ThaiPublica

สามัญดิจิทัล : “กฎหมายกับความเป็นส่วนตัวในโลกดิจิทัล”
ThaiPublica > เกาะกระแส > สามัญดิจิทัล : “กฎหมายกับความเป็นส่วนตัวในโลกดิจิทัล”

สามัญดิจิทัล : “กฎหมายกับความเป็นส่วนตัวในโลกดิจิทัล”

1 ตุลาคม 2015

เมื่อวันที่ 25 กันยายน 2558 ศูนย์สังคมและวัฒนธรรมร่วมสมัยศึกษา คณะสังคมวิทยาและมานุษยวิทยา มหาวิทยาลัยธรรมศาสตร์ จัดสัมมนาวิชาการประจำปี 2558 ในหัวข้อ “สามัญดิจิทัล: พหุลักษณ์ของเทคโนโลยีสื่อและข้อมูลในสังคมวัฒนธรรมร่วมสมัย” โดยมีวิทยากร ดร.ปรัชญา บุญขวัญ นักวิจัย ห้องปฏิบัติการเทคโนโลยีการประมวลผลภาษาธรรมชาติและความหมาย (LST) NECTEC Thailand นายบรรยง บุญ-หลง สถาปนิกสมาคมสถาปนิกอเมริกา นายอัครนัย ขวัญอยู่ นักวิจัยมูลนิธิสถาบันเพื่อการพัฒนาประเทศไทย (TDRI) อาจารย์ฐิติรัตน์ ทิพย์สัมฤทธิ์กุล คณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์ และร่วมแลกเปลี่ยนโดยมีวัตถุประสงค์สร้างความตระหนักรู้และทำความเข้าใจต่อเทคโนโลยีดิจิทัลในสังคมวัฒนธรรมร่วมสมัยในหลากมิติและหลายระดับ และเปิดพื้นที่ให้นักวิชาการด้านสังคมศาสตร์ได้เรียนรู้แลกเปลี่ยนจากนักวิชาการหลากหลายสาขาวิชา

อาจารย์ฐิติรัตน์ ทิพย์สัมฤทธิ์กุล
อาจารย์ฐิติรัตน์ ทิพย์สัมฤทธิ์กุล

ต่อจากตอนที่ 3 ของนายอัครนัย ขวัญอยู่ นักวิจัยมูลนิธิสถาบันเพื่อการพัฒนาประเทศไทย (TDRI)ในเรื่องการออกแบบนโยบายภาครัฐและเอกชนด้วย big data และยังทิ้งประเด็นเรื่องการเข้าถึงข้อมูลส่วนบุคคลได้อย่างคาดไม่ถึง ซึ่งอาจารย์ฐิติรัตน์ ทิพย์สัมฤทธิ์กุล พูดต่อในหัวข้อ “กฎหมายกับความเป็นส่วนตัวในโลกดิจิทัล” ในแง่ว่ากฎหมายจะเข้ามามีบทบาทอย่างไรระหว่างภาครัฐกับภาคเอกชนและบุคคลทั่วไป โดยอธิบายที่มาและแนวคิดกฎหมายคุ้มครองข้อมูลส่วนบุคคล

“ในส่วนของกฎหมายกับความเป็นดิจิทัล ก็จะขัดแย้งกับวิทยากรทั้งสามท่านก่อนหน้านี้ ที่พูดเรื่องความเป็นไปได้และอนาคตอันรุ่งโรจน์ว่าจะใช้ big data ทำอะไรได้บ้าง”

นักกฎหมายเป็นพวกมองโลกในแง่ร้าย เราต้องพยายามมองในแง่ว่ามันจะเกิดปัญหาอะไรขึ้นจากการที่เอาเทคโนโลยีใหม่ๆ มาใช้ คือ กฎหมายวิ่งตามไปแก้ปัญหาโดยที่ไม่แน่ใจว่าแก้ได้หรือไม่ แต่ต้องแก้ไว้ก่อน

ดังนั้น สิ่งที่กฎหมายต้องปรับตัวตลอดเวลา จริงๆ แล้วไม่ใช่แค่ในเรื่องของดิจิทัลหรือ big data เท่านั้น แต่ไม่ว่าเป็นนวัตกรรมอะไร หรือเวลามีการเคลื่อนไหวหรือกิจกรรมใหม่ๆ ของมนุษย์เกิดขึ้น ก็จะเป็นสิ่งที่กลับไปท้าทายความคิดหรือหลักการณ์ของกฎหมายเสมอว่าใช้ได้อยู่หรือไม่

วันนี้ก็น่าสนใจทั้งประเด็น big data หรือการคุ้มครองข้อมูลความเป็นส่วนตัวในโลกของยุคดิจิทัล เป็นประเด็นที่กฎหมาย หลักการความเป็นส่วนตัว กฎหมายเดิมยังใช้ได้อยู่หรือไม่ หรือว่าเป็นเพียงหลักการลอยๆ ในกระดาษที่เราไม่สามารถทำอะไรกับมันได้แล้ว

คือทางวิทยากรสามท่านอาจจะรู้สึกว่ามันใหญ่โตมากเลย แม้แต่เราก็ยังไม่รู้ว่ามันไปไกลแค่ไหน

ประเด็นแยกเป็น 3 ส่วน

1. วิธีคิดเกี่ยวกับ privacy (ความเป็นส่วนตัว) เป็นอย่างไร โดยไม่สนใจว่าเป็น big data หรือไม่
2. big data ท้าทายอะไร
3. บริบทในเมืองไทยว่าเป็นอย่างไร

ในส่วนแรก เริ่มจากความเสี่ยงและโอกาสที่ถ้าแบ่งเป็น 2 ฝั่ง ฝั่งแรกคือความเป็นส่วนตัว อีกฝั่งคือ free flow of information (การไหลเวียนอย่างอิสระของข้อมูล) ซึ่งการไหลเวียนอย่างอิสระของข้อมูลเป็นต้นกำเนิดของกิจกรรมทางเศรษฐกิจต่างๆ ที่นำมาซึ่งความเจริญหรือความเติบโตทางเศรษฐกิจ

ในส่วนของโอกาส จะเห็นว่ามีเยอะมากมาย ทั้งเรื่องการพัฒนาตัวระบบเอง พอระบบพัฒนาได้ก็ขยายการเข้าถึง ทั้งข้อมูลและการเข้าถึงการรับบริการต่างๆ ทำให้ชีวิตเราสะดวกสบาย หรือช่วยพัฒนาคุณภาพชีวิตได้มากขึ้น แล้วก็ยังนำไปสู่การเพิ่มขีดความสามารถในการแข่งขัน ทั้งการแข่งขันของตัวข้อมูลเองหรือนวัตกรรมใหม่ๆ อีกทั้งมีประเด็นทางสาขาต่างๆ มีทั้ง public health (สาธารณสุข) security (ความปลอดภัย) law enforcement (การบังคับใช้กฎหมาย) และอื่นๆ

พอมาดูด้านความเสี่ยง สิ่งแรกที่จะคิดถึงคือความมั่นคงของระบบรักษาความปลอดภัยว่า ในเมื่อต้อง process ข้อมูลในระดับเยอะขนาดนี้แล้วระบบรับไหวไหม มีต้นทุนเท่าไหร่ และถ้ารับไม่ไหวจะเกิดอะไรขึ้น

ความเสียหายที่ตามมาไปได้ไกลแค่ไหน และนี่เป็นสิ่งที่ต้องใส่ใจมากที่สุดเป็นประเด็นของระบบ

ฐิติรัตน์1

นอกจากระบบแล้วยังเป็นประเด็นของคนใช้ข้อมูล หรือคนที่ดูแลระบบว่ามีนโยบายด้านความเป็นส่วนตัวอย่างไร เพราะต่อให้ระบบดีแค่ไหน ก็ยังมีข่องโหว่ที่ผู้ใช้ได้อยู่ เช่น ต่อให้ระบบของโรงพยาบาลดีแค่ไหน ถ้าพนักงานโรงพยาบาลยกมือถือมาแคปหน้าจอข้อมูลของผู้ป่วย ทุกอย่างจบ อาจจะมีกฎหมายหรือ sanction รับรองว่าถ้าพยาบาลคนนี้เอาข้อมูลไปเปิดเผยแล้วทำให้ผู้ป่วยเสียหาย จะมีบทลงโทษอะไร ก็ไม่ใช่ทำให้ความเสี่ยงน้อยลง แต่มันเป็นการชดเชย (compensate) ความเสี่ยงหรือความเสียหายที่เกิดขึ้นแล้ว ดังนั้นความเสี่ยงก็ยังเป็นความเสี่ยงอยู่ดี

ส่วนสุดท้ายก็จะเป็นความรู้ความเข้าใจที่จำกัดของทั้งตัวข้อมูลและตัวผู้ที่ควบคุมข้อมูลด้วย อย่างที่เห็นกันว่ามันไกลเกินกว่าจะจินตนาการได้ว่ามันจะทำอะไรได้บ้าง ตัวเราเองก็อาจไม่เข้าใจเต็มที่ สรุปคือ เราจะมีทั้งความเสี่ยงและโอกาส แต่เราจะทำอะไรต่อ

เรื่องสิทธิความเป็นส่วนตัว (right to privacy) แบ่งเป็น ด้านลบ (negative right) และด้านบวก (positive right) ถ้าดูจากสิทธิมนุษยชน มันจะเริ่มจากสิทธิด้านลบ (negative right) มาก่อน คือการไม่ถูกแทรกแซงจากอำนาจที่เหนือกว่า หรือไม่ถูกแทรกแซงจากอำนาจรัฐ คือ right to be let alone (สิทธิที่จะอยู่คนเดียว) ขอมีชีวิตเป็นส่วนตัว และในความเป็นส่วนตัว เราจะใช้ชีวิตแบบไหนก็ได้ นี่เป็นสิทธิที่ได้รับการรับรองมาตั้งแต่สงครามโลกครั้งที่ 2 คือ Universal Declaration of Human Rights (ปฏิญญาสากลว่าด้วยสิทธิมนุษยชน) ก็ถูกรับรองต่อๆ ไปในสนธิสัญญา ในกฎหมายระหว่างประเทศต่างๆ รวมถึงรัฐธรรมนูญไทยก็รับรองมาตั้งแต่ปี 2534

ส่วนที่สองคือสิทธิด้านบวก (positive right) สิทธิในการควบคุมการไหลเวียนของข้อมูลของตัวเอง คือข้อมูลของเราไปอยู่ที่ไหน เราต้องรู้ ต้องมีสิทธิจะรับรู้และควบคุมได้ด้วย ถ้าผิดต้องเข้าไปแก้ไขได้

ส่วนที่จะเป็นปัญหา คือมีทั้งสองส่วน ที่ผ่านมาจะเน้นที่ประเด็นแรก ตราบใดที่ข้อมูลนั้นเอาไปใช้ในทางที่เจ้าของข้อมูลไม่ได้รับความเสียหาย เราก็ยังไม่ตระหนักเท่าไหร่ แต่พอเป็นยุคของ big data ที่เราไม่รู้ว่าข้อมูลของเราจะถูกนำไปใช้อะไรบ้าง ก็จะมาตระหนักในประเด็นที่สองมากขึ้น (สิทธิในการควบคุมการไหลเวียนของข้อมูล)

แล้วการรั่วไหลของข้อมูล หรือการที่ข้อมูลมีปัญหา จะเป็นปัญหาตอนไหนบ้าง แบ่งเป็น 4 ขั้นตอนด้วยกัน ซึ่งเป็นขั้นตอนทั่วไปของกฎหมายการคุ้มครองข้อมูลส่วนบุคคล (Data Protection Act)

1. ขั้นตอนของการเก็บข้อมูล
2. ขั้นตอนของการใช้และประมวลผล
3. การเผยแพร่ ทั้งการใช้ข้อมูลที่จัดเก็บมาหรือเอาไปเผยแพร่ให้บุคคลที่สาม (stakeholder อื่นๆ ) เพื่อหาประโยชน์ที่มากขึ้น
4. การเก็บข้อมูลไว้ในระบบ (system maintenance)

ในแต่ละส่วนมีความเสี่ยงได้หมด ได้แก่

ขั้นตอนที่ 1 คือ เก็บข้อมูลมาด้วยความยินยอมหรือไม่ เก็บจากเจ้าของข้อมูลโดยตรงหรือไม่ คนที่ให้ความยินยอมเข้าใจแค่ไหน
ขั้นตอนที่ 2 ผู้เก็บข้อมูลเอาไปใช้ตามวัตถุประสงค์ที่แจ้งหรือไม่
ขั้นตอนที่ 3 เผยแพร่ไปถึงใคร การแชร์ข้อมูลไปไกลแค่ไหน
ขั้นตอนที่ 4 ความปลอดภัยในการเก็บรักษาเป็นอย่างไร

keyword ของความเป็นส่วนตัวในทางสากล ตั้งแต่ก่อนยุค big data ก็จะเป็นประมาณนี้ ความยินยอม เป็นความยินยอมที่กระทำบนการเลือกได้หรือไม่ ไม่ใช่ว่าหากคุณไม่ยินยอมจะรับบริการนี้ไม่ได้ หรือถ้าไม่ยินยอมจะไม่ได้รับการผ่าตัด เช่นนี้เป็นการยินยอมจริงๆ หรือไม่ คือ การยินยอมบนพื้นฐานของการเข้าใจจริงๆ

ส่วนที่ 2 คือวัตถุประสงค์ที่ชัดเจน จำกัด เข้าใจได้ ว่าจะเอาไปใช้อะไร เช่น privacy policy (นโยบายความเป็นส่วนตัว) ที่เจอในอินเทอร์เน็ตที่ขึ้นมาเวลาซื้อแอปพลิเคชันที่มี 20 หน้า ไม่รู้อ่านจริงๆ หรือเปล่า อย่างนี้ไม่แน่ใจว่าคือ จำกัด ชัดเจน หรือไม่

ความปลอดภัยและโปร่งใสในการจัดเก็บข้อมูล

และสุดท้าย คือ เจ้าของข้อมูลสามารถเข้าถึงข้อมูลได้ เข้าไปแก้ไขข้อมูลที่ผิด และมีส่วนร่วมในการตรวจสอบ

ฐิติรัตน์

พอเข้าสู่ยุค big data ที่ปริมาณข้อมูลเยอะมาก รวดเร็ว และหลากหลาย ซึ่งมาท้าทายหลักการของความเป็นส่วนตัวที่กล่าวข้างต้น

ประเด็นแรก ความยินยอม อย่างการเก็บข้อมูลที่ไม่ได้ใหญ่มาก มันสามารถเก็บได้โดยตรง เป็นครั้งคราวได้ ในขณะที่ big data การมอบความยินยอมครั้งเดียว อาจจะนำไปสู่การใช้ที่หลากหลายมากมายได้ และอาจเป็นเงื่อนไขในการรับบริการหลายๆ อย่าง

ส่วนวัตถุประสงค์ที่จำกัด ชัดเจน ก็ยิ่งโดนท้าทายมาก เพราะในยุคก่อน เราสามารถอธิบายในเฉพาะกรณีได้ แต่ในยุค big data บางครั้งแม้แต่ผู้เก็บข้อมูลเอง ณ ช่วงที่เก็บข้อมูลก็อาจจะยังไม่รู้ว่าจะมีความเป็นไปได้เอาไปใช้อะไรได้บ้าง อย่างที่คุณอัครนัยบอกว่ามีโอกาสจะเอาไปใช้ได้เยอะมากๆ แล้วถ้าเราจำกัดวัตถุประสงค์ตามหลักการ (principle of information purpose) ข้อมูลที่อุตส่าห์ได้มาก็เอาไปใช้ได้ไม่เต็มที่ ซึ่งจะก็ขัดแย้งกับแนวคิด big data เอง

เรื่องความปลอดภัย ในช่วงก่อน big data ข้อมูลยังไม่เยอะมาก ความปลอดภัยจะขึ้นกับผู้ใช้ข้อมูลที่มีเจตนาดี (good fate) แต่พอเข้ายุค big data แม้จะมีเจตนาที่ดี แม้จะมีเทคโนโลยี ด้วยความซับซ้อนและกว้างขวาง รวมไปถึงต้นทุนและประสิทธิภาพของการทำให้ข้อมูลนั้นลบการระบุตัวตนได้ (anonymize) นี่เป็นวิธีหนึ่งของการเอาข้อมูลส่วนบุคคลไปใช้โดยที่ไม่ทำให้เกิดความเสียหาย ไม่แทรกแซงความเป็นส่วนตัวของเจ้าของข้อมูลนั้นๆ แต่ต้นทุนและประสิทธิภาพทำได้ขนาดไหน มีงานวิจัยออกมามากมายว่า แม้จะลบการระบุตัวตนไปแล้ว แต่มันก็ย้อนกลับไประบุตัวตนได้อยู่ดี

เคยมีการวิจัยในปี 2006 ว่า ในอเมริกา 85% ของข้อมูลส่วนตัวที่เก็บมา ที่ลบการระบุตัวตนไปแล้ว สามารถกลับมาระบุตัวตนได้ด้วยข้อมูลแค่ 3 ชนิดเท่านั้น ได้แก่ เพศ อายุ และรหัสไปรษณีย์ ซึ่งก็ไม่ใช่ข้อมูลที่อ่อนไหวอะไรมาก เราสามารถให้ข้อมูลเหล่านั้นไปได้โดยไม่ได้รู้สึกอะไร แต่ว่ามันสามารถกลับมาระบุตัวตนของเราได้

ทีนี้ ประเด็นของการเข้าถึงและมีส่วนร่วม เป็นประเด็นของข้อมูลที่จำกัดและความซับซ้อนของเครือข่ายอีกเช่นกัน แล้วกฎหมายจะทำอะไร ปรับตัวตามเทคโลโลยีได้อย่างไร เราคาดหวังอะไรจากกฎหมาย

สิ่งหนึ่งที่พูดกันมากคือ กฎหมายต้องสร้างความชัดเจนว่าจะเก็บได้แค่ไหน เปิดเผยได้แค่ไหน ขอความยินยอมอย่างไร เป็นสิ่งที่ผู้ประกอบการทั้งหลายขอให้รัฐเขียนมาให้ชัด และมีหลักการที่สอดคล้องกัน ตัวอย่างเช่น กรณีของกูเกิล เรื่องสิทธิที่จะถูกลืม (right to be forgotten) ที่มีการฟ้องร้องกันมากมาย กูเกิลไม่ได้มีปัญหากับการลบข้อมูล (แม้จะมีปัญหาเรื่องการใช้ต้นทุนที่จะลบรายชื่อของบุคคลเหล่านั้นไม่ให้โผล่มาตอนเสิร์ชชื่อ) แต่มีปัญหาว่ามาตรฐานอยู่ตรงไหน เพราะสำหรับคนที่ทำงานเรื่อง compliance ในบริษัทมันเป็นประเด็นมาก คือการมีกฎหมายไม่ได้มีข้อเสียอย่างเดียวว่าจะถูกกำกับดูแลตลอดเวลา เพราะการมี regulation เป็นเกราะป้องกันอย่างหนึ่งสำหรับผู้ประกอบการ ว่าถ้าเขาปฏิบัติตามขั้นตอนเหล่านี้แล้ว ถ้าเกิดความเสียหายขึ้นมาเขามีข้ออ้างที่จะไปแก้ตัวในศาลว่าความเสียหายนี้เกิดจากเหตุสุดวิสัยและไม่ได้มีเจตนาร้าย

ดังนั้น หน้าที่ที่กฎหมายจะเข้ามากำหนดมาตรฐาน มันทำให้เกิด obligation of conduct คือผู้ประกอบการต้องทราบว่าตัวเองจะทำอะไร อาจจะไม่ต้องการันตีว่าผลสุดท้ายจะไม่เกิดความเสียหาย เพราะระบบมันซับซ้อนมาก มีโอกาสจะเกิดความเสียหายได้ เมื่อมันจัดการข้อมูลระดับใหญ่ขนาดนี้ จึงจำเป็นต้องมีมาตรฐานซึ่งต้องมีหลักการรองรับชัดเจน

เวลาเราพูดถึงเรื่องการร่าง พ.ร.บ. ร่างข้อมูลคุ้มครองส่วนบุคคล เรามักมีปัญหาเสมอ เพราะเรามาคุยเรื่องนี้โดยที่ยังไม่มีกฎหมายรัฐธรรมนูญ พอไม่มีกฎหมายรัฐธรรมนูญเราก็ไม่รู้จะอ้างอะไร อย่างที่เราคุยกันว่าสิทธินี้เป็นสิทธิด้านลบ (สิทธิที่จะไม่ถูกแทรกแซงจากรัฐ) เป็นสิทธิขั้นพื้นฐานอย่างหนึ่ง ดังนั้น ถ้าเป็นสิทธิขั้นพื้นฐาน จะมีความสำคัญอยู่ที่ว่า ถ้าจะจำกัดสิทธิ ก็ต้องมี justification (ข้ออ้างอันสมเหตุสมผล) และการจำกัดสิทธินี้ต้องกระทำโดยเครื่องมือที่ได้สัดส่วนและสมเหตุสมผล

ถ้าไม่มีอะไรให้เราอ้างอิงว่าพื้นฐานของสิทธิพวกนี้อยู่ตรงไหน เราเลยไม่รู้ว่ากฎหมายฉบับนี้ออกมาเพื่อคุ้มครองข้อมูลส่วนตัวหรือเพื่อสนับสนุนการไหลเวียนของข้อมูลอย่างอิสระ

จริงๆ แล้วทั้งสองลักษณะนี้ไม่ได้ขัดแย้งกันเสมอไป แต่กฎหมายต้องให้น้ำหนักว่าจะให้อย่างไหนมากกว่า

ประเด็นที่สอง คือ ข้อยกเว้น ที่ต้องมีแน่นอน เรื่องความเป็นส่วนตัวไม่ใช่ absolute right มันเป็นสิทธิที่ถูกจำกัดได้ แต่ข้อยกเว้นนั้นต้องสมเหตุสมผล หมายความว่าเป็นข้อยกเว้นที่ตั้งอยู่บนความเข้าใจธรรมชาติของการเก็บและใช้ข้อมูลในแต่ละประเภท เพราะข้อมูลแต่ละประเภทไม่เหมือนกัน

ข้อมูลที่ไม่ได้อ่อนไหว เช่น ข้อมูลพันธุกรรม เป็นข้อมูลที่ใช้วิเคราะห์เพื่อเกิดประโยชน์สาธารณะได้ ก็ไม่จำเป็นต้องคุ้มครองเท่ากับข้อมูลทางการแพทย์

มาดูที่กฎหมายไทย มันจะมีข้อยกเว้นในร่าง พ.ร.บ.ส่วนบุคคลล่าสุด ข้อที่เคยถกเถียงกันมากว่า งานวิจัยหรือการเอาข้อมูลไปใช้ในการวิจัยควรจะเข้าเป็นข้อยกเว้นหรือไม่ ก็เข้าๆ ออกๆ อยู่ในร่างนั้น บางทีก็มีบางทีก็ไม่มี อย่างร่างล่าสุด ไม่มีแล้ว

ร่างล่าสุดกำหนดข้อยกเว้นที่ใหญ่ๆ คือการเก็บรวบรวมเฉพาะเพื่อกิจกรรมสื่อมวลชน การศิลปกรรม และงานวรรณกรรม ซึ่งเป็นที่เข้าใจได้เพราะงานสื่อสารมวลชนจำเป็นต้องเปิดเผยข้อมูลส่วนบุคคล หรือใช้ข้อมูลส่วนบุคคลบางประการ เพื่อนำเสนอข่าวที่เป็นประโยชน์แก่สาธารณชน ซึ่งการกำกับดูแลแม้จะไม่ใช่จากกฎหมายนี้ ก็อาจมีกฎหมายอื่นๆ เชิงกฎหมายสื่อสารมวลชน หรือเป็นการกำกับดูแลกันเองในกลุ่มกันเองก็เป็นไปได้

กลับมาที่ต้องมีการระบุข้อยกเว้นที่สมเหตุสมผล ในต่างประเทศก็จะมีตัวอย่างที่ระบุไว้ชัดเจนว่า ถ้าจะเอาข้อมูลไปใช้ในการสื่อสารมวลชนจะต้องมีแค่ไหน

แต่พอมาเป็น big data เราไม่แน่ใจว่าที่ระบุไว้จะรวมความเป็นไปได้ในเชิงเทคโนโลยีที่จะเกิดขึ้นในอนาคตหรือไม่

โดยรวมคือมาตรฐานต้องชัดเจน ละเอียด เพียงพอ เข้าใจง่าย ซึ่งเป็นข้อเรียกร้องของกฎหมายทุกอย่างอยู่แล้ว กฎหมายที่ดีในโลกนี้ควรจะเป็นกฎหมายที่กำหนดให้เราสามารถรู้ได้ว่า ทำอะไรแล้วผิด ทำอะไรแล้วไม่ผิด คือ ความแน่นอน (certainty) ควรจะเกิดจากกฎหมาย

ก็เป็นคำถามต่อไปว่า แล้ว big data จะเป็นอย่างไร นอกจากนี้ กฎหมายต้องกำหนดหลักประกันเพื่อสร้างความเชื่อใจให้กับคนทั่วไปที่จะใช้ข้อมูลและโซเชียลมีเดียต่างๆ ได้รู้ว่า ข้อมูล แม้ personal data จะเป็น new currency (เงินตราใหม่) แต่การเชื่อใจว่าบริษัทนี้จะไม่เอาข้อมูลเราไปใช้ในทางเสียหาย ก็ไม่เป็นไร ก็ให้ได้สำหรับคนที่ไม่รู้สึก sensitive ขนาดนั้น สำหรับคนที่ sensitive ก็อาจจะไม่เชื่อใจก็ได้

ทีนี้กฎหมายต้องมาเป็นตัวกลาง เชื่อมระหว่างการไหลเวียนที่อิสระของข้อมูลและการคุ้มครองข้อมูล

ฐิติรัตน์

มีอีก keyword หนึ่งที่พูดกันบ่อยๆ คือ privacy by design ที่ว่า กฎหมายอาจจะไม่บอกรายละเอียดว่ามีมาตรฐานอะไรที่กำหนดบ้าง แต่ขอให้ผู้ประกอบการหรือผู้ที่เอาข้อมูลไปใช้รายงานมาให้ชัดเจนว่า การดำเนินกิจการของคุณมีเรื่องความเป็นส่วนตัวในจุดไหนบ้าง และประกาศให้สาธารณชนรับรู้

คือเป็นเทคนิคทางกฎหมายอย่างหนึ่งที่กฎหมายจะไม่เข้าไปแทรกแซงการดำเนินกิจการของบุคคลอย่างละเอียด เพราะเราสันนิษฐานไม่ได้ว่านักกฎหมายรู้จักทุกอย่าง แต่เรามีมาตรฐานบางประการที่ขอให้เอกชนไปคิดกันเองว่า ถ้าจะทำให้ลูกค้าของคุณเชื่อใจการเอาข้อมูลไปใช้ คุณจะมีนโยบายอย่างไร

จะเห็นทุกวันนี้ว่ามีนโยบายออกมาตามเว็บไซต์ต่างๆ ที่เราใช้ หรือตามห้างร้านที่เราเข้าไปใช้บริการ ก็จะมีเขียนประกาศไว้อยู่ แต่จะอ่านกันหรือเปล่าก็เป็นอีกเรื่อง

นอกจากประเด็นว่าอยากให้กฎหมายทำอะไร ยังมีประเด็นที่แม้แต่นักกฎหมายเองยังเถียงกันไม่จบ เอามาให้ดูในที่นี้ 3 ประเด็น

1. อะไรคือนิยามของ personal data (ข้อมูลส่วนตัว) ถ้าพูดในสมัยก่อน อาจจะไม่ยากมาก คืออะไรที่เป็นข้อมูลที่สืบไประบุตัวตนได้ แต่พอมีเทคนิคการระบุอีกครั้ง (re-identification) มี big data ที่สามาารถเอาข้อมูลมาประมวลผล และบอกได้ว่าใครเป็นใคร จากข้อมูลที่ดูเหมือนไม่ได้ระบุอะไรเลย แปลว่า all data is personal data (ข้อมูลทุกอย่างคือข้อมูลส่วนตัว) หรือไม่ นี่เป็นคำถามที่ใหญ่มาก และสั่นสะเทือนวงการกฎหมาย เพราะถ้าบอกว่า ข้อมูลทุกอย่างคือข้อมูลส่วนตัว เอาหลักการเก่ามาจับ ก็แชร์อะไรกันไม่ได้เลย ไม่มีการยินยอม ไม่สามารถเก็บอะไรได้เลย นวัตกรรมต่างๆ ที่วิทยากรสามท่านกล่าวมาทำไม่ได้หากไม่มีความยินยอม

2. ต่อให้แยกแยะได้อย่างชัดเจนว่าข้อมูลใดนับว่าเป็นข้อมูลส่วนตัว แล้วความเป็นไปได้ การบังคับใช้ หรือความเป็นไปได้ในการบังคับใช้จริง ถ้าบอกว่าต้องมีการแจ้งความยินยอมทุกครั้ง ไม่ต้องคิดมาก มีความยินยอมก็เอาไปใช้ได้ ต้องคุยกับเจ้าของข้อมูลให้ดี แต่ในความเป็นจริง ความยินยอมไม่ได้ขอกันง่ายๆ คนเรามักมีความรู้สึกว่าเรากลัวไว้ก่อน หรือบางทีเราก็ไม่ได้อยากให้ แต่อยู่ในสถานการณ์ว่าไม่ให้แล้วมันไม่สะดวก ก็เป็นประเด็น

นำไปสู่การ opt-in และ opt-out เป็นประเด็นเรื่องของการให้ความยินยอม opt-in คือ ถ้าอยากจะเอาข้อมูลไปใช้ ให้บอก ส่วน opt-out คือ โดยหลักการแล้วสามารถนำข้อมูลไปใช้ได้ แต่ถ้าไม่อยากให้ใช้เมื่อไหร่ ให้บอก นึกออกกันใช่ไหมว่าแบบไหนยากง่ายกว่ากัน

คือในฝั่งของผู้ประกอบการที่อยากเก็บข้อมูลต้องชอบแบบ opt-out แน่นอน มีงานวิจัยบอกมาจำนวนหนึ่งว่า คนเราถ้าให้กระทำอะไรในเชิงบวก โดยทั่วๆ ไปจะไม่ค่อยทำกัน จึงไม่มีคำตอบที่บอกว่า opt-in หรือ opt-out แบบไหนดีกว่ากัน

ก็มีการเสนอตัวเลือกว่า ในเมื่อแนวคิดตอนนี้ ต้องการสร้างความสมดุลระหว่างความเป็นส่วนตัวและการไหลเวียนที่อิสระของข้อมูล เพื่อให้กิจกรรมทางเศรษฐกิจดำเนินไปอย่างเสรี และนำมาสู่คุณภาพชีวิตที่ดีขึ้นของมนุษย์ เราก็ควรสร้างสมดุลระหว่างความเสี่ยงและโอกาส โดยข้อมูลที่สำคัญมากก็ให้ opt-in และข้อมูลที่สำคัญน้อยเมื่อเปรียบเทียบกับผลประโยชน์ที่จะได้รับก็ให้ opt-out

พอเป็นเช่นนี้ เราอาจจะไม่ต้องจัดประเภทนิยามให้ชัดเจนว่า ข้อมูลส่วนตัวคืออะไร แต่เราจัดลำดับชั้นของมันว่า ข้อมูลแบบไหนที่มีความเสี่ยงมากน้อยกว่ากัน ซึ่งก็เป็นคำถามต่อว่ากฎหมายทำได้แค่ไหน

ในส่วนของประเทศไทย ว่ารัฐธรรมนูญคุ้มครอง ร่างใหม่ที่ล้มไปแล้วก็คุ้มครอง ก็คิดว่าคงรับรองต่อไป

ในภาครัฐ ก็มีกฎหมายที่คุ้มครองในภาครัฐอยู่แล้ว แต่ในความเป็นจริงก็มีนโยบายที่ส่งเสริมการสอดส่องข้อมูลมาก แต่ว่ามาตรฐานการคุ้มครองข้อมูลก็ยังน้อยและไม่ชัดเจนเท่าไหร่

แต่ข้อมูลในภาคเอกชนตอนนี้อยู่ในสภาวะกึ่งๆ anarchy คือ ใครจะเอาไปใช้อะไรก็ได้ ตราบใดที่ไม่ก่อให้เกิดความเสียหายขึ้นจริง

ในความเป็นจริง หากจะรอให้เกิดความเสียหายแล้วกฎหมายตามไปจัดการ ก็จะไม่ใช่การคุ้มครองความเสี่ยง มันจะเป็นการชดเชยความเสียหายเท่านั้น

ก็มีความกดดันจากต่างประเทศ โดยเฉพาะประเทศคู่ค้า ที่จะให้เมืองไทยยกระดับการคุ้มครองข้อมูลที่อยู่ในมือของเอกชน และการคุ้มครองก็นำมาสู่ร่างกฎหมายทั้งหลายทั้งปวงของรัฐ ร่าง พ.ร.บ.ข้อมูลส่วนบุคคลควรเป็นหนึ่งในนั้น

ก็นำไปสู่คำถามเรื่องการคุ้มครองข้อมูลในภาครัฐ ดังที่วิทยากรก่อนหน้านี้ (คุณอัครนัย) เล่าว่า มีความพยายามอยากใช้ big data เข้ามาประมวลผลในภาครัฐเช่นกัน ว่ามาตรฐานที่มีมาตั้งแต่ปี 2540 จนถึงปัจจุบัน ที่โลกเปลี่ยนไปเยอะมาก มาตรฐานดังกล่าวจำเป็นต้องเปลี่ยนไปด้วยหรือไม่”

อย่างไรก็ดี คุณปรัชญาเพิ่มเติมว่า ข้อมูลเรื่อง เพศ อายุ และรหัสไปรษณีย์ นั้นจะระบุได้ในเชิงทำนายคาดการณ์เท่านั้น คือระบุได้ 50-70% ยังเป็นข้อมูลทางการแพทย์เท่านั้นที่ระบุตัวตนได้ 100%

ดูเพิ่มเติม

ข่าวหรือบทความที่เกี่ยวข้อง

ป้ายคำ :