ชวน หวังสุนทรชัย
กิริฎา เภาพิจิตร
ในยุคที่ข้อมูลสามารถสร้างโอกาสมหาศาลให้กับผู้ครอบครอง ไม่ว่าจะเพื่อ “พัฒนาคุณภาพการให้บริการ” ของธุรกิจหรือเพื่อวัตถุประสงค์อื่นๆ กระทั่งมีผู้กล่าวว่า data is the new currency ก็คงจะไม่เกินความจริงนัก จึงไม่น่าแปลกใจที่ทุกคนล้วนแข่งกันเก็บและใช้ข้อมูล เพื่อเพิ่มประสิทธิภาพในการแข่งขันของตน ในการเสนอสินค้าหรือบริการให้เหนือกว่าคู่แข่ง หรือเพื่อหาประโยชน์อย่างอื่นในทางที่ไม่เหมาะสมก็ได้เช่นกัน
ดังจะเห็นได้จากเหตุการณ์ล่าสุดที่มีบริษัทแห่งหนึ่งในต่างประเทศ วิเคราะห์ข้อมูลส่วนบุคคลของผู้ใช้ Facebook เพื่อประโยชน์ทางการเมือง โดยการเก็บและวิเคราะห์ข้อมูลจากแบบสอบถามที่บุคคลเหล่านั้นตอบ (เพียงกดให้ความยินยอมบน Facebook บริษัทก็สามารถเข้าถึงได้ทั้งบัญชีผู้ตอบคำถาม รวมถึงเพื่อนของผู้ตอบได้) ผลคือมีรายงานข้อเท็จจริงว่า บริษัทดังกล่าวสามารถเข้าถึงข้อมูลของผู้ใช้ Facebook ได้กว่า 50 ล้านบัญชี แล้วนำไปวิเคราะห์ลักษณะของบุคคล เพื่อนำเสนอเนื้อหามุ่งชี้นำให้กลุ่มบุคคลเป้าหมายใช้สิทธิเลือกตั้งในประเทศสหรัฐอเมริกาครั้งที่ผ่านมาให้เป็นไปตามที่ต้องการ
บทเรียนสำคัญจากเรื่องนี้คือ เราไม่อาจล่วงรู้ได้ว่าข้อมูลเกี่ยวกับเราจะถูกเข้าถึงได้ทางใดบ้าง เพราะแม้เราจะใช้ความพยายามในการป้องกันความเป็นส่วนตัวเป็นอย่างดีแล้ว ข้อมูลก็อาจจะยังรั่วไหลออกจากทางอื่น เช่น จากเพื่อนของเราได้เช่นกัน
ดังนั้น เมื่อเราไม่อาจรู้ได้เลยว่าข้อมูลที่ถูกเก็บไป จะถูกนำมาใช้ประโยชน์โดยใครและเมื่อไหร่ การมีมาตรการคุ้มครอง หรือวิธีการป้องกัน ลดโอกาสเกิดผลกระทบจากการที่ผู้อื่นล่วงรู้ข้อมูลเกี่ยวกับเรา แล้วนำมาใช้ประโยชน์แทรกแซงชีวิตความเป็นอยู่เราจึงสำคัญและจำเป็นอย่างมาก
ในสหภาพยุโรปมีกฎหมายคุ้มครองข้อมูลส่วนบุคคลมาใช้บังคับกว่า 10 ปีแล้ว และจะมีกฎหมายใหม่ที่จะใช้บังคับในเดือนพฤษภาคมนี้คือ General Data Protection Regulation (GDPR) ซึ่งนอกจากจะมีหลักการทางกฎหมายที่พัฒนามาเป็นเวลายาวนาน ยังมีสิทธิใหม่ๆ ที่ทันสมัย มากขึ้น เพื่อรองรับการเชื่อมต่อข้อมูลสมัยใหม่ ตามสภาพสังคมที่เปลี่ยนแปลงไป
ตัวอย่างที่น่าสนใจ คือ ‘Right to erasure’ หรือ ‘Right to be forgotten’ คือสิทธิที่จะถูกลืม โดยมีหลักการพื้นฐานว่าบุคคลควรมีสิทธิที่จะสั่งให้ผู้ที่เก็บข้อมูลของตนลบข้อมูลที่เกี่ยวกับบุคคลนั้นให้หมดไป ยกตัวอย่างเช่น หากว่าจะมีการเลิกใช้ Facebook นอกจากการลบบัญชีผู้ใช้ส่วนตัวแล้วบุคคลมีสิทธิที่จะสั่งให้ Facebook ลบข้อมูลทั้งหมด ที่มีเกี่ยวกับตนออกจากฐานข้อมูลได้ เพื่อไม่ให้บริษัทนำข้อมูลเหล่านั้นไปหาประโยชน์อีก
นอกจากนี้ กฎหมายดังกล่าวยังมีบทลงโทษที่รุนแรงหากมีการละเมิดกฎหมายคือ มีโทษปรับทางปกครองสูงสุดถึง 20 ล้านยูโร หรือร้อยละ 4 ของรายรับทั่วโลกของกิจการนั้นๆ แล้วแต่ว่าจำนวนใดสูงกว่าทั้งนี้โทษปรับดังกล่าวยังไม่รวมบทลงโทษ อื่นที่ประเทศสมาชิกสามารถกำหนดได้เพิ่มเติม ยิ่งไปกว่านั้นกฎหมายดังกล่าวยังกำหนดหลักเกณฑ์ที่เข้มงวดในการส่งข้อมูลส่วนบุคคลออกไปนอกสหภาพยุโรป โดยจะไม่อนุญาตให้ส่งข้อมูลไปยังประเทศปลายทางที่ทางสหภาพยุโรปไม่รับรองมาตรฐานการคุ้มครองข้อมูลส่วนบุคคล
ด้วยเหตุนี้องค์กรหรือบริษัท เช่น สายการบินและโรงแรมนอกสหภาพยุโรปที่ทำธุรกิจกับลูกค้าจากสหภาพยุโรปและมีความจำเป็นที่จะต้องได้รับข้อมูลส่วนบุคคล จะประสบความลำบาก แม้ว่าทางบริษัทจะสามารถขออนุญาตจากทางสหภาพยุโรปได้เป็นรายบริษัทแต่ก็จะใช้เวลานานและมีค่าใช้จ่ายสูง
ในโลกที่กำลังหมุนไปด้วยข้อมูล และเพื่อไม่ให้มีการนำข้อมูลไปใช้อย่างไม่ถูกต้อง ประเทศไทยจำเป็นต้องมีกฎหมาย เพื่อรับมือกับปัญหานี้ ซึ่งร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลที่อยู่ในระหว่างการยกร่าง มีหลักการโดยสังเขปเพื่อกำหนดเงื่อนไขการนำข้อมูลส่วนบุคคลไปใช้โดยชอบ รวมถึงกำหนดมาตรการทางกฎหมายเพื่อบังคับใช้ต่อผู้ละเมิด เช่น หลักการของการให้ความยินยอมจาก ผู้ที่เกี่ยวข้องก่อนจะนำข้อมูลไปใช้ หลักการแจ้งวัตถุประสงค์ในการใช้ข้อมูลเหล่านั้น สิทธิที่ผู้เกี่ยวข้องกับข้อมูลพึงมีต่อข้อมูล รวมถึงหน้าที่ของผู้เก็บข้อมูลที่จะต้องแจ้งต่อทางการและบุคคลที่เกี่ยวข้อง หากเกิดเหตุการณ์ในลักษณะดังกล่าวขึ้น เป็นต้น
ในประเทศไทยได้มีความพยายามจะออกกฎหมายเพื่อคุ้มครองสิทธิในข้อมูลส่วนบุคคลนี้มาตั้งแต่ปี พ.ศ. 2540 โดยผ่านรัฐบาลมาแล้วหลายชุด แต่ขณะนี้ก็ยังคงอยู่ในกระบวนการพิจารณาอยู่ จากบทเรียนข้อมูลของผู้ใช้ Facebook กว่า 50 ล้านคนรั่ว น่าจะเป็นอีกกรณีศึกษาที่ประเทศไทยควรนำมาพิจารณา และรัฐบาลมีความจำเป็นเร่งด่วนที่จะต้องมีกฎหมายคุ้มครองข้อมูลส่วนบุคคลพร้อมทั้งมาตรการกำกับดูแลให้มีการปฏิบัติตามอย่างเคร่งครัดเพราะข้อมูลส่วนบุคคลไม่สมควรจะถูกตักตวงไปใช้ประโยชน์โดยที่ไม่ได้รับอนุญาตและสิทธิในความเป็นส่วนตัวตามรัฐธรรมนูญก็ไม่ควรจะถูกละเมิด
นอกจากนี้การมีกฎหมายดังกล่าวที่ ทันสมัยจะทำให้ประเทศไทยเป็นที่ยอมรับจากต่างประเทศ เช่น สหภาพยุโรปอันจะนำมาสู่โอกาสการทำธุรกิจกับต่างประเทศอย่างสะดวกและมีประสิทธิภาพ เพราะฉะนั้นเราสมควรผลักดันกฎหมายคุ้มครองข้อมูลส่วนบุคคลให้ออกมาอย่างเร็วที่สุด
สุดท้ายนี้ เราทุกคนควรจะให้ความสำคัญต่อนโยบายความเป็นส่วนตัว (Privacy Policy) ที่องค์กรยื่นให้อ่านก่อนการใช้สินค้าหรือบริการ โดยเฉพาะบริการที่ไม่เสียค่าใช้จ่าย เพราะว่าหากเราใช้บริการใดโดยไม่ต้องจ่ายเงินแล้ว ในทางหนึ่งเราก็ไม่เป็นแค่ผู้บริโภค แต่ก็เป็นสินค้าให้คนอื่นซื้อขายไปด้วยในเวลาเดียวกัน
หมายเหตุ เผยแพร่ครั้งแรก ในวาระทีดีอาร์ไอ กรุงเทพธุรกิจ เมื่อ 29 มีนาคม 2561