FTC v. Facebook

Cap & Corp Forum

เมื่อวันที่ 24 กรกฎาคม 2562 คณะกรรมาธิการการค้าแห่งสหพันธรัฐ (Federal Trade Commission, “FTC”) ร่วมกับกระทรวงยุติธรรมสหรัฐ (United States Department of Justice, “DOJ”) ร่วมกันแถลงข่าวเกี่ยวกับข้อตกลงยุติการดำเนินคดีกับ Facebook, Inc. ในความผิดฐานละเมิดข้อตกลงการคุ้มครองข้อมูลส่วนบุคคลของผู้ใช้บริการ facebook โดย facebook ยินยอมชำระค่าปรับเป็นเงินจำนวน 5 พันล้านเหรียญดอลลาร์สหรัฐแลกกับการยุติการดำเนินคดีดังกล่าว  จำนวนเงินค่าปรับดังกล่าวถือว่าสูงที่สุดที่ FTC เคยกำหนดนับตั้งแต่ FTC มีการบังคับใช้มาตรการในเรื่องการคุ้มครองข้อมูลส่วนบุคคล (information privacy) และมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล (data security) และถือว่าสูงที่สุดครั้งหนึ่งที่รัฐบาลสหรัฐเคยกำหนดค่าปรับอันเนื่องมาจากการฝ่าฝืนกฎหมาย

การสอบสวนของ FTC ต่อการละเมิดข้อตกลงการคุ้มครองข้อมูลส่วนบุคคลของผู้ใช้บริการของ facebook สืบเนื่องมากจากการที่ facebook ไม่ปฏิบัติตามข้อตกลงที่ได้ทำไว้กับ FTC ตั้งแต่วันที่ 27 กรกฎาคม 2555 (IN THE MATTER OF FACEBOOK, INC. 2012 WL 3518628, FTC July 27, 2012) ซึ่งในข้อตกลงยุติการดำเนินคดีกับ facebook ในครั้งนั้น facebook ตกลงที่จะดำเนินการต่าง ๆ เพื่อให้ได้รับความยินยอมโดยชัดแจ้งจากผู้ใช้บริการ (express consent) ก่อนที่จะให้หรือยินยอมให้มีการใช้ข้อมูลส่วนบุคคลของผู้ใช้บริการของ facebook ต่อบุคคลที่สาม อีกทั้งต้องจัดให้มีมาตรการที่ครอบคลุมนโยบายข้อมูลส่วนบุคคลที่เหมาะสมต่อการคุ้มครองผู้บริโภค และต้องจัดให้มีการประเมินและวิเคราะห์นโยบายข้อมูลส่วนบุคคลนั้นจากบุคคลภายนอกอีกด้วย

ข้อมูลการสืบสวนของ FTC พบว่ามีผู้ใช้ facebook ในประเทศสหรัฐอเมริกาและแคนาดากว่า 185 ล้านคนต่อวัน โดย facebook มีรายได้จากการจัดการข้อมูลส่วนบุคลของผู้ใช้บริการผ่านกลไกการตลาดแบบเจาะจงกลุ่มเป้าหมาย (targeted advertising) เฉพาะในปี 2561 facebook มีรายได้จากการทำธุรกิจดังกล่าวสูงถึง 55.8 พันล้านเหรียญดอลลาร์สหรัฐ และเพื่อเป็นการส่งเสริมให้เกิดความเชื่อมั่นของผู้ใช้บริการในการเปิดเผยข้อมูลส่วนบุคคลในลักษณะต่าง ๆ facebook ได้ให้คำมั่นสัญญาต่อผู้บริโภคว่าทุกคนสามารถควบคุมข้อมูลส่วนบุคคลของตนเองได้ผ่านการตั้งค่าที่ต้องการ

แต่จากการสืบสวนของ FTC กลับพบว่าข้อตกลงฉบับลงวันที่ 27 กรกฎาคม 2555 ไม่ได้รับการปฏิบัติและปรากฏข้อมูลชัดแจ้งว่า facebook ยินยอมให้บุคคลอื่นเข้าถึงข้อมูลส่วนบุคคลของผู้ใช้บริการโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลแต่อย่างใด ซึ่งขัดแย้งกับนโยบายข้อมูลส่วนบุคคลที่ facebook แจ้งต่อผู้ใช้บริการ (deceptive practice) ทำให้ผู้ใช้บริการถูกจำกัดสิทธิที่จะเลือกและสิทธิที่จะพิจารณาอนุญาตให้บุคคลอื่นเข้าถึงข้อมูลของตนเองหรือไม่

ผลของการละเมิดข้อตกลงฉบับลงวันที่ 27 กรกฎาคม 2555 และนโยบายข้อมูลทำให้ FTC และ DOJ ใช้อำนาจตามกฎหมายในการฟ้องคดีเพื่อเรียกค่าเสียหายและกำหนดมาตรการเยียวยาความเสียหาย เนื่องจากตามกฎหมายในกรณีนี้ FTC ไม่มีอำนาจกำหนดค่าปรับทางปกครองหรือเปรียบเทียบปรับเหมือนอย่างหน่วยงานทางปกครองของไทยหรือในสหภาพยุโรป และ FTC ก็ไม่มีอำนาจในการฟ้องจึงต้องให้ DOJ โดยอัยการแห่งรัฐเป็นโจทก์ในการฟ้องคดีให้ และเป็นที่น่าสังเกตว่าว่าคดีนี้ facebook ตกลงยุติคดีโดยไม่มีการต่อสู้คดีในชั้นศาล แต่ยินยอมที่จะชำระค่าปรับ (civil penalty) และปฏิบัติตามเงื่อนไขข้อตกลงตามที่ FTC กำหนด ซึ่งในการตัดสินใจที่จะยุติคดีหรือต่อสู้คดี (trial) facebook ย่อมพิจารณาถึงโอกาสในการแพ้หรือชนะคดีแล้ว

ส่วนหนึ่งของข้อตกลงการยุติคดี นอกจากการชำระค่าปรับจำนวน 5 พันล้านเหรียญดอลลาร์สหรัฐแล้ว facebook ยังต้องดำเนินการปรับเปลี่ยนมาตรการและนโยบายด้านข้อมูลส่วนบุคคลอีกหลายประการ โดยเฉพาะในระดับโครงสร้างองค์กร กล่าวคือ ต้องจัดให้มี  “Independent Privacy Committee” ที่ไม่อยู่ภายใต้การกำกับหรือควบคุมบังคับบัญชาโดยทางใด ๆ จาก CEO ของบริษัท แต่ให้อยู่ภายใต้การกำกับของคณะกรรมการบริษัท และต้องจัดให้มี Compliance Officers ซึ่งเป็นเจ้าหน้าที่เฉพาะที่เป็นอิสระเข้ามาทำหน้าที่ในการติดตามสอดส่องและดำเนินการให้มีการบังคับใช้มาตรการในเรื่องการคุ้มครองข้อมูลส่วนบุคคลและมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลอย่างเหมาะสมอีกด้วย (ดูแผนภาพประกอบ) ซึ่งมาตรการต่าง ๆ เหล่านี้ยังครอบคลุมถึง WhatsApp และ Instagram อีกด้วย

นอกจากนี้ FTC ยังกำหนดเงื่อนไขที่สำคัญอีกหลายประการที่ facebook ต้องปฏิบัติ อาทิ

1. facebook ต้องคอยสอดส่องดูแลมิให้ Third-party apps เป็นผู้ละเมิดนโยบายข้อมูลส่วนบุคคลของ facebook หรือเข้าถึงข้อมูลส่วนบุคคลของผู้ใช้บริการ facebook โดยที่ผู้ใช้บริการเหล่านั้นมิได้ให้ความยินยอมโดยชัดแจ้ง
2. ห้ามมิให้นำหมายเลขโทรศัพท์ที่ได้มาจากระบบการยืนยันตัวตนสองขั้นตอน (two-factor authentication) ที่ได้มาจากผู้ใช้บริการไปใช้ในการโฆษณา
3. ระบบในการขอความยินยอมเพื่อใช้เทคโนโลยีจดจำใบหน้า (facial recognition) และการเผยแพร่หรือใช้ต่อซึ่งข้อมูลที่มีการเผยแพร่จากเทคโนโลยีนั้น

ข้อสังเกตต่อการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลของ FTC

FTC เป็นหน่วยงานที่จัดตั้งขึ้นเมื่อปี 2457 หรือประมาณ 105 ปีที่แล้ว ในครั้งนั้นยังไม่มีระบบคอมพิวเตอร์ส่วนบุคคล ไม่มีกฎหมายหรือแนวคิดที่เป็นรูปธรรมเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลในแบบที่เข้าใจกันในปัจจุบัน และปัจจุบันประเทศสหรัฐอเมริกาก็ยังไม่มีกฎหมายกลางที่ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลโดยเฉพาะ คงมีแต่กฎหมายเพื่อคุ้มครองข้อมูลส่วนบุคคลในกิจการบางสาขา อาทิ ในธุรกิจสุขภาพ หรือกิจการธนาคารพาณิชย์ เป็นต้น แต่ไม่มี Federal Information Privacy Act หรือ GDPR เหมือนในสหภาพยุโรป เป็นต้น นอกจากนั้น ก็อาจเป็นกฎหมายที่เป็นของมลรัฐ โดยที่สำคัญและมีบทบาทมาก ๆ คือกฎหมายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลของรัฐแคลิฟอร์เนีย

ในเมื่อไม่มีกฎหมายเฉพาะ คำถามคือ FTC ในฐานะหน่วยงานของรัฐบาลกลางใช้อำนาจอะไรในการกำกับควบคุมบริษัทชั้นนำด้านเทคโนโลยีทั้งหลาย คำตอบคือ FTC ใช้กฎหมายคุ้มครองผู้บริโภคที่ FTC มี เป็นกฎหมายพื้นฐาน ง่าย ๆ สองประการในการคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค กล่าวคือ “การหลอกลวง” (Deception) และ “ความไม่เป็นธรรม” (Unfairness) เป็นความพยายามในการวิวัฒน์กฎหมายให้สอดคล้องกับบริบทของสังคม.

…

ศุภวัชร์ มาลานนท์

คณะนิติศาสตร์ มหาวิทยาลัยสงขลานครินทร์

Fulbright Hubert H. Humphrey Fellowship

American University Washington College of Law