การโฆษณาออนไลน์กับกฎหมายคุ้มครองข้อมูลส่วนบุคคล
ในปัจจุบัน ICO ยังไม่ได้มีการออกคำสั่งหรือกฎเกณฑ์หรือข้อแนะใด ๆ เพื่อกำกับดูแลในเรื่องการให้บริการการเผยแพร่โฆษณาแบบ RTB
Cap & Corp Forum
ปัจจุบันผู้อ่านหลายท่านคงจะได้เห็นหน้าต่าง pop–up ของหน้าเว็บไซต์ขึ้นมาขณะกำลังเข้าใช้งานเว็บไซต์เพื่อให้กดยอมรับหรือไม่ยอมรับคุกกี้ จริง ๆ แล้วตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลการกดยอมรับหรือไม่ยอมรับคุกกี้ก็คือการให้ความยินยอมประเภทหนึ่ง (consent) ในขณะที่หลายคนอาจไม่เคยสังเกตว่าการให้ความยินยอมในการจัดเก็บคุกกี้ของผู้ให้บริการส่วนมากอาจจะยังไม่มีการให้ข้อมูลที่ชัดเจน เพียงพอ และจัดให้เจ้าของข้อมูลส่วนบุคคลหรือผู้ใช้สามารถใช้สิทธิที่มีต่อข้อมูลส่วนบุคคลของตนได้ตามกฎหมาย
ประเด็นนี้เป็นที่กังวลอย่างยิ่งของหน่วยงานการคุ้มครองข้อมูลของประเทศอังกฤษ (UK Information Commissioner’s Office หรือ “ICO”) ว่าอุตสาหกรรมโฆษณาออนไลน์กำลังประมวลผลข้อมูลส่วนบุคคลของผู้ใช้งานอินเทอร์เน็ตอย่างผิดกฎหมาย และในขณะเดียวกัน ICO ก็ให้ข้อสรุปว่าการประมวลผลข้อมูลของผู้ใช้งานอินเทอร์เน็ตโดยโปรแกรมอัตโนมัติผ่านเทคโนโลยีการติดตามการใช้งาน (invasive tracking) เช่นคุกกี้ถือเป็นการละเมิดกฎหมายความเป็นส่วนตัวของสหราชอาณาจักรและสหภาพยุโรป
ในเรื่องการเก็บความยินยอมและการใช้เทคโนโลยีการติดตามการใช้งานในอุตสาหกรรมการโฆษณาออนไลน์โดยเฉพาะอย่างยิ่งในการทำโฆษณาที่เรียกว่า Real time bidding (RTB) ที่ใช้การประมวลผลข้อมูลการใช้งานอินเทอร์เน็ตของลูกค้าเพื่อทำให้ผู้ซื้อพื้นที่โฆษณาสามารถเผยแพร่โฆษณาได้อย่างตรงความต้องการของกลุ่มเป้าหมายมากขึ้น (targeted advertising) ยังเป็นเรื่องที่ขาดความเข้าใจและไม่มีแนวทางปฏิบัติที่เป็นไปตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลอย่างชัดเจนเพียงพอ โดย RTB นั้นอาจจะถูกฝังมากับคุกกี้ที่ลูกค้าหรือผู้ใช้บริการให้ความยินยอม ซึ่งตามกฎหมายของสหภาพยุโรป การใช้คุกกี้นั้นถูกควบคุมด้วยกฎหมาย 2 ฉบับ คือ ePrivacy Directive และ GDPR กล่าวคือ
1) การใช้งานคุกกี้ทุกประเภทต้องปฏิบัติตาม ePrivacy Directive
2) หากคุกกี้นั้นเป็น “ข้อมูลส่วนบุคคล” ตาม GDPR ด้วยกรณีนี้ก็ต้องใช้หลักเกณฑ์ตาม GDPR ประกอบกับ ePrivacy Directive
ในปัจจุบัน ICO ยังไม่ได้มีการออกคำสั่งหรือกฎเกณฑ์หรือข้อแนะใด ๆ เพื่อกำกับดูแลในเรื่องการให้บริการการเผยแพร่โฆษณาแบบ RTB แต่จากการสรุปความเห็นในทางกฎหมายต่าง ๆ ICO เห็นว่าแนวทางปฏิบัติในการให้บริการเผยแพร่โฆษณาควรต้องมีการปรับตัวเพื่อไม่ให้เกิดการละเมิดความเป็นส่วนตัวซึ่งถือเป็นสิทธิและเสรีภาพขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคลทุกคน
ในวันนี้ผู้เขียนจะขอนำข้อสรุปและความเห็นต่าง ๆ ที่ชี้ให้เห็นถึงความบกพร่องของการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลและการคุ้มครองความเป็นส่วนตัวของผู้บริโภคจากการใช้เทคโนโลยี RTB และ Targeted advertising เพื่อเป็นกรณีศึกษาว่าในการเก็บความยินยอมหรือออกแบบเว็บไซต์ที่อาจมีความจำเป็นต้องทำการโฆษณาควรจะมีแนวทางอย่างไรเพื่อให้หน้าเว็บไซต์ประมวลผลข้อมูลของผู้ใช้งานได้โดยชอบโดยกฎหมาย
1) ผู้ให้บริการส่วนใหญ่ดำเนินการประมวลผลข้อมูลโดยเชื่อว่าการประมวลผลข้อมูลส่วนบุคคลของตนสามารถทำได้บนฐานเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้รับบริการแทนที่จะประมวลผลข้อมูลโดยขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลตามฐานความยินยอม
2) ในกรณีข้อมูลละเอียดอ่อน (sensitive data) เช่นข้อมูลเกี่ยวกับเพศ สุขภาพ และความคิดเห็นทางการเมือง ผู้ให้บริการส่วนใหญ่พยายามหลบเลี่ยงและไม่แจ้งแก่เจ้าของข้อมูลอย่างชัดเจนตรงไปตรงมา (explicit consent) ว่าจะประมวลผลข้อมูลเหล่านี้ ในขณะที่กฎหมายให้ความคุ้มครองในการใช้ข้อมูลเหล่านี้เป็นพิเศษเนื่องจากการประมวลผลข้อมูลเหล่านี้มีความเสี่ยงสูงที่จะกระทบต่อความปลอดภัยและสิทธิเสรีภาพของเจ้าของข้อมูล
3) บ่อยครั้งผู้ให้บริการจะอ้างว่าการประมวลผลข้อมูลส่วนบุคคลของตนเป็นไปเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ใช้บริการแต่ก็ไม่สามารถพิสูจน์ให้เห็นได้ว่าเป็นไปเพื่อประโยชน์โดยชอบด้วยกฎหมาย อีกทั้งยังไม่มีการจัดให้มีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสมอีกด้วย
4) ผู้ให้บริการส่วนใหญ่ขาดความตระหนักและความเข้าใจเรื่องการจัดทำการประเมินผลกระทบด้านความคุ้มครองข้อมูลส่วนบุคคล (DPIA) ดังนั้น ICO จึงไม่มีความเชื่อมั่นว่าความเสี่ยงต่าง ๆ ที่อาจมีขึ้นจาก RTB จะได้รับการประเมินและกำหนดมาตรการการลดความเสี่ยงอย่างเพียงพอ
5) ข้อมูลความเป็นส่วนตัวที่แจ้งแก่ผู้ใช้บริการมักขาดความชัดเจนและมีความซับซ้อนมากเกินไปขัดต่อหลักความโปร่งใส ความเป็นธรรมในการประมวลผลข้อมูลส่วนบุคคล (transparency and fairness)
6) ข้อมูลต่าง ๆ ที่ถูกสร้างขึ้นผ่านการใช้งานของผู้ใช้บริการถูกเผยแพร่และทำซ้ำในหลายองค์กรโดยปราศจากความรับรู้ของเจ้าของข้อมูลนั้น ๆ อย่างสิ้นเชิง
7) หลายบริษัทกำลังประมวลผลข้อมูลส่วนบุคคลและคำเสนอซื้อ RTB ร่วมกันโดยไม่มีการจัดให้มีมาตรการทางเทคนิคในการประมวลผลและถ่ายโอนข้อมูลอย่างปลอดภัยและสอดคล้องกัน
8) ผู้ให้บริการส่วนใหญ่ล้มเหลวในการปฏิบัติตามหลักความจำเป็น หลักความได้สัดส่วนและระยะเวลาการจัดเก็บข้อมูลส่วนบุคคล (minimization, proportionate & data retention) ซึ่งถือเป็นหัวใจของกฎหมายคุ้มครองข้อมูลส่วนบุคคล
9) RTB เป็นระบบนิเวศที่ไม่สามารถให้การรับประกันความมั่นคงปลอดภัยต่อข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลได้
ทั้ง 9 ข้อดังกล่าวเป็นข้อสังเกตจาก ICO ต่อการใช้เทคโนโลยีที่เกี่ยวเนื่องกับการประมวลผลข้อมูลส่วนบุคคลเพื่อประโยชน์ด้านการตลาดแบบตรง ซึ่งในเบื้องต้นอาจทำผ่านระบบคุกกี้ที่มีการเก็บรวบรวมข้อมูลส่วนบุคคลของผู้ใช้งานโดยตรง หรือการได้รับมาจากช่องทางอื่น ๆ อาทิ บริษัทที่ขายหรือวิเคราะห์ข้อมูลด้านการตลาด เป็นต้น
สำหรับประเทศไทย ผู้เขียนเห็นว่าไม่มีกฎหมายที่อาจเทียบเคียงได้กับ ePrivacy Directive ของสหภาพยุโรป (ePrivacy Directive อยู่ระหว่างการแก้ไขเพื่อให้สอดคล้องกับ GDPR) แต่หากการใช้ “คุกกี้” ที่เป็นข้อมูลส่วนบุคคล (คุกกี้มีทั้งที่เป็นข้อมูลส่วนบุคคลหรืออาจจะไม่เป็นข้อมูลส่วนบุคคลก็ได้) พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 32(2) กำหนดว่าเจ้าของข้อมูลส่วนบุคคลมีสิทธิคัดค้านการเก็บรวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับตนเมื่อใดก็ได้ หากการดำเนินการดังกล่าวมีเพื่อวัตถุประสงค์เกี่ยวกับการตลาดแบบตรง
…
ศุภวัชร์ มาลานนท์
คณะนิติศาสตร์ มหาวิทยาลัยสงขลานครินทร์
Max Planck Institute Luxembourg
ชิโนภาส อุดมผล
Optimum Solution Defined (OSDCo., Ltd.)