ช่องว่าง ‘PDPA’ คุ้มครอง ข้อมูลบุคคลวัยเปราะบาง

tdriบทความ, ทีดีอาร์ไอชวนอ่าน, , , , , ,

เรื่องสิทธิความเป็นส่วนตัวของเด็กได้รับความสนใจในโลกออนไลน์อยู่เป็นระยะ แต่ละครั้งได้นำมาสู่การวิพากษ์วิจารณ์ ถึงขอบเขตของสิทธิความเป็นส่วนตัวของเด็กกับการโพสต์ภาพ วิดีโอเด็ก ที่เป็นทั้งนักเรียนหรือลูกบนโซเชียลมีเดีย

โดยเกิดการตั้งคำถามว่า การดำเนินกิจกรรมดังกล่าวในโซเชียลมีเดียเป็นความผิดตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ PDPA หรือไม่ และกฎหมายฉบับนี้ได้ให้การคุ้มครองข้อมูลส่วนบุคคลของเด็กมากน้อย เพียงใด เหตุเพราะเด็กคือกลุ่มคนวัยเปราะบาง ที่ควรมีหลักเกณฑ์ที่ชัดเจนในการให้ความคุ้มครองทางสังคมทั้งสิทธิและความเป็นส่วนตัวแก่เด็ก

เด็กที่เกิดและเติบโตในยุคนี้ คือ Gen Alpha และ Gen Z ที่เติบโตไปพร้อมกับสื่อสังคมออนไลน์ จากผลการสำรวจการใช้เทคโนโลยีสารสนเทศและการสื่อสารใน ครัวเรือน ปี 2563 พบว่า กลุ่มบุคคลอายุ 15-24 ปี มีจำนวนบุคคลที่ใช้อินเทอร์เน็ตสูงที่สุด ร้อยละ 98.4 และกลุ่มอายุ 6-14 ปี มีมากถึงร้อยละ 90.2 จึงมีโอกาสที่ข้อมูลส่วนบุคคลจะถูกไปใช้ประโยชน์โดยไม่ได้รับอนุญาต หรือถูกคุกคามได้โดยง่าย

สำหรับประเทศไทย นอกจากมีพ.ร.บ.คุ้มครองเด็ก พ.ศ.2546  ที่เป็นหลักกฎหมายไว้ปกป้องคุ้มครองเด็กแล้ว แต่สำหรับการเก็บ ใช้ เปิดเผยภาพถ่าย วิดีโอ ข้อมูลของเด็กนั้นมีกฎหมายที่เกี่ยวข้องโดยตรงมากที่สุด คือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ PDPA  ที่เพิ่งบังคับใช้ในปีนี้ แต่ยังคงเกิดการตั้งคำถามถึงแนวทางเฉพาะที่ชัดเจนและติดอยู่กับข้อกำหนดบางประการที่ไม่สอดคล้องกับสถานการณ์ปัจจุบัน

การคุ้มครองข้อมูลส่วนบุคคลของเด็กใน PDPA ยึดโยงกับประมวลกฎหมายแพ่งและพาณิชย์ในเรื่องอายุ และคำว่า “ผู้เยาว์”โดยผู้เยาว์ที่อายุไม่ถึง 20 ปีบริบูรณ์สามารถให้ความยินยอมต่อการเก็บ ใช้ และเปิดเผยข้อมูลส่วนบุคคลได้ด้วยตนเองได้ก็ต่อเมื่อเป็นกิจกรรมที่สามารถทำได้โดยลำพัง จำเป็นต่อการใช้ชีวิต และเป็นประโยชน์ต่อตัวเอง เช่น การรับทุนการศึกษา เป็นต้น พ่อแม่ที่ชอบด้วยกฎหมายจะเข้ามามีบทบาทในการให้ความยินยอมแทน ผู้เยาว์ได้ 2 กรณี ได้แก่ กรณีเป็นกิจกรรมที่ยังไม่จำเป็นต่อการดำรงชีวิต เช่น การทำธุรกรรมที่มีมูลค่าสูง และกรณีที่ผู้เยาว์อายุไม่เกิน 10 ปี

PDPA ยังคงกำหนดขอบเขตของผู้ใช้อำนาจปกครองให้มีเพียงบิดาและมารดาที่ชอบด้วยกฎหมายเท่านั้น จึงอาจส่งผลให้ การขอความยินยอมจากผู้ใช้อำนาจปกครองอาจไม่สอดคล้องกับสภาพความเป็นจริงในปัจจุบัน ในกรณีที่ผู้เยาว์อาศัยอยู่กับบุคคลอื่นที่ไม่ใช่พ่อหรือแม่ที่แท้จริง

สำหรับการแชร์ภาพถ่ายรูปเด็กลงโซเชียลมีเดีย หรือถ่ายภาพติดเด็กจะผิด PDPA หรือไม่ ตามที่หลายคนสงสัยนั้น ไม่ถือว่าผิด PDPA หากถ่ายเก็บไว้ภายในครอบครัวและประโยชน์ส่วนตัว ไม่ใช่เพื่อประโยชน์ทางการค้า รูปของเด็กเป็นข้อมูลส่วนบุคคลที่ได้รับการยกเว้น แต่กฎหมายไม่ได้กำหนดขอบเขต “การใช้เพื่อกิจกรรมในครอบครัวหรือประโยชน์ส่วนตัว” ไว้ชัดเจน

เห็นได้ว่า PDPA เป็นกฎหมายที่มุ่งเน้น ให้สิทธิแก่เด็กและเยาวชนอย่างมีขอบเขต และให้สังคมได้ตระหนักรู้ถึงความสำคัญของการรักษาข้อมูลส่วนบุคคล ไม่ว่าเจ้าของข้อมูลส่วนบุคคลจะเป็นเพศหรือวัยใดก็ตาม โดยไม่ได้เป็นกฎหมายที่เน้นการบังคับใช้โทษทางกฎหมาย

แต่ PDPA สำหรับการคุ้มครองข้อมูลส่วนบุคคลของเด็กยังมีช่องโหว่อย่างน้อย 3 เรื่อง คือ ขอบเขตของการใช้ข้อมูลเพื่อกิจกรรมในครอบครัวหรือประโยชน์ส่วนตัว ขอบเขตของผู้ปกครองที่ต้องเป็นบิดาและมารดาที่ชอบด้วยกฎหมายเท่านั้น นอกจากนี้ยังขาดแนวทางปฏิบัติในเรื่อง “การแจ้ง” ให้เจ้าของข้อมูลส่วนบุคคลที่เป็นเด็กทราบก่อนเก็บรวบรวมข้อมูลส่วนบุคคล ซึ่งเป็นโจทย์ที่แตกต่างจากบุคคลทั่วไป

ในต่างประเทศมีแนวปฏิบัติที่น่าสนใจที่ไทยอาจพิจารณาเป็นแนวทาง เช่น สหรัฐ ให้ความคุ้มครองข้อมูลส่วนบุคคลของเด็กสำหรับระบบออนไลน์ไว้โดยเฉพาะ ภายใต้ Child Online Privacy Protection Act of 1998 หรือ COPPA หนึ่งในข้อบังคับสำคัญคือ ผู้ประกอบการมีหน้าที่ต้องติดประกาศนโยบายในการขอข้อมูลส่วนบุคคล (Privacy Policies) บนเว็บไซต์อย่างชัดเจน โดยต้องให้สิทธิผู้ปกครองของผู้เยาว์ในการเข้าไปตรวจสอบ แก้ไขข้อมูลเด็กได้

สหภาพยุโรป กำหนดยกเว้นการบังคับใช้กฎหมายกับการใช้ข้อมูลเพื่อวัตถุประสงค์ส่วนตัว หรือใช้งานภายในครอบครัวเช่นเดียวกับไทย แต่มีความชัดเจนกว่าที่มี แนวปฏิบัติของ European Data Protection  Board กำหนดให้กิจกรรมภายในครอบครัวไม่รวมไปถึงการเผยแพร่ข้อมูลส่วนบุคคลลงในโซเชียลมีเดียที่บุคคลทั่วไปสามารถเข้าถึงได้

ไอร์แลนด์ มีคู่มือแนวปฏิบัติสำหรับการประมวลผลข้อมูลส่วนบุคคลของผู้เยาว์ เอาไว้โดยเฉพาะ และมีรายละเอียดครอบคลุมทั้งในประเด็นของสิทธิของผู้เยาว์ภายใต้ GDPR (General Data Protection Regulation) ซึ่งเป็นแนวทางการแจ้ง และการขอความยินยอมที่เหมาะสมกับวัย รวมไปถึงแนวปฏิบัติสำหรับมาตรการคุ้มครองข้อมูลส่วนบุคคลของผู้เยาว์ในระดับที่เข้มข้นกว่าผู้ใหญ่

ภายใต้คู่มือฉบับนี้แนะนำให้มีการแจ้งไปยังผู้เยาว์ถึงการเก็บข้อมูลส่วนบุคคล ด้วยวิธีการที่รัดกุม โปร่งใส ใช้ภาษาที่ชัดเจน เข้าใจง่าย ยิ่งไปกว่านั้นแนวปฏิบัติฉบับนี้ยังได้ขยายขอบเขตของบุคคลผู้สามารถให้ความยินยอมแทนผู้เยาว์ได้นอกเหนือจากบิดามารดา (Parents) โดยให้รวมถึงผู้ปกครอง (Guardians) อีกด้วย

ดังนั้น สำหรับประเทศไทย หากจะทำให้การคุ้มครองข้อมูลส่วนบุคคลของเด็ก ภายใต้ PDPA มีความชัดเจน รัดกุมและเป็น ประโยชน์ต่อเด็กมากที่สุด ตัวอย่างข้างต้นอาจสามารถนำมาเป็นแนวทางได้ โดยภาครัฐควรจัดทำแนวปฏิบัติหรือแนวทางเฉพาะสำหรับการเก็บ ใช้ ประมวลผล  เผยแพร่ข้อมูลของเด็กที่ชัดเจน ทั้งใน ประเด็นขอบเขตของคำว่า “การใช้เพื่อกิจกรรมในครอบครัวหรือประโยชน์ ส่วนตัว” และ “จำกัดบุคคลที่จะเข้าถึงข้อมูล ส่วนบุคคลของเด็กเฉพาะบุคคลในครอบครัวเท่านั้น”

เพื่อให้พ่อแม่เกิดความเข้าใจ และภาคเอกชนสามารถนำแนวทางดังกล่าวไปสร้างกลไกและระบบภายในได้ นอกจากนี้ควรพิจารณาลดอุปสรรคให้ผู้ปกครอง โดยกำหนดขอบเขตของผู้กระทำการแทนผู้เยาว์ ที่ควรคำนึงถึงเด็กที่ไม่ได้อาศัยอยู่กับบิดาหรือมารดา

ในส่วนวิธีการและรูปแบบการแจ้งเจ้าของข้อมูลส่วนบุคคลที่เป็นเด็กก่อน หรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคล ควรจัดทำประกาศด้วยภาษาที่ชัดเจน เข้าใจง่าย ด้วยรูปแบบที่เหมาะสมกับวัย เพื่อให้เด็กเกิดความเข้าใจได้ง่ายมากยิ่งขึ้น เช่น การใช้ สื่อวีดิทัศน์ การใช้แผนภาพ เป็นต้น

การออกแบบวิธีการให้เหมาะสมและมีแนวทางที่ชัดเจน จะสร้างความเข้าใจทั้งต่อสังคมและพ่อแม่ผู้ปกครอง ซึ่งเป็นผู้มีส่วนเกี่ยวข้องในการดูแลเด็กให้สามารถทำหน้าที่พิทักษ์สิทธิเด็กในวัยเปราะบาง และไม่ปล่อยให้ข้อมูลส่วนบุคคลของเด็กตกอยู่ในความเปราะบางไปด้วย

ภาครัฐควรจัดทำแนวปฏิบัติหรือแนวทางเฉพาะสำหรับการเก็บ ใช้ประมวลผล เผยแพร่ข้อมูลของเด็กที่ชัดเจน ในประเด็นขอบเขต ของคำว่า การใช้เพื่อกิจกรรมในครอบครัวหรือประโยชน์ตัว

บทความโดย ฉัตรฑริกา นภาธนาพงศ์ และ อัชราภรณ์ อริยสุนทร

เผยแพร่ครั้งแรกในกรุงเทพธุรกิจ เมื่อ 22 กันยายน 2565

ผลงานล่าสุดจากทีดีอาร์ไอ