การก้าวไปเป็นผู้นำด้านเทคโนโลยีนั้นต้องเริ่มต้นจากการสร้างมาตรฐานด้านข้อมูลส่วนบุคคลที่เป็นเลิศ

26 ตุลาคม 2566


  • ผู้บริโภคในประเทศไทยนั้นมีสิทธิในฐานะเจ้าของข้อมูล และการคุ้มครองข้อมูลส่วนบุคคลให้ปลอดภัยจากการเข้าถึงที่ไม่ได้รับอนุญาต
  • องค์กรต่างๆ ต้องออกแบบมาตรการป้องกันที่มีประสิทธิภาพ เพื่อจำกัดการเข้าถึงข้อมูลที่ไม่เป็นไปตามวัตถุประสงค์จากทั้งบุคคลภายนอกและภายใน
  • หลักการ “privacy by design” นั้นยิ่งทวีความสำคัญในยามที่เทคโนโลยีอย่าง AI และ IoT นั้นกำลังเข้ามาพลิกโฉมรูปแบบการเก็บและใช้งานข้อมูลส่วนบุคคล

ในรายงาน Digital Lives Decoded ของเทเลนอร์ เอเชีย ระบุว่า 75% ของผู้ตอบแบบสอบถามในประเทศไทยนั้นมีความกังวลเกี่ยวกับประเด็นด้านความเป็นส่วนตัวและความปลอดภัยของข้อมูล แม้ว่าตัวเลขดังกล่าวจะฟังดูสูง แต่ก็ยังต่ำกว่าค่าเฉลี่ยของภูมิภาคเอเชียซึ่งอยู่ที่ 93%

True Blog ไปพูดคุยกับมนตรี สถาพรกุล Head of Data Protection แห่งบริษัท ทรู คอร์ปอเรชั่น จํากัด (มหาชน) เพื่อเจาะลึกความสำคัญของการปกป้องความเป็นส่วนตัวของลูกค้า และแนวทางที่ช่วยให้ทรูสามารถยกระดับการดำเนินงานด้านการปกป้องข้อมูลส่วนบุคคลได้ ท่ามกลางการเติบโตอย่างรวดเร็วของเทคโนโลยีใหม่ๆ อาทิ ปัญญาประดิษฐ์ (AI) และ Internet of Things (IoT)

Data Privacy กับ Data Security คือเรื่องเดียวกัน?

“ความเป็นส่วนตัวหรือ privacy นั้นหมายถึงการเคารพขอบเขตที่เจ้าของข้อมูลที่แท้จริงเป็นผู้กำหนด ถ้าคุณเล่าอะไรที่เป็นส่วนตัวกับใครก็ตาม บุคคลนั้นไม่ได้รับอนุญาตจากคุณในการนำเรื่องนั้นๆ ไปบอกต่อกับคนอื่นๆ เช่นเดียวกันกับข้อมูลดิจิทัล คุณในฐานะเจ้าของข้อมูลมีสิทธิในข้อมูลนั้นๆ และบริษัทที่ทำหน้าที่ประมวลผลข้อมูลดังกล่าวมีหน้าที่รับผิดชอบในการปกป้องข้อมูลของผู้ใช้งาน ที่ทรู เราให้ความสำคัญกับเรื่องนี้มาก ถือเป็นส่วนหนึ่งของเจตนารมณ์ของเราในฐานะผู้นำด้านโทรคมนาคม-เทคโนโลยี” มนตรีกล่าว

ปัจจุบัน ทรูมีผู้ใช้งานบนเครือข่ายมือถือจำนวนกว่า 51 ล้านคน ไม่นับรวมบริการอื่นๆ อาทิ บริการเก็บข้อมูลบนคลาวด์ คอนเทนต์ อินเทอร์เน็ตบรอดแบนด์ โซลูชัน IoT ทำให้ทรูถือเป็นหนึ่งในผู้เล่นรายใหญ่ที่สุดในมิติด้านข้อมูลของประเทศไทย

“เมื่อลูกค้าทรูเปิดโทรศัพท์มือถือ จะมีการรับและส่งข้อมูลไปยังอุปกรณ์ของพวกเขา ข้อมูลดังกล่าวไม่ได้หมายรวมถึงเพียงคอนเทนต์อย่างข้อความเอสเอ็มเอสหรือวิดีโอเท่านั้น แต่ยังรวมถึงข้อมูลส่วนบุคคลที่จำเป็นในการระบุว่าใครคือผู้ส่งข้อมูลดังกล่าว และส่งจากที่ใดด้วย” มนตรีกล่าว

นี่ถือเป็นความรับผิดชอบใหญ่หลวงสำหรับผู้ให้บริการโทรคมนาคม กล่าวคือ ผู้ให้บริการต้องดูแลให้การรับส่งข้อมูลนั้นเป็นไปอย่างปลอดภัย และป้องกันไม่ให้ข้อมูลนั้นถูกเข้าถึงโดยบรรดาแฮกเกอร์หรือผู้ไม่ประสงค์ดี ขณะเดียวกัน ผู้ให้บริการโทรคมนาคมต้องบังคับใช้มาตรการในการควบควมดูแลเพื่อให้การเก็บและประมวลผลข้อมูลส่วนบุคคลนั้นเป็นไปตามขอบเขตและเคารพสิทธิความเป็นส่วนตัวของเจ้าของข้อมูล

“บิ๊กดาต้านั้นเป็นเครื่องมือที่ทรงพลังมากในการช่วยให้เราออกแบบบริการที่ดียิ่งขึ้น และทำให้บริการเหล่านั้นเข้าถึงได้ง่ายมากขึ้น อย่างไรก็ดี เราไม่เคยประนีประนอมเมื่อเป็นเรื่องสิทธิความเป็นส่วนตัวและการคุ้มครองข้อมูลของลูกค้า เราเก็บรักษาข้อมูลให้ปลอดภัย ภายใต้มาตรฐานความปลอดภัยไซเบอร์ที่เข้มข้น เราจะเข้าถึงข้อมูลของลูกค้าเฉพาะกรณีที่ได้รับอนุญาตจากเจ้าของข้อมูลเท่านั้น และเราจะเข้าถึงเฉพาะข้อมูลที่มีความจำเป็นจริงๆ” เขาอธิบาย

บิ๊กดาต้านั้นเป็นเครื่องมือที่ทรงพลังมากในการช่วยให้เราออกแบบบริการที่ดียิ่งขึ้น และทำให้บริการเหล่านั้นเข้าถึงได้ง่ายมากขึ้น อย่างไรก็ดี เราไม่เคยประนีประนอมเมื่อเป็นสิทธิความเป็นส่วนตัวและการคุ้มครองข้อมูลของลูกค้า เราเก็บรักษาข้อมูลให้ปลอดภัย ภายใต้มาตรฐานความปลอดภัยทางไซเบอร์ที่เข้มข้น

การขอ Consent จำเป็นแค่ไหน?

ตามมาตรฐานด้านข้อมูลส่วนบุคคลของทรู และกฎหมายของประเทศไทยว่าด้วย พรบ. คุ้มครองข้อมูลส่วนบุคคล ผู้ใช้บริการโทรคมนาคมสามารถเลือกให้ความยินยอมในด้านความเป็นส่วนตัวกับผู้ให้บริการโทรคมนาคมได้ 2 ระดับ ซึ่งการให้ความยินยอมในระดับแรกนั้นมีความจำเป็นเพื่อจุดประสงค์การให้บริการด้านโทรคมนาคม โดยจะจำกัดการใช้งานข้อมูลส่วนบุคคลของลูกค้าเพื่อจุดประสงค์ที่เกี่ยวข้องกับการให้บริการโทรคมนาคมเท่านั้น

สำหรับการให้ความยินยอมในระดับที่สองถือเป็นทางเลือก โดยผู้ใช้บริการสามารถเลือกให้ความยินยอมในการเข้าถึงและใช้งานข้อมูลส่วนบุคคลเพื่อรับข้อเสนอหรือสิทธิประโยชน์ที่ออกแบบเพื่อตอบสนองความต้องการเฉพาะบุคคลยิ่งขึ้น ยกตัวอย่างเช่น แอปพลิเคชันของทรูหรือดีแทคอาจมีการแจ้งเตือนไปยังลูกค้าเกี่ยวกับโอกาสในการแลกสิทธิประโยชน์บางอย่างได้ฟรี โดยขึ้นอยู่กับระดับสถานะ loyalty program และตำแหน่งที่ตั้ง (location) ของผู้ใช้งาน

“เรามีการพิจารณาในสองแง่มุม คือหนึ่ง เราได้รับความยินยอมอย่างชัดแจ้งจากลูกค้าหรือไม่ และสอง การใช้งานข้อมูลลูกค้านั้นนำมาซึ่งประโยชน์สำหรับลูกค้าหรือเปล่า เพื่อให้การเข้าถึงข้อมูลนั้นเป็นไปตามจุดประสงค์เหล่านี้ เรามีการกำหนดกลไก (control point) และมีการติดตามทุกครั้งที่มีการเข้าถึงข้อมูลของลูกค้า และดูแลให้การเข้าถึงข้อมูลนั้นๆ เป็นไปตามวัตถุประสงค์” มนตรีกล่าว

ในการจะเข้าถึงคลังข้อมูลของทรูนั้น บุคคลที่เป็นผู้ใช้งานภายใน (internal user) ต้องสามารถชี้แจงได้ว่าคำร้องขอของตนนั้นเป็นไปตามกฎหมายและวัตถุประสงค์การใช้งาน ซึ่งมาตรการนี้มีการบังคับใช้กับผู้ใช้งานภายในทุกคน รวมทั้งผู้ที่ทำหน้าที่ตรวจสอบและรับรองคุณภาพ (audit and quality assurance) รวมทั้งยังครอบคลุมถึงกรณีคำขอต่างๆ จากหน่วยงานภาครัฐด้วย

“หน่วยงานภาครัฐไม่มีสิทธิในการเข้าถึงข้อมูลของลูกค้าโดยตรง และต้องยื่นคำร้องขอการเข้าถึงข้อมูลในกรณีที่เกี่ยวข้องกับความมั่นคงหรือผลประโยชน์แห่งชาติ เรามีการประเมินคำร้องขอทุกครั้งเพื่อให้มั่นใจว่าคำร้องขอนั้นๆ มาจากหน่วยงานรัฐที่มีอำนาจทางกฎหมาย และคำร้องขอนั้นเป็นไปตามข้อกำหนด เฉพาะในกรณีดังกล่าว เราจึงจะอนุญาตให้หน่วยงานรัฐเข้าถึงข้อมูลส่วนบุคคลได้” มนตรีกล่าว

ข้อมูลส่วนบุคคลคือราคาที่ต้องจ่ายเพื่อเข้าถึงเทคโนโลยีใหม่ๆ?

มนตรียังเล็งเห็นด้วยว่าผู้บริโภคชาวไทยนั้นมีความกังวลในเรื่องความปลอดภัยและความเป็นส่วนตัวมากขึ้นกว่าแต่ก่อน และความแพร่หลายของเทคโนโลยีอย่าง AI, IoT และบิ๊กดาต้า ก็ยิ่งเร่งให้หลายฝ่ายหันมาให้ความสำคัญกับประเด็นการยกระดับธรรมาภิบาลของข้อมูล (data governance) ให้เข้มข้นยิ่งขึ้น เพื่อปกป้องสิทธิของผู้บริโภค

“จุดมุ่งหมายของทรูในการก้าวไปเป็นผู้นำด้านโทรคมนาคม-เทคโนโลยีนั้น ไม่ได้ถึงเพียงการเป็นผู้นำด้านโทรคมนาคมเท่านั้น แต่เราต้องการเป็นผู้นำด้านบริการดิจิทัลอื่นๆ ด้วย หากการจะไปถึงจุดนั้นได้ เราต้องเริ่มต้นจากการสร้างความไว้วางใจให้กับลูกค้าของเราก่อน จึงเป็นสาเหตุที่เรามีเจตนารมณ์แรงกล้าในการก้าวไปเป็นผู้นำด้านความเป็นส่วนตัว ผู้ใช้งานของเราต้องได้รับการชี้แจงเกี่ยวกับสิทธิความเป็นส่วนตัวของตนอย่างเหมาะสม ขณะเดียวกันเราต้องได้รับความยินยอมจากผู้ใช้งานในการเข้าถึงข้อมูลของพวกเขา และเราจะเข้าถึงข้อมูลเพื่อวัตถุประสงค์ในการมอบบริการที่ดีที่สุดและนำเสนอสิทธิประโยชน์ต่างๆ เท่านั้น” เขากล่าว

เพื่อให้ก้าวทันกับความเปลี่ยนแปลงในมิติความเป็นส่วนตัวของข้อมูล ปัจจุบัน มนตรีกำลังประเมินถึงผลกระทบของเทคโนโลยีใหม่ๆ ต่อการปกป้องข้อมูลส่วนบุคคล ยกตัวอย่างเช่น TrueX ซึ่งให้บริการโซลูชันบ้านอัจฉริยะ หรือบริการ telemedicine จากหมอดี ซึ่งล้วนเป็นบริการที่เข้าไปอยู่ในชีวิตส่วนตัวของลูกค้า

“ถึงแม้จะเป็นประเด็นเรื่อง AI หรือ IoT เราก็ยังคงยึดถือหลักการเดียวกันในเรื่องความเป็นส่วนตัวของข้อมูล เราต้องดูแลให้การใช้งานข้อมูลส่วนบุคคลนั้นเป็นไปตามวัตถุประสงค์ ตั้งอยู่บนพื้นฐานความจำเป็นในการให้บริการ และสร้างประโยชน์ให้กับลูกค้า หากเรารักษามาตรฐานนี้ไว้ได้ ผมเชื่อมั่นว่าการมาถึงของเทคโนโลยีใหม่ๆ จะไม่ส่งผลกระทบต่อสิทธิด้านความเป็นส่วนตัวของผู้ใช้งานของเราอย่างแน่นอน” มนตรีทิ้งท้าย

ถึงแม้จะเป็นประเด็นเรื่อง AI หรือ IoT เราก็ยังคงยึดถือหลักการเดียวกันในเรื่องความเป็นส่วนตัวของข้อมูล เราต้องดูแลให้การใช้งานข้อมูลส่วนบุคคลนั้นเป็นไปตามวัตถุประสงค์ ตั้งอยู่บนพื้นฐานความจำเป็นในการให้บริการ และสร้างประโยชน์ให้กับลูกค้า หากเรารักษามาตรฐานนี้ไว้ได้ ผมเชื่อมั่นว่าการมาถึงของเทคโนโลยีใหม่ๆ จะไม่ส่งผลกระทบต่อสิทธิด้านความเป็นส่วนตัวของผู้ใช้งานของเราอย่างแน่นอน