PDPA and You: มาทำความเข้าใจกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล

“เราถ่ายรูปกับเพื่อนแล้วอัปโหลดลงโซเชียล ผิด PDPA ไหมนะ เพื่อนฟ้องเราได้หรือเปล่า?”

“การใช้ภาพจากกล้องติดหน้ารถยนต์ที่ถ่ายเห็นคนอื่นบนถนนมาเป็นหลักฐานตอนเกิดอุบัติเหตุ ถือเป็นการละเมิดความเป็นส่วนตัวหรือไม่?”

บทความนี้จะมาไขข้อข้องใจกับคำถามทั่ว ๆ ไปที่หลายคนสงสัยเกี่ยวกับ PDPA หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลที่จะเริ่มบังคับใช้ภายในกลางปีหน้า จากผู้เชี่ยวชาญด้าน PDPA ทั้ง 3 ท่าน ที่ได้ให้เกียรติมาร่วมสนทนาพูดคุยใน Clubhouse event เมื่อวันที่ 30 กันยายน ที่ผ่านมา โดยเราได้สรุปเนื้อหาและประเด็นที่น่าสนใจต่าง ๆ ที่ได้จากการพูดคุยมาให้ได้อ่านกันค่ะ

Clubhouse event นี้เป็นส่วนหนึ่งของความร่วมมือระหว่าง Government Big Data Institute (GBDi) และ ASEAN CIO Association Club (ACIOA) เพื่อส่งเสริมความฉลาดรู้ทางข้อมูล (Data Literacy) ในภูมิภาคอาเซียน โดยได้รับเกียรติจากวิทยากรผู้เชี่ยวชาญด้านการคุ้มครองข้อมูลส่วนบุคคลถึง 3 ท่าน ได้แก่ ดร.สุนทรีย์ ส่งเสริม สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม  ดร.พีรพัฒ โชคสุวัฒนสกุล อาจารย์ประจำคณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย และอาจารย์ฐิติรัตน์ ทิพย์สัมฤทธิ์กุล อาจารย์ประจำคณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์

ก่อนอื่นเลย มาทำความเข้าใจกันก่อนว่า PDPA คืออะไร สำคัญอย่างไร

ดร.พีรพัฒ: PDPA ย่อมาจาก Personal Data Protection Act หรือว่า พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กฎหมายที่ออกมาเพื่อคุ้มครองคนที่ข้อมูลส่วนบุคคลชี้ไปหา หรือที่เราเรียกว่าเจ้าของข้อมูลส่วนบุคคล เวลาที่มีคนจะมายุ่งกับข้อมูลของเรา เขาต้องบอกให้ได้ว่ามีสิทธิอะไร ถ้าจะมาทำให้ความเป็นส่วนตัวในข้อมูลส่วนบุคคลของเราได้รับการกระทบมากเกินไปเขาก็ควรจะไม่มีสิทธินั้น หรือเราเองก็ควรมีสิทธิที่จะปกป้องผลกระทบที่อาจเกิดขึ้นกับเราเอง กฎหมายฉบับนี้ถูกสร้างมาเพื่อคุ้มครองการใช้ชีวิตของเรา เช่น บน Social media บน Internet ที่มีข้อมูล มี Footprints ของเราเต็มไปหมด ซึ่งก็ไม่ใช่แค่ประเทศไทยที่มีกฎหมายนี้ อย่างในยุโรปก็มี GDPR ที่มีจุดประสงค์ก็เพื่อคุ้มครองพวกเราทุก ๆ คน

แล้วคำสำคัญที่ควรรู้มีอะไรบ้าง

ดร.สุนทรีย์: แน่นอนก็คือคำว่า ‘ข้อมูลส่วนบุคคล’ ซึ่งหมายถึงข้อมูลอะไรก็แล้วแต่ที่ชี้มาทำให้ระบุตัวคนได้ทั้งทางตรงและทางอ้อม นิยามนี้เป็นนิยามตามมาตรฐานสากล ถ้าถามว่าทำไมต้องให้นิยามกว้างขนาดนี้ ทำไมไม่เจาะจงไปเลยว่าอะไรคือข้อมูลส่วนบุคคลบ้าง นั่นเป็นเพราะเทคโนโลยีที่พัฒนาอย่างรวดเร็วทำให้บางครั้งข้อมูลบางอย่างที่เราไม่เคยนึกว่าจะโยงมาถึงตัวเราได้ แต่เมื่อมาประกอบกันก็อาจสามารถระบุมาถึงตัวเราได้ คำนิยามของ “ข้อมูลส่วนบุคคล” จึงต้องครอบคลุมทั้งข้อมูลที่ระบุตัวเราได้ทั้งทางตรงและทางอ้อม

คำต่อมาก็คือคำว่า ‘เจ้าของข้อมูลส่วนบุคคล’ สมัยก่อนเมื่อเราได้ยินคำว่าเจ้าของ เราจะเข้าใจว่าหน่วยงานที่เป็นคนเก็บข้อมูลก็คือเจ้าของข้อมูล แต่สำหรับกฎหมายคุ้มครองข้อมูลส่วนบุคคล คำว่าเจ้าของข้อมูลส่วนบุคคลหรือที่ภาษาอังกฤษใช้คำว่า ‘Data Subject’ นั้นหมายถึงบุคคลธรรมดาอย่างเรานี่แหละที่เป็นเจ้าของข้อมูลส่วนบุคคล

ศัพท์ใหม่ที่เพิ่มขึ้นมาอีกสองคำคือ ‘ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)’ กับ ‘ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)’ Data Controller คือคนที่เก็บรวบรวมข้อมูลของเรา ใช้ข้อมูลเรา หรือเอาไปเปิดเผย อย่างเช่น การซื้อของออนไลน์ บริษัทที่เราไปซื้อของจำเป็นต้องเก็บข้อมูลของเรา เช่นนี้จะถือว่าเขาเป็น ‘ผู้ควบคุมข้อมูลส่วนบุคคล’ ของเรา ถ้าบริษัทนี้ส่งข้อมูลไปให้อีกบริษัทหนึ่งให้ช่วยจัดการคำสั่งซื้อสินค้า บริษัทหลังนี้จะถือว่าเป็น ‘ผู้ประมวลผลข้อมูลส่วนบุคคล’ นั่นก็คือผู้ที่รับข้อมูลจากผู้ควบคุมฯ ให้ไปทำตามคำสั่ง

คำต่อมาที่อยากแนะนำคือ ‘ความยินยอม (Consent)’ กับคำว่า ‘ประกาศความเป็นส่วนตัว (Privacy Notice)’ เวลาเข้าเว็บไซต์ต่าง ๆ ก็จะเห็น pop-up ขึ้นมาและมีคำถามให้กดยอมรับหรือยินยอม เจอคำว่าประกาศความเป็นส่วนตัว บางทีก็เป็นคำว่านโยบายคุ้มครองข้อมูลส่วนบุคคล หลายคนก็งงว่าตกลงมันคืออะไร เป็นสิ่งเดียวกันหรือเปล่า ตามกฎหมายแล้วจะมีสองเรื่องอยู่ในนี้ก็คือเรื่อง ‘ความยินยอม’ กับ ‘Privacy Notice’ หรือการประกาศแจ้งความเป็นส่วนตัว เป็นการแจ้งรายละเอียดว่าเว็บไซต์นั้นจะเก็บข้อมูลอะไรเราบ้าง สมมุติจะเก็บคุกกี้ ก็ต้องบอกว่าจะเก็บคุกกี้เรื่องอะไรบ้าง หรือถ้าเราไปทำธุรกรรมที่ธนาคาร ธนาคารจะเก็บข้อมูลอะไรเราบ้าง

PDPA ถูกเลื่อนการบังคับใช้ไปหลายครั้ง ครั้งนี้จะมีการขยายเวลาอีกหรือไม่

ดร.สุนทรีย์: ในส่วนของเรื่องการบังคับใช้กฎหมาย  ทางรัฐบาลและกระทรวงตั้งใจจะให้กฎหมายฉบับนี้มีผลบังคับใช้ตามกำหนด คือในวันที่ 1 มิถุนายนปีหน้า ในปีที่ผ่านมาหลายท่านอาจจะได้เห็นกิจกรรมที่ทางสำนักงานฯ และกระทรวงฯ จัดมาตลอดเพื่อเตรียมความพร้อมให้กับผู้ประกอบการ เนื่องจากเป็นกฎหมายใหม่ที่ทำให้ต้องปรับตัวกันเยอะมาก และจะต้องออกกฎหมายระดับรอง ประกาศ หรือหลักเกณฑ์ต่าง ๆ ที่เกี่ยวข้องเป็นจำนวนมาก ซึ่งเรา (สำนักงานฯ) พยายามดึงผู้เกี่ยวข้องเข้ามามีส่วนร่วมให้มากที่สุด โดยกฎหมายระดับรองจะมีประกาศที่เกี่ยวข้องทั้งหมด 18 เรื่องที่เป็นเนื้อหาเฉพาะ

อีกโครงการคือการจัดทำแผนแม่บท ซึ่งหมายถึงการวางนโยบายระยะยาว 1-5 ปี ยุทธศาสตร์ที่สำคัญแรกเลยคือการให้ความรู้ สร้างความตระหนักรู้ และสร้างบุคคลากรให้เข้าใจกฎหมายฉบับนี้ เรามีการทำแนวทางปฏิบัติ (Guideline) เพื่อใช้เป็นแนวทางตัวอย่างสำหรับนำไปปฏิบัติเมื่อถึงเวลาที่กฎหมายฉบับนี้ถูกบังคับใช้ โดยโครงการที่ได้จัดทำขึ้นไปแล้วเป็นการเน้นในฝั่งของผู้ประกอบการ สำหรับโครงการหลังจากนี้เราจะเน้นการสร้างความรู้ความเข้าใจให้กับประชาชนให้มากขึ้น วันนี้ต้องขอบคุณทาง GBDi มากที่จัดกิจกรรมนี้ขึ้นเพื่อเป็นช่องทางให้สำนักงานฯ ได้มีโอกาสสื่อสารกับคนทั่วไป ได้รับฟังว่าคนทั่วไปมีความสงสัยในกฎหมายฉบับนี้อย่างไรบ้าง เพื่อนำไปปรับทำเป็นแผนที่จะสื่อสารส่งความรู้ เพิ่มความเข้าใจให้ประชาชนได้มากขึ้น ให้กฎหมายฉบับนี้สามารถพร้อมบังคับใช้ได้ในวันที่ 1 มิถุนายนปีหน้า

ในระหว่างนี้แต่ละฝ่ายควรมีการเตรียมตัวอย่างไรบ้าง

อ.ฐิติรัตน์: ระหว่างที่รอกฎหมายมีผลบังคับใช้ กลุ่มธุรกิจหรือองค์กรต่าง ๆ สามารถเริ่มเตรียมการเพื่อที่จะทำตามกฎหมายได้ทันที เพราะการดำเนินกิจการขององค์กรล้วนแต่มีการใช้ข้อมูลส่วนบุคคลอยู่แล้ว โดยข้อมูลส่วนบุคคลในแต่ละองค์กรอาจมาจาก ข้อมูลของลูกค้า พาร์ตเนอร์ หรือลูกจ้าง ซึ่งแต่ละกลุ่มล้วนมีความสำคัญต่อหน่วยงาน เมื่อเราเอาข้อมูลของพวกเขามาใช้เราก็ควรจะดูแลใหัดี ถ้าเราดูแลไม่ดีมันก็จะเกิดปัญหาขึ้นแบบที่เห็นในข่าว เช่น ลูกค้าเกิดความไม่พอใจแล้วหนีไปใช้แบรนด์อื่น หรือลูกจ้างรู้สึกไม่สบายใจกับองค์กรซึ่งจะนำมาสู่บรรยากาศที่ไม่ดีต่อการทำงานและอาจจะก่อให้เกิดความเสียหายต่าง ๆ ตัวกฎหมายที่ออกมานี้ถือเป็นการกำหนดมาตรฐาน สร้างความคาดหวังในสังคมที่ตรงกันว่านี่คือ ขั้นตอนที่เราจะดูแลข้อมูลของคนที่เราจะทำงานด้วยให้ดี ไม่ว่าจะเป็นลูกค้า พาร์ตเนอร์ หรือลูกจ้าง

การเตรียมตัวขององค์กรอาจจะเริ่มต้นจากการประเมินว่าองค์กรของตนใช้ข้อมูลแบบไหนอยู่บ้าง มีความเสี่ยงตรงไหน มีเรื่องไหนที่ควรจะกังวลแล้วเริ่มจากจุดนั้น เมื่อกฎหมายมีกำหนดบังคับใช้ในปีหน้าเราจะพูดได้อย่างเต็มปากว่าได้ทำตามกฎหมายแล้ว ยิ่งถ้าทำได้ก่อนก็ยิ่งแสดงให้เห็นถึงความตั้งใจ ในความเป็นจริงมีหลายหน่วยงานที่ได้ปฏิบัติตามกฎหมายนี้แล้วถึงแม้ตัวกฎหมายจะถูกเลื่อนการบังคับใช้ โดยเฉพาะหน่วยงานด้านการเงินการธนาคาร ซึ่งถือเป็นการพัฒนาการที่ดีและสะท้อนให้เห็นว่าประชาชนมีความตื่นตัวในเรื่องพวกนี้อยู่แล้ว

PDPA เกี่ยวข้องกับประชาชนทุกคนอย่างไร ประชาชนจะได้รับประโยชน์หรือเสียผลประโยชน์จากการบังคับใช้ PDPA อย่างไรบ้าง

อ.ฐิติรัตน์: คนทั่วไปน่าจะได้ประโยชน์มากกว่าเสียผลประโยชน์ในเชิงที่ว่าเราจะมีข้อมูลมากขึ้นจากบริการและแพลตฟอร์มต่าง ๆ ที่เราใช้ ถ้าใครจะเอาข้อมูลเราไปเขาต้องบอกเราว่าจะเอาไปใช้ทำอะไร ถ้าบริการไหนใช้ข้อมูลของเรามากเกินไปหรือบอกเราไม่ชัดเจน เราก็มีสิทธิเลือกไม่ใช้บริการนั้น ซึ่งแรงตอบสนองจากผู้บริโภคจะทำให้ธุรกิจต่าง ๆ ปรับตัว เช่น เคยมี E-commerce Platform ที่เชื่อมบัญชีกับเบอร์มือถือของเราเพื่อยืนยันตัวตน ซึ่งนอกจากจะเชื่อมเบอร์มือถือแล้วยังขอเข้าถึงสมุดโทรศัพท์ในมือถือเราด้วย ทำให้รู้เบอร์เพื่อน ๆ ของเรา ถ้าหากเพื่อนของเรามีบัญชีอยู่บนแพลตฟอร์มเดียวกัน เราจะสามารถเห็นได้ว่าเพื่อนไปซื้อของจากร้านไหน โดยที่แพลตฟอร์มไม่ได้บอกเราก่อนหรือไม่ได้ให้ตัวเลือกเราเลยว่าเราต้องการเชื่อมข้อมูลเหล่านั้นหรือไม่ เหตุการณ์นี้ทำให้เกิดการตอบสนองที่ค่อนข้างรุนแรง มีคนเข้าไปต่อว่า ทำให้บริษัทต้องรีบปรับตัวภายใน 1-2 วัน มีการปรับแก้ฟังก์ชันเหล่านี้

กฎหมายที่ออกมาช่วยสร้างความชัดเจนว่าอะไรคือมาตรฐานที่บริษัทจะต้องทำ หากไม่ทำตามผู้บริโภคสามารถใช้สิทธิเรียกร้องได้เต็มที่ และสามารถใช้สิทธิของตนเองเพื่อขอทราบว่าข้อมูลอะไรของเราถูกนำไปประมวลผลบ้าง หรือถูกนำไปแชร์ให้บุคคลที่สามหรือไม่ หรือเวลาที่เรารับ Spam Call เราก็สามารถถามได้ว่าเขาเอาข้อมูลเรามาจากไหน และเรามีสิทธิที่จะขอให้เขาหยุดเอาข้อมูลของเราไปใช้งาน หรือขอให้ลบจากระบบเลยก็ยังได้ หากพบว่าใครไม่ปฏิบัติตามเราสามารถร้องเรียนได้ที่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ซึ่งเป็นหน่วยงานใหม่ที่ตั้งขึ้นมาเพื่อกำกับดูแลให้องค์กรต่าง ๆ ทั้งรัฐและเอกชนทำตามกฎหมายนี้และคุ้มครองสิทธิของประชาชน

กฎหมายที่ออกมาช่วยสร้างความชัดเจนว่าอะไรคือมาตรฐานที่บริษัทจะต้องทำ หากไม่ทำตามผู้บริโภคสามารถใช้สิทธิเรียกร้องได้เต็มที่ และสามารถใช้สิทธิของตนเองเพื่อขอทราบว่าข้อมูลอะไรของเราถูกนำไปประมวลผลบ้าง

PDPA จะทำให้แนวโน้มพฤติกรรมของแต่ละคนเปลี่ยนไปอย่างไรบ้าง

ดร.พีรพัฒ: ตอนนี้คนเริ่มรู้แล้วว่ามีกฎหมายนี้ออกมา สังเกตง่าย ๆ จาก 3 ปีที่แล้ว เคยมีกรณีบัตรประชาชนหลุดเยอะมาก ถ้าเทียบกระแสตอนนั้นกับตอนนี้ที่ล่าสุดไม่กี่สัปดาห์ที่ผ่านมามีข้อมูลของสาธารณสุขหลุด จะเห็นได้ว่าการตอบรับ การตื่นตัวของคนต่างกัน คนเริ่มตื่นตัวกันมากขึ้น เริ่มระวังกันมากขึ้น หลังจากนี้ลูกค้าจะไม่ได้เลือกสิ่งของที่ราคาถูกหรือน่าใช้เพียงอย่างเดียว แต่จะเลือกสินค้าหรือบริการที่มีการคุ้มครองและมีความโปร่งใสในการดูแลข้อมูลส่วนบุคคลมากขึ้น เมื่อพฤติกรรมของฝั่ง demand หรือคนที่เป็นเจ้าของข้อมูลส่วนบุคคลเริ่มปกป้องตัวเองมากขึ้นเพราะรู้ว่าเรามีสิทธิแล้ว ส่งผลให้ ‘ผู้ควบคุมข้อมูลส่วนบุคคล’ กับ ‘ผู้ประมวลผลข้อมูลส่วนบุคคล’ มีการปรับตัวตาม ดำเนินการด้วยความระมัดระวังมากขึ้น เก็บข้อมูลเท่าที่จำเป็นจริง ๆ และให้ความสำคัญกับเรื่องข้อมูลส่วนบุคคลมากขึ้นเพราะรู้แล้วว่าลูกค้าเริ่มให้ความสำคัญ

‘ผู้ควบคุมข้อมูลส่วนบุคคล’ กับ ‘ผู้ประมวลผลข้อมูลส่วนบุคคล’ มีการปรับตัวตาม ดำเนินการด้วยความระมัดระวังมากขึ้น เก็บข้อมูลเท่าที่จำเป็นจริง ๆ และให้ความสำคัญกับเรื่องข้อมูลส่วนบุคคลมากขึ้น

ดร.สุนทรีย์: ปีที่ผ่านมาผู้บริโภคตระหนักถึงกฎหมาย PDPA มากขึ้น ผู้ประกอบการเองก็ปรับตัว จะเห็นว่ามีบริการใหม่ ๆ ที่เปิดเพิ่มขึ้นมา และบางครั้งผู้บริโภคก็จะให้ความเห็นกลับไปว่า เราไม่ได้อยากได้บริการแบบนี้ หรือมันเริ่มรุกล้ำความเป็นส่วนตัวแล้ว อย่างเช่น บริการส่งของซึ่งช่วงแรก ๆ อาจระบุให้ต้องถ่ายรูปคู่กับหน้าเราที่เป็นคนรับของเพื่อยืนยันว่าเขาส่งของถึงเราจริง แต่พอผู้บริโภคเริ่มตระหนัก (ถึงการคุ้มครองความเป็นส่วนตัว) ก็จะบอกว่า จริง ๆ มันไม่จำเป็นนะ ถ่ายบ้านเลขที่หรือมืออย่างเดียวได้หรือเปล่า หรืออย่างการซื้อของออนไลน์ที่มีการโพสต์ Tracking number เพื่อจะบอกว่าร้านค้านี้ขายดี ซึ่งมีชื่อ-ที่อยู่ของเราติดอยู่ และของที่ซื้อก็สามารถบอกความชอบของผู้ซื้อได้ ตอนนี้ก็เริ่มมีผู้บริโภคที่แจ้งกลับไปที่ร้านค้าเหล่านั้นว่าให้บอกแค่ Tracking number ไม่ต้องลงชื่อ หรือให้ส่ง Inbox มาบอกแทน หรือถ้าจะแสดงให้คนเห็นว่าร้านคุณขายดีก็โพส Tracking number แต่ลบชื่อออกไปให้หมด เพราะที่อยู่ที่ให้ไปมีไว้ให้ส่งของอย่างเดียว ไม่ใช่เพื่อให้คนอื่นรู้ว่าเราซื้ออะไร ก็อยากจะแจ้งทุกท่านว่าเรามีสิทธิที่จะสอบถามกลับไปนะ

นอกจากนี้ หลังจากกฎหมายนี้ถูกบังคับใช้ที่ยุโรปเมื่อ 3 ปีก่อน หลาย ๆ บริการที่เราใช้ก็เปลี่ยนแปลงไป เช่น ตอนนี้ Facebook ให้เราสามารถตั้งค่า Privacy ต่าง ๆ ได้มากขึ้น สมัยก่อนถ้าเราอยากเอารูปที่เก็บอยู่บน Facebook ไปไว้ที่อื่น ต้องมากดดาวน์โหลดทีละรูป แต่ด้วยกฎหมายทางสากลของทางยุโรปที่บังคับว่าผู้ให้บริการจะต้องให้บริการคนที่เป็น Data Accountability ด้วย Facebook ก็เลยอนุญาตให้เราสามารถไปตั้งค่าให้ดาวน์โหลดหรือส่งต่อรูปทั้งหมดไปไว้บน Google Photos ได้ จากเดิมเราไม่เคยคิดว่าผู้ให้บริการรายใหญ่จะร่วมมือกันในเรื่องแบบนี้ แต่พอกฎหมายออกมาทำให้ผู้ประกอบการต้องปรับตัวเพื่อให้ผู้บริโภคพึงพอใจกับบริการมากขึ้นหรืออย่างทุกวันนี้ในแอปพลิเคชันที่เราใช้เวลาถ่ายรูป เราก็เลือกให้เบลอได้ จะเห็นได้ว่า Feature ต่าง ๆ เหล่านี้ถูกพัฒนาขึ้นมาเพราะทั้งโลกกำลังตระหนักถึงการคุ้มครองข้อมูลส่วนบุคคล ประเทศจีนเดือนที่แล้วก็เพิ่งออกกฎหมายคุ้มครองข้อมูลส่วนบุคคลและจะมีผลบังคับใช้ปลายปีนี้ ซึ่งจะเห็นได้ว่าเรื่องนี้มันเป็นเรื่องที่ทำให้เกิดการพัฒนายกระดับเรื่องการใช้ข้อมูลขึ้นทั้งโลก

จะเห็นได้ว่า Feature ต่าง ๆ เหล่านี้ถูกพัฒนาขึ้นมาเพราะทั้งโลกกำลังตระหนักถึงการคุ้มครองข้อมูลส่วนบุคคล

อ.ฐิติรัตน์: ต่อไปเราจะเริ่มมีการตั้งคำถามกับสิ่งที่เราเคยทำเป็นปกติ เช่นการฝากบัตรประชาชนเอาไว้ก่อนจะเข้า-ออกหมู่บ้านของเพื่อน เราก็จะเริ่มตั้งคำถามว่าทำไปทำไม คุ้มกันหรือไม่กับการที่เราเอาสิ่งสำคัญมากในการทำธุรกรรมต่าง ๆ อย่างบัตรประชาชนไปฝากไว้กับคนที่เราไม่รู้จัก พอเราเริ่มตั้งคำถามก็จะนำมาซึ่ง Accountability ในฝั่งคนที่เอาข้อมูลเราไปใช้งาน ความรับผิดชอบของการอธิบายว่าถ้าเขาจะทำอะไรสักอย่างกับข้อมูลเรา เขาจำเป็นต้องอธิบายให้ได้ว่าทำไปทำไม หรือถ้าเอาข้อมูลไปแล้วจะดูแลข้อมูลของเราอย่างไรบ้าง เขาก็ต้องไปเรียนรู้เพื่อจะมาให้คำตอบสำหรับคำถามเหล่านี้

ในขณะที่ฝั่งประชาชนอาจตระหนักรู้ในหลักการเป็นหลัก นั่นก็คือ ข้อมูลส่วนบุคคลของเรา คนอื่นจะเอาไปใช้ได้ต้องมีความจำเป็น ต้องอธิบายได้ว่าเอาไปทำไม แล้วที่บอกว่าจำเป็น มันมีวิธีอื่นหรือไม่ที่รุกล้ำความเป็นส่วนตัวน้อยกว่าแต่บรรลุวัตถุประสงค์เดียวกันได้ ฝั่งผู้ควบคุมข้อมูลส่วนบุคคล ได้แก่ ผู้ประกอบการ หน่วยงานภาครัฐ หรือองค์กรต่าง ๆ ที่ต้องใช้ข้อมูลส่วนบุคคลของคนอื่น จำเป็นต้องศึกษาให้เข้าใจโดยละเอียด เพื่อทำตามมาตรฐาน ต้องตอบคำถามให้ได้ ต้องมีความมักง่ายน้อยลง หรือหาวิธีใหม่ ๆ ทำอย่างไรถึงจะใช้ข้อมูลได้อย่างมีประสิทธิภาพเพื่อที่จะรักษาผลประโยชน์ของทั้งสองฝั่งจากการใช้ข้อมูล

++++มาถึงคำถามที่หลายคนสงสัยกัน++++

ลงรูปที่ถ่ายกับเพื่อนบน Social Media ผิดหรือไม่ เพราะยังไม่ได้ขอ consent จากเพื่อนก่อน

อ.ฐิติรัตน์: กฎหมายนี้บังคับกับองค์กรที่เอาข้อมูลเราไปใช้ประโยชน์ทั้งในเชิงพาณิชย์และการให้บริการประชาชน ไม่ได้เน้นเข้ามาดูแลความสำคัญระหว่างคนธรรมดากับคนธรรมดา แปลว่าเราถ่ายรูปเพื่อนแล้วโพสต์เล่นบน Facebook ให้เพื่อน ๆ ของเราดูก็ไม่ได้อยู่ในขอบข่ายของกฎหมายนี้ เพราะกฎหมายนี้ไม่ได้จะเข้าไปยุ่งวุ่นวายกับชีวิตส่วนตัวของคน เวลาเราใช้ข้อมูลในชีวิตปกติอยู่กับเพื่อนกับครอบครัวก็มีการใช้ข้อมูลส่วนบุคคลกันอยู่แล้ว เช่น ไปเซอร์ไพรส์วันเกิดเพื่อนก็ต้องรู้ว่าเพื่อนเกิดวันไหน บ้านอยู่ที่ไหน ซึ่งเป็นเรื่องส่วนตัว กฎหมาย PDPA ไม่ได้เข้าไปยุ่ง กฎหมายจะยุ่งในกรณีที่ข้อมูลส่วนบุคคลไม่ได้ถูกนำมาใช้ในเรื่องส่วนตัวแต่เอามาใช้ในเรื่องที่เป็นการเป็นงาน

อย่างไรก็ดีถ้าเราเอารูปเพื่อนไปโพสแล้วไปเผลอสร้างความเดือดร้อนให้กับเขา ทำให้เกิดความเข้าใจผิด ก็มีกฎหมายที่ดูแลตรงส่วนนี้ เช่น กฎหมายที่ว่าด้วยการล่วงละเมิดภายใต้กฎเกณฑ์ของกฎหมายแพ่งทั่วไปซึ่งเป็นกฎหมายเดิมที่มีอยู่แล้ว เพราะเราก็คงไม่ได้อยากให้กฎหมาย PDPA มายุ่งวุ่นวายกับชีวิตเราขนาดนั้น ตรงนี้ก็ปล่อยให้เป็นเรื่องของมารยาทสังคม เป็นเรื่องของการปฏิบัติต่อกัน อย่าไปคิดว่ากฎหมายจะมาแทนที่มารยาททางสังคม ให้ใช้กลไกทางสังคมช่วยกันเตือน

Street photographer ที่ถ่ายติดภาพคน จริง ๆ แล้วทำได้หรือเปล่า

อ.ฐิติรัตน์: เรื่อง Street Photographer เป็นส่วนของการถ่ายรูปคนที่ไม่รู้จักกัน ซึ่งมีทั้งการนำไปใช้แบบเป็นงานอดิเรกกับใช้ทางพาณิชย์ ซึ่งถ้าเป็นการใช้เพื่อผลประโยชน์ทางพาณิชย์ แปลว่าถ้าคุณได้ประโยชน์คุณต้องมีความรับผิดชอบกับสิ่งที่คุณทำ ดังนั้นต้องอธิบายให้ได้ว่าที่ถ่ายไปเป็นพื้นที่สาธารณะแค่ไหน เจาะหน้าตัวบุคคลหรือไม่ซึ่งจะเป็นอีกประเด็นนึง แต่โดยทั่วไปแล้วในวงการ Street Photographer เองก็มีหลักการ มีจริยธรรม (Ethics) อยู่ในการทำงาน ถ้าถ่ายเล่นไม่ได้ทำให้ใครเสียหายก็ถือเป็นสิ่งที่รับได้ เข้าข่ายมารยาททางสังคมอีกเช่นกัน

ทุกวันนี้เมืองไทยยังไม่มีข้อห้ามเรื่องการถ่ายรูปในที่สาธารณะถ้าไม่ใช่การถ่ายที่ล่วงล้ำมากเกินไป แต่ถ้ามีการเอาไปใช้ เอาไป Abuse หรือ Harass มากขึ้น ในอนาคตก็อาจมีกฎหมายหรือฉันทามติร่วมกันของสังคมว่าให้เลิกทำ เช่น ในประเทศญี่ปุ่นคุณไม่สามารถไปถ่ายรูปใครตามใจชอบได้ ญี่ปุ่นบังคับให้กล้องมือถือหรือกล้องถ่ายรูปตัวใหญ่ ๆ ต้องมีเสียงชัตเตอร์และไม่สามารถที่จะปิดเสียงชัตเตอร์ได้ เพราะเขามีกฎเกณฑ์ว่าไม่อยากให้การถ่ายรูปในที่สาธารณะเป็นเรื่องปกติเนื่องจากบ้านเมืองเขามีปัญหาเรื่องคนถูก Abuse หรือถูก Harass จากเรื่องพวกนี้ ซึ่งในเรื่องนี้ก็อยากให้มองเป็นเรื่องของมารยาทหรือบรรทัดฐาน (Norm) ของสังคมด้วย ในขณะที่กฎหมาย PDPA จะเป็นการจัดการในส่วนของการเอาข้อมูลส่วนบุคคลของคนอื่นไปใช้ประโยชน์เป็นหลัก

กล้องติดหน้ารถที่ถ่ายเหตุการณ์ต่าง ๆ บนท้องถนน และอาจใช้เป็นหลักฐานในอุบัติเหตุ ถือเป็นการละเมิด PDPA หรือไม่

อ.ฐิติรัตน์: เรื่องของกล้องหน้ารถก็จะคล้าย ๆ กับเรื่องของการถ่ายภาพในที่สาธารณะ แต่จะต่างกันในเรื่องของการถ่ายตลอดเวลา ซึ่งล่วงล้ำความเป็นส่วนตัวของผู้อื่นระดับหนึ่ง การถ่ายสิ่งที่รถวิ่งผ่านไปเรื่อย ๆ อาจไม่ใช่การ monitor ใครคนหนึ่งตลอดเวลา แต่ถ้าเราไปจอดหน้าบ้านใครคนหนึ่งแล้วปล่อยให้กล้องหน้ารถเก็บภาพตลอดเวลาเพื่อดูว่ามีใครเข้า-ออกบ้านเขา เช่นนี้จะไม่ถือว่าเป็นการติดกล้องหน้ารถตามปกติ หรือถ้าใช้เพื่อแค่ดูว่ารถเรามีคนเข้ามาทำอะไรหรือไม่ก็อีกเรื่องหนึ่ง ด้วยเหตุนี้เราต้องดูพฤติกรรมการใช้งานด้วย คำถามคือเราจะแยกอย่างไรว่าวัตถุประสงค์การใช้งานมันต่างกัน ส่วนนี้ถือเป็นเรื่องยากและต้องไปดูที่พฤติกรรมการใช้งานว่าสุดท้ายแล้วข้อมูลนี้ถูกเอาไปทำอะไร ถ้าโดยทั่วไปแล้วก็คือใช้ได้

การ Scrape public information บน Internet โดยมีข้อมูลส่วนตัวอยู่สามารถทำได้หรือไม่

อ.ฐิติรัตน์: อันนี้เป็นเรื่องของการใช้ข้อมูลแบบโลกยุคใหม่ให้เราสามารถเข้าใจตลาดบนพื้นที่สื่อโซเชียล เพราะคนเริ่มคุยกันบนโลกออนไลน์มากขึ้น ทำให้คนที่ทำงานให้บริการหรือทำงานกับลูกค้าอยากใช้ประโยชน์ข้อมูล Feedback คนใช้งานที่มาแสดงออกในโลกโซเชียล ซึ่งถ้าเราจะเอาข้อมูลเช่นนี้มาใช้หลักการก็คือเราต้องดูว่า 1) มีความจำเป็นหรือไม่ 2) การเอาข้อมูลมาใช้ ทำให้เกิดความเสี่ยงอะไรกับเจ้าของข้อมูลส่วนบุคคลบ้าง และ 3) ความคาดหมายของคนโพสต์ เพราะการโพสต์บนเว็บบอร์ด เจ้าของแบรนด์ก็อาจจะเข้ามาอ่านและมี action บางอย่างเพื่อนำไปปรับปรุงสินค้าและบริการ

ดังนั้นบริบทหนึ่งของการที่ข้อมูลอยู่ในที่สาธารณะบนโลกออนไลน์ คือ ผู้โพสต์รู้ว่าจะมีคนหลากหลายมาอ่าน แต่ไม่ได้หมายความว่าพออยู่ในพื้นที่สาธารณะแล้วจะเอาไปใช้อย่างไรก็ได้ ในหลักการของการคุ้มครองข้อมูลส่วนบุคคลต้องดูว่าวัตถุประสงค์และบริบทของการใช้ข้อมูลเป็นอย่างไร คนโพสต์อาจจะแค่โพสต์คุยกับเพื่อนในกลุ่มแต่กลับถูกเอาข้อมูลไปใช้ทำการตลาด โดนยิงโฆษณามาให้ ซึ่งก็จะแปลว่าผิดวัตถุประสงค์ของบริบทของข้อมูล

ดังนั้นผู้ประกอบการที่ต้องการเก็บข้อมูลจากสาธารณะต้องดูว่าในบริบทที่ข้อมูลนั้นอยู่ อยู่แบบไหน คนที่โพสต์พอจะคาดหมายได้หรือไม่ว่าคุณจะเอาข้อมูลนั้นไปใช้ในวัตถุประสงค์ที่คุณจะใช้ ถ้าเกิดมันแตกต่างออกไปโดยสิ้นเชิง สิ่งแรกที่ผู้ควบคุมข้อมูลควรทำก็คือ พยายามหาทางว่าคุณจะบอกเจ้าตัวได้หรือไม่ว่านี่คือช่องทางที่คุณได้ข้อมูลมา คือแจ้งให้เขาทราบ เพราะหลักการของการนำข้อมูลมาใช้จริง ๆ แล้วคือคุณต้องแจ้งว่าคุณเอามา แต่กฎหมายก็มีข้อยกเว้นอยู่ว่าถ้ามีความลำบากจริง ๆ ที่จะเข้าถึงตัวหรือไปแจ้งเจ้าของข้อมูลได้ คุณก็ต้องไปประเมินต่อว่าทำอย่างไรถึงจะทำให้เจ้าของข้อมูลปลอดภัยได้มากขึ้น หรือคุณสามารถเก็บข้อมูลแบบไม่ระบุตัวตนได้หรือไม่ เช่น ถ้าเราแค่อยากรู้ว่าคนพูดถึงแบรนด์เราว่าอย่างไร ก็อาจไม่จำเป็นต้องรู้ว่าใครเป็นคนพูด ซึ่งก็จะเป็นวิธีในการช่วยทำให้เจ้าของข้อมูลปลอดภัยมากยิ่งขึ้น 

ถ้าเราจะเอาข้อมูลเช่นนี้มาใช้หลักการก็คือเราต้องดูว่า 1) มีความจำเป็นหรือไม่ 2) การเอาข้อมูลมาใช้ ทำให้เกิดความเสี่ยงอะไรกับเจ้าของข้อมูลส่วนบุคคลบ้าง และ 3) ความคาดหมายของคนโพสต์

ดร.พีรพัฒ: ถ้าเกิดเราต้อง Scrape ข้อมูลมาใช้จริง ๆ ต้องบอกให้ได้ว่า Scrape มาทำอะไร Scrape ลึกแค่ไหน บางทีเวลาเราโพสต์อาจจะเห็นแค่ข้อความหรือแค่ชื่อก็จริง แต่ถ้าเราไปดูต่อจนรู้ได้ว่า IP address คืออะไร ซึ่งก็จะลึกกว่าการที่เราแค่เปิดเว็บแล้วเจอ วิธีการ Scrape ก็มีตั้งแต่แบบผิวเผินมาก ๆ จนถึงลึกมาก ๆ ยิ่งลึกก็ยิ่งได้ข้อมูลลึกขึ้น และยิ่งลึกขึ้นก็ยิ่งต่างจากสิ่งที่เจ้าของข้อมูลคาดไว้มากเท่านั้น

วัตถุประสงค์การ Scrape ข้อมูลอาจมีตั้งแต่ Scrape มาดูเฉย ๆ มาทำ Social Listening ให้รู้ว่าคนพูดเรื่องอะไรบ้าง หรือมาทำ Profiling เพื่อเอาไปวิเคราะห์ หรือทำ Direct Marketing ซึ่งผลกระทบต่อเจ้าของข้อมูลก็ไม่เท่ากัน วิธีการที่จะช่วยก็คือการเก็บอะไรที่ทำให้ระบุตัวตนได้ยากขึ้น หรือเก็บมาเฉพาะเนื้อหาที่จำเป็นจริง ๆ ถ้าเราคิดว่าจะมี Sensitive Data ด้วย เช่น ความคิดเห็นทางการเมือง (ดูคำนิยามได้ในมาตรา 26) ก็อาจมีเงื่อนไขเพิ่มเติม

ทั้งนี้คนที่ตัดสินใจจะ Scrape ข้อมูลอาจใช้เครื่องมือที่เรียกว่า Data Protection Impact Assessment (DPIA) เพื่อประเมินผลกระทบจากกิจกรรมของเรา ซึ่งถ้าเป็นกิจกรรมที่มีความเสี่ยงสูงมาก หรือใช้เทคโนโลยีใหม่ที่เจ้าของข้อมูลคาดไม่ถึง การทำ DPIA จะสามารถเป็นเกราะกำบังให้เราได้ เพราะแปลว่าเราคิดถี่ถ้วนแล้วว่าเราทำสิ่งนี้ได้จริง ๆ 

++++คำถามจากผู้ฟัง Live สด++++

คำถาม: บริษัทมีการขอสแกนข้อมูลใบหน้าเพื่อรักษาความปลอดภัย ผมมีสิทธิเลือกไม่ให้บริษัทสแกนหน้าผมได้หรือไม่

อ.ฐิติรัตน์: เลือกได้ข้อมูลใบหน้าคือข้อมูลชีวมาตรแบบนึงและถือเป็นข้อมูลอ่อนไหว (Sensitive Data) โดยกฎหมายกำหนดไว้ว่าการนำข้อมูลเหล่านี้มาใช้งานต้องได้รับคำยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคลก่อน ซึ่งบริษัทโดยทั่วไปที่ไม่จำเป็นต้องใช้การรักษาความปลอดภัยขั้นสูงสุด ก็อาจไม่มีเหตุผลที่สามารถบังคับให้ลูกจ้างต้องยอมให้ข้อมูลชีวมาตรเหล่านี้กับบริษัท ทั้งนี้ บริษัทสามารถใช้งานข้อมูลพวกนี้ได้แต่ต้องได้รับความยินยอมก่อน หากไม่ได้รับความยินยอมบริษัทต้องหาวิธีอื่นในการให้พนักงานสามารถยืนยันตัวตนในการเข้า-ออกอาคารได้ เช่นใช้บัตรหรือรหัสแทน เว้นเสียแต่ว่ามีเหตุความจำเป็นอย่างมากกับงานที่บริษัททำอยู่และต้องการรักษาความลับขั้นสูงสุด

คำถาม: ผู้ให้บริการรายนึงทำข้อมูลรั่วไหลจำนวนมาก จะถูกลงโทษหรือต้องชดเชย Data Subject อย่างไรบ้าง

ดร.พีรพัฒ: เรื่องหนึ่งที่คนเข้าใจผิดกันเยอะก็คือ เมื่อไรที่ข้อมูลรั่วคือผิดเลย จริง ๆ ต่อให้ป้องกันดีแค่ไหนข้อมูลก็สามารถรั่วได้ ทุกเรื่องจะมีเกณฑ์อยู่ เกณฑ์ต่ำสุดเลยคือประมาท และมีมาตรการที่จะบังคับอยู่ 3 แบบ คือ ค่าเสียหายทางแพ่ง ค่าปรับทางปกครอง หรือโทษทางอาญา เรื่องข้อมูลรั่วไหลส่วนใหญ่จะไปเกี่ยวในเรื่องของค่าเสียหายกับค่าปรับ ทางอาญาส่วนใหญ่จะเป็นพวกเรื่องข้อมูล Sensitive หรือข้อมูลประเภทพิเศษ หรือกรณีที่คนที่มีหน้าที่เอาข้อมูลไปใช้ในทางที่มิชอบ ในส่วนของเรื่องแพ่งกับปกครองต้องดูว่าผู้ควบคุมหรือผู้ประมวลผลข้อมูลส่วนบุคคลใช้ความระวังมากเพียงพอ มีการประเมินความเสี่ยงของแต่ละกิจกรรมที่ชัดเจนทั้งในแง่ของการคุ้มครองข้อมูลส่วนบุคคล ความเป็นส่วนตัว ความมั่นคงปลอดภัย และมีการปิดความเสี่ยงต่าง ๆ แล้วหรือไม่ หากไม่ก็จะมีบทลงโทษต่อไป

คำถาม: เวลาที่มีการให้ยืนยันตัวตน (KYC) ต้องเก็บสำเนาบัตรประชาชนซึ่งจะมีข้อมูลศาสนาที่ติดมาด้วย เราสามารถเก็บข้อมูลนี้ต่อไปได้หรือไม่โดยที่ไม่ได้ใช้

ดร.พีรพัฒ: ต้องมาดูว่าเราเก็บข้อมูลเหล่านี้โดยมีวัตถุประสงค์เพื่อการพิสูจน์ยืนยันตัวตนหรือไม่ ส่วนสำเนาบัตรประชาชนที่มีข้อมูล sensitive ติดไป มันก็ถือเป็นความเคยชิน โดยที่ไม่รู้ว่าจริง ๆ แล้วต้องทำหรือไม่ ความเคยชินไม่ได้เป็นสิ่งที่ถูกต้อง PDPA ก็มีมาเพื่อปราบความเคยชินหลาย ๆ อย่าง ก็ต้องมาตั้งคำถามว่าจริง ๆ แล้วจำเป็นหรือไม่ที่ต้องเก็บ ถ้าไม่จำเป็นก็ตัดทิ้งไปได้เลย ซึ่งของเดิมที่มีอยู่แล้วกฎหมายใหม่ก็ไม่ได้บอกว่าต้องไปรื้อมานั่งขีดฆ่าทีละใบ

สรุปหลักการ 3 ขั้นตอน คือ 1. ตอบให้ได้ก่อนว่ากิจกรรมนั้นจำเป็นหรือไม่ 2. ถ้าต้องเก็บจริง ๆ ไม่จำเป็นต้องถึงกับไปรื้อของเดิม แต่ต้องมีกระบวนการ  เช่น การขีดฆ่า 3. ในเชิงนโยบาย ควรไปดูว่าจริง ๆ แล้วควรจะมีข้อมูล sensitive เหล่านี้บนบัตรประชาชนหรือไม่

คำถาม: ทางสำนักงานได้กำหนดเกณฑ์ขั้นต่ำของบริษัทที่ต้องมี DPO แล้วหรือยัง

ดร.สุนทรีย์: (ร่าง) กฎหมายกำหนดว่าหากบริษัทมีการประมวลผลข้อมูลส่วนบุคคลทั่วไปเกิน 50,000 รายสำหรับข้อมูลธรรมดา และ 5,000 ราย สำหรับข้อมูล sensitive เช่น ข้อมูลเชื้อชาติ ข้อมูลสุขภาพ ข้อมูลชีวภาพ ฯลฯ บริษัทจำเป็นจะต้องแต่งตั้งให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer)

ดร.พีรพัฒ: ชอบมีคำถามว่า 50,000 กับ 5,000 ราย หมายถึงข้อมูลที่กำลังจะเริ่มเก็บใหม่หรือรวมของเดิมที่เก็บไว้เดิมด้วย ซึ่งก็ควรเป็นข้อมูลทั้งหมดที่มีอยู่ในครอบครองทั้งที่ใช้และไม่ใช้ เพราะข้อมูลถ้าคุณไม่ได้ใช้คุณก็ไม่ควรจะเก็บไว้

---

บทส่งท้าย

จะเห็นได้ว่า PDPA เป็นเรื่องที่เกี่ยวข้องกับพวกเราทุกคน เกี่ยวกับกิจกรรมต่าง ๆ ที่เราทำในชีวิตประจำวัน และเป็นสิ่งที่ทำมาเพื่อคุ้มครองข้อมูลส่วนบุคคลของพวกเราโดยเฉพาะ หวังว่าทุกท่านจะได้รับความรู้และเข้าใจเกี่ยวกับ PDPA มากขึ้นจากบทความนี้ และสามารถใช้ประโยชน์จาก PDPA ในการรักษาสิทธิต่าง ๆ ให้กับตัวท่านเองและคนรอบข้างได้ค่ะ 😊

สัมภาษณ์โดย ภคภูมิ สารพัฒน์ และนภัสวันต์ พสุทิพย์
สรุปเนื้อหาโดย นภัสวันต์ พสุทิพย์
ตรวจทานและปรับปรุงเนื้อหาโดย พีรดล สามะศิริ