ธุรกิจ

การกำหนดกลุ่มเป้าหมาย กับผู้ใช้สื่อสังคมออนไลน์

By ศุภวัชร์ มาลานนท์, ชิโนภาส อุดมผล | คอลัมน์ Tech, Law and Security03 พ.ค. 2021 เวลา 1:30 น.
การกำหนดกลุ่มเป้าหมาย กับผู้ใช้สื่อสังคมออนไลน์

การกำหนดเป้าหมายการตลาดของผู้ให้บริการสื่อสังคมออนไลน์ ที่จะทำให้สามารถสื่อสารข้อมูลไปยังผู้ใช้สื่อสังคมออนไลน์ อาจก่อให้เกิดความเสี่ยงต่อสิทธิและเสรีภาพของผู้ใช้บริการ ในแง่ของมิติของกฎหมายคุ้มครองข้อมูลส่วนบุคคล กระทบต่อผู้ใช้บริการอย่างไรบ้าง?

การให้บริการกำหนดกลุ่มเป้าหมาย โดยผู้ให้บริการสื่อสังคมออนไลน์ ทำให้องค์กรสามารถสื่อสารข้อมูลต่างๆ ไปยังผู้ใช้บริการสื่อสังคมออนไลน์ได้อย่างมีประสิทธิภาพและตรงตามเป้าหมาย ไม่ว่าจะเป็นการสื่อสารข้อมูลด้านการตลาด ด้านการเมือง หรือวัตถุประสงค์อื่นๆ ด้วยเทคโนโลยีและกระบวนการเพื่อช่วยการกำหนดกลุ่มเป้าหมายมีความซับซ้อนและมีความแม่นยำมากขึ้น จากการเก็บรวบรวมข้อมูลส่วนบุคคลของผู้ใช้บริการโดยตรง

ผ่านการวิเคราะห์และการสังเคราะห์จากพฤติกรรมต่างๆ ที่ปรากฏในแพลตฟอร์มของผู้ให้บริการสื่อสังคมออนไลน์นั้นเองหรือโดยบุคคลที่สาม และผนวกเข้ากับข้อมูลส่วนบุคคลที่อาจจะได้มาจากแหล่งอื่นๆ อาทิ จาก data brokers เป็นต้น

จากความแม่นยำของกระบวนการประมวลผลข้อมูลส่วนบุคคลดังกล่าวข้างต้น เมื่อพิจารณาในมิติของกฎหมายคุ้มครองข้อมูลส่วนบุคคลแล้วอาจก่อให้เกิดความเสี่ยงต่อสิทธิและเสรีภาพของผู้ใช้บริการสื่อสังคมออนไลน์ได้อย่างกว้างขวาง ซึ่งความเสี่ยงส่วนใหญ่เกิดจากการประมวลผลข้อมูลส่วนบุคคล ที่ขาดความโปร่งใสและปราศจากการควบคุมจากเจ้าของข้อมูลส่วนบุคคล

ในกระบวนการกำหนดเป้าหมายการตลาดกับผู้ใช้สื่อสังคมออนไลน์ อาจจำแนกกลุ่มบุคคลที่เข้ามาเกี่ยวข้องได้ 4 จำพวก ดังนี้

(1) ผู้ใช้บริการสื่อสังคมออนไลน์ (users) ซึ่งมีสถานะเป็นเจ้าของข้อมูลส่วนบุคคลที่ถูกประมวลผล

(2) ผู้ให้บริการสื่อสังคมออนไลน์ (social media providers) ซึ่งเป็นเจ้าของแพลตฟอร์มผู้ให้บริการ ซึ่งนอกจากการให้บริการการเป็นสื่อสังคมออนไลน์โดยการมีระบบฐานข้อมูลสมาชิกแล้ว (account/profile) ผู้ให้บริการเหล่านี้ยังให้บริการในด้านการตลาดโดยการกำหนดเป้าหมายจากฐานข้อมูลของผู้ใช้สื่อสังคมออนไลน์อีกด้วย อาทิ เฟซบุ๊ค ยูทูป และทวิตเตอร์ เป็นต้น

ผู้ให้บริการสื่อสังคมออนไลน์สามารถประมวลผลข้อมูลส่วนบุคคลของผู้ใช้บริการจากข้อมูลจำนวนมาก ที่เกี่ยวข้องกับเจ้าของข้อมูลส่วนบุคคลทั้งที่อาจได้รับมาโดยตรงหรือจากพฤติกรรมการใช้บริการ อาทิ การเลือกกดชื่นชอบ หรือการเลือกรับชมเนื้อหาต่างๆ ซึ่งผู้ให้บริการสื่อสังคมออนไลน์สามารถสร้างโปรไฟล์ลิ่ง (profiling) แล้วนำข้อมูลเหล่านี้ไปใช้ประมวลผลและสามารถกำหนดกลุ่มเนื้อหาที่ควรสื่อสาร (โฆษณา) ได้

(3) Targeters อาจจะเป็นเจ้าของผลิตภัณฑ์โดยตรงหรืออาจจะเป็นตัวแทนด้านการโฆษณาของสินค้านั้นๆ ก็ได้ โดย Targeters คือบุคคล/องค์กร ที่ต้องการสื่อสารข้อความใดๆ ไปยังผู้ใช้บริการสื่อสังคมออนไลน์ตามค่าพื้นฐาน หรือเกณฑ์เฉพาะบางประการที่กำหนดขึ้น

(4) กลุ่มธุรกิจ Adtech ต่างๆ รวมถึงพวก data broker ต่างๆ

ความซับซ้อนของกลุ่มบุคคลต่างๆ ที่เข้ามาเกี่ยวข้องกับกระบวนการประมวลผลข้อมูลส่วนบุคคลของผู้ใช้บริการ ทำให้การบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลมีความซับซ้อนมากขึ้นตามลำดับ โดยเฉพาะประเด็นความรับผิดและสถานะทางกฎหมายของบุคคลตามข้อ (2)-(4) ต่อกิจกรรมการประมวลต่างๆ ที่เกิดขึ้น ซึ่งบุคคลแต่ละกลุ่มอาจเข้ามามีส่วนในการประมวลผลข้อมูลส่วนบุคคลในฐานะ “ผู้ควบคุมข้อมูลส่วนบุคคลร่วมกัน” (Joint Controller) ซึ่งมีกรณีศึกษาที่เคยเกิดขึ้นในสหภาพยุโรปที่น่าสนใจเกี่ยวกับประเด็นดังกล่าว ดังนี้

ในคดี C-40/17 Fashion ID และ Case C-210/16 Wirtschaftsakademie ศาลยุติธรรมแห่งสหภาพยุโรปได้มีคำวินิจฉัยสถานะการเป็น Joint Controller ของจำเลยไว้ในทิศทางเดียวกัน กล่าวคือนิติบุคคลที่มีสถานะเป็นผู้ควบคุมข้อมูลส่วนบุคคล แต่ละฝ่ายต่างมีส่วนร่วมในการกำหนดวัตถุประสงค์และวิธีการร่วมกัน แม้ผู้ควบคุมข้อมูลแต่ละฝ่ายจะดำเนินการประมวลผลข้อมูลส่วนบุคคล เพื่อประโยชน์ในทางธุรกิจที่ต่างกันตามบริบทของกิจการของแต่ละฝ่าย และต่างฝ่ายต่างไม่มีข้อตกลงในการร่วมกันประมวลผลข้อมูลส่วนบุคคลแต่อย่างใดก็ตาม

เนื้อหาที่เกี่ยวข้อง

คดี C-210/16 Wirtschaftsakademie ผู้ใช้เฟซบุ๊ครายหนึ่งดำเนินการจัดทำหน้า Facebook Fanpage โดยอาศัยการประมวลผลข้อมูลทางสถิติของผู้ใช้งาน เพื่อใช้ในการจัดทำแผนส่งเสริมการขายและดำเนินกิจกรรมต่างๆ ศาลมีคำวินิจฉัยว่าการที่เฟซบุ๊คพัฒนาปรับปรุงการจัดทำโฆษณาผ่านการประมวลผลข้อมูลส่วนบุคคล โดยการเก็บข้อมูลทางสถิติของผู้ใช้งานและทำให้ผู้จัดทำหน้า Facebook Fanpage สามารถดำเนินการประมวลผลข้อมูลส่วนบุคคลในการส่งเสริมการขายได้โดยอาศัยวิธีการเดียวกัน ถือว่าทั้งสองฝ่ายมีสถานะเป็น Joint Controller เนื่องจากมีส่วนร่วมกำหนดวัตถุประสงค์และวิธีการประมวลผลข้อมูลส่วนบุคคลของผู้ใช้บริการร่วมกัน แม้การกระทำดังกล่าวจะไม่ได้เป็นไปเพื่อผลประโยชน์ร่วมกันก็ตาม

คดี C-40/17 Fashion ID ศาลได้วางแนวคำวินิจฉัยต่อกรณี Joint Controller ไว้ในแนวทางเดียวกับคดีข้างต้น โดยในคดีนี้ผู้จัดทำเว็บไซต์ได้นำปุ่ม Like ของเฟซบุ๊คเข้ามาเชื่อมไว้กับหน้าเว็บไซต์ของตน โดยปุ่ม Like ดังกล่าวจะทำการเก็บรวบรวมข้อมูลของผู้ใช้ (user) ที่เข้ามาเยี่ยมชมหน้าเว็บไซต์ โดยมีวัตถุประสงค์ในการประมวลผลข้อมูลดังกล่าวเพื่อช่วยให้สินค้าบนหน้าเว็บไซต์สามารถมีผู้ใช้บนสื่อสังคมออนไลน์มองเห็นได้มากขึ้น

ปุ่ม Like ดังกล่าวยังทำหน้าที่ส่งข้อมูลที่ถือเป็นข้อมูลส่วนบุคคลของผู้เยี่ยมชมเว็บไซต์ไปยังเฟซบุ๊คอีกด้วย ศาลจึงมีคำวินิจฉัยว่าทั้ง Fashion ID และ Facebook มีส่วนร่วมในการกำหนดวัตถุประสงค์และวิธีการในการประมวลผลข้อมูลส่วนบุคคลเพื่อประโยชน์ทางเศรษฐกิจของแต่ละฝ่าย

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ไม่ได้กำหนดว่าผู้ควบคุมข้อมูลส่วนบุคคลนั้นจะมีได้เพียงคนเดียว จึงมีความเป็นไปได้ว่าในการตีความของศาลหรือหน่วยงานที่มีอำนาจบังคับใช้กฎหมายในอนาคต หากตีความตามข้อเท็จจริงและเพื่อประโยชน์ในการคุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคล Joint Controller ก็น่าจะมีได้ภายใต้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ดังนั้น ผู้ควบคุมข้อมูลส่วนบุคคลแต่ละรายจึงมีหน้าที่ตามกฎหมายและจะต้องมีฐานทางกฎหมายของตนเองในการประมวลผลข้อมูลส่วนบุคคล