แม้จะยังไม่มีบทพิสูจน์ที่แน่ชัดว่ามีการใช้ข้อมูลผู้เล่นเฟซบุ๊กจำนวนมหาศาลไปกับการทำแคมเปญศึกชิงตำแหน่งประธานาธิบดีคนที่ 45 ของสหรัฐอเมริกา โดยบริษัทข้อมูลอย่างเคมบริดจ์ อะนาไลติกาจริงหรือไม่ แต่เชื่อว่านาทีนี้ ไม่ว่าภาคส่วนใดต่างก็เกิดความรู้สึกสั่นคลอนกับความน่าเชื่อถือของเฟซบุ๊กมากขึ้นทุกที
โดยในด้านการป้องกัน ผู้ช่วยศาสตราจารย์ ดร.ภูมินทร์ บุตรอินทร์ ผู้ช่วยอธิการบดีฝ่ายวิชาการและวิจัย ศูนย์ลำปาง มหาวิทยาลัยธรรมศาสตร์ ในฐานะผู้เชี่ยวชาญด้านกฎหมาย….เปิดเผยว่า
“นอกจาก พรบ.ความมั่นคงทางไซเบอร์แล้ว เรายังมีอีกหนึ่งตัวก็คือ (ร่าง) พรบ. ว่าด้วยข้อมูลส่วนบุคคล ซึ่งมันยังไม่เรียบร้อย มันเป็นแค่ร่างฯ อยู่ แต่ต้องบอกว่าตรงนี้เป็นเรื่องสำคัญ เพราะชุดข้อมูลที่เราป้อน หรือเขียนลงไปบนโซเชียลมีเดียเนี่ย มันควรจะได้รับความคุ้มครอง เพราะว่า ในปัจจุบัน มันไม่มีหลักเกณฑ์
อย่างแรกเราต้องแยกก่อนว่ามันมีข้อมูลประเภทไหนบ้าง เช่น ในสหภาพยุโรป เค้ามีกฎหมายออกมา ชื่อว่า Digital republic ซึ่งเขาจะแยกเลยว่าข้อมูลประเภทไหนบ้างที่ ต้องเปิดเผยให้สาธารณะรับทราบ และข้อมูลส่วนไหนบ้างที่ห้าม
ทีนี้พอมาเทียบกับของเรา เรายังไม่มี ดังนั้น ดาต้าจำนวนนึง
“ปัจจุบันมีข้อมูลบางอย่างที่ไม่ได้รับความคุ้นครองเลยตามกฎหมายไทย
ดาต้ากับอินฟอร์เมชัน ดาต้าคือข้อมูล อินฟอร์คือสารสนเทศ ข้อมูลที่เป็นสารสนเทศอันนี้อาจเป็นลักษณะตามกฎหมาย เช่น ลิขสิทธิ์ แต่ข้อมูลบางอย่าง มันไม่ได้รับความคุ้มครองเลยตามกฎหมายไทย มันเลยกลายเป็นว่า เวลาเราไปใช้บริการแพลตฟอร์มเทคโนโลยีแบบต่าง ๆ เช่น เฟซบุ๊ก ยูทูป เวลาเราจะเข้าไปใช้บริการ จะมีสัญญาในลักษณะมัดมือชก ที่กดได้เพียงแค่ยอมรับกับปฏิเสธ ซึ่งถ้ายอมรับก็ต้องยอมรับไปทั้งหมด ที่ข้อมูลต่าง ๆ ที่เราใส่เข้าไปในแพลตฟอร์มเขาทั้งหมด ต้องยอมให้เขาเอาไปใช้ในเชิงพาณิชย์ ยกตัวอย่างเช่น ผมชอบโพสต์ภาพกินเหล้าเมายา ก็อาจจะไปมีผลกระทบต่อค่าเบี้ยประกันที่ผมอาจต้องจ่ายเงินมากขึ้นกว่าเดิม หากบริษัทประกันไปขอซื้อข้อมูลเหล่านี้จากแพลตฟอร์ม
อันี้คือสิ่งที่เกิดขึ้นประเด็นที่หนึ่ง
ประเด็ฯที่สองคือ ตอนนี้มันมีประเด็นการคุ้มครองข้อมูลส่วนบุคคลในชื่อ GDPR เพระาเพิ่งเกิดคดีที่ปรับกูเกิลไปในมูลค่าที่สูงมาก เพราะเขากำหนดไปว่าให้คิดค่าเสียหายในเรท ห้า – ยี่สิบห้าเปอร์เซ็ฯต์ที่ผู้ประกอบการหาได้ทั่วโลก แล้วทีนี้ ในยุโรปมีกรณีหนึ่งที่พบว่าข้อมูลของทนายคนหนึ่งซึ่งเคยเป็นบุคคลล้มละลาย แต่ตอนนี้เขาไม่ล้มละลายแล้ว แต่ถ้าเสิร์ชในกูเกิลก็จะเจอข้อมูลที่บอกว่าคนนี้เป็นคนล้มละลาย ตรงนี้เป็นเรื่องที่เจ้าตัวสามารถใช้สิทธิในการลบข้อมูลของเขาได้ ถ้าแจ้งเตือนผู้ให้บริการแล้วไม่ลบก็จะดำเนินคดีตามกฎหมายได้ ซึ่งตรงจุดนี้มันก็ผูกพันมาถึงรัฐไทยด้วย เพราะเขามีการใช้อำนาจในลักษณะของการคุ้มครองคนที่ถือสัญชาติของสหภาพยุโรปในไทยด้วย ที่ผู้ให้บริการไทยให้บริการ
ถ้าย้อนดูกฎหมายของไทย ก็คงต้องบอกว่าไม่มีอะไรเป็นชิ้นเป็นอัน อย่างมาก็คือ พรบ.คอมพิวเตอร์ที่มีการแฝงอยู่บางมาตราเรื่องการนำข้อมูลของบุคคลอื่น มาโพสต์หรือมาเข้าถึงโดยไม่ชอบ แต่พอเป็นประเด็นที่เราถามคือเข้าถึงโดยชอบไง เพราะเราเซ็นสัญญากับผู้ให้บริการ แต่ผู้ให้บริการประมาทเลินเล่อหรือเปล่า ทำให้ข้อมูลหลุดออกไป
ในมุมของผมไม่มีการคุ้มครองที่ชัดเจน ก็ต้องไปหาหลักกฎหมายที่สอดแทรกเป็นเรื่องเล็กเรื่องน้อยอยู่ในกฎหมายต่าง ๆ นี้มาใช้
เรื่องไหนที่ผมค่อนข้างเป็นห่วงคือ ถ้ารัฐไทยรู้ไม่ทันเทคโนในปัจจุบัน ก็จะไม่รู้ว่าต้องออกกฎยังไงให้สอดคล้องกับความเป็นจริง โดยเฉพาะในปัจจุบัน ที่มีการนำเอาระบบออโตเมชัน ปัญญาประดิษฐ์ เข้ามาใชในการทำบิ๊กดาต้า รวบรวมข้อมูลไป แล้วปัญญาประดิษฐ์เองก็ทำงานตามอัลกอริธึมของเขา ซึ่งตรงนี้รัฐต้องมา regulate ให้ถูกว่าคนที่เป็นเจ้าของ หรือคนที่รับผิดชอบต่าง ๆ เหล่านี้ ควรจะต้องทำอะไรบ้าง และระบบซีเคียวริตี้ของประเทศด้วย
คือไม่ใช่ไปมองในเรื่องของความมั่นคงในเรื่องของการใช้อำนาจ เช่น พรบ. ความมั่นคงไซเบอร์ มันเป็นการใช้อำนาจ ในการล้วง หรือเข้าไปดูข้อมูลที่เกี่ยวกับความมั่นคง แต่ในความเป็นจริง รัฐเนี่ยต้องสร้างซีเคียวริตี้ อินฟราสตรักเจอร์ที่มันเกี่ยวกับเรื่องโครงข่ายให้มีความมั่นคงมากกว่านี้
ตอนนี้รัฐก็ทำบางเรื่องเช่น บล็อกเชน เพียงแต่ว่ารัฐไปสนใจแต่เรื่อง ICO แต่เรื่องไพรเวซี่เป็นเรื่องใหญ่ ถ้าเทียบกับในสหภาพยุโรป การใช้เอไอ มันเป็นการรวมกันของเครื่องจักรกับข้อมูล ทีนี้ เราไม่เคยคลาสสิฟายเลยว่า ข้อมูลแบบไหนที่ผู้ประกอบการจะเอาไปได้
หรืออีกประเด็นนึงที่ควรจะบัญญัติให้ชัดในกฎหมายเลยก็คือ ข้อมูลสาธารณะอะไรบ้างที่ ปชช.ควรจะรู้ เช่น ผู้ประกอบการที่ให้บริการเขียนอัลกอริธึมเพื่อนำข้อมูลของประชาชนไปใช้วิเคราะห์ หรืออะไรก็ตาม
คือเราอินพุทมันเข้าไป แต่เอาท์พุทมันออกมา ปชช.ไม่เคยรู้เลยว่ามันถูกต้อง
มันไปเชื่อมโยงกับอีกเรื่องนึงด้วยนั่นคือ Data juridiction เช่น GDPR ประเด็นเช่นว่า คูสัญญาเกิดอยู่คนละประเทศแล้วเกิดผิดสัญญากัน เช่นข้อมูลผมถูกเอาไปใช้ที่เมกา แล้วกฎหมายไทยไม่มีอะไรรองรับเลยว่า ถ้าเกิดกรณีอย่างนี้จะทำยังไง ถ้าให้ขึ้นเฉพาะศาลไทย มันก็แก้ปัญหาไม่ได้อยู่ดี
GDPR จะมีการกำหนดในลักษณะที่ว่า ผู้ประกอบการที่จะเอาข้อมูลไปใช้จะต้องตั้งนิติบุคคลในสหภาพยุโรป หรือว่ามีตัวแทนที่บังคับสิทธิกันได้ ผมว่าในอนาคต เทคโนโลยีสมาร์ทคอนแทรกที่เป็นส่วนหนึ่งของบล็อกเชนจะถูกนำไปใช้แก้ปัญหานี้ได้มากขึ้น
ผมกำลัง
ผู้ช่วยอธิการบดีฝ่ายวิจัยและบริการวิชาการ ศูนย์ลำปาง มหาวิทยาลัยธรรมศาสตร์
