เรื่องของธรรมาภิบาลข้อมูล ภายใต้สังคม-เศรษฐกิจดิจิทัล มีความซับซ้อน และเป็นสิ่งที่ไม่เคยเกิดขึ้นมาก่อน ซึ่ง การคุ้มครองข้อมูลส่วนบุคคล เป็นหนึ่งในปัจจัยสำคัญของการสร้างเสริมธรรมาภิบาลข้อมูล
วันนี้อยากจะมาอัพเดท สภาพของการบังคับใช้ กฎหมายคุ้มครองข้อมูลส่วนบุคคล ในต่างประเทศ ซึ่งเป็นกฎหมาย เช่นเดียวกับของประเทศไทย คือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒
เป็นที่รู้กันดีอยู่ว่า พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล นั้น มีที่มาจากกฎหมาย GDPR หรือ General Data Protection Regulation ของสหภาพยุโรป ซึ่งประกาศในปี 2016 (2559) และบังคับใช้ในปี 2018 (2561) ซึ่งหลังจากที่มีการบังคับใช้ มีการปรับบริษัท ทั้งที่เป็นยักษ์ใหญ่ และบริษัทเล็กๆ กันไปมากมาย หลักการสำคัญคือ ทางสหภาพยุโรป ถือว่า การคุ้มครองข้อมูลส่วนบุคคล เป็นส่วนหนึ่งของสิทธิมนุษยชน ซึ่งทางรัฐจะไม่ยอมทนกับบริษัทหรือองค์กรต่างๆ ที่มีการละเมิด
และจากกฎหมาย GDPR นี่เอง นานาประเทศ ก็ได้ยกระดับกฎหมายของตนเอง เพื่อให้เทียบเคียงกับทางสหภาพยุโรป ไม่เช่นนั้น ประชาชนในประเทศของเขา ก็จะถูกด้อยค่า เมื่อเปรียบเทียบกับทางสหภาพยุโรป โดยเฉพาะอย่างยิ่งบริษัทที่มีการละเมิดสิทธิเจ้าของข้อมูลส่วนบุคคล ก็คือบริษัทเทคโนโลยียักษ์ใหญ่ ที่เราต่างรู้จักกันดี ในกรณีนี้ เรามีศัพท์เฉพาะที่เรียกเรื่องนี้ คือ Privacy Regime หรือการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลโดยภาครัฐ
ซึ่งประเทศไทยก็ได้ปฏิบัติในกรอบของ Privacy Regime ด้วยเช่นเดียวกัน โดยการออก พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ แต่เนื่องจากสถานการณ์กดดัน จากการระบาดของไวรัส ทำให้มีการประกาศเลื่อน มา 2 ครั้ง จนในที่สุดก็มีการบังคับใช้อย่างสมบูรณ์ เมื่อ เดือนมิถุนายน ปีนี้เอง และองค์กร และองค์ประกอบที่จะต้องจัดตั้งตามกฎหมาย พึ่งมีความครบถ้วน เมื่อเดือน ตุลาคม ที่ผ่านมานี่เอง
ในที่นี้จะยกตัวอย่างจากต่างประเทศ โดยเฉพาะอย่างจากประเทศใกล้เคียง ที่มีการบังคับใช้กฎหมายคุ้มครองข้อมูลส่ว่นบุคคลเช่นเดียวกับประเทศไทย
<aside> 💡 อ้างอิง: ข่าว The Korean Times: https://www.koreatimes.co.kr/www/tech/2022/09/419_336018.html ข่าว Financial Time: https://www.ft.com/content/41d4d708-6569-4143-954c-3bea0328d139 ข่าว TechCrunch: https://techcrunch.com/2022/09/14/google-meta-fined-71-8m-for-violating-privacy-law-in-south-korea/
</aside>
เมื่อเดือนกันยายน ที่ผ่านมา ทาง PIPC (Personal Information Protection Commission) ได้สั่งปรับ Google เป็นเงิน 69.2 พันล้านวอน (KRW) และได้ปรับทาง Meta (บริษัทแม่ของ Facebook) เป็นเงิน 30.8 พันล้านวอน (KRW) ในข้อหาการละเมิดสิทธิความเป็นส่วนบุคคล ด้วยการขอคำยินยอม (Consent) อย่างไม่ถูกต้องตามกฎหมาย
ขณะนี้ทาง Google และ Meta ได้ขอยื่นอุทธรณ์
Yoon Jong-in ประธานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ประเทศเกาหลีใต้ ได้แถลงข่าว ผลการประชุมคณะกรรมการ ที่กรุงโซล วันที่ 14 กันยายน 2565 เครดิตภาพ: Yonhap
ตามข่าวทาง PIPC ระบุว่า บริษัทเทครายใหญ่ทั้งสองราย เก็บรวบรวมข้อมูลส่วนบุคคล โดยไม่ได้ขอคำยินยอมจากผู้ใช้งานอย่างถูกต้อง และใช้ข้อมูลส่วนบุคคลในการทำโฆษณาออนไลน์ และวัตถุประสงค์อื่นๆ โดยไม่ได้แจ้งให้ผู้ใช้ทราบอย่างชัดเจน
ทาง PIPC ได้ตรวจสอบ และพบว่า บริษัทเทคยักษ์ใหญ่ทั้งสองราย ไม่ได้แจ้งผู้ใช้อย่างชัดเจน และไม่ได้ขอคำยินยอมจากผู้ใช้ ก่อนที่จะเก็บรวบรวมข้อมูล หรือใช้ข้อมูลในการวิเคราะห์ เพื่อที่จะประเมินพฤิตกรรมของผู้ใช้ และใช้ข้อมูลที่วิเคราะห์ได้ ในการเสนอโฆษณาเป็นการเฉพาะต่อผู้ใช้
ทั้งสองมีการขอคำยินยอม แต่ไม่ได้ระบุการเก็บรวบรวมตามวิธีดังกล่าว โดยใส่ไว้ใน default setting ซึ่งผู้ใช้ทั่วไปไม่ได้รับทราบ โดยทาง Google ได้ปฏิบัติเช่นนี้ มาตั้งแต่ปี 2016 เป็นอย่างน้อย และทาง Facebook ได้ปฏิบัติมาตั้งแต่ปี 2018
ผลลัพธ์ก็คือ มากกว่า 82% ของผู้ใช้ Google และกว่า 98% ของผู้ใช้ Facebook มีข้อมูลพฤิตกรรมของตนเองที่เก็บไว้นอก platform ของทั้งคู่ ซึ่งข้อมูลที่ได้มานั้น เก็บรวมรวมมาโดยไม่ถูกต้อง
ทั้งหมดนี้เป็นคำแถลงของ PIPC หรือคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลของเกาหลีใต้
ทางฝั่งบริษัทยักษ์ใหญ่ทั้งสอง ได้ขออุทธรณ์ และแถลงออกมาว่า ข้อปฏิบัติของตนนั้น ไม่ได้ผิดกฎหมายคุ้มครองข้อมูลส่วนบุคคล และยินดีที่จะเข้าไปต่อสู้ในชั้นศาล
ก็คงต้องรอดูเหตุการณ์กันต่อไปครับ