เมื่อ ‘Like’ เป็นการละเมิดข้อมูลส่วนบุคคล
ผู้เขียนเชื่อว่าอนาคตของบริษัทเทคโนโลยีจะต้องมีการปรับตัวเรื่องแผนทางธุรกิจมากขึ้นอันเนื่องมาจากการยกระดับความเข้มงวดของการกำกับดูแลจากหน่วยงานของรัฐฯ
Cap & Corp Forum
เมื่อวันที่ 29 กรกฎาคม 2562 ที่ผ่านมา ศาลยุติธรรมแห่งสหภาพยุโรปได้มีคำพิพากษาในคดีระหว่าง FashionID GmbH & Co. KG และ Verbraucherzentrale NRW (สมาคมคุ้มครองผู้บริโภคแห่งรัฐนอร์ทไรน์-เว็สท์ฟาเลิน) โดยมี Facebook Ireland Limited ซึ่งเป็นบริษัทลูกของ Facebook Inc ที่ให้บริการนอกประเทศสหรัฐอเมริกาได้ขอเข้ามาเป็นคู่ความในคดีด้วยเนื่องจากพฤติกรรมแห่งคดีและผลของคำพิพากษาจะมีผลกระทบโดยตรงต่อการประกอบธุรกิจของ facebook
ข้อเท็จจริงในคดี
FashionID เป็นผู้ค้าปลีกออนไลน์ จำหน่ายสินค้าจำพวกเสื้อผ้าและเครื่องแต่งกายผ่านเว็บไซต์ของตนเอง (https://www.fashionid.de) โดยเว็บไซต์ดังกล่าวได้นำฟังก์ชันปุ่ม “Like” ของ facebook มาใช้ในการทำการตลาดสินค้าเพื่อให้ผู้เข้ามาซื้อสินค้าสามารถแสดงความเห็นต่อสินค้าและแชร์สินค้าดังกล่าวไปยัง facebook ของตนเองได้ โดยฟังก์ชันของปุ่ม “Like” ดังกล่าวจะส่งข้อมูลของผู้เข้าใช้ www.fashionid.de ทั้งหมดไปยัง facebook โดยอัตโนมัติไม่ว่าผู้เข้าใช้รายดังกล่าวจะได้กดปุ่ม “Like” หรือไม่ หรือแม้แต่ไม่ได้เข้าสู่ระบบของ facebook ก็ตาม ซึ่งย่อมหมายความว่าการประมวลผลและการส่งข้อมูลส่วนบุคคลจะเกิดขึ้นทันทีที่เข้าไปหน้าเว็บที่มีการใช้ฟังก์ชันปุ่ม “Like”
คดีนี้เริ่มฟ้องร้องเมื่อปี 2015 และเป็นการฟ้องร้องตาม Data Protection Directive (“DPD”, Directive 95/46/EC) ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลฉบับเก่าของสหภาพยุโรปก่อนที่จะบังคับใช้ GDPR คดีนี้เริ่มต้นการฟ้องในศาลแห่งเมืองดึสเซิลดอร์ฟ ประเทศเยอรมนี โดย Verbraucherzentrale NRW เห็นว่า FashionID ทำผิดกฎหมาย DPD เนื่องจากไม่ได้แจ้งให้ผู้เข้าใช้เว็บไซต์ของตนเองทราบว่ามีการประมวลผลข้อมูลส่วนบุคคลโดย facebook และไม่มีการขอความยินยอมจากผู้บริโภคในการส่งข้อมูลส่วนบุคคลไปให้ facebook
คดีนี้ยังอยู่ระหว่างการพิจารณาของศาลแห่งเมืองดึสเซิลดอร์ฟ (Higher Regional Court of Düsseldorf) และศาลได้ส่งคำร้องไปยังศาลยุติธรรมแห่งสหภาพยุโรปเพื่อขอความเห็นเบื้องต้นในข้อกฎหมายเกี่ยวกับการบังคับใช้ DPD
ความเห็นของศาลยุติธรรมแห่งสหภาพยุโรป
ศาลยุติธรรมแห่งสหภาพยุโรปพิจารณาแล้วเห็นว่า FashionID เป็นผู้ควบคุมข้อมูลส่วนบุคคลที่ถูกเก็บและรวบรวมโดยฟังก์ชันปุ่ม “Like” ทั้ง FashionID และ facebook (joint controller) ถือว่าเป็นผู้ควบคุมข้อมูลส่วนบุคคลร่วมกันโดย (1) รวบรวมข้อมูลส่วนบุคคลโดยปุ่ม “Like” และ (2) โอนข้อมูลส่วนบุคคลนั้นไปยัง facebook ดังนั้น การเก็บและรวบรวมข้อมูลต่าง ๆ จึงต้องเป็นไปตามที่ DPD กำหนด ทั้งเรื่องของการขอความยินยอมและการแจ้งให้ทราบด้วย อย่างไรก็ตามในส่วนของค่าเสียหายนั้นไม่ได้อยู่ในอำนาจของศาลยุติธรรมแห่งสหภาพยุโรป แต่เป็นเรื่องที่ต้องไปนำสืบและพิสูจน์ในศาลแห่งเมืองดึสเซิลดอร์ฟต่อไป
ผลจากคำพิพากษาของศาลยุติธรรมแห่งสหภาพยุโรปดังกล่าว FashionID ได้ถอดฟังก์ชันปุ่ม “Like” ออกจากเว็บไซต์ของตนเอง และน่าจะส่งผลต่อการให้บริการ e-commerce ในอีกหลาย ๆ เว็บไซต์ที่มีการ embedded- social plugin อาทิ LinkedIn, Twitter และ Pinterest ซึ่งแม้คดีนี้จะเป็นการตัดสินตาม DPD ก็ตาม แต่ GDPR ที่เป็นกฎหมายที่ใช้บังคับในปัจจุบันก็ยังคงหลักการเรื่องการขอความยินยอมและการแจ้งให้ทราบไว้ครบถ้วนทุกประการ และนอกจากนี้ยังมีบทบัญญัติที่เข้มงวดกว่าและมีมาตรการลงโทษปรับที่รุนแรงกว่าหลายเท่า
ในด้านการดำเนินธุรกิจของ facebook นอกจากคดีดังกล่าวที่ตัดสินไปแล้ว facebook ยังตกเป็นจำเลยในเรื่องการละเมิดข้อมูลส่วนบุคคลอีกหลายกรณี อาทิ
1.คดีในศาลของประเทศไอร์แลนด์เรื่องการส่งข้อมูลส่วนบุคคลของพลเมืองในสหภาพยุโรปไปให้บริษัทแม่ของ facebook ในประเทศสหรัฐอเมริกาโดยไม่ชอบด้วยกฎหมาย และคดีอยู่ระหว่างการขอให้ศาลยุติธรรมแห่งสภาพยุโรปให้ความเห็นเบื้องต้นเกี่ยวกับการบังคับใช้ GDPR ต่อกรณีดังกล่าว
2.ศาลอุทธรณ์ภาค 9 ของประทศสหรัฐอเมริกา มีคำวินิจฉัยเมื่อวันที่ 8 สิงหาคม 2562 ที่ผ่านมาว่าเทคโนโลยีจดจำใบหน้าของ facebook (face-recognition) อาจเป็นการละเมิดข้อมูลส่วนบุคคล (Biometric Information Privacy Act) และผลคำตัดสินข้างต้นทำให้การดำเนินคดีแบบกลุ่มดำเนินต่อไปในศาลล่าง ซึ่งมูลค่าความเสียหายในคดีแบบกลุ่มครั้งนี้อยู่ในหลักพันล้านเหรียญสหรัฐเลยทีเดียว
3.เมื่อวันที่ 29 กรกฎาคม 2562 คณะกรรมาธิการการค้าของรัฐบาลกลางของประเทศสหรัฐอเมริกา (Federal Trade Commission, FTC) เผยแพร่ข้อมูลเรื่องการยุติการสอบสวนกรณีการละเมิดข้อมูลส่วนบุคคลของ facebook ในประเทศสหรัฐอเมริกา โดย facebook ยินยอมชำระค่าปรับเป็นเงิน 5 พันล้านเหรียญสหรัฐ ซึ่งสูงที่สุดเท่าที่ FTC เคยมีคำสั่งปรับในส่วนที่เกี่ยวกับการละเมิดข้อมูลส่วนบุคคล
4.คณะกรรมาธิการยุโรปอยู่ระหว่างการสอบสวนการกระทำความผิดของ facebook เรื่องการละเมิดข้อมูลส่วนบุคคล ซึ่งอาจนำมาซึ่งการชำระค่าปรับจำนวนมหาศาล โดยผลการสอบสวนการกระทำความผิดน่าจะแล้วเสร็จภายในสิ้นปีนี้ ซึ่งค่าปรับนั้นอาจจะสูงถึงหลักพันล้านยูโรก็เป็นได้
นอกจากกระบวนการทางศาลแล้ว ในด้านกระบวนการทางนิติบัญญัติ คณะกรรมาธิการในสภาผู้แทนราษฎรของสหรัฐอเมริกาจากพรรคเดโมแครตได้เริ่มกระบวนการตรวจสอบการประกอบธุรกิจของบริษัทเทคโนโลยีรายใหญ่ ๆ ของประเทศสหรัฐอเมริกาว่ามีการใช้อำนาจเหนือตลาดโดยมิชอบด้วยกฎหมายและทำลายการแข่งขันในอุตสาหกรรมหรือไม่ ซึ่ง facebook, Google, Apple และ Amazon เป็นกลุ่มบริษัทที่ถูกจับตามากที่สุด
ในส่วนของกฎหมายไทย พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 19 บัญญัติว่า “ผู้ควบคุมข้อมูลส่วนบุคคลจะกระทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไม่ได้หากเจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอมไว้ก่อนหรือในขณะนั้น เว้นแต่บทบัญญัติแห่งพระราชบัญญัตินี้หรือกฎหมายอื่นบัญญัติให้กระทำได้” โดยพระราชบัญญัตินี้จะมีผลใช้บังคับในวันที่ 28 พฤษภาคม 2563 ถึงเวลานั้นกรณีศึกษาต่าง ๆ ที่เกิดขึ้นจากต่างประเทศน่าจะเป็นตัวอย่างที่ดีสำหรับผู้ประกอบการของไทยและหน่วยงานกำกับดูแลในการบังคับใช้กฎหมายให้มีประสิทธิภาพสูงที่สุด
สุดท้าย ผู้เขียนเชื่อว่าอนาคตของบริษัทเทคโนโลยีจะต้องมีการปรับตัวเรื่องแผนทางธุรกิจมากขึ้นอันเนื่องมาจากการยกระดับความเข้มงวดของการกำกับดูแลจากหน่วยงานของรัฐที่เกี่ยวข้อง หลังจากที่บริษัทเหล่านี้ประกอบธุรกิจโดยปราศจากการควบคุมมาอย่างยาวนาน
…
ศุภวัชร์ มาลานนท์
คณะนิติศาสตร์ มหาวิทยาลัยสงขลานครินทร์
Fulbright Hubert H. Humphrey Fellowship,
Washington College of Law American University