เผยแพร่ครั้งแรกเมื่อวันที่ 7 กันยายน 2566 บนหนังสือพิมพ์และเว็บไซต์ กรุงเทพธุรกิจ ในคอลัมน์วาระทีดีอาร์ไอ
ในปี 2564 ธุรกิจแพลตฟอร์มมีมูลค่าทางเศรษฐกิจถึง 9 แสนล้านบาท การเติบโตอย่างก้าวกระโดดของธุรกิจแพลตฟอร์มนี้ เป็นผลมาจากความได้เปรียบจากการสะสมข้อมูลจำนวนมาก ที่ทำให้ธุรกิจแพลตฟอร์มสามารถวิเคราะห์พฤติกรรมและออกแบบบริการได้ตอบสนองความต้องการของผู้บริโภค
ทว่าในอีกแง่มุมหนึ่ง การที่ผู้ประกอบธุรกิจแพลตฟอร์มเก็บรวบรวมข้อมูลส่วนบุคคลของผู้บริโภค ได้ทำให้เกิดความกังวลเกี่ยวกับความปลอดภัยและผลกระทบต่อความเป็นส่วนตัวของบุคคลมากขึ้น
จึงเป็นความท้าทายของการคุ้มครองข้อมูลส่วนบุคคลในธุรกิจแพลตฟอร์มในประเทศไทยว่าจะมีการบังคับใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA ได้มากน้อยเพียงใด ในการที่จะรักษาสมดุลระหว่างการคุ้มครองสิทธิเจ้าของข้อมูลส่วนบุคคลกับการการนำข้อมูลไปใช้ประโยชน์ทางเศรษฐกิจ
สำรวจความท้าทายที่ต้องเผชิญ
ความท้าทายแรก คือ การขาดแนวทางในการสื่อสารที่ดีกับผู้บริโภค เมื่อผู้บริโภคใช้บริการแพลตฟอร์ม แม้ว่ากฎหมาย PDPA จะเริ่มใช้บังคับเมื่อปีที่ผ่านมา แต่จากการสำรวจของ TDRI ในงานวิจัยการศึกษาผลกระทบและการนำเสนอมาตรการในการกำกับดูแล Digital Platform พบว่าแนวทางการแจ้งการเก็บและใช้ข้อมูลส่วนบุคคลของผู้บริโภคยังมีลักษณะ “ไม่เป็นมิตร” ต่อผู้บริโภค เช่น การใช้ข้อความเยิ่นเย้อ หรือการใช้ถ้อยคำทางกฎหมายที่ทำให้ผู้บริโภคไม่สามารถเข้าใจรายละเอียดที่จะดำเนินการกับข้อมูลส่วนบุคคลได้ รวมไปถึงการปิดกั้นเนื้อหาโดยกำหนดให้ต้องมีการให้ความยินยอมให้ใช้เทคโนโลยีติดตาม เช่น cookie wall ซึ่งก่อให้เกิดความรำคาญและทำให้ผู้บริโภคตัดสินใจให้ความยินยอมโดยอาจจะไม่ได้พิจารณาเนื้อหาการเก็บและใช้ข้อมูล
การสื่อสารเพื่อให้ผู้บริโภคตระหนักว่าข้อมูลส่วนบุคคลกำลังถูกเก็บและนำไปใช้ ถือเป็นเรื่องสำคัญ เพราะโดยทั่วไปแล้วแพลตฟอร์มมักมีลักษณะเป็นการให้บริการฟรีไม่เสียค่าตอบแทน แต่กลับมี “ราคา” ที่ผู้บริโภคจะต้องจ่ายให้กับแพลตฟอร์ม คือ ข้อมูลส่วนบุคคลและพฤติกรรมการใช้งานบนแพลตฟอร์ม
นอกจากนี้ในปัจจุบันแพลตฟอร์มขนาดใหญ่ในกลุ่ม Super App ที่รวบหลายบริการไว้ในแอปเดียว ยังขาดแนวทางสื่อสารที่ชัดเจนที่จะทำให้ผู้บริโภคตระหนักว่า ข้อมูลที่ให้กับแพลตฟอร์มอาจจะถูกนำไปใช้กับเพื่อเสนอบริการอื่น และเป็นความเสี่ยงที่อาจจะสร้างการรบกวนให้ผู้บริโภคได้
ความท้าทายที่สอง แม้ว่าสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้ออกประกาศเรื่อง มาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคลในปี2565 แต่ไม่ใช่ทุกแพลตฟอร์มจะมีมาตรฐานเพียงพอที่จะคุ้มครองข้อมูลส่วนบุคคลตามประกาศฉบับนี้ ขณะเดียวกันยังพบว่า มีแพลตฟอร์มจำนวนไม่น้อยที่ยังขาดความเข้าใจในการดำเนินการ เนื่องจากที่ผ่านมาไม่มีการจััดทำแนวทางที่่เป็นคำแนะนำ เพื่ออธิบายวิธีการและเทคโนโลยีที่ควรนำมาใช้กับภาคธุรกิจ ทำให้แพลตฟอร์มบางรายยังไม่ได้จัดให้มีวิธีการดำเนินงานที่เหมาะสมเพื่อคุ้มครองสิทธิของผู้บริโภค เช่น บางแพลตฟอร์มไม่ได้จัดให้มีช่องทางการใช้สิทธิสำหรับผู้บริโภค เมื่อผู้บริโภคต้องการขอใช้สิทธิตามกฎหมาย หรือบริษัทยังมีความกังวลในการปฏิบัติตามกฎหมายด้วยความไม่รู้หรือไม่เข้าใจว่าควรจะต้องใช้มาตรการรักษาความปลอดภัยของข้อมูลเท่าใดจึงจะเพียงพอ ทำให้บริษัทมีทางจำกัดคือ ถ้าไม่เลือกใช้มาตรฐานที่สูงในการรักษาความปลอดภัยของข้อมูล ก็อาจจะไม่ได้ให้ความสำคัญต่อการรักษาความปลอดภัยของข้อมูลและเลือกรับความเสี่ยงเพื่อแก้ไขปัญหาเฉพาะหน้าแทน
ความท้าทายที่สาม การถ่ายโอนข้อมูลส่วนบุคคลไปยังบริษัทและประเทศที่ไม่ได้มีระดับการคุ้มครองข้อมูลส่วนบุคคลเทียบเท่าประเทศไทย ทำให้เกิดความกังวลในการถ่ายโอนข้อมูลไปยังปลายทางเหล่านั้นสามารถทำได้หรือไม่ ปัญหานี้ทำให้บริษัทมีต้นทุนที่ต้องไปตรวจสอบว่าประเทศปลายทางมีความพร้อมในการรับข้อมูล และต้องไปเจรจาเกี่ยวกับมาตรการในการคุ้มครองข้อมูลส่วนบุคคลกับบริษัทในประเทศปลายทาง รวมถึงต้องมีต้นทุนในการเจรจากับผู้บริโภคที่เป็นเจ้าของข้อมูลส่วนบุคคลในการขอความยินยอมในบางกรณี
ความท้าทายที่สี่ การยกเว้นการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลในหน่วยงานของรัฐ โดยเดือนกรกฎาคม ปี 2565 คณะรัฐมนตรี มีมติเห็นชอบร่างพระราชกฤษฎีกายกเว้นการบังคับใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล กับการใช้ข้อมูลส่วนบุคคลในหน่วยงานของรัฐ ที่มีวัตถุประสงค์เพื่อความมั่นคงของชาติหรือประโยชน์สาธารณะ อย่างไรก็ดีได้มีการเปลี่ยนหลักการของพระราชกฤษฎีกาดังกล่าวใหม่ โดยแก้ไขข้อยกเว้นให้จำกัดลงและกำหนดมาตรการในการคุ้มครองข้อมูลส่วนบุคคลไว้
แต่ประเด็นสำคัญยังคงอยู่ที่ ภาครัฐควรจะตระหนักถึงการคุ้มครองข้อมูลส่วนบุคคลให้มากกว่านี้ โดยไม่ควรกำหนดข้อยกเว้นกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่กว้างเกินไป เพราะจะส่งผลกระทบต่อการป้องกันความเป็นส่วนตัวของประชาชนที่อยู่กับรัฐ โดยปฏิเสธไม่ได้ว่าปัจจุบันรัฐก็มีการเก็บข้อมูลของประชาชนบนแพลตฟอร์มเช่นเดียวกัน และในการยกเว้นการคุ้มครองข้อมูลส่วนบุคคลภาครัฐควรจะต้องกำหนดมาตรการที่จะเยียวยาผลกระทบไว้เสมอ นั่นหมายความว่ากฎหมายไม่ควรจะยกเว้นการคุ้มครองข้อมูลส่วนบุคคลโดยสมบูรณ์
ปมปัญหาเหล่านี้ทำให้มาตรฐานการคุ้มครองข้อมูลส่วนบุคคลของไทยไม่ทัดเทียมกับต่างประเทศ จนกลายเป็นอุปสรรคในการทำธุรกิจดิจิทัลตามแนวทางสากล
การแก้ไขปัญหาจะมีแนวทางอย่างไร? ติดตามข้อเสนอตอนต่อไปใน วาระทีดีอาร์ไอ : คุ้มครองข้อมูลส่วนบุคคลในโลกแพลตฟอร์ม รัฐไทยพร้อมหรือยัง ? (ตอนที่ 2)
บทความอื่นที่เกี่ยวข้อง
คุ้มครองข้อมูลส่วนบุคคลในโลกแพลตฟอร์ม รัฐไทยพร้อมหรือยัง ? (ตอนที่ 1)
เผยแพร่ครั้งแรกเมื่อวันที่ 7 กันยายน 2566 บนหนังสือพิมพ์และเว็บไซต์ กรุงเทพธุรกิจ ในคอลัมน์วาระทีดีอาร์ไอ
ในปี 2564 ธุรกิจแพลตฟอร์มมีมูลค่าทางเศรษฐกิจถึง 9 แสนล้านบาท การเติบโตอย่างก้าวกระโดดของธุรกิจแพลตฟอร์มนี้ เป็นผลมาจากความได้เปรียบจากการสะสมข้อมูลจำนวนมาก ที่ทำให้ธุรกิจแพลตฟอร์มสามารถวิเคราะห์พฤติกรรมและออกแบบบริการได้ตอบสนองความต้องการของผู้บริโภค
ทว่าในอีกแง่มุมหนึ่ง การที่ผู้ประกอบธุรกิจแพลตฟอร์มเก็บรวบรวมข้อมูลส่วนบุคคลของผู้บริโภค ได้ทำให้เกิดความกังวลเกี่ยวกับความปลอดภัยและผลกระทบต่อความเป็นส่วนตัวของบุคคลมากขึ้น
จึงเป็นความท้าทายของการคุ้มครองข้อมูลส่วนบุคคลในธุรกิจแพลตฟอร์มในประเทศไทยว่าจะมีการบังคับใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA ได้มากน้อยเพียงใด ในการที่จะรักษาสมดุลระหว่างการคุ้มครองสิทธิเจ้าของข้อมูลส่วนบุคคลกับการการนำข้อมูลไปใช้ประโยชน์ทางเศรษฐกิจ
สำรวจความท้าทายที่ต้องเผชิญ
ความท้าทายแรก คือ การขาดแนวทางในการสื่อสารที่ดีกับผู้บริโภค เมื่อผู้บริโภคใช้บริการแพลตฟอร์ม แม้ว่ากฎหมาย PDPA จะเริ่มใช้บังคับเมื่อปีที่ผ่านมา แต่จากการสำรวจของ TDRI ในงานวิจัยการศึกษาผลกระทบและการนำเสนอมาตรการในการกำกับดูแล Digital Platform พบว่าแนวทางการแจ้งการเก็บและใช้ข้อมูลส่วนบุคคลของผู้บริโภคยังมีลักษณะ “ไม่เป็นมิตร” ต่อผู้บริโภค เช่น การใช้ข้อความเยิ่นเย้อ หรือการใช้ถ้อยคำทางกฎหมายที่ทำให้ผู้บริโภคไม่สามารถเข้าใจรายละเอียดที่จะดำเนินการกับข้อมูลส่วนบุคคลได้ รวมไปถึงการปิดกั้นเนื้อหาโดยกำหนดให้ต้องมีการให้ความยินยอมให้ใช้เทคโนโลยีติดตาม เช่น cookie wall ซึ่งก่อให้เกิดความรำคาญและทำให้ผู้บริโภคตัดสินใจให้ความยินยอมโดยอาจจะไม่ได้พิจารณาเนื้อหาการเก็บและใช้ข้อมูล
การสื่อสารเพื่อให้ผู้บริโภคตระหนักว่าข้อมูลส่วนบุคคลกำลังถูกเก็บและนำไปใช้ ถือเป็นเรื่องสำคัญ เพราะโดยทั่วไปแล้วแพลตฟอร์มมักมีลักษณะเป็นการให้บริการฟรีไม่เสียค่าตอบแทน แต่กลับมี “ราคา” ที่ผู้บริโภคจะต้องจ่ายให้กับแพลตฟอร์ม คือ ข้อมูลส่วนบุคคลและพฤติกรรมการใช้งานบนแพลตฟอร์ม
นอกจากนี้ในปัจจุบันแพลตฟอร์มขนาดใหญ่ในกลุ่ม Super App ที่รวบหลายบริการไว้ในแอปเดียว ยังขาดแนวทางสื่อสารที่ชัดเจนที่จะทำให้ผู้บริโภคตระหนักว่า ข้อมูลที่ให้กับแพลตฟอร์มอาจจะถูกนำไปใช้กับเพื่อเสนอบริการอื่น และเป็นความเสี่ยงที่อาจจะสร้างการรบกวนให้ผู้บริโภคได้
ความท้าทายที่สอง แม้ว่าสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้ออกประกาศเรื่อง มาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคลในปี2565 แต่ไม่ใช่ทุกแพลตฟอร์มจะมีมาตรฐานเพียงพอที่จะคุ้มครองข้อมูลส่วนบุคคลตามประกาศฉบับนี้ ขณะเดียวกันยังพบว่า มีแพลตฟอร์มจำนวนไม่น้อยที่ยังขาดความเข้าใจในการดำเนินการ เนื่องจากที่ผ่านมาไม่มีการจััดทำแนวทางที่่เป็นคำแนะนำ เพื่ออธิบายวิธีการและเทคโนโลยีที่ควรนำมาใช้กับภาคธุรกิจ ทำให้แพลตฟอร์มบางรายยังไม่ได้จัดให้มีวิธีการดำเนินงานที่เหมาะสมเพื่อคุ้มครองสิทธิของผู้บริโภค เช่น บางแพลตฟอร์มไม่ได้จัดให้มีช่องทางการใช้สิทธิสำหรับผู้บริโภค เมื่อผู้บริโภคต้องการขอใช้สิทธิตามกฎหมาย หรือบริษัทยังมีความกังวลในการปฏิบัติตามกฎหมายด้วยความไม่รู้หรือไม่เข้าใจว่าควรจะต้องใช้มาตรการรักษาความปลอดภัยของข้อมูลเท่าใดจึงจะเพียงพอ ทำให้บริษัทมีทางจำกัดคือ ถ้าไม่เลือกใช้มาตรฐานที่สูงในการรักษาความปลอดภัยของข้อมูล ก็อาจจะไม่ได้ให้ความสำคัญต่อการรักษาความปลอดภัยของข้อมูลและเลือกรับความเสี่ยงเพื่อแก้ไขปัญหาเฉพาะหน้าแทน
ความท้าทายที่สาม การถ่ายโอนข้อมูลส่วนบุคคลไปยังบริษัทและประเทศที่ไม่ได้มีระดับการคุ้มครองข้อมูลส่วนบุคคลเทียบเท่าประเทศไทย ทำให้เกิดความกังวลในการถ่ายโอนข้อมูลไปยังปลายทางเหล่านั้นสามารถทำได้หรือไม่ ปัญหานี้ทำให้บริษัทมีต้นทุนที่ต้องไปตรวจสอบว่าประเทศปลายทางมีความพร้อมในการรับข้อมูล และต้องไปเจรจาเกี่ยวกับมาตรการในการคุ้มครองข้อมูลส่วนบุคคลกับบริษัทในประเทศปลายทาง รวมถึงต้องมีต้นทุนในการเจรจากับผู้บริโภคที่เป็นเจ้าของข้อมูลส่วนบุคคลในการขอความยินยอมในบางกรณี
ความท้าทายที่สี่ การยกเว้นการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลในหน่วยงานของรัฐ โดยเดือนกรกฎาคม ปี 2565 คณะรัฐมนตรี มีมติเห็นชอบร่างพระราชกฤษฎีกายกเว้นการบังคับใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล กับการใช้ข้อมูลส่วนบุคคลในหน่วยงานของรัฐ ที่มีวัตถุประสงค์เพื่อความมั่นคงของชาติหรือประโยชน์สาธารณะ อย่างไรก็ดีได้มีการเปลี่ยนหลักการของพระราชกฤษฎีกาดังกล่าวใหม่ โดยแก้ไขข้อยกเว้นให้จำกัดลงและกำหนดมาตรการในการคุ้มครองข้อมูลส่วนบุคคลไว้
แต่ประเด็นสำคัญยังคงอยู่ที่ ภาครัฐควรจะตระหนักถึงการคุ้มครองข้อมูลส่วนบุคคลให้มากกว่านี้ โดยไม่ควรกำหนดข้อยกเว้นกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่กว้างเกินไป เพราะจะส่งผลกระทบต่อการป้องกันความเป็นส่วนตัวของประชาชนที่อยู่กับรัฐ โดยปฏิเสธไม่ได้ว่าปัจจุบันรัฐก็มีการเก็บข้อมูลของประชาชนบนแพลตฟอร์มเช่นเดียวกัน และในการยกเว้นการคุ้มครองข้อมูลส่วนบุคคลภาครัฐควรจะต้องกำหนดมาตรการที่จะเยียวยาผลกระทบไว้เสมอ นั่นหมายความว่ากฎหมายไม่ควรจะยกเว้นการคุ้มครองข้อมูลส่วนบุคคลโดยสมบูรณ์
ปมปัญหาเหล่านี้ทำให้มาตรฐานการคุ้มครองข้อมูลส่วนบุคคลของไทยไม่ทัดเทียมกับต่างประเทศ จนกลายเป็นอุปสรรคในการทำธุรกิจดิจิทัลตามแนวทางสากล
การแก้ไขปัญหาจะมีแนวทางอย่างไร? ติดตามข้อเสนอตอนต่อไปใน วาระทีดีอาร์ไอ : คุ้มครองข้อมูลส่วนบุคคลในโลกแพลตฟอร์ม รัฐไทยพร้อมหรือยัง ? (ตอนที่ 2)
บทความอื่นที่เกี่ยวข้อง