Google เตรียมที่จะทำลายข้อมูลผู้ใช้งานในโหมดท่องเว็บแบบไม่ระบุตัวตน หรือ Incognito Mode หลังบริษัทได้เก็บรวบรวมข้อมูลไว้ตั้งแต่ปี 2016 เป็นต้นมา แม้ว่าบริษัทจะกล่าวว่าข้อมูลดังกล่าวไม่สามารถที่จะสืบถึงการใช้งานของผู้ใช้งานได้ก็ตาม

ผู้ใช้งานที่ฟ้อง Google ชี้ว่ายักษ์ใหญ่ไอทีรายนี้ได้วิเคราะห์ข้อมูล รวมถึงเก็บ Cookies แม้ว่าผู้ใช้งานจะใช้งาน Incognito Mode หรือโหมดการท่องเว็บแบบไม่ระบุตัวตนในเว็บเบราว์เซอร์อื่น ซึ่งทำให้บริษัทสามารถรู้ถึงพฤติกรรมต่างๆ ไม่ว่าจะเป็น อาหารโปรด งานอดิเรก พฤติกรรมการซื้อของ จนถึงเรื่องส่วนตัวได้

นอกจากนี้ในคดีดังกล่าวยังมีอีเมลภายในของ Google ที่ถูกนำไปใช้ในคดีแสดงให้เห็นว่าผู้ใช้ที่ใช้โหมดท่องเว็บแบบไม่ระบุตัวตนนั้นได้ถูกติดตามจากพฤติกรรมการค้นหาและการโฆษณาเพื่อที่จะวัดปริมาณการเข้าชมเว็บและใช้วัดผลในการขายโฆษณา

ข้อมูลการใช้งาน Incognito Mode นั้นถูกเก็บตั้งแต่ปี 2016 เป็นต้นมานั้นมีระดับหลายพันล้านข้อมูล

Jorge Castaneda โฆษกของ Google กล่าวในแถลงการณ์ว่า บริษัทยินดีที่จะยุติคดีนี้ และยินดีที่จะลบข้อมูลทางเทคนิคเก่าๆ ที่ไม่เคยเกี่ยวข้องกับบุคคลใดๆ และบริษัทไม่ได้นำข้อมูลไปใช้เพื่อระบุตัวตน

ไม่เพียงเท่านี้ในการยอมความ Google จะต้องเปิดเผยรายละเอียดเพิ่มเติมเกี่ยวกับวิธีการรวบรวมข้อมูลใน Incognito Mode ช่วง 5 ปีหลังจากนี้ และในโหมดดังกล่าวบริษัทจะต้องบล็อกคุกกี้ของบุคคลที่สามเป็นค่าเริ่มต้นรวมถึงต้องแจ้งให้ผู้ใช้งานทราบถึงการเก็บข้อมูลว่ามีอะไรบ้าง

โดยประเด็นดังกล่าวตามหลังมาจากที่ Google ได้ยอมความในคดีความที่ถูกฟ้องร้องหมู่ในกรณีความเป็นส่วนตัว ซึ่งคดีความได้เริ่มต้นตั้งแต่ปี 2020 ที่ผ่านมา ซึ่งทนายของโจทก์ประเมินว่าความเสียหายนั้นอยู่ในช่วง 5,000 ล้านเหรียญสหรัฐ ถึง 7,800 ล้านเหรียญสหรัฐ

อย่างไรก็ดีคดีความดังกล่าว แม้ผู้ใช้งานจะไม่ได้รับความเสียหาย แต่คดีความดังกล่าวถ้าหากมีผู้เสียหายก็สามารถที่จะฟ้องร้องรายบุคคลเพื่อเรียกค่าเสียหายกับ Google ได้

ประเด็นเรื่องของความเป็นส่วนตัวของผู้ใช้งานนั้นได้ถูกยกเป็นเรื่องสำคัญ โดยเฉพาะอย่างยิ่งการนำข้อมูลของผู้ใช้งานมาวิเคราะห์การใช้งาน ในช่วงที่ผ่านมาบริษัทเทคโนโลยีหลายแห่งนั้นต้องยอมความในเรื่องดังกล่าว และมีการจ่ายค่าเสียหาย เช่น กรณีที่ Facebook ต้องจ่ายเงินในกรณีของ Cambridge Analytica หรือแม้แต่กรณีของ Google ในครั้งนี้

ที่มา – CNN, France 24, CNET

กฎหมาย PDPA คืออะไร

สำหรับกฎหมาย PDPA มีต้นแบบมาจากกฎหมาย GDPR (General Data Protection Regulation) ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป โดยทั้ง PDPA และ GDPA ต่างก็มีวัตถุประสงค์ ไม่ให้องค์กรนำข้อมูลไปใช้โดยไม่ได้รับความยินยอม เนื่องจากที่ผ่านมาได้มีการล่วงละเมิดสิทธิข้อมูลส่วนบุคคลเพิ่มมากขึ้น ตัวอย่างง่าย ๆ ก็ที่มีคอลเซ็นเตอร์จากบริษัทที่ไม่เคยใช้บริการโทรมาหานั่นเอง

สำหรับข้อมูลส่วนบุคคลที่จะได้รับการคุ้มครองนั้น ต้องเป็นข้อมูลที่สามารถระบุถึงตัวเจ้าของข้อมูลนั้นได้ อาจเป็นได้ทั้งข้อมูลในรูปแบบเอกสาร กระดาษ หนังสือ หรือจัดเก็บในรูปแบบอิเล็กทรอนิกส์ก็ได้ ดังนี้

• ชื่อ-นามสกุล
• เบอร์โทรศัพท์ อีเมลส่วนตัว ที่อยู่ปัจจุบัน
• เลขบัตรประชาชน เลขหนังสือเดินทาง เลขใบอนุญาตขับขี่
• ข้อมูลทางการศึกษา ข้อมูลทางการเงิน ข้อมูลทางการแพทย์
• ทะเบียนรถยนต์ โฉนดที่ดิน ทะเบียนบ้าน
• วันเดือนปีเกิด สัญชาติ น้ำหนักส่วนสูง
• ข้อมูลบนอื่น ๆ บนอินเทอร์เน็ตที่สามารถระบุตัวตนได้ เช่น Username /password, Cookies IP address,  GPS Location

ส่วนถ้าข้อมูลไหนที่ไม่สามารถระบุตัวตนของเจ้าของข้อมูลได้ เช่น ข้อมูลบริษัท จะไม่ถือว่าเป็นข้อมูลส่วนบุคคล และไม่อยู่ภายใต้บังคับตาม​ PDPA และนอกจากข้อมูลส่วนบุคคลแล้วยังต้องระวังการใช้ ข้อมูลที่มีความอ่อนไหว (Sensitive Personal Data) มากเป็นพิเศษ เพราะเป็นข้อมูลที่มีความละเอียดอ่อนและอาจส่งผลกระทบต่อเจ้าของข้อมูล ทั้งในแง่ของการทำงาน สังคม และชีวิตความเป็นอยู่ โดยข้อมูลส่วนบุคคลที่มีความอ่อนไหว มีดังนี้

• เชื้อชาติ เผ่าพันธุ์
• ความคิดเห็นทางการเมือง
• ความเชื่อในลัทธิ ศาสนาหรือปรัชญา
• พฤติกรรมทางเพศ
• ประวัติอาชญากรรม
• ข้อมูลด้านสุขภาพ ความพิการ เช่น โรคประจำตัว การฉีดวัคซีน ใบรับรองแพทย์
• ข้อมูลสหภาพแรงงาน
• ข้อมูลพันธุกรรม
• ข้อมูลชีวภาพ เช่น ลายนิ้วมือ แบบจำลองใบหน้า ข้อมูลม่านตา

แค่ถ่ายรูปติดก็ผิดจริงหรือ?

อาจารย์ฐิติรัตน์ ทิพย์สัมฤทธิ์กุล อาจารย์ประจำศูนย์กฎหมายระหว่างประเทศ คณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์ กล่าวว่า กฎหมายนี้ออกมาเพื่อเน้น คุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคล หรือก็คือ ประชาชนทั่วไป จากการที่ องค์กรนำข้อมูลไปใช้งานเพื่อสร้างผลประโยชน์

หากประชาชนเกิดถ่ายภาพติดบุคคลอื่น ๆ โดยไม่ได้ยิมยอมแต่ ใช้งานเพื่อกิจกรรมส่วนตัวไม่ได้เปิดเป็นสาธารณะ กฎหมายก็จะไม่ได้เข้าไปยุ่งวุ่นวาย เพราะมุ่งไปที่การใช้ในลักษณะเพื่อการพาณิชย์ (Professional Use) ดังนั้น หากเราไม่ได้ตั้งใจไปถ่ายและไม่ได้เอารูปไปทำงานที่ก่อเกิดรายได้ ก็ไม่ผิด แต่ถ้าตั้งใจถ่ายโดยที่เจ้าตัวไม่ยินยอม แล้วนำไปโพสต์หรือขายสร้างรายได้แบบนี้ถือว่าผิด ซึ่งไม่ได้ผิดเพราะ PDPA แต่เพราะ กฎหมายแพ่งเมืองไทยคุ้มครองอยู่แล้ว เป็น การคุ้มครองตามปกติ

อย่างไรก็ตาม ประชาชนก็ควรศึกษากฎหมาย GDPA เพื่อให้รู้ว่า เรามีสิทธิ์อะไรในข้อมูลส่วนตัวมากกว่าเพื่อให้เกิดประโยชน์สูงสุด ซึ่งเจ้าของข้อมูลส่วนบุคคลมีสิทธิต่าง ๆ ดังนี้

• สิทธิในการถอนความยินยอม ในกรณีที่ได้ให้ความยินยอมไว้
• สิทธิได้รับการแจ้งให้ทราบรายละเอียด (Privacy Notice)
• สิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคล
• สิทธิขอให้โอนข้อมูลส่วนบุคคล
• สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคล
• สิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้
• สิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคล
• สิทธิขอให้แก้ไขข้อมูลส่วนบุคคล

หากไม่ปฏิบัติตาม PDPA จะโดนอะไร

ที่หลายคนตื่นตัวเรื่อง PDPA ส่วนหนึ่งก็เป็นเพราะ บทลงโทษ โดยแบ่งเป็น 3 ประเภท คือ 1. บทลงโทษทางแพ่ง 2. บทลงโทษทางอาญา และ 3. บทลงโทษทางปกครอง ได้แก่

• โทษอาญา: จำคุกสูงสุดไม่เกิน 6 เดือนถึง 1 ปี หรือปรับสูงสุดไม่เกิน 500,000 ถึง 1 ล้านบาท หรือทั้งจำทั้งปรับ
• โทษแพ่ง: ค่าสินไหมทดแทน + ค่าสินไหมเพื่อการลงโทษอีกไม่เกิน 2 เท่า
• โทษปกครอง: ปรับไม่เกิน 1-3-5 ล้านบาท

องค์กรต้องปรับตัวอย่างไร

แม้ว่ากฎหมาย PDPA จะเริ่มบังคับใช้ในวันพรุ่งนี้แล้ว แต่เชื่อว่าบางองค์กร โดยเฉพาะที่ไม่ได้เกี่ยวข้องกับการนำข้อมูลของผู้บริโภคมาใช้ประโยชน์อาจจะไม่ได้ตื่นตัวมาก หรือบางองค์กรยังบริหารจัดการไม่เรียบร้อย ก็มี 6 ข้อแนะนำสำหรับองค์กร

• ผู้บริหารและพนักงานต้องศึกษาข้อมูลอย่างจริงจัง : PDPA ไม่ใช่เรื่องไกลตัวอีกต่อไป เพราะเรื่องของ ข้อมูล เป็นเรื่องที่ผู้บริโภคเองก็ให้ความตื่นตัว ดังนั้น ทั้งผู้บริหารและพนักงานต้องให้ความสำคัญและเร่งทำความเข้าใจต่อตัวบทกฎหมายพร้อมนำมาวิเคราะห์ปรับใช้ในธุรกิจ รวมถึงผลกระทบต่าง ๆ
• รู้ทุกซอกมุมเกี่ยวกับข้อมูลทั่วทั้งองค์กร : การจะรักษาของที่อยู่ภายในให้ปลอดภัย ไม่หลุดรั่วไปเป็นของคนอื่น ก็ต้องรู้ก่อนว่ามีอะไรเก็บอยู่ที่ไหนบ้าง ข้อมูลส่วนไหนเกี่ยวข้องกับ PDPA บ้าง ซึ่งปัจจุบันองค์กรต้องบริหารจัดการข้อมูลหลายรูปแบบจากหลากหลายแหล่ง ทั้งข้อมูลแบบที่มีโครงสร้าง (structured) เช่น ระบบฐานข้อมูลต่าง ๆ และแบบไม่มีโครงสร้าง (unstructured) ซึ่งมาในรูปของไฟล์ที่ใช้งานกันทั่วไป ทั้งหมดนี้ทำให้การจัดระเบียบให้เป็นระบบเพื่อวางแผนจัดการต่อไป
• ปรับเปลี่ยนกระบวนการในการจัดเก็บ จัดการ และใช้งานข้อมูล : เมื่อธุรกิจต้องทำการวิเคราะห์เชิงลึกถึงกระบวนการต่าง ๆ ของข้อมูลแล้ว ต่อไปก็ต้องจัดการ จัดเก็บ และการใช้งานข้อมูลในส่วนธุรกิจของตนเองให้มีประสิทธิภาพและมีระเบียบยิ่งขึ้น มีการแบ่งประเภทความสำคัญของข้อมูล แบ่งกลุ่มข้อมูลส่วนบุคคลออกจากข้อมูลทั่วไป และเลือกใช้วิธีการในการจัดเก็บหรือจัดการข้อมูลนั้น ๆ อย่างเหมาะสม และอย่าลืมเสริมระบบซีเคียวริตี้

• แจ้ง Privacy Policy ให้เจ้าของข้อมูลส่วนบุคคลทราบ : องค์กรหรือเจ้าของเว็บไซต์สามารถแจ้งเจ้าของข้อมูลผ่าน Privacy Policy บนเว็บไซต์หรือแอปพลิเคชัน หรือช่องทางการติดต่ออื่น ๆ เช่น การลงทะเบียนผ่านเว็บไซต์ หรือทางโซเชียลมีเดีย โดยแจ้งว่าจะขอเก็บข้อมูลอะไรบ้าง เพื่อวัตถุประสงค์ใด แจ้งสิทธิของเจ้าของข้อมูล โดยสามารถถอนความยินยอมได้ทุกเมื่อ
• ประเมินความเสี่ยงและวางแผนรับมือในกรณีข้อมูลรั่วไหล : ประเมินความเสี่ยง เพื่อจะได้เน้นไปที่พื้นที่เสี่ยงมากเสี่ยงน้อย และควรวางแผนล่วงหน้าว่าหากเกิดเหตุการณ์ที่ไม่คาดคิด เช่น เตรียมหลักฐานต่าง ๆ ชัดเจนหากเกิดกรณีที่ข้อมูลรั่วไหล เพื่อบรรเทาความเสียหายและแสดงความรับผิดชอบต่อเจ้าของข้อมูลส่วนบุคคลนั้น ๆ อย่างเหมาะสม
• ติดตามข้อกฎหมายอย่างต่อเนื่อง : จากนี้ข้อกฎหมายเกี่ยวกับ PDPA ต้องมีการเปลี่ยนแปลงไปอย่างต่อเนื่อง ทั้งกฎหมายลูกหรือประกาศจากหน่วยงานต่าง ๆ ที่เกี่ยวข้องกับการบังคับใช้ รวมถึงตัวอย่างของการตัดสินคดีความในชั้นศาล ธุรกิจจึงควรติดตามข่าวสารเหล่านี้อย่างต่อเนื่อง เพื่อนำมาปรับใช้กับองค์กรให้ดียิ่งขึ้น

สรุป การที่ไทยมีกฎหมาย PDPA ถือเป็นการคืนอำนาจของข้อมูลส่วนตัวให้กับประชาชนมีอำนาจมากขึ้น แต่ไม่ได้เข้ามาเปลี่ยนการใช้งานในลักษณะส่วนตัว แต่เข้ามาเปลี่ยนแปลงการใช้งานข้อมูลส่วนบุคคลโดยองค์กร ซึ่งหากองค์กรสามารถปฏิบัติตามได้ ก็จะช่วยให้องค์กรมีความน่าเชื่อถือทั้งในมุมคู่ค้าและลูกค้า เพราะมีมาตรฐาน มีขอบเขต และมีความโปร่งใสมากขึ้น นอกจากนี้ ประเทศไทยเองก็มีภาพลักษณ์ดีขึ้น เพราะมีมาตรฐานการคุ้มครองในระดับ GDPR

Tim Cook ออกแถลงการณ์ผ่านการประชุมออนไลน์เรื่อง Computers, Privacy and Data Protection conference ซึ่งมีเนื้อหาเรื่องความเป็นส่วนตัว และการปกป้องข้อมูลเมื่อวันพฤหัสบดีที่ 28 มกราคมที่ผ่านมา

ในแถลงการณ์ Cook วิพากษ์วิจารณ์ว่าหลายแอปพลิเคชันที่รวบรวมข้อมูลส่วนบุคคลมากเกินไป และให้ความสำคัญกับ “ทฤษฎีสมคบคิดและการยั่วยุที่รุนแรง” เพียงเพราะประเด็นเหล่านี้สามารถเพิ่มการมีส่วนร่วมของผู้ใช้ในอัตราที่สูง จุดนี้ Cook ย้ำว่าเป็นสิ่งที่ไม่อาจละเลยได้อีกต่อไป

“ในช่วงเวลาที่การบิดเบือนข้อมูล และทฤษฎีสมคบคิดเพิ่มขึ้นอย่างรวดเร็วเพราะอัลกอริทึม เราไม่สามารถหลับหูหลับตาเชื่อทฤษฎีของเทคโนโลยีที่บอกว่าทุก engagement หรือการมีส่วนร่วมทั้งหมดคือ engagement ที่ดี หรือ engagement ยิ่งนานเท่าไรก็ยิ่งดีเท่านั้น และทั้งหมดนี้มีเป้าหมายในการรวบรวมข้อมูลให้มาก เท่าที่จะทำได้” เจ้าพ่อ Apple กล่าว

แม้จะไม่ได้เอ่ยชื่อ Facebook แต่ทั้งสองบริษัทมีข้อพิพาทกันชัดเจนในช่วงหลายปีที่ผ่านมา ความเคลื่อนไหวล่าสุดคือ Apple กำลังเตรียมที่จะใช้การแจ้งเตือนความเป็นส่วนตัว (privacy notifications) ที่หลายบริษัทในอุตสาหกรรมโฆษณาดิจิทัล เชื่อว่าจะทำให้ผู้ใช้บางส่วนปฏิเสธที่จะอนุญาตให้ระบบใช้เครื่องมือ เพื่อกำหนดกลุ่มเป้าหมายโฆษณา

เช่นในเร็วๆ นี้ที่ Apple จะกำหนดให้แอปต้องขออนุญาตจากผู้ใช้ก่อนติดตามข้อมูลในแอปฯ หรือเว็บไซต์ที่บริษัทอื่นเป็นเจ้าของ โดยผู้ใช้จะสามารถดูได้ภายใต้หัวข้อการตั้งค่าว่าแอปฯ ไหนขออนุญาตติดตามและทำการเปลี่ยนแปลงตามเห็นสมควร ข้อกำหนดนี้จะเปิดให้ใช้งานอย่างแพร่หลายในต้นฤดูใบไม้ผลิพร้อมกับการเปิดตัวการอัปเดตไอโอเอสใหม่ iOS 14, ไอแพดโอเอส iPadOS 14 และทีวีโอเอส tvOS 14

Apple ยังเปิดตัวเทคโนโลยีมากมายตลอดหลายปีที่ผ่านมา โดยระบุว่าเพื่อปกป้องความเป็นส่วนตัวของผู้ใช้ และช่วยรักษาข้อมูลของผู้ใช้ให้ปลอดภัยอยู่เสมอ ตัวอย่างเช่น ซาฟารี (Safari) เป็นเบราว์เซอร์ตัวแรกที่บล็อกคุกกี้ของบริษัทอื่นเป็นค่าเริ่มต้นมาตั้งแต่ปี 2005

ส่วนใน iOS 11 และ macOS High Sierra นั้น Safari ก็ได้เพิ่มคุณสมบัติ “การป้องกันการติดตามอัจฉริยะ” เพื่อจำกัดการติดตามมากขึ้นไปอีกในขณะที่เว็บไซต์ยังคงทำงานได้ปกติ ต่อมาในปี 2018 ทาง Apple ได้เพิ่มมาตรการที่จะช่วยป้องกันไม่ให้มีการสะกดรอย Mac ซึ่งเป็นแนวทางที่บริษัทอื่นใช้ในการระบุอุปกรณ์ของผู้ใช้โดยอ้างอิงจากข้อมูลอย่างฟอนต์และปลั๊กอิน

แม้ Apple จะย้ำว่าได้รับการสนับสนุนจากผู้รณรงค์ด้านความเป็นส่วนตัวทั่วโลก แต่ Facebook กล่าวหา Apple ว่ามีพฤติกรรมต่อต้านการแข่งขัน เนื่องจาก Apple เดินหน้าขยายแคตตาล็อก paid app หรือแอปฯ ที่ต้องซื้อให้เพิ่มจำนวนขึ้น รวมถึงมีธุรกิจโฆษณาดิจิทัลของตัวเอง

โดยมาร์ก ซักเคอร์เบิร์ก (Mark Zuckerberg) ประธานเจ้าหน้าที่บริหารของ Facebook ตัดสินใจออกสื่อเมื่อวันพุธที่ผ่านมาว่า Apple มี “แรงจูงใจ” ในการใช้ฐานะแพลตฟอร์มที่โดดเด่นของตัวเอง เพื่อขัดขวางการทำงานของแอปพลิเคชันอื่น รวมถึงแอปฯ ของ Facebook

อีกประเด็นที่ Cook วิพากษ์วิจารณ์อย่างตรงไปตรงมาคือ แนวทางการปฏิบัติของโซเชียลมีเดียที่ทำลายความไว้วางใจในวัคซีนของสาธารณชน และยังสนับสนุนให้ผู้ใช้เข้าร่วมกลุ่มหัวรุนแรงหลากหลายด้วย

Cook เชื่อว่าโลกควรหยุดได้ตั้งนานแล้ว โดยเฉพาะการแสร้งทำเป็นว่าสื่อโซเชียลไม่ได้มาพร้อมกับความเสียหายมากมายของการแบ่งขั้ว การทำลายความไว้วางใจ และความรุนแรง ภาวะที่กลืนไม่เข้าคายไม่ออกทางสังคม ไม่สามารถปล่อยให้กลายเป็นหายนะทางสังคมได้อีกต่อไป

เพื่อตอบโต้คำพูดของ Cook เจ้าพ่อสื่อโซเชียลอย่าง Facebook ออกแถลงการณ์บ้างโดยบอกว่า “Apple มีพฤติกรรมต่อต้านการแข่งขัน โดยใช้อำนาจการควบคุม App Store เพื่อสร้างประโยชน์ต่อผลกำไรของตัวเอง บนค่าใช้จ่ายที่เพิ่มขึ้นของผู้พัฒนาแอปฯ และธุรกิจขนาดเล็ก”

ไม่ว่าข้อกล่าวหาของใครจะเป็นเรื่องจริง แต่ความขัดแย้งระหว่าง Apple และ Facebook นั้นรุนแรงขึ้นอย่างแท้จริงแน่นอน

Source