คุณยินยอมเปิดเผยข้อมูลส่วนบุคคลหรือไม่ ?
คำถามที่มักขึ้นมาขอความเมื่อเรากรอกข้อมูลส่วนตัว สมัครการใช้บริการ ซื้อสินค้าต่างๆ หรือใช้แอพพลิเคชั่น ที่ปัจจุบันนี้ล้วนแต่ขอข้อมูลของเราในโลกดิจิทัล แต่ในทางกลับกัน ช่วงที่ผ่านมา กลับมีข่าวถึงข้อมูลเหล่านี้ที่หลุด และถูกเปิดเผยออกมา ไม่ว่าจะเป็นข้อมูลอินเทอร์เน็ต เบอร์โทรศัพท์จากการลงทะเบียน จนทำให้หลายๆ คน รู้สึกหวาดระแวงกับระบบ ไม่มั่นใจกับการให้ข้อมูล ไปถึงมองว่าการถูกขอข้อมูล เหมือนถูกรุกล้ำความเป็นส่วนตัว
อ.ฐิติรัตน์ ทิพย์สัมฤทธิ์กุล จากคณะนิติศาสตร์ ธรรมศาสตร์ ให้สัมภาษณ์กับเราว่า เหตุการณ์ข้อมูลหลุดนั้นเป็นเรื่องที่เกิดขึ้นเป็นประจำ แต่เราก็ควรดูแลข้อมูลของเราให้ปลอดภัย รวมไปถึงก็เป็นหน้าที่ของบริษัท และองค์กรด้วยที่จะต้องดูแลข้อมูลของเรา ไปถึง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ที่จะมีแผนบังคับใช้ในปีหน้าว่า จะมาช่วยเป็นอีกกลไกหนึ่งที่คุ้มครองข้อมูลของเราให้ปลอดภัยมากขึ้นอย่างไร
ช่วงนี้มันมีเหตุการณ์แบบข้อมูลหลุดเกิดขึ้นบ่อยมาก ไม่ว่าจะเป็นข้อมูลอินเทอร์เน็ท หรือเบอร์โทรที่หลุด อาจารย์มองเหตุการณ์เหล่านี้อย่างไรบ้าง
จริงๆ เรามองว่าเรื่องข้อมูลหลุดเป็นเรื่องที่มีอยู่เรื่อยๆ อยู่แล้ว ในแง่นึงคือเราก็ต้องยอมรับว่า ลักษณะของการใช้ข้อมูล ยิ่งมีการใช้ข้อมูลเยอะเท่าไหร่ มันก็มีโอกาสที่จะหลุด มีโอกาสที่จะถูกนำไปใช้ในทางที่ไม่ดี หรือไม่ได้เป็นไปตามวัตถุประสงค์ของมันตั้งแต่ต้น
อย่างเมื่อก่อน เวลาเรารู้สึกว่ามีข้อมูลหลุด จริง ๆ ข้อมูลหลุดมันมักจะมากับคำว่าระบบล่ม หรือว่าระบบถูกแฮ็ก ซึ่งสองเรื่องนี้ไม่ใช่เรื่องเดียวกันเสมอไป บางครั้งการที่ระบบมันล่ม หรือความปลอดภัยของระบบมันเกิดปัญหา ไม่ได้หมายความว่าข้อมูลมันจะหลุดเสมอไป และหลายๆ ครั้งที่เวลาข้อมูลส่วนบุคคลของคนมันหลุดออกมา หรือมันถูกเอาไปใช้ในทางที่ไม่ถูก มันก็ไม่ได้เป็นปัญหาของระบบเสมอไป
บางครั้งมันเป็นปัญหาจากตัวคนที่รันระบบ หรือคนที่เอามาใช้ หรือบางทีก็เป็นความบกพร่อง หรือผิดพลาด หรือรู้เท่าไม่ถึงการณ์ของตัวเจ้าของข้อมูลเอง มันมีได้หลายแบบ แต่เราคิดว่าเหตุการณ์ช่วงที่ผ่านมาคนมีความกระตือรือร้นกับเรื่องนี้ เยอะมากขึ้นมากๆ
ส่วนตัวมองว่าเป็นเรื่องดี ที่คนเริ่มให้ความสนใจแล้วว่า บางทีที่บริษัทต่างๆ หรือองค์กรรัฐเอาข้อมูลของเราไปใช้ เค้ามีหน้าที่ต้องดูแล การที่เค้าดูแลไม่ดี หรือการที่เค้าปรับเปลี่ยนฟีเจอร์บางอย่างโดยที่เค้าไม่บอกเรา แล้วคนเกิดความโกรธ เกิดความสงสัย แล้วก็กล้าที่จะส่งเสียงออกมาดัง ๆ ว่า อย่ามาทำกับฉันแบบนี้ เราคิดว่ามันเป็นเรื่องที่ดี ที่คนให้ความสนใจกันมากขึ้น
พอมีกระแสคนที่สนใจประเด็นเหล่านี้มากขึ้น ตัวพวกบริษัท หรือองค์กร หรือหน่วยงานของรัฐเอง ควรต้องตอบสนองความสนใจนี้อย่างไรบ้าง
องค์กรต่างๆ ที่ใช้ข้อมูล เค้ามีความรับผิดชอบในฐานะผู้ให้บริการอยู่แล้ว ซึ่งความรับผิดชอบในฐานะผู้ให้บริการมันมีตั้งแต่ทำให้บริการนั้นดี ตอบสนองความต้องการของผู้ใช้ ไปจนถึงการคุ้มครองไม่ให้เกิดความเสียหายกับคนที่ใช้บริการของตัวเอง หรือไม่ให้คนที่ใช้บริการไปสร้างความเดือดร้อนเสียหายกับผู้ใช้คนอื่นๆ เรื่องนี้มันเป็นจรรยาบรรณ มันเป็นจริยธรรมพื้นฐานของคนทำงานเกี่ยวกับข้อมูลอยู่แล้ว
แต่ทีนี้คิดว่าสิ่งที่มันเพิ่มมากขึ้นก็คือว่า มันอาจจะมีกฎหมายบางอย่างที่ออกมาเพื่อบังคับให้บริษัทหรือองค์กรต่างๆ ที่ใช้ข้อมูลต้องดูแลมาตรฐานไปในทางเดียวกัน อันนี้ก็จะมีส่วนที่เป็นทางกฎหมาย กับส่วนที่เป็นความต้องการของคนทั่วไป
ตอนนี้องค์กรต่างๆ ก็น่าจะเริ่มรู้แล้วแหละว่า คนทั่วๆ เวลาเค้าเลือกที่จะใช้บริการอะไรสักอย่าง เค้าไม่ได้ดูแค่คุณภาพของการให้บริการ แต่เค้าดูด้วยว่าบริษัท หรือองค์กรดูแล privacy ของเรายังไง ซึ่งเราอาจจะบอกได้ว่า คนรุ่นที่เด็กลงมาก็อาจจะสนใจเรื่องนี้มากหน่อย มีความเข้าใจ คุ้นเคยกับเรื่องนี้มากหน่อย ดังนั้นบริการไหนที่ target กับคนกลุ่มนี้ ก็อาจจะต้องแสดงจุดยืนที่ชัดเจนว่าเค้าคุ้มครองเรื่องความเป็นส่วนตัว คุ้มครองข้อมูลอย่างดี รวมไปถึงการออกแบบระบบหรือพวก user interface หรือค่าตั้งต้นต่างๆ ก็จะต้องนึกถึงเรื่องการคุ้มครองความเป็นส่วนตัวมากขึ้นด้วย เรียกว่า privacy by design กับ privacy by default กำลังกลายเป็นเทรนด์ใหม่โลกยุคดิจิทัล
หรือว่าอย่างบริการเกี่ยวกับเรื่องการเงินที่ต้องการให้ผู้บริโภคมั่นใจมากๆ กับระบบที่ปลอดภัย เค้าก็ต้องแสดงจุดยืนตรงนี้ อันนี้ก็จะเป็นกลไกตลาด แต่นอกจากกลไกตลาดแล้ว เราก็ต้องยอมรับว่ากลไกตลาดแบบนี้มันไม่ได้ทำงานได้ดีเสมอไป บางทีไม่ใช่ผู้บริโภคทุกคนที่เข้าใจเรื่องนี้ บางคนสนใจแต่ไม่เข้าใจ ไม่ได้มีความรู้พอในเรื่องนั้นๆ และเมื่อมองในภาพรวมแล้ว พลังของผู้บริโภค ของคนธรรมดาที่จะส่งเสียงต่อรองกับบริษัทหรือหน่วยงานภาครัฐมันก็ยังไม่มากพอ เราก็จะเห็นว่าบางทีองค์กรต่างๆ เขาก็ไม่ได้แสดงความรับผิดชอบต่อเรื่องเหล่านี้อย่างเต็มที่นักซึ่งทางนึงที่จะช่วยได้ก็คือการมีกฎหมาย มีมาตรฐานอะไรออกมาบอกว่า บริษัทหรือองค์กรต่าง ๆ ที่ทำงานเกี่ยวกับข้อมูลส่วนบุคคลต้องรักษามาตรฐานในระดับนึง เพื่อที่จะช่วยให้ผู้บริโภคไม่ต้องไปเหนื่อยไฟท์ทุกครั้งที่มีปัญหา
อย่างที่ผ่านมา ที่มีข้อมูลการใช้อินเทอร์เน็ทหลุด หรือข้อมูลการใช้งาน บริการบางอยู่หลุด อาจารย์มองว่าตัวบริษัทหรือตัวองค์กร ต้องแสดงความรับผิดชอบอย่างไร?
เวลามีข้อมูลหลุด มันเป็นมาตรฐานทั่วๆ ไปมากเลย ในคนที่ทำงานกับข้อมูล หรือ IT อย่างแรกที่เค้าต้องทำคือเค้าต้องประเมินความเสี่ยงว่า ตัวข้อมูลนั้นมีคุณค่าแบบไหน หรือก่อให้เกิดอันตรายต่อข้อมูลส่วนบุคคลอย่างไรบ้าง ซึ่งถ้าเป็นอันตรายที่มันอาจจะเกิดขึ้นต่อตัวบุคคลแบบชัดๆ เลย เค้าต้องเตือนไปถึงตัวบุคคลเลยด้วยซ้ำ ไม่ใช่แค่ออกมาประกาศ หรือขอโทษเฉยๆ
แต่มันก็มีประเด็นอยู่ว่า บางทีความเสี่ยงของแต่ละคนมันไม่เท่ากัน สมมติข้อมูลชุดเดียวกัน แต่ว่าแต่ละคนมีบริบทที่ต่างกัน มีความกังวลไม่เหมือนกัน อย่างเช่น สมมติว่าที่อยู่หลุด บางคนก็อาจจะไม่แคร์ถ้าอยู่คอนโด 500 ยูนิต เดินเข้ามาก็ไม่รู้อยู่ดีว่าอยู่ห้องไหน หรือเบอร์โทรหลุด ก็อาจจะไม่เป็นไร เพราะเป็นเบอร์ที่ทำงาน แต่บางคนก็อาจจะอ่อนไหวกับเรื่องนี้มาก หรือเบอร์อาจไปผูกกับการทำธุรกรรมอย่างอื่น ซึ่งในปัจจุบันคนก็มีการนำเบอร์โทรศัพท์ไปผูกกับการทำธุรกรรมเยอะมากจริงๆ ดังนั้นแต่ละคนเค้ามีความเสี่ยงไม่เหมือนกัน
เพราะฉะนั้นเวลาที่ข้อมูลมันหลุด สิ่งที่องค์กร บริษัท หรือหน่วยงานต่างๆ จะต้องทำอย่างแรกคือ พยายามปิดรอยรั่วของระบบ ตามมาด้วยประเมินความเสี่ยง และแจ้งให้กับองค์กรที่กำกับดูแล แล้วถ้ามีความจำเป็นต้องแสดงความรับผิดชอบให้กับสังคมรับทราบว่า มันเกิดอะไรขึ้น อธิบายให้คนทั่วๆ ไปทราบ ซึ่งการอธิบาย จริงๆ มันก็คือการที่ให้เจ้าตัวเค้าประเมินความเสี่ยงที่มันอาจจะแตกต่างจากคนอื่นด้วย
ยกตัวอย่างง่ายๆ ถ้าเป็นบริษัทบัตรเครดิต ถ้ามีข้อมูลหลุด แล้วมันเป็นบัตรที่วงเงินเยอะๆ หรือว่าเอาไปใช้ในที่ๆ มีความเสี่ยงมาก พอรู้ตัว เค้าอาจจะโทรไปอายัติบัตร หรือตรวจสอบการใช้งาน มันอาจจะมีแอคชั่นบางอย่างที่เจ้าของข้อมูลต้องไปทำ เพื่อที่จะป้องกันตัวเอง
ดังนั้นเวลาแจ้ง เวลาบริษัทควรจะออกมาเทคแอคชั่นในกรณีแบบนี้คือทำให้สาธารณชนได้ทราบว่า เกิดอะไรขึ้น และเค้าได้ทำอะไรไปแล้วเพื่อป้องกันไม่ให้เกิดความเสียหาย อันนี้คือพูดในแง่กฎหมาย ความรับผิดชอบ แต่ทีนี้ในแง่ของการตอบสนองต่อความต้องการของคน หรือคนทั่วไปที่เค้าต้องการคำอธิบาย มันก็ต้องแสดงความจริงใจกันนิดนึงว่า เราได้พยายามอย่างเต็มที่แล้ว สิ่งนี้มันเกิดขึ้นโดยไม่ได้เกิดจากความตั้งใจ หรือพยายามจะเลี่ยงความเสียหายแล้ว
ช่วงที่ผ่านมา เราทุกคนต้องให้ข้อมูลกันเยอะมาก เช่นต้องกรอกเบอร์ เพื่อป้องกันโรคระบาด ใช้แพลตฟอร์ม หรือการใช้แอพพลิเคชั่น อาจารย์มีความกังวลอะไรไหมที่ทุกคนต้องให้ข้อมูลตรงนี้ไป?
คิดว่าทุกคนคงกังวลเหมือนๆ กันเนอะ ตั้งแต่ที่ว่าเบอร์โทรศัพท์ของเราจะไปอยู่ในมือของคนเยอะแยะมากมายเลย แล้วไม่รู้ว่าจะไปอยู่ในมือใครบ้าง จริงๆ มันมีความเสี่ยงทั้งสองแบบว่าอันที่กรอกเข้าไปในแอพลิเคชั่น หรือในแพลตฟอร์มที่ๆ มีศูนย์ข้อมูล เราก็อาจจะกังวลว่าศูนย์ข้อมูลนั้นจะดูแลข้อมูลเราดีแค่ไหน เค้าจะเอาข้อมูลของเราไปใช้ในวัตถุประสงค์อะไรบ้าง อันนี้ก็เป็นความกังวลนึง
อีกความกังวลนึงก็คือ ถ้าเราเขียนลงกระดาษ แล้วร้านค้าหรือว่าหน่วยงานที่เค้าดูแลกระดาษแผ่นนั้นเค้าจะดูแลข้อมูลของเราดีมั้ย หรือบางครั้งเราเขียนกระดาษเราก็เห็นเบอร์ของคนข้างหน้า หรือคนที่มาเขียนต่อจากเราเค้าจะเห็นเบอร์เรา ก็คงจะมีเรื่องนี้ด้วย
รวมไปถึงว่าไม่ใช่แค่เบอร์อย่างเดียว มันจะมีข้อมูลพฤติกรรมด้วยในแง่ที่ว่าวันๆ นึง เราเดินออกจากบ้าน เข้าห้าง ธนาคาร ร้านอาหาร ซึ่งมันก็บอกว่าเรามีรสนิยมแบบไหน มีพฤติกรรมแบบไหนในหนึ่งวัน ซึ่งข้อมูลเหล่านี้ถ้าดูทีละส่วน ดูทีละเสี้ยว อาจจะไม่ค่อยมีความสำคัญอะไรมาก แต่ถ้าเรารวมกันเป็นก้อนใหญ่แล้วมันอาจจะเห็นเทรนด์ ซึ่งมีทั้งสองแบบ คือเทรนด์ของตัวเราเอง และเทรนด์ในเชิงภาพรวมว่า คนอายุเท่านี้ ทำงานในพื้นที่แบบนี้ มีพฤติกรรมไปกินร้านอาหารแบบไหน มีแนวโน้มอย่างไร ซึ่งข้อมูลเหล่านี้เป็นข้อมูลที่ทุกคนรู้ ทุกคนที่ทำงานในวงการธุรกิจทราบว่ามันเป็นข้อมูลที่เป็นประโยชน์
มีความกังวลไหมว่าองค์กรเหล่านี้จะสามารถปกป้องข้อมูลของเราได้หรือไม่? เรามีสิทธิที่จะปฏิเสธที่จะให้ข้อมูลแค่ไหน?
จริงๆ เค้าไม่ได้บังคับตั้งแต่ต้น เข้าใจว่าภาครัฐ หรือห้างร้านก็พูดมาตั้งแต่ต้นว่า นี่คือการขอความร่วมมือ ซึ่งเราก็คิดว่าในช่วงระยะ 3 – 4 เดือนที่ผ่านมันเป็นช่วงเวลาที่เราเองก็สละสิทธิเสรีภาพหลายอย่าง ๆ เพื่อผลประโยชน์ของส่วนรวมกันมาเยอะ เราได้เสียสละโอกาสที่เราจะต้องได้ออกจากบ้านไปทำงาน ไปทำหลาย ๆ อย่างที่เราทำได้ บางคนเค้าเสียสละถึงขั้นเรียกว่าสูญเสียความก้าวหน้าในอาชีพของเค้าเลยก็ได้ เพื่อที่เราจะป้องกันไม่ให้โรคระบาดมันแพร่ขยาย เพื่อป้องกันไม่ให้สาธารณสุขเราเกิดสภาวะแบบ overcapacity ที่รองรับกรณีที่ระบาดรุนแรงหรือผู้ป่วยที่จำเป็นไม่ได้อย่างที่ควร
เราคิดว่า เรื่องนี้เป็นเรื่องที่ทุกคนเข้าใจว่าเราจะเสียสละบางอย่างเพื่อที่จะปกป้องผลประโยชน์โดยรวม แต่ทีนี้คำถามมันก็มีอยู่ว่า เราต้องเสียสละมันขนาดนั้นเลยมั้ย
มันมีวิธีอื่นอีกไหมที่เราจะได้รับการคุ้มครองข้อมูลความเป็นส่วนตัวของเราไปพร้อมๆ กับที่เราจะให้ข้อมูลที่เป็นประโยชน์กับสังคมได้
เราคิดว่าเรื่องนี้มันยากตรงที่ว่า บางทีบ้านเราไม่ได้ค่อยคิดถึงประเด็นอะไรแบบนี้ เราไม่ได้ตั้งต้นจากความไว้วางใจซึ่งกันและกัน เรามักจะคิดว่าเดี๋ยวคนจะโกหก จะปิดบังข้อมูล แต่จริง ๆ แล้วมันต้องไปตั้งต้นก่อนว่า อะไรที่ทำให้คนโกหก อะไรที่ทำให้คนปิดบังข้อมูล ทั้งๆ ที่ ทุกคนรู้ว่าถ้าเราเปิดเผยข้อมูลให้หน่วยงาน มันจะเป็นประโยชน์กับทุกคนมากกว่า แสดงว่ามันจะต้องมีผลลัพธ์อะไรบางอย่างที่เป็นลบ ที่ทำให้ตัวเจ้าของข้อมูลไม่อยากแชร์ คือไม่ว่าจะเป็น คนที่อาจจะกลัวว่าจะถูกกลั่นแกล้ง จะถูกลงโทษ หรือถูกเอาข้อมูลไปใช้ในทางที่ไม่ดี มันมีความหวาดระแวงซึ่งกันและกัน
สภาวะแบบนี้มันทั้งรัฐเองก็ไม่ไว้ใจคน คนก็ไม่ใว้ใจรัฐ แล้วเราก็ไม่ไว้ใจร้านค้า ร้านค้าก็ไม่ไว้ใจคนที่ใช้บริการ ว่า QR code ที่เค้าโชว์ให้ดูเนี่ย มันเป็นของจริงหรือป่าว หรือเค้าแค่แคปหน้าจอมา คือสรุปทุกคนไม่ไว้ใจกันเลย ถ้าเกิดว่ามันไม่มีใครไว้ใจกันเลย ข้อมูลที่ให้ไปจริง ๆ มันอาจจะไม่มีประโยชน์ เพราะว่ามันไม่ใช่ข้อมูลที่แท้จริง เราคิดว่าปัญหามันลึกกว่านั้นตรงที่ว่า มันไม่ได้ตั้งต้นจากความไว้วางใจกัน
ดังนั้น คำถามคือทำยังไงคนถึงจะไว้วางใจ คนถึงจะกล้าแชร์ข้อมูลให้กับภาครัฐ หรือแชร์ข้อมูลให้กับห้างร้านต่างๆ ที่เค้าจะต้องรักษาความปลอดภัย หรือพยายามทำตามนโยบายของรัฐบาล ซึ่งถ้าเราไม่สามารถสร้างความไว้วางใจโดยการเดินไปบอกว่า ไว้ใจเราเถอะ มันก็ต้องมีหลักฐานบางอย่างที่จะให้เขาเชื่อ
อย่างเช่นถ้ามันเป็นแพล็ตฟอร์ม หรือเป็นแอพพลิเคชั่นอะไรบางอย่างที่จะเก็บข้อมูล หนึ่งก็คือต้องบอกให้ได้ว่าเก็บไปทำอะไร แล้วมันใช้เพื่อวัตถุประสงค์ที่มันแคบจริงๆ แล้วหลังจากหมดความจำเป็นแล้วข้อมูลเหล่านั้นจะไม่ถูกเก็บเอาไว้ จะไม่ถูกนำไปใช้ในทางที่ก่อให้เกิดความเสียหาย หรือในทางที่มันไม่ยุติธรรมกับคนอื่นๆ หรือแม้กระทั่งหน่วยงานที่เก็บข้อมูลเหล่านั้น ก็ควรจะเป็นหน่วยงานที่เป็นกลาง หรือเป็นหน่วยที่ทำงานเพื่อวัตถุประสงค์นั้น จริง
มันก็มีปัจจัยหลายอย่างที่จะทำให้เราไว้ใจ ลองจินตนาการถึงเวลาที่เราไปหาหมอแล้วเราเป็นโรค หรือเรารู้สึกว่าเรามีอาการของโรคบางอย่าง แล้วคุณหมอถามว่า ไปทำอะไรมา สมมติมันอาจจะเป็นเรื่อง sensitive ก็ได้ แต่เราก็ต้องบอกคุณหมอ เพราะว่าเราเชื่อว่าคุณหมอจะต้องเอาข้อมูลนี้ไปวิเคราะห์โรคให้เรา เค้าไม่ได้จะเอาข้อมูลนี้ไปเล่าให้เพื่อนเราฟัง เค้าไม่ได้จะเอาข้อมูลนี้ไปประจานลงอินเทอร์เน็ทว่ามีคนไข้ไปทำตัวแบบนี้ ๆ มา แล้วก็เกิดโรค
ดังนั้นคำถามมันจึงกลับมาว่า ถ้าเราต้องการให้คนแชร์ข้อมูลในสังคม แล้วเราไม่สามารถบังคับให้คนแชร์ข้อมูลได้ เราไม่ได้เป็นระบบที่บังคับให้ทุกคนแชร์ข้อมูลแบบนั้นเนอะ ไม่ได้อยู่ในโลกของ black mirror ดังนั้น เราก็ต้องทำให้คนเชื่อใจให้ได้ว่าระบบที่เราใช้ในการแชร์ข้อมูลมันเป็นระบบที่ปลอดภัย รักษาความเป็นส่วนตัวจริงๆ และใช้เพื่อวัตถุประสงค์ที่จำเป็นจริง ๆ ก็คือป้องกันโรคระบาดเท่านั้นจริงๆ ซึ่งไม่ใช่แค่การออกมาพูดรับรองปากเปล่า แต่ต้องมีหลักฐานตรวจสอบได้ และมีการกำกับดูแลที่เหมาะสม
ก่อนหน้านี้ มีคนพูดเหมือนกันว่า คนเราไม่ชินกับการต้องแชร์ข้อมูลไอที ให้ข้อมูลกับรัฐด้วยหรือเปล่า?
เรารู้สึกว่าอาจจะกลับกันด้วยซ้ำ เพราะแบบเมืองไทยนี่เราให้ข้อมูลกับรัฐตลอดเวลา ไม่ใช่แค่รัฐอย่างเดียว องค์กรเอกชนก็เหมือนกัน ลองดูว่า เราจะสมัครอะไรสักอย่างเราก็ต้องให้เลขบัตรประชาชนทั้ง ๆ ที่แบบให้ไปทำไมนะ นึกออกมั้ย เหมือนสมัครเมมเบอร์ร้านค้าก็ต้องกรอกเลขบัตรประชาชน 13 หลัก กรอกทำไม หรือบางทีเราไปติดต่อหน่วยงานราชการแล้วเราต้องเอาบัตรประชาชนถ่ายเอกสารให้เค้า ซึ่งบัตรมันเป็นระบบ smart card ทำไมระบบมันถึงไม่เชื่อมกัน มันจะมีคำถามแบบนี้เกิดขึ้นในตัวเราอยู่ตลอดเวลา เราคิดว่าข้อมูลมันถูก oversharing ด้วยซ้ำ
แต่ว่า ในประเด็นที่ว่าเราไม่ชินกับการให้ข้อมูลเราคิดว่ามันน่าจะเป็นความไม่ชินในเชิงที่ว่า
เราจินตนาการไม่ออกว่าข้อมูลที่เราให้ไปแล้วเนี่ย คนที่เค้าจะรับไปเค้าจะไปทำอะไรกับข้อมูลนี้ คือด้วยความที่เราอยู่ในสังคมที่แบบ เราเดินไปซื้อกล้วยแขก เราก็จะเห็นข้อมูลส่วนบุคคลอยู่ตรงถุงกล้วยแขก
เป็นแบบสำเนาบัตรประจำตัวประชาชน รายชื่อผู้ถือหุ้น รายชื่อคณะกรรมการ ซึ่งทำไมข้อมูลเหล่านี้มันมาปรากฏอยู่บนถุงกล้วยแขกละ แล้วหน่วยงานที่ดูแลเรื่องพวกนี้ก็ดูเหมือนจะเป็นหน่วยงานที่เป็นองค์กรใหญ่ ๆ ดูน่าเชื่อถือ แต่ทำไมเค้าไม่ดูแลข้อมูลเราเลย
เราจึงคิดว่ามันน่าจะเป็นประเด็นที่ไม่ชินในแง่ที่ว่า เราไม่รู้เลยว่าเมื่อข้อมูลเราออกไปแล้ว มันถูกทำอะไรบ้าง แล้วความหวาดระแวงเนี่ยมันก็อยู่ในใจตลอด แต่เราก็ไม่ค่อยมีทางเลือก เราก็รู้สึกว่า เออ ต้องให้ ไม่ให้แล้วเราจะเข้าอาคารยังไง ไม่ให้ก็สมัครบริการไม่ได้ แล้วถ้าเราไม่ได้ใช้แพล็ตฟอร์มนี้ ทั้งๆ ที่เพื่อนทุกคนเค้าใช้กันหมดเลย มันก็เลือกไม่ได้ ซึ่งมันเป็นความรู้สึกที่น่าเศร้านิดนึงที่เราควบคุมอะไรไม่ได้เลยกับข้อมูลที่เกี่ยวกับตัวเรา
งั้นรัฐ หรือหน่วยงานต้องทำให้ประชาชนเชื่อใจว่าข้อมูลของเค้าจะปลอดภัย
ใช่ เราคิดว่านั่นคือทางออก ซึ่งการพยายามให้มันมีกฎหมาย การพยายามให้มีมาตรฐานกลางมันก็เป็นทางออกแบบนึง จริงๆ มันอาจจะไม่ได้มีทางออกแค่ที่เป็นกฎหมายหรือเป็นสิ่งที่รัฐบังคับอย่างเดียว จริง ๆ อย่างที่พูดไปว่ากลไกตลาดก็เป็นทางออกนึง คือถ้าผู้บริโภคพูดเป็นเสียงเดียวกันว่า ฉันจะไม่ใช้บริการของเจ้าที่ไม่ดูแลข้อมูล แต่จะทำแบบนั้นได้ มันต้องมีทางเลือกหลายๆ อย่าง
แต่หลายๆ เรื่องเราก็ไม่ได้มีทางเลือกขนาดนั้นในแง่ของการใช้บริการ พอมันไม่ได้มีทางเลือกมาก แล้วเราก็ไม่ได้เห็นว่า เฮ้ย ตกลง SMS ที่มันวิ่งเข้าหาเราทุกวัน มันวิ่งมาจากทางไหน แต่เป็นความกลืนไม่เข้า คลายไม่ออกของความสัมพันธ์ระหว่างผู้บริโภคกับผู้ประกอบการหรือเจ้าข้องธุรกิจ คือว่า ผู้บริโภคแต่ละคนเค้ามีข้อมูลน้อยว่า มันเกิดอะไรบ้างในโลกของธุรกิจ ในโลกของข้อมูล แล้วการที่เค้าจะต่อรองกับบริษัทมันไม่ใช่เรื่องง่าย ดังนั้นมันเลยต้องมีกฎหมายคุ้มครองผู้บริโภคขึ้นมา เพื่อที่จะบอกว่า เฮ้ย บริษัทคุณอย่ามาเอาเปรียบบริโภคด้วยข้อมูลที่คุณมีมากกว่า
ตอนนี้เราก็มีแพลตฟอร์มเพื่อป้องกันโรคระบาด แต่บางประเทศก็มีแพล็ตฟอร์มบางอย่างที่ไม่ได้ใช้ข้อมูลส่วนบุคคลของคนในการป้องกันโรค อาจารย์คิดว่ามันเป็นไปได้มั้ยที่รัฐบาลจะ track เราโดยที่ไม่ใช้ข้อมูลของเราเลย
เราคิดว่ามันมีหลาย model มากๆ ในโลกนี้ และเรื่องนี้เป็นประเด็นมากที่ทุกคนพยายามตั้งคำถามว่า มันมีรูปแบบไหนบ้างที่ใช้ได้บ้าง แม้กระทั่ง EU เองเค้าก็ยอมรับว่า การที่เราแชร์ข้อมูลส่วนบุคคลให้รัฐเนี่ย มันเป็นเรื่องที่เป็นประโยชน์ในการที่จะติดตามโรคระบาด หรือป้องการโรคระบาด
แต่หลักการจริงๆ ของมันก็คือ มันต้องแชร์เท่าที่จำเป็นเท่านั้น ซึ่งถามว่าก่อนที่จะมีเทคโนโลยีพวกนี้ สมัยก่อนเราก็แชร์อยู่แล้ว สมมติว่าใครเป็นโรคระบาด เราก็ต้องไปแจ้งที่เขต แจ้งที่ตัวหน่วยงานที่เกี่ยวข้อง เพื่อที่จะบอกว่าเราไปทำอะไรมา ทำไมเราถึงติดโรคนี้ แล้วหน่วยงานโรงพยาบาลที่ปกติเค้าจะเก็บข้อมูลไว้เป็นความลับระหว่างตัวคุณหมอกับกรมควบคุมโรค อันนี้คือเรื่องปกติอยู่แล้ว
แต่ถ้าเราต้องทำสเกลให้มันกว้างขวางขึ้น เราต้องอธิบายให้ได้ว่า การทำในสเกลที่กว้างแบบนั้นมันเป็นประโยชน์จริงๆ รึเปล่า ทั้งในเชิงของระบาดวิทยา แล้วก็ในเชิงของการที่คนจะกล้าให้ข้อมูลกับรัฐจริงๆ ไหม มันมีทั้งสองแง่ที่จะต้องพิจารณา ดังนั้นเราคิดว่าหลาย ๆ ประเทศก็ไม่ได้ใช้ model ที่เก็บข้อมูลเยอะมากขนาดนั้น บางที่เค้าก็ใช้วิธีการเก็บเอาไว้ในตัวเครื่องของเจ้าตัว จนกว่าจะมีความเสี่ยงแล้วค่อยดึงข้อมูลนั้นส่งไป มันก็จะมีวิธีทางเทคนิคแบบนี้
หรือมันก็จะมีการพิจารณาว่าการเก็บจากข้อมูลประเภทไหนที่มันมีความแม่นยำมากสุด ในขณะที่พยายามจะรุกล้ำความเป็นส่วนตัวให้น้อยที่สุด มันก็มีการบาลานซ์ระหว่างปัจจัยต่าง ๆ เหล่านี้ คือเราคิดว่ามันมีทางออกในเชิงเทคโนโลยีที่ค่อนข้างหลากหลายเหมือนกัน ที่จะทำให้การเก็บข้อมูลนั้นมีประสิทธิภาพ แต่ในขณะเดียวกันก็ไม่รุกล้ำความเป็นส่วนตัวมากเกินไป
มีคนมองว่าถ้าการให้ข้อมูลกับรัฐไม่ปลอดภัย ก็ขอเลือกจะไม่ให้ข้อมูล หรือเช็กอินปลอมๆ แต่มีคนเถียงว่าในทางส่วนรวมแล้วมันเป็นการแบบไม่รับผิดชอบต่อสังคมรึเปล่า มันมีการเถียงกันระหว่าง ‘privacy หรือ security’ อยู่
เราไม่ต้องเลือกระหว่าง privacy กับ security เราก็ยืนยันแบบนั้นอยู่ว่า 2 เรื่องนี้ต้องไปทางเดียวกัน จริง ๆ แล้วยิ่งมี security เท่าไหร่ privacy ยิ่งมากขึ้น แต่ security ในที่นี้มันอยู่ในแง่ความปลอดภัยของข้อมูล ถ้าเรามั่นใจว่าข้อมูลเราปลอดภัยมากเท่าไหร่ เราก็จะกล้าใช้ เราก็จะกล้าแชร์ข้อมูลส่วนบุคคลของเรามากเท่านั้น
ยกตัวอย่างเช่น เราใช้ fingerprint ในมือถือของเรา ใช้ลายนิ้วมือในการเข้าเครื่อง แต่ว่าเราจะไม่ให้ลายนิ้วมือนี้กับเครื่องอื่นๆ เราก็จะให้เฉพาะคนที่เรามั่นใจว่าปลอดภัยจริงๆ เค้าจะไม่เอาข้อมูลของเราไปแชร์กับคนอื่น แต่ในที่นี้มันคือความปลอดภัยของคนในสังคมที่จะเกิดขึ้นว่ามันไม่มีโรคระบาด เราเลยคิดว่ามันก็กลับมาที่ประเด็นที่ว่า มันต้องหาทางที่จะทำให้คนมั่นใจพอที่จะแชร์ข้อมูลนี้ได้ โดยที่มันไม่เป็นอันตรายต่อสังคม ดังนั้นแทนที่เราจะผลักภาระให้ประชาชนต้องเสียสละเพื่อส่วนรวม เราควรถามหาความรับผิดชอบต่อสังคมจากคนที่อยากจะเอาข้อมูลไปใช้มากกว่า ให้เขาต้องพิสูจน์ให้ได้ว่าเขากำลังทำเพื่อส่วนรวมในลักษณะที่ไม่เอาเปรียบ ไม่ทำให้คนเกิดความหวาดระแวง
ดังนั้น มันก็เป็นหน้าที่ความรับผิดชอบของคนที่จะเอาข้อมูลนี้ไปใช้ ที่จะต้องอธิบายให้ได้ว่า มันเป็นระบบที่ปลอดภัย ไม่รุกล้ำความเป็นส่วนตัว ใช้เท่าที่จำเป็น และเป็นธรรมกับทุกฝ่าย คือไม่ทำให้ฝ่ายใดฝ่ายนึงที่เกี่ยวข้องกับเรื่องนี้ได้ข้อมูลมากเกินจำเป็นหรือได้ประโยชน์จากข้อมูลนั้นมากกว่าคนอื่นๆ
พูดถึงการสมัคร บริการต่างๆ เรามักจะต้องเจอหน้ากรอกข้อมูลที่ให้ยอมรับความยินยอม … แต่เดี๋ยวนี้หลายแพลตฟอร์มมันมีแต่ฉันยินยอม แต่ไม่มีให้เลือกว่าฉันไม่ยินยอมเลย ในตัวผู้ใช้เราสามารถทำอะไรได้ไหม?
ถ้าว่าตามแบบกฎหมาย หลักการของการใช้ข้อมูลมันเป็นเรื่องของความจำเป็น ถ้าการทำธุรกรรมอย่างใดอย่างนึงมันจำเป็นต้องใช้ข้อมูลส่วนบุคคล มันไม่ต้องขอคำยินยอมเลย เพราะว่ามันจำเป็นต้องใช้อยู่แล้ว เหมือนเราซื้อของออนไลน์ แล้วต้องส่งมาที่บ้านเรา เค้าต้องเอาที่อยู่เราไปใช้ แล้วถ้าเราให้ไปแล้ว เกิดบอกว่า ไม่เอา ฉันไม่อยากให้เธอรู้ที่อยู่ของฉัน ทางนั้นก็ต้องบอกว่าถ้างั้นก็ต้องขอโทษด้วย ทางเราก็ส่งของไม่ได้เหมือนกัน ดังนั้นในกรณีแบบนี้ที่อยู่มันใช้ตามความจำเป็นของการใช้งานนั้น แต่ว่าเค้าจะต้องแจ้งเราว่าเค้าจะเอาข้อมูลของเราไปใช้เพื่ออะไร
แต่ส่วนที่เป็นเรื่องของความยินยอมคือ เค้าอยากจะเอาข้อมูลของเราไปใช้นอกเหนือจากวัตถุประสงค์แรก สมมติว่าเราซื้อของออนไลน์ แล้วเค้าส่งของมาให้เราเรียบร้อยแล้ว เค้าเห็นว่าเราซื้อบ่อยๆ แล้วเค้ามีโปรโมชั่นใหม่ มีสินค้าใหม่ที่อยากให้เราทดลองใช้ แล้วคิดว่าเราอาจจะสนใจ สิ่งที่ผู้ประกอบการที่มีมารยาทควรจะทำคือ ถามว่าเราอยากได้มั้ย ถ้าอยากได้เค้าก็จะส่งมาให้ ซึ่งอันนี้มันคือความยินยอมแล้ว เพราะมันเกินจากความจำเป็นในการให้บริการตามปกติ
ดังนั้นเวลาที่เราดูตามเว็บไซต์ที่เราดูการใช้บริการ พวกความยินยอมพวกนั้นมันจะเป็นประเด็นนอกเหนือการให้บริการ ส่วนที่เป็นเรื่องของการให้บริการโดยตรง มันไม่ใช่เรื่องของความยินยอม มันเป็นเรื่องของการที่เค้าแจ้งให้เราทราบว่าเค้าจะเอาข้อมูลอะไรของเราไปใช้ และถ้าเราไม่แฮปปี้กับการที่เค้าจะเอาข้อมูลของเราไปใช้มากเกิน ทางออกของเราก็คือต้องเลือกไม่ใช้บริการเค้า ก็คือใช้สิทธิในฐานะเป็นผู้บริโภคที่จะปฏิเสธ
แต่ถ้าเป็นเรื่องที่นอกเหนือจากการให้บริการเค้าเป็นการเก็บข้อมูลเกิน เราก็ต้องมีสิทธิธิ์ที่เราจะบอกว่าเราไม่ยินยอม คือก็ยอมรับว่าก็ยังมีบริษัท ที่มีแบบฟอร์มความยินยอมแบบนี้ที่มันเกินไปมาก ถ้ามีให้เลือกแค่ช่องยินยอมอย่างเดียวหรือติ๊กเอาไว้ก่อนแล้วก็คือไม่ได้ อย่างนั้นไม่เรียกว่ายินยอม คือความยินยอมเราต้องปฏิเสธได้ ถ้าเราไม่มีสิทธิปฏิเสธอันนี้ไม่ใช่ความยินยอม พูดแบบนี้มันก็ไม่ต่างจากสามัญสำนึก หรือมารยาททั่วไปที่คนเข้าใจกัน แต่ต่อไปมันจะกลายเป็นมาตรฐานที่กฎหมายบังคับด้วยว่าความยินยอมนั้นต้องเกิดขึ้นโดยสมัครใจจริงๆ
แล้วอาจารย์มองว่าเราควรจัดการข้อมูลของตัวเองในระดับไหน อันไหนให้ได้ อันไหนให้ไม่ได้เรา ควรตั้งค่าอะไรต่าง ๆ ยังไงให้ปลอดภัย
อันนี้มันมีความยากนิดนึง เพราะว่าแต่ละคนมีความเสี่ยงไม่เท่ากัน อย่างที่บอกว่าบางคนมีเบอร์มือถือหลายเบอร์ ก็อาจจะมีเบอร์ที่ให้ใครก็ได้ กับเบอร์ที่ส่วนตัว แต่บางคนก็อาจจะมีแค่เบอร์เดียว ดังนั้นสำหรับตัวปัจเจกบุคคลก็ควรจะต้องทราบความเสี่ยงเหล่านี้ ทีนี้มันก็จะมีประเด็นอยู่ว่าบางคนก็จะไม่รู้เหมือนกันว่าบางเรื่องเนี่ยมันเสี่ยง อย่างเช่นวันเกิด บางคนไม่ค่อยทราบว่ามันเสี่ยงพอสมควร เพราะจริงๆ มันใช้เป็นข้อมูลนึงในการยืนยันตัวตนเวลาเราทำธุรกรรมกับธนาคาร หรือเลขไปรษณีย์ก็เหมือนกัน คือดังนั้นอย่างแรกก็ต้องรู้ก่อนว่ามันมีความเสี่ยงอะไรกับตัวเรา ซึ่งมันขึ้นอยู่ว่าเราทำอะไรบ้างในชีวิต ที่แต่ละคนมีกิจกรรมต่างๆ ที่เอาข้อมูลไปผูกด้วยไม่เหมือนกัน
อย่างที่สองก็คือคงจะเป็นเรื่องของการทำความเข้าใจเทคโนโลยี ซึ่งเป็นสิ่งที่ทุกคนพูดกันมาเยอะว่า เราต้องเข้าใจหลักการของการเข้ารหัสอะไรต่างๆ ซึ่งถ้าเป็นคนรุ่นใหม่ก็น่าจะพอเก็ทกันอยู่แล้วว่ามันต้องเข้ารหัสยังไง หรือมันก็มีเทคนิคต่างๆ มากมายที่จะทำให้เราไม่ลืม หรือว่าเราควรจะเปลี่ยนมันทุก ๆ ระยะเวลาเท่าไหร่
ในแง่นึงมันก็ต้องระมัดระวังพอสมควร เราต้องฝึกตัวเองให้ระมัดระวังนิดนึงเวลาเราจะเข้าไปใช้แอพพลิเคชั่นอะไร แล้วเค้าถามว่าคุณจะใช้ข้อมูลนี้มั้ย มันก็อาจจะต้องตระหนักนิดนึงว่าเราจะแชร์มั้ย เราจะเปิดกล้องมั้ย เราจะเปิด microphone หรือเปล่า ซึ่งทุกวันนี้มันดีขึ้นมากแล้วนะ เพราะว่าแอพพลิเคชั่นต่างๆ หรือว่าโปรแกรมต่างๆ ที่เราใช้ เค้าถามเราตลอด
เมื่อก่อนมันไม่ได้ถาม จะเป็นการตั้งค่าตั้งต้นเลย ซึ่งในแง่นึงเมื่อเราถูกกระตุ้นถามพวกนี้อยู่เรื่อยๆ เราก็ต้องเริ่มอ่านว่า เค้าถามอะไร อย่างสมัยก่อนในยุคที่เราเริ่มใช้คอมพิวเตอร์ จะเริ่มลงโปรแกรมอะไรสักอย่าง ทุกคนก็จะบอกว่าไม่ต้องไปอ่านมันหรอก click continue ไปเรื่อย ๆ เดี๋ยวก็เสร็จ แต่มันไม่ควรจะเป็นแบบนั้น แล้วคนที่ให้บริการเค้าก็พยายามจะถามด้วยถ้อยคำที่มันเข้าใจง่ายมากขึ้น
คำแนะนำก็คือ อย่าสักแต่ว่าคลิ๊ก ให้อ่านก่อนด้วย แต่ว่าเวลาพูดแบบนี้มันก็จะไม่ค่อยแฟร์เท่าไหร่ เหมือนผลักภาระให้ผู้บริโภค เพราะว่าผู้บริโภควันนึงต้องใช้แอพพลิเคชันมหาศาลมาก ต้องมีสิ่งนี้ถามเราตลอดเวลา แล้วเราบางทีก็จะรำคาญ จะมานั่งอ่านทุกอย่างก็ไม่ไหว ดังนั้นมันก็มีความพยายามที่ผู้ให้บริการหรือบริษัทต่าง ๆ หน่วยงานต่าง ๆ เค้าทำให้มันเป็นมาตรฐานเดียวกัน จะได้ไม่เป็นการรบกวนเรามากขนาดนั้น
พอพูดถึงมาตรฐาน เรากำลังจะมีกฎหมาย หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ถ้ามีกฎหมายนี้มันจะมาคุ้มครองเราแค่ไหน
พ.ร.บ.นี้จะวางหลักการสำคัญๆ ว่าข้อมูลส่วนบุคคลจะถูกใช้งานได้ ก็ต่อเมื่อมันมีความจำเป็น ความจำเป็นนี้ ไม่ใช่ความยินยอม ซึ่งความจำเป็นมันมีได้หลายลักษณะ เช่น มีสัญญาทางธุรกิจต่อกัน หรือมีกฎหมายให้อำนาจรัฐเข้ามาใช้ข้อมูลนั้น หรือว่ามีผลประโยชน์บางอย่างที่เป็นผลประโยชน์โดยชอบธรรม เช่นการรักษาความปลอดภัยของอาคาร เดินไปไหน ก็มี CCTV อยู่ ซึ่งก็ไม่ใช่ทุกครั้งที่เราเดินเข้าอาคาร แล้วเราไม่สามารถมาเซ็นยินยอมว่ายอมให้รูปลูกของเราปรากฏอยู่บนกล้อง คือมันมีลักษณะความจำเป็นบางอย่างที่จำเป็นต้องใช้ข้อมูลแบบนี้ก็จะถือว่าเป็นผลประโยชน์โดยชอบธรรมที่สามารถนำข้อมูลไปใช้โดยไม่ต้องรอให้อนุญาต แต่ก็ต้องมีการแจ้งให้ทราบเป็นการทั่วไป เช่น แปะป้ายว่า CCTV กำลังทำงานอยู่
กฎหมายนี้ก็จะวางหลักการบางอย่าง ว่าเราจะใช้ข้อมูลของคนอื่นเมื่อมีความจำเป็น และถ้าเราจะใช้ เราต้องแจ้งเจ้าตัวว่าเราจะใช้ ถ้าเราจะใช้เกินขอบเขตความจำเป็น เป็นบริการเสริมขึ้นมา ต้องขอความยินยอมให้ชัด ให้เจ้าตัวเขามีสิทธิเลือก นี่คือไอเดียของกฎหมาย และต้องเป็นธรรม โปร่งใส กับเจ้าของข้อมูล ว่าเราข้อมูลมาใช้ และจะดูแลข้อมูลนี้อย่างไร
กฎหมายมันพยายามจะสร้างมาตรฐานใหม่ของการที่ ทำให้เราตระหนักว่า ข้อมูลมันเป็นประโยชน์ แต่ในอีกทางก็เป็นความเสี่ยง และคนที่จะเอาข้อมูลมาใช้ประโยชน์ต้องมีความรับผิดชอบต่อเจ้าของข้อมูลด้วย และเวลาเราพูดแบบนี้ มันดูฟังเป็นสามัญสำนึกนักมากๆ ว่าเราใช้ประโยชน์จากอะไร เราก็ควรมีความรับผิดชอบต่อสิ่งที่เราไปยุ่งเกี่ยวด้วย คือกฎหมายนี้มันพยายามจะทำให้สามัญสำนึกหรือมารยาทเหล่านี้กลายเป็นมาตรฐาน ให้เป็นเรื่องที่ชัดเจนมากขึ้น
ต้องยอมรับว่าที่ผ่านมา มันมีการใช้ข้อมูลที่ไม่แฟร์อยู่ค่อนข้างเยอะ ถ้าเรามีความหวาดระแวงว่าข้อมูลเราจะถูกใช้อะไรบ้าง มีความโกรธแค้น ไม่เข้าใจ สงสัยตลอดเวลา มันก็เป็นเพราะว่าที่ผ่านมา เราไม่ดูแลการเข้าใจข้อมูลให้มันดี กฎหมายก็เลยพยายามสร้างมาตรฐานของความจำเป็น ความเป็นธรรม และความโปร่งใสของการใช้ข้อมูล และกฎหมายก็จะมาบอกเราว่า คนที่เอาข้อมูลไปใช้ มีหน้าที่ต้องทำอะไร บอกเจ้าของข้อมูลว่าเราเอาไปใช้ ต้องคอยรับผิดชอบในกรณีที่มันรั่วไหล และแจ้งให้เขาทราบ หรือแจ้งหน่วยงานที่เกี่ยวข้อง เพื่อเข้ามาดูแล หรือแนะนำว่าทำอะไร และกำหนดให้ชัดๆ เลยว่า ทุกคนที่เป็นเจ้าของข้อมูลส่วนบุคคลมีสิทธิอะไรบ้าง เราก็คือมีสิทธิที่จะเข้าไปขอดูว่าเขาเอาข้อมูลอะไรเราไปใช้ มีสิทธิที่จะปฏิเสธการให้ใช้ข้อมูลถ้ามันไม่จำเป็น มีสิทธิที่จะแก้ไขข้อมูลให้ถูกต้อง ระงับ หรือลบในกรณีที่ไม่จำเป็นแล้ว
ล่าสุดที่มีข่าวว่า พ.ร.บ.จะเลื่อนการใช้งานออกไปบางส่วน มันส่งผลกระทบต่อเราไหม และในการเลื่อนออกไปมีผลยังไง
เดิมกฎหมายออกมาปีที่แล้ว จะมีผลบังคับใช้ปีนี้ คือตัวกฎหมายมันมีตัวที่เรียกว่า grace period คือช่วงเวลาที่ให้คนเตรียมตัว ปรับตัวปฏิบัติตามกฎหมายได้ เดิมมีระยะเวลา 1 ปี การที่มันเลื่อนออกไปก็ กลายเป็น 2 ปี ซึ่งมันก็เป็นดีเบตมาตั้งแต่ช่วงต้นๆ ว่า 1 ปีนั้นพอไหมสำหรับการเตรียมตัว ฝั่งที่บอกว่าพอก็เพราะว่า จริงๆ เรื่องการคุ้มครองข้อมูลส่วนบุคคลไม่ใช่เรื่องใหม่ และเป็นเรื่องที่คนตื่นตัวกันมาซักพักแล้ว สำหรับคนทั่วไปอาจจะดูใหม่ แต่สำหรับองค์กร ธุรกิจ หรือว่าหน่วยงานที่เขาทำงานกับข้อมูลไม่ใช่เรื่องใหม่ พูดกันมาเป็น 10 ปี และเขาก็ทำตามมาตรฐานได้ค่อนข้างโอเค เราก็เลยมองว่ามันก็ไม่จำเป็นต้องรอขนาดนั้นก็ได้
แต่บางส่วนก็บอกว่า มีหลายองค์กรที่เดิมเขาอาจจะไม่ได้ทำงานกับข้อมูลที่เข้มข้น เขาอาจจะไม่ชิน ไม่คุ้น และเขาต้องปรับตัวเยอะ หลายๆ คนที่เป็นห่วงคือ ห่วง SMEs และประกอบกับสถานการณ์ช่วงโรคระบาดที่ผ่านมา ก็จะมีองค์กรที่ต้องทำงานเยอะขึ้นในช่วงเวลาเหล่านี้ และเขาไม่มีเวลาที่จะมาปรับในส่วนนี้จริงๆ เขาอาจจะเตรียมการไว้แล้ว แต่ 3 เดือนก่อนที่กฎหมายจะมีผลบังคับใช้ เขาไม่ทันจริงๆ กับการจัดการป้องกันโรคระบาดที่เกิดขึ้น เราเลยคิดว่า มันก็มีความชอบธรรมบางอย่างที่ต้องเลื่อน
แต่ว่าในขณะเดียวกัน เท่ากับว่าการที่เรารอกัน ว่าสิทธิ ข้อมูลของคนจะได้รับการคุ้มครองแล้ว เดี๋ยวปีนี้ ถ้ากฎหมาย effective เต็มที่ เราก็ไม่ต้องมานั่งระแวงแล้วว่า เดี๋ยวจะมีคนโทรหาเราแปลกๆ เราจะไปไหนเราจะถูกรู้สึกบังคับให้ข้อมูล ความรู้สึกที่มันจะอุ่นใจมันก็เลื่อนไปอีก 1 ปี
สิ่งนี้มันก็ทำให้ผู้บริโภค หรือคนในสังคมรู้สึกว่าทำไมฉันไม่ได้รับการคุ้มครองเสียที เราว่ามันเป็นแบบนั้น รวมไปถึงว่า พอมันเป็นสถานการณ์ physical distancing ที่เราต้องอยู่ห่างกัน การปฏิสัมพันธ์ของเราในทุกวันนี้ เลยเกิดในโลกออนไลน์ เพิ่มขึ้นมากแบบมีนัยยะสำคัญ แปลว่าพอปริมาณการใช้ข้อมูลเยอะขึ้น เรายิ่งต้องระวัง ยิ่งต้องคุ้มครองข้อมูลส่วนบุคคลหรือเปล่า อันนี้น่าจะเป็นประเด็นที่ทำให้คนรู้สึกว่า ในยุคที่เราต้องติดต่อสื่อสารข้อมูลออนไลน์ตลอดเวลา จะมีการคุ้มครองข้อมูลเราไหม ถ้ายังไม่มีกฎหมายออกมาคุ้มครอง อันนี้คงเป็นเรื่องที่ติดอยู่ในใจใครหลายๆ คน ว่าเราต้องรอไปอีก 1 ปี กว่าจะได้รับความคุ้มครองแบบเต็มเม็ดเต็มหน่วย
มันก็มีทางออกที่หลายๆ หน่วยงาน หรือองค์กรออกมาบอกว่า ชั้นไม่รอแล้วว่ากฎหมายจะบังคับใช้ ตั้งแต่ตอนนี้จะปฏิบัติตามกฎหมายใหม่แล้ว ไม่รอปีหน้า จะลองรันแบบที่เตรียมการไว้ เสมือนกฎหมายบังคับใช้แล้ว ซึ่งถ้ามองในแง่ดีก็คือว่า เวลาที่เพิ่มมาอีก 1 ปี ได้ทำให้หน่วยงานต่างๆ ได้ทดสอบระบบ ว่าถ้าเขาเตรียมมาแล้ว คือจัดการระบบข้อมูลหลังบ้าน ให้ทำตามกฎหมาย เป็นระบบ หรือไอเดียคือ ถ้าทำตามหลักการเรื่องความจำเป็น เรื่องการให้ความเป็นธรรมกับตัวเจ้าของข้อมูลให้เต็มที่ ระบบหลังบ้านต้องมีการจัดการที่ดี และดูว่าบริษัทที่เราจะ outsource ข้อมูลออกไปให้จัดการ เป็นบริษัทที่ไว้ใจได้หรือเปล่า
ดังนั้นช่วงเวลา 1 ปีที่จะมี ถ้ามองในแง่ดี ก็ทำให้หลายๆ บริษัทตื่นตัว และทดลงใช้ระบบที่เตรียมการไว้ใช้ โดยเป็นการเตรียมการที่ยังไม่มีโทษ ถ้ามีช่องโหว่ก็ค่อยๆ ปรับ แก้ไปได้
ตัวกฎหมายยังมีช่องโหว่อะไรที่อาจารย์มองว่าครอบคลุมไม่หมด
จริงๆ ถ้ามีกฎหมายออกมา มันก็เป็นมาตรฐานขั้นต่ำกับสังคมแล้ว ว่าเราต้องทำเหมือนๆ กัน ถ้า พรบ.นี้มันก็จะมียกเว้นบางองค์กร หรือกิจกรรมของบางองค์กร เช่น ยกเว้นกระบวนการพิจารณาคดีของศาล ที่ต้องมีการใช้ข้อมูลส่วนบุคคล ส่วนนี้ก็คือตัดออกไป หรือยกเว้นสภาพผู้แทนราษฏร ยกเว้นการใช้งานส่วนศิลปกรรม สื่อสารมวลชน หรือเป็นวรรณกรรม
การที่มันยกเว้นไป ไม่ได้หมายความว่า ไม่ต้องคุ้มครองข้อมูลส่วนบุคคล แต่งดเว้นไปในแง่ที่ว่า องค์กรเหล่านี้ เขามีความยืดหยุ่นมากขึ้นในการใช้มาตรฐานของเขาเอง ในการดูแลข้อมูลส่วนบุคคล อย่างอีกอันนึงที่ถูกงดเว้น คือเรื่องของข้อมูลเครดิตบูโร เพราะว่าข้อมูลเครดิตมีกฎหมายเฉพาะของเขาที่ดูแลการใช้ข้อมูลอยู่แล้ว
สิ่งที่ตามมาที่ควรจะดูต่อก็คือองค์กรเหล่านี้ มีมาตรฐานในการดูแลข้อมูลอย่างไร อย่างของ พรบ.ของเครดิตบูโร ก็เป็น พ.ร.บ.ที่ออกมานานหลายปีแล้ว มันก็คงจะมีบางส่วนที่ยังไม่อัพเดท ตรงนั้นเราก็ต้องไปติดตามกันว่า องค์กรที่กำกับดูแล จะยกระดับมาตรฐานการคุ้มครองอย่างไร
หรืออย่างในสื่อสารมวลชน ก็เป็นส่วนหนึ่งที่กฎหมายเว้นไว้ให้ แต่มันก็จะล็อกด้วยคำว่า ตราบที่เท่าสื่อสารมวลชน หรือการทำศิลปกรรม วรรณกรรม ทำตามจริยธรรมของวิชาชีพ เขาก็ให้ความยืดหยุ่นกับสื่อสารมวลชนพอสมควรที่อาจจะต้องใช้ข้อมูล เพื่อประโยชน์สาธารณะ การรายงานข่าวต่างๆ คือมันก็ต้องอธิบายกับสังคมได้ว่า จริยธรรมวิชาชีพของสื่อมวลชนคืออะไร และเวลาใช้ข้อมูลทำให้คนไว้วางใจแค่ไหน ซึ่งส่วนนี้ไม่ใช่แค่เรื่องความเป็นส่วนตัว แต่เป็นเรื่องความไว้วางใจต่อสื่อมวลชนซึ่งมีบทบาทสำคัญในสังคมด้วย
มีโอกาสไหมที่จะถูกเลื่อนไปอีกไหม
หวังว่ามันจะไม่ถูกเลื่อนอีกแล้ว ถ้าเลื่อนอีกก็น่าเสียดายมากๆ แต่ทีนี้มันก็ต้องบอกว่าการที่กฎหมายมันจะถูกเลื่อน หรือเกิดอะไรขึ้น ก็ไม่ใช่เรื่องที่ภาครัฐจะทำฝ่ายเดียว เขาเองก็ต้องฟังเสียงประชาชนด้วย มันก็ต้องมีกระบวนการตรวจสอบที่เกิดขึ้นจากประชาชน
ซึ่งถ้าตามคำอธิบายของหน่วยงานภาครัฐที่ออกมา น่าจะมี 2 เรื่องหลักๆ ก็คือโรคระบาด ที่ทำให้หน่วยงานทั้งหลายติดขัด กับการจัดการ ทำให้ไม่สามารถปฏิบัติตามกฎหมายนี้ได้อย่างเต็มที่ และอีกเหตุผลหนึ่งคือช่วย SMEs ซึ่งเขาอาจอยู่ในสภาวะที่ลำบากในขณะนี้ ก็คิดว่าถ้าปัญหาคือ 2 เรื่องนี้ อีก 1 ปีก็น่าจะประกาศใช้ได้ หน่วยงานต่างๆ ก็คงจะพร้อมแล้ว
ถึงแม้กฎหมายจะออกมาใช้ได้ ก็ยังจะต้องระวังในการแชร์ข้อมูลของเราอยู่เสมอใช่ไหม
เราก็ยังต้องระมัดระวังอยู่ดี เพราะเวลากฎหมายออกมาคุ้มครอง มันก็ไม่ได้ความว่าจะใช้งานได้ 100% ตั้งแต่วันที่มีผลบังคับใช้ มันก็ต้องใช้เวลาปรับตัวกันไป ซึ่งแปลว่าผู้บริโภคเองก็ต้องระมัดระวังตัวอยู่ดี แต่ว่ากฎหมายนี้มันจะให้ช่องทาง ให้เราได้ใช้สิทธิของตัวเองได้มากขึ้น คือใช้สิทธิในที่นี่ไม่ได้หมายความว่าเราจะไปฟ้อง หรือแจ้งจับ แต่ว่ามันให้สิทธิเราว่า เราสอบถามเขาได้ว่า เขาใช้ข้อมูลอะไรของเราบ้าง สมมติมีคนโทรหาเรา ชวนเราสมัครอะไรบางอย่าง เราถามได้ว่า เขาได้เบอร์เรามาจากไหน หรือได้ข้อมูลนี้มาจากไหน แชร์ให้ใครบ้าง
หรือเราสามารถบอกได้ว่า เรื่องไหนที่เราโอเคให้โทรมา มันเป็นเรื่องการใช้สิทธิแบบที่ทุกวันนี้เราก็ใช้ได้ แต่มันไม่ได้มีอะไรมา back up เรา ต่อจากนี้เราสามารถพูดได้ว่า ตาม พ.ร.บ.นี้ คุณไม่สามารถเอาข้อมูลเราไปแชร์ โดยที่เราไม่ได้อนุญาต ไม่ได้อยู่ในขอบข่ายที่ตกลงกันไว้ ทางฝั่งนั้นเขาต้องหาเหตุผลมาอธิบาย ถ้าเขาอธิบายได้ก็จบ ถ้าอธิบายไม่ได้เขาก็ต้องระงับการใช้ข้อมูลส่วนนั้น มันคือทำให้เรามี back up มากกว่าเรื่องความไม่พอใจ
แต่เราสามารถบอกได้ว่าเป็นหน้าที่ของเขาตามกฎหมาย ที่ต้องคุ้มครองข้อมูลของเรา และเรามีสิทธิรู้ และกำกับข้อมูล
