GPS Tracking โดยรัฐและการคุ้มครองข้อมูลส่วนบุคคล
การระบุพิกัดหรือการระบุสถานที่ผ่าน Geolocation หรือ Location data เป็นเทคโนโลยีที่ได้รับความนิยมมากขึ้นเรื่อย ๆ อุปกรณ์หลายชนิดสามารถใช้ระบุพิกัดได้อย่างมีประสิทธิภาพ
Cap & Corp Forum
การระบุพิกัดหรือการระบุสถานที่ผ่าน Geolocation หรือ Location data เป็นเทคโนโลยีที่ได้รับความนิยมมากขึ้นเรื่อย ๆ อุปกรณ์หลาย ๆ ชนิดสามารถใช้ในการระบุพิกัดได้อย่างมีประสิทธิภาพผ่านการทำงานร่วมกันของฮาร์ดแวร์และซอฟต์แวร์ ไม่ว่าจะเป็นคอมพิวเตอร์ส่วนบุคคลหรือแบบพกพา สมาร์ตโฟน สมาร์ตวอตช์ หรือระบบ GPS Tracking ที่ฝังมาในอุปกรณ์ต่าง ๆ อาทิ กล้องติดรถยนต์ (Dash Cams) หรือแม้กระทั่งตัวรถยนต์เอง เป็นต้น โดยในประเทศสหรัฐอเมริกาและสหภาพยุโรปถือว่าพิกัดสถานที่ดังกล่าวเป็น “ข้อมูลส่วนบุคคล” ดังนั้น การดำเนินการใด ๆ ต่อสิทธิความเป็นส่วนตัวของเจ้าของข้อมูลส่วนบุคคลจึงต้องดำเนินการตามที่กฎหมายอนุญาตและกำหนดไว้เท่านั้น
ตัวอย่างเช่น ในคดี U.S. v. Jones, 565 U.S. 400 (2012) และ Grady v. North Carolina, 575 U.S. (2015) ศาลสูงสุดสหรัฐ (US Supreme Court) วางหลักการว่าการติดตั้งระบบ GPS Tracking ในรถยนต์หรืออุปกรณ์ติดตามตัวถือว่าเป็นการละเมิดต่อสิทธิส่วนบุคคลของผู้ถูกติดตามด้วย โดยศาลเห็นว่าบุคคลย่อมคาดหวังว่าจะได้รับการคุ้มครองความเป็นส่วนตัวของตำแหน่งที่อยู่และไม่ถูกรัฐละเมิดเข้ามาในความเป็นส่วนตัวดังกล่าวโดยไม่ได้รับความยินยอม
หรือตัวอย่างของกฎหมาย California Consumer Privacy Act 2018 (“CCPA”) ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่มีอิทธิพลมากที่สุดในประเทศสหรัฐอเมริกาและจะมีผลใช้บังคับในวันที่ 1 มกราคม 2563 นี้ ก็กำหนดให้ “Geolocation data” เป็นข้อมูลส่วนบุคคลประเภทหนึ่ง (Cal. Civ. Code § 1798.140)
ในขณะที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรปหรือ GDPR กำหนดว่า “Location data” เป็นข้อมูลส่วนบุคคลประเภทหนึ่งเช่นกัน (มาตรา 4(1) GDPR) ดังนั้น การเก็บ รวบรวม หรือใช้ข้อมูลพิกัดตำแหน่งดังกล่าวจึงต้องกระทำภายใต้กรอบนโยบายกฎหมายตามที่กำหนดใน GDPR กล่าวคือ ต้องได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล ต้องมีวัตถุประสงค์การเก็บ รวบรวม หรือใช้ข้อมูลส่วนบุคคลโดยชัดแจ้งและชอบด้วยกฎหมาย อีกทั้งต้องแจ้งวัตถุประสงค์ดังกล่าวต่อเจ้าของข้อมูลส่วนบุคคลด้วย และต้องใช้ข้อมูลส่วนบุคคลภายใต้ขอบวัตถุประสงค์เท่านั้น หากเป็นการดำเนินการของรัฐเพื่อประโยชน์สาธารณะก็ต้องเคารพต่อสิทธิของเจ้าของข้อมูลส่วนบุคคลนั้นด้วย และในกรณีที่มีความจำเป็นต้องยกเว้นการคุ้มครองสิทธิส่วนบุคคลหรือหลักเกณฑ์ตามกฎหมายบางประการก็ต้องดำเนินการภายใต้หลักความได้สัดส่วน กล่าวคือ เป็นมาตรการที่กระทบต่อสิทธิในข้อมูลส่วนบุคคลน้อยที่สุด
ทั้งนี้เพราะสหภาพยุโรปถือว่าสิทธิในการได้รับการคุ้มครองข้อมูลส่วนบุคคลเป็นสิทธิขั้นพื้นฐานประการหนึ่ง (Fundamental rights) ที่ได้รับความคุ้มครองตามกฎบัตรสิทธิพื้นฐานของสหภาพยุโรปและสนธิสัญญาว่าด้วยการดำเนินงานของสหภาพยุโรป (มาตรา 8(1) Charter of Fundamental Rights of the European Union และมาตรา 16(1) Treaty on the Functioning of the European Union)
จากกรณีศึกษาข้างต้นเมื่อพิจารณาตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ที่จะมีผลใช้บังคับในวันที่ 28 พฤษภาคม 2563 มาตรา 6 กำหนดว่า “ข้อมูลส่วนบุคคล หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม” แต่พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ มิได้ยกตัวอย่างไว้ว่าอะไรบ้างที่อาจถือว่าเป็นข้อมูลส่วนบุคคลอย่างเช่นกรณีของ CCPA หรือ GDPR ผู้เขียนจึงมีความเห็นว่าจากบทบัญญัติของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ น่าจะตีความกฎหมายไปในทิศทางเดียวกับ GDPR ของสหภาพยุโรป หรือ CCPA ของรัฐแคลิฟอร์เนียได้ “(Geo)location data” จึงมีสภาพเป็น “ข้อมูลส่วนบุคคล” ตามกฎหมาย ซึ่งหมายความว่าการกระทำการใด ๆ ต่อข้อมูลส่วนบุคคลต้องปฏิบัติตามเงื่อนไขที่กฎหมายกำหนดด้วย
ดังนั้น ผู้ใช้อุปกรณ์ GPS Tracking ต่าง ๆ เพื่อการเก็บ รวบรวม และประมวลผลข้อมูลส่วนบุคคล จึงมีสถานะเป็น “ผู้ควบคุมข้อมูลส่วนบุคคล” ตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ มาตรา 6 ซึ่งกำหนดว่าหมายถึง บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล และผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ต้องปฏิบัติตามกฎหมาย การเก็บ รวบรวม หรือใช้ข้อมูลส่วนบุคคลโดยไม่ชอบด้วยกฎหมายอาจนำมาซึ่งความรับผิดทางแพ่งต้องชดใช้ค่าเสียหายต่อเจ้าของข้อมูลส่วนบุคคล หรืออาจมีโทษปรับทางปกครองได้ แล้วแต่กรณี
อย่างไรก็ตาม มาตรา 4(1) และ (2) ของพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ กำหนดว่ากฎหมายฉบับนี้ไม่ใช้บังคับกับการดำเนินการดังนี้
(1) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบุคคลที่ทำการเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อประโยชน์ส่วนตนหรือเพื่อกิจกรรมในครอบครัวของบุคคลนั้นเท่านั้น (ซึ่งกรณีของผู้ใช้ที่เป็นบุคคลธรรมดาเพื่อประโยชน์ส่วนตนอาจจะได้รับยกเว้น อาทิ ผู้ติด Dash Cam รถยนต์ แต่ข้อยกเว้นดังกล่าวอาจจะไม่รวมถึงการนำภาพจากกล้องไปโพสต์ต่อในสังคมออนไลน์ หรือส่งต่อให้บริษัทประกันภัย)
(2) การดำเนินการของหน่วยงานของรัฐที่มีหน้าที่ในการรักษาความมั่นคงของรัฐ ซึ่งรวมถึงความมั่นคงทางการคลังของรัฐ หรือการรักษาความปลอดภัยของประชาชน รวมทั้งหน้าที่เกี่ยวกับการป้องกันและปราบปรามการฟอกเงิน นิติวิทยาศาสตร์ หรือการรักษาความมั่นคงปลอดภัยไซเบอร์
หรือหากเป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูลส่วนบุคคล หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้มอบให้แก่ผู้ควบคุมข้อมูลส่วนบุคคลมาตรา 24(4) ก็อนุญาตให้ผู้ควบคุมข้อมูลส่วนบุคคลทำการเก็บรวบรวมข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลได้
นอกจากนี้ กฎหมายยังกำหนดด้วยว่าการยกเว้นไม่ให้นำบทบัญญัติแห่งพระราชบัญญัตินี้ทั้งหมดหรือแต่บางส่วนมาใช้บังคับแก่ผู้ควบคุมข้อมูลส่วนบุคคลในลักษณะใด กิจการใด หรือหน่วยงานใดทำนองเดียวกับผู้ควบคุมข้อมูลส่วนบุคคลตามวรรคหนึ่ง หรือเพื่อประโยชน์สาธารณะอื่นใด ให้ตราเป็นพระราชกฤษฎีกา และผู้ควบคุมข้อมูลส่วนบุคคลของหน่วยงานที่ได้รับยกเว้นนั้นต้องจัดให้มีการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลให้เป็นไปตามมาตรฐานด้วย
เป็นที่น่าสังเกตว่ามาตรา 24(5) และมาตรา 26(5)(ค)(ง)(จ) ของพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ได้บัญญัติรับรองว่าสิทธิในการได้รับความคุ้มครองข้อมูลส่วนบุคคลเป็นสิทธิขั้นพื้นฐาน ดังนั้น เมื่อพิจารณาจากเจตนารมณ์ของกฎหมายต่อนโยบายการติดตั้ง GPS Tracking ภาคบังคับจะพบว่าการติดตั้ง GPS Tracking ในรถยนต์ส่วนบุคคลคือการที่รัฐกำลังจะกระทำการละเมิดกฎหมายที่รัฐตราขึ้นและเป็นกฎหมายที่มุ่งคุ้มครองสิทธิขั้นพื้นฐาน โดยที่มิได้ตระหนักถึงความสำคัญ ความจำเป็นและเคารพต่อกฎหมายที่ตนเองบัญญัติขึ้นแต่อย่างใด และหากการดำเนินการของรัฐทุกกรณีเป็นการยกเว้นการบังคับใช้กฎหมายได้ สิทธิในการได้รับความคุ้มครองข้อมูลส่วนบุคคลก็คงไม่สามารถดำรงอยู่ในฐานะสิทธิขั้นพื้นฐานอีกต่อไป
…
ศุภวัชร์ มาลานนท์
คณะนิติศาสตร์ มหาวิทยาลัยสงขลานครินทร์
Fulbright Hubert H. Humphrey Fellowship
American University Washington College of Law