คุกกี้และความยินยอมตามกฎหมาย
เจ้าของเว็บไซต์ต่าง ๆ ที่มีการใช้คุกกี้หรือระบบติดตามข้อมูลลูกค้าหรือผู้เข้าชมเว็บไซต์จึงต้องปรับตัวและดำเนินการให้ถูกต้องตามกฎหมาย
Cap & Corp Forum
จากข้อมูลของวิกิพีเดีย “เอชทีทีพีคุกกี้” (HTTP cookie) หรือ “เว็บคุกกี้” หรือ “คุกกี้” หมายถึง กลุ่มของข้อมูลที่ถูกส่งจากเว็บเซิร์ฟเวอร์มายังเว็บเบราว์เซอร์ และถูกส่งกลับมายังเว็บเซิร์ฟเวอร์ทุก ๆ ครั้งที่เว็บเบราว์เซอร์ร้องขอข้อมูล โดยปกติแล้วคุกกี้จะถูกใช้เพื่อจัดเก็บข้อมูลขนาดเล็ก ๆ ไว้ที่เว็บเบราว์เซอร์ เพื่อให้เว็บเซิร์ฟเวอร์สามารถจดจำสถานะการใช้งานของเว็บเบราว์เซอร์ที่มีต่อเว็บเซิร์ฟเวอร์ ตัวอย่างการใช้งานคุกกี้ เช่น ใช้เพื่อจดจำชื่อบัญชีผู้ใช้ เวลาที่ผู้ใช้เข้าเว็บครั้งล่าสุด ข้อมูลสินค้าที่ผู้ใช้เลือกไว้ ข้อมูลในคุกกี้เหล่านี้ ทำให้เว็บไซต์สามารถที่จะจดจำผู้ใช้ได้ กล่าวง่าย ๆ คุกกี้คือกระบวนการจัดเก็บข้อมูลและประมวลผลข้อมูลของผู้ใช้บริการ
กรณีปัญหาที่น่าสนใจ คือเมื่อพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จะมีผลใช้บังคับในวันที่ 28 พฤษภาคม 2563 ที่จะถึงนี้ การใช้คุกกี้จะต้องอยู่ภายใต้หลักเกณฑ์ของพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ หรือไม่อย่างไร ก่อนอื่นลองพิจารณากรณีศึกษาจากสหภาพยุโรปสักนิดก่อนที่จะนำมาเปรียบเทียบกับกฎหมายไทยที่กำลังจะมีผลใช้บังคับ
General Data Protection Regulation หรือ GDPR ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป มาตรา 4(1) กำหนดว่า ข้อมูลส่วนบุคคลให้หมายความรวมถึงอัตลักษณ์ออนไลน์หรือสิ่งที่สามารถทำให้ระบุตัวตนในทางออนไลน์ได้ด้วย (online identifier) ซึ่งในส่วนอารัมภบท ข้อที่ 30 ของ GDPR ได้ให้คำอธิบายเพิ่มเติมไว้ว่า บุคคลธรรมดาอาจเชื่อมโยงกับตัวตนออนไลน์ที่จัดเตรียมโดยอุปกรณ์ หรือแอปพลิเคชัน และโปรโตคอล เช่น อินเทอร์เน็ตโปรโตคอล ตัวระบุคุกกี้ (cookie identifiers) หรือตัวระบุอื่น ๆ โดยสิ่งนี้อาจทิ้งร่องรอยไว้ และโดยเฉพาะอย่างยิ่งเมื่อพิจารณาประกอบกับอัตลักษณ์เฉพาะที่ไม่ซ้ำกันและข้อมูลอื่น ๆ ที่ได้รับจากเซิร์ฟเวอร์ อาจถูกใช้เพื่อสร้างโปรไฟล์ของบุคคลธรรมดาและสามารถใช้ระบุตัวบุคคลได้ ดังนั้น ตาม GDPR คุกกี้จึงเป็นส่วนหนึ่งของข้อมูลส่วนบุคคลที่กฎหมายคุ้มครอง
เมื่อคุกกี้ของผู้ใช้งานถือเป็นข้อมูลส่วนบุคคล ดังนั้น การกระทำต่อข้อมูลส่วนบุคคลดังกล่าวจึงต้องได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคลด้วย โดย GDPR กำหนดว่าความยินยอมนั้นผู้ให้ความยินยอมต้องมีการกระทำที่แสดงออกซึ่งการให้ความยินยอมด้วย (affirmative action, อารัมภบทข้อ 32 และ 42 ประกอบมาตรา 7(2))
ในประเด็นของการให้ความยินยอม เมื่อวันอังคาร ที่ 1 ตุลาคม 2562 ศาลยุติธรรมแห่งสหภาพยุโรปได้วินิจฉัยปัญหาข้อกฎหมายเบื้องต้นในคดี C-673/17 ตามที่ศาลยุติธรรมแห่งสหพันธ์สาธารณรัฐเยอรมนีขอให้วินิจฉัยในคดีพิพาทระหว่างสหพันธ์องค์กรผู้บริโภคเยอรมัน (The Federation of German Consumer Organisations, “สหพันธ์ฯ”) และบริษัท Planet49 ซึ่งเป็นผู้ให้บริการเกมออนไลน์ โดยสหพันธ์ฯ เห็นว่าการที่ Planet49 ขอความยินยอมให้ใช้คุกกี้บนเว็บไซต์ของตนเองโดยใช้ pre-ticked checkbox นั้นไม่ชอบด้วยกฎหมายคุ้มครองข้อมูลส่วนบุคคลตาม Directive 95/46 ซึ่งใช้บังคับอยู่ ณ ขณะนั้น (ก่อน GDPR ใช้บังคับ) แต่ในการพิจารณาข้อพิพาทดังกล่าว ศาลได้พิจารณา GDPR ประกอบด้วย เนื่องจาก Directive 95/46 นั้นได้ถูกยกเลิกแล้วโดย GDPR
ข้อพิพาทระหว่างสหพันธ์ฯ ในฐานะผู้ฟ้องคดีแทนผู้บริโภคและ Planet49 เกิดขึ้นเมื่อวันที่ 23 กันยายน 2556 เมื่อ Planet49 จัดให้มีการเสี่ยงโชคออนไลน์ในเว็บไซต์ของตนเอง โดยในการเสี่ยงโชคดังกล่าว ผู้ใช้บริการต้องกรอกข้อมูลส่วนบุคคลหลาย ๆ ประการ อาทิ รหัสไปรษณีย์ ชื่อ สุกล ฯลฯ โดยในส่วนการใช้คุกกี้ ทางเว็บไซต์ได้เลือกมาให้แล้วว่ายินยอมให้ใช้คุกกี้ได้ (pre-select tick)
คำวินิจฉัยของศาลยุติธรรมแห่งสหภาพยุโรปส่วนที่เกี่ยวกับ GDPR ศาลได้วางหลักการที่สำคัญไว้ดังนี้
(1) การให้ความยินยอมเพื่อประมวลผล เก็บ รวบรวมข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลนั้น GDPR มาตรา 4(11) กำหนดว่า ความยินยอมนั้นต้องเป็นความยินยอมโดยอิสระ ชัดเจน ได้รับแจ้งข้อมูลที่เพียงพอต่อการตัดสินใจ ไม่สร้างความสับสนหลงผิด และต้องมีการแสดงออกของการกระทำโดยชัดแจ้งว่ามีการให้ความยินยอม (active consent) โดยอารัมภบทข้อ 32 ให้คำอธิบายเพิ่มเติมว่า หากเป็นกรณีที่ได้เลือกมาให้แล้ว (pre-select tick) กรณีนี้จะถือไม่ได้ว่าได้มีการให้ความยินยอม (Silence, pre-ticked boxes or inactivity should not therefore constitute consent.)
(2) ข้อมูลที่ Planet49 ต้องให้แก่ผู้ใช้บริการโดยชัดแจ้งรวมถึงระยะเวลาที่คุกกี้จะถูกเก็บไว้และใช้ประโยชน์ด้วย และต้องแจ้งให้ทราบด้วยว่าจะมีการให้สิทธิบุคคลที่สามในการเข้าถึงคุกกี้หรือไม่
จากคดีข้างต้นที่นำมาเป็นกรณีศึกษาจะพบว่าหลักการสำคัญของการนำคุกกี้มาใช้หรือการกระทำใด ๆ ต่อข้อมูลส่วนบุคคลคือ การได้รับความยินยอมโดยชัดแจ้งตามเงื่อนไขที่กฎหมายกำหนด
จากข้อเท็จจริงข้างต้น เมื่อพิจารณาประกอบพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ อาจพิจารณาได้ดังนี้
(1) มาตรา 19 กำหนดว่า การขอความยินยอมต้องทำโดยชัดแจ้ง เป็นหนังสือหรือทำโดยผ่านระบบอิเล็กทรอนิกส์ เว้นแต่โดยสภาพไม่อาจขอความยินยอมด้วยวิธีการดังกล่าวได้ โดยในการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไปด้วย และการขอความยินยอมนั้นต้องแยกส่วนออกจากข้อความอื่นอย่างชัดเจน มีแบบหรือข้อความที่เข้าถึงได้ง่ายและเข้าใจได้ รวมทั้งใช้ภาษาที่อ่านง่าย และไม่เป็นการหลอกลวงหรือทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์ดังกล่าว และในการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลต้องคำนึงอย่างถึงที่สุดในความเป็นอิสระของเจ้าของข้อมูลส่วนบุคคลในการให้ความยินยอม ทั้งนี้ ในการเข้าทำสัญญาซึ่งรวมถึงการให้บริการใด ๆ ต้องไม่มีเงื่อนไขในการให้ความยินยอมเพื่อเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ไม่มีความจำเป็นหรือเกี่ยวข้องสำหรับการเข้าทำสัญญาซึ่งรวมถึงการให้บริการนั้น
จากมาตรา 19 จะเห็นว่ากฎหมายไทยบัญญัติหลักการขอความยินยอมไปในทิศทางเดียวกับ GDPR แม้อาจจะไม่ชัดเจนว่าจะใช้ลักษณะของ active consent ด้วยหรือไม่ก็ตาม
(2) ตามมาตรา 6 “ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ ซึ่งแม้ว่าในส่วนนี้กฎหมายไทยจะไม่ได้ระบุรายละเอียดมากนัก แต่หากตีความตามแนวทางของการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรปหรือของประเทศสหรัฐอเมริกา คุกกี้ก็น่าจะถือว่าเป็นข้อมูลส่วนบุคคลตามกฎหมายไทยได้เช่นกัน
ดังนั้น เจ้าของเว็บไซต์ต่าง ๆ ที่มีการใช้คุกกี้หรือระบบติดตามข้อมูลลูกค้าหรือผู้เข้าชมเว็บไซต์จึงต้องปรับตัวและดำเนินการให้ถูกต้องตามกฎหมาย ธุรกิจจะเล็กหรือจะใหญ่ ตอนนี้ต้องถือว่ากฎหมายใช้บังคับกับทุก ๆ ราย เว้นแต่จะมีพระราชกฤษฎีกายกเว้นให้
…
ศุภวัชร์ มาลานนท์
คณะนิติศาสตร์ มหาวิทยาลัยสงขลานครินทร์
Fulbright Hubert H. Humphrey Fellowship
American University Washington College of Law