พูดถึงข้อมูลส่วนบุคคล ถอยไปก่อนโซเชียลมิเดียและสมาร์ทโฟนถือกำเนิด มันเป็นสิ่งที่ประชาชนไม่ค่อยให้ความใส่ใจเพราะไม่ใช่สิ่งที่จะเข้าถึงได้ง่ายดายและข้อมูลที่จะโยงกับมาสู่ตัวเจ้าของก็ใช่ว่าจะมีมากมาย ตัดกลับมาปัจจุบัน ข้อมูลของเรากระจัดกระจายอยู่ทั่วไปในโลกออนไลน์ บ่อยครั้งที่ตัวเราเองเป็นผู้บอกให้โลกรับรู้         ข้อมูลกลายเป็นสิ่งมีค่าทางเศรษฐกิจ มันถูกซื้อขายได้ประหนึ่งสินค้า วันดีคืนดีเราอาจได้รับโทรศัพท์หรืออีเมล์จากองค์ธุรกิจเสนอขายสินค้าหรือบริการให้โดยที่ตัวเรายังงุนงงว่าเอาช่องทางติดต่อมาจากไหนกัน         เมื่อข้อมูลที่สามารถสืบสาวกลับเพื่อระบุอัตลักษณ์ตัวบุคคลเพิ่มปริมาณขึ้นอย่างมหาศาล ถูกนำไปใช้ประโยชน์โดยที่เจ้าตัวไม่ยินยอม กฎหมายจึงต้องวิวัฒน์ตามเพื่อปกป้องสิทธิของประชาชน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ที่ถูกเลื่อนแล้วเลื่อนอีกและกำลังจะมีผลใช้บังคับในวันที่ 1 มิถุนายนนี้คือกฎหมายดังกล่าว เป็นกฎหมายที่มีขึ้นเพื่อรักษาสมดุลระหว่างสิทธิขั้นพื้นฐานในความเป็นส่วนตัวของเจ้าของข้อมูลส่วนบุคคลกับประโยชน์ในทางเศรษฐกิจและสังคมจากการใช้ข้อมูลอย่างโปร่งใส เป็นธรรมและมีความรับผิดชอบ ในฐานะผู้บริโภคนี่จึงเป็นกฎหมายสำคัญที่ควรทำความเข้าใจเพื่อใช้ปกป้องสิทธิ         ‘ฉลาดซื้อ’ ฉบับนี้สนทนากับ ผ.ศ.ศุภวัชร์ มาลานนท์ จากบัณฑิตวิทยาลัยการจัดการและนวัตกรรม มหาวิทยาลัยเทคโนโลยีพระจอมเกล้าธนบุรี FIP, CIPM, CIPP/US, CIPP/E (GDPR), CIPP/A, EXIN/PECB Certified Data Protection Officer ว่าด้วยหลักการ แนวคิดของกฎหมาย และผู้บริโภคจะใช้ประโยชน์จากมันได้อย่างไร อะไรคือข้อมูลส่วนบุคคล ขอบเขตมันกว้างแค่ไหน         ในตัวพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลหรือที่เรามักจะเรียกกันว่า PDPA ในมาตรา 6 บอกไว้ว่า ข้อมูลส่วนบุคคล หมายความว่า ข้อมูลเกี่ยวกับบุคคลธรรมดาซึ่งทำให้สามารถระบุตัวคนนั้นได้ไม่ว่าโดยทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลผู้ถึงแก่กรรมโดยเฉพาะ ที่กฎหมายไทยเขียนไว้แค่นี้คือการเขียนที่สอดคล้องกับ GDPR รวมถึงอีกหลายๆ ประเทศที่เอา GDPR ไปเขียนเป็นกฎหมาย เขียนแบบปลายเปิด นี่คือความยาก มันทำให้บทนิยามคำว่าข้อมูลส่วนบุคคลในทางการบังคับใช้มีต้นทุนสูง เพราะมันเป็นปลายเปิดมาก ๆ ถ้าเราไปดูของฝั่งสหภาพยุโรป ตัว GDPR เขาเขียนแบบนี้เหมือนกัน แต่เขามียกตัวอย่างไว้ด้วย เช่น ชื่อ-นามสกุล หมายเลขประจำตัว ข้อมูลสถานที่ สิ่งต่างๆ ที่ระบุอัตลักษณ์ไม่ว่าจะเป็นอีเมล์ของคุณ Username Password Cookie ID ข้อมูลอะไรก็แล้วแต่ที่ทำให้เชื่อมโยงมาแล้วบอกได้ว่าเป็นตัวคุณ         ยกตัวอย่างง่ายๆ ถ้าเราดู PDPA มาตรา 26 ซึ่งเป็นเรื่องข้อมูลส่วนบุคคลอ่อนไหว กฎหมายให้ตัวอย่างของ Identifier บางอย่างที่ใช้เชื่อมโยงหรือระบุตัวบุคคลได้ เช่น เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ข้อมูลความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ ซึ่งพวกนี้เป็น Sensitive Data ซึ่งกฎหมายคุ้มครองมากขึ้นเป็นพิเศษ ดังนั้นเวลาเราพูดถึงความหมายคำว่าข้อมูลส่วนบุคคล เราจะบอกว่าต้องดูจากบริบทการประมวลผลข้อมูลส่วนบุคคล ดังนั้น เอาจริงๆ ข้อมูลเกี่ยวกับบุคคลแทบทุกอย่างเป็นข้อมูลส่วนบุคคลได้หมดขึ้นอยู่กับบริบทการใช้งานว่าคุณเอามาใช้แล้วมันเชื่อมโยงไปยังบุคคลใดบุคคลหนึ่ง แต่ถ้าข้อมูลที่เชื่อมโยงกลับมาไม่ได้ก็ไม่ใช่ข้อมูลส่วนบุคคล แต่ความสามารถในการ Linkable หรือ Identifiable มันเป็นเรื่องที่พูดยากในบริบทของกิจกรรมการประมวลผลที่มีเทคโนโลยีเข้ามาเกี่ยวข้อง อย่าง Cookie ID ออนไลน์แทร็คกิ้ง  Location Data ถามว่าเรารู้ไหมว่าเป็นใคร เราไม่รู้ แต่มี Operator รู้ มีหน่วยงานบังคับใช้กฎหมาย มีบางหน่วยงานที่สามารถ Identify ได้ เพราะฉะนั้นกฎหมายเลยบอกว่าข้อมูลอะไรก็แล้วแต่ที่เชื่อมโยงกลับไปได้ว่าหมายถึงใคร เป็นข้อมูลส่วนบุคคลทั้งสิ้น         ผมต้องบอกด้วยว่ากฎหมายคุ้มครองข้อมูลส่วนบุคคลใช้บังคับกับผู้ควบคุมของข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลทุก ๆ ประเภท ทุก ๆ ธุรกิจ เว้นแต่บางกิจการหรือกิจกรรมที่กฎหมายอาจจะยกเว้นให้ ดังนั้น บริบทมันกว้างกว่า Operator ความหมายของผมก็คือทุกหน่วยงานทุกองค์กรที่เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลมีโอกาสเป็นผู้ควบคุมข้อมูลส่วนบุคคลทั้งสิ้น         ในบริบทระหว่างผู้รับบริการหรือผู้บริโภคกับผู้ให้บริการ ผู้ให้บริการคือผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ดังนั้น ผู้ควบคุมข้อมูลส่วนบุคคลจึงหมายถึงผู้ให้บริการโทรศัพท์มือถือ ผู้ให้บริการโทรศัพท์บ้าน ผู้ให้บริการอินเตอร์เน็ต  ธนาคารพานิชย์ บริษัทประกันภัย อี-คอมเมิร์ส ทุกผู้ประกอบการมีการใช้ข้อมูลของผู้บริโภค เขาจึงมีหน้าที่ตามกฎหมาย หน่วยงานรัฐถือเป็นผู้ควบคุมด้วยหรือไม่         PDPA ไม่ได้แยกระหว่างหน่วยงานรัฐกับหน่วยงานเอกชน องค์กรใดๆ ก็ตามที่เข้าเงื่อนไขตามที่กฎหมายกำหนดว่าเป็นผู้ควบคุมข้อมูลส่วนบุคคลต้องปฏิบัติตามกฎหมายฉบับนี้ แต่มีข้อยกเว้นหลักๆ อยู่ 2 ข้อ หนึ่ง คุณได้รับการยกเว้นโดยกิจการ สอง คุณได้รับยกเว้นโดยองค์กรของคุณ มีหน่วยงานรัฐบางองค์กรหรือหน่วยงานเอกชนบางกิจการที่ได้อาจได้รับการยกเว้น อาทิถ้าเป็น กิจการสื่อสารมวลชน ไม่ว่าจะเป็นรัฐหรือเอกชน คุณได้รับการยกเว้นกฎหมายฉบับนี้เฉพาะในส่วนการทำหน้าที่ของสื่อสารมวลชนภายใต้กรอบจริยธรรมตามวิชาชีพ เพราะนี่คือการรักษาสมดุลระหว่าง 2 เรื่อง ประการแรก คือหน้าที่ของสื่อมวลชนซึ่งมีหน้าที่เปิดเผยความจริง เป็น Freedom of Expression คือหลักการที่รัฐธรรมนูญรับรอง การทำหน้าที่ของสื่อมวลชนจะทำไม่ได้เลยถ้าไม่ใช้ข้อมูลส่วนบุคคล คุณเอาข้อมูลของคนมาเปิดเผยไม่ได้หรือมีข้อจำกัดในการใช้ข้อมูล ปัญหาจะเกิดทันทีเพราะว่าคุณไม่สามารถนำเสนอข่าวสารเพื่อการตัดสินใจของประชาชนได้ หรือหน่วยงานด้านความมั่นคง สภาผู้แทนราษฎร วุฒิสภา กรรมาธิการต่างๆ ก็เป็นเรื่องที่กฎหมายยกเว้นให้แต่ถ้ากฎหมายไม่ได้เขียนยกเว้น ตามที่บัญญัติไว้ในมาตรา 4 องค์กรใดๆ ก็แล้วแต่ที่เข้าบทนิยามคำว่า ‘ผู้ควบคุมข้อมูลส่วนบุคคล’ หรือ ‘ผู้ประมวลผลข้อมูลส่วนบุคคล’ คุณมีหน้าที่ต้องปฏิบัติตาม PDPA         คราวนี้ในกฎหมายคำว่า ‘ผู้ควบคุมข้อมูลส่วนบุคคล’ หมายถึงอะไร มันหมายความว่า บุคคลหรือนิติบุคคลที่มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล คำว่าเก็บรวบรวมใช้ เปิดเผย ในทางปฏิบัติเราใช้คำรวม ๆ ว่า ‘การประมวลผลข้อมูลส่วนบุคคล’ ดังนั้น หน่วยงานรัฐที่มีอำนาจหน้าที่เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล ถ้าไม่ใช่องค์กรที่กฎหมายยกเว้นให้ ก็มีหน้าที่ต้องปฏิบัติตามกฎหมายเช่นเดียวกับองค์กรเอกชน  เพียงแต่เงื่อนไขการประมวลผลและฐานทางกฎหมายที่ใช้อาจมีความแตกต่างกัน ในฐานะผู้ใช้หรือผู้บริโภค มีบทบาทหน้าที่อะไรบ้างที่จะปกป้องข้อมูลส่วนบุคคลของเราเอง?         PDPA เป็นกฎหมายที่ว่าด้วยสิทธิ คุณหรือผมในฐานะเจ้าของข้อมูลส่วนบุคคลเป็นคนที่กฎหมายให้สิทธิ PDPA เป็นกฎหมายที่กำหนดว่าเรามีสิทธิอะไรบ้าง แต่ไม่มีหน้าที่ของเราเลย ตัวกฎหมายคุ้มครองข้อมูลส่วนบุคคล ไม่ได้ว่าด้วยหน้าที่ของเจ้าของข้อมูลส่วนบุคคล กฎหมายกำหนดหน้าที่และความรับผิดชอบไว้กับคนที่เอาข้อมูลเราไปใช้ ซึ่งก็คือผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล คิดง่าย ๆ ก็คือผู้ให้บริการทั้งหลาย ภาคธุรกิจที่เอาข้อมูลเราไปใช้ประโยชน์ทั้งหมดนั่นแหละที่มีหน้าที่ตามกฎหมาย         หน้าที่ของเขา ผมขอใช้คำหนึ่ง เรียกว่า Responsible Use การใช้ข้อมูลอย่างมีความรับผิดชอบ เขาต้องมีสิ่งที่เรียกว่า Accountability มีหน้าที่ความรับผิดชอบตามกฎหมายที่ต้องปฏิบัติตาม เช่นมีหน้าที่จัดให้มีมาตรการด้านความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่เหมาะสม มีหน้าที่ที่ต้องใช้ข้อมูลตามวัตถุประสงค์ที่จำกัด และชอบด้วยกฎหมาย ไม่มีการใช้ข้อมูลนอกวัตถุประสงค์ที่เขาแจ้งเราไว้ เป็นต้น           ถามว่าในแง่ของผู้บริโภคเราในฐานะผู้ใช้บริการควรจะมีส่วนร่วมยังไงบ้างในการปกป้องดูแลข้อมูลส่วนบุคคล ความรู้พื้นฐานเกี่ยวกับเทคโนโลยีสารสนเทศที่เกี่ยวข้องก็อาจมีความจำเป็น ตัวอย่างเช่นการตั้ง Password การปกป้องตัวเองในโลกออนไลน์ ไม่ให้คนมาเอาข้อมูลของเราไปโดยมิชอบ อันนี้เป็นเรื่องที่เราดูแลตัวเราเอง แต่ไม่ได้หมายความว่าผู้ประกอบการหรือคนที่เอาข้อมูลเราไปใช้ไม่มีหน้าที่         การใช้ข้อมูลต้องถูกต้องตามวัตถุประสงค์ ตัวอย่างเช่นเราใช้บริการโทรศัพท์มือถือ ผู้ให้บริการสามารถใช้ข้อมูลที่เกี่ยวกับตัวเราและสัญญาให้บริการติดต่อเรา ส่งใบแจ้งหนี้ ใช้ที่อยู่เรา โทรหาเรา SMS ถึงเรา เฉพาะที่เกี่ยวข้องกับสัญญาให้บริการโทรศัพท์มือถือ อันนี้คือสิ่งที่ทำได้ตามกฎหมาย ตามวัตถุประสงค์ของสัญญา แต่สิ่งที่ทำไม่ได้หรือถ้าจะทำคุณต้องมีขั้นตอนเพิ่มเติม สมมติว่าค่ายมือถือเพิ่มธุรกิจให้บริการอินเตอร์เน็ตบ้านความเร็วสูง ถามว่าเขาจะเอาลูกค้ามาจากไหน ง่ายสุดก็ลูกค้าเดิม มีชื่อ มีนามสกุล มีที่อยู่ มีเบอร์โทรทุกอย่างแล้ว การที่จะเอาข้อมูลส่วนบุคคลที่อยู่ในกลุ่มสัญญานี้มาใช้กับตลาดใหม่ของเขา จะทำได้ก็ต่อเมื่อขอความยินยอมจากเราใหม่แยกต่างหากจากสัญญาหลัก เพราะนี่คือการเปลี่ยนจากวัตถุประสงค์เดิม ข้อมูลใช้ได้ แลกเปลี่ยนได้ เพียงแต่คุณมีหน้าที่ต้องโปร่งใส เป็นธรรมกับข้อมูลส่วนบุคคล โปร่งใสคือเอาไปทำอะไรต้องบอก เป็นธรรมแจ้งให้เราทราบด้วย แล้วก็ใช้ภายใต้เงื่อนไขที่เราอนุญาต เวลาผู้บริโภคสมัครใช้แอพลิเคชันของธนาคาร จะมีข้อความยาวๆ ขึ้นมาให้กดยินยอม ซึ่งผู้บริโภคส่วนใหญ่น่าจะไม่ได้อ่าน แต่ถ้าไม่กดยินยอมก็ใช้แอพฯ ไม่ได้ กฎหมายพูดถึงประเด็นนี้อย่างไรบ้าง         อาจมี 2 เรื่อง เวลาที่เรากดรับความยินยอม กรณี Application ต้องแยกให้ออกว่ามันคือความยินยอมในแง่การเข้าทำสัญญา คือ Terms and Conditions หรือเงื่อนไขการเข้าใช้บริการ คือเรายินยอมเพื่อเข้าทำสัญญาการใช้ Application นั้น เราเคยได้ยินเรื่องสัญญาไม่เป็นธรรม หรือสัญญาสำเร็จรูป คือ สัญญาที่ผู้ประกอบการเป็นผู้กำหนดแต่ฝ่ายเดียว ผู้บริโภคทำได้แค่เซ็นหรือไม่เซ็น อันนั้นมาในรูปของ Terms and Conditions ของสัญญาหรือบางกรณีก็พ่วงมากับการขอความยินยอมในการใช้ข้อมูลด้วยซึ่งจะกลายเป็นสัญญาพ่วงแบบ Consent ซึ่งหลักการนี้ค่อนข้างมีปัญหาอยู่ ถ้าเป็นฝั่ง GDPR ‘ความยินยอม’ กับ ‘สัญญา’ คุณต้องแยกออกจากกันให้ชัดเจน ถ้าเป็นการตกลงให้ความยินยอมเพื่อเข้าทำสัญญา มันไม่ใช่เรื่องความยินยอมในการใช้ข้อมูล มันคือเรื่องสัญญา แต่ถ้าคุณจะขอความยินยอมในการใช้ข้อมูลก็เป็นเรื่องความยินยอมตาม PDPA มันคนละวงเล็บกันตามกฎหมายเลย มันคือคนละฐานในการประมวลผล ปัจจุบันข้อมูลส่วนบุคคลถูกองค์กรธุรกิจนำไปใช้ประโยชน์ ซื้อขายต่อ และกลายเป็นปัญหารบกวน ถ้ากฎหมายฉบับนี้บังคับใช้ ผู้บริโภคจะสามารถทำอะไรได้บ้างเพื่อปกป้องสิทธิของตน         ผมเชื่อว่าพอกฎหมายฉบับนี้ใช้บังคับจริง ๆ พวก Direct Marketing จะเป็นกลุ่มแรกที่ได้รับผลกระทบในแง่ที่ว่า การทำงานจะต้องมีขั้นตอนกระบวนการมากขึ้น อย่างทุกวันนี้เวลาใครโทรมาขายของกับผม ผมจะถามว่าคุณเอาข้อมูลผมมาจากไหน สอง ผมจะบอกว่าผมไม่สนใจสินค้าและบริการนี้ กรุณาถอดรายชื่อผมออกจากบัญชีลูกค้าหรือบัญชีคนที่คุณจะติดต่อ อันนี้คือวิธีการที่ผมตอบไปกับคนที่โทรมาขายของ         แต่ถ้ากฎหมาย PDPA ใช้บังคับ หลักการประมวลผลต้องมีฐานทางกฎหมาย คนที่โทรมาต้องตอบได้ว่าเขามีสิทธิอะไรถึงเอาข้อมูลเรามาใช้ เราตั้งคำถามได้ทันทีเลยว่าเอาข้อมูลของเรามาจากไหน ทุกวันนี้ธนาคารกับค่ายมือถือเขาใส่ใจเรื่องนี้อยู่แล้ว เพราะรู้แล้วว่าการทำ Direct Marketing มีข้อจำกัด เขาจะทำอย่างระมัดระวัง คราวนี้ก็ยังอาจจะมีผู้ประกอบการอีกจำนวนหนึ่งซึ่งอาจจะยังไม่รับรู้หรือตระหนักมากนัก และอาจจะต้องให้เวลาเพื่อสร้างการรับรู้ให้กับภาคธุรกิจบางส่วน         หรือ ณ ขณะนี้ก็อาจมีความเป็นไปได้ว่าภาคธุรกิจบางส่วนเองก็รับรู้แล้ว แต่ด้วยความที่กฎหมายยังไม่ใช้บังคับทั้งฉบับ ขาดผู้กำกับดูแลที่จะบังคับใช้กฎหมายในช่วงที่ผ่านมา ต้องบอกว่าเป็นช่วงเก็บเกี่ยวและโกยข้อมูล แต่ทันทีที่กฎหมายใช้บังคับเต็มรูปแบบ ทุกองค์กรต้องตอบได้ว่าเอาข้อมูลมาจากไหน ผู้บริโภคมีสิทธิตั้งคำถามกับคนที่โทรมาว่าคุณเอาข้อมูลมาจากไหน อย่างไร และถ้าคุณไม่พอใจให้เขาติดต่อมาอีก ก็บอกว่าขอให้ยุติการประมวลผล หรือขอให้ลบข้อมูลของคุณเสีย นี่เป็นสิทธิของผู้บริโภคเช่นกัน