Grindr ‘ค่า’ ความยินยอมแห่งความรัก
ผู้เขียนนำเสนอกรณี Grindr แอพหาคู่ชื่อดังกระทำการละเมิดข้อมูลส่วนบุคคลเกี่ยวกับพฤติกรรมทางเพศ โดยอ้างความยินยอมแบบ take-it-or-leave-it
HIGHLIGHTS
§ ข้อมูลเกี่ยวกับพฤติกรรมทางเพศของผู้ใช้บริการแอพถูกโอนไปยังบุคคลที่สาม
§ ความยินยอมแบบ take-it-or-leave-it ไม่ใช่ความยินยอมที่ชอบด้วยกฎหมาย
§ การที่บริษัทกำหนด “นโยบายความเป็นส่วนตัว” เรื่องการโอนข้อมูลไปยังบุคคลที่สาม ไม่ถือว่าเป็นการได้รับความยินยอมตามกฎหมาย
..............................................................
เมื่อวันที่ 26 มกราคม 2564 Datatilsynet ซึ่งเป็นหน่วยงานบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรปหรือ GDPR ในประเทศนอร์เวย์ ได้แถลงความเห็นเบื้องต้นเกี่ยวกับการกระทำผิดของ Grindr LLC ซึ่งเป็นบริษัทที่เป็นเจ้าของแอพ Grindr ตามคำสั่งลงวันที่ 24 มกราคม 2564 (Advance notification of an administrative fine) ต่อการกระทำผิดตาม GDPR
Grindr เป็นแอพเครือข่ายสังคมออนไลน์เพื่อการหาคู่โดยการระบุพิกัดสถานที่ (geosocial apps, GPS dating apps) สำหรับกลุ่มบุคคลที่มีความรักทางเลือกในรูปแบบต่าง ๆ และได้รับความนิยมสูงสุดในกลุ่ม LGBT โดยข้อมูล ณ สิ้นปี 2563 Grindr มีผู้ใช้งานที่เคลื่อนไหวอยู่ทั้งสิ้นราว 13.7 ล้านคน ซึ่งในจำนวนดังกล่าวมีผู้ใช้งานที่มีถิ่นที่อยู่ในนอร์เวย์จำนวนราว ๆ ร้อยละ 0.13 ของจำนวนผู้ดาวน์โหลดแอปทั้งสิ้นราว 12 ล้านครั้ง
กระบวนการสอบสวนของ Datatilsynet เกิดขึ้นตามข้อร้องเรียนของสมาคมผู้บริโภคของนอร์เวย์ที่กล่าวหา Grindr ว่าเปิดเผยหรือแชร์ข้อมูลส่วนบุคคลของผู้ใช้บริการ “โดยไม่ถูกต้องตามกฎหมาย” ให้แก่บุคคลภายนอกที่เป็นบริษัทที่โฆษณาในแอพเวอร์ชั่นไม่เก็บค่าบริการของ Grindr ผ่านชุดเครื่องมือที่สามารถใช้ในการพัฒนาแอพพลิเคชันซอฟต์แวร์ที่กำหนดเป้าหมายไปยังแพลตฟอร์มที่เฉพาะเจาะจงหรือ “SDKs” (software development kits) โดยมี Twitter Inc. เป็นหุ้นส่วนด้านการโฆษณารายหนึ่งในจำนวนห้ารายที่ Grindr แชร์ข้อมูลให้ผ่าน SDKs
ปัญหาจากความยินยอมที่ไม่มีผลผูกพัน (invalid consent)
ข้อพิพาทหลักในคดีนี้ที่ Datatilsynet ต้องพิจารณาคือ Grindr ได้รับความยินยอมโดยชอบด้วยกฎหมาย (valid consent) ในการประมวลผลข้อมูลส่วนบุคคลของของผู้ใช้บริการหรือไม่ เนื่องจากความยินยอมเป็นฐานทางกฎหมายในการประมวลผลข้อมูลส่วนบุคคลสำหรับผู้ใช้บริการในกรณีนี้ ซึ่งตาม GDPR มีหลักการทางกฎหมายสำคัญที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล ดังนี้
- สิทธิในความเป็นส่วนตัวของข้อมูลส่วนบุคคลเป็นสิทธิขั้นพื้นฐานของพลเมืองสหภาพยุโรป
- การประมวลผลข้อมูลส่วนบุคคลของบุคคลอื่นจะกระทำได้ ต้องมีฐานทางกฎหมายเสมอ ซึ่งในกรณีของ Grindr อ้างฐาน “ความยินยอม” จากเจ้าของข้อมูลส่วนบุคคล
- หากความยินยอมนั้นไม่ชอบด้วยกฎหมาย ก็ถือว่าบริษัทประมวลผลข้อมูลส่วนบุคคลโดยไม่มีฐานทางกฎหมายรองรับ จึงต้องมีความรับผิดทางกฎหมายต่อไป
GDPR ได้กำหนดลักษณะและแบบของความยินยอมที่ชอบด้วยกฎหมายว่า ความยินยอมนั้นต้องทำโดยอิสระ (freely given) ซึ่งหมายความว่า ผู้ใช้บริการในฐานะเจ้าของข้อมูลส่วนบุคคลต้องมีอิสระในการเลือกอย่างแท้จริงและต้องสามารถควบคุมทางเลือกเหล่านั้นได้ ดังนั้น Grindr ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล จึงมีหน้าที่ต้องแจ้งรายละเอียดเกี่ยวกับการประมวลผลข้อมูลอย่างครบถ้วนว่าจะใช้อย่างไร เพื่ออะไร หรือมีการโอนหรือส่งต่อข้อมูลนั้นไปยังบุคคลใดบ้าง โดยมีการให้รายละเอียดที่เพียงพอต่อการตัดสินใจ และไม่ใช้ถ้อยคำหรือข้อความที่ก่อให้เกิดความสับสน เพื่อให้เจ้าของข้อมูลส่วนบุคคลสามารถตัดสินใจอย่างถูกต้องว่าจะให้ความยินยอมหรือไม่
นอกจากนี้ “ความอิสระ” ยังหมายความด้วยว่า การให้ความยินยอมนั้นต้องไม่เป็น “เงื่อนไข” ในการเข้าถึงบริการและไม่เป็นการบังคับโดยปริยายให้ผู้ใช้บริการต้องจำใจยอมรับเงื่อนไขและให้ความยินยอมนั้น โดยต้องพิจารณาอำนาจต่อรองของคู่กรณีทั้งสองฝ่ายในเรื่องความไม่สมดุลของอำนาจต่อรองอีกด้วย
ต่อข้อกล่าวหาข้างต้น Grindr ได้โต้แย้งว่าบริษัทได้รับความยินยอมจากผู้ใช้บริการแล้วโดยใช้รูปแบบตามมาตรฐานที่นิยมแพร่หลายในขณะนั้น และได้แจ้งเงื่อนไขต่าง ๆ เกี่ยวกับการประมวลผลข้อมูลและการโอนข้อมูลไว้ในแอพผ่าน “นโยบายความเป็นส่วนตัว” (Privacy Policy) แล้ว ซึ่งผู้ใช้บริการมีสิทธิที่จะกด “ยกเลิก” (CANCLE) หรือ “ยอมรับ” (ACCEPT) ก็ได้
อย่างไรก็ตาม เมื่อ Datatilsynet พิจารณาแล้วมีความเห็นว่า การขอความยินยอมแบบ “take-it-or-leave-it” ที่ผู้ใช้บริการเพียงเลือกได้ว่าจะรับหรือไม่รับเงื่อนไขการใช้บริการ ไม่ใช่ความยินยอมที่ชอบด้วยกฎหมาย เนื่องจากผู้ใช้บริการไม่ได้มีความอิสระอย่างแท้จริงในการให้ความยินยอมแต่อย่างใด และเมื่อพิจารณาประกอบกับการที่ข้อมูลต่าง ๆ ที่ Grindr ประมวลผลซึ่งเป็นข้อมูลที่อ่อนไหวและได้รับความคุ้มครองมากเป็นพิเศษ อาทิ “ข้อมูลเกี่ยวกับพฤติกรรมทางเพศ” ความยินยอมนั้นยิ่งต้องมีความชัดเจนมากขึ้นไปอีกขั้น ทั้งนี้ เพื่อให้สอดคล้องกับหลักความโปร่งใสและความปลอดภัยของข้อมูล
จากพฤติกรรมและความร้ายแรงของการฝ่าฝืนกฎหมายประกอบกับหลักฐานที่ชัดเจนและน่าเชื่อว่า Grindr กระทำการละเมิด GDPR จริง Datatilsynet จึงพิจารณาให้ Grindr ชำระค่าปรับทางปกครองเป็นจำนวนเงินทั้งสิ้น 100,000,000 NOK (นอร์เวย์โค) หรือประมาณ 11.7 ล้านเหรียญสหรัฐ
หากกรณีดังกล่าวเกิดขึ้นในประเทศไทย
ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 26 ได้กำหนดห้ามมิให้เก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับ “พฤติกรรมทางเพศ” หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกัน โดยที่ไม่ได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคลเช่นเดียวกัน ดังนั้น ตามกฎหมายไทย ข้อมูลเกี่ยวกับพฤติกรรมทางเพศ จึงเป็นข้อมูลที่ถูกจัดไว้ในกลุ่มพิเศษที่กฎหมายมุ่งให้ความคุ้มครองมากกว่าข้อมูลทั่ว ๆ ไป การใช้หรือการโอนข้อมูลดังกล่าวจึงต้องพึงระมัดระวังอย่างยิ่ง
ในส่วนของความยินยอมนั้น พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ มาตรา 19 กำหนดว่า การขอความยินยอมต้องทำโดยชัดแจ้ง ต้องแจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไปด้วย และการขอความยินยอมนั้น ต้องแยกส่วนออกจากข้อความอื่นอย่างชัดเจน อีกทั้ง ผู้ควบคุมข้อมูลส่วนบุคคลต้องคำนึงอย่างถึงที่สุดในความเป็นอิสระของเจ้าของข้อมูลส่วนบุคคลในการให้ความยินยอม
ดังนั้น จึงเห็นได้ว่าพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ในเรื่องการประมวลผลข้อมูลเกี่ยวกับพฤติกรรมทางเพศและเงื่อนไขของความยินยอมที่ชอบด้วยกฎหมายนั้นไม่มีความแตกต่างจาก GDPR ในส่วนสาระสำคัญ และโทษปรับทางปกครองตามกฎหมายของไทยก็อาจสูงถึงห้าล้านบาทเลยทีเดียว.
อ้างอิง
- Datatilsynet Ref: 20/02136-5, Advance notification of an administrative fine , dated 24 January 2021, available at https://www.datatilsynet.no/contentassets/da7652d0c072493c84a4c7af506cf293/advance-notification-of-an-administrative-fine.pdf
- Forbrukerradet, COMPLAINT UNDER ARTICLE 77(1) GDPR, available at
- Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the https://www.forbrukerradet.no/side/complaints-against-grindr-and-five-third-party-companies/ protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation, GDPR)
-
*บทความโดย ศุภวัชร์ มาลานนท์ คณะนิติศาสตร์ มหาวิทยาลัยสงขลานครินทร์
Max Planck Institute Luxembourg
ชิโนภาส อุดมผล Optimum Solution Defined (OSD)