ชาวเน็ตต้องรู้นะ “กฎหมาย PDPA” มีผลต่อตัวเราอย่างไร
ในช่วงปีที่ผ่านมา หลายคนที่ใช้อินเทอร์เน็ตในการเข้าเว็บไซต์ต่าง ๆ เพื่อค้นหาข้อมูลที่ตนเองต้องการบ่อย ๆ คงจะเคยสังเกตเห็นแถบสี่เหลี่ยมหรือหน้าต่างที่เด้งขึ้นมาบังข้อมูลที่เรากำลังจะอ่าน หลายคนรีบหาเครื่องหมายกากบาทเพื่อปิดทิ้งโดยไม่ทันได้อ่าน บางคนอ่านแล้วพบว่าเป็นข้อความที่แจ้งนโยบายความเป็นส่วนตัว ให้อนุญาตให้เว็บไซต์จัดการข้อมูลส่วนบุคคลอะไรสักอย่าง พร้อมกับมีปุ่มให้เรากด “ยอมรับ” สิ่งที่เรียกว่า “คุกกี้ (cookies)” ซึ่งต้องบอกว่าหลาย ๆ คนก็ไม่ทราบหรอกว่ามันคืออะไร แค่จะเข้าเว็บไซต์ จู่ ๆ ก็มาพูดถึงขนมคุกกี้เฉยเลย
ที่น่าสนใจก็คือ หลายเว็บไซต์ที่เราเข้าไปเยือนบ่อย ๆ ไม่เคยมีแถบนี้มาก่อน แต่ตอนนี้กลับมีโผล่ขึ้นมาให้เห็น บางเว็บไซต์สามารถกดกากบาททิ้งไปได้ บางเว็บไซต์แค่กดหน้าจอตรงที่ว่าง ๆ แถบนั้นก็หายไป เว็บไซต์ใช้งานได้ตามปกติ บางเว็บไซต์ไม่สามารถกดทิ้งได้ แต่ยังพอจะเลื่อนหน้าจอหาช่องอ่านข้อความที่ถูกแถบนี้ทับอยู่ได้ ทว่าบางเว็บไซต์ทำอะไรไม่ได้เลยนอกจากต้องกดยอมรับให้มันจบ ๆ ไป หรือไม่ก็ออกจากหน้านั้นแล้วหาเว็บใหม่เข้าแทน
ประเด็นคือ คุกกี้ (cookies) ที่เว็บไซต์แจ้งว่าใช้จัดการข้อมูลส่วนบุคคลคืออะไร แล้วมันโผล่ขึ้นมาให้เราหงุดหงิดทำไม จะมาวุ่นวายอะไรกับการใช้งานอินเทอร์เน็ตของเรา นี่คือสิ่งที่ชาวเน็ตทุกคนต้องรู้และเข้าใจให้ดี เพราะมันเป็นประเด็นของกฎหมาย PDPA (กฎหมายคุ้มครองข้อมูลส่วนบุคคล) ที่เตรียมบังคับใช้วันที่ 1 มิถุนายน 2565 ที่กำลังจะถึงนี้แล้ว ต้องรู้ว่ามันมีผลอะไรต่อตัวเราและการใช้อินเทอร์เน็ตของเรา
คุกกี้ (cookies) คืออะไร
ก่อนอื่นต้องรู้จัก คุกกี้ (cookies) ก่อน การที่มันปรากฏขึ้นมาบนหน้าจอที่เรากำลังใช้งานอินเทอร์เน็ตนั้น มันไม่เกี่ยวกับขนม แต่มันเป็นไฟล์ข้อความ (Text File) ขนาดเล็ก ที่ได้มาจาการเชื่อมต่อเว็บไซต์ต่าง ๆ กับอุปกรณ์ที่เราใช้อินเทอร์เน็ตเพื่อท่องเว็บไซต์ พูดง่าย ๆ ก็คือมันจะถูกสร้างขึ้นมาเมื่อเราใช้อุปกรณ์ เช่น คอมพิวเตอร์หรือสมาร์ทโฟนเข้าไปเยือนเว็บไซต์ต่าง ๆ จริง ๆ แล้วเทคโนโลยีนี้เรียกเต็ม ๆ ว่า HTTP Cookies หรือนิยมเรียกว่าเว็บคุกกี้ (Web Cookies) แต่เรียกสั้น ๆ ว่าคุกกี้ก็จำง่ายดีและเป็นที่จดจำ
คุกกี้ที่ว่านี้จะถูกสร้างขึ้นอัตโนมัติเมื่อเราใช้เว็บเบราว์เซอร์กดเข้าไปชมเว็บไซต์ โดยมันจะถูกส่งจากเว็บเซิร์ฟเวอร์ของเว็บไซต์นั้น ๆ มาติดอยู่ที่เครื่องอุปกรณ์ของเรา แล้วจะถูกส่งกลับไปยังเว็บเซิร์ฟเวอร์ทุกครั้งที่เว็บเบราว์เซอร์ร้องขอข้อมูล หรือก็คือเมื่อเราเข้าเว็บไซต์นั้นซ้ำ เว็บเซิร์ฟเวอร์จะจดจำสถานะการใช้งานของเว็บเบราว์เซอร์ที่มีต่อเว็บเซิร์ฟเวอร์นั้น ๆ ได้ จำได้ว่าเว็บเบราว์เซอร์ของอุปกรณ์นี้เคยเข้ามาเยือนเว็บไซต์แล้ว
อย่างไรก็ดี ก่อนหน้านี้คุกกี้มักจะถูกบันทึกโดยที่เราไม่รู้ตัว แต่ช่วงหลัง พวกเว็บไซต์ต่าง ๆ เริ่มแสดงความบริสุทธิ์ใจ โดยแจ้งให้เราได้รู้ก่อนว่าเว็บไซต์นี้จะบันทึก Cookies นะ ขออนุญาตบันทึก Cookies ได้หรือไม่ ซึ่งเราจะยอมรับหรือปฏิเสธก็ได้
สำหรับจุดประสงค์หลักของการมี Cookies ก็คือเพื่อให้เว็บไซต์สามารถจัดเก็บข้อมูลบางอย่างไว้ได้ที่เว็บเบราว์เซอร์ของผู้ใช้งาน จดจำข้อมูลบางอย่างที่จำเป็นต่อการใช้งานเว็บไซต์ เช่น ข้อมูลการลงชื่อเข้าใช้ ข้อมูลแบบฟอร์มที่เคยกรอก ข้อมูลที่บันทึกว่าเคยมีการเข้ามาที่เว็บไซต์นี้ ข้อมูลการตั้งค่าต่าง ๆ ของเว็บไซต์ การปรับแต่งรูปแบบต่าง ๆ บนเว็บไซต์ หรือข้อมูลอื่น ๆ ที่จะอำนวยความสะดวกให้แก่ผู้ใช้งาน เช่น การที่จดจำได้ว่าเราเป็นใคร แล้วไม่ต้องมาเรียกร้องขอให้เราใส่รหัสผ่านใหม่ทุกครั้งที่เข้าใช้งาน
หมายความว่าถ้าเว็บไซต์จำได้ว่าเราเป็นใคร ก็ไม่ต้องเสียเวลามายืนยันตัวตนทุกครั้งที่เข้าใช้งาน Cookies จะรู้ว่าเรามีพฤติกรรมการใช้เว็บไซต์นี้แบบไหน รวมถึงมีข้อมูลส่วนตัวของเราไว้เพื่อระบุตัวตนเรา ก็จะสร้างประสบการณ์การใช้งานเว็บไซต์ที่เหมาะสมกับตัวเราได้ มีผลต่อการบริการที่แม่นยำและถูกใจผู้ใช้งาน ถึงอย่างนั้น ถ้าเราไม่สบายใจกับการทำงานของ Cookies เราสามารถลบทิ้งได้ด้วยตนเอง แต่พวกค่าต่าง ๆ ก็จะหายไป ส่งผลต่อการใช้งานเว็บไซต์ที่จะยุ่งยากขึ้นเพราะต้องเริ่มต้นใหม่หมด และอาจรู้สึกหงุดหงิดที่ต้องมากรอกข้อมูลเองใหม่ทุกครั้ง
คุกกี้ กับกฎหมาย PDPA
เพราะ Cookies ไม่ได้มีเพียงในด้านการให้บริการผู้ใช้งานเท่านั้น แต่ในทางการตลาดและการทำโฆษณา Cookies คือแหล่งข้อมูลที่มีค่ามหาศาล เพราะมันเก็บข้อมูลแทบทุกอย่างของผู้ใช้งานเอาไว้ ข้อมูลที่สามารถนำมาวิเคราะห์เป็นพฤติกรรมผู้บริโภคเพื่อนำมาทำการตลาด อีกทั้งยังอาจมีสิ่งไม่พึงประสงค์แฝงมา เช่น พวกไวรัสคอมพิวเตอร์ที่แฝงมาติดตั้งเพื่อแอบเก็บข้อมูลของเรา แล้วส่งพวกอีเมลขยะหรือโฆษณามาถี่ ๆ จนสร้างความรำคาญใจ รวมถึงมีความเสี่ยงที่จะโดนสวมรอยบัญชีได้ด้วยเช่นกัน
และที่น่าเป็นกังวลมากยิ่งกว่า คือ เมื่อ Cookies จดจำพวกข้อมูลส่วนตัวของเราไว้เกือบทั้งหมด มันจะกลายเป็น Big Data ที่ทำมูลค่าได้ หากเว็บไซต์หรือแอปพลิเคชันนั้น ๆ ลักลอบเอาข้อมูลของเราไปขายโดยที่เราไม่ยินยอม (ไม่รู้ด้วยซ้ำว่าข้อมูลหลุดไปตอนไหน เพราะไม่รู้จัก Cookies) หรือโดนแฮกไปจากบรรดาแฮกเกอร์ ข้อมูลที่ถูกนำไปจำหน่ายสามารถเอาไปทำได้ตั้งแต่วิเคราะห์และประมวลผลเพื่อทำการตลาด ตลอดจนตกไปอยู่ในมือของพวกมิจฉาชีพ ที่จะเอาข้อมูลพวกนั้นไปทำอะไรก็ได้ที่สร้างมูลค่าได้มหาศาล
กฎหมาย PDPA (Personal Data Protection Act) หรือพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 เป็นกฎหมายที่ให้สิทธิ์กับเจ้าของข้อมูลส่วนบุคคล คุ้มครองและสร้างมาตรฐานการรักษาข้อมูลส่วนบุคคลให้ปลอดภัย ไม่ให้ถูกจัดเก็บหรือนำไปใช้โดยไม่ได้แจ้งให้เราทราบ และต้องนำไปใช้ให้ถูกวัตถุประสงค์ตามคำยินยอมที่เจ้าของข้อมูลส่วนบุคคลอนุญาตเท่านั้น มันคือความคุ้มครองเจ้าของข้อมูลในกรณีที่พวกเว็บไซต์ต่าง ๆ ได้ข้อมูลเราไปแล้วนำไปใช้ประโยชน์อย่างอื่นที่เราไม่ยินยอม ทั้งที่เราเป็นเจ้าของข้อมูล แต่กลับไม่สามารถควบคุมการใช้ข้อมูลนั้นได้
โดยกฎหมาย PDPA นี้ ถูกประกาศไว้ในราชกิจจานุเบกษาตั้งแต่วันที่ 27 พฤษภาคม 2562 แล้ว แต่ถูกเลื่อนให้มีผลบังคับใช้ในวันที่ 1 มิถุนายน 2565 นั่นหมายความว่าตั้งแต่วันที่ 1 มิถุนายน ที่กำลังจะถึงนี้ กฎหมายนี้จะเริ่มบังคับใช้จริงทั่วประเทศไทย หากใครกระทำผิดย่อมมีโทษทางกฎหมาย
หากใครที่กำลังนึกสงสัยอยู่ว่าพวกข้อมูลต่าง ๆ ที่ Cookies จัดเก็บไปนั้นมีข้อมูลอะไรบ้าง เบื้องต้นก็คือข้อมูลส่วนตัวของเราเกือบทุกอย่าง ตั้งแต่ ชื่อ-นามสกุล เบอร์โทรศัพท์ อีเมลส่วนตัว ที่อยู่ปัจจุบัน วันเดือนปีเกิด สัญชาติ น้ำหนักส่วนสูง เลขที่บัตรประชาชน เลขหนังสือเดินทาง เลขใบอนุญาตขับขี่ ข้อมูลทางการศึกษา ข้อมูลทางการเงิน ข้อมูลทางการแพทย์ ทะเบียนรถยนต์ โฉนดที่ดิน ทะเบียนบ้าน หรือพวกข้อมูลบนอื่น ๆ ที่สามารถระบุตัวตนได้ เช่น Username, Password, Cookies IP address, GPS Location
นอกจากนี้ยังอาจมีพวกข้อมูลที่มีความอ่อนไหว ที่อาจส่งผลกระทบเสียหายต่อเจ้าของข้อมูลได้หากมีการนำไปเปิดเผยหรือเผยแพร่ เช่น เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลด้านสุขภาพ ความพิการ เช่น โรคประจำตัว การฉีดวัคซีน ใบรับรองแพทย์ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ เช่น ลายนิ้วมือ แบบจำลองใบหน้า ข้อมูลม่านตา ข้อมูลเหล่านี้มักถูกผู้ไม่หวังดีนำไปใช้ประโยชน์ในทางเสียหายต่อเจ้าของข้อมูลเป็นหลัก
นี่จึงน่าจะเป็นสาเหตุหนึ่งที่วันดีคืนดีก็มีคนโทรมาหาเพื่อขายประกันชีวิต ขายสินเชื่อ เสนอทำบัตรเครดิต แม้กระทั่งพวกแก๊งคอลเซ็นเตอร์ที่กำลังระบาดหนักในช่วงนี้ สร้างความรำคาญและความเสียหายทางทรัพย์สินได้มากมาย โดยที่เราก็ไม่รู้ว่าคนพวกนี้ไปได้เบอร์โทรศัพท์และข้อมูลพวกชื่อ-นามสกุลเรามาจากไหน ทั้งที่ก่อนหน้านี้เราไม่มีอะไรเกี่ยวข้องกับคนพวกนี้เลย จึงเกิดเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลขึ้นมา
ดีอย่างไรต่อชาวเน็ตอย่างเรา ๆ
เพราะกฎหมาย PDPA เป็นกฎหมายที่มีหน้าที่คุ้มครองข้อมูลส่วนบุคคลเป็นหลัก ดังนั้น หากเว็บไซต์หรือแอปพลิเคชันต่าง ๆ จำเป็นต้องเก็บข้อมูลส่วนตัวของเราไปทำ Cookies ก็ต้องแจ้งให้ผู้ใช้งานทราบก่อนว่าจะมีการเก็บข้อมูล ผ่าน Privacy Policy หรือนโยบายความเป็นส่วนตัวที่เป็นแถบสี่เหลี่ยมหรือหน้าต่างขึ้นมาให้เราเห็นเวลาใช้งานเว็บไซต์ ตลอดจนต้องมีการขออนุญาต ให้เรายินยอม ถ้าเราไม่ยินยอมก็ได้ เว็บไซต์ก็มีความจำเป็นที่จะต้องเคารพสิทธิ์ของเจ้าของข้อมูลอย่างเรา ที่มีกฎหมายนี้คุ้มครองอยู่
นั่นหมายความว่า เว็บไซต์หรือแอปพลิเคชันที่จะขอเก็บข้อมูลส่วนตัวของเราไป จะต้องแจ้งให้ผู้ใช้บริการทราบรายละเอียดในการเก็บว่าจะขอเก็บข้อมูลอะไรบ้าง เพื่อวัตถุประสงค์ใด ระยะเวลานานเท่าไร จะนำข้อมูลนี้ไปเปิดเผยให้ใครบ้าง จะรักษาความปลอดภัยข้อมูลเหล่านี้อย่างไร จะรับประกันสิทธิ์การเป็นเจ้าของข้อมูลของบุคคลทั่วไปอย่างไร ต้องขอความยินยอมในการเก็บข้อมูลส่วนบุคคลของผู้ใช้บริการก่อน และต้องแจ้งสิทธิ์ของเจ้าของข้อมูลด้วยว่าสามารถถอนความยินยอมได้ทุกเมื่อ
โดยกฎหมายนี้จะครอบคลุมถึงการให้ข้อมูลส่วนบุคคลในใบสมัครต่าง ๆ ที่ชัดเจนที่สุดก็พวกใบสมัครงาน ในฐานะพนักงานขององค์กรก็ต้องได้รับการคุ้มครองความเป็นส่วนตัวด้วย ฝ่ายนายจ้างต้องแจ้งวัตถุประสงค์ในการใช้ข้อมูลส่วนบุคคลของพนักงาน โดยต้องออกเอกสารแจ้งพนักงานเดิม แจ้งพนักงานใหม่ไว้ในใบสมัคร และแจ้งในสัญญาจ้าง ดังนั้น ภายใต้กฎหมาย PDPA ชาวเน็ตทั่วไปในฐานะเจ้าของข้อมูล จะเป็นผู้ที่ได้รับการปกป้อง คุ้มครอง และมีสิทธิต่าง ๆ เหนือข้อมูลส่วนบุคคลของตนเอง ทั้งที่ก่อนหน้านี้เราไม่สิทธิ์ควบคุมอะไรเลย ทั้งที่นั้นเป็นข้อมูลของเรา
ในฐานะชาวเน็ตหรือพนักงานบริษัทอย่างเรา ๆ นี่คือกฎหมายที่เราควรรู้ เพราะมันมีหน้าที่คุ้มครองข้อมูลส่วนบุคคลของเราโดยตรง ตัวเราเองไม่ต้องทำอะไรมาก นอกจากการอ่านให้มากขึ้น และตรวจสอบให้แน่ใจทุกครั้งว่ามีการแจ้งนโยบายดังกล่าวอย่างถูกต้องแล้ว เมื่อต้องกรอกข้อมูลส่วนตัวทั้งหลาย ไม่ว่าจะเขียนลงกระดาษหรือกรอกเข้าเว็บไซต์/แอปพลิเคชัน อ่านนโยบายเหล่านั้นสักหน่อย เพื่อจะได้รู้ว่าเขาจะนำข้อมูลเราไปทำอะไรบ้าง ถ้ากดยอมรับแบบส่ง ๆ ไปโดยไม่อ่านให้ละเอียดเองทั้งที่เขาแจ้งไว้แล้ว อาจเป็นเราที่เสียเปรียบทางกฎหมาย
ข้อดีของการมีกฎหมายนี้ก็เพื่อให้ประชาชนชาวเน็ตอย่างเราเกิดความมั่นใจว่าข้อมูลส่วนบุคคลที่ถูกร้องขอไปจากบริการต่าง ๆ จะได้รับการเก็บรักษาอย่างปลอดภัย เหมาะสม หากจะถูกนำไปใช้หรือเผยแพร่ ก็ต้องอยู่ภายใต้ขอบเขตวัตถุประสงค์ที่แจ้งไว้แต่แรก ที่เราได้รับรู้และกดยินยอม เรามีสิทธิ์ที่จะทราบรายละเอียดต่าง ๆ ในฐานะเจ้าของข้อมูล มีสิทธิ์ที่จะอนุญาตหรือไม่อนุญาตหรือถอนความยินยอมให้มีการจัดเก็บ ใช้ หรือเผยแพร่ข้อมูลส่วนบุคคล ลบข้อมูลได้เองเมื่อจะเลิกใช้บริการ เพื่อลดความเสียหายจากการละเมิดข้อมูลส่วนบุคคล เรามีสิทธิ์ทำได้ตามกฎหมายฉบับนี้
บทลงโทษของกฎหมาย PDPA
เนื่องจากมันกลายเป็นกฎหมายแล้ว หากมีการกระทำผิดเกิดขึ้น ผู้ใช้บริการที่เป็นผู้เสียหายสามารถร้องเรียนและขอให้ชดใช้ค่าสินไหมทดแทนได้ หากพบว่ามีการใช้ข้อมูลส่วนบุคคลนอกเหนือจากวัตถุประสงค์ที่แจ้งไว้ หรือกรณีที่ข้อมูลรั่วไหล มีการเปิดเผย หรือถ่ายโอนข้อมูลเกิดขึ้น ผู้ที่ละเมิดสิทธิจะต้องได้รับบทลงโทษทั้งทางแพ่ง ทางอาญา และทางปกครอง ซึ่งอาจจะโดนบทลงโทษทั้ง 3 ประเภทนี้พร้อมกัน
- โทษทางอาญา คือ จำคุกสูงสุดไม่เกิน 6 เดือนถึง 1 ปี หรือปรับสูงสุดไม่เกิน 500,000 ถึง 1 ล้านบาท หรือทั้งจำทั้งปรับ
- โทษทางแพ่ง คือ มีการกำหนดให้ชดใช้ค่าสินไหมทดแทนให้กับเจ้าของข้อมูลส่วนบุคคลที่ได้รับความเสียหายจากการละเมิด “บวกกับ” ชดใช้ค่าสินไหมทดแทนเพื่อการลงโทษเพิ่มเติมสูงสุดอีกไม่เกิน 2 เท่าของค่าเสียหายจริง
- โทษทางปกครองของ คือโทษปรับเป็นตัวเงิน ซึ่งมีตั้งแต่ 1 ล้านบาทไปจนถึง 5 ล้านบาท โดยกรณีที่จะโดนโทษปรับสูงสุด 5 ล้านบาท