หากมี 'กฎหมาย PDPA' แล้วสามารถวิเคราะห์ 'Big Data' ได้หรือไม่ ?

หากมี 'กฎหมาย PDPA' แล้วสามารถวิเคราะห์ 'Big Data' ได้หรือไม่ ?

ถึงแม้ว่า 'กฎหมาย PDPA' จะถูกเลื่อนบังคับใช้ในปี 2565 แต่มีหลายท่านสงสัยว่ากฎหมายดังกล่าวจะมีผลต่อการวิเคราะห์ข้อมูล 'Big Data' หรือไม่?

ดร.ชัยพร เขมะภาตะพันธ์ คณบดีวิทยาลัยนวัตกรรมด้านเทคโนโลยีและวิศวกรรมศาสตร์ (CITE) มหาวิทยาลัยธุรกิจบัณฑิตย์ หรือ DPU ในฐานะผู้เชี่ยวชาญด้านวิศวกรรมคอมพิวเตอร์และมีประสบการณ์ที่ปรึกษาด้านกฎหมาย PDPA เปิดเผยว่า องค์กรต่าง ๆ ที่มีข้อมูลอยู่ในมือเป็นจำนวนมากมักมีความต้องการที่จะทำการวิเคราะห์ข้อมูลที่องค์กรเก็บไว้อยู่เอง เพื่อเพิ่มประสิทธิภาพการทำงานต่าง ๆ เช่น การเพิ่มยอดขายสินค้า การเจาะกลุ่มเป้าหมายผู้บริโภค การลดต้นทุนการผลิต เป็นต้น

ปกติการวิเคราะห์ข้อมูล Big Data ที่มีข้อมูลส่วนบุคคลของลูกค้าโดยอัตโนมัติจะมีความเสี่ยงสูง ที่จะมีผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล เนื่องจากผลลัพธ์ของข้อมูลที่ได้มักจะถูกนำไปใช้ทำการตลาด เพื่อการประชาสัมพันธ์ตามลักษณะสินค้าเป็นรายบุคคล

163040682254

การทำการตลาดตามโปรไฟล์ของลูกค้าเป็นรายบุคคลโดยอัตโนมัติซึ่งอาจส่งผลทางกฎหมายต่อเจ้าของข้อมูล ซึ่งคล้ายคลึงกับการทำการตลาดแบบออนไลน์ที่พบในปัจจุบัน เช่น กรณีที่เราเข้าไปค้นหาสินค้าที่เราต้องการในแพลตฟอร์มการซื้อขายออนไลน์

  • 'กฎหมาย PDPA'ใช้ข้อมูลส่วนบุคคลตามเงื่อนไขกำหนด

จากนั้นเมื่อเราเข้าใช้งาน Social network หรือเว็บไซต์ต่างๆ จะปรากฏสินค้าในลักษณะดังกล่าวมาแสดงให้เห็นอยู่เป็นประจำ ซึ่งจะมีระบบหลังบ้านมีการวิเคราะห์ข้อมูลความต้องการซื้อสินค้าของเรา รวมถึงระบบตรวจสอบตัวบุคคลทำให้สามารถสร้างการโฆษณาที่แสดงสินค้าที่ตรงกับความต้องการของลูกค้าให้มากที่สุดนั่นเอง

ดร.ชัยพร กล่าวเพิ่มเติมว่า 'กฎหมาย PDPA'( Personal Data Protection Act) หรือกฎหมายคุ้มครองข้อมูลส่วนบุคคล หรือตามข้อกำหนดของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 นั้นกำหนดไว้ว่าการนำข้อมูลส่วนบุคคลไปใช้ผิดวัตถุประสงค์ที่บุคคลหนึ่งให้ไว้แต่แรกย่อมมีความผิด เช่น องค์กรหนึ่งได้ข้อมูลส่วนบุคคลของลูกค้าจากการขายสินค้าหรือบริการเป็นจำนวนมาก ซึ่งอนุมานได้ว่าเป็นการทำสัญญาทำให้องค์กรสามารถเก็บรวบรวมข้อมูลนี้เพื่อนำไปปฏิบัติตามความจำเป็นของสัญญาได้ เช่น การออกใบเสร็จรับเงิน หรือ การส่งสินค้า เป็นต้น

163040683989

แต่องค์กรนั้นไม่สามารถใช้ข้อมูลส่วนบุคคลดังกล่าวดำเนินการอย่างอื่นนอกเหนือจากเงื่อนไขหรือความจำเป็นที่ต้องปฏิบัติตามสัญญาที่ระบุไว้ได้ ซึ่งหากฝ่าฝืนจะมีความผิดที่จะขัดต่อข้อกำหนดของกฎหมาย

  • วิธีวิเคราะห์ 'Big Data'ในองค์กรให้ถูกต้อง

เนื่องจากเป็นการวิเคราะห์ข้อมูลเป็นจำนวนมาก อาจส่งผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคลในวงกว้าง ที่สำคัญหากมีข้อมูลที่มีความอ่อนไหวเป็นพิเศษ หรือมีข้อมูลของผู้เยาว์จะมีความผิดมากขึ้นไปอีกด้วย

ดร.ชัยพร กล่าวในตอนท้ายว่า การวิเคราะห์ข้อมูล Big Data จากข้อมูลขององค์กรที่มีอยู่ สามารถทำให้ถูกต้องได้ ทั้งนี้หากข้อมูลที่ต้องการนำมาวิเคราะห์ Big Data มีข้อมูลส่วนบุคคลอยู่ จำเป็นต้องทำให้ข้อมูลที่มีอยู่ไม่สามารถระบุตัวตนของเจ้าของข้อมูลส่วนบุคคลหรือ Anonymize หรือ Masking

163040685735

ข้อมูลส่วนบุคคล หรือการนำเอาแอททริบิวท์ต่าง ๆ ที่เกี่ยวข้องโดยตรงกับข้อมูลส่วนบุคคลออก เช่น ชื่อ นามสกุล บ้านเลขที่ หมายเลขบัตรประชาชน เบอร์โทรศัพท์ บัญชีธนาคาร เป็นต้น ซึ่งอาจทำได้ในกระบวนการ Cleansing data ก่อนจะเริ่มทำการวิเคราะห์ Big Data

ต่อจากนั้นต้องตรวจสอบให้มั่นใจว่าไม่มีข้อมูลส่วนไหนที่สามารถทำให้ระบุย้อนกลับมายังเจ้าของข้อมูลส่วนบุคคลได้ อย่างไรก็ตาม หากจำเป็นที่จะต้องมีการคงข้อมูลส่วนบุคคลไว้ในการวิเคราะห์ Big Data องค์กรก็จำเป็นต้องขอความยินยอมหรือขอ Consent จากเจ้าของข้อมูลทั้งหมดที่มีข้อมูลปรากฎอยู่ในข้อมูลก่อนที่จะทำการวิเคราะห์ Big Data ไม่เช่นนั้นอาจได้รับโทษตามกฎหมาย ซึ่งมีตัวอย่างให้เห็นแล้วมากมาย

163040687334