ข้อมูลส่วนบุคคลคืออะไร
ก่อนจะไปทำความเข้าใจว่าเพราะอะไรข้อมูลส่วนบุคคลจึงมีค่าดั่งทองคำ ในบทความนี้จะขอเริ่มต้นจากการอธิบายก่อนว่า ข้อมูลส่วนบุคคลคืออะไร?
หากพิจารณานิยามของข้อมูลส่วนบุคคลตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล จะเห็นได้ว่า “ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม (แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ)[1]
กล่าวโดยสรุปง่ายๆ “ข้อมูลส่วนบุคคล” คือ ข้อมูลใดๆ ก็ตามที่สามารถระบุตัวตนของบุคคลนั้นได้ ตัวอย่างของสิ่งที่เราแน่ใจอย่างแน่นอนว่าเป็นข้อมูลส่วนบุคคล เช่น ชื่อนามสกุล เบอร์โทรศัพท์ เลขบัตรประจำตัวประชาชน ส่วนสูง และน้ำหนัก เป็นต้น
อย่างไรก็ตาม ความหมายของข้อมูลส่วนบุคคลนั้นกว้างกว่าที่เราคิด ข้อมูลส่วนบุคคลนั้นยังรวมไปถึงข้อมูลอื่นๆ เช่น เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา ข้อมูลพันธุกรรม และข้อมูลชีวภาพ เป็นต้น
ดังจะเห็นได้ว่าความหมายของข้อมูลส่วนบุคคลนั้นมีความหมายกว้างมากโดยเฉพาะในยุคสมัยที่เราทุกคนนั้นมีการเชื่อมต่อกันในยุคแห่ง internet of things (IoTs) หรือที่เรียกว่า “อินเทอร์เน็ตสำหรับทุกสรรพสิ่ง” ที่ผู้ใช้งานอินเทอร์เน็ตไม่ได้เพียงเชื่อมต่ออินเทอร์เน็ตจากคอมพิวเตอร์เท่านั้น แต่การเชื่อมต่อนั้นเกิดขึ้นกับอุปกรณ์ต่างๆ รอบตัว เช่น นาฬิกาข้อมือที่มีการเก็บข้อมูลอัตราการเต้นของหัวใจ และความดันของผู้สวมใส่ หรือโทรศัพท์มือถือที่มีการเก็บข้อมูลพิกัดการใช้งานแอปพลิเคชัน เป็นต้น
ทำไมข้อมูลส่วนบุคคลจึงกลายเป็นสิ่งมีค่า
ด้วยเหตุที่ชีวิตปัจจุบันของเราเข้าไปสัมพันธ์กับการเชื่อมต่ออินเทอร์เน็ตอยู่ตลอดเวลา ทำให้มีการเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลเพิ่มขึ้นแตกต่างจากยุคก่อนๆ ที่การเก็บรวบรวมข้อมูลส่วนบุคคลจะมีเฉพาะในเวลาที่มีการทำธุรกรรมบางอย่างเท่านั้น
ในปัจจุบันการเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลนั้นมีความจำเป็นมากในทางธุรกิจ เพราะการมีข้อมูลเป็นจำนวนมากนั้นทำให้เกิดความแม่นยำในการสร้างสรรค์ผลิตภัณฑ์ การโฆษณาเพื่อตอบสนองความต้องการของผู้บริโภค และปรับเปลี่ยนกลยุทธ์ทางธุรกิจให้เหมาะสมกับสถานการณ์ในปัจจุบัน ความต้องการข้อมูลเป็นจำนวนมากนี้ถึงขั้นทำให้มีผู้กล่าวว่า “ข้อมูล (ส่วนบุคคล) นั้นเปรียบเสมือนน้ำมันใหม่ของเศรษฐกิจดิจิทัล” เพราะหากยิ่งผู้ประกอบการมีข้อมูลมากเท่าไรและรู้จักผู้บริโภคมากเท่าไร ผู้ประกอบการก็ยิ่งจะสามารถตอบสนองความต้องการของผู้บริโภคได้ตรงจุดมากเท่านั้น
ตัวอย่างเช่น สถาบันการเงินประเภทธนาคารแห่งหนึ่งต้องการเสนอสินเชื่อให้กับลูกค้า กรณีเช่นนี้ธนาคารก็ต้องใช้ข้อมูลทางด้านรายได้ ภาระหนี้สิน พฤติกรรมการใช้จ่ายของลูกค้า และการชำระหนี้ของลูกค้ามาประกอบเพื่อตัดสินใจจะให้สินเชื่อแก่ลูกค้าหรือไม่ หรือแม้แต่กระทั่งหน่วยงานของรัฐก็จำเป็นต้องใช้ข้อมูลส่วนบุคคลของผู้ใช้บริการเพื่อทำความเข้าใจกลุ่มเป้าหมายที่ใช้งานบริการ และพยายามปรับเปลี่ยนนโยบายการทำงานให้มีประสิทธิภาพ (กรณีนี้เริ่มเกิดขึ้นบ้างแล้วในหน่วยงานของรัฐในประเทศไทย เช่น กรมสรรพากร ที่ช่วยอำนวยความสะดวกในการเก็บข้อมูลเพื่อการลดหย่อนภาษี เป็นต้น[2]) หรือ การนำข้อมูลมาใช้ทำฐานข้อมูลเพื่อจัดทำระบบป้องกันอาชญากรรม
นอกจากนี้ ในทางการเมืองการใช้ข้อมูลส่วนบุคคลก็มีปัจจัยสำคัญในการสร้างความได้เปรียบทางการเมือง ดังเช่นในกรณีของ Cambridge Analytica ซึ่งหนังสือพิมพ์ New York Time และ The Guardian ในช่วงเดือนมีนาคม 2561 ได้ออกมาเปิดเผยรายงานข่าวการสอบสวนเชิงลึกว่า บัญชีผู้ใช้งาน Facebook ถูกนำข้อมูลส่วนบุคคลบางส่วนไปใช้ประโยชน์ในการวิเคราะห์ทางการเมือง โดยเจ้าของบัญชีผู้ใช้งานเหล่านั้นไม่รู้ถึงการนำข้อมูลส่วนบุคคลดังกล่าวไปใช้มาก่อน[3]
ด้วยเหตุดังกล่าวนี้ ทั้งในภาคเอกชนและภาครัฐจึงมีความพยายามที่จะเก็บรวบรวมข้อมูลส่วนบุคคลให้ได้มากเพื่อที่จะนำข้อมูลส่วนบุคคลนั้นมาใช้ในการประกอบการตัดสินใจ และเพื่อสร้างความได้เปรียบในทางเศรษฐกิจหรือการเมือง
อย่างไรก็ดี การนำข้อมูลส่วนบุคคลมาใช้ในการวิเคราะห์หรือสร้างฐานข้อมูลบางอย่างนั้นก็เป็นเสมือนดาบสองคม ในแง่หนึ่ง การใช้ข้อมูลเพื่อวิเคราะห์ความต้องการของผู้ใช้บริการเพื่อปรับปรุงบริการ นำเสนอผลิตภัณฑ์ที่ตรงต่อความต้องการของผู้ใช้บริการนั้นก็เป็นสิ่งที่ดี หรือช่วยทำให้การตัดสินใจบางประการขององค์กรมีประสิทธิภาพ แต่ในอีกแง่หนึ่ง การใช้ข้อมูลส่วนบุคคลในลักษณะเกินความเหมาะสมหรือความพอดี โดยการเก็บรวบรวมหรือใช้ข้อมูลส่วนบุคคลโดยไม่คำนึงถึงสิทธิของเจ้าของข้อมูลส่วนบุคคล ทั้งในแง่ของสิทธิความเป็นส่วนตัวหรือสิทธิในข้อมูลส่วนบุคคลก็อาจจะกลายเป็นการคุกคามความเป็นส่วนตัวและสิทธิในข้อมูลส่วนบุคคลได้
กฎหมายคุ้มครองข้อมูลส่วนบุคคลกับการกำกับดูแลการใช้ข้อมูลส่วนบุคคล
ผลจากความต้องการรักษาสมดุลของการเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลกับการคุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคลในด้านความเป็นส่วนตัวและสิทธิในข้อมูลส่วนบุคคลนั้นทำให้เกิดกฎหมายคุ้มครองข้อมูลส่วนบุคคลขึ้นมา
กฎหมายคุ้มครองข้อมูลส่วนบุคคลในปัจจุบันที่มีอิทธิพลมากที่สุดในขณะนี้คงหนีไม่พ้น GDPR (General Data Protection Regulation) ของสหภาพยุโรป ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่ถูกเรียกว่ามีความทันสมัยที่สุดในขณะนี้ โดยมีวัตถุประสงค์เพื่อประมวลกฎเกณฑ์เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล และกำหนดแนวทางในการรักษาความเป็นธรรมระหว่างการใช้ข้อมูลส่วนบุคคลกับการคุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคลของพลเมืองสหภาพยุโรปไม่ว่าบุคคลนั้นจะอยู่ที่ใดในโลก (เพราะฉะนั้น GDPR สามารถบังคับได้กับทุกการเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลไม่ว่าจะอยู่ในสหภาพยุโรปหรือไม่)
จุดสำคัญของ GDPR ที่คนส่วนใหญ่มักจะพูดถึงคือ การกำหนดโทษปรับไว้เป็นจำนวนที่ค่อนข้างสูง โดยมีเจตนาเพื่อที่จะห้ามปรามการละเมิดข้อมูลส่วนบุคคลโดยเจตนาและการจงใจไม่ดำเนินการเพื่อบรรเทาความเสียหายที่อาจจะเกิดขึ้นได้กับข้อมูลส่วนบุคคล โดยบทลงโทษที่รุนแรงของ GDPR คือ การปรับเป็นเงินจำนวนสูงสุด 20 ล้านยูโร หรือคิดจากผลประโยชน์การดำเนินการมากถึงร้อยละ 4 ของมูลค่าการซื้อขายทั่วโลกในปีบัญชีก่อนหน้า[4]
ผลของการตรา GDPR ของสหภาพยุโรปนั้นมีนัยสำคัญต่อสังคมเศรษฐกิจดิจิทัลของโลกมาก เนื่องจากปริมาณการบริโภคและส่วนแบ่งตลาดของสหภาพยุโรปนั้นค่อนข้างสูง อันเป็นผลมาจากการรวมตัวของประเทศต่างๆ ในทวีปยุโรป ทำให้กฎหมายคุ้มครองข้อมูลส่วนบุคคลทั่วโลกเกิดการปรับเปลี่ยนเนื้อหาของกฎหมายคุ้มครองข้อมูลส่วนบุคคลเพื่อให้สอดคล้องกับ GDPR ของสหภาพยุโรป ไม่เว้นแม้แต่ประเทศไทยซึ่งในช่วงปี พ.ศ. 2562 ประเทศได้ตรา พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลขึ้นมาเพื่อให้เป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศไทย
หลักการส่วนใหญ่ของ พ.ร.บ. นี้นั้นสอดคล้องกันกับ GDPR ในหลายๆ ส่วน มีหลักการสำคัญคือ การมุ่งสร้างความเป็นธรรมในการเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลระหว่างผู้ควบคุมข้อมูลส่วนบุคคล (ผู้เก็บรวบรวมและใช้ข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ของตนเอง) และเจ้าของข้อมูลส่วนบุคคล โดยมีหลักการสำคัญ ดังนี้
หลักความชอบด้วยกฎหมาย ความเป็นธรรม และความโปร่งใส กำหนดให้การประมวลผลข้อมูลส่วนบุคคลจะต้องเป็นไปโดยมีเหตุผลความจำเป็นที่สามารถอ้างอิงฐานการประมวลผลได้ และมีการประกาศ/แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบเหตุผลความจำเป็น
หลักการจำกัดวัตถุประสงค์ โดยกำหนดให้การประมวลผลข้อมูลส่วนบุคคลกระทำเท่าที่จำเป็นภายใต้ขอบเขตของวัตถุประสงค์ที่ได้แจ้งไว้กับเจ้าของข้อมูลส่วนบุคคล
หลักการรวบรวมข้อมูลเท่าที่จำเป็น การประมวลผลข้อมูลส่วนบุคคลภายใต้วัตถุประสงค์และรวบรวมข้อมูลเฉพาะเท่าที่จำเป็นและในสัดส่วนที่เหมาะสม
หลักความถูกต้องของข้อมูลส่วนบุคคล การประมวลผลข้อมูลส่วนบุคคลนั้น ผู้ควบคุมข้อมูลส่วนบุคคลจำเป็นต้องจัดให้มีมาตรการหรือวิธีการใดๆ เพื่อรับรองข้อมูลที่เก็บรวบรวมไว้ให้มีความถูกต้องและเป็นปัจจุบัน
หลักการเก็บข้อมูลส่วนบุคคลอย่างจำกัดระยะเวลา ภายใต้วัตถุประสงค์ที่กำหนดไว้ ผู้ควบคุมข้อมูลส่วนบุคคลจะเก็บรักษาข้อมูลไว้ในระยะเวลาเท่าที่จำเป็นตามวัตถุประสงค์
หลักความสมบูรณ์ของข้อมูลส่วนบุคคลและการเก็บรักษาเป็นความลับ ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องประมวลผลข้อมูลส่วนบุคคลด้วยความระมัดระวังและใช้มาตรการรักษาความปลอดภัยข้อมูลที่เหมาะสมเพื่อป้องกันการรั่วไหลของข้อมูลส่วนบุคคลหรือการสูญหาย
หลักความรับผิดชอบ ผู้ควบคุมข้อมูลส่วนบุคคลมีความรับผิดชอบในการดำเนินการเพื่อบรรลุวัตถุประสงค์หลักดังกล่าวข้างต้น และจะแสดงให้เห็นได้อย่างชัดเจนว่า ผู้ควบคุมข้อมูลส่วนบุคคลได้มีการปฏิบัติหน้าที่ตามที่กฎหมายกำหนดไว้อย่างครบถ้วน
นอกเหนือจากหลักการต่างๆ แล้วสิ่งที่เหมือนกันกับ GDPR ก็คือ การกำหนดโทษสำหรับผู้ที่ฝ่าฝืนไม่ปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ซึ่งทำให้ทั้งภาคเอกชนและหน่วยงานของรัฐต้องตระหนักในการคุ้มครองข้อมูลส่วนบุคคลให้มากขึ้น
ธุรกิจกับการคุ้มครองข้อมูลส่วนบุคคล
อย่างไรก็ดี ในเชิงธุรกิจนั้นการคุ้มครองข้อมูลส่วนบุคคลไม่ได้มีความสำคัญเพียงเฉพาะเรื่องของการถูกลงโทษตามกฎหมาย ทว่า การคุ้มครองข้อมูลส่วนบุคคลนั้นเป็นเรื่องของความน่าเชื่อถือในทางธุรกิจ เพราะเป็นที่แน่นอนว่าไม่อยากมีผู้ใช้บริการใด อยากใช้บริการของผู้ประกอบกิจการที่มีการปล่อยให้มีข้อมูลส่วนบุคคลรั่วไหล หรือไม่ได้ดำเนินการเพื่อคุ้มครองข้อมูลส่วนบุคคลให้อยู่ในความปลอดภัย ซึ่งหากบริษัทและองค์กรธุรกิจไม่มีความตระหนักในเรื่องดังกล่าวแล้ว เมื่อเกิดการรั่วไหลของข้อมูลส่วนบุคคล ผลกระทบที่ร้ายแรงกว่าการโดนปรับตามกฎหมายก็คือ การขาดความน่าเชื่อถือในทางธุรกิจ
ปัญหานี้จึงไม่ใช่เพียงแค่การลงโทษตามกฎหมายเท่านั้น แต่มันเป็นเรื่องของความน่าเชื่อถือทางธุรกิจ ซึ่งบริษัทและองค์กรธุรกิจควรตระหนักถึงความสำคัญในการคุ้มครองข้อมูลส่วนบุคคลให้มากกว่าแต่ก่อน และเริ่มต้นเตรียมตัวให้พร้อมกับการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่กำลังจะมีผลบังคับใช้ในอนาคต
การคุ้มครองข้อมูลส่วนบุคคลนั้นเป็นเรื่องที่ในสังคมประชาธิปไตยควรให้ความสำคัญ มิใช่เฉพาะกับในทางหน่วยงานของรัฐ แต่รวมถึงบริษัทและองค์กรธุรกิจ เพื่อคุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคล โดยเฉพาะ เมื่อเราอยู่ในยุคที่ข้อมูลส่วนบุคคลมีค่าดั่งทองคำ การตระหนักถึงการใช้ข้อมูลส่วนบุคคลจึงมีความสำคัญทั้งในทางกฎหมายและเศรษฐกิจ
[1] พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 6.
[2] กรมสรรพากร, ‘สรรพากรชู 9 ระบบ Easy Tax ช่วยผู้ประกอบการลดต้นทุน กระตุ้นการหมุนเวียนเศรษฐกิจ สร้างวิถีภาษีใหม่ให้ยิ่งง่ายและเป็นธรรม’ (กรมสนรรพากร, 24 สิงหาคม 2563) https://www.rd.go.th/fileadmin/user_upload/news/news52_2563.pdf สืบค้นเมื่อ 20 มกราคม 2565.
[3] Nicholas Confessore, ‘Cambridge Analytica and Facebook: The Scandal and the Fallout So Far’ (NY Time, 4 April 2018) https://www.nytimes.com/2018/04/04/us/politics/cambridge-analytica-scandal-fallout.html; and Carole Cadwalladr and Emma Graham-Harrison accessed 20 January 2022, ‘Revealed: 50 million Facebook profiles harvested for Cambridge Analytica in major data breach’ (The Guardian, 17 Mar 2018) https://www.theguardian.com/news/2018/mar/17/cambridge-analytica-facebook-influence-us-election accessed 20 January 2022.
[4] GDPR, Article 83 (5).
