คุ๊กกี้ (Cookies)
ตามที่ทราบกันดีว่า ประเทศไทศได้มีการจัดทำ ร่างพระราชบัญญัติ(พ.ร.บ.)คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ....
ซึ่งได้ผ่านการพิจารณาจากสภานิติบัญญัติแห่งชาติ(สนช.)แล้ว และอยู่ในระหว่างรอการประกาศใช้ จากเหตุผลที่ว่า ความก้าวหน้าของเทคโนโลยีสารสนเทศ รวมทั้งระบบสื่อสารทำให้การเก็บรวบรวมการใช้ และการเปิดเผยข้อมูลส่วนบุคคลสามารถทำได้โดยง่าย สะดวก และรวดเร็ว อันอาจนำมาซึ่งความเดือดร้อนรำคาญ หรือความเสียหายในกรณีที่มีการนำไปแสวงหาประโยชน์หรือเปิดเผยโดยไม่ได้รับความยินยอมหรือแจ้งล่วงหน้า ที่แม้ว่าจะได้มีกฎหมายคุ้มครองข้อมูลส่วนบุคคลในบางเรื่อง แต่ก็ยังไม่มีหลักเกณฑ์ กลไก หรือมาตรการกำกับดูแลเกี่ยวกับการให้ความคุ้มครองข้อมูลส่วนบุคคลที่เป็นหลักการทั่วไป จึงจำเป็นต้องตรา พ.ร.บ.นี้
สาระสำคัญของร่าง พ.ร.บ. ฉบับนี้ คือ มาตรา 6 ได้มีการกำหนดนิยามของคำว่า “ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลเกี่ยวกับบุคคล ซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ และได้กำหนดนิยามที่สำคัญอื่นๆ ไว้ด้วย
มาตรา 8 กำหนดให้มีการจัดตั้ง “คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล” ขึ้น โดยให้มีอำนาจตามมาตรา 16 อาทิเช่น 1) กำหนดมาตรการหรือแนวทางการดำเนินการเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล 2) ออกประกาศหรือระเบียบเพื่อให้การดำเนินการเป็นไปตาม พ.ร.บ.นี้ 3) ให้คำแนะนำและคำปรึกษาเกี่ยวกับการดำเนินการใดๆ เพื่อให้ความคุ้มครองข้อมูลส่วนบุคคลของหน่วยงานทั้งภาครัฐและเอกชนในการปฏิบัติตามพ.ร.บ. เป็นต้น
ส่วนมาตราอื่นๆ ได้มีการกำหนดเรื่อง การเก็บรวบรวมข้อมูลส่วนบุคคล การใช้หรือเปิดเผยข้อมูลส่วนบุคคล สิทธิของเจ้าของข้อมูล ข้อปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล การร้องเรียน และบทกำหนดโทษ
เมื่อพิจารณาจากนิยามของคำว่า “ข้อมูลส่วนบุคคล” ตามร่าง พ.ร.บ. แล้วนั้น จะเห็นได้ว่ากำหนดไว้อย่างกว้าง ดังนั้นในการทำความเข้าใจอาจจะต้องพิจารณาเปรียบเทียบกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล (The General Data Protection Regulation : GDPR) ของสหภาพยุโรป (The European Union : EU) ที่บังคับใช้ไปเมื่อวันที่ 25 พ.ค.2561 ซึ่งได้กำหนดนิยามของคำว่า “ข้อมูลส่วนบุคคล” ไว้ในมาตรา 4 (1) ว่าหมายถึง ข้อมูลใดๆ ก็ตามที่เกี่ยวข้องกับบุคคลธรรมดาที่ระบุตัว หรืออาจถูกระบุตัวบุคคลผู้นั้นได้ ซึ่งการที่ข้อมูลนั้น “อาจระบุตัวบุคคลได้” จะเป็นโดยทางตรงหรือทางอ้อมก็ได้ โดยอาศัยสิ่งบ่งชี้ (identifier) ต่างๆ ซึ่งอาจเป็น ชื่อ หมายเลขประจําตัวประชาชน ที่อยู่ เอกลักษณ์ออนไลน์ (online identifier) หรือเอกลักษณ์ทางร่างกายอย่างใดอย่างหนึ่ง ลักษณะทางกายภาพ พันธุกรรม จิตใจ เศรษฐกิจ วัฒนธรรม หรือสังคมของบุคคลนั้น เป็นต้น
โดยตัวอย่างที่ถือได้ว่าเป็นข้อมูลส่วนบุคคลตาม GDPR คือ ชื่อ-นามสกุล, ที่อยู่บ้าน, อีเมล, หมายเลขบัตรประจำตัว, ข้อมูลที่ตั้ง (Location Data), IP Address, Cookie ID, หมายเลข ID เพื่อใช้ในการโฆษณาในโทรศัพท์เคลื่อนที่, เวชระเบียนและข้อมูลสุขภาพอื่นๆ ซึ่งสามารถใช้ระบุอัตลักษณ์ของผู้ป่วยได้, พฤติกรรมการบริโภคสินค้า-บริการ
GDPR มีข้อกำหนดที่สำคัญ ดังนี้ 1) การเก็บหรือประมวลผลข้อมูลส่วนบุคคลต้องได้รับการยินยอมจากจากผู้ใช้ก่อนเสมอ (Consent) 2) การรายงานเมื่อข้อมูลรั่วไหล (Data breaches) 3) สิทธิในการเข้าตรวจสอบข้อมูล (Right of access) 4) สิทธิในการขอให้ลบข้อมูล (Right to be forgotten) 5) สิทธิในการขอให้โอนข้อมูล (Data Portability) 6) การเก็บบันทึกผลข้อมูล (Record of processing activities) 7) ต้องมีการจัดตั้งพนักงานดูแลข้อมูลส่วนบุคคล (Data Protection Officer) จะเห็นได้ว่า GDPR มีการกำหนดแนวทางปฏิบัติเกี่ยวกับการใช้ข้อมูลส่วนบุคคลไว้รัดกุมมาก รวมถึงบทลงโทษก็สูงมากด้วย
สิ่งที่สำคัญของร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. .... นั้น จะต้องพิจารณาว่าอะไรคือข้อมูลส่วนบุคคล ตามแนวทางการตีความของ GDPR ก็ได้มีการกำหนดไว้พอสมควร แต่มีสิ่งหนึ่งที่มีความน่าสนใจคือ คุ๊กกี้ (Cookies) ซึ่งในภาษาคอมพิวเตอร์หมายถึง ข้อมูลขนาดเล็กที่จะถูกส่งไปเก็บไว้ใน Browser เพื่อทำการเก็บข้อมูลการเข้าเยี่ยมชม เมื่อท่านเปิดเข้าไปเยี่ยมชมเว็บไซต์อีกครั้งในคราวหลัง เครื่องก็จะจำได้ทันทีว่าท่านเคยเข้ามาเยี่ยมชมแล้ว และได้ถูกพัฒนาเพื่อช่วยเว็บไซต์ให้จัดเก็บข้อมูลบางอย่างไว้ที่ Browser ได้แก่ ข้อมูลที่เกี่ยวกับแบบฟอร์มที่คุณเคยกรอก บันทึกข้อมูลการเข้าใช้เว็บไซต์ การตั้งค่าต่างๆ บนเว็บ จดจำภาษาสำหรับการเข้าชมเว็บไซต์ เข้าใจรูปแบบในการใช้งานเว็บไซต์ โดยข้อมูลจะถูกเก็บไว้ในหน่วยความจำของ Browser
ปัจจุบันนี้เว็บไซต์ต่าง ๆ ได้มีความระมัดระวังเป็นอย่างมากในเรื่องของการขออนุญาตเข้าถึงข้อมูลส่วนบุคคล รวมไปถึง ต้องมีการขออนุญาตทุกครั้งให้สามารถติดตั้ง Cookies ได้ แต่เมื่อลองเข้าไปอ่านข้อมูลของเว็บไซต์ในเรื่องนโยบายความเป็นส่วนตัวที่เกี่ยวกับ Cookies จะเห็นได้ว่าได้อธิบายถึงแต่ประโยชน์ของการยินยอมให้ใช้ Cookies ในด้านต่างๆ และในหลายเว็บไซต์ได้เขียนอธิบายด้วยว่า “หากคุณต้องการใช้เว็บไซต์ของเราต่อไป ให้คุณตกลงให้ติดตั้งคุกกี้ในอุปกรณ์ของคุณได้ หากคุณเลือกที่จะไม่รับคุกกี้ เราไม่สามารถรับประกันได้ว่าการเข้าถึงเว็บไซต์ของคุณจะสมบูรณ์แบบเท่าที่ควร”
โดยเนื้อหาที่ส่วนใหญ่จะบ่งบอกว่า Cookies มีไว้เพื่อช่วยบอกว่าผู้ใช้แวะเยี่ยมชมเว็บไซต์หน้าใดบ้าง เริ่มต้นจากหน้าไหนจบลงด้วยหน้าไหนและบ่อยแค่ไหน เราไม่ได้ใช้ Cookies เพื่อตรวจสอบว่าผู้ใช้คือใคร เพียงแต่บอกว่าเครื่องคอมพิวเตอร์นี้ เคยเข้ามาเยี่ยมชมเว็บไซต์แล้วเท่านั้น
ซึ่งเมื่อพิจารณาตามนิยามของคำว่า “ข้อมูลส่วนบุคคล” อาจพิเคราะห์ได้ว่า ถึงแม้ Cookies จะเป็นเพียงการเก็บข้อมูลและบันทึกในการเข้าใช้เว็บไซต์ การช่วยจดจำรหัสบัญชีการเข้าใช้ แต่ถ้ามีการบันทึกหรือจดจำในระยะยาวจนเป็นข้อมูลทางสถิติให้สามารถวิเคราะห์ถึงข้อมูลของผู้ใช้ได้ เช่น เพศ ช่วงอายุ ศาสนา ความสนใจ ความชอบ ทัศนะคติ ฯลฯ จะถือได้ว่าเป็นการทำให้สามารถระบุตัวบุคคลทางอ้อมตามร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. .... มาตรา 6 ได้หรือไม่อย่างไร หรือควรจะนำบรรทัดฐานของ GDPR มาปรับใช้เป็นแนวทางในการตัดสินคดีของศาลต่อไปในอนาคต.
โดย...
พรพล เทศทอง
คณะนิติศาสตร์ มหาวิทยาลัยสงขลานครินทร์