คุ้มครองข้อมูลส่วนบุคคลในโลกแพลตฟอร์ม รัฐไทยพร้อมหรือยัง ? (ตอนที่2 )
การเติบโตของธุรกิจแพลตฟอร์ม นำมาสู่ความกังวลในความปลอดภัยและผลกระทบต่อความเป็นส่วนตัวของบุคคล ความกังวลนี้เกิดจากการที่ผู้ประกอบใช้เครื่องมือเก็บรวบรวมข้อมูลส่วนบุคคลของผู้บริโภค ใช้วิเคราะห์พฤติกรรม เพื่อนำไปออกแบบบริการให้ตอบความต้องการของผู้บริโภค
แม้ว่าจะมีการบังคับใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ PDPA แต่ก็มีคววามท้าทายว่าจะสามารถรักษาสมดุลระหว่างการคุ้มครองสิทธิเจ้าของข้อมูลส่วนบุคคลกับการการนำข้อมูลไปใช้ประโยชน์ทางเศรษฐกิจได้มากน้อยเพียงใด
หลังจากที่วาระทีดีอาร์ไอ : คุ้มครองข้อมูลส่วนบุคคลในโลกแพลตฟอร์ม รัฐไทยพร้อมหรือยัง ? (ตอนที่1 )ได้ระบุถึงโจทย์ความท้าทายไปแล้ว บทความนี้จะสำรวจการดำเนินการของนานาชาติว่ามีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลอย่างไร
กรณีของสหภาพยุโรป (EU) และสหราชอาณาจักร มีความพยายามอย่างมากในการรักษาสมดุลระหว่างการคุ้มครองสิทธิเจ้าของข้อมูลส่วนบุคคลกับการนำข้อมูลไปใช้ประโยชน์ทางเศรษฐกิจ
โดย EU ออกแนวปฏิบัติเกี่ยวกับการสื่อสารระหว่างผู้ให้บริการและแพลตฟอร์ม รวมถึงมีตัวอย่างของสิ่งที่ผู้ให้บริการควรทำและไม่ควรทำ ซึ่งทำให้เกิดความเข้าใจได้มากกว่าการออกเพียงแค่กฎเกณฑ์
ขณะที่สหราชอาณาจักร มีหน่วยงานที่มีหน้าที่ดูแลด้านการคุ้มครองข้อมูลส่วนบุคคล หรือ Information Commissioner's Office (ICO) โดยมีความพยายามผลักดันให้เอกชนเข้ามามีส่วนร่วมในการจัดทำ “จรรยาบรรณทางธุรกิจ” (code of conduct) เพื่อใช้ภายในอุตสาหกรรม
เนื่องจากภาครัฐอาจจะไม่สามารถเข้าใจทางปฏิบัติของภาคธุรกิจได้ทั้งหมด การเปิดให้ภาคธุรกิจเข้ามามีส่วนร่วมกำหนดมาตรฐาน โดยภาครัฐตรวจสอบคุณภาพของมาตรฐานเหล่านี้เป็นทางออกที่ดีในการจัดการกับความท้าทายใหม่ๆที่ภาครัฐอาจจะวิ่งตามไม่ทัน
อีกทั้งภาครัฐยังไม่ปิดประตูของการพัฒนานวัตกรรม โดย ICO ได้เปิดโอกาสให้ภาคธุรกิจสามารถมาปรึกษาหารือและร่วมกันพัฒนา Sandbox ทดลองการพัฒนานวัตกรรม ให้คำแนะนำด้านกฎหมายของ ICO
ส่วนกรณีของการถ่ายโอนข้อมูลส่วนบุคคลนั้น ตามแนวทางสากล กำหนดว่า การถ่ายโอนข้อมูลส่วนบุคคลจะต้องถ่ายโอนข้อมูลไปยังประเทศที่มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลทัดเทียมกัน
ในสหภาพยุโรปได้มีการประกาศรายชื่อประเทศ (whitelist) ที่ถูกรับรองว่ามีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลเทียบเท่า (adequacy) ซึ่งทำให้เกิดความมั่นใจกับภาคธุรกิจในการถ่ายโอนข้อมูลส่วนบุคคลไปประมวลผลทางธุรกิจในประเทศเหล่านั้น
“ 3 เร่ง 1 เลิก” คุ้มครองข้อมูลส่วนบุคคล
สำหรับข้อเสนอในประเทศไทยนั้น “3 สิ่งที่ควรทำ และ 1 สิ่งที่ควรเลิก” ซึ่งอาจเป็นแนวทางให้รัฐบาลและสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลของไทยควรเร่งดำเนินการ คือ
“เร่งออก” แนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล รวมถึงการจัดทำตัวอย่างในการสื่อสารกับผู้บริโภคโดยคอยสื่อสารอย่างสม่ำเสมอว่าการสื่อสารในลักษณะใดควรจะต้องทำหรือไม่ควรจะต้องทำ และจับตาดูเป็นพิเศษเกี่ยวกับการใช้ข้อมูลส่วนบุคคลของแพลตฟอร์มขนาดใหญ่
“เร่งทำ” ความร่วมมือกับสมาคมธุรกิจในการจัดทำจรรยาบรรณทางธุรกิจ รวมถึงสร้างความร่วมมือในการปรึกษาหารือในประเด็นข้อกฎหมายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลกับภาคธุรกิจ
“เร่งประกาศ” แนวทางการถ่ายโอนข้อมูลส่วนบุคคลไปต่างประเทศและประกาศตัวอย่างของประเทศที่มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลเทียบเท่ากับประเทศไทย โดยการเร่งดำเนินการทั้งสามเรื่องเป็นงานหลักและงานใหญ่ของสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
และสุดท้าย “เลิกพยายาม” ในการยกเว้นการคุ้มครองข้อมูลส่วนบุคคลในหน่วยงานของรัฐ รัฐบาลควรจะจริงจังในการเลิกพยายามทำเรื่องดังกล่าว เพื่อไม่ให้ประเทศไทยกลายเป็นประเทศที่ไม่ได้มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลเทียบเท่ากับต่างประเทศ ซึ่งทำให้เสียโอกาสในการเข้าเป็นส่วนหนึ่งของเศรษฐกิจแพลตฟอร์มโลก.