'Grindr' ค่าความยินยอมแห่งความรัก

เปิดกรณีตัวอย่างผ่าน "Grindr" แอพพลิเคชั่นเครือข่ายสังคมออนไลน์เพื่อการหาคู่ชื่อดัง ที่มีผู้ใช้งานอยู่ราว 13.7 ล้านคน ที่ถูกหน่วยงานบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป สอบสวนว่าเปิดเผยหรือแชร์ข้อมูลส่วนบุคคลของผู้ใช้บริการ

เมื่อวันที่ 26 ม.ค.2564 Datatilsynet ซึ่งเป็นหน่วยงานบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป หรือ GDPR ในประเทศนอร์เวย์ ได้แถลงความเห็นเบื้องต้นเกี่ยวกับการกระทำผิดของ Grindr LLC ซึ่งเป็นบริษัทที่เป็นเจ้าของแอพ Grindr ตามคำสั่งลงวันที่ 24 ม.ค.2564 (Advance notification of an administrative fine) ต่อการกระทำผิดตาม GDPR

Grindr แอพฯ เครือข่ายสังคมออนไลน์เพื่อการหาคู่โดยการระบุพิกัดสถานที่ ที่ได้รับความนิยมสูงสุดในกลุ่ม LGBT โดยข้อมูล ณ สิ้นปี 2563 มีผู้ใช้งานที่เคลื่อนไหวอยู่ทั้งสิ้นราว 13.7 ล้านคน ซึ่งในจำนวนดังกล่าวมีผู้ใช้งานที่มีถิ่นที่อยู่ในนอร์เวย์ราวๆ ร้อยละ 0.13 ของจำนวนผู้ดาวน์โหลดแอพฯทั้งสิ้นราว 12 ล้านครั้ง

กระบวนการสอบสวนของ Datatilsynet เกิดขึ้นตามข้อร้องเรียนของสมาคมผู้บริโภคของนอร์เวย์ที่กล่าวหา Grindr ว่าเปิดเผยหรือแชร์ข้อมูลส่วนบุคคลของผู้ใช้บริการ “โดยไม่ถูกต้องตามกฎหมาย” ให้แก่บุคคลภายนอกที่เป็นบริษัทที่โฆษณาในแอพเวอร์ชั่นไม่เก็บค่าบริการของ Grindr ผ่านชุดเครื่องมือที่สามารถใช้ในการพัฒนาแอพพลิเคชั่นซอฟต์แวร์ที่กำหนดเป้าหมายไปยังแพลตฟอร์มที่เฉพาะเจาะจง หรือ “SDKs” (software development kits) โดยมี Twitter Inc. เป็นหุ้นส่วนด้านการโฆษณารายหนึ่งในจำนวนห้ารายที่ Grindr แชร์ข้อมูลให้ผ่าน SDKs

  • ปัญหาจากความยินยอมที่ไม่มีผลผูกพัน (invalid consent)

ข้อพิพาทหลักในคดีนี้ที่ Datatilsynet ต้องพิจารณาคือ Grindr ได้รับความยินยอมโดยชอบด้วยกฎหมาย (valid consent) ในการประมวลผลข้อมูลส่วนบุคคลของผู้ใช้บริการหรือไม่ ซึ่ง GDPR มีหลักการทางกฎหมายสำคัญที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล ดังนี้

1) สิทธิในความเป็นส่วนตัวของข้อมูลส่วนบุคคล เป็นสิทธิขั้นพื้นฐานของพลเมืองสหภาพยุโรป

2) การประมวลผลข้อมูลส่วนบุคคลของบุคคลอื่นจะกระทำได้ ต้องมีฐานทางกฎหมายเสมอ ซึ่งในกรณีของ Grindr อ้างฐาน “ความยินยอม” จากเจ้าของข้อมูลส่วนบุคคล

3) หากความยินยอมนั้นไม่ชอบด้วยกฎหมาย ก็ถือว่าบริษัทประมวลผลข้อมูลส่วนบุคคลโดยไม่มีฐานทางกฎหมายรองรับ จึงต้องมีความรับผิดทางกฎหมายต่อไป

GDPR ได้กำหนดลักษณะและแบบของความยินยอมที่ชอบด้วยกฎหมายว่าความยินยอมนั้นต้องทำโดยอิสระ (freely given) ซึ่งหมายความว่าผู้ใช้บริการในฐานะเจ้าของข้อมูลส่วนบุคคลต้องมีอิสระในการเลือกอย่างแท้จริงและต้องสามารถควบคุมทางเลือกเหล่านั้นได้ 

ดังนั้น Grindr ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล จึงมีหน้าที่ต้องแจ้งรายละเอียดเกี่ยวกับการประมวลผลข้อมูลอย่างครบถ้วนว่าจะใช้อย่างไร เพื่ออะไร หรือมีการโอนหรือส่งต่อข้อมูลนั้นไปยังบุคคลใดบ้าง โดยมีการให้รายละเอียดที่เพียงพอต่อการตัดสินใจ และไม่ใช้ถ้อยคำหรือข้อความที่ก่อให้เกิดความสับสน เพื่อให้เจ้าของข้อมูลส่วนบุคคลสามารถตัดสินใจอย่างถูกต้องว่าจะให้ความยินยอมหรือไม่

นอกจากนี้ “ความอิสระ” ยังหมายความด้วยว่าการให้ความยินยอมนั้นต้องไม่เป็น “เงื่อนไข” ในการเข้าถึงบริการและไม่เป็นการบังคับโดยปริยายให้ผู้ใช้บริการต้องจำใจยอมรับเงื่อนไขและให้ความยินยอมนั้น โดยต้องพิจารณาอำนาจต่อรองของคู่กรณีทั้งสองฝ่ายในเรื่องความไม่สมดุลของอำนาจต่อรองอีกด้วย

ต่อข้อกล่าวหาข้างต้น Grindr ได้โต้แย้งว่าได้รับความยินยอมจากผู้ใช้บริการแล้วโดยใช้รูปแบบตามมาตรฐานที่นิยมแพร่หลายในขณะนั้น และได้แจ้งเงื่อนไขต่างๆ เกี่ยวกับการประมวลผลข้อมูลและการโอนข้อมูลไว้ในแอพฯผ่าน “นโยบายความเป็นส่วนตัว” (Privacy Policy) แล้ว ซึ่งผู้ใช้บริการมีสิทธิที่จะกด “ยกเลิก” (Cancle) หรือ “ยอมรับ” (Accept) ก็ได้

อย่างไรก็ตาม เมื่อ Datatilsynet พิจารณาแล้วมีความเห็นว่าการขอความยินยอมแบบ “take-it-or-leave-it” ที่ผู้ใช้บริการเพียงเลือกได้ว่าจะรับหรือไม่รับเงื่อนไขการใช้บริการ ไม่ใช่ความยินยอมที่ชอบด้วยกฎหมาย เนื่องจากผู้ใช้บริการไม่ได้มีความอิสระอย่างแท้จริงในการให้ความยินยอมแต่อย่างใด

เมื่อพิจารณาประกอบกับการที่ข้อมูลต่างๆ ที่ Grindr ประมวลผลซึ่งเป็นข้อมูลที่อ่อนไหวและได้รับความคุ้มครองมากเป็นพิเศษ อาทิ “ข้อมูลเกี่ยวกับพฤติกรรมทางเพศ” ความยินยอมนั้นยิ่งต้องมีความชัดเจนมากขึ้นไปอีกขั้น ทั้งนี้ เพื่อให้สอดคล้องกับหลักความโปร่งใสและความปลอดภัยของข้อมูล

จากพฤติกรรมและความร้ายแรงของการฝ่าฝืนกฎหมายประกอบกับหลักฐานที่ชัดเจนและน่าเชื่อ ว่า Grindr กระทำการละเมิด GDPR จริง Datatilsynet จึงพิจารณาให้ชำระค่าปรับทางปกครอง 100,000,000 NOK (นอร์เวย์โค) หรือประมาณ 11.7 ล้านดอลลาร์

  • หากกรณีดังกล่าวเกิดขึ้นในประเทศไทย

ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 มาตรา 26 ได้กำหนดห้ามมิให้เก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับ “พฤติกรรมทางเพศ” หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกัน โดยที่ไม่ได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคลเช่นเดียวกัน ดังนั้น ตามกฎหมายไทย ข้อมูลเกี่ยวกับพฤติกรรมทางเพศจึงเป็นข้อมูลที่ถูกจัดไว้ในกลุ่มพิเศษที่กฎหมายมุ่งให้ความคุ้มครองมากกว่าข้อมูลทั่วๆ ไป การใช้หรือการโอนข้อมูลดังกล่าวจึงต้องพึงระมัดระวังอย่างยิ่ง

ในส่วนของความยินยอมนั้น พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ มาตรา 19 กำหนดว่า การขอความยินยอมต้องทำโดยชัดแจ้ง ต้องแจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไปด้วย และการขอความยินยอมนั้น ต้องแยกส่วนออกจากข้อความอื่นอย่างชัดเจน อีกทั้งผู้ควบคุมข้อมูลส่วนบุคคลต้องคำนึงอย่างถึงที่สุดในความเป็นอิสระของเจ้าของข้อมูลส่วนบุคคลในการให้ความยินยอม

ดังนั้น จึงเห็นได้ว่า พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ในเรื่องการประมวลผลข้อมูลเกี่ยวกับพฤติกรรมทางเพศและเงื่อนไขของความยินยอมที่ชอบด้วยกฎหมายนั้น ไม่มีความแตกต่างจาก GDPR ในส่วนสาระสำคัญ และโทษปรับทางปกครองตามกฎหมายของไทยก็อาจสูงถึง 5 ล้านบาทเลยทีเดียว