เมื่อวันที่ 15 ธันวาคม 2557 อินเทอร์เน็ตโซไซตี้ (Internet Society – ISOC) ร่วมกับบริษัทวิจัยและที่ปรึกษาทางด้านโทรคมนาคมและไอซีที TRPC และ International Institute of Communications (IIC) ได้จัดการประชุมว่าด้วย “ความเป็นส่วนตัวในโลกอินเทอร์เน็ตของสรรพสิ่ง” (Privacy in an Internet of Things World) ณ โรงแรมเดอะ เวสทิน แกรนด์ สุขุมวิท โดยมีวิทยากรและผู้ร่วมประชุม ทั้งที่เป็นนักวิชาการและผู้ที่ทำงานเกี่ยวข้องกับแวดวงอินเทอร์เน็ตทั้งไทยและต่างประเทศเข้าร่วม
“เราต้องทำให้แน่ใจว่า Big Data จะเคารพความเป็นส่วนตัว”
ในการประชุมครั้งนี้ วิทยากรท่านหนึ่งซึ่งทำงานด้านนโยบายกฎหมายในภูมิภาคเอเชีย-แปซิฟิก ได้มาพูดถึงประเด็นของ Big Data และความเป็นส่วนตัวในหัวข้อ “คิดถึงความเป็นส่วนตัวเสียใหม่เพื่อกระตุ้นนวัตกรรม” (Rethinking Privacy to Spur Innovation) โดยกล่าวว่า
Big Data มีศักยภาพในการแก้ปัญหาหลายอย่างที่สังคมกำลังเผชิญอยู่ โดยเฉพาะปัญหาที่ในปัจจุบันเรายังไม่สามารถหาวิธีแก้ไขได้ ซึ่งพลังของ Big Data ขึ้นอยู่กับความสามารถในการวิเคราะห์ข้อมูลปริมาณมหาศาลของนักวิทยาศาสตร์ แพทย์ วิศวกร นักวางผังเมือง นักการศึกษา นักวิชาการ และผู้เชี่ยวชาญอื่นๆ เพื่อแก้ปัญหาสังคม Big Data จึงเป็นสิ่งที่น่าตื่นเต้น
ทว่าการจะนำ Big Data มาใช้ประโยชน์ได้ เราต้องเผชิญกับความท้าทายในเรื่องความเป็นส่วนตัวและการคุ้มครองข้อมูล โดยเราต้องสนับสนุนเสรีภาพในการนำข้อมูลเหล่านี้มาใช้ แต่ในขณะเดียวกันก็ต้องใช้ข้อมูลอย่างมีความรับผิดชอบด้วย ซึ่งหลักการในเรื่องความเป็นส่วนตัวที่ใช้กันมานานยังคงใช้ได้กับ Big Data
หลักการเหล่านี้มี อาทิ ความโปร่งใส (transparency) ซึ่งการที่บริษัทมีความโปร่งใสจะทำให้ผู้คนเชื่อมั่นในวิธีที่บริษัทเก็บข้อมูลรวมถึงข้อมูลที่บริษัทเก็บ ในการนี้ การขอความยินยอม (consent) จากเจ้าของข้อมูลจึงเป็นสิ่งสำคัญ
นอกจากนี้ การเก็บข้อมูลควรจะคำนึงถึงความเสี่ยงที่เกี่ยวข้อง การเก็บข้อมูลบางอย่างอาจนำไปสู่ประโยชน์ก็จริง ทว่าก็อาจมีความเสี่ยงต่อปัจเจกบุคคล การเก็บข้อมูลเหล่านี้จึงต้องคำนึงถึงสิทธิของปัจเจกบุคคลด้วย
ในเรื่องหลักการชี้แจงถึงจุดประสงค์ของการเก็บข้อมูล (purpose specification) นั้น เขากล่าวว่า ปัญหาในเรื่องนี้มีอยู่ว่า ในยุคของ Big Data เราจะนิยามการใช้ข้อมูลที่เหมาะสมได้อย่างไรในสภาพแวดล้อมที่เราไม่สามารถรู้ได้เสมอไปว่า ข้อมูลนั้นอาจก่อให้เกิดประโยชน์อะไรได้ในอนาคต สำหรับ Big Data ข้อมูลที่เราเก็บในวันนี้อาจช่วยให้นักวิทยาศาสตร์ในรุ่นต่อไปค้นพบวิธีการรักษาโรค เราจึงต้องระวังเมื่อจะนิยามจุดประสงค์ของการเก็บข้อมูล เพราะว่าตอนนี้เราไม่อาจบอกได้ว่าข้อมูลนั้นอาจช่วยไขความลับอะไรในอนาคตข้างหน้า
ความปลอดภัย (security) ยังคงเป็นประเด็นที่สำคัญมากเมื่อพูดถึง Big Data อุตสาหกรรมจำเป็นต้องมีนโยบายคุ้มครองความเป็นส่วนตัวและส่งเสริมให้เกิดวิธีการปฏิบัติที่ดี และทำให้การปฏิบัติเหล่านั้นกลายมาเป็นมาตรฐาน นอกจากนี้ ความรับผิด (accountability) ยังเป็นเครื่องมือพื้นฐานที่สำคัญมากเช่นกันในยุคของ Big Data
โดยวิทยากรเน้นย้ำว่า ยุคนี้เป็นยุคของ “data ethic” (จริยธรรมในการใช้ข้อมูล) อุตสาหกรรมจำเป็นต้องใช้ข้อมูลอย่างมีจริยธรรมเพื่อให้เกิดนวัตกรรม รวมทั้งกล่าวด้วยว่า เราสามารถปลดปล่อยพลังของ Big Data ออกมาได้ แต่เราต้องจัดการกับประเด็นความเป็นส่วนตัวให้ถูกต้องเสียก่อน (We can unleash the power of Big Data, but we need to get privacy right first.)
การคุ้มครองข้อมูลดิจิทัล… ข้อมูลที่ไร้พรมแดน
ในวงเสวนาวงถัดมา นักกฎหมายและผู้ให้คำปรึกษาด้านสื่อและเทคโนโลยีอีกท่านได้มาพูดถึงประเด็นความเป็นส่วนตัวกับการคุ้มครองข้อมูลในภูมิภาคเอเชีย ในหัวข้อ “แนวโน้มนโยบายด้านความเป็นส่วนตัวและการคุ้มครองข้อมูลในเอเชีย” (Policy Trends on Privacy and Data Protection in Asia) โดยกล่าวว่า
ในยุคของ Big Data และอินเทอร์เน็ตของสรรพสิ่ง (Internet of Things – IoT) ที่มีอุปกรณ์จำนวนมากสร้างและเก็บข้อมูลอยู่ตลอดเวลานั้น จุดร่วมกันระหว่างกฎหมายคุ้มครองข้อมูลและ Big Data/IoT มีอยู่ใน 2 ประเด็นสำคัญด้วยกัน ประเด็นแรกคือเรื่องของความปลอดภัย (security) กฎหมายของประเทศส่วนใหญ่กำหนดให้ทุกองค์กรต้องมีวิธีการทั้งทางการบริหารจัดการและวิธีทางเทคนิคที่เหมาะสมในการคุ้มครองความปลอดภัยของข้อมูล ซึ่งเป็นสิ่งจำเป็นมากสำหรับ Big Data และ IoT
ประเด็นที่สองคือเรื่องของการเคลื่อนย้ายข้อมูลข้ามพรมแดนประเทศ (cross-border data transfer)
โดยวิทยากรได้ย้อนความในประเด็นที่สองไปว่า ในปี 1995 ประเทศในกลุ่มสหภาพยุโรปได้มีการเซ็นสัญญาร่วมกันเรื่องการรับรองสิทธิมนุษยชน ซึ่งยอมรับว่าคนทุกคนมีสิทธิในความเป็นส่วนตัว และสิทธิดังกล่าวจะต้องได้รับการปกป้อง สหภาพยุโรปจึงมีกฎออกมาควบคุมการจัดการข้อมูล ทั้งการเก็บข้อมูล การนำข้อมูลไปใช้ หรือสิทธิของเจ้าของข้อมูล ซึ่งแม้ว่าแต่ละประเทศในกลุ่มอียูจะมีกฎหมายควบคุมข้อมูลแตกต่างกันออกไปบ้าง แต่ก็มีกรอบใหญ่ร่วมกันอยู่
ซึ่งกฎหนึ่งที่สำคัญคือ อียูมีการกำหนดว่า หากมีการเคลื่อนย้ายข้อมูลข้ามพรมแดน จะต้องทำให้แน่ใจว่าประเทศที่จะส่งออกข้อมูลไปนั้นมีกฎหมายคุ้มครองข้อมูลที่ทัดเทียมกัน (equivalent)
ทว่าสำหรับข้อมูลดิจิทัล ข้อมูลในรูปแบบดังกล่าวเป็นสิ่งที่ไม่มีพรมแดน และหากประเทศหนึ่งตั้งกฎหมายเพื่อกำกับดูแลข้อมูลขึ้นมา แต่ไม่ได้คำนึงถึงเวลาที่ข้อมูลข้ามพรมแดนออกไป กฎหมายที่ตั้งขึ้นมานั้นก็จะไม่มีความหมาย
ซึ่งสำหรับการเคลื่อนย้ายข้อมูลระหว่างประเทศในอียูด้วยกันเองอาจไม่มีปัญหามากนัก เนื่องจากกฎที่กำกับเรื่องนี้มีความคล้ายคลึงกันในระดับหนึ่ง แต่สำหรับประเทศในเอเชีย กฎหมายที่กำกับการคุ้มครองข้อมูลมีความแตกต่างกันมาก เนื่องกฎหมายดังกล่าวในเอเชียมีที่มาต่างกันออกไป
วิทยากรได้ยกตัวอย่างประเทศสิงคโปร์ โดยเขากล่าวว่า ในการออกกฎหมายคุ้มครองข้อมูลของสิงคโปร์นั้น รัฐบาลสิงคโปร์ไม่ได้พูดถึงเรื่องสิทธิมนุษยชนเลย แต่รัฐมองว่าภาคธุรกิจข้อมูลเป็นภาคเศรษฐกิจที่สำคัญของประเทศ การที่สิงคโปร์จะมีการลงทุนทางด้านนี้ สิงคโปร์จำเป็นต้องทำให้ประเทศยุโรปและบรรษัทข้ามชาติสามารถนำข้อมูลเข้ามาไว้ในประเทศได้ สิงคโปร์จึงจำเป็นต้องมีกฎหมายคุ้มครองข้อมูลที่เท่าเทียมกับอียู
เมื่อมองกฎหมายคุ้มครองข้อมูลของสิงคโปร์อย่างผิวเผินจะพบว่าสิงคโปร์มีกฎหมายคุ้มครองข้อมูลคล้ายกับประเทศในกลุ่มอียู แต่ที่จริงแล้ว วิธีการของสิงคโปร์คือการจัดให้มีการคุ้มครองข้อมูลในระดับที่น้อยที่สุดเท่าที่จะเป็นไปได้ เพียงเพื่อจะให้สามารถส่งผ่านข้อมูลจากประเทศในกลุ่มอียูและบรรษัทข้ามชาติเข้ามายังสิงคโปร์ได้
ข้อหนึ่งที่เห็นได้ชัดก็คือ การที่กฎการคุ้มครองข้อมูลดังกล่าวไม่รวมข้อมูลที่อยู่กับรัฐบาลสิงคโปร์ เพราะรัฐบอกว่า นี่เป็นข้อตกลงกันของภาคธุรกิจ ไม่เกี่ยวกับรัฐ เป็นต้น
ขณะที่มาเลเซียนั้นนำกฎหมายบางข้อมาจากสหราชอาณาจักรโดยไม่ได้คำนึงถึงบริบทของประเทศตัวเอง ส่วนเกาหลีใต้ก็มีกฎหมายคุ้มครองข้อมูลที่ต่างออกไปจากประเทศอื่นๆ ในเอเชีย โดยนับได้ว่าเป็นประเทศที่กฎดังกล่าวมีความเข้มงวดที่สุด
ซึ่งวิทยากรกล่าวว่า การที่แต่ละประเทศในเอเชียมีกฎหมายคุ้มครองข้อมูลที่แตกต่างกันมากเช่นนี้เป็นเรื่องที่สำคัญ เพราะสิ่งนี้จะเป็นอุปสรรคต่อการประกอบธุรกิจเกี่ยวกับ Big Data หรือ IoT ในภูมิภาคนี้
อ่านรายงานประชุมที่จัดทำโดย TRPC ได้ ที่นี่