ผลในทางกฎหมายคุ้มครองข้อมูลส่วนบุคคลของข้อมูลแฝงและข้อมูลนิรนาม
การตีความหมายของการจัดเก็บข้อมูลที่ผ่านการทำเป็นข้อมูลแฝงหรือข้อมูลนิรนามว่ายังจัดเป็นข้อมูลส่วนบุคคลหรือไม่นั้นมีผลอย่างมากต่อผู้ควบคุมข้อมูลส่วนบุคคล
Cap & Corp Forum
หลายคนอาจมีคำถามว่าการจัดเก็บ (storage) ข้อมูลส่วนบุคคลในรูปแบบของข้อมูลแฝง (pseudonymousdata) และในรูปแบบข้อมูลนิรนาม (anonymous data) ข้อมูลที่ผ่านกระบวนการใดกระบวนการหนึ่งข้างต้นจะยังถือว่าเป็นข้อมูลส่วนบุคคลตามความหมายของพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 อยู่หรือไม่ การตีความหมายของการจัดเก็บข้อมูลที่ผ่านการทำเป็นข้อมูลแฝงหรือข้อมูลนิรนามว่ายังจัดเป็นข้อมูลส่วนบุคคลหรือไม่นั้นมีผลอย่างมากต่อผู้ควบคุมข้อมูลส่วนบุคคล
เนื่องจากหน้าที่หรือวิธีการปฏิบัติต่อการเก็บรวมรวบ ใช้ และเปิดเผย (“การประมวลผลข้อมูลส่วนบุคคล”) ข้อมูลที่เป็นข้อมูลส่วนบุคคลกับข้อมูลที่ไม่ใช่ข้อมูลส่วนบุคคลนั้นแตกต่างกันอย่างมาก ดังนั้นผู้ประกอบการต่าง ๆ ที่อยู่ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล จึงควรทำความเข้าใจในประเด็นนี้ให้ดี เพื่อหลีกเลี่ยงความเสี่ยงต่อการประมวลผลข้อมูลส่วนบุคคลที่อาจเป็นการละเมิด พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ
ข้อมูลแฝงกับข้อมูลนิรนามต่างกันอย่างไร ?
GDPR ได้สร้างมาตรการในการคุ้มครองข้อมูลส่วนบุคคลให้มีความเป็นระบบมากขึ้น ด้วยการนำแนวคิดเรื่องข้อมูลแฝงและข้อมูลนิรนามมาบัญญัติในกฎหมาย ข้อมูลแฝงนั้นตาม GDPR จะแตกต่างกับข้อมูลนิรนามอย่างชัดเจน โดยใน Article 4(6) GDPR ระบุว่าการที่ข้อมูลส่วนบุคคลจะเป็นข้อมูลแฝงได้นั้น ต้องประกอบไปด้วยสององค์ประกอบดังนี้
1) ข้อมูลที่แสดงผลต้องไม่สามารถระบุตัวตนได้ถึงเจ้าของข้อมูลส่วนบุคคลใดบุคคลหนึ่งโดยปราศจากการใช้ข้อมูลอื่น ๆ ร่วมด้วย (additional data) และ
2) ข้อมูลอื่น ๆ (additional data) ที่ใช้ในการทำให้ข้อมูลแฝงสามารถระบุได้ถึงตัวตนของเจ้าของข้อมูลส่วนบุคคล (re-identify) ต้องถูกจัดเก็บแยกออกจากข้อมูลแฝงอีกชุดหนึ่ง
ในส่วนของข้อมูลนิรนาม Recital 26 ของ GDPR ได้ให้ความหมายไว้ว่าต้องเป็นข้อมูลที่ไม่สามารถระบุตัวตนของเจ้าของข้อมูลส่วนบุคคลได้อีกต่อไป กล่าวโดยสรุปคือการทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลแฝงนั้นเป็นการแยกเก็บข้อมูลออกเป็นส่วน ๆ เพื่อให้การเห็นข้อมูลเพียงบางส่วนไม่สามารถระบุไปถึงตัวเจ้าของข้อมูลส่วนบุคคลได้ (สร้างความปลอดภัยให้ข้อมูล) แต่จะแสดงผลเป็นข้อมูลส่วนบุคคลได้ก็ต่อเมื่อมีการนำข้อมูลแต่ละส่วนกลับมารวมกัน ในขณะที่การทำข้อมูลนิรนามนั้นต้องเป็นการทำให้ข้อมูลส่วนบุคคลแปรสภาพไปจนไม่สามารถระบุถึงตัวบุคคลของเจ้าของข้อมูลได้ไม่ว่าจะด้วยการทำย้อนกลับหรือรวมข้อมูลด้วยวิธีใดก็ตาม
ในส่วนของพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ไม่ได้บัญญัติเรื่องข้อมูลแฝงกับข้อมูลนิรนามไว้ เพียงแต่ให้ความหมายของคำว่า “ข้อมูลส่วนบุคคล” ไว้ในมาตรา 6 ว่า ได้แก่ “ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม” ซึ่งในประเด็นนี้ผู้เขียนจึงตั้งข้อสังเกตว่าการจัดเก็บข้อมูลส่วนบุคคลแม้จะทำให้เป็นข้อมูลแฝงและแม้จะไม่สามารถทำให้ระบุถึงตัวเจ้าของข้อมูลส่วนบุคคลได้โดยตรง
แต่เมื่อมีการนำข้อมูลอีกส่วนหนึ่งมาประกอบก็ยังคงสามารถแสดงผลถึงข้อมูลซึ่งเป็นข้อมูลส่วนบุคคลเดิมได้ กรณีเช่นนี้ก็ยังคงต้องถือว่าข้อมูลแฝงยังจัดเป็นข้อมูลส่วนบุคคล (ซึ่งจะสอดคล้องกับแนวทางของ GDPR) และในฐานะผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล ย่อมต้องมีหน้าที่รับผิดชอบต่อข้อมูลแฝงตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ทุกประการ ในทางตรงข้าม หากพิจารณาถึงความหมายของการทำข้อมูลนิรนามแล้ว จะเห็นได้ว่าข้อมูลส่วนบุคคลที่ถูกทำให้กลายเป็นข้อมูลนิรนามแล้ว ข้อมูลนิรนามนั้นย่อมไม่ตกอยู่ภายใต้การคุ้มครองของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ อีกต่อไป
ถึงแม้ว่าการทำข้อมูลส่วนบุคคลให้อยู่ในรูปแบบข้อมูลแฝงจะไม่ทำให้ผู้ควบคุมข้อมูลส่วนบุคคลไม่ต้องมีความรับผิดตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ แต่ก็ถือเป็นเครื่องมือสำคัญที่จะช่วยลดความเสี่ยงของทั้งผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลในการวางมาตรการด้านความมั่นคงปลอดภัยต่อข้อมูลส่วนบุคคลที่อยู่ในความครอบครองของตน อีกทั้งกฎหมายคุ้มครองข้อมูลส่วนบุคคลภายในของบางประเทศในสหภาพยุโรป เช่น German Federal Data Protection Act ก็มีการกำหนดให้การทำข้อมูลส่วนบุคคลให้อยู่ในรูปแบบข้อมูลแฝงเป็นมาตรฐานความมั่นคงปลอดภัยในการจัดเก็บข้อมูลส่วนบุคคลขั้นต่ำที่กฎหมายกำหนดด้วย
ดังนั้นผู้เขียนจึงมีความเห็นว่าเฉพาะการทำข้อมูลส่วนบุคคลให้เป็นข้อมูลนิรนามเท่านั้นที่จะทำให้ข้อมูลดังกล่าวไม่อยู่ภายใต้การคุ้มครองของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ การจัดเก็บข้อมูลส่วนบุคคลในรูปแบบของข้อมูลแฝง ผู้ประกอบการต่าง ๆ ในฐานะของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล ก็ยังคงมีหน้าที่และความรับผิดตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ทุกประการ
หารจัดเก็บข้อมูลส่วนบุคคลในรูปแบบข้อมูลแฝงเป็นเพียงการวางมาตรการด้านความมั่นคงปลอดภัยประเภทหนึ่งเท่านั้น ผู้ประกอบการยังคงต้องประเมินถึงประเภทและลักษณะของการประมวลผลข้อมูลส่วนบุคคลของตนว่าต้องจัดให้มีมาตรการทางด้านความมั่นคงปลอดภัยประเภทและชนิดใดบ้าง เพื่อให้มีความเหมาะสมและเพียงพอต่อการรักษาความมั่นคงปลอดภัยในข้อมูลส่วนบุคคลในครอบครองของตน
…
ศุภวัชร์ มาลานนท์
คณะนิติศาสตร์ มหาวิทยาลัยสงขลานครินทร์
Max Planck Institute Luxembourg
ชิโนภาส อุดมผล
Optimum Solution Defined (OSD)