Clubhouse และปัญหาการละเมิดข้อมูลส่วนบุคคล

Clubhouse และปัญหาการละเมิดข้อมูลส่วนบุคคล

คงปฏิเสธไม่ได้ว่า Clubhouse เป็นแพลตฟอร์มโซเชียลมีเดียที่มีกระแสร้อนแรงและถูกพูดถึงมากที่สุดแพลตฟอร์มหนึ่งในขณะนี้

  • Clubhouse Privacy Policy “By using the Service, you agree to the practices described in this Privacy Policy. If you do not agree to this Privacy Policy, please do not access the Site or otherwise use the Service.”
  •  การแจ้งข้อมูลเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลให้ผู้ใช้บริการทราบไม่เท่ากับการให้ความยินยอมตาม GDPR

Clubhouse เป็นแพลตฟอร์มโซเชียลมีเดียที่มี Alpha Exploration Co. บริษัทซึ่งอยู่ในแคลิฟอร์เนียเป็นเจ้าของและเป็นผู้ให้บริการแอปดังกล่าว ความนิยมของแอป Clubhouse ได้นำมาซึ่งการตั้งข้อสังเกตเกี่ยวกับการปฏิบัติตามกฎหมายของ Alpha Exploration ในประเทศเยอรมนีในส่วนที่เกี่ยวกับ GDPR ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรปและกฎหมายคุ้มครองผู้บริโภคในหลายประเด็น

โดยในขณะนี้มีหน่วยงานด้านการคุ้มครองข้อมูลส่วนบุคคลอย่างน้อยสองหน่วยงานได้แก่ Data Protection Authority แห่งเมืองฮัมบูร์กและรัฐซาร์ลันท์ได้เริ่มกระบวนการเพื่อให้ Alpha Exploration ชี้แจงถึงการปฏิบัติตาม GDPR ในขณะที่ VZBV ซึ่งเป็นสมาคมคุ้มครองผู้บริโภคของเยอรมันก็ได้ออกมาเรียกร้องให้ Alpha Exploration หยุดการละเมิดกฎหมายคุ้มครองข้อมูลส่วนบุคคลและกฎหมายคุ้มครองผู้บริโภคเช่นกัน

วันนี้ผู้เขียนจึงจะขอนำข้อสังเกตและประเด็นต่าง ๆ ที่มีการกล่าวถึงในประเทศเยอรมนีมาแลกเปลี่ยนกับท่านผู้อ่านเพื่อเป็นกรณีศึกษา ดังนี้

ส่วนที่ 1 การละเมิดกฎหมายคุ้มครองข้อมูลส่วนบุคคล        

  1. 1. การประมวลผลข้อมูลส่วนบุคคลของผู้ที่ไม่ใช่ผู้ใช้งานแอป

            ปัจจุบันการเป็นสมาชิกของ Clubhouse สามารถทำได้สองช่องทางด้วยกันคือ 1) ได้รับคำเชิญ จากเพื่อนที่เป็นสมาชิกแพลตฟอร์มอยู่ก่อนแล้ว และ 2) ขึ้นบัญชีไว้และรอตามลำดับเพื่อได้รับเข้าเป็นสมาชิก และเนื่องจากขั้นตอนหนึ่งในการสมัครเข้าเป็นสมาชิกของ Clubhouse ผู้สมัครจะต้องเปิดให้ Clubhouse เข้าถึงข้อมูลบัญชีรายชื่อผู้ติดต่อที่อยู่ในเครื่องของผู้สมัคร (บุคคลภายนอก) เพื่อให้ผู้ใช้บริการสามารถติดต่อกับผู้ใช้รายอื่น ๆ ในโซเชียลมีเดีย และทันทีที่ผู้ใช้งานเข้าไปสู่หน้าการส่งคำเชิญจะเห็นได้ว่ารายชื่อข้อมูลผู้ติดต่อที่อยู่บนเครื่องโทรศัพท์ถูกดึงเข้ามาในแอปเพื่อให้ผู้ใช้งานกดส่งคำเชิญ ตรงจุดนี้เองเป็นที่น่าสังเกตว่า Clubhouse กำลังประมวลผลข้อมูลส่วนบุคคล (ชื่อและเบอร์โทรศัพท์) ของบุคคลที่ไม่ได้เป็นผู้ใช้งานหรือไม่แม้กระทั่งสนใจที่จะใช้งาน Clubhouse โดยไม่มีการขอความยินยอมและมีความรับรู้ถึงการประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลแต่อย่างใด

            การประมวลผลข้อมูลส่วนบุคคลของผู้บริโภคโดยปราศจากความยินยอมหรือฐานความชอบด้วยกฎหมายอื่น ๆ ในลักษณะเดียวกับที่กำลังเกิดขึ้นบนแอป Clubhouse เคยเกิดขึ้นเป็นข้อพิพาทมาแล้วในปี 2559 ในกรณีของ Facebook โดย German Federal Court of Justice (BGH) ได้ตัดสินว่าการที่ Facebook มีการนำเข้าข้อมูลซึ่งถือเป็นข้อมูลส่วนบุคคลของบุคคล (โดยปราศจากความยินยอม) ซึ่งไม่ใช่สมาชิกหรือผู้ใช้งานของ Facebook  และนำข้อมูลการติดต่อที่ได้ดังกล่าวมาใช้ในการส่งคำเชิญการเข้าร่วมเป็นสมาชิกหรือผู้ใช้งาน Facebook เป็นการกระทำที่ไม่ชอบด้วยกฎหมาย และ Facebook ไม่มีสิทธิในการใช้ข้อมูลส่วนบุคคลของบุคคลอื่นเพื่อวัตถุประสงค์ในการโฆษณาโดยปราศจากความยินยอมของเจ้าของข้อมูลส่วนบุคคล (การกระทำดังกล่าวยังเป็นการขัดต่อกฎหมายคุ้มครองผู้บริโภคในเรื่องของการโฆษณาอย่างเป็นธรรมอีกด้วย)

  1. 2. การบันทึกการสนทนาในห้องเสมือนจริง

Clubhouse จัดให้มีการบันทึกการสนทนาชั่วคราวในห้องเสมือนจริงในระหว่างที่การสนทนาในห้องนั้น ๆ กำลังดำเนินการอยู่ โดยบทสนทนาที่ถูกบันทึกจะถูกลบทันที่ที่ห้องสนทนานั้น ๆ จบลงและไม่มีข้อร้องเรียนในเรื่องของการกระทำความผิดหรือการละเมิดกฎหมายต่าง ๆ ที่อาจเกิดขึ้นจากแต่ละบทสนทนา โดยในส่วนนี้ Clubhouse ให้เหตุผลว่าการจัดเก็บบันทึกสนทนาดังกล่าวเป็นไปเพื่อประโยชน์ของการสอบสวนต่าง ๆ กรณีที่มีข้อพิพาทเกิดขึ้น โดยทางบริษัทแจ้งว่าบันทึกสนทนาที่จัดเก็บทุกไฟล์จะถูกจัดเก็บโดยการเข้ารหัส (encryption)  โดยการบันทึกการสนทนานี้ทาง Clubhouse ได้แจ้งการขอความยินยอมไว้ใน Clubhouse Privacy Policy ข้อ 1.  ว่า “ผู้ใช้บริการ Clubhouse ยินยอมให้ Clubhouse ทำการบันทึกการสนทนาในห้องสนทนาเป็นการชั่วคราวในขณะที่มีการสนทนา”

อย่างไรก็ตาม มีข้อสังเกตเพิ่มเติมว่าตาม e-privacy Directive (2002/58/EC) การบันทึกบทสนทนาจะกระทำได้ต่อเมื่อได้รับความยินยอมจากผู้สนทนาทุกคนก่อน และการทราบเงื่อนไขว่าจะมีการบันทึกบทสนทนาไม่อาจถือได้ว่าเป็นการให้ความยินยอมแล้ว

  1. 3. การโอนข้อมูลส่วนบุคคลไปยังประเทศสหรัฐอเมริกา

Clubhouse Privacy Policy ข้อ 10 กำหนดว่า “เมื่อใช้บริการของ Clubhouse ท่านเข้าใจและรับทราบว่าข้อมูลส่วนบุคคลของท่านจะถูกโอนไปยังสถานที่และเซิร์ฟเวอร์ของ Clubhouse ในสหรัฐอเมริกาและในกรณีที่เกี่ยวข้องไปยังเซิร์ฟเวอร์ของพันธมิตรทางเทคโนโลยีที่ Clubhouse ใช้เพื่อให้บริการท่าน”

ตาม GDPR การรับทราบข้อตกลงดังกล่าวเพื่อการบันทึกบทสนทนาและการโอนข้อมูลไม่อาจถือว่าเป็นการได้รับความยินยอมโดยชัดแจ้ง (explicit consent) จากผู้ใช้บริการได้ เนื่องจากผู้ให้บริการมีหน้าที่ตาม GDPR ในการแจ้งข้อมูลเรื่องการประมวลผลให้เจ้าของข้อมูลส่วนบุคคลทราบ (Right to be informed) สิทธิในการได้รับการแจ้งตาม GDPR จึงไม่เท่ากับการให้ความยินยอม

นอกจากประเด็นข้างต้นทั้งสามกรณี ในกรณีที่ผู้ใช้บริการหรือเจ้าของห้องทำการเปิดห้องมาเพื่อวัตถุประสงค์ทางการค้า ก็อาจมีประเด็นความซับซ้อนทางกฎหมายตามมาได้อีก เนื่องจาก GDPR นั้นยกเว้นไม่ใช้บังคับแต่เฉพาะในกรณีของการใช้เพื่อประโยชน์ส่วนตนหรือเพื่อกิจกรรมในครอบครับเท่านั้น แต่การใช้เพื่อการพาณิชย์นั้น อาจยังมีข้อต้องพิจารณาอีกหลายประการในฝั่งของผู้ใช้งานด้วย

ส่วนที่ 2 การละเมิดกฎหมายคุ้มครองผู้บริโภค

ในกรณีนี้ VZBV กล่าวอ้างว่าเงื่อนไขและข้อตกลงต่าง ๆ ในการใช้งานแอป Clubhouse นั้นจัดทำเป็นภาษาอังกฤษทั้งหมด (ไม่มีคำแปลภาษาเยอรมัน) ซึ่งขัดต่อหลักการความโปร่งใสและหลักสุจริตอันเป็นการละเมิดต่อหลักการคุ้มครองผู้บริโภค ซึ่งศาลสูงสุดแห่งเมืองเบอร์ลินได้เคยวินิจฉัยไว้ในปี 2559 ในกรณีของ WhatsApp ว่าข้อตกลงในการใช้งานที่ไม่จัดทำเป็นภาษาเยอรมันนั้นไม่ชอบด้วยกฎหมายมาแล้ว

อนึ่ง บทความนี้ไม่ได้มีเจตนาใด ๆ ในการขัดขวางการเติบโตและการใช้ประโยชน์จากแพลตฟอร์มที่เพิ่มทางเลือกให้กับผู้บริโภคแต่อย่างใด ผู้เขียนเพียงแต่นำประเด็นข้อสังเกตที่เกิดขึ้นในต่างประเทศมาเป็นกรณีศึกษาเท่านั้น ซึ่ง Alpha Exploration อาจชี้แจงข้อสังเกตต่าง ๆ และปรับปรุงแก้ไขการให้บริการให้สอดคล้องกับกฎหมายของประเทศของผู้ใช้บริการได้ในอนาคต และคงต้องรอดูต่อไปว่าแอปนี้จะตอบสนองต่อข้อเรียกร้องที่เกิดขึ้นในประเทศเยอรมนีและที่อาจจะมีตามมาในประเทศต่าง ๆ อย่างไร.

*บทความโดย อาจารย์ศุภวัชร์ มาลานนท์ คณะนิติศาสตร์ มหาวิทยาลัยสงขลานครินทร์, Max Plank Institute Luxemburg และ ชิโนภาส อุดมผล Optimum Solution Defined (O S D)