ธุรกิจ

‘Clubhouse’ กับการละเมิดข้อมูลส่วนบุคคล

By ศุภวัชร์ มาลานนท์, ชิโนภาส อุดมผล | คอลัมน์ กฎหมาย 4.027 ก.พ. 2021 เวลา 4:00 น.
‘Clubhouse’ กับการละเมิดข้อมูลส่วนบุคคล

ส่องกระแสร้อนแรงของแพลตฟอร์มโซเชียลมีเดีย "Clubhouse" ที่ได้รับความนิยมอย่างมาก แต่ขณะเดียวกันยังมีการตั้งข้อสังเกตถึงการละเมิดข้อมูลส่วนบุคคลของผู้ใช้งาน ที่เริ่มพูดถึงในบางประเทศอย่างเยอรมนี

คงปฏิเสธไม่ได้ว่า Clubhouse เป็นแพลตฟอร์มโซเชียลมีเดียที่มีกระแสร้อนแรงและถูกพูดถึงมากที่สุดแพลตฟอร์มหนึ่งในขณะนี้ โดยมี Alpha Exploration Co. บริษัทซึ่งอยู่ในแคลิฟอร์เนียเป็นเจ้าของและเป็นผู้ให้บริการแอพดังกล่าว

ความนิยมของแอพคลับเฮาส์ได้นำมาซึ่งการตั้งข้อสังเกตเกี่ยวกับการปฏิบัติตามกฎหมายของ Alpha Exploration ในประเทศเยอรมนีในส่วนที่เกี่ยวกับ GDPR ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรปและกฎหมายคุ้มครองผู้บริโภคในหลายประเด็น

ขณะนี้มีหน่วยงานด้านการคุ้มครองข้อมูลส่วนบุคคลอย่างน้อย 2 หน่วยงาน ได้แก่ Data Protection Authority แห่งเมืองฮัมบูร์กและรัฐซาร์ลันท์ได้เริ่มกระบวนการเพื่อให้ Alpha Exploration ชี้แจงถึงการปฏิบัติตาม GDPR ในขณะที่ VZBV ซึ่งเป็นสมาคมคุ้มครองผู้บริโภคของเยอรมนีก็ได้ออกมาเรียกร้องให้ Alpha Exploration หยุดการละเมิดกฎหมายคุ้มครองข้อมูลส่วนบุคคลและกฎหมายคุ้มครองผู้บริโภคเช่นกัน

วันนี้ผู้เขียนจึงจะขอนำข้อสังเกตและประเด็นต่างๆ ที่มีการกล่าวถึงในประเทศเยอรมนีมาแลกเปลี่ยนกับท่านผู้อ่านเพื่อเป็นกรณีศึกษา ดังนี้

  • ส่วนที่ 1 การละเมิดกฎหมายคุ้มครองข้อมูลส่วนบุคคล

1.การประมวลผลข้อมูลส่วนบุคคลของผู้ที่ไม่ใช่ผู้ใช้งานแอพ

ปัจจุบันการเป็นสมาชิกของคลับเฮาส์สามารถทำได้ 2 ช่องทางด้วยกันคือ 1) ได้รับคำเชิญจากเพื่อนที่เป็นสมาชิกแพลตฟอร์มอยู่ก่อนแล้ว และ 2) ขึ้นบัญชีไว้และรอตามลำดับเพื่อได้รับเข้าเป็นสมาชิก และผู้สมัครจะต้องเปิดให้คลับเฮาส์เข้าถึงข้อมูลบัญชีรายชื่อผู้ติดต่อที่อยู่ในเครื่องของผู้สมัคร (บุคคลภายนอก) เพื่อให้ผู้ใช้บริการสามารถติดต่อกับผู้ใช้รายอื่นๆ ในโชเซียลมีเดีย และทันทีที่ผู้ใช้งานเข้าไปสู่หน้าการส่งคำเชิญจะเห็นได้ว่ารายชื่อข้อมูลผู้ติดต่อที่อยู่บนเครื่องโทรศัพท์ถูกดึงเข้ามาในแอพเพื่อให้ผู้ใช้งานกดส่งคำเชิญ 

ตรงจุดนี้เองเป็นที่น่าสังเกตว่า คลับเฮาส์กำลังประมวลผลข้อมูลส่วนบุคคล (ชื่อและเบอร์โทรศัพท์) ของบุคคลที่ไม่ได้เป็นผู้ใช้งานหรือไม่แม้กระทั่งสนใจที่จะใช้งานคลับเฮาส์ โดยไม่มีการขอความยินยอมและมีความรับรู้ถึงการประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลแต่อย่างใด

การประมวลผลข้อมูลส่วนบุคคลของผู้บริโภคโดยปราศจากความยินยอม หรือฐานความชอบด้วยกฎหมายอื่นๆ ในลักษณะเดียวกับที่กำลังเกิดขึ้นบนแอพคลับเฮาส์ เคยเกิดขึ้นเป็นข้อพิพาทมาแล้วในปี 2559 ในกรณีของเฟซบุ๊คโดย German Federal Court of Justice (BGH) ได้ตัดสินว่าการที่เฟซบุ๊คมีการนำเข้าข้อมูล ซึ่งถือเป็นข้อมูลส่วนบุคคลของบุคคล (โดยปราศจากความยินยอม) ซึ่งไม่ใช่สมาชิกหรือผู้ใช้งานของเฟซบุ๊ค และนำข้อมูลการติดต่อที่ได้ดังกล่าวมาใช้ในการส่งคำเชิญการเข้าร่วมเป็นสมาชิกหรือผู้ใช้งานเฟซบุ๊ค เป็นการกระทำที่ไม่ชอบด้วยกฎหมาย

เฟซบุ๊คไม่มีสิทธิในการใช้ข้อมูลส่วนบุคคลของบุคคลอื่น เพื่อวัตถุประสงค์ในการโฆษณาโดยปราศจากความยินยอมของเจ้าของข้อมูลส่วนบุคคล (การกระทำดังกล่าวยังเป็นการขัดต่อกฎหมายคุ้มครองผู้บริโภคในเรื่องของการโฆษณาอย่างเป็นธรรมอีกด้วย)

2.การบันทึกการสนทนาในห้องเสมือนจริง

คลับเฮาส์จัดให้มีการบันทึกการสนทนาชั่วคราวในห้องเสมือนจริงในระหว่างที่การสนทนาในห้องนั้นๆ กำลังดำเนินการอยู่ โดยบทสนทนาที่ถูกบันทึกจะถูกลบทันทีที่ห้องสนทนานั้นๆ จบลง และไม่มีข้อร้องเรียนในเรื่องของการกระทำความผิดหรือการละเมิดกฎหมายต่างๆ ที่อาจเกิดขึ้นจากแต่ละบทสนทนา 

Clubhouse ให้เหตุผลว่าการจัดเก็บบันทึกสนทนาดังกล่าวเป็นไปเพื่อประโยชน์ของการสอบสวนต่างๆ กรณีที่มีข้อพิพาทเกิดขึ้น โดยทางบริษัทแจ้งว่าบันทึกสนทนาที่จัดเก็บทุกไฟล์จะถูกจัดเก็บโดยการเข้ารหัส (encryption) โดยการบันทึกการสนทนานี้ทางคลับเฮาส์ได้แจ้งการขอความยินยอมไว้ใน Clubhouse Privacy Policy ข้อ 1 ว่า “ผู้ใช้บริการ Clubhouse ยินยอมให้ Clubhouse ทำการบันทึกการสนทนาในห้องสนทนาเป็นการชั่วคราวในขณะที่มีการสนทนา”

อย่างไรก็ตาม มีข้อสังเกตเพิ่มเติมว่าตาม e-privacy Directive (2002/58/EC) การบันทึกบทสนทนาจะกระทำได้ต่อเมื่อได้รับความยินยอมจากผู้สนทนาทุกคนก่อน และการทราบเงื่อนไขว่าจะมีการบันทึกบทสนทนาไม่อาจถือได้ว่าเป็นการให้ความยินยอมแล้ว

3.การโอนข้อมูลส่วนบุคคลไปยังสหรัฐ

Clubhouse Privacy Policy ข้อ 10 กำหนดว่า “เมื่อใช้บริการของ Clubhouse ท่านเข้าใจและรับทราบว่าข้อมูลส่วนบุคคลของท่านจะถูกโอนไปยังสถานที่และเซิร์ฟเวอร์ของ Clubhouse ในสหรัฐ และในกรณีที่เกี่ยวข้องไปยังเซิร์ฟเวอร์ของพันธมิตรทางเทคโนโลยีที่ Clubhouse ใช้เพื่อให้บริการท่าน”

เนื้อหาที่เกี่ยวข้อง

ตาม GDPR การรับทราบข้อตกลงดังกล่าว เพื่อการบันทึกบทสนทนาและการโอนข้อมูลไม่อาจถือว่าเป็นการได้รับความยินยอมโดยชัดแจ้ง (explicit consent) จากผู้ใช้บริการได้ เนื่องจากผู้ให้บริการมีหน้าที่ตาม GDPR ในการแจ้งข้อมูลเรื่องการประมวลผลให้เจ้าของข้อมูลส่วนบุคคลทราบ (Right to be informed) สิทธิในการได้รับการแจ้งตาม GDPR จึงไม่เท่ากับการให้ความยินยอม

นอกจากประเด็นข้างต้นทั้ง 3 กรณี ในกรณีที่ผู้ใช้บริการหรือเจ้าของห้องทำการเปิดห้องมาเพื่อวัตถุประสงค์ทางการค้า ก็อาจมีประเด็นความซับซ้อนทางกฎหมายตามมาได้อีก เนื่องจาก GDPR นั้นยกเว้นไม่ใช้บังคับแต่เฉพาะในกรณีของการใช้เพื่อประโยชน์ส่วนตนหรือเพื่อกิจกรรมในครอบครัวเท่านั้น แต่การใช้เพื่อการพาณิชย์นั้น อาจยังมีข้อต้องพิจารณาอีกหลายประการในฝั่งของผู้ใช้งานด้วย

  • ส่วนที่ 2 การละเมิดกฎหมายคุ้มครองผู้บริโภค

ในกรณีนี้ VZBV กล่าวอ้างว่าเงื่อนไขและข้อตกลงต่างๆ ในการใช้งานแอพคลับเฮาส์นั้น จัดทำเป็นภาษาอังกฤษทั้งหมด (ไม่มีคำแปลภาษาเยอรมัน) ซึ่งขัดต่อหลักการความโปร่งใสและหลักสุจริตอันเป็นการละเมิดต่อหลักการคุ้มครองผู้บริโภค ซึ่งศาลสูงสุดแห่งเมืองเบอร์ลินได้เคยวินิจฉัยไว้ในปี 2559 ในกรณีของ WhatsApp ว่าข้อตกลงในการใช้งานที่ไม่จัดทำเป็นภาษาเยอรมันนั้นไม่ชอบด้วยกฎหมายมาแล้ว

อนึ่ง บทความนี้ไม่ได้มีเจตนาใดๆ ในการขัดขวางการเติบโตและการใช้ประโยชน์จากแพลตฟอร์มที่เพิ่มทางเลือกให้กับผู้บริโภคแต่อย่างใด ผู้เขียนเพียงแต่นำประเด็นข้อสังเกตที่เกิดขึ้นในต่างประเทศมาเป็นกรณีศึกษาเท่านั้น ซึ่ง Alpha Exploration อาจชี้แจงข้อสังเกตต่างๆ และปรับปรุงแก้ไขการให้บริการให้สอดคล้องกับกฎหมายของประเทศของผู้ใช้บริการได้ในอนาคต และคงต้องรอดูต่อไปว่าแอพนี้จะตอบสนองต่อข้อเรียกร้องที่เกิดขึ้นในประเทศเยอรมนีและที่อาจจะมีตามมาในประเทศต่างๆ อย่างไร