สิทธิในการลบ Apple ID/Apple Account ของผู้ใช้บริการ

สิทธิในการขอให้องค์กรที่ครอบครองข้อมูลส่วนบุคคลของผู้ใช้บริการ ลบหรือทำลายข้อมูลต่างๆ เกี่ยวกับตนเอง (Right to erasure) เป็นสิทธิที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลในหลายๆ ประเทศให้การรับรองไว้

ทั้ง GDPR ของสหภาพยุโรป หรือ California Consumer Privacy Act (CCPA: Section 1798.105 Right to Delete) รวมถึง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ด้วย วันนี้ ผู้เขียนมีกรณีศึกษาที่น่าสนใจเกี่ยวกับการขอลบ Apple ID ที่มีผู้ใช้บริการของ Apple ร้องเรียนต่อ DPC (Ireland Data Protection Authority) ว่า Apple ไม่ปฏิบัติตามคำขอใช้สิทธิให้ลบ Apple ID และข้อมูลต่าง ๆ เกี่ยวกับผู้ใช้บริการรายดังกล่าวตามเงื่อนไขที่กำหนดไว้ในมาตรา 17 ของ GDPR

ข้อร้องเรียนดังกล่าวเกิดจากการที่ผู้ใช้บริการรายหนึ่งได้ใช้สิทธิขอลบ Apple ID/Apple Account ของตนเอง (Deletion request) ต่อ Apple Distribution International Limited ซึ่งเป็นบริษัทในเครือของ Apple Inc. ที่รับผิดชอบการบริหารและการดำเนินการในสหภาพยุโรป (จดทะเบียนจัดตั้งและมีสำนักงานอยู่ที่ประเทศไอร์แลนด์) Deletion request ของผู้ร้องเรียนรายดังกล่าวได้รับการตอบสนองและยืนยันการดำเนินการโดย Apple

ผู้ใช้บริการรายดังกล่าวก็เชื่อว่า Apple ได้ดำเนินการลบ Apple Account ของตนเองให้เป็นที่เรียบร้อยแล้ว แต่ปรากฏว่าต่อมาบุคคลดังกล่าวประสงค์จะใช้อีเมลเดิม ซึ่งผูกอยู่ติดอยู่กับ Apple Account ของตนเอง ที่ได้ขอลบไปแล้วจากระบบของ Apple เพื่อทำการเปิดบัญชีให้ลูกสาวของตนเอง (สร้างบัญชี Apple สำหรับบุตรหลาน)

แต่ปรากฏว่าไม่สามารถใช้อีเมลดังกล่าวในการสร้างบัญชีใหม่ได้ และได้รับการแจ้งว่าอีเมลนั้นเชื่อมโยงกับ Apple Account อื่นแล้ว

ผู้ร้องเรียนรายดังกล่าวจึงเห็นว่า Apple ไม่ได้ทำการลบข้อมูลของตนเองอย่างแท้จริง เนื่องจากยังมีข้อมูลอีเมลของตนเองอยู่ในระบบของ Apple และสิ่งที่ Apple ดำเนินการตาม Deletion request จึงเป็นการ Deactivate หรือการระงับการใช้หรือการเข้าถึงระบบต่าง ๆ ของ  Apple เท่านั้น

Apple ชี้แจงกรณีดังกล่าวต่อ DPC ว่าเมื่อผู้ใช้บริการทำการขอลบข้อมูล Apple ยังจำเป็นต้องเก็บรักษาข้อมูลส่วนบุคคลเกี่ยวกับผู้ใช้บริการบางส่วนไว้ดังต่อไปนี้

  1. ข้อมูลธุรกรรมในอดีตเพื่อวัตถุประสงค์ในการรายงานทางการเงิน
  2. เพื่อปฏิบัติคำสั่งศาลหรือกระบวนการทางกฎหมายที่กำลังดำเนินการอยู่
  3. ค่าแฮชแบบทางเดียวของที่อยู่อีเมลของบัญชีที่ถูกลบ (one-way hash of the email address) เพื่อปฏิบัติตามข้อกำหนดทางกฎหมาย (Security) และเก็บไว้นานเท่าที่จำเป็น (Storage limitation) เพื่อผลประโยชน์โดยชอบด้วยกฎหมายในการแสดงถึงการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลและเพื่อความมั่นคงปลอดภัยของบัญชี
  4. ค่าแฮชของที่อยู่อีเมลจะถูกเก็บไว้เป็นหลักฐานว่า Apple ได้ปฏิบัติตาม Deletion request ของเจ้าของข้อมูลส่วนบุคคลแล้ว

จากเหตุผลที่ Apple ชี้แจงต่อ DPC ประเด็นที่ผู้ใช้บริการไม่เห็นด้วยได้แก่ การเก็บค่าแฮชของอีเมล ซึ่งเป็นการแฝงค่าของข้อมูลส่วนบุคคลเท่านั้น แต่ไม่ใช่การลบหรือทำลายตามที่ผู้ใช้บริการร้องขอ

และ DPC ยืนยันว่าการเก็บค่าแฮชแบบทางเดียวของที่อยู่อีเมลของบัญชีที่ถูกลบเป็นเพียงการแฝงข้อมูลส่วนบุคคล (Pseudonymization) แต่ยังไม่ใช่การลบหรือทำลาย หรือการทำให้เป็นข้อมูลนิรนาม (Anonymization) ตามเงื่อนไขของมาตรา 17 GDPR 

อย่างไรก็ตาม Apple ได้ให้เหตุผลที่สำคัญเกี่ยวกับการห้ามใช้อีเมลที่เกี่ยวข้องกับ Apple ID ที่ถูกลบว่า “เป็นมาตรการในการป้องกันการฉ้อโกง” (Fraud prevention) และถือเป็นส่วนหนึ่งของมาตรการรักษาความมั่นคงปลอดภัย

โดยค่าแฮชของที่อยู่อีเมลที่เกี่ยวข้องและข้อมูลที่ใช้เพื่อระบุผู้ใช้งานในระบบ Directory Services ซึ่งเป็นระบบที่เก็บและจัดการข้อมูลเกี่ยวกับผู้ใช้บริการของ Apple (DSID) จะถูกประมวลผลด้วยอัลกอริทึมเฉพาะ

และหากไม่มีการเก็บค่าแฮชของที่อยู่อีเมลที่ถูกลบ อาจมีบุคคลที่ไม่หวังดีที่เข้าถึงที่อยู่อีเมลนั้นได้จากการขโมยข้อมูลและนำมาสร้างบัญชีใหม่โดยใช้อีเมลนั้น เพื่อใช้บริการต่าง ๆ ของ Apple โดยปลอมตัวเป็นผู้ใช้งานที่แท้จริง ซึ่งจะทำให้ Apple เสี่ยงต่อการสนับสนุนการฉ้อโกงแทนที่จะเป็นการป้องกัน

เหตุผลและความจำเป็นต่าง ๆ ตามที่ Apple กล่าวอ้างในการที่ยังต้องเก็บรักษาข้อมูลบางส่วนและการเก็บค่าแฮชไว้นั้น  DPC เห็นด้วยว่า Apple มีประโยชน์โดยชอบด้วยกฎหมาย (Legitimate interest) ในการดำเนินการและปฏิบัติสอดคล้องกับหลักการเก็บข้อมูลเท่าที่จำเป็นแล้ว (Data minimization)

อย่างไรก็ตาม Apple ถูกสั่งให้แก้ไขการดำเนินการให้มีความโปร่งใสมากขึ้นในกระบวนการแจ้งรายละเอียดและขั้นตอนต่าง ๆ ให้สอดคล้องกับ GDPR มาตรา 13 (1) (c) การแจ้งวัตถุประสงค์ของการประมวลผลข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม ซึ่งรวมถึงฐานทางกฎหมายสำหรับการประมวลผลนั้น

และมาตรา 13 (1) (d) หากการประมวลผลข้อมูลส่วนบุคคลนั้นอ้างอิงฐานทางกฎหมายตามมาตรา 6(1) (f) [legitimate interest] ให้ระบุถึงผลประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคลด้วย

ค่าแฮชแบบทางเดียวที่ Apple เก็บรักษาไว้คืออะไร

กรณีสมมติ หากนำอีเมล “[email protected]” ให้ ChatGPT 4o ใช้ SHA-256 อัลกอริทึมเพื่อแฮชแบบทางเดียว จะได้ค่า “hash” (ข้อมูลชุดที่ 1) และ “salt” (ข้อมูลชุดที่ 2) ดังนี้ 

สิทธิในการลบ Apple ID/Apple Account ของผู้ใช้บริการ

 

ในทำนองเดียวกันหากให้ ChatGPT ทำการ Reidentify อีเมลจาก hash และ salt ข้างต้นจะได้ค่า example@icloud.com ซึ่งเป็นอีเมลส่วนบุคคลที่ถูกแฝงข้อมูลไว้

            SHA-256 (Secure Hash Algorithm 256-bit) เป็นหนึ่งในฟังก์ชันแฮชที่ออกแบบมาเพื่อเข้ารหัสข้อมูลที่สามารถใช้ตรวจสอบความสมบูรณ์ของข้อมูลหรือใช้ในกระบวนการเข้ารหัส อัลกอริทึมแฮชแบบทางเดียวถูกออกแบบมาให้เป็นเรื่องที่ยากมากที่จะย้อนกลับกระบวนการนี้และได้ที่อยู่อีเมลต้นฉบับจากค่าแฮช

ดังนั้น ในกรณีนี้หากมีเฉพาะค่าแฮช (ข้อมูลชุดที่ 1) ซึ่งเกิดจากการแฮชอีเมลด้วย SHA-256 ก็ไม่สามารถคำนวณกลับเพื่อหาว่าอีเมลที่เป็นต้นฉบับคืออะไรได้โดยตรง เว้นแต่จะมีการเข้าถึงข้อมูลชุดอื่น ๆ ด้วย อาทิ ค่า salt (ข้อมูลชุดที่ 2) หรือ Rainbow tables (ถ้าหากมี) เป็นต้น

และจากคำวินัยฉัยของ DPC Ireland ในกรณีดังกล่าวแสดงให้เห็นว่า ค่า “hash” (ข้อมูลชุดที่ 1) และค่า “salt” (ข้อมูลชุดที่ 2) เป็นข้อมูลส่วนบุคคล เนื่องจากสามารถระบุตัวบุคคลได้ไม่ว่าทางตรงหรือทางอ้อม เพียงแต่กรณีนี้ Apple มีเหตุผลและความชอบธรรรมตามกฎหมายในการเก็บค่าแฮชดังกล่าว.