เมื่อปลายปีที่แล้ว สำนักงานคุ้มครองข้อมูลแห่งหนึ่งในยุโรปได้แถลงการณ์ถึงการใช้บริการติดตามผู้ใช้งานออนไลน์อย่าง Google Analytics ว่าขัดกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลยุโรป (General Data Protection Regulation: GDPR) สิ่งนี้ไม่เพียงแต่ส่งผลกระทบต่อธุรกิจที่กำลังใช้งาน Google Analytics เท่านั้น แต่ยังส่งผลถึงการตัดสินใจเลือกใช้งานบริการออนไลน์บนแพลตฟอร์มที่อยู่ในประเทศสหรัฐอเมริกา และยังไม่รวมถึงการส่งข้อมูลระหว่างยุโรปและสหรัฐอีกด้วย มีอะไรที่ซ่อนอยู่ในปัญหาดังกล่าวและเราจะถอดบทเรียนอะไรได้จากแถลงการณ์ดังกล่าวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลของเราได้บ้าง? รายละเอียดของแถลงการณ์ เมื่อวันที่ 22 ธันวาคม 2021 สำนักงานคุ้มครองข้อมูลของประเทศออสเตรีย (Datenschutzbehörde, Data Protection Authority: DPA) ได้ออกแถลงการณ์เกี่ยวกับการร้องเรียนจากองค์กรไม่แสวงหาผลกำไรชื่อ NOYB ว่าการใช้บริการการติดตามผู้ใช้งานออนไลน์ของ Google Analytics ว่าได้เปิดเผยข้อมูล IP Address ที่เก็บจากทวีปยุโรปแล้วไปปรากฎบนเซิร์ฟเวอร์ของประเทศสหรัฐอเมริกา ซึ่งเป็นการขัดต่อกฎหมายในเรื่องการปกปิดข้อมูลส่วนบุคคลระหว่างการใช้งาน “As the complainant has also rightly pointed out, US intelligence services take certain online identifiers (such as the IP address or unique identification numbers) as starting point for monitoring individuals.”“…อย่างที่ผู้ร้องเรียนได้ชี้ถึงประเด็นปัญหา หน่วยสืบราชการลับของสหรัฐสามารถใช้ข้อมูลระบุตัวตนบางอย่าง (อย่างเช่น IP Address หรือ ข้อมูลตัวเลขประจำตัว) เพื่อเป็นจุดเริ่มต้นในการติดตามบุคคลได้…” สำนักงานคุ้มครองข้อมูลของประเทศออสเตรีย (Datenschutzbehörde, Data Protection Authority: DPA) การใช้งานข้อมูล IP Address ผิด GDPR อย่างไร? GDPR ได้ระบุอย่างชัดเจนว่าข้อมูล IP Address เป็นข้อมูลส่วนบุคคลและไม่สามารถที่จะใช้งานข้อมูลนี้ได้แม้ว่าเราจะทำการแปลงข้อมูล IP Address นี้ให้เป็นข้อมูลนิรนามแล้วก็ตาม Google ไม่ได้นิ่งนอนใจ จึงได้ออกแถลงการณ์ตอบโต้ในบล๊อคของ Google จากกรณีดังกล่าว โดยกล่าวในภาพรวมของการรักษาความปลอดภัยในแง่มุมต่าง ๆ ไม่ว่าจะเป็นการสนับสนุนให้ผู้ประกอบการได้ปฏิบัติตามกฎหมาย GDPR ได้ง่ายขึ้น การส่งข้อมูลข้ามทวีปจะเกิดขึ้นเมื่อข้อมูลดังกล่าวเป็นไปตามกฎเกณฑ์ข้อบังคับความเป็นส่วนตัวเท่านั้น และสามารถเปิดใช้งานการปกปิดข้อมูล IP Address ได้ อย่างไรก็ตาม ทางฝั่งผู้คุมกฎดูเหมือนว่าจะไม่พอใจในมาตรการการใช้งานการปกปิดข้อมูล IP Address ด้วยการอำพรางข้อมูล (Pseudonymization) โดยยกคำแถลงจากสำนักงานคุ้มครองข้อมูลของประเทศเยอรมนีที่กล่าวถึงการใช้ข้อมูล IP Address ที่มีการอำพรางไว้ว่าถึงแม้จะมีการอำพรางเพื่อไม่ให้ค้นพบตัวตนที่แท้จริง แต่ก็ยังสามารถ ”จำแนกจำเพาะบุคคล” (distinguishable) จากข้อมูลนั้น ๆ ได้ เพราะฉะนั้นการใช้งานข้อมูล IP Address ในรูปแบบใด ๆ จึงผิดในทุกกรณี นอกจากนี้ ผู้ควบคุมกฎหมายคุ้มครองข้อมูลส่วนบุคคลในบางประเทศในทวีปยุโรปก็เห็นด้วยกับการที่ Google ผิดกฎหมาย GDPR ได้แก่ ผลกระทบที่จะเกิดขึ้น เรื่องการตัดสินกรณีการกระทำผิดกฎหมายของ Google Analytics นี้ไม่เพียงแต่จะกระทบบริษัท Google เพียงเท่านั้น แต่จะยังกระทบต่อบริษัทที่ดำเนินงานในประเทศสหรัฐแต่ขายบริการให้ในกลุ่มประเทศสมาชิกสหภาพยุโรป เพราะการส่งข้อมูลส่วนบุคคลที่เก็บได้ในกลุ่มประเทศยุโรปไปให้บริษัทในประเทศสหรัฐในการวิเคราะห์จะไม่สามารถทำได้อีกต่อไป ทั้งนี้รวมถึงบริษัทในยุโรปที่ใช้บริการระบบคลาวด์คอมพิวเตอร์ที่มาจากสหรัฐก็จำเป็นต้องหาผู้ให้บริการเจ้าอื่น และกฎหมายยังเขียนไว้อีกด้วยว่าผู้ให้บริการที่มาจากทวีปอื่นจะสามารถให้บริการธุรกิจที่มาจากทวีปยุโรปได้ก็ต่อเมื่อกฎหมายคุ้มครองสิทธิความเป็นส่วนตัวในประเทศที่เก็บข้อมูลจะต้องมีความคุ้มครองที่มากกว่าหรือเท่ากันกับกฎหมายในทวีปยุโรป ซึ่งจำกัดแค่บริษัทที่ตั้งเซิร์ฟเวอร์ในประเทศยุโรปเท่านั้นที่สามารถทำธุรกิจออนไลน์ในทวีปนี้ได้ การแถลงการณ์ที่ออกมาดังกล่าวส่งผลให้เกิดต้นทุนที่เพิ่มขึ้นอย่างมากแก่หลายบริษัทขนาดเล็กในทวีปยุโรปในระยะสั้นที่จะต้องจัดหาบริการคลาวด์คอมพิวเตอร์จากผู้ให้บริการในทวีปตัวเอง อย่างไรก็ตามในระยะยาวแล้ว เราจำเป็นที่จะต้องติดตามการบังคับใช้กฎหมายนี้ต่อไปว่าจะเป็นเช่นไร สำหรับผู้ประกอบการในยุโรปที่ใช้งาน Google Analytics ในการประกอบธุรกิจ โดยเฉพาะอย่างยิ่งนักการตลาดที่ใช้ข้อมูลในพฤติกรรมผู้บริโภคในการทำการตลาดก็จะไม่สามารถทำได้อีกต่อไปจากเหตุการณ์นี้ ถึงแม้ว่าในตอนนี้จะยังไม่มีการประกาศแบนอย่างเป็นทางการ แต่เหล่าคนทำงานที่อยากจะปฏิบัติตามกฎระเบียบย่อมเลือกที่จะหันหลังต่อการบริการนี้ กฎหมายที่เหลื่อมกันของสองทวีป จากการรายงานข่าวนี้บนเว็บไซต์ TechCrunch Natasha Lomas นักข่าวอาวุโสได้เขียนสรุปความยุ่งเหยิงไว้ในประโยคเดียวว่า “ปัญหาที่แท้จริงของเรื่องนี้คือการปะทะกันระหว่างสิทธิความเป็นส่วนตัวของทวีปยุโรป (European privacy rights) และกฎหมายการสอดแนมของสหรัฐ (US surveillance law)” นี่อาจเป็นเหตุผลที่แท้จริงที่ทำให้ผู้ดูแลกฎของทางยุโรปถึงกลัวทางการสหรัฐ “โดยที่กฎหมายอย่างหลัง (สหรัฐฯ) ไม่แยแสต่อสิทธิส่วนบุคคลของชาติอื่นในการที่ทางการ (สหรัฐ) จะเก็บกวาดข้อมูลมาอย่างไรก็ตาม หรือแม้แต่การชดใช้ต่อความเสียหายจากการใช้ข้อมูลส่วนบุคคลนี้” เธอกล่าวเพิ่มเติม เมื่อพูดถึงกฎหมายที่เฉพาะเจาะจงจริง ๆ ผู้ให้บริการคลาวด์คอมพิวเตอร์ที่อยู่ในประเทศสหรัฐอเมริกาจะต้องอยู่ภายใต้ Section 702 ของ Foreign Intelligence Surveillance Act ที่ให้อำนาจในการเก็บข้อมูลที่อยู่บนคลาวด์เซิร์ฟเวอร์ที่ตั้งอยู่ในสหรัฐและเป็นข้อมูลของพลเมืองที่ไม่ได้มีสัญชาติสหรัฐและไม่ได้พำนักอยู่ที่ในสหรัฐ หรือพูดง่าย ๆ ก็คือว่ารัฐบาลสหรัฐมีสิทธิที่จะขอข้อมูลผู้ใช้บริการชาติอื่น ๆ จากผู้ให้บริการสัญชาติสหรัฐได้ถูกต้องตามกฎหมาย นั่นคงเป็นเหตุผลที่เพียงพอที่ทำให้ผู้คุมกฎของยุโรปกังวลว่าหากข้อมูลตกอยู่ในผืนแผ่นดินสหรัฐแล้วนั้น ความเป็นส่วนตัวของประชากรในสหภาพยุโรปจะหมดลง ถึงตรงนี้แล้ว ณ ขณะที่ทั้งสองฝ่ายมีการดำเนินธุรกิจร่วมกัน เป็นไปได้หรือไม่ที่ทั้งคู่จะมีข้อตกลงในการส่งข้อมูลถึงกัน เป็นกฎระเบียบที่มีการตกลงในบริษัทในแต่ละประเทศสามารถปฏิบัติได้ และถูกปกป้องจากกฎหมายพื้นเมืองในของพื้นที่นั้น ๆ แต่ทุกท่านทราบหรือไม่ว่าทั้งคู่นี้เคยพยายามที่จะให้มี ”ช่องทางการส่งข้อมูลส่วนบุคคล” ที่ไม่ผิดกฎหมาย อย่างไรก็ตามด้วยความพยายามในหลาย ๆ ครั้งที่ผ่านมากลับจบด้วยความล้มเหลว ความพยายามในการส่งข้อมูลข้ามทวีป ความพยายามในการส่งข้อมูลข้ามทวีปเริ่มต้นขึ้นเมื่อปี ค.ศ. 2000 จากการที่คณะกรรมาธิการยุโรป (European Commission) ได้เห็นชอบหลักการที่ร่างขึ้นโดยกระทรวงพาณิชย์ของสหรัฐในการส่งข้อมูลส่วนตัวข้ามทวีป หรือที่เรียกกันว่า Safe Harbour Privacy Principles โดยหลักการดังกล่าวเขียนขึ้นไว้เพื่อให้บริษัทในสหรัฐที่เก็บข้อมูลส่วนตัวของผู้ใช้งานชาวยุโรปได้ทำตามเพื่อให้สอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลของทวีปยุโรป หลักการนี้ได้ช่วยให้ผู้ประกอบการธุรกิจออนไลน์ในสหรัฐสามารถทำธุรกิจได้อย่างถูกกฎหมายของทั้งสองประเทศคู่ค้า จนเมื่อปี 2015 ศาลยุติธรรมแห่งสหภาพยุโรป (European Court of Justice) ได้ตัดสินให้ ”การเห็นชอบต่อหลัก Safe Harbour Privacy Principles ของคณะกรรมาธิการยุโรปเป็นโมฆะ” (“The Court of Justice declares that the Commission’s U.S. Safe Harbour Decision is invalid.”) นั้นหมายความว่าการส่งข้อมูลระหว่างทวีปนั้นถือว่าไม่ชอบด้วยหลักการคุ้มครองความเป็นส่วนตัวของสหภาพยุโรป และกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรปที่เพิ่งเกิดขึ้นภายหลังในปี 2018 แต่การตัดสินในครั้งในไม่ได้ก่อให้เกิดการยกเลิกการดำเนินธุรกิจในสหภาพยุโรปของสหรัฐ เพียงแต่ว่าเราต้องมีหลักการที่ดีกว่านี้ ด้วยความพยายามนี้ ก่อให้เกิดหลักการใหม่ที่เรียกว่า Privacy Shield Privacy Shield คือ ชื่อของโครงการใหม่ที่จะมากำหนดหลักการของส่งข้อมูลข้ามมหาสมุทรแอตแลนติก หรือจะเรียกว่า New Safe Harbour ก็คงไม่ผิดนัก หลักการใหม่นี้ได้ทำให้ความคุ้มครองความเป็นส่วนตัวเพิ่มขึ้นมาโดยการเพิ่มอำนาจให้กับทางฝั่งผู้ตรวจสอบและผู้ใช้งานของทวีปยุโรป แต่นั่นก็ไม่เพียงพอที่จะทำให้ถูกใช้งานหลังจากที่ศาลยุติธรรมแห่งสหภาพยุโรปก็ปัดตกไปเช่นเดิมในปี 2020 และล่าสุดในปีนี้ (2022) ประธานาธิปดีสหรัฐและประธานคณะกรรมาธิการยุโรปได้เตรียมตัวร่างหลักการอีกรอบนึงที่มีชื่อเรียกว่า Trans-Atlantic Data Privacy Framework ซึ่งจะเข้ามาแทนที่ Privacy Shield และตัวอื่น ๆ ที่เพิ่งปัดตกไป ในแง่หนึ่ง ความล่าช้าในการร่างมาตรฐานของการส่งข้อมูลส่วนบุคคลระหว่างกันนี้ได้ทำให้เกิดความไม่แน่นอนในการทำธุรกิจ ซึ่งส่งผลให้แรงจูงใจในการทำธุรกิจระหว่างมหาสมุทรแอตแลนติกลดลง และเกิดค่าใช้จ่ายที่สูงมากขึ้นอย่างที่ได้กล่าวไป นอกจากนี้ ยังเป็นเป็นตัวยับยั้งไม่ให้ภาคธุรกิจได้สร้างสรรค์นวัตกรรมอย่างที่ควรจะเป็น ซึ่งอาจจะส่งผลให้ประเทศที่มีกฎระเบียบที่รัดกุมน้อยกว่าชนะในการแข่งขันการสร้างนวัตกรรมระหว่างประเทศ ประเทศไทยและ PDPA ประเทศไทยเพิ่งจะเริ่มใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลหรือที่เราเรียกกันว่า PDPA...