‘ข้อมูลส่วนบุคคล’ เป็นหนึ่งใน ‘สิทธิมนุษยชน’ แห่งโลกดิจิทัล ไม่ต่างจากประเด็นอื่นๆ ไม่ว่าจะเรื่องศักดิ์ศรีความเป็นมนุษย์ เชื้อชาติ ศาสนา สีผิว ภาษา เผ่าพันธุ์ หรือความเชื่อใดๆ ก็ตาม
แต่หลายครั้งข้อมูลส่วนบุคคลถูกนำไปใช้ในทางที่ผิด เพราะ ‘การดูแลรักษา’ และ ‘การปกป้อง-ป้องกัน’ ที่ไม่มีประสิทธิภาพ จนทำให้ ‘ดิจิทัลฟุตพรินต์’ (digital footprint) หรือร่องรอยบนโลกดิจิทัลรั่วไหลออกไปสู่ผู้ไม่หวังดี ส่งผลกระทบเชิงลบมาถึงเจ้าของข้อมูลได้
ดังนั้น ธุรกิจโทรคมนาคม ในฐานะผู้ให้บริการการเข้าถึงดิจิทัลที่เป็นคนถือและเก็บข้อมูลส่วนบุคคล จึงถูกตั้งคำถามในประเด็นดังกล่าว
นายมนตรี สถาพรกุล เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล บริษัท โทเทิ่ล แอ็คเซ็ส คอมมูนิเคชั่น (มหาชน) จำกัด หรือดีแทค ให้สัมภาษณ์กับสำนักข่าวออนไลน์ไทยพับลิก้าในประเด็นการคุ้มครองข้อมูลส่วนบุคคลว่า นโยบายด้านนี้ต้องคำนึงถึงหลักการสิทธิมนุษยชนเป็นลำดับแรก นอกจากนี้ยังต้องมีความโปร่งใสในการทำงาน เพื่อทำให้ลูกค้าที่เป็นเจ้าของข้อมูลมั่นใจในการดำเนินงานของบริษัท
ดีแทคมองว่า บริษัทเป็นเพียง ‘ผู้ควบคุมข้อมูลส่วนบุคคล (data controller)’ การใช้ข้อมูลต้องเป็นไปตามความยินยอม (consent) จากลูกค้า ตลอดจนเงื่อนไขหรือสัญญาที่ลูกค้าอนุญาต ภายใต้นโยบายความเป็นส่วนตัว “พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562” หรือ PDPA ประกอบด้วย สิทธิในการคัดค้าน (Right to Object) สิทธิในการเข้าถึง (Right to Access) สิทธิในการลบหรือทำลาย (Right to Erasure or Deletion) สิทธิในการขอรับหรือให้โอนย้าย (Right to Portability) และสิทธิในการขอระงับใช้ข้อมูล (Right to Suspend)
“นี่เป็นประเด็นที่ผู้มีส่วนได้ส่วนเสียให้ความสำคัญมาก โดยเฉพาะกลุ่มนักลงทุนจะถามอย่างเข้มข้นว่านโยบาย ‘ข้อมูลส่วนบุคคล’ เป็นอย่างไร เวลาไปโรดโชว์ก็ต้องแถลงจุดยืนชัดเจน เพราะทุกครั้งที่ลูกค้าเปิดโทรศัพท์ได้ทิ้งรอยเท้าบนโลกออนไลน์ อุตสาหกรรมโทรคมนาคมต้องมีส่วนรับผิดชอบ”
จัดเก็บ-รักษาข้อมูลตามหลัก ‘สิทธิมนุษยชน’ และ ‘สัญญาโทรคมนาคม’
คำว่า ‘ข้อมูลส่วนบุคคล’ อาจเรียกสั้นๆ ได้ว่าดาตา (data) ธุรกิจโทรคมนาคมมักจะแบ่งขั้นตอนที่เกี่ยวข้องกับดาตาเป็น 2 ขั้นตอนหลัก คือ (1) การรักษาข้อมูลหรือการจัดเก็บ และ (2) การนำดาตาไปใช้ต่อด้วยวิธีทางเทคนิค
ข้อมูลส่วนบุคคลไม่ได้หมายถึงชุดข้อมูลพื้นฐาน เช่น ชื่อ อายุ เพศ หรือข้อมูลติดต่อเท่านั้น แต่ยังครอบคลุมถึงข้อมูลที่มีความอ่อนไหว เช่น เชื้อชาติ ชาติพันธุ์ ความคิดเห็นทางการเมือง การเป็นสมาชิกสหภาพแรงงาน การแสดงออกทางเพศ ไปจนถึงข้อมูลทางพันธุกรรม ขณะเดียวกันก็มีข้อมูลที่สะท้อนพฤติกรรมของผู้ใช้งาน ตั้งแต่การโทรเข้า-ออก ตำแหน่ง พฤติกรรมการใช้แอปพลิเคชัน กระทั่งการเสิร์ชบนอินเทอร์เน็ต ฯลฯ
นายมนตรี อธิบายว่า บริษัทต้องรักษาข้อมูลของลูกค้า เบื้องต้นจะมี ‘สัญญา’ ที่ลูกค้าจะต้องเซ็นตอนก่อนเป็นลูกค้า โดยสัญญาของดีแทคจะระบุเพียงแค่ว่าบริษัทจะนำดาตาไปใช้กับกิจกรรมที่เกี่ยวข้องกับโทรคมนาคมเท่านั้น ซึ่งครอบคลุมแค่เพียงการนำเสนอผลิตภัณฑ์ต่างๆ
ดังนั้น หน้าที่ของดีแทคคือการจัดเก็บ-รักษาข้อมูล (cycle data) ตั้งแต่วันแรกของลูกค้าจนถึงวันสุดท้าย และดูแลให้อยู่บนเงื่อนไขของสัญญา จนกว่าลูกค้าจะให้ใช้งานกับวัตถุประสงค์อื่นได้ ทั้งหมดนี้คือการไม่ละเมิดสิทธิเสรีภาพของเจ้าของข้อมูล
“ทุกองค์กรในไทยหรือทั่วโลกทุกคนต้องการรู้จักลูกค้า เพื่อเสนอสินค้าให้ถูกต้องตามความต้องการ ยิ่งรู้ลึกเท่าไรยิ่งเสนอได้หนักขึ้น เหมือนการดักฟัง พอคุยเรื่องเที่ยวฮาวาย โพสต์เกี่ยวกับฮาวายก็มา แต่ประเด็นคือเราจะดูแลดาตาพวกนี้อย่างไรไม่ให้ใช้ผิดวัตถุประสงค์”
“สัญญา (data) ต้องมีเงื่อนไขให้ลูกค้ารู้ถึงวัตถุประสงค์ที่ใช้ ความชอบธรรมจะอยู่ที่เชิงการตลาด (commercial) และ PDPA ดาตาชุดนี้ใช้ได้แค่โทรคมนาคมเท่านั้น แต่ถ้าบริษัทเอาข้อมูลไปเสนอขายไอติม มันจะเป็นเงื่อนไขที่ไม่ชอบธรรม ไอติมไม่ได้ผิด แต่ความโปร่งใสไม่เกิดเพราะลูกค้าไม่รู้”
อำนาจทางกฎหมาย คือสิ่งสำคัญในการ ‘ขอข้อมูล’
ปฏิเสธไม่ได้ว่าข้อมูลส่วนบุคคลมักถูกร้องขอโดย ‘หน่วยงานรัฐ’ เพราะต้องการข้อมูลส่วนบุคคลไปใช้ต่อ และหลายกรณีการปฏิบัติตามคำขอของหน่วยงานภาครัฐ (authority request) อาจถูกมองว่ามีความเข้าข่ายละเมิดสิทธิมนุษยชน เช่น การขอข้อมูลส่วนบุคคล การปิดกั้นการเข้าถึงเนื้อหาในโลกออนไลน์ และการระงับสัญญาณในบางพื้นที่
โดยเหตุผลที่เข้าข่ายละเมิดสิทธิมนุษยชน เพราะการส่งต่อข้อมูลไม่อยู่ในเงื่อนไขสัญญาที่ลูกค้าทราบตั้งแต่ต้น
เมื่อดาตาไม่ต่างจากทองคำบนโลกดิจิทัล และธุรกิจโทรคมนาคมเป็นผู้ถือทองคำทั้งหมด ทำให้การขอข้อมูลเป็นประเด็นที่ต้องให้ความสำคัญอย่างยิ่ง ดีแทคจึงแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer) ซึ่งทำงานเป็นอิสระจากส่วนงานอื่น คอยทำหน้าที่ดูแลข้อมูลส่วนบุคคลตามกฎหมาย บริหารจัดการความเสี่ยง เฝ้าระวัง และรายงานหากมีการละเมิดนโยบายความเป็นส่วนตัวหรือเหตุการณ์ข้อมูลรั่วไหล
แต่หากมีการขอข้อมูลที่ฝ่ายคุ้มครองข้อมูลฯ ไม่สามารถตัดสินใจเองได้ มีคณะกรรมการและฝ่ายที่เกี่ยวข้องมาประชุมหารือและตัดสินใจร่วมกัน
นายมนตรี ให้ข้อมูลว่า ดีแทคแบ่งรูปแบบการเข้าถึงข้อมูลเป็น 4 กลุ่ม โดยทั้งหมดต้องมีคำสั่งทางปกครองหรือหมายศาลเพื่อให้เกิดความชอบธรรมในการเข้าถึงข้อมูล ดังนี้
- การขอชุดข้อมูลผู้ใช้บริการ โดยหน่วยงานรัฐ (historical data) ดีแทคอาจอนุญาตให้หน่วยงานภาครัฐเข้าถึงข้อมูลส่วนบุคคลบางกรณี เช่น การเข้าถึงประวัติการใช้งาน และการตรวจสอบข้อมูลการใช้งาน โดยต้องเป็นหน่วยงานรัฐที่มีอำนาจตามกฎหมายเท่านั้น เช่น การปราบปรามปัญหาอาชญากรรม ความมั่นคงของชาติ ตลอดจนการค้นหาบุคคลสูญหาย
- การปิดเว็บไซต์ (website blocking) และจำกัดการเข้าถึง (blocking) เว็บไซต์ ตัวอย่างเช่น เว็บไซต์ที่มีเนื้อหาลามกอนาจารเด็ก การพนัน หมิ่นเบื้องสูง ฯลฯ
- การปิดโครงข่าย (network shutdown) หรือเสาสัญญาณในบางพื้นที่ด้วยเหตุผลความมั่นคงของชาติ เช่น เหตุก่อการร้าย เป็นต้น
- การขอความร่วมมือในการเผยแพร่ประชาสัมพันธ์ข้อมูลของทางราชการ (distribution of authority information) โดยคำนึงจากประโยชน์ของส่วนรวม ตัวอย่างเช่น การเตือนภัยน้ำท่วมผ่านข้อความสั้น (SMS) ฯลฯ
ขณะเดียวกัน นายมนตรี ให้ความมั่นใจว่าเจ้าหน้าที่ที่มีสิทธิเข้าถึงข้อมูลส่วนบุคคลได้ จะต้องถูกตรวจสอบอย่างเข้มข้น ตัวอย่างเช่น พนักงานคอลเซ็นเตอร์ที่มีสิทธิเข้าถึงข้อมูลเชิงลึกได้ แต่อาจมีพฤติกรรมเข้าไปดูข้อมูลแฟน ซึ่งเป็นการเข้าถึงข้อมูลโดยไม่ถูกวัตถุประสงค์ ดังนั้นดีแทคจึงมีระบบตรวจสอบและสามารถเข้าไปดูการทำงานของพนักงานที่มีสิทธิเข้าถึงข้อมูลลูกค้าได้
“ผมเรียนเสมอว่าการขอข้อมูลของหน่วยงานรัฐ หรือการดูเฉยๆ บนวัตถุประสงค์อื่นทำไม่ได้จนกว่าจะมี ‘อำนาจทางปกครอง’ แต่บริษัทอื่นมองว่าไม่ต้องห่วง เพราะระบบมีการเข้ารหัสที่ตอบโจทย์เชิง security แล้ว แต่เรามองว่าที่ไม่ตอบโจทย์คือการใช้ข้อมูล เพราะการให้เข้าไปดู ก็คือใช้ข้อมูลแล้ว เราถึงยืนหยัดเสมอว่ากระทั่ง ‘การเข้าถึง’ ก็ต้องให้อำนาจเรา”
นายมนตรี ยกตัวอย่างกรณีแก๊งคอลเซ็นเตอร์ กสทช. บอกปากเปล่าว่าให้ดีแทคสามารถเข้าไปดูเนื้อหาได้ทันทีว่าเป็นเนื้อหาหลอกลวงหรือไม่ แต่ดีแทคก็ยืนยันว่าการดูเนื้อหาถือว่าผิดหลักการ ไม่สามารถทำได้
“เราพยายามทำให้หน่วยงานที่เกี่ยวข้องเข้าใจว่า คำว่า ‘ขอ’ ข้อมูล คือเตรียมข้อมูลให้ มันมีกิจกรรมgการเข้าถึง ภายใต้การขอ แล้วเอามาจัดเก็บหรือประมวล และต้องส่ง หลายคนยังมองว่าการขอคือแชร์อย่างเดียว”
ในทางกลับกัน การยึดหลักการว่าต้องรอคำสั่งทางปกครองเท่านั้น บางครั้งบางเหตุการณ์ก็ทำให้การทำงานและการตัดสินใจของ ดีแทคล่าช้า และไม่ทันท่วงทีกับสถานการณ์ที่เกิดขึ้น
“กรณีเหตุการณ์กราดยิงที่โคราช ที่ห้างเทอร์มินอล 21 ที่มีไลฟ์ เราสามารถปิดการสื่อสารในห้างได้ แต่โดยสภาพเราไม่มีอำนาจ เราต้องรอคำสั่งศาลจริงๆ เขาบอกว่าถ้ามีเงื่อนไขบางอย่างให้คุณประเมินสถานการณ์ ถ้าชัดแจ้ง ปิดเลย ซึ่งทำไม่ได้ ถ้าทำก็ผิดกฏหมาย เรารอคำสั่ง แต่คำสั่งไม่มา เพราะคนที่เกี่ยวข้องไม่รู้ว่า ใครมีอำนาจในการสั่งการ กลับกลายเป็นว่าเฟซบุ๊กเป็นคนปิดเองเพราะไปขัดนโยบาย เฟซบุ๊กตัดเลย ขณะเดียวกันเรายังรอคำสั่ง แต่ทำอะไรไม่ได้”
“สถานการณ์ที่บางครั้งเราได้แต่นั่งมอง กรณีพายุจะเข้าสมุทรปราการ (ปี 2563) เราได้รับคำขอจากหน่วยงานรัฐ แต่ส่งลอยๆ ถึงทีมการตลาดว่าจะมีพายุขึ้นทางภาคตะวันออก เขาต้องการให้เราส่งเอสเอ็มเอส ภายในวันไหนบ้าง แต่ตัวแปรคือใช้อีเมล์ที่ไม่ได้เป็นโดเมนหน่วยงานต้นสังกัด พอทีมได้รับข้อความ หน้าที่เราคือเช็คกลับไปต้นสังกัด ว่าเจ้าหน้าที่คนนี้มีตัวตนใช่ไหม คำสั่งจริงไหม ปรากฏว่าจริง เราถึงทำตรงนี้ให้”
นายมนตรี เล่าอีกว่า “บางสถานการณ์ที่เป็นพื้นที่ขอบตะเข็บกับการส่งเอสเอ็มเอสต้องระวัง เช่น จังหวัดระยอง อำเภอที่หนึ่ง สอง สาม สี่จะมีพายุเข้า แต่เวลาพายุมาไม่ได้โดนแค่ 4 อำเภอ แต่ขอบเขตที่เหลื่อมออกมาจากขอบตะเข็บของอำเภอ คนที่บ้านห่างกันนิดเดียวก็เป็นอีกอำเภอ มีการคุยกันว่าจะครอบคลุมขนาดไหน อย่างน้อยให้เขาไม่เสียสิทธิรับการแจ้งเตือน เพื่อให้ทุกคนได้รับข้อมูลข่าวสารที่เป็นประโยชน์ต่อสาธารณะจริงๆ”
ดูเพิ่มเติม
https://www.dtac.co.th/sustainability/th/rb/Human-Rights
https://www.dtac.co.th/sustainability/th/rb/Data-Privacy
ข่าวหรือบทความที่เกี่ยวข้อง
