Google

Google

ข่าวและบทความที่เกี่ยวข้อง

Related news and articles

PostType Filter En

บทความ

เมื่อ Google Analytics ผิดกฎหมาย GDPR กับปัญหาที่ซ่อนอยู่ระหว่างสหรัฐอเมริกาและสหภาพยุโรป แล้ว PDPA จะได้รับผลกระทบหรือไม่?
เมื่อปลายปีที่แล้ว สำนักงานคุ้มครองข้อมูลแห่งหนึ่งในยุโรปได้แถลงการณ์ถึงการใช้บริการติดตามผู้ใช้งานออนไลน์อย่าง Google Analytics ว่าขัดกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลยุโรป (General Data Protection Regulation: GDPR) สิ่งนี้ไม่เพียงแต่ส่งผลกระทบต่อธุรกิจที่กำลังใช้งาน Google Analytics เท่านั้น แต่ยังส่งผลถึงการตัดสินใจเลือกใช้งานบริการออนไลน์บนแพลตฟอร์มที่อยู่ในประเทศสหรัฐอเมริกา และยังไม่รวมถึงการส่งข้อมูลระหว่างยุโรปและสหรัฐอีกด้วย มีอะไรที่ซ่อนอยู่ในปัญหาดังกล่าวและเราจะถอดบทเรียนอะไรได้จากแถลงการณ์ดังกล่าวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลของเราได้บ้าง? รายละเอียดของแถลงการณ์ เมื่อวันที่ 22 ธันวาคม 2021 สำนักงานคุ้มครองข้อมูลของประเทศออสเตรีย (Datenschutzbehörde, Data Protection Authority: DPA) ได้ออกแถลงการณ์เกี่ยวกับการร้องเรียนจากองค์กรไม่แสวงหาผลกำไรชื่อ NOYB ว่าการใช้บริการการติดตามผู้ใช้งานออนไลน์ของ Google Analytics ว่าได้เปิดเผยข้อมูล IP Address ที่เก็บจากทวีปยุโรปแล้วไปปรากฎบนเซิร์ฟเวอร์ของประเทศสหรัฐอเมริกา ซึ่งเป็นการขัดต่อกฎหมายในเรื่องการปกปิดข้อมูลส่วนบุคคลระหว่างการใช้งาน “As the complainant has also rightly pointed out, US intelligence services take certain online identifiers (such as the IP address or unique identification numbers) as starting point for monitoring individuals.”“…อย่างที่ผู้ร้องเรียนได้ชี้ถึงประเด็นปัญหา หน่วยสืบราชการลับของสหรัฐสามารถใช้ข้อมูลระบุตัวตนบางอย่าง (อย่างเช่น IP Address หรือ ข้อมูลตัวเลขประจำตัว) เพื่อเป็นจุดเริ่มต้นในการติดตามบุคคลได้…” สำนักงานคุ้มครองข้อมูลของประเทศออสเตรีย (Datenschutzbehörde, Data Protection Authority: DPA) การใช้งานข้อมูล IP Address ผิด GDPR อย่างไร? GDPR ได้ระบุอย่างชัดเจนว่าข้อมูล IP Address เป็นข้อมูลส่วนบุคคลและไม่สามารถที่จะใช้งานข้อมูลนี้ได้แม้ว่าเราจะทำการแปลงข้อมูล IP Address นี้ให้เป็นข้อมูลนิรนามแล้วก็ตาม Google ไม่ได้นิ่งนอนใจ จึงได้ออกแถลงการณ์ตอบโต้ในบล๊อคของ Google จากกรณีดังกล่าว โดยกล่าวในภาพรวมของการรักษาความปลอดภัยในแง่มุมต่าง ๆ ไม่ว่าจะเป็นการสนับสนุนให้ผู้ประกอบการได้ปฏิบัติตามกฎหมาย GDPR ได้ง่ายขึ้น การส่งข้อมูลข้ามทวีปจะเกิดขึ้นเมื่อข้อมูลดังกล่าวเป็นไปตามกฎเกณฑ์ข้อบังคับความเป็นส่วนตัวเท่านั้น และสามารถเปิดใช้งานการปกปิดข้อมูล IP Address ได้ อย่างไรก็ตาม ทางฝั่งผู้คุมกฎดูเหมือนว่าจะไม่พอใจในมาตรการการใช้งานการปกปิดข้อมูล IP Address ด้วยการอำพรางข้อมูล (Pseudonymization) โดยยกคำแถลงจากสำนักงานคุ้มครองข้อมูลของประเทศเยอรมนีที่กล่าวถึงการใช้ข้อมูล IP Address ที่มีการอำพรางไว้ว่าถึงแม้จะมีการอำพรางเพื่อไม่ให้ค้นพบตัวตนที่แท้จริง แต่ก็ยังสามารถ ”จำแนกจำเพาะบุคคล” (distinguishable) จากข้อมูลนั้น ๆ ได้ เพราะฉะนั้นการใช้งานข้อมูล IP Address ในรูปแบบใด ๆ จึงผิดในทุกกรณี นอกจากนี้ ผู้ควบคุมกฎหมายคุ้มครองข้อมูลส่วนบุคคลในบางประเทศในทวีปยุโรปก็เห็นด้วยกับการที่ Google ผิดกฎหมาย GDPR ได้แก่ ผลกระทบที่จะเกิดขึ้น เรื่องการตัดสินกรณีการกระทำผิดกฎหมายของ Google Analytics นี้ไม่เพียงแต่จะกระทบบริษัท Google เพียงเท่านั้น แต่จะยังกระทบต่อบริษัทที่ดำเนินงานในประเทศสหรัฐแต่ขายบริการให้ในกลุ่มประเทศสมาชิกสหภาพยุโรป เพราะการส่งข้อมูลส่วนบุคคลที่เก็บได้ในกลุ่มประเทศยุโรปไปให้บริษัทในประเทศสหรัฐในการวิเคราะห์จะไม่สามารถทำได้อีกต่อไป ทั้งนี้รวมถึงบริษัทในยุโรปที่ใช้บริการระบบคลาวด์คอมพิวเตอร์ที่มาจากสหรัฐก็จำเป็นต้องหาผู้ให้บริการเจ้าอื่น และกฎหมายยังเขียนไว้อีกด้วยว่าผู้ให้บริการที่มาจากทวีปอื่นจะสามารถให้บริการธุรกิจที่มาจากทวีปยุโรปได้ก็ต่อเมื่อกฎหมายคุ้มครองสิทธิความเป็นส่วนตัวในประเทศที่เก็บข้อมูลจะต้องมีความคุ้มครองที่มากกว่าหรือเท่ากันกับกฎหมายในทวีปยุโรป ซึ่งจำกัดแค่บริษัทที่ตั้งเซิร์ฟเวอร์ในประเทศยุโรปเท่านั้นที่สามารถทำธุรกิจออนไลน์ในทวีปนี้ได้ การแถลงการณ์ที่ออกมาดังกล่าวส่งผลให้เกิดต้นทุนที่เพิ่มขึ้นอย่างมากแก่หลายบริษัทขนาดเล็กในทวีปยุโรปในระยะสั้นที่จะต้องจัดหาบริการคลาวด์คอมพิวเตอร์จากผู้ให้บริการในทวีปตัวเอง อย่างไรก็ตามในระยะยาวแล้ว เราจำเป็นที่จะต้องติดตามการบังคับใช้กฎหมายนี้ต่อไปว่าจะเป็นเช่นไร สำหรับผู้ประกอบการในยุโรปที่ใช้งาน Google Analytics ในการประกอบธุรกิจ โดยเฉพาะอย่างยิ่งนักการตลาดที่ใช้ข้อมูลในพฤติกรรมผู้บริโภคในการทำการตลาดก็จะไม่สามารถทำได้อีกต่อไปจากเหตุการณ์นี้ ถึงแม้ว่าในตอนนี้จะยังไม่มีการประกาศแบนอย่างเป็นทางการ แต่เหล่าคนทำงานที่อยากจะปฏิบัติตามกฎระเบียบย่อมเลือกที่จะหันหลังต่อการบริการนี้ กฎหมายที่เหลื่อมกันของสองทวีป จากการรายงานข่าวนี้บนเว็บไซต์ TechCrunch Natasha Lomas นักข่าวอาวุโสได้เขียนสรุปความยุ่งเหยิงไว้ในประโยคเดียวว่า “ปัญหาที่แท้จริงของเรื่องนี้คือการปะทะกันระหว่างสิทธิความเป็นส่วนตัวของทวีปยุโรป (European privacy rights) และกฎหมายการสอดแนมของสหรัฐ (US surveillance law)” นี่อาจเป็นเหตุผลที่แท้จริงที่ทำให้ผู้ดูแลกฎของทางยุโรปถึงกลัวทางการสหรัฐ “โดยที่กฎหมายอย่างหลัง (สหรัฐฯ) ไม่แยแสต่อสิทธิส่วนบุคคลของชาติอื่นในการที่ทางการ (สหรัฐ) จะเก็บกวาดข้อมูลมาอย่างไรก็ตาม หรือแม้แต่การชดใช้ต่อความเสียหายจากการใช้ข้อมูลส่วนบุคคลนี้” เธอกล่าวเพิ่มเติม เมื่อพูดถึงกฎหมายที่เฉพาะเจาะจงจริง ๆ ผู้ให้บริการคลาวด์คอมพิวเตอร์ที่อยู่ในประเทศสหรัฐอเมริกาจะต้องอยู่ภายใต้ Section 702 ของ Foreign Intelligence Surveillance Act ที่ให้อำนาจในการเก็บข้อมูลที่อยู่บนคลาวด์เซิร์ฟเวอร์ที่ตั้งอยู่ในสหรัฐและเป็นข้อมูลของพลเมืองที่ไม่ได้มีสัญชาติสหรัฐและไม่ได้พำนักอยู่ที่ในสหรัฐ หรือพูดง่าย ๆ ก็คือว่ารัฐบาลสหรัฐมีสิทธิที่จะขอข้อมูลผู้ใช้บริการชาติอื่น ๆ จากผู้ให้บริการสัญชาติสหรัฐได้ถูกต้องตามกฎหมาย นั่นคงเป็นเหตุผลที่เพียงพอที่ทำให้ผู้คุมกฎของยุโรปกังวลว่าหากข้อมูลตกอยู่ในผืนแผ่นดินสหรัฐแล้วนั้น ความเป็นส่วนตัวของประชากรในสหภาพยุโรปจะหมดลง ถึงตรงนี้แล้ว ณ ขณะที่ทั้งสองฝ่ายมีการดำเนินธุรกิจร่วมกัน เป็นไปได้หรือไม่ที่ทั้งคู่จะมีข้อตกลงในการส่งข้อมูลถึงกัน เป็นกฎระเบียบที่มีการตกลงในบริษัทในแต่ละประเทศสามารถปฏิบัติได้ และถูกปกป้องจากกฎหมายพื้นเมืองในของพื้นที่นั้น ๆ แต่ทุกท่านทราบหรือไม่ว่าทั้งคู่นี้เคยพยายามที่จะให้มี ”ช่องทางการส่งข้อมูลส่วนบุคคล” ที่ไม่ผิดกฎหมาย อย่างไรก็ตามด้วยความพยายามในหลาย ๆ ครั้งที่ผ่านมากลับจบด้วยความล้มเหลว ความพยายามในการส่งข้อมูลข้ามทวีป ความพยายามในการส่งข้อมูลข้ามทวีปเริ่มต้นขึ้นเมื่อปี ค.ศ. 2000 จากการที่คณะกรรมาธิการยุโรป (European Commission) ได้เห็นชอบหลักการที่ร่างขึ้นโดยกระทรวงพาณิชย์ของสหรัฐในการส่งข้อมูลส่วนตัวข้ามทวีป หรือที่เรียกกันว่า Safe Harbour Privacy Principles โดยหลักการดังกล่าวเขียนขึ้นไว้เพื่อให้บริษัทในสหรัฐที่เก็บข้อมูลส่วนตัวของผู้ใช้งานชาวยุโรปได้ทำตามเพื่อให้สอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลของทวีปยุโรป หลักการนี้ได้ช่วยให้ผู้ประกอบการธุรกิจออนไลน์ในสหรัฐสามารถทำธุรกิจได้อย่างถูกกฎหมายของทั้งสองประเทศคู่ค้า จนเมื่อปี 2015 ศาลยุติธรรมแห่งสหภาพยุโรป (European Court of Justice) ได้ตัดสินให้ ”การเห็นชอบต่อหลัก Safe Harbour Privacy Principles ของคณะกรรมาธิการยุโรปเป็นโมฆะ” (“The Court of Justice declares that the Commission’s U.S. Safe Harbour Decision is invalid.”) นั้นหมายความว่าการส่งข้อมูลระหว่างทวีปนั้นถือว่าไม่ชอบด้วยหลักการคุ้มครองความเป็นส่วนตัวของสหภาพยุโรป และกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรปที่เพิ่งเกิดขึ้นภายหลังในปี 2018 แต่การตัดสินในครั้งในไม่ได้ก่อให้เกิดการยกเลิกการดำเนินธุรกิจในสหภาพยุโรปของสหรัฐ เพียงแต่ว่าเราต้องมีหลักการที่ดีกว่านี้ ด้วยความพยายามนี้ ก่อให้เกิดหลักการใหม่ที่เรียกว่า Privacy Shield Privacy Shield คือ ชื่อของโครงการใหม่ที่จะมากำหนดหลักการของส่งข้อมูลข้ามมหาสมุทรแอตแลนติก หรือจะเรียกว่า New Safe Harbour ก็คงไม่ผิดนัก หลักการใหม่นี้ได้ทำให้ความคุ้มครองความเป็นส่วนตัวเพิ่มขึ้นมาโดยการเพิ่มอำนาจให้กับทางฝั่งผู้ตรวจสอบและผู้ใช้งานของทวีปยุโรป แต่นั่นก็ไม่เพียงพอที่จะทำให้ถูกใช้งานหลังจากที่ศาลยุติธรรมแห่งสหภาพยุโรปก็ปัดตกไปเช่นเดิมในปี 2020 และล่าสุดในปีนี้ (2022) ประธานาธิปดีสหรัฐและประธานคณะกรรมาธิการยุโรปได้เตรียมตัวร่างหลักการอีกรอบนึงที่มีชื่อเรียกว่า Trans-Atlantic Data Privacy Framework ซึ่งจะเข้ามาแทนที่ Privacy Shield และตัวอื่น ๆ ที่เพิ่งปัดตกไป ในแง่หนึ่ง ความล่าช้าในการร่างมาตรฐานของการส่งข้อมูลส่วนบุคคลระหว่างกันนี้ได้ทำให้เกิดความไม่แน่นอนในการทำธุรกิจ ซึ่งส่งผลให้แรงจูงใจในการทำธุรกิจระหว่างมหาสมุทรแอตแลนติกลดลง และเกิดค่าใช้จ่ายที่สูงมากขึ้นอย่างที่ได้กล่าวไป นอกจากนี้ ยังเป็นเป็นตัวยับยั้งไม่ให้ภาคธุรกิจได้สร้างสรรค์นวัตกรรมอย่างที่ควรจะเป็น ซึ่งอาจจะส่งผลให้ประเทศที่มีกฎระเบียบที่รัดกุมน้อยกว่าชนะในการแข่งขันการสร้างนวัตกรรมระหว่างประเทศ ประเทศไทยและ PDPA ประเทศไทยเพิ่งจะเริ่มใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลหรือที่เราเรียกกันว่า PDPA...
31 July 2022

บทความ

เฟ้นหาวิธีการสร้างสุดยอดทีมในองค์กรด้วย Data
มาเรียนรู้วิธีการสร้างทีมงานภายในองค์กรของคุณเอง ให้มีประสิทธิภาพสูงสุด ด้วย Data-Driven Approach จากงานวิจัยของ Google
13 May 2021
PDPA Icon

We use cookies to optimize your browsing experience and improve our website’s performance. Learn more at our Privacy Policy and adjust your cookie settings at Settings

Privacy Preferences

You can choose your cookie settings by turning on/off each type of cookie as needed, except for necessary cookies.

Accept all
Manage Consent Preferences
  • Strictly Necessary Cookies
    Always Active

    This type of cookie is essential for providing services on the website of the Personal Data Protection Committee Office, allowing you to access various parts of the site. It also helps remember information you have previously provided through the website. Disabling this type of cookie will result in your inability to use key services of the Personal Data Protection Committee Office that require cookies to function.
    Cookies Details

  • Performance Cookies

    This type of cookie helps the Big Data Institute (Public Organization) understand user interactions with its website services, including which pages or areas of the site are most popular, as well as analyze other related data. The Big Data Institute (Public Organization) also uses this information to improve website performance and gain a better understanding of user behavior. Although the data collected by these cookies is non-identifiable and used solely for statistical analysis, disabling them will prevent the Big Data Institute (Public Organization) from knowing the number of website visitors and from evaluating the quality of its services.

  • Functional Cookies

    This type of cookie enables the Big Data Institute (Public Organization)’s website to remember the choices you have made and deliver enhanced features and content tailored to your usage. For example, it can remember your username or changes you have made to font sizes or other customizable settings on the page. Disabling these cookies may result in the website not functioning properly.

  • Targeting Cookies

    "This type of cookie helps the Big Data Institute (Public Organization) understand user interactions with its website services, including which pages or areas of the site are most popular, as well as analyze other related data. The Big Data Institute (Public Organization) also uses this information to improve website performance and gain a better understanding of user behavior. Although the data collected by these cookies is non-identifiable and used solely for statistical analysis, disabling them will prevent the Big Data Institute (Public Organization) from knowing the number of website visitors and from evaluating the quality of its services.

Save settings
This site is registered on wpml.org as a development site. Switch to a production site key to remove this banner.