ช่องว่าง PDPA คุ้มครองข้อมูลบุคคลวัยเปราะบาง | วาระทีดีอาร์ไอ

เกิดการตั้งคำถามว่า การดำเนินกิจกรรมดังกล่าวในโซเชียลมีเดียเป็นความผิดตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA หรือไม่ และกฎหมายฉบับนี้ได้ให้การคุ้มครองข้อมูลส่วนบุคคลของเด็กมากน้อยเพียงใด

สังคมไม่ควรปล่อยผ่านประเด็นเหล่านี้ไป เหตุเพราะเด็กคือกลุ่มคนวัยเปราะบาง ที่ควรมีหลักเกณฑ์ที่ชัดเจนในการให้ความคุ้มครองทางสังคมทั้งสิทธิและความเป็นส่วนตัวแก่เด็ก

เด็กที่เกิดและเติบโตในยุคนี้ คือ  Gen Alpha และ Gen Z ที่เติบโตไปพร้อมกับสื่อสังคมออนไลน์ จากผลการสำรวจการใช้เทคโนโลยีสารสนเทศและการสื่อสารในครัวเรือน ปี พ.ศ. 2563 พบว่า

กลุ่มบุคคลอายุ 15 - 24 ปี มีจำนวนบุคคลที่ใช้อินเทอร์เน็ตสูงที่สุด ร้อยละ 98.4 และกลุ่มอายุ 6 - 14 ปี มีมากถึงร้อยละ 90.2 จึงมีโอกาสที่ข้อมูลส่วนบุคคลจะถูกไปใช้ประโยชน์โดยไม่ได้รับอนุญาตหรือถูกคุกคามได้โดยง่าย หากไม่มีการปกป้องหรือคุ้มครอง

สำหรับประเทศไทยนอกจากมี พ.ร.บ.คุ้มครองเด็ก พ.ศ. 2546 ที่เป็นหลักกฎหมายไว้ปกป้องคุ้มครองเด็กแล้ว แต่สำหรับ การเก็บ ใช้ เปิดเผยภาพถ่าย วิดีโอ ข้อมูลของเด็กนั้นมีกฎหมายที่เกี่ยวข้องโดยตรงมากที่สุด คือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA ที่เพิ่งบังคับใช้ในปีนี้

แต่ยังคงเกิดการตั้งคำถามถึงแนวทางเฉพาะที่ชัดเจน และติดอยู่กับข้อกำหนดบางประการ ที่ไม่สอดคล้องกับสถานการณ์ปัจจุบัน 

การคุ้มครองข้อมูลส่วนบุคคลของเด็กใน PDPA ยึดโยงกับประมวลกฎหมายแพ่งและพาณิชย์ในเรื่องอายุและคำว่า “ผู้เยาว์” โดยผู้เยาว์ที่อายุไม่ถึง 20 ปีบริบูรณ์สามารถให้ความยินยอมต่อการการเก็บ ใช้

และเปิดเผยข้อมูลส่วนบุคคลได้ด้วยตนเองได้ก็ต่อเมื่อ เป็นกิจกรรมที่สามารถทำได้โดยลำพัง จำเป็นต่อการใช้ชีวิต และเป็นประโยชน์ต่อตัวเอง เช่น การรับทุนการศึกษา เป็นต้น 

พ่อแม่ที่ชอบด้วยกฎหมายจะเข้ามามีบทบาทในการให้ความยินยอมแทนผู้เยาว์ได้ 2 กรณี ได้แก่ กรณีเป็นกิจกรรมที่ยังไม่จำเป็นต่อการดำรงชีวิต เช่น การทำธุรกรรมที่มีมูลค่าสูง และกรณีที่ผู้เยาว์อายุไม่เกิน 10 ปี

ทั้งนี้  PDPA ยังคงกำหนดขอบเขตของผู้ใช้อำนาจปกครอง ให้มีเพียงบิดาและมารดาที่ชอบด้วยกฎหมายเท่านั้น จึงอาจส่งผลให้การขอความยินยอมจากผู้ใช้อำนาจปกครอง อาจไม่สอดคล้องกับสภาพความเป็นจริงในปัจจุบัน ในกรณีที่ผู้เยาว์อาศัยอยู่กับบุคคลอื่นที่ไม่ใช่พ่อหรือแม่ที่แท้จริงของตน

สำหรับ การแชร์ภาพถ่ายรูปเด็กลงโซเชียลมีเดีย หรือถ่ายภาพติดเด็กจะผิด PDPA หรือไม่ ตามที่หลายคนสงสัยนั้น ไม่ถือว่าผิด PDPA หากถ่ายเก็บไว้ภายในครอบครัวและประโยชน์ส่วนตัว ไม่ใช่เพื่อประโยชน์ทางการค้า

รูปของเด็กเป็นข้อมูลส่วนบุคคลที่ได้รับการยกเว้น แต่กฎหมายไม่ได้กำหนดขอบเขต “การใช้เพื่อกิจกรรมในครอบครัวหรือประโยชน์ส่วนตัว” ไว้ชัดเจน  

เห็นได้ว่า PDPA เป็นกฎหมายที่มุ่งเน้นให้สิทธิแก่เด็กและเยาวชนอย่างมีขอบเขต และให้สังคมได้ตระหนักรู้ถึงความสำคัญของการรักษาข้อมูลส่วนบุคคล ไม่ว่าเจ้าของข้อมูลส่วนบุคคลจะเป็นเพศหรือวัยใดก็ตาม โดยไม่ได้เป็นกฎหมายที่เน้นการบังคับใช้โทษทางกฎหมาย

แต่ PDPA สำหรับการคุ้มครองข้อมูลส่วนบุคคลของเด็กยังมีช่องโหว่อย่างน้อยสามเรื่องคือ ขอบเขตของการใช้ข้อมูลเพื่อกิจกรรมในครอบครัวหรือประโยชน์ส่วนตัว ขอบเขตของผู้ปกครองที่ต้องเป็นบิดาและมารดาที่ชอบด้วยกฎหมายเท่านั้น  

นอกจากนี้ยังขาดแนวทางปฏิบัติในเรื่อง “การแจ้ง” ให้เจ้าของข้อมูลส่วนบุคคลที่เป็นเด็กทราบก่อนเก็บรวบรวมข้อมูลส่วนบุคคล ซึ่งเป็นโจทย์ที่แตกต่างจากบุคคลทั่วไป

ในต่างประเทศมีแนวปฏิบัติที่น่าสนใจที่ไทยอาจพิจารณาเป็นแนวทาง เช่น  

- สหรัฐอเมริกา มีการให้ความคุ้มครองข้อมูลส่วนบุคคลของเด็กสำหรับระบบออนไลน์ไว้โดยเฉพาะ ภายใต้ Child Online Privacy Protection Act of 1998 หรือ COPPA

 

หนึ่งในข้อบังคับสำคัญคือ ผู้ประกอบการมีหน้าที่ต้องติดประกาศนโยบายในการขอข้อมูลส่วนบุคคล (Privacy Policies) บนเว็บไซต์อย่างชัดเจน โดยต้องให้สิทธิผู้ปกครองของผู้เยาว์ในการเข้าไปตรวจสอบ แก้ไขข้อมูลเด็กได้

-สหภาพยุโรป กำหนดยกเว้นการบังคับใช้กฎหมายกับการใช้ข้อมูลเพื่อวัตถุประสงค์ส่วนตัวหรือใช้งานภายในครอบครัวเช่นเดียวกับไทย แต่มีความชัดเจนกว่าที่มีแนวปฏิบัติของ European Data Protection Board กำหนดให้กิจกรรมภายในครอบครัวไม่รวมไปถึงการเผยแพร่ข้อมูลส่วนบุคคลลงในโซเชียลมีเดียที่บุคคลทั่วไปสามารถเข้าถึงได้

- ไอร์แลนด์ มีคู่มือแนวปฏิบัติสำหรับการประมวลผลข้อมูลส่วนบุคคลของผู้เยาว์เอาไว้โดยเฉพาะ และมีรายละเอียดครอบคลุมทั้งในประเด็นของสิทธิของผู้เยาว์ภายใต้ GDPR (General Data Protection Regulation)

ซึ่งเป็นแนวทางการแจ้งและการขอความยินยอมที่เหมาะสมกับวัย รวมไปถึงแนวปฏิบัติสำหรับมาตรการคุ้มครองข้อมูลส่วนบุคคลของผู้เยาว์ในระดับที่เข้มข้นกว่าผู้ใหญ่ 

ภายใต้คู่มือฉบับนี้แนะนำให้มีการแจ้งไปยังผู้เยาว์ถึงการเก็บข้อมูลส่วนบุคคล ด้วยวิธีการที่รัดกุม โปร่งใส ใช้ภาษาที่ชัดเจน เข้าใจง่าย ยิ่งไปกว่านั้นแนวปฏิบัติฉบับนี้ยังได้ขยายขอบเขตของบุคคลผู้สามารถให้ความยินยอมแทนผู้เยาว์ได้นอกเหนือจากบิดามารดา (Parents) โดยให้รวมถึงผู้ปกครอง (Guardians) อีกด้วย

ดังนั้น สำหรับประเทศไทยหากจะทำให้การคุ้มครองข้อมูลส่วนบุคคลของเด็กภายใต้ PDPA มีความชัดเจน รัดกุมและเป็นประโยชน์ต่อเด็กมากที่สุด ตัวอย่างข้างต้นอาจสามารถนำมาเป็นแนวทางได้ โดยภาครัฐควรจัดทำแนวปฏิบัติหรือแนวทางเฉพาะสำหรับการเก็บ ใช้ ประมวลผล เผยแพร่ข้อมูลของเด็กที่ชัดเจน 

ทั้งในประเด็นขอบเขตของคำว่า “การใช้เพื่อกิจกรรมในครอบครัวหรือประโยชน์ส่วนตัว” และ “จำกัดบุคคลที่จะเข้าถึงข้อมูลส่วนบุคคลของเด็กเฉพาะบุคคลในครอบครัวเท่านั้น” เพื่อให้พ่อแม่เกิดความเข้าใจ และภาคเอกชนสามารถนำแนวทางดังกล่าวไปสร้างกลไกและระบบภายในได้  

นอกจากนี้ควรพิจารณาลดอุปสรรคให้ผู้ปกครอง โดยกำหนดขอบเขตของผู้กระทำการแทนผู้เยาว์ที่ควรคำนึงถึงเด็กที่ไม่ได้อาศัยอยู่กับบิดาหรือมารดา

ในส่วนวิธีการและรูปแบบการแจ้งเจ้าของข้อมูลส่วนบุคคลที่เป็นเด็กก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคล ควรจัดทำประกาศด้วยภาษาที่ชัดเจน เข้าใจง่าย ด้วยรูปแบบที่เหมาะสมกับวัย เพื่อให้เด็กเกิดความเข้าใจได้ง่ายมากยิ่งขึ้น เช่น การใช้สื่อวิดิทัศน์ การใช้แผนภาพ เป็นต้น 

การออกแบบวิธีการให้เหมาะสมและมีแนวทางที่ชัดเจน จะสร้างความเข้าใจทั้งต่อสังคมและพ่อแม่ผู้ปกครองซึ่งเป็นผู้มีส่วนเกี่ยวข้องในการดูแลเด็กให้สามารถทำหน้าที่พิทักษ์สิทธิเด็กในวัยเปราะบางและไม่ปล่อยให้ข้อมูลส่วนบุคคลของเด็กตกอยู่ในความเปราะบางไปด้วย.