GDPR คืออะไร? จาก Facebook ขู่ถอนตัวจากยุโรป กับภาพสะท้อนการคุ้มครองข้อมูลในประเทศไทย
การขู่ถอนตัวของ Facebook จากยุโรปสร้างแรงสั่นสะเทือนเป็นวงกว้าง แต่ทางรัฐมนตรีของชาติในยุโรปต่างไม่ยอมถอยเพื่อปกป้องข้อมูลส่วนตัวและรักษาผลประโยชน์คนในชาติ ชวนให้มองย้อนและเกิดความสงสัยว่า ทำไมประเทศไทยจึงไม่มีความปลอดภัยของข้อมูลส่วนตัวกันเสียที
Highlights
- คำประกาศของ Meta ที่อาจจำเป็นต้องถอนการให้บริการ Facebook และบริการในเครือออกจากสหภาพยุโรป เรียกเสียงฮือฮาเป็นวงกว้างจากทั่วโลก
- เกิดจากกฎหมาย GDPR หรือกฎหมายคุ้มครองความเป็นส่วนตัวและข้อมูลส่วนบุคคล ซึ่งมีผลบังคับกับบริษัททุกรูปแบบที่มีการเก็บรวบรวมข้อมูลของประชาชนในยุโรป
- ส่วนนี้เป็นปัญหากับทาง Facebook เป็นอย่างยิ่ง เพราะพวกเขาต่างใช้ฐานข้อมูลส่วนบุคคลเหล่านี้สร้างรายได้ ยิงโฆษณา หาผลประโยชน์เข้าบริษัทมาตลอดจึงรู้สึกว่าข้อจำกัดนี้เข้มงวดเกินไป แต่รัฐบาลยุโรปก็ไม่อ่อนข้อ
- ชวนให้มองย้อนมาถึงประเทศไทยกับกฎหมาย พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA ที่ถูกเลื่อนบังคับใช้มายาวนานถึง 2 ปี
- ในช่วงเวลาเลื่อนบังคับใช้ เกิดเหตุการณ์ข้อมูลส่วนตัวรั่วไหลอยู่หลายครั้ง กว่าครึ่งมาจากหน่วยงานภาครัฐ และแน่นอนว่ายังไม่มีทั้งการจับกุมคนร้าย ชดเชยผู้เสียหาย หรือแสดงความรับผิดชอบใดๆ
--------------------
นับเป็นข่าวใหญ่ในแวดวงไอที เมื่อ Facebook หนึ่งในโซเชียลมีเดียรายยักษ์ของโลกประกาศว่า หากสหภาพยุโรปและสหรัฐฯ หาข้อยุติเรื่อง ข้อตกลงการส่งข้อมูลข้ามทะเลแอตแลนติก(transatlantic data transfer pact) ไม่สำเร็จ อาจให้บริการในทวีปยุโรปต่อไปไม่ได้
แน่นอนเหตุการณ์นี้ย่อมต้องสะเทือนผู้คนเป็นวงการ โดยเฉพาะต่อผู้ใช้งาน Facebook ในปัจจุบัน กับการถอนตัวของหนึ่งในแพลตฟอร์มโซเชียลมีเดียอันดับต้นของโลกจะยุติการให้บริการ แต่ทางฝั่ง EU กลับไม่ยอมอ่อนข้อ โดยเฉพาะผู้บริหารประเทศหลายราย ที่พากันออกมาแสดงความไม่พอใจจนออกไปในเชิงท้าทาย
แน่นอนถ้า Facebook ยุติการให้บริการประเทศในยุโรปจริงย่อมเกิดผลกระทบเป็นอย่างมาก แต่ก่อนจะไปถึงจุดนั้นคงต้องมาพูดถึงกันเสียหน่อยว่า เหตุใดทาง Facebook จึงยื่นคำขาดจากการเจรจาไม่ลงตัว ตรงส่วนนี้คงต้องพูดถึง กฎหมาย GDPR ที่เป็นใจความสำคัญของเรื่องกันก่อน
หลายท่านในแวดวงไอทีอาจคุ้นหูกฎหมายนี้มาบ้าง แต่สำหรับผู้ไม่รู้จัก กฎหมาย General Data Protection Regulation เป็นกฎหมายของสหภาพยุโรปที่ใช้คุ้มครองความเป็นส่วนตัวและข้อมูลส่วนบุคคล เพื่อคุ้มครองข้อมูลส่วนบุคคลบนช่องทางออนไลน์ โดยไม่คำนึงว่าบริษัทจะตั้งอยู่ที่ใดบนโลก เริ่มมีผลบังคับใช้มาตั้งแต่ 25 พฤษภาคม 2561 เป็นต้นมา
กฎหมายฉบับนี้ช่วยให้ประชาชนมีสิทธิควบคุมข้อมูลส่วนตัวได้มากขึ้น ตั้งแต่สิทธิในการรู้และเข้าถึงข้อมูลว่า ข้อมูลของเราถูกนำไปใช้งานหรือไม่? ใช้งานที่ใด? ใช้งานแบบไหน? มีวัตถุประสงค์อะไร? รวมถึงเมื่อร้องขอต้องมีการจัดทำสำเนาข้อมูลดังกล่าวแก่เจ้าของในรูปแบบอิเล็กทรอนิกส์โดยไม่คิดค่าใช้จ่าย อีกทั้งมีสิทธิแจ้งลบรวมถึงระงับการใช้ข้อมูลได้ทุกเมื่อ
นอกจากนี้ยังมีข้อบังคับให้ต้องมีการวางระบบคุ้มครองข้อมูลตั้งแต่ขั้นตอนออกแบบระบบ ต้องมีการจำกัดการเข้าถึงข้อมูลจากผู้ไม่ที่ไม่มีความเกี่ยวข้องในการประมวลผล ที่สำคัญคือผู้ใช้งานยังต้องได้รับการแจ้งเตือนภายใน 72 ชั่วโมง เมื่อมีการเกิดความเสียหายหรือรั่วไหลของข้อมูลอีกด้วย
โดยหน่วยงานที่ไม่ปฏิบัติตามข้อกำหนด GDPR จะถูกปรับเป็นจำนวนเงิน 20 ล้านยูโร หรือ 2-4% ของรายได้ต่อปี
ทำไมการคุ้มครองข้อมูลส่วนตัวจึงกลายเป็นปัญหากับ Facebook
การใช้งานกฎหมายฉบับใหม่นี้เองกำลังกลายเป็นปัญหา จากการถูกสอบสวนเรื่องละเมิดข้อมูลส่วนตัวหลายครั้ง จนเริ่มมีการปิดกั้นเข้าถึงข้อมูลของผู้ใช้งานจำนวนมาก ไปจนการร่างกฎหมายใหม่ใน การถ่ายโอนข้อมูลข้ามมหาสมุทรแอตแลนติก ภายหลังฉบับเดิมถูกศาลยุโรปพิพากษาเป็นโมฆะในเดือนกรกฎาคม 2563
ด้วยในปัจจุบันรายได้หลักของ Facebook เกิดจากการยิงโฆษณามาถึงผู้ใช้งาน จากการอาศัยข้อมูลส่วนตัวจำนวนมากจากผู้ใช้งานในแต่ละวัน ตั้งแต่โปรไฟล์ การเข้ามีส่วนร่วมในชุมชน จนถึงข้อมูลการเข้าเว็บต่างๆ เพื่อนำมาเป็นฐานข้อมูลในการยิงโฆษณามาสู่ผู้ใช้งานให้ตรงกลุ่มเป้าหมาย
แต่เดิมกรอบข้อตกลงการส่งข้อมูลช่วยให้ทาง Facebook สามารถนำข้อมูลผู้ใช้งานจากสหภาพยุโรปไปประมวลผล เพื่อยิงโฆษณาและสามารถสร้างรายได้แก่บริษัท แต่หากมีการร่างกฎเข้มงวดหรือปิดกั้นส่วนนี้ไป Facebook จะต้องสูญเสียการเข้าถึงข้อมูลผู้ใช้งานนับร้อยล้านบัญชี จนอาจสูญเสียรายได้ไปไม่ต่ำกว่า 1 หมื่นล้านเหรียญสหรัฐฯเลยทีเดียว
นี่เองจึงเป็นที่มาว่าเหตุใดทาง Meta จึงเริ่มส่งสัญญาณว่า หากไม่มีการอะลุ่มอล่วยหรือกรอบควบคุมเข้มงวดเกินไป ทางบริษัทคงไม่สามารถให้บริการ Facebook และแอพพลิเคชั่นอื่นๆ ได้ดังเดิม แต่สิ่งนี้เองก็สร้างเสียงทัดทานขึ้นมากในยุโรป โดยเฉพาะบรรดารัฐมนตรีของยุโรปที่ออกมาตอบโต้ในเชิงแข็งกร้าว
เริ่มจาก Robert Habeck รัฐมนตรีเศรษฐกิจของเยอรมนีระบุว่า เขาไม่มีบัญชี Facebook และ Twitter มาหลายปีหลังถูกแฮก ซึ่งชีวิตของเขาตอนนี้ก็มีความสุขดี เช่นเดียวกับ Bruno Le Maire รัฐมนตรีกระทรวงการคลังของฝรั่งเศส ออกมายืนยันว่า ต่อให้ไม่มี Facebook คนเราก็มีชีวิตที่ดีได้ ก่อนทั้งคู่จะเรียกร้องให้ประเทศในยุโรปร่วมมือกันต่อต้านเรื่องนี้
เป็นอันชัดเจนว่าท่าทีของบรรดาผู้นำประเทศในยุโรปจะไม่ยอมโอนอ่อนให้กับบริษัทข้ามชาติแห่งนี้โดยง่าย
เทียบกับการคุ้มครองผู้บริโภคและคุ้มครองข้อมูลส่วนตัวในประเทศไทย
คาดเดาได้ยากว่าเรื่องนี้จะชี้นำไปในทิศทางไหนในเมื่อ Facebook ก็เริ่มเสื่อมความยิ่งใหญ่ลงทุกวัน จากอัตราการเติบโตและยอดผู้ใช้งานเริ่มลดลง จำนวนคนใช้งานที่เป็นกลุ่มวัยรุ่นลดลง จนถึงการผงาดขึ้นมาของแพลตฟอร์มใหม่ Tiktok เริ่มเข้ามาแย่งส่วนแบ่งการตลาด จึงเป็นไปได้ว่าทางฝ่าย Meta อาจต้องยอมประนีประนอมเสียเอง
มาถึงตรงนี้หลายคนอาจย้อนคิดถึงการคุ้มครองข้อมูลส่วนตัวในประเทศไทย กับกฎหมาย PDPA หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยมีต้นแบบมาจากกฎหมาย GDPR ที่บังคับใช้กันอยู่ในสหภาพยุโรปในตอนนี้ รายละเอียดจึงมีความใกล้เคียงกันอย่างมากซึ่งถือว่าช่วยปกป้องข้อมูลส่วนบุคคลได้เป็นอย่าดี
ข้อแตกต่างเดียวระหว่าง GDPR และ PDPA คือ กฎหมายฉบับหลังปัจจุบันก็ยังคงไม่มีผลบังคับใช้เสียที
ในช่วงการเลื่อนบังคับใช้กฎหมาย เกิดเหตุการณ์ข้อมูลของหน่วยงานในประเทศไทยรั่วไหลไปแค่ไหน?
อย่างที่รู้กันว่า GDPR มีผลบังคับใช้นับแต่ปี 2561 ส่วน PDPA เป็นพระราชบัญญัติที่มีมาตั้งแต่ปี 2562 ก็จริง แต่ปัจจุบันยังคงถูก พระราชกฤษฎีกา เลื่อนการบังคับใช้ออกไปเรื่อยๆ จากที่สมควรมีผลบังคับใช้ตั้งแต่ปี 2563 ถูกดึงเวลาบังคับใช้ยืดออกไปอีกถึง 2 ปี โดยไม่อาจแน่ใจว่าปีนี้จะถูกเลื่อนอีกหรือไม่ ทำให้เกิดความหละหลวมในการรักษาข้อมูลมาหลายครั้ง
ถ้าจะถามว่าระยะเวลาแค่ 1-2 ปีที่เลื่อนการบังคับใช้ส่งผลกระทบขนาดไหน? ก็สามารถเห็นตัวอย่างได้ ดังนี้
- 12 มกราคม 2564 บริษัท ทริปเปิลที บรอดแบนด์ จำกัด หรือ 3BB ถูกแฮกจนข้อมูลลูกค้าหลุดไปนับ 10,000 ราย
- 19 มีนาคม 2564 บริษัท คาโดคาวะ อมรินทร์ จำกัด ทำข้อมูลส่วนตัวและข้อมูลบัตรเครดิตลูกค้าหลุดจากระบบเป็นจำนวนมาก สร้างความเสียหายเป็นวงกว้าง
- 14 มิถุนายน 2564 เว็บไซต์ ThailandInterVac.com ของรัฐบาลที่เปิดให้ชาวต่างชาติกลุ่มเสี่ยงลงทะเบียนฉีดวัคซีน ทำข้อมูลส่วนบุคคลหลุดออกไปเป็นจำนวนมาก ก่อนถูกปิดไปโดยไม่มีการชี้แจง
- 23 สิงหาคม 2564 ข้อมูลหนังสือเดินทางของผู้เดินทางเข้าประเทศไทยหลุดออกไปกว่า 106 ล้านรายการ
- 6 กันยายน 2564 ข้อมูลคนไข้ของกระทรวงสาธารณสุข หลุดออกไปจากโรงพยาบาลในจังหวัดเพชรบูรณ์นับ 10,000 ราย แต่รัฐมนตรีกระทรวงสาธารณสุขยืนยันว่า เป็นข้อมูลทั่วไป ไม่มีอะไรเป็นความลับ
- 7 กันยายน 2564 ข้อมูลส่วนตัวของผู้ใช้งาน CP freshmart หลุดออกไปเป็นจำนวนมาก ตั้งแต่ ชื่อ นามสกุล หมายเลขโทรศัพท์ จนถึงที่อยู่
- 7 ตุลาคม 2564 มีข้อมูลจากกระทรวงสาธารธรณสุขหลุดออกอีกครั้ง โดยคราวนี้มีตั้งแต่ชื่อ ที่อยู่ จนถึงเลขบัตรประจำตัวประชาชน และเป็นข้อมูลของโรงพยาบาลถึง 11 แห่งเลยทีเดียว
- 2 กุมภาพันธ์ 2565 T-CAS ผู้ทำการจัดสอบเข้าระดับอุดมศึกษา ทำข้อมูลสำคัญทั้งหมดของผู้สมัครกว่า 23,000 รายหลุดออกไป แต่ไม่ยอมแจ้งข้อมูลว่าหลุดออกไปจากที่ไหน และใครเป็นผู้ได้รับผลกระทบ
สิ่งที่เกิดขึ้นนี้เป็นเพียงตัวอย่างที่ถูกยกมาจากเหตุการณ์ข้อมูลส่วนบุคคลรั่วไหลในช่วงหลัง แน่นอนว่าแม้มีความพยายามตามหาตัวผู้กระทำผิด แต่ในปัจจุบันกลับไม่มีข่าวคราวความคืบหน้าใดเพิ่มเติม ทั้งในการจับกุมตัวผู้กระทำความผิด หรือการเพิ่มมาตรการรักษาความปลอดภัยแก่ข้อมูลส่วนบุคคลก็ตาม
แน่นอนการแก้ไขปัญหาด้านระบบรักษาความปลอดภัยไซเบอร์ไม่ใช่เรื่องง่าย แต่ถ้า PDPA หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ถูกบังคับใช้ ถึงไม่สามารถปกป้องข้อมูลได้ แต่อย่างน้อยเราก็พอจะควบคุมความเสียหาย และตามหาตัวผู้รับผิดชอบจากเหตุการณ์ครั้งนี้ได้
ไม่ใช่ปล่อยให้เงียบเข้ากลีบเมฆโดยไม่มีใครคิดเข้ามาชดเชยหรือใส่ใจแก้ไขปัญหาเหล่านี้แบบในปัจจุบัน
ดังนั้นสิ่งที่เราควรตั้งคำถามเมื่อได้เห็นการโต้แย้งระหว่างทาง Meta ที่กำลังเรียกร้องการส่งผ่านข้อมูล กับรัฐบาลในประเทศยุโรปที่พยายามปกป้องผลประโยชน์ของประชาชนจึงไม่ใช่เรื่องของ Facebook แต่เราควรตั้งคำถามมากกว่าว่าเหตุใด นักการเมืองและกฎหมายของประเทศไทยจึงไม่มีผลบังคับใช้เพื่อคุ้มครองประชาชนคนไทยเสียที
--------------------
ที่มา
- https://ilaw.or.th/node/4800
- https://techsauce.co/tech-and-biz/what-is-gdpr-eu-privacy-regulation
- https://www.thairath.co.th/scoop/world/2310685
- https://www.bangkokbiznews.com/tech/987201
- https://t-reg.co/blog/t-reg-knowledge/what-is-pdpa/
- https://ilaw.or.th/node/5869
- https://www.nationtv.tv/original/378840637
- https://www.blognone.com/node/123180
- https://www.blognone.com/node/124384
- https://www.blognone.com/node/124617
- https://www.blognone.com/node/124633
- https://www.blognone.com/node/125672
- https://www.blognone.com/node/126988
- https://www.blognone.com/node/126998