ETDA ถกเข้ม! 4 แนวทางการให้ความยินยอมข้อมูลส่วนตัว แค่ไหนถึงเป็นธรรม
ETDA ถกเข้ม! 4 แนวทางการให้ความยินยอมข้อมูลส่วนตัว แค่ไหนถึงเป็นธรรม
เมื่อวันที่ 7 มีนาคม 2558 สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) (สพธอ.) หรือ ETDA (เอ็ตด้า) กระทรวงไอซีที โดย ICT Law Center เปิดประเด็นเสวนา “ความยินยอมกับสัญญาที่ไม่เป็นธรรม และการคุ้มครองข้อมูลส่วนบุคคล - ยอมให้เก็บ ยอมให้ใช้ ยอมอย่างไรให้เป็นธรรม ไม่จำยอม” วงเสวนาชี้ไทยยังไม่มีกฎหมายกลางเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล กฎหมายที่จะออกมาควรให้ความสำคัญกับสิทธิส่วนบุคคล ขณะเดียวกันก็ไม่สร้างภาระให้แก่ผู้บริโภค วอนภาครัฐสร้างความเข้าใจและตระหนักถึงข้อควรพิจารณาให้ประชาชนก่อนทำธุรกรรมต่าง ๆ อย่างยั่งยืน
ผู้ร่วมวงเสวนาวันนี้ ครอบคลุมทั้งจากภาครัฐ ภาคธุรกิจ องค์กรให้คำปรึกษาด้านกฎหมาย ตลอดจนนักวิชาการและนักวิจัยด้านกฎหมายคุ้มครองข้อมูลส่วนบุคคลได้แก่ นายสุวิทย์ วิจิตรโสภา ผู้อำนวยการกองคุ้มครองผู้บริโภคด้านสัญญา สำนักงานคณะกรรมการคุ้มครองผู้บริโภค ดร.สมชาย หัชลีฬหา ประธานกรรมการบริหาร บริษัท จอย แอนด์ คอยน์ คอร์ปอเรชั่น จำกัด นายฤกษ์ฤทธิ์ เพชรวรกุล Deputy Director (Legal & Tax), KPMG Thailand รศ. คณาธิป ทองรวีวงศ์คณบดีคณะนิติศาสตร์ มหาวิทยาลัยเซนต์จอห์น โดยมี พ.ต.ท.หญิง จีรบูรณ์ บำเพ็ญนรกิจ ผู้อำนวยการสำนักกฎหมาย ETDA เป็นผู้ดำเนินรายการ
ประเด็นสำคัญในวันนี้คือเรื่องความยินยอมให้ข้อมูลส่วนบุคคล แต่น่าตกใจที่ผู้บริโภคยังไม่ให้ความสำคัญ รวมถึง ข้อผูกพันต่าง ๆ หากผู้บริโภคให้ความยินยอมไปโดยไม่ตรวจสอบอย่างรอบคอบ ทั้งนี้จากวงเสวนา มีการหยิบยกประเด็นที่เป็นประโยชน์อย่างยิ่ง 4 เรื่อง คือ แนวทางในการกำหนดข้อสัญญาในเรื่องความยินยอม หลักของความยินยอม แนวทางการให้ความยินยอมในขั้นตอนการเก็บ และแนวทางการเพิกถอนความยินยอม
แนวทางในการกำหนดข้อสัญญาในเรื่องความยินยอม วงเสวนาได้ย้ำว่าจำเป็นต้องคำนึงถึงความเป็นธรรม ไม่เอนเอียง โดยหลักการสำคัญในการทำสัญญาจะต้องประกอบด้วยเรื่อง การให้ความยินยอม ที่ต้องกำหนดชัดเจนว่าต้องให้ในช่วงเวลาไหน ก่อน ในขณะ หรือภายหลังการทำสัญญา, ให้ในขอบเขตอะไร, ให้กับใคร, ให้ในบริบทใด และให้ถึงเมื่อไหร่ เช่น เริ่มต้นหรือสิ้นสุดเมื่อใด
สำหรับหลักของความยินยอมนั้น ปัจจุบันยังไม่มีกฎหมายทั่วไปที่กำหนดหลักเกณฑ์เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลเป็นการเฉพาะ ดังนั้น การทำสัญญาโดยทั่วไปจึงมักมีปัญหาในทางปฏิบัติเกิดขึ้น กรณีศึกษาเช่น การทำสัญญาใช้บริการฟิตเนสที่ทางธนาคารให้สิทธิแก่ผู้ถือบัตรเครดิตในการเข้าใช้งาน โดยทางผู้ประกอบการฟิตเนสได้ขอข้อมูลส่วนบุคคลและอ้างว่าธนาคารกำหนด ซึ่งเมื่อสอบถามไปยังธนาคารพบว่า ทางธนาคารไม่ได้ขอข้อมูลแต่อย่างใด จึงเกิดข้อกังขาว่าใครเป็นผู้เก็บข้อมูล หรือ Data Controller
ดังนั้น สิ่งที่ต้องร่วมกันกำหนดคือ ลักษณะของการให้ความยินยอมที่มีผลตามร่างกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่อยู่ระหว่างการพิจารณา เพื่อให้ชัดเจนว่าความยินยอมในบริบทของการคุ้มครองข้อมูลส่วนบุคคลนั้นควรมี แค่ไหนและเท่าใด จึงจะเรียกว่าเพียงพอ เมื่อพิจารณาแนวทางของ EU ได้มีการกำหนด EU Directive (EU Directive 95/46/EC) เพื่อดูแลข้อมูลส่วนบุคคล รวมทั้งได้มีการตีความลักษณะของความยินยอมเพื่อให้การบังคับ ใช้กฎหมายมีความชัดเจนมากขึ้น ซึ่งหลักการของความยินยอมนั้น ประกอบด้วยองค์ประกอบที่สำคัญ 3 เรื่อง คือ 1) ความยินยอมต้องเป็นอิสระ (Freely Given) ต้องไม่ให้แบบจำยอม อย่างไรก็ตามเพื่อประโยชน์สาธารณะในบางเรื่อง แม้เราไม่ยินยอม ก็จำเป็นที่รัฐจะต้องได้ข้อมูลส่วนบุคคลเหล่านั้นมา ซึ่งต้องถือว่าเป็นเรื่องที่กฎหมายยกเว้นไว้เป็นการเฉพาะ ดังนั้น จึงจำเป็นต้องมีการชั่งน้ำหนักระหว่างสิทธิของเจ้าของข้อมูลกับประโยชน์สาธารณะ 2) ความยินยอมนั้นต้องเจาะจง (Specific) เมื่อให้ความยินยอมครั้งไหนก็ใช้เพื่อการดำเนินการในครั้งนั้นเท่านั้น นอกจากนี้ ข้อสัญญาในการเก็บข้อมูลส่วนบุคคลควรจะต้องมีการแยกส่วนของข้อสัญญาเหล่านี้ออกจากข้อสัญญาอื่น เพื่อให้เกิดความชัดเจนไม่ควรเขียนรวมกันไว้เหมือนเช่นที่พบกันทั่วไป ดังนั้นการให้ความยินยอมในการเปิดเผยข้อมูลกับการให้ความยินยอมในการเข้าทำสัญญา ควรต้องกำหนดไว้แยกกัน3)การให้ความยินยอมจะต้องมีข้อมูลที่เพียงพอ มีการให้รายละเอียดเกี่ยวกับการเก็บ การใช้ และเปิดเผยข้อมูลส่วนบุคคลที่ชัดเจน และการให้ข้อมูลตาม Privacy Policy นั้นก็ไม่ควรต้องเป็นภาระแก่ผู้ใช้งานจนเกินสมควร เช่นผลจากการวิจัยพบว่า ปัจจุบันนี้ผู้บริโภคต้องใช้เวลาประมาณ 244 ชม./ต่อปี ในการอ่าน Privacy Policy ถึงจะเข้าใจได้
ด้านแนวทางการให้ความยินยอมในขั้นตอนการเก็บ ถ้ามองในแง่มุมของการคุ้มครองผู้บริโภค ก็ควรต้องขอความยินยอมตั้งแต่ในขั้นตอนของการเก็บข้อมูล อย่างไรก็ตาม เพื่อความชัดเจนควรมีการกำหนดในกฎหมายว่า หากมีกฎหมายกำหนดเรื่องใดไว้เป็นการเฉพาะแล้วก็ให้บังคับไปตามกฎหมายนั้น แต่ในกรณีที่ไม่มีกฎหมายกำหนดไว้เป็นการเฉพาะแล้วก็ควรต้องนำกฎหมายฉบับนี้มาใช้บังคับ เช่น ธุรกิจในปัจจุบันที่มีการทำ Application ให้ลูกค้าได้ check in และเข้าใช้บริการต่าง ๆ ของผู้ให้บริการ ซึ่งทางบริษัทเหล่านี้จะเก็บข้อมูลและพฤติกรรมของลูกค้า มาวิเคราะห์สำหรับการทำการตลาด ในกรณีเช่นนี้ หากต้องขอความยินยอมในการเก็บข้อมูลส่วนบุคคลในกรณีการใช้แอปพลิเคชันแบบนี้ ต้องเริ่มตั้งแต่ตอนที่ผู้ใช้งาน “ตกลง” เพื่อโหลดแอปพลิเคชั่นมาใช้งาน ซึ่งก็แน่นอนว่าน้อยคนที่จะอ่านข้อความเล็ก ๆ ที่ปรากฏขึ้นมา ดังนั้น หากร่างกฎหมายคุ้มครองข้อมูลส่วนบุคคลตราออกมาเป็นกฎหมาย ก็ต้องช่วยกันสร้างความรู้ให้ประชาชนตระหนักถึงการให้ความยินยอมในการให้ข้อมูลส่วนบุคคลของตนเองด้วย
เรื่องสำคัญสุดท้าย ที่ผู้ร่วมวงเสวนาฝากไว้คือแนวทางการเพิกถอนความยินยอม เพราะในบริบทของการคุ้มครองข้อมูลส่วนบุคคลนั้น โดยหลักเป็นเรื่องที่สามารถเพิกถอนได้ และจำเป็นที่จะต้องกำหนดหลักการเรื่องนี้ไว้ อย่างไรก็ตาม ในบางกรณีผู้ประกอบการจะกำหนดเป็นเงื่อนไขว่า ผู้บริโภคไม่สามารถที่จะเพิกถอนความยินยอมได้ ซึ่งจะต้องนำมาทบทวนว่าข้อสัญญาเหล่านี้จะทำอย่างไรให้ไม่ขัดต่อกฎหมายที่กำลังจะออกมาใช้บังคับ
สำหรับ ICT Law Center Open Forum ในวันเสาร์ที่ 14 มีนาคม 2558 นี้จะพูดคุยถึงร่างกฎหมายคุ้มครองข้อมูลส่วนบุคคล ในหัวข้อ “หลักการคุ้มครองข้อมูลส่วนบุคคลที่มีการปรับเปลี่ยน - หลังรับฟังเสียงสะท้อน...ใช่...หรือ...ไม่ใช่? ติดตามความคลื่อนไหวและรายละเอียดได้ทาง http://www.etda.or.th และhttp://ictlawcenter.etda.or.th/
ขอเชิญร่วมทำแบบประเมินความพึงพอใจในการเข้าถึงข้อมูล ของ สพธอ.