เมื่อทราบโดยบังเอิญว่า General Data Protection Regulation (GDPR) ที่แปลเป็นไทยได้ว่า หลักคุ้มครองข้อมูลส่วนบุคคลของยุโรป ที่พัฒนากันมานานหลายปี กำลังจะประกาศใช้จริงในวันที่ 25 พฤษภาคม ซึ่งคือในอีกไม่กี่เดือนนี้แล้ว ผู้เขียนรู้สึกสนอกสนใจขึ้นมาทันที ทั้งที่ปกติคุ้นเคยกับการศึกษาเรื่องราวในอดีตมากกว่า และไม่ได้เป็นคนที่ตามข่าวสารในปัจจุบันระดับความไวแสง
พอมาตั้งสติคิดว่าทำไม หรือมีเหตุผลอะไรที่เราต้องสนใจและให้ความสำคัญ ก็ตอบได้ทันทีว่า เพราะเราเป็น ‘มนุษย์ยุคดิจิทัล’ ที่ไม่ว่าจะได้รับผลกระทบจากการคุ้มครอง (หรือไม่ถูกคุ้มครอง) ข้อมูลส่วนบุคคลหรือไม่ เราก็ยังเป็น ‘ส่วนหนึ่ง’ (หรืออาจจะเป็น ‘สินค้า’ ได้ในบางกรณี) ของ ‘บรรจุภัณฑ์’ นี้อยู่ดี โดยบรรจุภัณฑ์ที่เราพูดถึงก็คือ กระบวนการเก็บ ใช้ และถ่ายโอนข้อมูลส่วนบุคคล
ทุกคนคงคุ้นเคยกับกระบวนการ ‘เก็บ’ ข้อมูลอยู่แล้ว ไม่ว่าจะผ่านการปรินต์ออกมาเก็บใส่แฟ้มแบบสมัยก่อน หรือการรวบรวมข้อมูลจำนวนมหาศาลเข้าไปเก็บไว้ในฐานข้อมูลที่เรียกใช้ได้ง่าย ไม่ว่าจะผ่านฮาร์ดแวร์ ซอฟต์แวร์ หรือระบบคลาวด์ก็ตาม
ส่วนการ ‘ใช้’ นั้นหมายถึงการดึงข้อมูลส่วนตัวของเราออกมาจากฐานข้อมูลนั้น เพื่อประมวลผลตามจุดประสงค์ที่องค์กรหรือผู้ที่ถือครองข้อมูลเหล่านั้นได้วางเอาไว้ เช่น นำข้อมูลส่วนบุคคลของผู้บริโภคสินค้าหรือบริการของบริษัทที่ถูกประมวลผลออกมาเป็น big data ไปวางแผนการตลาด ฯลฯ
และการ ‘ถ่ายโอน’ ข้อมูลส่วนบุคคลออกไปสู่สาธารณะ ไม่ว่าจะในนาม นามแฝง หรือนิรนามก็ตาม ซึ่งในทางหนึ่ง เราอาจพูดได้ว่า ทั้งการเก็บ การใช้ และการถ่ายโอนข้อมูลนั้น เกี่ยวพันกันอย่างแน่นหนากับ ‘ความเป็นส่วนตัว’ (Privacy) แต่หากจะมองแง่อื่นก็ยังมีอะไรให้สัมผัสเช่นกัน
การ ‘ถ่ายโอน’ ข้อมูลส่วนบุคคลออกไปสู่สาธารณะ ไม่ว่าจะในนาม นามแฝง หรือนิรนาม ทั้งการเก็บ การใช้ และการถ่ายโอนข้อมูลนั้น เกี่ยวพันกันอย่างแน่นหนากับ ‘ความเป็นส่วนตัว’ (Privacy)
หลากหลายกรณีเกี่ยวกับความเป็นส่วนตัวและการจัดการข้อมูลส่วนบุคคล เป็นข่าวในระดับที่เรียกว่าค่อนข้างครึกโครมในอเมริกาและอังกฤษในสองสามปีให้หลังมานี้ แต่แวะมาทักทายเมืองไทยแค่ทีละขยัก ยกตัวอย่างเช่นกรณี data breach (ข้อมูลรั่ว) ที่บริษัทยักษ์ใหญ่ซึ่งมีข้อมูลส่วนบุคคลของผู้บริโภคระดับมหาศาลในมืออย่าง Uber, Yahoo, Deloitte, Wonga และ Equifax ต้องรับมือ (ซึ่งบางบริษัทก็จัดการกับปัญหาไปก่อนที่จะเป็นข่าวด้วยวิธีแตกต่างกัน ซึ่งจะถูกหรือผิดก็ต้องว่ากันไปเป็นกรณี)
นั่นทำให้เจ้าของข้อมูลอย่างเราๆ ยกคิ้วสูงมาก เพราะสงสัยว่า ‘ข้อมูลส่วนบุคคล’ ที่หลุดออกไปนั้นประกอบด้วยอะไรบ้าง มันไปตกอยู่ในมือใคร และการที่มันหลุดออกไปจะส่งผลเสียหรือผลกระทบอะไรกับเราได้บ้าง—และเราในที่นี้ ไม่ใช่แค่บุคคลธรรมดา แต่รวมไปถึงบริษัทเอกชนขนาดใหญ่ บริษัทสตาร์ทอัป SMEs และรัฐบาลของแต่ละประเทศทั้งในและนอกสหภาพยุโรปด้วย
ถ้าจะเอาความหมายระดับพื้นผิว ข้อมูลส่วนบุคคลประกอบด้วย ‘อะไรก็ตาม’ ที่จะบ่งบอกหรือระบุตัวตนของเราได้ หรือบอกได้ว่าเราคือคนคนไหน เช่น เลขประจำตัว ชื่อ นามสกุล วันเดือนปีเกิด รูปลักษณ์ ลักษณะทางกายภาพ ที่อยู่ หมายเลขบัตรเครดิต ข้อมูลทางการแพทย์ และข้อมูลละเอียดอ่อน (Sensitive Personal Data) อย่างข้อมูลไบโอเมทริกส์ ดีเอ็นเอ และอื่นๆ ที่บ่งบอกไลฟ์สไตล์ สถานะทางเศรษฐกิจ สถานะทางสังคม ศาสนาและความเชื่อ ฯลฯ
ว่ากันง่ายๆ ก็คือข้อมูลที่ถูกถือครองโดยรัฐบาล (เพราะเราได้ ‘ให้การยินยอม’ ที่จะเป็นพลเมืองของรัฐนั้น มีที่อยู่ถาวรในรัฐนั้น ใช้สิทธิและมีหน้าที่ตามที่รัฐนั้นกำหนด) บริษัทที่เราใช้บริการ (เพราะเราเป็นผู้ ‘ให้ข้อมูล’ กับบริษัทหนึ่งเพื่อความสะดวกสบายในการใช้บริการและ/หรือ ‘ให้ความยินยอม’ แก่บริษัทนั้นในการนำข้อมูลของเราไปใช้ประโยชน์ในทางการตลาด) และผู้ที่ได้รับการถ่ายโอนข้อมูลไป
และเมื่อพูดถึงข้อมูลต่างๆ ที่กล่าวมา ก็เป็นที่น่ากังวลอยู่ไม่น้อย ถ้ามันสามารถไปอยู่ในมือใครต่อใครได้โดยแทบจะไร้การตรวจสอบหรือควบคุมจากเจ้าของข้อมูลเอง ด้วยเหตุนี้ GDPR ในยุโรป จึงน่าจะเป็นโมเดลสำคัญที่เราไม่ควรละเลยและอาจผลักดันให้เกิดขึ้นในบ้านเราได้บ้าง
สรุปเนื้อหาหลักของ GDPR
General Data Protection Regulation หรือเจ้า GDPR ที่ประกาศใช้โดย European Parliament และ Council of the European Union ทำให้การออกหลักคุ้มครองข้อมูลส่วนบุคคลที่พัฒนากันมาตั้งแต่ปี 1980 ในหลายประเทศในยุโรป และ Data Protection Act ที่อังกฤษเริ่มใช้มาตั้งแต่ปี 1998 นั้นครอบคลุมสถานการณ์ปัจจุบันและและเทคโนโลยีที่มีเปลี่ยนแปลงอย่างรวดเร็วในโลกยุคดิจิทัล โดยเจ้า GDPR นี้เริ่มพัฒนากันมาตั้งแต่เมษายนปี 2016 และเมื่อข้อมูลเพิ่มเติมถูกปล่อยออกมาในช่วงหลัง ก็เป็นที่ชัดเจนว่ามีหลายฝ่ายเหลือเกินที่จะได้รับผลกระทบจากการประกาศใช้ในครั้งนี้
หากจะเกริ่นแบบรวบรัดมากๆ คือเจ้า GDPR จะทำให้พลเมืองของประเทศในสหภาพยุโรปนั้นมีสิทธิในกระบวนการ ‘เก็บ-ใช้-ถ่ายโอน’ ข้อมูลส่วนบุคคลของตัวเองมากขึ้น นั่นคือ EU มีหลักการเหล่านี้อยู่แล้ว แต่ทำให้รัดกุมขึ้นอีก ทั้งสิทธิในการรับทราบกระบวนการ สิทธิในการตรวจสอบความโปร่งใส (transparency) ของกระบวนการ สิทธิในการเรียกร้องระดับการควบคุมที่แน่นหนาขึ้น และสิทธิในการขอระงับกระบวนการที่ว่ามาได้อย่างง่ายดายที่สุด
โดยรัฐบาลของแต่ละประเทศใน EU ถูกเรียกร้องให้นำหลักการของ GDPR เข้าไปประกอบเข้ากับกฎหมายท้องถิ่นของประเทศนั้นๆ ส่วนบริษัทเอกชนในยุโรปและบริษัทสัญชาติใดก็ตาม ที่เป้าหมายของธุรกิจเกี่ยวพันกับพลเมืองยุโรป ก็จะต้องมีเจ้าหน้าที่ผู้เชี่ยวชาญด้านการดูแลข้อมูลมาประจำเพื่อควบคุมดูแลเรื่องนี้โดยเฉพาะ หากเกิด data breach ก็ต้องแจ้งทางการและเจ้าของข้อมูลนั้นภายใน 72 ชั่วโมง และหากทำผิดข้อกำหนดก็จะมีค่าปรับที่อาจสูงลิ่วจนถึงเพดาน 20 ล้านยูโร
GDPR จะทำให้พลเมืองของประเทศในสหภาพยุโรปนั้นมีสิทธิในกระบวนการ ‘เก็บ-ใช้-ถ่ายโอน’ ข้อมูลส่วนบุคคลของตัวเองมากขึ้น
ฉะนั้นจึงมีประเด็นว่า บริษัทสตาร์ตอัปหรือ SMEs อาจจะมีปัญหาในการหาและจ้าง officer ระดับสูงมาทำงานด้วย และผู้ออกกฎก็กังวลว่าบริษัทเหล่านี้จะงุนงงกับกระบวนการยุ่งยากทั้งหลาย จึงได้ออกไกด์ไลน์ 12 ข้อที่เข้าใจง่ายออกมาให้ศึกษากันแบบถ้วนทั่ว แต่จุดนี้อาจไม่น่าเป็นปัญหาใหญ่โต เพราะใน GDPR ตัวเต็มบอกไว้ว่า หากบริษัทเหล่านี้มีพนักงานไม่ถึง 250 คน จะมีหลักการอีกแบบหนึ่ง เช่น ลดจากการต้องหา officer จริงจังเป็นการควบคุมแบบอื่นแทน
อย่างไรก็ดี หากจะลองอ่าน GDPR ตัวเต็ม ก็จะพบว่ามีคีย์เวิร์ดที่สำคัญและน่าตั้งข้อสังเกตจำนวนหนึ่งโผล่มา เช่น
- GDPR เน้นย้ำว่า Free flow of personal data ยังต้องมีอยู่เพื่อประโยชน์ทางธุรกิจการค้า และใช้คำว่า ‘ประสาน’ (harmonise) ระหว่างการทำตาม GDPR เพื่อประโยชน์สุขของพลเมืองชาวยุโรป และความจำเป็นที่ยังต้องมี Free flow of personal data ใน EU ทั้งนี้ก็เพื่อทำให้ความพยายามที่ว่าดูซอฟต์ลง ตามข้อ 5 ที่บอกว่ามีความพยายามที่จะประสานการคุ้มครองสิทธิขั้นพื้นฐาน และเสรีภาพของบุคคลธรรมดา โดยคำนึงถึงกระบวนการใช้ข้อมูลและการถ่ายโอนข้อมูลอย่างอิสระระหว่างประเทศสมาชิก และย้ำต่อที่ข้อ 6 ว่าจะสนับสนุนการถ่ายโอนข้อมูลอย่างอิสระภายใน EU และการถ่ายโอนสู่ประเทศที่สาม รวมทั้งองค์กรระหว่างประเทศ โดยจะยังให้ความสำคัญกับการคุ้มครองข้อมูลส่วนบุคคลเป็นอย่างสูง และก็มีกล่าวไว้ในข้อ 101 ด้วยว่าการถ่ายโอนข้อมูลส่วนบุคคลไปสู่และจากประเทศนอก EU รวมถึงองค์กรระหว่างประเทศนั้น ‘จำเป็น’ ต่อการขยายตัวของการค้าและการร่วมมือระหว่างประเทศ
- ในประเด็นของการควบคุมหรือถ่ายโอนข้อมูลส่วนบุคคลเพื่อประโยชน์ทาง Public security และ/หรือ National security นั้นไม่ต้องยึดตาม GDPR แต่ให้ยึดตาม Union Legal Act และกฎหมายท้องถิ่นของประเทศใน EU ที่ถูกแนะนำให้ปรับปรุงแก้ไขตามหลักการของ GDPR หมายความว่า EU Parliament และ Council ‘ไม่เกี่ยว’ หากรัฐบาลใดๆ ใช้ข้อมูลส่วนบุคคลเพื่อเหตุผลด้านความมั่นคง ตามข้อ 19 ที่ว่า การคุ้มครองบุคคลธรรมดาโดยคำนึงถึง ‘การใช้ข้อมูลส่วนบุคคลโดยทางการ (authorities) เพื่อการยับยั้งหรือสืบสวนการกระทำที่ผิดกฎหมายหรือเป็นที่สงสัย’ นั้น อยู่ใต้ข้อกำหนดของกฎหมายเฉพาะของ EU ไม่ใช่ GDPR
- หน่วยงานรัฐบาลยังคงมีสิทธิเก็บ-ใช้-ถ่ายโอนข้อมูลส่วนบุคคลของพลเมืองยุโรปอยู่ เพียงแต่ต้องเป็นไปตาม ‘จุดประสงค์’ ที่แจ้งไว้ ตราบใดที่ไม่ค้านกับ Union Legal Act และ National law และจะต้องเปิดให้ตรวจสอบได้ว่าได้นำไปใช้การตามนั้นจริง เช่น นำข้อมูลส่วนบุคคลมาใช้ประโยชน์ด้านการจัดเก็บภาษี หรือนำมาใช้ในการสืบสวนเรื่องการเงิน เป็นต้น (ตามข้อ 31) และเจ้าของข้อมูลมีสิทธิเรียกร้องให้ลบข้อมูลนั้นๆ รวมทั้งลิงก์และสำเนาได้ (‘The right to be forgotten’ ตามข้อ 65) โดยการใช้ข้อมูลในจุดประสงค์ที่ไม่ตรงตามที่แจ้งไว้จะ ‘ไม่ถูกระงับ’ เพียงแค่ในกรณีที่ (1) จุดประสงค์ใหม่นั้นสอดคล้องกับจุดประสงค์เดิม และ (2) จุดประสงค์ใหม่ถูกรับรองโดย EU หรือประเทศสมาชิกว่าเป็นไปเพื่อ ‘public interest’ ตามข้อ 50 ที่ว่า กฎหมายของ EU หรือของประเทศสมาชิกมีอำนาจในการกำหนดและเจาะจงลงไปได้ว่า การกระทำและจุดประสงค์ในการใช้หนึ่งใดนั้นสอดคล้องกับจุดประสงค์เดิมและเป็นไปตามกฎหมาย
บางข้อสังเกตและสิ่งที่น่าตั้งคำถามต่อไป
ทั้งหมดเหล่านี้ทำให้เราพอจะเห็นภาพรวมของมากขึ้นว่า ถึงเนื้อหา GDPR ตัวเต็มดูเหมือนจะให้ความสำคัญกับสิทธิขั้นพื้นฐานของพลเมืองเท่าๆ กับอิสระของเอกชนในการจัดการกับข้อมูลส่วนบุคคลในยุคดิจิทัล แต่ก็ยังมีข้อสังเกต ข้อสงสัย และสิ่งที่น่าจับตามองอีกหลายข้อ อย่างง่ายที่สุดก็เช่น ขอบเขตของ Free flow of personal data อยู่ตรงไหน และนิยามของ National security ในสายตาของชาวยุโรปคืออะไร (แต่ไม่น่าจะเหมือนกับของไทยตอนนี้แน่ๆ)
คำถามต่อไปก็คือ ในกรณีของอเมริกาที่บริษัทส่วนใหญ่มักจะไม่ให้ความสำคัญกับข้อบังคับประเภทนี้นักจะเกิดการเปลี่ยนแปลงขึ้นบ้างไหม ในกรณีนี้ The New York Times เพิ่งรายงานออกมาเมื่อสิ้นเดือนมกราคมนี้เองว่าเริ่มมีการปรับตัวในบริษัทใหญ่ๆ บ้างแล้ว แต่ผู้เขียนคิดว่าคงเป็นเพราะบริษัทเหล่านั้นถือครองข้อมูลส่วนบุคคลของพลเมืองยุโรปอยู่เป็นจำนวนมากเท่านั้นเอง
อย่างเช่น ในช่วงสองเดือนที่ผ่านมา Google เริ่มเปิดให้ผู้ใช้งานทั่วโลกเลือกได้ว่าจะแชร์ข้อมูลไหนให้กับสินค้าหรือบริการไหนของเครือบ้างรวมทั้ง Gmail และ Google Docs ส่วน Amazon ก็เริ่มปรับปรุงเรื่องการเข้ารหัส (Data encryption) บนระบบ Cloud และทำข้อตกลงเกี่ยวกับการใช้ข้อมูลของลูกค้าให้เข้าใจง่ายขึ้น และ Facebook ก็เพิ่มฟังก์ชั่นให้ผู้ใช้งานจัดการ Privacy settings ของบัญชีตัวเองได้ง่ายขึ้น และครอบคลุมไปถึงเรื่องโฆษณาที่จะโผล่ขึ้นมาในหน้าฟีดของเราด้วย—แน่ชัดว่ายังไม่เพียงพอ แต่ก็อาจจะเป็นจุดเริ่มต้นที่พอจะทำให้พลเมืองโลกอย่างเราใจชื้นขึ้นมาได้บ้าง
เนื้อหา GDPR ตัวเต็มดูเหมือนจะให้ความสำคัญกับสิทธิขั้นพื้นฐานของพลเมืองเท่าๆ กับอิสระของเอกชนในการจัดการกับข้อมูลส่วนบุคคลในยุคดิจิทัล แต่ขอบเขตของ Free flow of personal data อยู่ตรงไหน
มาถึงตรงนี้แล้ว เราก็พอคาดเดาได้ว่าบริษัทที่ถูกกำหนดให้อยู่ภายใต้ GDPR นั้นต้องปรับตัวอย่างไร แต่สิ่งที่ทำให้เราอยากตั้งคำถามต่ออีกสักนิดในฐานะพลเมืองดิจิทัล ‘นอกยุโรป’ ที่คงจะยังไม่ได้รับผลกระทบโดยตรงมากนักในตอนนี้ ก็คือ บริษัทใหญ่ในเอเชียหรือของเอเชียที่ ‘ไม่ได้ถือครอง’ ข้อมูลส่วนบุคคลของพลเมืองยุโรป (ซึ่งเอาเข้าจริงอาจไม่มีหลงเหลืออยู่มากเท่าไหร่แล้วในปี 2018) หรือประเทศไทย ที่พูดแบบเหมารวมหน่อยคือไม่ได้เห็นหรือรู้สึกลึกซึ้งถึงความสำคัญของกระบวนการ Data protection ของบุคคลธรรมดาอยู่เป็นทุนเดิมนั้น จะต้องตื่นตัวแค่ไหน
และในเมื่อยังไม่ได้มีคำสั่งที่ตรงจัดชัดเจนว่าจะจัดการอย่างไรกับข้อมูลของ Non-European citizens ที่อยู่ในฐานข้อมูลของหน่วยงานใน EU แล้วอะไรคือสิ่งที่จะตามมา หากข้อมูลของเราถูกถ่ายโอนไปยังบุคคลหรือองค์กรที่เราผู้เป็นเจ้าของข้อมูลไม่ได้ให้การยินยอม อย่างแฮ็กเกอร์ นักเคลื่อนไหว บริษัทในเครือข่าย รัฐบาลของรัฐอื่น หรือกระทั่งรัฐบาลของเราเอง (ผู้ที่เราให้การยินยอมแล้ว แต่ ‘อาจ’ นำไปใช้โดยผิดจากจุดประสงค์ที่แจ้งไว้)
โดยใน The Guardian ก็เพิ่งโปรยประเด็นนี้ไว้เหมือนกันว่า ว่ารัฐบาล UK อาจจะใช้ GDPR (ที่ยังมีอิทธิพลต่อ UK ที่กำลังอยู่ในกระบวนการ Brexit) มาบังหน้า เพื่อเข้าถึงข้อมูลของผู้อพยพ (ทั้งที่เป็น Non-European และเป็นพลเมืองของประเทศสมาชิก EU ผู้กำลังอยู่ในกระบวนการขออนุญาตพำนักในประเทศ) โดยปราศจากความยินยอมของเจ้าของข้อมูล ซึ่งนอกจากจะทำให้ UK เสียภาพลักษณ์ที่ไปจำกัดสิทธิขั้นพื้นฐานของพลเมืองแล้ว ยังทำให้ UK เสียสายสัมพันธ์กับ EU (ที่ก็ไม่ค่อยจะมีอยู่แล้วหลังเริ่มกระบวนการ Brexit) และอเมริกาที่ดูเหมือนจะให้ความสำคัญกับ GDPR ทั้งฝั่งเอกชนอย่างที่กล่าวไป และฝั่งรัฐบาลที่ยังคงความพยายามในการดีล EU-US Privacy Shield หรือในชื่อเก่าที่รู้จักกันว่า Safe Harbor ด้วย
เหล่านี้ ทำให้ผู้เขียนอดคิดไม่ได้ว่า หรือสิ่งที่เรา—ในฐานะพลเมืองโลก—ควรถามกันเองในตอนนี้อาจมีเพียงแค่ว่า เราให้ความสนใจและให้ความสำคัญกับการคุ้มครองข้อมูลส่วนบุคคลของตัวเองมากเพียงพอแล้วหรือยัง
Fact Box
- อ่าน GDPR ฉบับเต็มแบบจัดหมวดหมู่ไว้แล้วได้ที่ https://gdpr-info.eu/
- ทำความเข้าใจ GDPR ให้มากขึ้นที่ https://www.youtube.com/watch?v=IJCZWQ6ehxg
