ยินยอมไม่ใช่คำตอบของการใช้ 'ข้อมูลส่วนบุคคล' พ.ร.บ.คุ้มครองข้อมูลฯ บรรทัดฐานใหม่ของชีวิตดิจิทัล - Decode
Reading Time: 3 minutes

จำได้ไหม…ว่าวันหนึ่ง ๆ เราแจกเบอร์โทรศัพท์ไปกี่คน
จำได้ไหม…ว่าเดือนหนึ่ง ๆ เรากรอกเลขบัตรประชาชนกี่ครั้ง
จำได้ไหม…ว่าปีหนึ่ง ๆ เราให้สำเนาบัตรประชาชนกับใครไปกี่หน

ความทรงจำที่เลือนรางของคนเราอาจไม่ได้เพียงแปรผันตามอายุขัย แต่อาจแปรผันตามปริมาณอย่างที่เกิดขึ้นกับ “ข้อมูลส่วนบุคคล” ก็เป็นได้ ด้วยโลกปัจจุบันข้อมูลส่วนบุคคลจำนวนมหาศาลถูกใช้ขับเคลื่อนชีวิต เศรษฐกิจ และสังคมให้เดินไปข้างหน้าอย่างไม่รู้จบ จึงไม่ใช่เรื่องแปลกหากคนเราจะจดจำได้ไม่หมดว่าเคยเปิดเผยข้อมูลอะไรไปบ้าง

“ธรรมชาติของข้อมูลในปัจจุบันนี้จะมีประโยชน์มากก็ต่อเมื่อมาอยู่รวมกันมากพอให้สามารถใช้เทคโนโลยีนำไปวิเคราะห์ต่อได้“ทัศนะของ ฐิติรัตน์ ทิพย์สัมฤทธิ์กุล อาจารย์ประจำคณะนิติศาสตร์ ธรรมศาสตร์ จึงช่วยตอกย้ำความไม่น่าแปลกใจว่าเหตุใดคนถึงไม่ได้ตระหนักถึงพลังของข้อมูลส่วนบุคคลที่ถูกทำตกเกลื่อนพื้นในชีวิตประจำวัน

นี่จึงเป็นเหตุหนึ่งที่ทำให้ไทยเพิ่งทำคลอด “พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562” หรือ PDPA (Personal Data Protection Act) ไปสด ๆ ร้อน ๆ ทำให้หลายคนต้องตกในสถานะคุณพ่อคุณแม่มือใหม่ ที่ยังไม่รู้จะรับมือกับลูกน้อยคนนี้อย่างไร

Decode จึงชวนทุกคนมาทำความเข้าใจ  เพื่อเรียนรู้และผลักดัน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฉบับนี้ให้เติบโตไปพร้อม ๆ กันผ่านมุมมอง อ.ฐิติรัตน์ ทิพย์สัมฤทธิ์กุล

“เวลาเราซื้อของแพง เราจ่ายแพงกว่าเพราะอะไร…แบตสำรองอย่างเนี่ย เราจ่ายตังค์ซื้อแบตสำรองที่แพงกว่าเพราะเรารู้ว่ามันจะไม่ระเบิดไง แค่นั้นเอง ซึ่งถามว่าเรารู้ไหมว่าเขามีวิธีการผลิตยังไง ใช้วัสดุอะไรถึงไม่ระเบิด เราไม่รู้หรอก แต่เราเชื่อใจในแบรนด์ เชื่อใจในชื่อเสียงของเขา ยิ่งถ้ามาจากประเทศที่มาตรฐานการผลิตมันมีการรับรอง มีการควบคุมคุณภาพ เราก็สบายใจขึ้นอีก”

อาจารย์นักกฎหมายแห่งรั้วเหลืองแดง เริ่มต้นเปรียบเทียบวิธีการตัดสินใจซื้อสินค้าของคนคาดหวังความปลอดภัยสูงที่สุด แม้จะต้องจ่ายแพงกว่าก็ยอม ซึ่งวิธีคิดนี้ไม่ได้ต่างกับเวลาที่คนเราจะตัดสินใจว่าจะให้ข้อมูลส่วนตัวของเรากับใคร หรือหน่วยงานใด

เช่นที่เกิดขึ้นกับการใช้ข้อมูลส่วนบุคคลติดตามควบคุมโรคของรัฐในขณะนี้

ก่อนที่จะไปถึงประเด็นนั้น เมื่อจะทำความรู้จัก พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล สิ่งหนึ่งที่ต้องเข้าใจก่อนคือ พ.ร.บ.ฉบับนี้ ไม่ได้มุ่งที่จะกำกับการใช้ข้อมูลในชีวิตประจำวันของคุณ คุณยังสามารถขอเบอร์สาวที่หมายตาได้เหมือนปกติ หรือทำหนังสือรุ่นระบุที่อยู่ อีเมล เพื่อเป็นของที่ระลึกในวันจบการศึกษาแจกจ่ายกันได้ตามความพอใจ ตราบที่ทำด้วยความเคารพซึ่งกันแหละกัน และไม่ได้ทำให้เขาเหล่านั้นเกิดความเสียหาย

แต่ก็ใช่ว่าจะไม่มีกฎหมายดูแลในส่วนนี้ เพราะไทยมีทั้งกฎหมายแพ่ง และอาญาที่เกี่ยวข้องกับการละเมิดดูแลอยู่แล้ว แต่ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลนั้น จะมุ่งไปกำกับการเอาข้อมูลไปใช้งานให้เกิดประโยชน์ ซึ่งเป็นสิ่งที่ภาคธุรกิจ และหน่วยงานรัฐหลีกเลี่ยงไปไม่ได้

สำหรับประชาชนทั่วไป พ.ร.บ.ฉบับนี้แทบจะไม่ได้เข้ามาแตะต้องรูปแบบการใช้ชีวิตเลยก็ว่าได้ ขอเพียงทำความเข้าใจความสำคัญของข้อมูลส่วนบุคคลสักนิด ก็จะช่วยให้ พ.ร.บ.ดังกล่าวทำงานได้เต็มศักยภาพ

เก็บข้อมูลส่วนบุคคลได้ตามรายทาง

“เมื่อก่อนมันจะมีเว็บไซต์หรือโปรแกรมดูดวง ที่เปิดให้ดูดวงจากเบอร์มือถือ แล้วเราก็ใส่เบอร์ไป แล้วเขาก็อาจรู้เลยว่าเบอร์มือถือนี้ชอบดูดวง อยู่ที่ไหน เล่นเกมอะไร อายุประมาณเท่าไหร่ มันอาจเอาไปใช้ประกบกับข้อมูลอื่น ๆ แล้วประมวลผลได้เยอะ”

เพียงแค่ตัวอย่างการเปิดเผยข้อมูลส่วนบุคคลแรกที่ อ.ฐิติรัตน์ ยกขึ้นมาทำเอาเราเองหลุดขำออกมาทันที เพราะไม่กี่วันก่อนในขณะที่เรากำลังศึกษาประเด็นข้อมูลส่วนบุคคล ก็ใช้เวลาช่วงหนึ่งพักสมองไปกับการท่องเว็บไซต์ดูดวงลักษณะดังกล่าว โดยไม่มีสักเสี้ยวหนึ่งที่เอะใจเลยว่ากำลังเป็นคนที่ถูกเก็บข้อมูลส่วนตัวอยู่

การเก็บข้อมูลพื้นฐานง่าย ๆ เช่นนี้พบได้บ่อยในโลกออนไลน์ ที่คนมักเพลิดเพลินไปกับบริการต่าง ๆ จนหลวมตัวให้ข้อมูลส่วนตัวมากเกินความจำเป็น ซึ่งก็มีหลายกรณีที่ไม่ได้เกิดจากการเผอเรอของผู้ใช้เพียงฝ่ายเดียว แต่ระบบเก็บข้อมูลเหล่านั้นต่างมีชั้นเชิงเกินกว่าที่คนทั่วไปจะคาดถึง

“แอพหนึ่งที่ให้ถ่าย(ภาพ)ว่าอีกสิบปี(หน้า)เราจะเป็นยังไง หรือสิบปีที่แล้วเราเป็นยังไง โดยให้อัพโหลดรูปเราเข้าไป สิ่งที่แอพนี้หรือคนที่เก็บข้อมูลนี้ได้ไปคือ หน้าคนเราในระยะเวลา 10 ปีเปลี่ยนไปเท่าไหร่ เอาอันนี้ไปสอน AI ฉลาดเลย คนใช้ไม่รู้หรอกสนุกมากตอนเล่น”

หากถามว่ารู้เช่นนี้แล้วคนจะไม่เลือกที่จะร่วมสนุกกับกิจกรรมประเภทนี้หรือไม่ อ.ฐิติรัตน์ตอบอย่างรวดเร็วว่า “ไม่” เพียงแต่ผู้ใช้งานจะสามารถรับรู้ถึงความเสี่ยงที่อาจเกิดขึ้น ซึ่งเป็นสิ่งที่พวกเขาควรรู้ก่อนเลือกจะแชร์ข้อมูลส่วนตัวเท่านั้น อีกทั้งการพัฒนาให้ปัญญาประดิษฐ์สามารถจดจำใบหน้าคนได้ ด้านหนึ่งหากใช้ในทางที่ถูกต้องก็เป็นประโยชน์ ทั้งการติดตามบุคคลที่สูญหาย ไปจนถึงการตรวจสอบอาชญากร

อ.ฐิติรัตน์ ยังพูดถึงอีกกรณีหนึ่งที่เคยเกิดขึ้นในไทย และเป็นสิ่งที่ทุกคนมีโอกาสประสบได้ คือการที่มีผู้ที่นำสำเนาบัตรประชาชนไปเปิดใช้เบอร์โทรศัพท์มือถือ จากนั้นนำเบอร์ดังกล่าวแจ้งเปลี่ยนบัญชีธนาคาร ก่อนที่นำบัญชีดังกล่าวไปทำธุรกรรมหลอกลวงบุคคลอื่น ซึ่งท้ายที่สุดเมื่อมีการติดตามเรื่องราวก็ไม่สามารถยืนยันตัวตนผู้กระทำผิดได้เลย เพราะหลักฐานทั้งหมดมุ่งไปยังเจ้าของสำเนาบัตรประชาชนที่ตกกระไดพลอยโจนเป็นจำเลยอย่างไม่รู้เนื้อรู้ตัว

ในระยะหลังมานี้หลายหน่วยงานก็ตระหนักถึงความเสี่ยงดังกล่าว จึงหลีกเลี่ยงที่จะร้องขอสำเนาบัตรประชาชนโดยไม่มีความจำเป็น ซึ่งการยืนยันในหลายกรณีก็อาจทำได้ด้วย ด้วยวิธีการขอดูเพื่อตรวจสอบเพียงเท่านั้น ไม่ต้องถ่ายสำเนาไว้เสมอไปซึ่งเป็นทิศทางที่ดีขึ้น ต่างกับกรณีของการขอข้อมูลของในการขนส่งสินค้าที่กำลังถูกตั้งคำถาม ถึงความจำเป็นในการระบุหมายเลขโทรศัพท์หน้ากล่อง

โดยการขอข้อมูลหมายเลขติดต่อนั้น นับว่าไม่ผิดวิสัยที่สามารถทำได้ เนื่องจากธุรกิจดังกล่าวมีความจำเป็นที่จะต้องติดต่อลูกค้า อีกทั้งนโยบายด้านกฎหมายโดยปกติเมื่อผู้ส่งจัดส่งเรียบร้อยแล้วก็จำเป็นต้องลบเบอร์นั้นทันที

“สิ่งที่แย่คือเอาเบอร์นี้ไปแปะหน้ากล่อง คือมันมีความจำเป็นอะไรที่คนอื่นจะต้องมารู้ ซึ่งคนไทยไม่ค่อยทำ อย่างเราเวลาทิ้งซองจดหมาย ซองพวกนี้สิ่งที่เราทำคือ เอาปากกาขีดฆ่าข้อมูลส่วนตัวให้หมด มันควรต้องทำ แต่คนไทยอาจยังไม่ค่อยชิน”

หน้าที่ของคนอย่างเรา ๆ คือ เมื่อต้องให้ข้อมูลใดกับใครก็จำเป็นต้องเก็บหลักฐานไว้ หรือหากต้องกรอกเอกสารที่มีการขอข้อมูลส่วนบุคคลจำนวนมาก เราอาจทำการขอคัดลอกสำเนาเอกสารนั้นเพื่อใช้อ้างอิงหากเกิดการใช้งานผิดจากข้อตกลง และสำคัญที่สุดต้องมีสติทุกครั้งที่จะให้ข้อมูลไม่ว่าจะเล็กน้อยเพียงใดก็ตาม

ความยินยอมไม่ใช่คำตอบของทุกสิ่ง

“ไม่รุกล้ำความเป็นส่วนตัว ใช้ข้อมูลเท่าที่จำเป็น และเป็นธรรมกับทุกฝ่าย” นับเป็นหัวใจหลักของพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลที่ อ.ฐิติรัตน์ ย้ำอยู่เสมอว่าหากทำตามนี้ได้ทุกอย่างก็จบ แต่เหตุหนึ่งที่ยังยืดเยื้อก็เพราะหลายคนมักถือเอา“ความยินยอม” เป็นตัวตัดสินนั่นเอง

อย่างในหลายครั้งที่เราตั้งคำถามเมื่อได้รับการติดต่อทั้งทางโทรศัพท์ หรือข้อความจากบริษัทที่เราไม่เคยเกี่ยวข้องด้วยเลยว่าเขารู้จักตัวตนของเราได้อย่างไร โดยหากสืบย้อนกลับไป เราเองเป็นผู้ที่ให้ความยินยอมแก่เขาไม่ทางใดก็ทางหนึ่งอย่างไม่รู้เนื้อรู้ตัว

เมื่อคนไม่สามารถเปลี่ยนกันในข้ามคืนได้ จึงเกิดวิธีคิดการควบคุมในอดีต อ.ฐิติรัตน์ เล่าว่า ทุกคนเชื่อว่าจะควบคุมข้อมูลได้ก็ต่อเมื่อได้รับความยินยอม นั่นจึงเป็นที่มาของ Consent Dilemma ที่ทุกแอพพลิเคชันแข่งกันให้ข้อมูลรายละเอียดในขั้นตอนการขอความยินยอม ด้วยคิดว่ายิ่งเยอะเท่าไหร่ยิ่งดี

แต่กลับกลายเป็นว่า “ยิ่งละเอียดเท่าไหร่ยิ่งไม่มีเวลาอ่าน ยิ่งละเอียดเท่าไหร่ยิ่งอ่านไม่รู้เรื่อง และท้ายที่สุดก็ไม่สามารถตัดสินใจอย่างเป็นเหตุเป็นผลได้”

คุณจึงไม่ใช่คนเดียวที่ทุกครั้งที่ถูกขอความยินยอม สิบวินาทีแรกคุณจะตั้งใจอ่านข้อกำหนดอย่างเต็มที่ แต่เมื่อเห็นความยาวของข้อตกลง ก็ถอดใจเลื่อนลงด้านล่างสุดเพื่อกดยินยอมโดยทันที

พ.ร.บ.ฉบับใหม่นี้ต้องการช่วยปิดช่องว่างดังกล่าว ด้วยการลดการพึ่งพิงความยินยอมเพียงอย่างเดียว เน้นให้ผู้ประกอบการให้ข้อมูลที่เจาะจง โดยเฉพาะกรอบการใช้ข้อมูลเท่าที่สัญญามีขอบเขตไว้ตั้งแต่ต้น

“ความยินยอมเป็นหนึ่งในเหตุของการใช้ข้อมูล แต่ว่ามันใช้ฐานความจำเป็นอื่น ๆ ก็ได้”

สถานะ…รอการบังคับใช้บางมาตรา

ย้อนกลับไปสู่ที่มาของกฎหมายนี้ อ.ฐิติรัตน์ เล่าว่ามีแนวคิดมาตั้งแต่สมัยรัฐธรรมนูญ ปี 2540 แล้ว ในขณะนั้นมีความต้องการที่จะให้รัฐเปิดเผยข้อมูลทางราชการให้สามารถตรวจสอบได้ จึงมี พ.ร.บ.ข้อมูลข่าวสารราชการ แต่ในข้อมูลราชการเหล่านั้นหากมีส่วนที่มีข้อมูลส่วนบุคคลก็ต้องมีการปกปิดและคุ้มครองด้วย ในภาคเอกชนก็เช่นเดียวกัน ประกอบกับนานาชาติให้ความสำคัญกับมาตรฐานความเป็นส่วนตัวและความปลอดภัยของข้อมูล ไทยจึงต้องเร่งปรับตัวไม่ให้ตกขบวน โดยเฉพาะในกลุ่มบริษัทที่เห็นโอกาสทางธุรกิจจากข้อมูล ซึ่งมีจำนวนไม่น้อยต้องทำงานร่วมกับต่างชาติ

โดยหลักการง่าย ๆ คือ ไม่ว่าจะเป็นองค์กรรัฐหรือเอกชนที่มีการเก็บข้อมูลส่วนบุคคลไป ต้องอธิบายให้ได้ว่าจะนำไปใช้เพื่ออะไร และจะต้องไปใช้นอกขอบข่ายที่ตกลงกันไว้ ซึ่งจะลดการเก็บข้อมูลที่เกินความจำเป็นไป

อ.ฐิติรัตน์ ยกตัวอย่างประกอบ อย่างกรณีของบริษัทโทรคมนาคมที่ต้องการเข้าถึงโลเคชันของผู้ใช้บริการ ซึ่งเป็นประเด็นที่เข้าใจได้ เนื่องจากเขาจำเป็นต้องทำหน้าที่สนับสนุนสัญญาณให้เข้าถึงพื้นที่ที่ลูกค้าอาศัยอยู่จริง ในทางกลับกันมีความจำเป็นอย่างไรที่ร้านสะดวกซื้อจะต้องเก็บข้อมูลที่อยู่ผู้ใช้บริการ นอกจากจะตีความว่าไปว่า พวกเขากำลังใช้ข้อมูลลูกค้าเพื่อส่งเสริมการขายเพียงฝั่งเดียว

พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลจะช่วยขีดเส้นการใช้ โดยเฉพาะกรณีของการแบ่งปันข้อมูลในกลุ่มบริษัทเครือเดียวกัน ที่ทำธุรกิจในหลายกลุ่ม

“ภาคธุรกิจใหญ่ ๆ ปรับตัวไปตั้งแต่ก่อนกฎหมายจะออกแล้ว พวกนี้ยังเป็นส่วนหนึ่งที่ผลักดันให้เกิดกฎหมายไทยด้วยซ้ำ เพราะว่ามันง่ายกว่า แทนที่เขาจะต้องไปไล่ดูว่ากฎหมายแต่ละประเทศเป็นยังไง ถ้ากฎหมายไทยมันมีมาตรฐานเดียวกัน แล้วทุกคนก็แข่งกันบนมาตรฐานนี้ พูดง่าย ๆ คือ ชีวิตเขาง่ายขึ้น เขาไม่ต้องไปคอยวิ่งตาม ว่าทำงานกับเยอรมันก็ต้องไปดูกฎหมายเยอรมันเป็นยังไง ทำงานกับอเมริกาก็ต้องดูกฎหมายอเมริกา”    

จึงเป็นเหตุที่ในช่วงปี 2017-2018 หลายคนล้วนต้องผ่านประสบการณ์ได้รับอีเมล์หรือข้อความที่แจ้งการปรับเปลี่ยนนโยบายความเป็นส่วนตัวให้สอดคล้องกับ GDPR ซึ่งเป็นกฎหมาย EU การถูกขอให้ยืนยันตัวตน หรือขอความยืนยอมใหม่เรื่องความเป็นส่วนตัวของข้อมูลเมื่อเขาใช้บริการ ซึ่งนั่นนับเป็นจุดเริ่มต้นเล็ก ๆ ที่ทำให้คนทั่วไปเริ่มส่งเสียง เอ๊ะ กับการให้ข้อมูลส่วนบุคคลเป็นครั้งแรก ๆ

ฟังไปฟังมาก็ดูจะเตรียมกันมาดีแล้ว แล้วเหตุใดสถานะปัจจุบัน จึงหยุดอยู่ที่ “รอการบังคับใช้บางมาตรา”  

อ.ฐิติรัตน์ อธิบายว่า พ.ร.บ.ฉบับนี้มีผลบังคับใช้ตั้งแต่เดือน พ.ค. ปี 2562 แต่ยังยกเว้นบางมาตราที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล สิทธิของเจ้าของข้อมูล การร้องเรียน ความรับผิดทางแพ่ง เป็นต้น ซึ่งตามกำหนดเดิมต้องบังคับใช้ในเดือนพ.ค. ที่เพิ่งผ่านมา แต่ก็มีพ.ร.ฎ.ออกมาเลื่อนการบังคับใช้ส่วนนี้ต่อไปอีก

แม้เป็นเรื่อง “เข้าใจได้” ด้วยสถานการณ์โรคระบาดโควิด-19 ที่ดันพอเหมาะพอเจาะกับ 3 เดือนสุดท้ายก่อนมีผลบังคับใช้พอดี แต่อ.ฐิติรัตน์ เห็นว่า “ความเข้าใจผิด” ก็มีส่วนผลักดันเล็ก ๆ ให้กฎหมายนี้ถูกเลื่อนออกไปอีก

หากเป็นองค์กรใหญ่ ๆ ที่ต้องทำงานกับข้อมูลจำนวนมากอย่าง ธนาคาร ผู้ให้บริการโทรคมนาคม เหล่านี้คงเตรียมการมาล่วงหน้านานแล้ว แต่ไม่ใช่กับองค์กรเล็กที่ช่วงก่อนกฎหมายบังคับใช้อาจเป็นเวลาทอง ประกอบกับสภาพคล่องของบริษัทที่ต้องตัดสินใจใช้เงินไปกับเรื่องอื่นในสภาวะวิกฤตก่อน หรือโรงพยาบาลที่ทำงานเกี่ยวกับข้อมูลส่วนบุคคลของคนขนาดมหึมา แต่ต้องทุ่มสรรพกำลังไปกับการควบคุมโรค การเรียกร้องขอให้เลื่อนออกไปจึงฟังดูไม่แปลก

แต่ก็บางส่วนที่ยังเข้าใจผิดว่าการจะทำตามกฎหมายนี้ได้ต้องยกเครื่องระบบรักษาความปลอดภัยทั้งหมด และลงทุนกับการใช้เทคโนโลยีราคาแพง ซึ่งไม่ใช่สิ่งที่จำเป็นกับทุกองค์กร

“ถ้าคุณไม่ได้เป็นระดับกูเกิล เฟซบุ๊ก การเปลี่ยนแปลงในองค์กรเพื่อยกระดับการคุ้มครองข้อมูลส่วนบุคคลไม่ได้มีต้นทุนขนาดนั้น พวกนั้นยอมรับว่าเขาต้องจ่ายเงินเยอะมากกับการที่ต้องทำตามกฎหมายข้อมูลส่วนบุคคลให้ได้เยอะ แต่ในแง่หนึ่งคือมันแฟร์นะ เพราะคุณได้ประโยชน์ คุณทำกำไรจากข้อมูลเยอะมากเลย คุณจะลงทุนเพื่อที่จะให้ข้อมูลมันปลอดภัย หรือเป็นส่วนตัวเนี่ย มันไม่ใช่ต้นทุนที่ควรจะเป็นเหรอ”

แม้จะมีการเตรียมการมาดีเพียงใด แต่เมื่อเป็นกฎหมายใหม่อย่างไรเสียก็คงเลี่ยงไม่ได้ที่อาจจะพบจุดบกพร่อง อย่างที่เคยเกิดในพ.ร.บ.คอมพิวเตอร์ ซึ่งอยู่ในชุดกฎหมายดิจิทัลเช่นเดียวกัน ด้วยปัญหาการตีความผิดเจตนารมณ์ในการร่างจนถูกวิพากษ์วิจารณ์

“อย่างเรารับนักศึกษาเข้ามา มหาวิทยาลัยสัมภาษณ์ถามเด็ก ๆ ที่ใช้อินเทอร์เน็ตกันเยอะ ๆ ว่าอะไรที่เขาคิดว่าเป็นกฎหมายที่มีปัญหาในบ้านเมืองไทย 70% ก็จะตอบ พ.ร.บ.คอม แสดงว่าเสียงที่เราพยายามวิพากษ์วิจารณ์มันไปถึงนะ นำไปสู่การถกเถียงและพยายามทำความเข้าใจในบรรดาคนทั่วไปและส่งผลให้หน่วยงานที่บังคับใช้กฎหมายเขาก็ต้องสนใจเสียงเหล่านี้”

อ.ฐิติรัตน์ ชี้ว่าจุดที่ต่างกันของพ.ร.บ.สองฉบับนี้คือ พ.ร.บ.คอมพิวเตอร์มีลักษณะที่ใครฟ้องใครก็ได้ ซึ่งเจตนาก็เพื่อควบคุมผู้ใช้งานเป็นหลัก ในขณะที่พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลต่างออกไป เพราะเจตนาหมายที่จะกำกับการใช้ข้อมูลของภาคธุรกิจ ทั้งในทางที่เอื้อและจำกัดการใช้ข้อมูล เพราะกฎหมายต้องการสนับสนุนให้เกิดการใช้ประโยชน์จากข้อมูลแต่ต้องถูกต้อง และเป็นธรรม

ด้วยการกำหนดหน้าที่ของผู้ควบคุมข้อมูล ซึ่งหากเจ้าของข้อมูลต้องการใช้สิทธิก็สามารถติดต่อผู้ดูแลให้แก้ไขได้ หากไม่ได้รับการตอบสนองที่เป็นธรรมจึงจะใช้สิทธิตามกฎหมายอย่างการร้องเรียนไปที่คณะกรรมการฯ ซึ่งขั้นตอนเหล่านี้ก็จะช่วยลดปัญหาการฟ้องร้องอย่างที่เคยเกิดขึ้นกับพ.ร.บ.คอมพิวเตอร์ได้

แกะรอยจาก”เจตนาดี”ของการติดตามตัวช่วงโควิด-19

เมื่อพูดถึงการเก็บข้อมูลส่วนบุคคลจำนวนมหาศาล ก็อดไม่ได้ที่จะต้องถามถึงแพลตฟอร์มของรัฐบาลที่ใช้ในการควบคุมโรคระบาด ซึ่งมีการขอข้อมูลจำนวนมาก โดยเฉพาะฝั่งของผู้ประกอบการ จนเป็นที่มาของการตั้งข้อสังเกตถึงความปลอดภัยของชุดข้อมูลดังกล่าว

แม้ประชาชนจะทราบดีว่าการรวบรวมข้อมูลของรัฐอย่างเป็นระบบจะสร้างประโยชน์ได้ แต่เมื่อพูดถึงความปลอดภัย อ.ฐิติรัตน์ อธิบายพร้อมเสียงหัวเราะว่า ไม่มีใครสามารถรับรองได้ว่าปลอดภัย 100% แต่เป็นความพยายามให้ปลอดภัยมากที่สุด

อย่างไรก็ตามสิ่งที่ขาดไป อ.ฐิติรัตน์ มองว่าเป็นเรื่องการสื่อสารอย่างเป็นเหตุเป็นผล เพราะตลอดระยะเวลาที่ผ่านมา “เจตนาดี” ถูกหยิบยกมาตอบข้อสงสัยในหลายครั้ง ซึ่งไม่สร้างความมั่นใจใดให้ประชาชนเลย

“สุดท้ายมันก็กลับมาว่าเราไว้ใจหน่วยงานที่เอาข้อมูลไปใช้มากแค่ไหน ชื่อเสียงที่ผ่านมาเขาเป็นยังไง หรือถ้าเราไม่รู้จักเขาเลย สิ่งที่เขาต้องทำคือเขาต้องขาย ต้องอธิบายแต่ในกรณีนี้มันอาจยังเป็นหารอธิบายที่ไม่ตรงจุดเสียทีเดียว…ลำพังแค่เจตนาดี ไม่เคยการันตีอะไรเลย”

แต่ที่ว่าจะต้องระบุแหล่งเก็บข้อมูลเลยหรือไม่นั้น อ.ฐิติรัตน์ กล่าวว่า อาจไม่จำเป็นเพราะอาจเป็นการชี้ช่องให้เกิดการโจมตีข้อมูล แต่ผู้ควบคุมต้องแจ้งให้ทราบว่า เก็บไว้อย่างปลอดภัยหรือไม่ ดูแลข้อมูลอย่างไร ซึ่งสอดคล้องกับหลักการของพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล

ปัญหามากนักไม่ให้ข้อมูลใครเลยได้ไหม

มีคนจำนวนไม่น้อยเลือกจะไม่ใช้บัญชีโซเชียลมีเดียเลย เพราะตระหนักถึงผลลัพธ์จากการเปิดเผยข้อมูลส่วนตัว ซึ่งอ.ฐิติรัตน์ อธิบายว่าจะตัดสินใจเช่นนี้ได้ก็ต่อเมื่อเป็นสิ่งที่มีทางเลือกเท่านั้น ซึ่งไม่ได้เกิดขึ้นในทุกกรณี โดยเฉพาะเมื่อเป็นข้อมูลพื้นฐานที่รัฐร้องขอเพื่อดูแลสิทธิพื้นฐานของประชาชน

เพื่อความเข้าใจ อ.ฐิติรัตน์ เล่าถึงคลิปที่มีการเผยแพร่ในอเมริกา ซึ่งเป็นเรื่องราวชีวิตของสามีภรรยาคู่หนึ่ง ที่ต้องการทดลองตัดความสัมพันธ์กับ Amazon ซึ่งเป็นองค์กรที่ดำเนินธุรกิจมากมาย ในระยะเวลาหนึ่งเดือน

พวกเขาเริ่มต้นด้วยการตัดการใช้งาน Alexa ซึ่งเป็นผู้ช่วยเสมือนที่รับคำสั่งด้วยเสียง ผลลัพธ์แรกคือเสียงร้องระงมของลูกน้อย ที่ไม่สามารถเปิดหนังเรื่องโปรดด้วยการสั่งได้ ปัญหาต่อมาคือเมื่อต้องการสั่งสินค้าเข้าบ้าน พวกเขาต้องมานั่งไล่ว่าบริษัทใดที่คำสั่งสื่อจะไม่ผ่านเครือ Amazon บ้าง ซึ่งไม่ใช่เรื่องง่ายเพราะบริษัทใหญ่มักมีโครงข่ายแทรกซึมไปมากมาย

ในเมื่อมันเลี่ยงไม่ได้ ทำไมเราไม่ทำให้มันเป็นสิ่งที่พอจะไว้ใจได้

“มันกลับมาที่ว่าการที่เราเอาข้อมูลไปให้คนอื่นใช้ หรือการที่เราใช้เทคโนโลยีใหม่ๆ มันไม่ได้แย่นะคะ เพียงแต่ว่าเราควรจะเรียกร้องให้บริษัทหรือหน่วยงานพวกนี้ใช้มาตรฐานการดูแลข้อมูลที่มันดี การที่คุณจะมาแข่งกัน อย่างที่ภาษาอังกฤษเขาใช้ race to the bottom (แข่งขันไปสู่จุดต่ำสุด) ทำไมคุณไม่ทำให้มาตรฐานมันเท่ากัน แล้วคุณไปแข่งที่เทคโนโลยี ที่ความคิดสร้างสรรค์”

ท้ายที่สุดเมื่อเราถูกเก็บข้อมูลส่วนตัวไป เราก็ไม่ต่างกับหนูทดลองที่ถูกใช้ถูกใช้ข้อมูลเพื่อค้นคว้าหาอะไรบางอย่าง เพื่อประโยชน์ในอนาคต แต่สิ่งที่เราต่างจากหนู คือเราสามารถล่วงรู้ว่ากำลังถูกใช้งานอยู่ แต่ก็ยินดีให้ทดลองด้วยความเต็มใจหากมีผลตอบแทนที่คุ้มค่า และอยู่บนพื้นฐานทางจริยธรรม

ตอนท้ายของการสนทนา เมื่อถามอ.ฐิติรัตน์ ว่าในไทยมีบริษัทที่มีโครงข่ายข้อมูล ลักษณะคล้ายกับ Amazon หรือไม่ เสียงหัวเราะและรอยยิ้มของอาจารย์เกิดขึ้นทันที

“อย่างที่ทุกคนคาดเดาและหวาดระแวงค่ ปัจจุบันก็มีความพยายามจะเชื่อมโยงและใช้ข้อมูลส่วนบุคคลให้เป็นประโยชน์มากขึ้น เห็นได้จากนวัตกรรมใหม่ ๆ ในการทำธุรกรรมออนไลน์ที่ การขยายไปทำธุรกิจนอก sector ที่เคยทำอยู่จนกลายเป็นเครือธุรกิจที่ให้บริการหลากหลาย หรือการไปจับมือเป็นคู่ค้ากับบริษัทที่ให้บริการประเภทอื่นแต่ทำงานกับข้อมูลเหมือนกันเกิดขึ้นอยู่ตลอดเวลา  ยิ่งทำให้เราต้องเร่งถามหามาตรฐานการคุ้มครองข้อมูลส่วนบุคคลจากองค์กรเหล่านี้ เพื่อที่การพัฒนานวัตกรรมใหม่ ๆ ในอนาคตจะไม่ถูกขัดขวางด้วยความหวาดระแวงของผู้บริโภค”