คุ้มครองข้อมูลส่วนบุคคลในโลกแพลตฟอร์ม รัฐไทยพร้อมหรือยัง ? (ตอน 1 )
ในปี 2564 ธุรกิจแพลตฟอร์มมีมูลค่าทางเศรษฐกิจถึง 9 แสนล้านบาท การเติบโตอย่างก้าวกระโดดของธุรกิจแพลตฟอร์มนี้ เป็นผลมาจากความได้เปรียบจากการสะสมข้อมูลจำนวนมาก ที่ทำให้ธุรกิจแพลตฟอร์มสามารถวิเคราะห์พฤติกรรมและออกแบบบริการได้ตอบสนองความต้องการของผู้บริโภค
ทว่าในอีกแง่มุมหนึ่ง การที่ผู้ประกอบธุรกิจแพลตฟอร์มเก็บรวบรวมข้อมูลส่วนบุคคลของผู้บริโภค ได้ทำให้เกิดความกังวลเกี่ยวกับความปลอดภัยและผลกระทบต่อความเป็นส่วนตัวของบุคคลมากขึ้น
จึงเป็นความท้าทายของการคุ้มครองข้อมูลส่วนบุคคลในธุรกิจแพลตฟอร์มในประเทศไทยว่า จะมีการบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ PDPA ได้มากน้อยเพียงใด ในการที่จะรักษาสมดุลระหว่างการคุ้มครองสิทธิเจ้าของข้อมูลส่วนบุคคลกับการการนำข้อมูลไปใช้ประโยชน์ทางเศรษฐกิจ
สำรวจความท้าทายที่ต้องเผชิญ
ความท้าทายแรก คือ การขาดแนวทางในการสื่อสารที่ดีกับผู้บริโภค เมื่อผู้บริโภคใช้บริการแพลตฟอร์ม แม้ว่ากฎหมาย PDPA จะเริ่มใช้บังคับเมื่อปีที่ผ่านมา แต่จากการสำรวจของ TDRI ในงานวิจัยการศึกษาผลกระทบและการนำเสนอมาตรการในการกำกับดูแล Digital Platform
พบว่าแนวทางการแจ้งการเก็บและใช้ข้อมูลส่วนบุคคลของผู้บริโภคยังมีลักษณะ “ไม่เป็นมิตร” ต่อผู้บริโภค เช่น การใช้ข้อความเยิ่นเย้อ หรือการใช้ถ้อยคำทางกฎหมายที่ทำให้ผู้บริโภคไม่สามารถเข้าใจรายละเอียดที่จะดำเนินการกับข้อมูลส่วนบุคคลได้
รวมไปถึงการปิดกั้นเนื้อหาโดยกำหนดให้ต้องมีการให้ความยินยอมให้ใช้เทคโนโลยีติดตาม เช่น cookie wall ซึ่งก่อให้เกิดความรำคาญและทำให้ผู้บริโภคตัดสินใจให้ความยินยอมโดยอาจจะไม่ได้พิจารณาเนื้อหาการเก็บและใช้ข้อมูล
การสื่อสารเพื่อให้ผู้บริโภคตระหนักว่าข้อมูลส่วนบุคคลกำลังถูกเก็บและนำไปใช้ ถือเป็นเรื่องสำคัญ เพราะโดยทั่วไปแล้วแพลตฟอร์มมักมีลักษณะเป็นการให้บริการฟรีไม่เสียค่าตอบแทน
แต่กลับมี “ราคา” ที่ผู้บริโภคจะต้องจ่ายให้กับแพลตฟอร์ม คือ ข้อมูลส่วนบุคคลและพฤติกรรมการใช้งานบนแพลตฟอร์ม
นอกจากนี้ในปัจจุบันแพลตฟอร์มขนาดใหญ่ในกลุ่ม Super App ที่รวบหลายบริการไว้ในแอปเดียว ยังขาดแนวทางสื่อสารที่ชัดเจนที่จะทำให้ผู้บริโภคตระหนักว่า ข้อมูลที่ให้กับแพลตฟอร์มอาจจะถูกนำไปใช้กับเพื่อเสนอบริการอื่น และเป็นความเสี่ยงที่อาจจะสร้างการรบกวนให้ผู้บริโภคได้
ความท้าทายที่สอง แม้ว่าสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้ออกประกาศเรื่อง มาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคลในปี2565 แต่ไม่ใช่ทุกแพลตฟอร์มจะมีมาตรฐานเพียงพอที่จะคุ้มครองข้อมูลส่วนบุคคลตามประกาศฉบับนี้
ขณะเดียวกันยังพบว่า มีแพลตฟอร์มจำนวนไม่น้อยที่ยังขาดความเข้าใจในการดำเนินการ เนื่องจากที่ผ่านมาไม่มีการจัดทำแนวทางที่เป็นคำแนะนำ เพื่ออธิบายวิธีการและเทคโนโลยีที่ควรนำมาใช้กับภาคธุรกิจ ทำให้แพลตฟอร์มบางรายยังไม่ได้จัดให้มีวิธีการดำเนินงานที่เหมาะสมเพื่อคุ้มครองสิทธิของผู้บริโภค
เช่น บางแพลตฟอร์มไม่ได้จัดให้มีช่องทางการใช้สิทธิสำหรับผู้บริโภค เมื่อผู้บริโภคต้องการขอใช้สิทธิตามกฎหมาย หรือบริษัทยังมีความกังวลในการปฏิบัติตามกฎหมายด้วยความไม่รู้หรือไม่เข้าใจว่าควรจะต้องใช้มาตรการรักษาความปลอดภัยของข้อมูลเท่าใดจึงจะเพียงพอ
ทำให้บริษัทมีทางจำกัดคือ ถ้าไม่เลือกใช้มาตรฐานที่สูงในการรักษาความปลอดภัยของข้อมูล ก็อาจจะไม่ได้ให้ความสำคัญต่อการรักษาความปลอดภัยของข้อมูลและเลือกรับความเสี่ยงเพื่อแก้ไขปัญหาเฉพาะหน้าแทน
ความท้าทายที่สาม การถ่ายโอนข้อมูลส่วนบุคคลไปยังบริษัทและประเทศที่ไม่ได้มีระดับการคุ้มครองข้อมูลส่วนบุคคลเทียบเท่าประเทศไทย ทำให้เกิดความกังวลในการถ่ายโอนข้อมูลไปยังปลายทางเหล่านั้นสามารถทำได้หรือไม่
ปัญหานี้ทำให้บริษัทมีต้นทุนที่ต้องไปตรวจสอบว่าประเทศปลายทางมีความพร้อมในการรับข้อมูล และต้องไปเจรจาเกี่ยวกับมาตรการในการคุ้มครองข้อมูลส่วนบุคคลกับบริษัทในประเทศปลายทาง รวมถึงต้องมีต้นทุนในการเจรจากับผู้บริโภคที่เป็นเจ้าของข้อมูลส่วนบุคคลในการขอความยินยอมในบางกรณี
ความท้าทายที่สี่ การยกเว้นการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลในหน่วยงานของรัฐ โดยเดือนกรกฎาคม ปี 2565 คณะรัฐมนตรี มีมติเห็นชอบร่างพระราชกฤษฎีกายกเว้นการบังคับใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล กับการใช้ข้อมูลส่วนบุคคลในหน่วยงานของรัฐ ที่มีวัตถุประสงค์เพื่อความมั่นคงของชาติหรือประโยชน์สาธารณะ
อย่างไรก็ดีได้มีการเปลี่ยนหลักการของพระราชกฤษฎีกาดังกล่าวใหม่ โดยแก้ไขข้อยกเว้นให้จำกัดลงและกำหนดมาตรการในการคุ้มครองข้อมูลส่วนบุคคลไว้
แต่ประเด็นสำคัญยังคงอยู่ที่ ภาครัฐควรจะตระหนักถึงการคุ้มครองข้อมูลส่วนบุคคลให้มากกว่านี้ โดยไม่ควรกำหนดข้อยกเว้นกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่กว้างเกินไป
เพราะจะส่งผลกระทบต่อการป้องกันความเป็นส่วนตัวของประชาชนที่อยู่กับรัฐ โดยปฏิเสธไม่ได้ว่าปัจจุบันรัฐก็มีการเก็บข้อมูลของประชาชนบนแพลตฟอร์มเช่นเดียวกัน
และในการยกเว้นการคุ้มครองข้อมูลส่วนบุคคลภาครัฐ ควรจะต้องกำหนดมาตรการที่จะเยียวยาผลกระทบไว้เสมอ นั่นหมายความว่ากฎหมายไม่ควรจะยกเว้นการคุ้มครองข้อมูลส่วนบุคคลโดยสมบูรณ์
ปมปัญหาเหล่านี้ทำให้มาตรฐานการคุ้มครองข้อมูลส่วนบุคคลของไทยไม่ทัดเทียมกับต่างประเทศ จนกลายเป็นอุปสรรคในการทำธุรกิจดิจิทัลตามแนวทางสากล
การแก้ไขปัญหาจะมีแนวทางอย่างไร? ติดตามข้อเสนอตอนต่อไปใน วาระทีดีอาร์ไอ : คุ้มครองข้อมูลส่วนบุคคลในโลกแพลตฟอร์ม รัฐไทยพร้อมหรือยัง ? (ตอนที่ 2 )