|||
ในวันที่ 25 พฤษภาคม 2561 ที่ผ่านมา กลุ่มประเทศในสหภาพยุโรปได้เริ่มบังคับใช้โครงสร้างกฏหมายที่มีชื่อว่า “General Data Protection Regulation” เพื่อเป็นมาตรการให้กับธุรกิจทุกประเภทที่มีการเก็บข้อมูลของผู้ใช้ว่าจะต้องมีมาตรฐานในการเก็บรักษาข้อมูลธุรกิจอย่างไรบ้างเพื่อที่จะเป็นมิตรต่อผู้บริโภคมากที่สุด นับเป็นการปรับโครงสร้างชุดกฏหมายที่เกี่ยวข้องกับการรักษาข้อมูล หรือที่ในยุโรปเรียกกันเป็นมาตรฐานว่า “Data Privacy & Protection” ครั้งใหญ่ที่สุดในรอบ 20 ปี และมีผลบังคับใช้ให้กับธุรกิจทุกประเภทที่มีการให้บริการให้กับผู้ใช้ที่อยู่ในเขตสหภาพยุโรปหรือมีการทำงานกับข้อมูลของผู้ใช้ที่มาจากประเทศในกลุ่มนี้เป็นนัยสำคัญ ไม่ว่าบริษัทนั้นจะตั้งอยู่ในเขตยุโรปจริงหรือไม่ก็ตาม จึงได้ส่งผลกระทบต่อธุรกิจดิจิตอลทั่วโลกเป็นอย่างมาก ตามที่บางท่านอาจสังเกตว่ามีการส่งอีเมลจากบริการอินเทอร์เน็ตเหล่านั้นในระยะเวลาใกล้ๆกัน รวมถึงการแสดงกล่องข้อความต่างๆเกี่ยวกับเรื่องนี้ในแอปพลิเคชันชื่อดังที่เราใช้กันอยู่เป็นประจำ
ทั้งนี้ แม้ข้อบังคับชุดนี้จะได้เริ่มใช้งานแล้ว แต่ยังมีหลายบริษัทที่ยังไม่ทราบถึงการมีตัวตนของกฏหมายชุดนี้ ในครั้งนี้ รวมถึงเพื่อเป็นการทำความเข้าใจสิทธิ์ของเราในฐานะผู้บริโภค ผมจึงขออนุญาตนำภาพรวมและผลกระทบของมันในมุมต่างๆมาเล่าให้ฟังกันในบทความนี้ครับ
ข้อบังคับต่างๆในชุดกฏหมาย GDPR นั้นมีรายละเอียดค่อนข้างมากในระดับที่ควรอาศัยการว่าจ้างฝ่ายกฏหมายที่มีเชี่ยวชาญในเรื่องนี้เพื่อมาเป็นที่ปรึกษาในการปรับและสร้างบริการที่จะช่วยให้การให้บริการของธุรกิจเป็นไปตามข้อบังคับของกฏหมาย แต่เพื่อทำความเข้าใจภาพรวมแล้ว อาจสรุปโดยสังเขปได้ว่า เพื่อให้บริการของธุรกิจเป็นไปตามข้อบังคับของ GDPR ธุรกิจนั้นๆจำเป็นที่จะต้องสามารถแสดงว่า
1) ข้อมูลส่วนตัวของผู้ใช้งานนั้น ได้ถูกจัดเก็บไว้ที่ไหน
2) เซิฟเวอร์ที่จัดเก็บและใช้งานข้อมูลเหล่านั้น ตั้งอยู่ที่ใด
3) มีใครที่สามารถเข้าถึงข้อมูลเหล่านั้นได้อีกนอกจากธุรกิจนั้นๆ และ
4) ข้อมูลที่จัดเก็บนั้นมีอะไรบ้าง และข้อมูลใดถูกใช้งานบ้าง เพื่อเหตุใด
“ข้อมูลส่วนตัว” ดังกล่าวนั้นครอบคลุมทุกๆเรื่องตั้งแต่ สถานที่ใช้งาน ข้อมูลสุขภาพ ข้อมูลการเงิน หรือข้อมูลที่เราระบุไว้ตามโซเชียลเน็ตเวิร์คเพื่อระบุรสนิยมหรือประวัติของเรา อย่างเช่น ภาพยนตร์ที่เราชอบ สถานที่ที่เราทำงาน และข้อมูลอื่นๆใดๆก็ตามที่จะสามารถทำให้ระบบคอมพิวเตอร์สามารถระบุตัวตนของเราได้ โดยผู้ใช้ทุกคนจะต้องได้รับการแจ้งล่วงหน้าอย่างชัดเจนในระดับที่ไม่ได้สามารถกดผ่านได้ง่ายๆเหมือนข้อตกลงการใช้บริการของหลายๆบริการ ว่าข้อมูลส่วนบุคคลของเราจะได้รับการจัดเก็บและถูกใช้ไปในทางใด โดยแม้ผู้ใช้จะยอมให้ผู้ให้บริการ ทำหน้าที่เป็น “ผู้จัดเก็บข้อมูล” เก็บรักษาข้อมูลได้ แต่ผู้ใช้ก็จะต้องยังสามารถเลือกที่จะไม่ให้ “ผู้ใช้ข้อมูล” อย่างเช่นบริษัทโฆษณา เข้าถึงข้อมูลส่วนบุคคลเหล่านั้นได้อีกด้วย
GDPR มีผลต่อธุรกิจทุกประเภทที่มีการใช้งานข้อมูลใดๆก็ตามที่เกี่ยวข้องกับบุคคลหรือพฤติกรรมของบุคคล หรือที่เรียกว่า “ข้อมูลส่วนบุคคล” โดย รวมไปถึงข้อมูลตั้งแต่ ชื่อ นามสกุล ที่อยู่ผู้ใช้ บัตรประชาชน ไปจนถึงตำแหน่งที่ตั้งของผู้ใช้งานที่ดึงมาจากระบบ GPS ของโทรศัพท์มือถือ หรือ IP Address ของผู้ใช้งาน และมีกฏข้อบังคับพิเศษสำหรับกลุ่มธุรกิจที่มีข้อมูลเชิงลึกอย่าง เพศสภาพ เชื้อชาติ ความคิดเห็นทางการเมือง ข้อมูลสุขภาพ ฯลฯ ที่ถูกจัดว่าเป็นกลุ่มข้อมูล “Sensitive data” และ ข้อมูลที่เกี่ยวข้องกับผู้ยังไม่บรรลุนิติภาวะอีกด้วย
ธุรกิจที่มีการใช้งานข้อมูลดังกล่าวนั้นไม่จำเป็นจะต้องมีการตั้งถิ่นฐานอยู่ในสหภาพยุโรป แต่หากมีการวิเคราะห์ ติดตาม หรือให้บริการกับผู้ใช้ในสหภาพยุโรปก็จำเป็นที่จะต้องปฏิบัติตามกฏหมายชุดนี้ โดยจะถูกจัดกลุ่มระหว่างกลุ่ม “ผู้ใช้ข้อมูล” หรือ “Data Processor” และกลุ่ม “ผู้ควบคุมข้อมูล” หรือ “Data Controller” โดยบางธุรกิจอาจมีบทบาททั้งสองอย่างก็เป็นได้ และจะต้องทำตามกฏข้อบังคับที่เกี่ยวข้องกับข้อมูลทั้งสองกลุ่ม
การแบ่งกลุ่มแบบนี้ หมายความว่าแม้ว่าธุรกิจของคุณจะเป็นเพียง “ผู้ใช้ข้อมูล” ที่ได้มาจาก บริษัทผู้ให้ข้อมูลอื่นๆ อย่างเช่น การใช้บริการโฆษณาในลักษณะการเลือกกลุ่มเป้าหมายตามการจัดกลุ่มประเภทลูกค้า อย่างเช่น กลุ่มผู้มีอายุ 20-30 หรือกลุ่มผู้จบการศึกษาปริญญาตรี คุณก็จะต้องทราบและปฏิบัติตามกฏข้อบังคับ GDPR และมีความรับผิดชอบในการสืบสวน ติดตาม และยืนยันว่าข้อมูลที่ได้มานั้น มาจากแหล่งข้อมูลที่มีการปฏิบัติตามกฏ GDPR อันเกี่ยวข้องกับการยินยอมให้ใช้ข้อมูลแล้วเช่นกันอีกด้วย
ซึ่งนิยามดังกล่าวนี้ แปลว่าเว็บไซท์สื่อที่มีการติดตั้งเครื่องมือติดตามวิเคราะห์การใช้งานผู้ใช้ที่เรียกกันว่าเครื่องมือ Web Analytics อย่างเช่น Google Analytics หรือ Facebook Pixel นั้น ก็จำเป็นจะต้องมีการปฏบัติตามกฏ GDPR รวมไปถึงธุรกิจอีคอมเมิร์ซที่มีการค้าขายให้กับบุคคลที่อยู่ในสหภาพยุโรปอีกด้วย
จะเห็นว่ากฏข้อบังคับนี้ค่อนข้างครอบคลุมและถูกออกแบบมาเพื่อรักษาความเป็นส่วนตัวของผู้บริโภคโดยสำคัญ โดยกลุ่ม Startup ซอฟท์แวร์ที่นิยมเก็บข้อมูลไว้ก่อนเพื่อนำไปใช้ทีหลังจะไม่สามารถนำข้อมูลไปใช้โดยที่เราไม่รู้ตัวได้อีกต่อไป รวมถึงผู้ให้บริการยักษ์ใหญ่อย่าง Facebook, Google ที่มีรายได้มหาศาลจากการนำข้อมูลของผู้ใช้อย่างเราไปสร้างเครื่องมือโฆษณาก็จะต้องทำการใส่ใจการใช้ข้อมูลและการเปิดให้ผู้ใช้ภายนอกใช้ข้อมูลเหล่านี้เป็นอย่างมากอีกด้วย
แต่แม้กฏหมายกลุ่มนี้ จะดูเหมือนออกมาเพื่อควบคุมการใช้ข้อมูลบริษัทเทคโนโลยีชั้นนำและปราบกลุ่มบริษัทที่ใช้ข้อมูลไปในทางที่ไม่ดีแล้ว มันยังน่าที่จะส่งผลต่อการเกิดขึ้นและเติบโตของ Startup ใหม่ๆ อยู่หลายอีกมิติอยู่เช่นกัน ได้แก่
1) ข้อจำกัดจากการที่ต้องลงทุนในเรื่องของการรักษาข้อมูลที่เพิ่มขึ้น
แม้โครงสร้างกฏหมายเหล่นี้จะออกมาเพื่อควบคุมบริษัทซอฟทืแวร์ใหญ่ๆ แต่บริษัทเกิดใหม่ก็จำเป็นที่จะต้องมีการระมัดระวังการใช้ข้อมูล มีการออกแบบมาตรการการใช้ข้อมูล และลงทุนในเรื่องของโครงสร้างข้อมูล กฏหมาย และฝ่ายบริการที่เกี่ยวข้องกับข้อมูลเหล่านี้อีกด้วย จนอาจจะทำให้มีอัตราการเกิดของสตาร์ทอัพที่ลดลงจากข้อจำกัดที่มีมากขึ้น และความสามารถในการต่อสู้ของบริษัทที่มีทรัพยากรเหนือกว่า เพื่อใช้กฏหมายมาปราบบริษัทเกิดใหม่ที่มีขนาดเล็กกว่าและมีเวลาและทรัพยากรไม่เท่ากัน
2) ลักษณะธุรกิจของบริษัทที่ฟรี อาจแพ้ทางให้กับธุรกิจที่มีการเก็บค่าบริการ
ในยุคที่ผ่านมา มี Startup จำนวนมากที่ระดมทุนจากนักลงทุนได้โดยยังไม่มีโมเดลธุรกิจแต่มีจำนวนผู้ใช้งานจำนวนมาก เพราะนักธุรกิจคาดหวังว่าบริษัท Startup เหล่านี้ อาจได้รับการซื้อโดยบริษัทเทคโนโลยีที่ใหญ่อยู่แล้ว หรือสามารถนำข้อมูลผู้ใช้มาสร้างรายได้จากการขายข้อมูลเพื่อทำการโฆษณา ซึ่งการทำธุรกิจในลักษณะนี้จะมีความเสี่ยงมากขึ้นในอนาคตว่าผู้ใช้อาจจะไม่ยินยอมให้นำข้อมูลไปใช้ในลักษณะดังกล่าว รวมถึงตุนทุนในการจัดเก็บและให้บริการข้อมูลตามข้อบังคับของ GDPR ซึ่งในขณะเดียวกัน ธุรกิจที่ออกแบบมาแบบมีวิธีการหารายได้และโครงสร้างราคาที่ชัดเจน พร้อมจำนวนผู้ใช้ที่ยอมเสียเงินให้กับบริการเหล่านั้น อาจได้รับความสนใจจากนักลงทุน และสามารถมีทรัพยากรที่โดดเด่นกว่าบริษัทในกลุ่มแรกที่เคยต่อสู้กับคู่แข่งอย่างง่ายดายจากทั้งราคาที่ฟรี และทรัพยากรที่หนุนหลังอยู่จากนักลงทุน เป็นต้น
3) วิธีทำการตลาดของบริษัทซอฟท์แวร์
ที่ผ่านมา บริษัทซอฟท์แวร์มักมีวิธีการเติบโตที่ใช้ประโยชน์จากความสามารถของเครื่องมือโฆษณาในปัจจุบันเป็นอย่างสูง แต่ภายใต้สภาพแวดล้อมที่มีชุดกฏหมาย GDPR ได้รับการบังคับ และการถูกกล่าวหาเรื่องความปลอดภัยของข้อมูลและการนำข้อมูลไปใช้ในเชิงเหยียดผิวโดยการเลือกโฆษณาใส่กลุ่มเป้าหมายเฉพาะสีผิวบางสีของ Facebook แล้ว เครื่องมือโฆษณาต่างๆที่ได้รับความนิยมเริ่มได้มีการลดทอนความสามารถในการเล็งกลุ่มเป้าหมายแล้ว รวมถึงการจำกัดสิทธิ์ในการเข้าถึงข้อมูลที่มาจากบริษัทผู้ให้ข้อมูลภายนอกที่ผู้ใช้ไม่ได้ให้ความยินยอมมาก่อน ทำให้ความแม่นยำของการสื่อสารน้อยลง และอาจเกิดการใช้เครื่องมือตลาดที่ไม่ใช่ดิจิตอลมากขึ้นเช่นเดียวกัน
สุดท้ายแล้ว กฏหมายจะมีความศักดิ์สิทธิก็ต่อเมื่อมันได้ถูกบังคับใช้ และการที่ GDPR นั้นอยู่ภายใต้การออกแบบและควบคุมของสหภาพยุโรปนั้น ก็เป็นหนึ่งในเหตุผลที่บริษัทเทคโนโลยีทั่วโลกต่างให้ความสำคัญในการปฏิบัติตามเป็นอย่างสูง เพราะสหภาพยุโรปนั้นขึ้นชื่อในเรื่องของการปกป้องความเป็นส่วนตัวของผู้บริโภค ยกตัวอย่างเช่น Google Maps ที่ถูกบังคับให้เซ็นเวอร์บ้านของบุคคลต่างๆในแผนที่ของตนเองในประเทศเยอรมนี เป็นต้น
สำหรับ GDPR นี้ จะมีหน่วยงานที่ช่วยตรวจสอบและบังคับใช้งานกว่า 44 หน่วยงานที่แตกต่างกัน และหากบริษัทใดถูกตรวจสอบและค้นพบว่าทำผิดแล้ว จะสามารถถูกลงโทษได้มากถึง 4% ของรายได้ทั่วโลก หรือ 20 ล้านยูโร แล้วแต่ว่าจำนวนใดจะสูงกว่ากัน
จึงเป็นเรื่องที่น่าสนใจว่าบริษัทรายใดจะเป็นบริษัทแรกที่ได้รับบทลงโทษนี้ เพราะสหภาพยุโรปนั้นน่าที่จะต้องการบริษัทตัวอย่างในการแสดงว่ากฏหมายนี้ “เอาจริง”
ที่ผ่านมา บริษัทที่มีข้อมูลจำนวนมากนั้น ส่วนใหญ่แล้วอาจไม่รู้ด้วยซ้ำว่าข้อมูลต่างๆนั้นถูกเก็บไว้ที่ไหนบ้าง และมีใครได้นำข้อมูลของตนเองไปใช้ในทางใดบ้าง จากการที่มีผู้ใช้และบริการจำนวนมากอยู่ทั่วโลก และขณะเดียวกัน บริษัท Startup เกิดใหม่ก็จะมีต้นทุนทั้งเรื่องของการเงิน และเวลา ที่จะต้องให้ความสำคัญกับข้อมูลเหล่านี้เป็นอย่างมาก
แต่อย่างไรก็ตาม เรื่องนี้อาจทำให้ธุรกิจยุคใหม่ให้ความสำคัญกับรายได้และต้นทุนของตนเองมากขึ้น รวมถึงการมีวิธีการจัดเก็บรายได้ที่ชัดเจน รวมไปถึงมีการจัดเก็บข้อมูลผู้ใช้อย่างมีกลยุทธ์ ไม่ปล่อยให้รั่วไหลจนเกิดการนำไปใช้ในทางที่ผิดเหมือนที่ผ่านมา
การที่โครงสร้างกฏหมายชุดนี้ได้รับความสำคัญ จึงอาจเกิดผลกระทบอีกมากมายที่คาดไม่ถึง และไม่ว่ามันจะออกมาเป็นอย่างไร ก็น่าจะมีทั้งผู้ที่ได้รับผลกระทบในทางลบ และทางบวกอย่างคาดไม่ถึงอย่างแน่นอนครับ
–-
เลอทัด ศุภดิลก
กรรมการผู้จัดการ บริษัท เซลสุกิ จำกัด
www.sellsuki.co.th
