ความรับผิดจากคุกกี้ของ Google และ Amazon

สิทธิของพลเมืองจะมีคุณค่าและได้รับความเคารพ จำเป็นต้องมีปัจจัยหลายประการประกอบกัน การสร้างความตระหนักรู้ที่ถูกต้องแก่ทุกภาคส่วนจึงเป็นเรื่องที่สำคัญที่สุด

Cap & Corp Forum

เมื่อวันที่ 10 ธันวาคม 2563 ที่ผ่านมา คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลของประเทศฝรั่งเศส (Commission Nationale de l’Informatique et des Libertés, “CNIL”) ได้เผยแพร่คำสั่งปรับทางปกครอง Google และ Amazon สองบริษัทยักษ์ใหญ่ด้านเทคโนโลยีของโลกเป็นเงิน 100 ล้านยูโร และ 35 ล้านยูโร ตามลำดับ

อันเนื่องมาจากการเก็บรวบรวมข้อมูลเกี่ยวกับผู้เยี่ยมชมเว็บไซต์อย่างไม่เหมาะสมและไม่เป็นไปตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลที่เกี่ยวข้องกับธุรกรรมทางอิเล็กทรอนิกส์ของสหภาพยุโรป (ePrivacy Directive) GDPR และกฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศฝรั่งเศส ซึ่งคำวินิจฉัยดังกล่าวของ CNIL ยังไม่เป็นที่สุด โดยคู่กรณีสามารถอุทธรณ์เพื่อขอให้ Council of State ซึ่งทำหน้าที่เป็นศาลปกครองสูงสุดของประเทศฝรั่งเศสทบทวนคำสั่งดังกล่าวได้ภายในสี่เดือนนับแต่วันที่ได้รับทราบคำวินิจฉัย

ผู้บริหารของ Google และ Amazon ต่างแสดงความไม่เห็นด้วยกับคำสั่งดังกล่าว เนื่องจากทั้งสองบริษัทได้ปรับปรุงเงื่อนไขการขอความยินยอม (consent) สำหรับการใช้คุกกี้ (cookies) ในเว็บไซต์ของบริษัทแล้ว (google.fr และ amazon.fr) แต่ CNIL เห็นว่าความยินยอมที่บริษัทกล่าวอ้างนั้นไม่เป็นไปตามเงื่อนไขของกฎหมาย เนื่องจากไม่มีความชัดเจนเพียงพอที่จะให้ผู้ใช้บริการทราบวัตถุประสงค์ของการใช้คุกกี้เพื่อเก็บรวบรวมข้อมูลเกี่ยวกับผู้เยี่ยมชมเว็บไซต์ โดยเฉพาะเมื่อบริษัทมีวัตถุประสงค์ด้านการตลาดจากการเก็บข้อมูลเหล่านั้น

นอกจากจำนวนค่าปรับดังกล่าว CNIL ยังกำหนดให้ทั้งสองบริษัทดำเนินการ ดังนี้

1) แจ้งผู้ที่เกี่ยวข้องล่วงหน้าอย่างชัดเจนและครบถ้วนเกี่ยวกับการใช้คุกกี้ ตัวอย่างเช่นบนแบนเนอร์ข้อมูลในหน้าแรกของไซต์ (ดูภาพตัวอย่างจาก google.fr)

2) แจ้งวัตถุประสงค์การใช้คุกกี้ทั้งหมดภายใต้การได้รับความยินยอมจากผู้เข้าใช้บริการ

3) วิธีการในการปฏิเสธและไม่ให้ความยินยอม

4) มีคำสั่งปรับรายวันอีกวันละ 100,000 ยูโรต่อวัน หากมีความล่าช้าของการไม่ปฏิบัติตามคำสั่งข้างต้น

ค่าปรับจำนวน 100 ล้านยูโรและ 35 ล้านยูโรนั้น มีฐานการคำนวณจากผลประกอบการในปีที่ผ่านมาของแต่ละบริษัทที่เกี่ยวข้องกับการกระทำความผิด ซึ่งตามกฎหมายของฝรั่งเศสกำหนดไว้ในอัตราสูงสุดไม่เกินร้อยละ 2 ของผลประกอบการในปีที่ผ่านมา โดยในการกำหนดค่าปรับ CNIL ต้องคำนึงถึงความได้สัดส่วนของการกระทำผิด ความร้ายแรง จำนวนผู้ได้รับผลกระทบ ความสามารถทางการเงินของผู้กระทำผิด และเพื่อให้มาตรการลงโทษปรับทางปกครองมีผลเป็นการยับยั้งการกระทำผิดได้

แม้คดีดังกล่าวจะยังไม่เป็นที่สุด แต่การถูกปรับส่งท้ายปีครั้งนี้ก็เป็นอีกครั้งที่แสดงให้เห็นถึงความมีประสิทธิภาพของระบบการบังคับใช้กฎหมายของหน่วยงานด้านการคุ้มครองข้อมูลส่วนบุคคลของประเทศต่าง ๆ ในสหภาพยุโรปที่ใช้กฎหมายเป็นเครื่องมือในการกำกับพฤติกรรมทางธุรกิจของบริษัทต่าง ๆ ให้สอดคล้องกับมาตรฐานด้าน “การคุ้มครองสิทธิและเสรีภาพขั้นพื้นฐานของพลเมือง” GDPR จึงเป็นกฎหมายที่มีความสำคัญและบริษัทต่าง ๆ พร้อมที่จะปฏิบัติตามอย่างเคร่งครัด และเป็นการสร้างมาตรฐานด้านการคุ้มครองสิทธิขั้นพื้นฐานในความเป็นส่วนตัวของข้อมูลส่วนบุคคลให้เป็นวาระสำคัญในทุก ๆ ประเทศ

ในขณะที่ประเทศไทย พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้ถูกเลื่อนการใช้บังคับไปเป็นวันที่ 1 มิถุนายน 2564 และก็ยังไม่มีแนวโน้มว่าเมื่อถึงวันดังกล่าว หน่วยงานบังคับใช้กฎหมายและผู้ประกอบการจะมีความพร้อมหรือไม่ และดูเหมือนว่าทิศทางความเข้าใจต่อกฎหมายคุ้มครองข้อมูลส่วนบุคคลของไทยอาจจะกลายเป็นเพียง Checklist หรือ Business Compliance สำหรับภาคธุรกิจเท่านั้น

ซึ่งหากความเข้าใจต่อกฎหมายเป็นไปในทิศทางดังกล่าวจริง ก็อาจถือได้ว่าเป็นการลดคุณค่าของกฎหมายคุ้มครองข้อมูลส่วนบุคคลไปอย่างมีนัยสำคัญ เพราะหากย้อนกลับไปดูที่ GDPR ที่เป็นต้นแบบในการตราพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ขึ้นใช้บังคับ จะพบว่าหัวใจและหลักการสำคัญที่สุดของ GDPR ตามที่บัญญัติไว้ในอารัมภบทแรกของ GDPR คือ “การคุ้มครองการประมวลผลข้อมูลส่วนบุคคลถือเป็นสิทธิขั้นพื้นฐานของพลเมือง”

สิทธิของพลเมืองดังกล่าวจะมีคุณค่าและได้รับความเคารพ จำเป็นต้องมีปัจจัยหลายประการประกอบกัน การสร้างความตระหนักรู้ที่ถูกต้องแก่ทุกภาคส่วนจึงเป็นเรื่องที่สำคัญที่สุด ไม่ใช่แต่เพียงภาคธุรกิจ แต่รวมถึงหน่วยงานต่าง ๆ ของรัฐที่ทำหน้าที่ประมวลผลข้อมูลส่วนบุคคลด้วย ซึ่งคงไม่เป็นการเกินจริงหากจะกล่าวว่าในปัจจุบันหน่วยงานของรัฐเองยังไม่ได้ตระหนักถึงการบังคับใช้ของพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ เท่าที่ควร หรืออาจไม่รู้ด้วยซ้ำว่าเป็นเรื่องที่เกี่ยวกับองค์กรของตัวเอง

ประการสำคัญ หน่วยงานบังคับใช้กฎหมายซึ่งได้แก่ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลและสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล มีหน้าที่ต้องดำเนินการอย่างจริงจังเพื่อให้กฎหมายถูกใช้เป็นเครื่องมือในการปกป้องสิทธิของพลเมืองตามที่กฎหมายกำหนด และไม่ใช่เพียงแต่มีหน้าที่รับเรื่องราวร้องเรียนเท่านั้น แต่ต้องกำกับสอดส่องพฤติกรรมการกระทำความผิดด้วย และดำเนินการตามกฎหมายเมื่อพบว่าอาจจะมีการกระทำความผิด

ศุภวัชร์ มาลานนท์

คณะนิติศาสตร์ มหาวิทยาลัยสงขลานครินทร์

Max Planck Institute Luxembourg

ชิโนภาส อุดมผล

Optimum Solution Defined (OSDCo., Ltd.)