เมื่อช่วงปีที่ผ่านมา เป็นช่วงที่กฎกหมาย GDPR ถูกนำมาใช้และถูกพูดถึงมากพอสมควร แต่ภาพที่เรามองเกี่ยวกับ GDPR ก็คือสัญลักษณ์กุญแจ กับดาวสีเหลืองบนพื้นสีน้ำเงิน ซึ่งใคร ๆ ก็ดูออกว่าเกี่ยวกับสหภาพยุโรปแน่ ๆ แต่ทำไมการบังคับใช้กฎหมาย GDPR ถึงได้ส่งผลกระทบทั่วโลกขนาดนี้
GDPR นั้นย่อมาจาก General Data Protection Regulation ซึ่งถูกนำมาบังคับใช้เมื่อช่วงกลางปี 2018 ที่ผ่านมา ซึ่งเรียกได้ว่าช่วงปีที่ผ่านมาก็มีความดุเด็ดเผ็ดมันกับประเด็นด้าน Data และ Privicy ต่าง ๆ ให้เราได้เห็นกันไม่เว้นเดือน โดยเฉพาะกรณี Cambridge Analytic กับ Facebook ซึ่งการนำกฏหมาย GDPR มาใช้นี้นับว่าเป็นการสร้างมาตรฐานใหม่ของการปกป้อง Data ของเราทุกคนที่ออกแบบมาเพื่อโลกอินเทอร์เน็ตโดยเฉพาะ ดังนั้น GDPR ถูกร่างมาสด ๆ ร้อน ๆ และผ่านการช่วยตรวจสอบจากผู้เชี่ยวชาญด้านอินเทอร์เน็ต ทำให้ GDPR เป็นกฏหมายที่ทันสมัย และสามารถตีความให้เข้ากับบริบทปัจจุบันได้
แล้ว GDPR เขาว่าไว้อย่างไร
เป้าหมายหลัก ๆ ของ GDPR ก็คือการปกป้องข้อมูลส่วนตัวของผู้ใช้ ซึ่งนิยามของคำว่าข้อมูลส่วนตัวก็คือ “สิ่งที่ทำให้ทราบได้ว่าเราเป็นใคร” ตั้งแต่ ชื่อ นามสกุล อีเมล ที่ทำงาน จนไปถึงข้อมูลในเชิง Digital Footprint อย่าง หมายเลข IP, รุ่นและโทรศัพท์ที่ใช้ ไปจนถึง Cookie กันเลยทีเดียว เพราะทั้งหมดนี้จะถูกบริษัทต่าง ๆ นำมาเป็นเครื่องมือทำมาหากินเช่น การยิงโฆษณาแบบ Ad Targeting หรือการนำไปขายเพื่อผลประโยชน์ต่าง ๆ (นึกภาพกรณี Cambridge Analytica ที่แทรกแทรงผลการเลือกตั้ง)
ยกตัวอย่างสิ่งที่ GDPR บังคับว่าต้องมีก็ยกตัวอย่างเช่น
- Right of access ผู้ใช้งานต้องรู้ว่า เว็บไซต์ หรือบริการที่เราใช้งานนั้น เก็บข้อมูลอะไรบ้าง และต้องบอกแบบโจ่งแจ้งด้วย ไม่ใช่แค่ติ๊ก ๆ ผ่านแล้วไม่อ่าน เหมือนเมื่อก่อน
- Right to be forgotten สิทธ์ที่จะถูกลืม คือเราต้องสามารถล้างข้อมูลที่เว็บไซต์หรือบริการเก็บไว้ได้ ซึ่งอาจจะไม่ทั้งหมด แต่ก็พอเบาใจได้ว่าข้อมูลดังกล่าวจะไม่ถูกนำมาตัดสินใจในอัลกอริทึม เช่น การแสดงโฆษณา หรือการแนะนำเพื่อนบนโซเชียลมีเดีย
- การแจ้งเตือนเมื่อเกิดเหตุข้อมูลรั่ว สิ่งนี้น่าสนใจ ในเมื่อเราห้ามคนเลวไม่ให้ Hack ไม่ได้ สิ่งที่เราทำได้คือ เราต้องทำให้ผู้ให้บริการ เช่น Google, Facebook ผู้ให้บริการต่าง ๆ ไม่เป็นคนเลวตามไปและผู้ให้บริการต้องซื่อสัตย์ บอกกับผู้ใช้งานว่าข้อมูลรั่วไหล ภายใน 24 ชม. หรืออย่างช้า 72 ชม. เพื่อแสดงความรับผิดชอบส่วนหนึ่ง และผู้ใช้งานจะได้รู้ว่าข้อมูลของตัวเองนั้นหลุดออกไป
- ข้อมูลข้ามพรมแดน เป็นข้อกำหนดว่าด้วยเรื่องการส่งข้อมูลข้ามไปมาผ่านโครงข่ายอินเทอร์เน็ต ดังนั้นสิ่งนี้ทำให้ GDPR เกี่ยวข้องกับเรา เพราะกฏหมาย GDPR นั้นผูกกับ “ข้อมูล” ถ้าข้อมูลที่ได้รับการคุ้มครองโดย GDPR ถูกถ่ายโอนมายังประเทศไทย นั่นแปลว่าการบังคับใช้กฎหมาย จะเป็นไปตาม GDPR ไม่ใช่ พรบ. คอมพิวเตอร์ของไทย ซึ่งถ้าเราไม่ทำตาม สหภาพยุโรปมีสิทธ์ิปิดกั้นการให้บริการหรือการส่งข้อมูลมายังประเทศไทย ในทางกลับกัน ถ้าเราเป็นคนไทยที่ใช้บริการของเว็บไซต์ฝั่งยุโรป ข้อมูลของเราก็นับว่าผูกกับ GDPR เช่นกัน
ซึ่งรายละเอียดเพิ่มเติมที่ลึกว่านี้สามารถไปอ่านได้ที่ GDPR Key Changes
ทำไม GDPR ถึงสำคัญระดับโลก แล้วเว็บไซต์ปรับตัวกันอย่างไรบ้าง
อย่างข้อสุดท้ายที่ได้พูดไป กฎหมายการส่งข้อมูลข้ามพรมแดนทำให้ GDPR มีโอกาสที่ถูกบังคับใช้ทั่วโลก เพราะไม่ว่าจะในทวีปหรือประเทศไทย ก็มี European Citizen อยู่แล้ว รวมถึง Data Center ต่าง ๆ บ้างก็อยู่บนแผ่นดินสหภาพยุโรป จึงไม่แปลกใจที่การออกมาของ GDPR จะช่วยยกระดับการร่ายกฏหมายเพื่อคุ้มครองสิทธ์ิของเราบนโลกอินเทอร์เน็ต
เราได้เห็นว่า Facebook นั้นทำอะไรหลายอย่างโจ่งแจ้งมากขึ้น เช่น การเปิดให้เรา Download ข้อมูลที่ถูกอัพโหลดขึ้นไปได้ การล้างบัญชี หรือเวลาเราเข้าเว็บไซต์ต่าง ๆ ก็จะมีการแจ้งเตือนว่าจะมีการเก็บ Data อะไรบ้าง ซึ่งส่วนมากจะเป็น Cookie และข้อมูลเหล่านี้จะถูกนำไปใช้ทำอะไร สิ่งนี้เป็นการบอกว่า แนวโน้มด้าน Data Privicy ของโลกนี้กำลังจะดำเนินไปในทางที่ดีขึ้น
มีเรื่องตลกตรงที่ว่า ในช่วงแรกที่ GDPR ถูกนำมาบังคับใช้ เว็บไซต์ต่าง ๆ ที่ยังไม่พร้อม กลัวว่ายุโรปจะบล็อคการเข้าถึง และถูกปรับหรือดำเนินคดี (มีโทษมากพอสมควร) ก็เลย ชิงบล็อกคนยุโรปก่อน (ฮา)
เราในฐานะที่คนทำคอนเทนต์หรือทำสื่อ ปฏิเสธไม่ได้เลยว่า GDPR จะเข้ามามีบทบาทในชีวิตเรา เพราะมันคือ มาตรฐานในการจัดการกับข้อมูล ซึ่งหลายสิ่งที่เราทำนั้น ก็ถือว่าเป็นไปตาม GDPR โดยเราอาจไม่รู้ตัว เช่น การบอก User ว่าเว็บไซต์ของเราเก็บข้อมูล, การที่ลงโฆษณาบน Facebook แล้วมีขึ้นบอกว่าอันนี้เป็น Ads ที่ทำร่วมกับแบรนด์อะไร และผู้ใช้งานรู้ว่า ทำไมเขาถึงเห็นโฆษณานี้
ณ ตอนนี้ก็ผ่านมาเป็นเวลาเกือบ 6 เดือน ถามว่าเราเห็นหลายอย่างเป็นรูปธรรมขึ้นไหม ผู้เขียนมองว่าก็ส่วนหนึ่ง แต่ไม่ใช้ทั้งหมด เนื่องจากในปีที่ผ่านมานี้ก็มีดราม่าเยอะเหลือเกิน ทำให้ยากที่จะสรุปว่าการตระหนักเรื่อง Data Privcy เกิดจาก GDPR แต่สิ่งที่บอกได้ก็คือ GDPR ออกมาในช่วงเวลาที่เหมาะสม และเป็นสภาพแวดล้อมที่ดีให้กับบริบทโลกอินเทอร์เน็ตปัจจุบัน การที่ผู้ให้บริการรายใหญ่อย่าง Facebook, Google หันมาให้ความสำคัญและโปร่งใสมากขึ้น (อาจจะยากสำหรับ Facebook โดยเฉพาะข้อที่บอกว่า แจ้งเมื่อรู้ว่าข้อมูลหลุด ซึ่ง Facebook ไม่ค่อยทำ) ก็น่าจะช่วยทำให้ Data ของเราบนโลกอินเทอร์เน็ตปลอดภัยขึ้น
ก็หวังว่าฝ่ายร่ายกฏหมายในไทยจะร่างอะไรแบบนี้ออกมาก่อนที่เราจะล้าหลังไปมากกว่านี้ เพราะมีเทคโนโลยี มีความพร้อมด้านประชากร สิ่งเดียวที่ยังยากต่อการตีความก็คือกฎหมาย เพราะเราเชื่อว่า แค่ พรบ.คอมพิวเตอร์ ที่มีอยู่ ณ ปัจจุบันยังไม่เพียงพอ และถูกใช้ในการจำกัดสิทธ์ิมากกว่าการคุ้มครอง จะหวังพึ่ง GDPR อย่างเดียวนั้นไม่น่าเพียงพอ
เรียบเรียงโดย ทีมงาน RAiNMAKER
