‘แอป’ สำหรับระบบส่งข้อความและการประมวลผลข้อมูลส่วนบุคคล ‘ของบุคคลอื่น’

แอปพลิเคชันหรือ “แอป” สำหรับระบบส่งข้อความทันที (instant communications/Instant messaging) เข้ามามีบทบาทอย่างมากในการสื่อสารระหว่างบุคคล อาทิ LINE และ WhatsApp เป็นต้น

Cap & Corp Forum

แอปพลิเคชันหรือ “แอป” สำหรับระบบส่งข้อความทันที (instant communications/Instant messaging) เข้ามามีบทบาทอย่างมากในการสื่อสารระหว่างบุคคล อาทิ LINE และ WhatsApp เป็นต้น และสำหรับประเทศไทยคงปฏิเสธไม่ได้ว่าแอปไลน์เป็นแอปเพื่อการสื่อสารที่ได้รับความนิยมสูงสุดมาเป็นระยะเวลาหลายปีก่อนที่ประเทศไทยจะมีกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลขึ้นใช้บังคับ วันนี้ผู้เขียนจึงอยากชวนท่านผู้อ่านมาเรียนรู้ขั้นตอนการประมวลผลข้อมูลส่วนบุคคลของแอปประเภทนี้เพื่อเป็นกรณีศึกษาและทำความเข้าใจต่อการบังคับใช้พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

หลักการสำคัญของพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ที่ผู้เขียนอยากนำมาพูดคุยในวันนี้มี 2 ประการ คือ (1) สิทธิในความเป็นส่วนตัวของข้อมูลส่วนบุคคลเป็นสิทธิขั้นพื้นฐานของปัจเจกชน และ (2) การประมวลผลข้อมูลส่วนบุคคล “ของบุคคลอื่น” ต้องมีฐานทางกฎหมายในการดำเนินการ ดังนั้น โดยหลักการจึงหมายความว่า ไม่ว่าจะเป็นหน่วยงานรัฐหรือเอกชนย่อมไม่มีสิทธิในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบุคคลอื่น เว้นแต่มีฐานทางกฎหมายให้ดำเนินการได้เท่านั้น

ตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ หมายเลขโทรศัพท์และอีเมล ถือเป็น “ข้อมูลส่วนบุคคล” เวลาที่ท่านผู้อ่านสมัครใช้บริการของแอปจะต้องมีการให้ข้อมูลเหล่านี้แก่แอปนั้น ๆ ด้วย แอปจึงประมวลผลข้อมูลส่วนบุคคลของผู้ขอใช้บริการได้ โดยอาศัยฐานความชอบด้วยกฎหมายอย่างน้อย 2 ประการ คือ ฐานความยินยอม (มาตรา 19) และฐานเพื่อการปฏิบัติตามสัญญา (มาตรา 24(3)) อย่างไรก็ตาม แอปเพื่อการสื่อสารคงไม่มีประโยชน์ใดเลยหากไม่สามารถใช้เพื่อติดต่อสื่อสารกับเพื่อนหรือบุคคลต่าง ๆ ที่อยู่ในสมุดผู้ติดต่อในอุปกรณ์สมาร์ตโฟนของผู้ขอใช้บริการได้ ดังนั้น ในขั้นตอนการสมัครและลงทะเบียนการใช้แอปเพื่อการสื่อสาร แอปเหล่านี้จึงมีการขอความยินยอมให้แอปสามารถเข้าถึงรายชื่อผู้ติดต่อที่อยู่ในโทรศัพท์ของผู้ใช้บริการเพื่อตรวจสอบว่ามีใครบ้างที่ใช้บริการแอปเช่นกัน และบุคคลเหล่านั้นก็จะถูกเพิ่มเข้ามาในบัญชีรายชื่อของผู้ติดต่อในแอปทันที เว้นแต่บุคคลดังกล่าวจะปิดค่าการค้นหาไว้ (หากแอปเปิดโอกาสให้ทำได้)

กรณีที่แอปเข้าถึงข้อมูลผู้ติดต่อในบัญชีของผู้ใช้บริการ และนำข้อมูลส่วนบุคคลเหล่านั้นของบุคคลอื่นที่ไม่ใช่ข้อมูลส่วนบุคคลของผู้ขอใช้บริการ มาทำการประมวลผลเพื่อเชื่อมต่อบริการระหว่างผู้ใช้บริการนั้น มีประเด็นที่น่าสนใจเกี่ยวกับการประมวลผลดังกล่าวว่าเป็นไปตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ หรือไม่ เนื่องจาก

(1) กรณีนี้เป็นผู้ขอใช้บริการที่ “ยินยอม” ให้แอปประมวลผลข้อมูลส่วนบุคคลของบุคคลอื่นตามบัญชีรายชื่อผู้ติดต่อในโทรศัพท์ของผู้ขอใช้บริการแอปเพื่อการสื่อสาร ความยินยอมนี้ไม่ได้มาจากเจ้าของข้อมูลส่วนบุคคลโดยตรง

ซึ่งตามกฎหมายกำหนดว่าความยินยอมนั้น ต้องขอจากเจ้าของข้อมูลส่วนบุคคล และการขอความยินยอมต้องทำโดยชัดแจ้ง เป็นหนังสือ หรือทำโดยผ่านระบบอิเล็กทรอนิกส์ เว้นแต่โดยสภาพไม่อาจขอความยินยอมด้วยวิธีการดังกล่าวได้ และในการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไปด้วย และการขอความยินยอมนั้นต้องแยกส่วนออกจากข้อความอื่นอย่างชัดเจน มีแบบหรือข้อความที่เข้าถึงได้ง่าย และเข้าใจได้ รวมทั้งใช้ภาษาที่อ่านง่าย และไม่เป็นการหลอกลวงหรือทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์ดังกล่าว

ดังนั้น การได้รับความยินยอมให้ประมวลผลข้อมูลส่วนบุคคลตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ จึงมีรายละเอียดค่อนข้างมาก และจะยุ่งยากมากขึ้นหากการขอความยินยอมนั้นต้องกระทำต่อผู้เยาว์ (มาตรา 20) หรือเป็นการดำเนินการที่เกี่ยวข้องกับข้อมูลที่มีความอ่อนไหว (มาตรา 26)

(2) ผู้ให้บริการแอปมีสถานะใดตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ เป็น “ผู้ควบคุมข้อมูลส่วนบุคคล” หรือเป็น “ผู้ประมวลผลข้อมูลส่วนบุคคล” หากผู้ให้บริการแอปมีสถานะเป็นผู้ประมวลผลข้อมูลส่วนบุคคล ซึ่งหมายความว่า การดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล กรณีนี้ใครคือ “ผู้ควบคุมข้อมูลส่วนบุคคล” จะหมายถึง ผู้ขอใช้บริการหรือไม่

(3) ผู้ขอใช้บริการและผู้ให้บริการแอปเพื่อการสื่อสาร ใช้ฐานความชอบด้วยกฎหมายใดในการประมวลผลข้อมูลส่วนบุคคลของบุคคลอื่นที่อยู่ในบัญชีรายชื่อผู้ติดต่อของผู้ใช้บริการ

(4) มีข้อยกเว้นตามกฎหมายใด ๆ ให้ผู้ให้บริการแอปไม่ต้องได้รับความยินยอมในการประมวลผลข้อมูลส่วนบุคคลของบุคคลอื่นที่อยู่ในความครอบครองของผู้ขอใช้บริการแอปหรือไม่

(5) ผลในทางกฎหมายจะแตกต่างกันหรือไม่ หากข้อมูลส่วนบุคคลของบุคคลอื่นที่อยู่ในความครอบครองของผู้ขอใช้บริการแอป มีทั้งบุคคลที่ใช้บริการแอปนั้นอยู่ก่อนแล้ว บุคคลที่ไม่ได้ใช้บริการแอปนั้น หรือเป็นบุคคลที่ตั้งค่าความเป็นส่วนตัวโดยการปิดการค้นหาไว้ (หากทำได้)

การบังคับใช้ของพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ จึงไม่ใช่เรื่องง่าย และต้องการความชัดเจนในอีกหลาย ๆ ประการในรูปแบบของอนุบัญญัติต่าง ๆ และคำแนะนำต่อผู้ประกอบธุรกิจ เพราะการประมวลผลข้อมูลส่วนบุคคลโดยไม่ชอบด้วยกฎหมาย หรือโดยปราศจากฐานการดำเนินการที่ชอบด้วยกฎหมาย ย่อมก่อให้เกิดความรับผิดทั้งทางแพ่ง ทางอาญา และทางปกครองตามมา และเป็นการละเมิดหลักการสำคัญของการคุ้มครองข้อมูลส่วนบุคคลในฐานะสิทธิขั้นพื้นฐานของพลเมือง

กรณีข้างต้นเป็นเพียงตัวอย่างเพื่อการศึกษาและร่วมกันพิจารณามิติต่าง ๆ ของการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลเท่านั้น (ไม่มีส่วนการวิเคราะห์ว่าชอบหรือไม่ชอบด้วยกฎหมาย) ซึ่งแอปใดจะมีการประมวลผลข้อมูลส่วนบุคคลของผู้ใช้บริการอย่างไรบ้าง และชอบด้วยพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ที่จะมีผลใช้บังคับในวันที่ 1 มิถุนายน 2564 หรือไม่ ย่อมเป็นประเด็นที่ต้องพิจารณาในรายละเอียดของกฎหมายหลาย ๆ ฉบับ และสัญญาต่าง ๆ ประกอบ และเป็นหน้าที่ของหน่วยงานบังคับใช้กฎหมายในการที่จะทำให้กฎหมายถูกใช้บังคับอย่างถูกต้องเหมาะสม มีประสิทธิภาพ และสอดคล้องกับเศรษฐกิจดิจิทัล

ศุภวัชร์ มาลานนท์

คณะนิติศาสตร์ มหาวิทยาลัยสงขลานครินทร์

Max Planck Institute Luxembourg

ชิโนภาส อุดมผล

Optimum Solution Defined (OSDCo., Ltd.)