้ Grindr ชำระค่าปรับทางปกครองเป็นจำนวนเงินทั้งสิ้น 100,000,000 NOK (นอร์เวย์โค) หรือประมาณ 11.7 ล้านเหรียญสหรัฐ

หากกรณีดังกล่าวเกิดขึ้นในประเทศไทย

ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 26 ได้กำหนดห้ามมิให้เก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับ “พฤติกรรมทางเพศ” หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกัน โดยที่ไม่ได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคลเช่นเดียวกัน ดังนั้น ตามกฎหมายไทย ข้อมูลเกี่ยวกับพฤติกรรมทางเพศ จึงเป็นข้อมูลที่ถูกจัดไว้ในกลุ่มพิเศษที่กฎหมายมุ่งให้ความคุ้มครองมากกว่าข้อมูลทั่ว ๆ ไป การใช้หรือการโอนข้อมูลดังกล่าวจึงต้องพึงระมัดระวังอย่างยิ่ง

ในส่วนของความยินยอมนั้น พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ มาตรา 19 กำหนดว่า การขอความยินยอมต้องทำโดยชัดแจ้ง ต้องแจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไปด้วย และการขอความยินยอมนั้น ต้องแยกส่วนออกจากข้อความอื่นอย่างชัดเจน อีกทั้ง ผู้ควบคุมข้อมูลส่วนบุคคลต้องคำนึงอย่างถึงที่สุดในความเป็นอิสระของเจ้าของข้อมูลส่วนบุคคลในการให้ความยินยอม   

ดังนั้น จึงเห็นได้ว่าพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ในเรื่องการประมวลผลข้อมูลเกี่ยวกับพฤติกรรมทางเพศและเงื่อนไขของความยินยอมที่ชอบด้วยกฎหมายนั้นไม่มีความแตกต่างจาก GDPR ในส่วนสาระสำคัญ และโทษปรับทางปกครองตามกฎหมายของไทยก็อาจสูงถึงห้าล้านบาทเลยทีเดียว.

อ้างอิง