การประมวลผลข้อมูลส่วนบุคคลของผู้เยาว์

Cap & Corp Forum

การเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล (“การประมวลผลข้อมูลส่วนบุคคล”) ของผู้เยาว์ เป็นอีกประเด็นหนึ่งที่น่าสนใจ และมีความยุ่งยากหลายประการ อย่างไรก็ตามทั้ง GDPR ของสหภาพยุโรป และพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ของไทย ได้กล่าวถึงการประมวลผลข้อมูลส่วนบุคคลของผู้เยาว์ไว้เพียงเล็กน้อยเท่านั้น แต่ในความเป็นจริงการดำเนินการใด ๆ ต่อผู้เยาว์นั้นเป็นที่ยอมรับกันว่าผู้เยาว์ต้องได้รับการคุ้มครองเป็นพิเศษ หรือมากกว่าบุคคลที่บรรลุนิติภาวะแล้ว ซึ่งเกณฑ์ความเป็นผู้เยาว์ในแต่ละประเทศก็จะมีความแตกต่างกันตามที่กฎหมายกำหนด

ประเด็นปัญหาในเรื่องการประมวลผลข้อมูลส่วนบุคคลของผู้เยาว์นั้นมีอยู่หลายประการ โดยเฉพาะสำหรับการให้บริการต่าง ๆ ในโลกเสมือนจริง ที่จำเป็นต้องมีระบบการยืนยันอายุ (age verification) และการให้ความยินยอมโดยผู้ปกครอง (parental consent) ซึ่งผู้ให้บริการจำเป็นต้องปฏิบัติตามกฎหมายอย่างเคร่งครัด เพื่อคุ้มครองผู้เยาว์จากการถูกละเมิดความเป็นส่วนตัว

ในบทความนี้ผู้เขียนจึงขอนำข้อแนะนำต่อการประมวลผลข้อมูลส่วนบุคคลของผู้เยาว์โดยกรรมการคุ้มครองข้อมูลส่วนบุคคลของประเทศไอร์แลนด์ (Data Protection Commission of Ireland, “DPC”) มาเล่าสู่กันฟัง เพื่อเป็นแนวทางในการปฏิบัติของผู้เกี่ยวข้อง (ในขณะที่เมืองไทยเองยังไม่มีอนุบัญญัติในเรื่องดังกล่าว) ซึ่ง DPC ถือเป็นหน่วยงานหนึ่งที่มีการบังคับใช้ GDPR อย่างเป็นรูปธรรมมากที่สุดองค์กรหนึ่ง เนื่องจากมีสถานะเป็น Lead Supervisory Authority ในการดำเนินคดีกับบริษัทเทคโนโลยีชั้นนำของโลก อาทิ Twitter และ Facebook และรวมถึงบริษัทอื่น ๆ อาทิ Google, Apple หรือ Amazon เพราะบริษัทเหล่านี้ถือว่ามีสำนักงานที่ตั้งในสหภาพยุโรปอยู่ที่ประเทศไอร์แลนด์

โดยเมื่อเดือนธันวาคม 2563 ที่ผ่านมา DPC ได้นำเสนอหลักการเบื้องต้นเรื่อง “The Fundamentals for a Child-Oriented Approach to Data Processing” เพื่อรับฟังความเห็นสาธารณะจากผู้มีส่วนได้เสียเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลของผู้เยาว์ (draft version for public consultation) โดย DPC ได้วางหลักการตีความและให้คำแนะนำมาตรการการประมวลผลข้อมูลส่วนบุคคลของผู้เยาว์ เพื่อเป็นการเพิ่มมาตรฐานในการประมวลผลข้อมูลส่วนบุคคลของผู้เยาว์ ทั้งนี้เพื่อลดความเสี่ยงที่อาจเกิดขึ้นต่อผู้เยาว์ในการเข้าถึงหรือรับบริการจากทั้งช่องทางออนไลน์และออฟไลน์ โดย DPC ได้นำเสนอหลักการไว้ทั้งหมด 14 ข้อดังต่อไปนี้

1) เกณฑ์พื้นฐานขั้นต่ำในการคุ้มครอง ผู้ให้บริการควรจะกำหนดเกณฑ์พื้นฐานในการคุ้มครองผู้ใช้บริการทุกคนในขั้นสูงสุด เว้นแต่จะจัดให้มีระบบยืนยันอายุของผู้ใช้บริการ (verifying age)

2) ความยินยอมโดยชัดแจ้ง การให้ความยินยอมของผู้เยาว์ต้องทำโดยอิสระ มีวัตถุประสงค์ที่เฉพาะเจาะจง แจ้งรายละเอียดในการประมวลผลอย่างชัดเจนและไม่คลุมเครือ

3) ปราศจากการแทรกแซง ในกรณีประมวลผลข้อมูลส่วนบุคคลของผู้เยาว์ โดยอาศัยฐานเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้เยาว์ ควรมีการประเมินและทำให้มั่นใจว่าการประมวลผลข้อมูลนั้นจะไม่สร้างผลกระทบในเชิงลบด้านอื่น ๆ แก่ผู้เยาว์

4) ระบุตัวตนของผู้ใช้บริการได้ ผู้ให้บริการควรดำเนินการระบุตัวตนของผู้ใช้บริการ เพื่อให้สามารถทำให้แน่ใจได้ว่าเนื้อหาหรือการใช้งานของการให้บริการแต่ละประเภทเหมาะสมกับผู้ใช้บริการที่เป็นผู้เยาว์

5) ให้ข้อมูลแก่ผู้เยาว์ในทุกที่ ผู้เยาว์ควรมีสิทธิได้รับข้อมูลเกี่ยวกับการประมวลผลขอมูลส่วนบุคคลของตน โดยไม่ต้องคำนึงว่าการประมวลผลข้อมูลส่วนบุคคลของผู้เยาว์นั้นกระทำโดยอาศัยฐานความชอบด้วยกฎหมายฐานใด และแม้ว่าการให้ความยินยอมของผู้เยาว์จะกระทำโดยผู้ปกครองก็ตาม

6) โปร่งใสและเข้าใจง่ายสำหรับผู้เยาว์ ข้อมูลความเป็นส่วนตัวเกี่ยวกับวิธีการใช้ข้อมูลส่วนบุคคลของผู้เยาว์ต้องได้รับการจัดเตรียมให้มีเนื้อหาที่กระชับ เข้าใจง่าย ใช้ภาษาที่ชัดเจน เรียบเรียงให้เข้าใจง่าย เหมาะสมกับการทำความเข้าใจกับแต่ละช่วงวัยของผู้เยาว์

7) ผู้เยาว์ต้องสามารถใช้สิทธิในฐานะเจ้าของข้อมูลส่วนบุคคลได้ ผู้ให้บริการควรตระหนักเสมอว่าผู้เยาว์ไม่ว่าช่วงวัยใดก็ตาม ล้วนมีสิทธิในข้อมูลส่วนบุคคลของเขาตลอดเวลา

8) การให้ความยินยอมไม่เปลี่ยนแปลงสถานะความเป็นผู้เยาว์ ไม่ว่าการได้รับความยินยอมจากตัวของผู้เยาว์หรือผู้ปกครอง ไม่ควรเป็นเหตุให้ปฏิบัติต่อผู้เยาว์ในเรื่องนั้น ๆ เสมือนว่าผู้เยาว์เป็นบุคคลที่บรรลุนิติภาวะแล้ว

9) ความรับผิดชอบของเจ้าของแพลตฟอร์ม กรณีผู้ให้บริการแพลตฟอร์มที่ได้รับผลประโยชน์หรือประโยชน์ทางเศรษฐกิจจากการใช้งานของผู้รับบริการ DPC ตั้งความคาดหวังไว้ว่าผู้ให้บริการควรรับภาระในการจัดทำมาตรการในการระบุตัวตนของผู้ใช้งาน และการยืนยันตัวตนของทั้งผู้เยาว์ และโดยเฉพาะอย่างยิ่งในกรณีที่ผู้ปกครองต้องให้ความยินยอมแทนผู้เยาว์

10) ไม่ตัดหรือลดการให้บริการแก่ผู้เยาว์ ผู้ให้บริการต้องไม่ทำการยกเลิกการให้บริการแก่ผู้เยาว์ หรือลดฟังก์ชันการใช้งานที่ผู้เยาว์ควรจะได้รับลง เพื่อเป็นการตัดภาระในเรื่องความรับผิดชอบต่อการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

11) การกำหนดอายุขั้นต่ำไม่ใช่ข้อยกเว้น การกำหนดอายุขั้นต่ำในการเข้าใช้บริการเว็บไซต์หรือแพลตฟอร์มไม่ใช่ข้อยกเว้นที่จะทำให้ผู้ให้บริการไม่ต้องดำเนินการต่าง ๆ ตามข้อกำหนดของกฎหมายคุ้มครองข้อมูลส่วนบุคคลในเรื่องของผู้เยาว์

12) ไม่ควรใช้การประมวลผลข้อมูลอัตโนมัติ ข้อแนะนำกำหนดว่าผู้ให้บริการไม่ควรใช้ระบบอัตโนมัติในการประมวลผลข้อมูลส่วนบุคคลของผู้เยาว์ รวมถึงไม่ควรใช้ข้อมูลของผู้เยาว์เพื่อวัตถุประสงค์ทางการตลาดและการโฆษณา เนื่องจากผู้เยาว์มีความอ่อนไหวและเสี่ยงต่อการถูกชี้นำทางพฤติกรรม

13) จัดทำการประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล ผู้ให้บริการต้องจัดทำการประเมินผลกระทบเพื่อลดความเสี่ยงที่อาจจะเกิดขึ้นต่อตัวผู้เยาว์จากการประมวลผลข้อมูลส่วนบุคคล โดยการจัดทำการประเมินดังกล่าวต้องถือหลักเพื่อประโยชน์สูงสุดแก่ตัวผู้เยาว์ (principle of the best interest of child) และในกรณีที่มีความขัดกันระหว่างผลประโยชน์ทางเศรษฐกิจขององค์กรกับผลประโยชน์ของผู้เยาว์ ผู้ให้บริการต้องเลือกที่จะคุ้มครองผลประโยชน์ของผู้เยาว์เป็นลำดับแรกเสมอ

14) การออกแบบระบบในเบื้องต้นด้วยมาตรการดีที่สุด ผู้ให้บริการที่มีการประมวลผลข้อมูลของผู้เยาว์อย่างสม่ำเสมอควรออกแบบระบบของตนให้มีค่าเริ่มต้นในการปกป้องข้อมูลระดับสูงและสำหรับผู้เยาว์โดยเฉพาะ

ทั้งนี้ DPC ยังได้ตั้งข้อสังเกตไว้อีกว่าการปฏิบัติตามคำแนะนำดังกล่าวข้างต้น จะช่วยสร้างสภาพแวดล้อมออนไลน์ที่ปลอดภัย เหมาะสม และเคารพความเป็นส่วนตัวของผู้เยาว์ ทำให้ผู้เยาว์ได้เรียนรู้ เล่น และโต้ตอบได้อย่างสร้างสรรค์มากขึ้นกว่าที่เป็นอยู่ในปัจจุบัน อีกประการหนึ่ง ถึงแม้ว่าการจัดทำระบบเฉพาะสำหรับผู้เยาว์จะมีภาระทางด้านต้นทุนเพิ่ม แต่จากการศึกษาก็พบว่าทุก ๆ 1 ใน 3 ของผู้ใช้บริการที่เป็นผู้เยาว์จะเป็นตัวแทนของตลาดผู้ใหญ่ในอนาคต ดังนั้นการลงทุนออกแบบระบบของการประมวลผลข้อมูลของผู้เยาว์จึงไม่ใช่เรื่องสูญเปล่า เพราะนอกจากจะช่วยลดความเสี่ยงเพื่อให้ผู้ให้บริการไม่กระทำผิดกฎหมายแล้ว ยังเป็นการสร้างความสัมพันธ์ที่ดีกับผู้ใช้บริการที่อาจจะเป็นตัวแทนตลาดผู้ใหญ่ในระยะยาวอีกด้วย

…

ศุภวัชร์ มาลานนท์

คณะนิติศาสตร์ มหาวิทยาลัยสงขลานครินทร์

Max Planck Institute Luxembourg

ชิโนภาส อุดมผล

Optimum Solution Defined (OSDCo., Ltd.)