ถอดรหัส-เจาะลึกพัฒนาการด้าน “สิทธิความเป็นส่วนตัว” ความท้าทายองค์กรธุรกิจ และความเสี่ยงข้อมูลดิจิทัลในยุค AI

29 มกราคม 2567


จากผลสำรวจ Telenor Asia Digital Lives Decoded 2566 ระบุว่า คนไทยมีความกังวลเกี่ยวกับประเด็นด้านความเป็นส่วนตัวและความปลอดภัยของข้อมูลต่ำกว่าค่าเฉลี่ยของคนเอเชีย ซึ่งมีเพียง 17% ของคนไทยเท่านั้นที่ตระหนักถึงความเป็นส่วนตัวจากการใช้โทรศัพท์มือถือ

เพื่อเป็นการส่งเสริมและสร้างความตระหนักรู้ถึงความสำคัญในการเคารพความเป็นส่วนตัว ปกป้องคุ้มครองข้อมูล และสร้างความเชื่อมั่น เนื่องในวัน Data Privacy Day หรือวันความเป็นส่วนตัวของข้อมูล ในวันที่ 28 มกราคมของทุกปี

มนตรี สถาพรกุล Head of Data Protection บริษัท ทรู คอร์ปอเรชั่น จํากัด (มหาชน) พูดคุย วิเคราะห์เจาะลึกถึงพัฒนาการแนวคิดความเป็นส่วนตัว ความท้าทายองค์กรเอกชนต่อการจัดการภายใน และสิ่งที่ผู้บริโภคควรตระหนักถึงความเป็นส่วนตัวในยุคปัญญาประดิษฐ์

ความเป็นส่วนตัวคือสิทธิมนุษยชน

มนตรี ฉายภาพกว้างประเด็นความเป็นส่วนตัวว่า นับแต่สงครามโลกครั้งที่ 2 สิ้นสุดลง ประชาคมโลกมีความตื่นตัวด้านสิทธิมนุษยชนเป็นอย่างมาก ในปี 2491 องค์การสหประชาชาติได้กำหนดปฏิญญาสากลว่าด้วยสิทธิมนุษยชน (Universal Declaration of Human Rights) ขึ้นเพื่อเป็นกรอบในการคุ้มครองสิทธิขั้นพื้นฐานของมนุษย์ทุกคน ครอบคลุมมิติต่างๆ เช่น สิทธิในชีวิต สิทธิทางการเมือง สิทธิทางเศรษฐกิจ สังคม และวัฒนธรรม ฯลฯ

อนึ่ง ความเป็นมนุษย์ล้วนถูกประกอบสร้างด้วยความหลากหลาย ซึ่งหนึ่งในบริบทที่สำคัญคือ “ความเป็นตัวตน” (Identity) และเครื่องมือหนึ่งที่ทำให้มนุษย์ดำรงชีวิตอย่างสมเกียรติความเป็นมนุษย์คือ ข้อมูล โดยมีภาษาเป็น “ตัวเชื่อม” ทำให้มนุษย์เป็นสัตว์สังคม

สำหรับการสื่อสารสองทางที่มีองค์ประกอบสำคัญคือ ผู้ส่งสารและผู้รับสาร และชุดข้อมูล หากผู้รับสารต้องการนำชุดข้อมูลที่เกิดขึ้นไปใช้ในวัตถุประสงค์อื่นใด ควรจะมีการขอ “ความยินยอม” (Consent) กับผู้ส่งสาร ซึ่งเป็นสิทธิแห่งความเป็นเจ้าของข้อมูล (Data Subject) ตามแนวคิดด้านสิทธิมนุษยชน การขอความยินยอมถือเป็นกลไกหนึ่งที่ผู้รับสารแสดงถึง “ความเคารพ” ในสิทธิแห่งความเป็นมนุษย์ของเจ้าของข้อมูล เพื่อชี้แจ้งถึงวัตถุประสงค์ในการใช้ข้อมูลของเจ้าของข้อมูลอย่างโปร่งใส ในทางกฎหมายเรียกว่า “สิทธิแห่งความเป็นมนุษย์ที่ถ่ายทอดผ่านเงื่อนไขของข้อมูล”

ซึ่งแนวคิดด้านสิทธิมนุษยชนดังกล่าวถือเป็นกรอบความคิดหลักที่นำมาพัฒนาต่อยอดจนเป็นส่วนหนึ่งของสิทธิผู้บริโภคในปัจจุบัน โดยกำกับผ่านกฎหมายที่ดูแลด้านการคุ้มครองข้อมูลส่วนบุคคล ซึ่งถือกำเนิดขึ้นเป็นครั้งแรกในสหภาพยุโรปในปี 2563 ที่เรียกว่า General Data Protection Regulation (GDPR) และต่อมาไทยได้ประกาศใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ PDPA ซึ่งการประกาศกฎหมายดังกล่าวถือเป็นการ “คืนสิทธิ” ความเป็นส่วนตัวอันชอบธรรมแก่ผู้บริโภค ผ่านการกำกับหน่วยงานห้างร้านที่ให้บริการกับผู้ใช้บริการ ขณะที่ความเป็นส่วนตัวของปัจเจกบุคคลมีกฎหมายประมวลแพ่งและพาณิชย์คุ้มครองอยู่แล้ว

“ที่ผ่านมา GDPR ใช้เวลาในการพัฒนาถึง 20 ปี PDPA ของไทย ใช้เวลา 21 ปี จนพัฒนาเป็นแนวคิดที่หนักแน่นด้านความเป็นส่วนตัว โดยกำหนดนิยาม ขอบเขต การกำกับดูแลข้อมูลส่วนบุคคล รวมถึงผู้มีแนวโน้มในการละเมิดสิทธิมนุษชนสูงสุด ซึ่งกรณีกฎหมายข้อมูลส่วนบุคคลได้กำหนดไว้เป็นผู้ให้บริการ ผู้ประกอบการ ห้างร้าน ดังนั้น พวกเขาจึงไม่สามารถปฏิเสธความรับผิดชอบได้” มนตรี กล่าว

ความเสี่ยงในศักยภาพจากข้อมูลดิจิทัล

เขาอธิบายเสริมว่า ในยุคอนาล็อก การส่งผ่านข้อมูลมีลักษณะ 1-1 ข้อมูลที่เกิดขึ้นในระหว่างให้บริการที่สามารถระบุตัวตนได้มีเพียง หมายเลขโทรศัพท์เท่านั้น แต่เมื่อเข้าสู่ศตวรรษที่ 20 โลกเปลี่ยนผ่านสู่ยุคดิจิทัลอย่างรวดเร็ว ผู้คนพึ่งพาเทคโนโลยีดิจิทัลมากขึ้น ไม่ว่าจะเป็นธุรกรรมทางการเงิน ค้นหาข้อมูล ดูคลิปวิดีโอผ่านโซเชียลมีเดีย ข้อมูลที่เกิดขึ้นมีรูปแบบที่หลากหลายและลึกขึ้น นำมาซึ่งศักยภาพที่เพิ่มขึ้นของข้อมูลโดยเฉพาะการระบุตัวตน พฤติกรรมและความสนใจ ซึ่งอาจส่งผลกระทบทั้งทาง “บวกและลบ” ได้

ด้วยศักยภาพของข้อมูลดิจิทัลที่เป็นอนันต์ กล่าวคือ ผู้รับบริการอาจได้รับประโยชน์จากสิทธิพิเศษและโปรโมชั่นด้านการตลาดที่เกินความคาดหมายในรูปแบบ Contextual Marketing แต่คุณประโยชน์นั้น ก็นำมาซึ่ง “ความกังวล” ในสิทธิความเป็นส่วนตัว

“การได้รับประโยชน์ทางการตลาดถือเป็นสิ่งที่ดีที่ผู้ให้บริการสามารถมอบให้กับลูกค้าได้ แต่นั่นต้องอยู่บนพื้นฐานและหลักการสิทธิมนุษยชนและความโปร่งใสผ่านกลไกความยินยอม โดยไม่ทึกทักหรือคิดเองว่าสิ่งนั้นคือประโยชน์ที่ลูกค้าต้องการ” มนตรีเน้นย้ำ

เช่นเดียวกับกรณีบริการโทรคมนาคม หากผู้ให้บริการต้องการนำข้อมูลที่เกิดขึ้นเพื่อวัตถุประสงค์อื่นนอกจากบริการโทรคมนาคม ผู้ให้บริการจะต้องขอความยินยอมจากลูกค้าเป็น “รายบุคคลและรายกรณี” นั่นหมายถึง ผู้ให้บริการจะสามารถนำข้อมูลลูกค้าไปประมวลผลหรือวิจัย เพื่อส่งมอบบริการอื่นๆ ก็ต่อเมื่อลูกค้าให้ความยินยอมแล้วเท่านั้น

ในยุคที่เทคโนโลยีมีวัฒนาการอย่างรวดเร็ว ทำให้ความเสี่ยงจากการใช้ข้อมูลเพิ่มมากขึ้นเป็นเงาตามตัว แต่ทั้งนี้ ขึ้นอยู่กับประเภทของเทคโนโลยีด้วย ตัวอย่างเช่น เทคโนโลยี Automation ที่มีความตายตัวมากกว่า เมื่อเทียบกับ AI ที่ขึ้นอยู่กับ บริบทและการตีความ” ของชุดข้อมูล นำไปเรียนรู้และพัฒนาต่อจนเป็นข้อมูลใหม่ได้ นำมาซึ่งความเสี่ยงที่มากขึ้น

การได้รับประโยชน์ทางการตลาดถือเป็นสิ่งที่ดีที่ผู้ให้บริการสามารถมอบให้กับลูกค้าได้ แต่นั่นต้องอยู่บนพื้นฐานและหลักการสิทธิมนุษยชนและความโปร่งใสผ่านกลไกความยินยอม โดยไม่ทึกทักหรือคิดเองว่าสิ่งนั้นคือประโยชน์ที่ลูกค้าต้องการ

3 เสาแห่งความสมดุลเพื่อสิทธิความเป็นส่วนตัว

มนตรี ในฐานะ Data Protection Officer ของทรู คอร์ปอเรชั่น ได้เล็งเห็นความเสี่ยงที่สูงขึ้นในความเป็นส่วนตัวที่มาพร้อมกับการใช้เทคโนโลยีที่ล้ำสมัย จึงมีความจำเป็นต้องกำกับดูแลการใช้เทคโนโลยี AI ให้อยู่ในกรอบที่ควรจะเป็น โดยยึดตามรัฐธรรมนูญ กฎหมายสูงสุดของประเทศ อันได้แก่ ความเป็นธรรมและศีลธรรมอันดีของสังคม และไม่เป็นอันตรายและกัดกร่อนความมั่นคงของมนุษย์ ซึ่งมีลักษณะเดียวกันกับการทำงานของพนักงานที่ได้รับสิทธิให้เข้าถึงข้อมูลลูกค้า (เช่น พนักงานคอลเซ็นเตอร์) ก็ต้องทำงานภายใต้ “ระเบียบ” เพื่อรักษาไว้ซึ่งหลักการ

เขาอธิบายเพิ่มเติมว่า การรักษาสมดุลระหว่างสิทธิผู้บริโภคและผลประโยชน์ทางธุรกิจอาจเป็น “คนละเรื่องเดียวกัน” แต่ทั้งนี้ต้องอยู่บนหลัก “ความโปร่งใส” และหลัก “ความจำเป็นและการได้สัดส่วน” (Principle of Necessity and Proportionality) ภายใต้เงื่อนไขความเป็นไปได้ทางธุรกิจ ซึ่งการรักษาสมดุลทั้ง 3 เสานั้น ทรู คอร์ปอเรชั่น ใช้กระบวนการที่เรียกว่า Privacy and Security by Design เคารพความเป็นส่วนตัว ปกป้องข้อมูลส่วนบุคคลของลูกค้าตั้งแต่กระบวนการออกแบบ ประกอบด้วย

  1. ความยินยอมและการรับรู้จากเจ้าของข้อมูล คือหัวใจของกระบวนการ Privacy and Security by Design ซึ่งในกรณีบริการโทรคมนาคม ข้อมูลที่ใช้จะต้องเกี่ยวข้องกับสัญญาบริการโทรคมนาคมเท่านั้น
  2. หากการใช้ข้อมูลไม่เกี่ยวข้องกับบริการโทรคมนาคม ได้มีการขอความยินยอมจากลูกค้าหรือไม่
  3. และหากไม่ จะต้องขอบริการ “ทุกครั้ง” ตามวัตถุประสงค์ จะเก็บหรือใช้ต้องให้มีความชัดเจน

ทั้งนี้ การแจ้งขอความยินยอมจากลูกค้า จะต้องมีขอบเขตที่ชัดเจน ไม่คลุมเครือ ขณะเดียวกัน การใช้ข้อมูลทุกชุดต้องมีภายใต้หลักความจำเป็นและการได้สัดส่วน “ไม่มีการขอเผื่อ”

“มันอาจเป็นเรื่องที่ท้าทายและยุ่งยากสำหรับธุรกิจที่ต้องใช้ข้อมูลให้เป็นไปตามข้อกฎหมาย แต่การรักษาไว้ซึ่งหลักการ สิทธิและศักดิ์ศรีแห่งความเป็นมนุษย์จะทำให้ธุรกิจอยู่ได้อย่างยั่งยืน” เขากล่าวและเสริมว่า ในช่วงแรกของการตีกรอบกฎเกณฑ์ภายในเหล่านี้ อาจต้องปรับความเข้าใจซึ่งกันและกัน ซึ่งสุดท้าย หน่วยงานที่ต้องการใช้ข้อมูลเหล่านั้นล้วนตระหนักและให้ความเคารพถึงสิทธิความเป็นส่วนตัว แม้จะต้องเล่นท่ายาก แต่ทุกคนเห็นภาพเดียวกันมากขึ้น โดยยึดเอาผลประโยชน์และสิทธิผู้บริโภคเป็นที่ตั้ง ซึ่งแม้เมื่อมีการควบรวมกิจการแล้ว ก็จะต้องร่วมกันปรับปรุงและพัฒนาในสอดรับกับหลักการสิทธิมนุษยชนตามกฎหมาย

มนตรี ให้ข้อคิดแก่ผู้บริโภคว่า “อย่าหลงเชื่อผลลัพธ์ที่ได้เสียทีเดียว และควร ‘เอ๊ะ’ หรือตั้งข้อสงสัยต่อการได้มาซึ่งข้อมูลเหล่านั้นว่าเป็นตามหลักที่ควรจะเป็นหรือไม่ เพื่อ “รักษา” ในสิทธิความเป็นส่วนตัวของตัวเอง”

มันอาจเป็นเรื่องที่ท้าทายและยุ่งยากสำหรับธุรกิจที่ต้องใช้ข้อมูลให้เป็นไปตามข้อกฎหมาย แต่การรักษาไว้ซึ่งหลักการ สิทธิและศักดิ์ศรีแห่งความเป็นมนุษย์จะทำให้ธุรกิจอยู่ได้อย่างยั่งยืน