หากมีกฎหมาย PDPA แล้วสามารถวิเคราะห์ Big Data ได้หรือไม่ ?

ดร.ชัยพร เขมะภาตะพันธ์ คณบดีวิทยาลัยนวัตกรรมด้านเทคโนโลยีและวิศวกรรมศาสตร์ (CITE) มหาวิทยาลัยธุรกิจบัณฑิตย์ หรือ DPU ในฐานะผู้เชี่ยวชาญด้านวิศวกรรมคอมพิวเตอร์และมีประสบการณ์ที่ปรึกษาด้านกฎหมาย PDPA เปิดเผยว่า ถึงแม้ว่ากฎหมาย PDPA ( Personal Data Protection Act)  หรือกฎหมายคุ้มครองข้อมูลส่วนบุคคล จะถูกเลื่อนบังคับใช้ในปี 2565 แล้วนั้น แต่มีหลายท่านอาจจะสงสัยว่าถ้ากฎหมาย PDPA เกิดการบังคับใช้แล้วจะมีผลต่อการวิเคราะห์ข้อมูลที่เกี่ยวข้องกับข้อมูลส่วนบุคคลจำนวนมากหรือ Big Data หรือไม่ ซึ่งองค์กรต่าง ๆ ที่มีข้อมูลอยู่ในมือเป็นจำนวนมากมักมีความต้องการที่จะทำการวิเคราะห์ข้อมูลที่องค์กรเก็บไว้อยู่เอง เพื่อเพิ่มประสิทธิภาพการทำงานต่าง ๆ เช่น การเพิ่มยอดขายสินค้า การเจาะกลุ่มเป้าหมายผู้บริโภค การลดต้นทุนการผลิต เป็นต้น

ปกติการวิเคราะห์ข้อมูล Big Data ที่มีข้อมูลส่วนบุคคลของลูกค้าโดยอัตโนมัติมีความเสี่ยงสูง ที่จะมีผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล เนื่องจากผลลัพธ์ของข้อมูลที่ได้มักจะถูกนำไปใช้ทำการตลาด เพื่อการประชาสัมพันธ์ตามลักษณะสินค้าเป็นรายบุคคล หรือการทำการตลาดตามโปรไฟล์ของลูกค้าเป็นรายบุคคลโดยอัตโนมัติซึ่งอาจส่งผลทางกฎหมายต่อเจ้าของข้อมูล ซึ่งคล้ายคลึงกับการทำการตลาดแบบออนไลน์ที่พบในปัจจุบัน เช่น กรณีที่เราเข้าไปค้นหาสินค้าที่เราต้องการในแพลตฟอร์มการซื้อขายออนไลน์  จากนั้นเมื่อเราเข้าใช้งาน Social network หรือเว็บไซต์ต่างๆ จะปรากฏสินค้าในลักษณะดังกล่าวมาแสดงให้เห็นอยู่เป็นประจำ ซึ่งจะมีระบบหลังบ้านมีการวิเคราะห์ข้อมูลความต้องการซื้อสินค้าของเรา รวมถึงระบบตรวจสอบตัวบุคคลทำให้สามารถสร้างการโฆษณาที่แสดงสินค้าที่ตรงกับความต้องการของลูกค้าให้มากที่สุดนั่นเอง

ดร.ชัยพร กล่าวเพิ่มเติมว่า ตามข้อกำหนดของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 นั้นกำหนดไว้ว่าการนำข้อมูลส่วนบุคคลไปใช้ผิดวัตถุประสงค์ที่บุคคลหนึ่งให้ไว้แต่แรกย่อมมีความผิด เช่น องค์กรหนึ่งได้ข้อมูลส่วนบุคคลของลูกค้าจากการขายสินค้าหรือบริการเป็นจำนวนมาก ซึ่งอนุมานได้ว่าเป็นการทำสัญญาทำให้องค์กรสามารถเก็บรวบรวมข้อมูลนี้เพื่อนำไปปฏิบัติตามความจำเป็นของสัญญาได้ เช่น การออกใบเสร็จรับเงิน หรือ การส่งสินค้า เป็นต้น แต่องค์กรนั้นไม่สามารถใช้ข้อมูลส่วนบุคคลดังกล่าวดำเนินการอย่างอื่นนอกเหนือจากเงื่อนไขหรือความจำเป็นที่ต้องปฏิบัติตามสัญญาที่ระบุไว้ได้ ซึ่งหากฝ่าฝืนจะมีความผิดที่จะขัดต่อข้อกำหนดของกฎหมาย เนื่องจากเป็นการวิเคราะห์ข้อมูลเป็นจำนวนมาก อาจส่งผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคลในวงกว้าง ที่สำคัญหากมีข้อมูลที่มีความอ่อนไหวเป็นพิเศษ หรือมีข้อมูลของผู้เยาว์จะมีความผิดมากขึ้นไปอีกด้วย

ดร.ชัยพร กล่าวในตอนท้ายว่า การวิเคราะห์ข้อมูล Big Data จากข้อมูลขององค์กรที่มีอยู่ สามารถทำให้ถูกต้องได้ ทั้งนี้หากข้อมูลที่ต้องการนำมาวิเคราะห์ Big Data มีข้อมูลส่วนบุคคลอยู่ จำเป็นต้องทำให้ข้อมูลที่มีอยู่ไม่สามารถระบุตัวตนของเจ้าของข้อมูลส่วนบุคคลหรือ Anonymize หรือ Masking ข้อมูลส่วนบุคคล หรือการนำเอาแอททริบิวท์ต่าง ๆ ที่เกี่ยวข้องโดยตรงกับข้อมูลส่วนบุคคลออก เช่น ชื่อ นามสกุล บ้านเลขที่ หมายเลขบัตรประชาชน เบอร์โทรศัพท์ บัญชีธนาคาร เป็นต้น ซึ่งอาจทำได้ในกระบวนการ Cleansing data ก่อนจะเริ่มทำการวิเคราะห์ Big Data ต่อจากนั้นต้องตรวจสอบให้มั่นใจว่าไม่มีข้อมูลส่วนไหนที่สามารถทำให้ระบุย้อนกลับมายังเจ้าของข้อมูลส่วนบุคคลได้ อย่างไรก็ตาม หากจำเป็นที่จะต้องมีการคงข้อมูลส่วนบุคคลไว้ในการวิเคราะห์ Big Data องค์กรก็จำเป็นต้องขอความยินยอมหรือขอ Consent จากเจ้าของข้อมูลทั้งหมดที่มีข้อมูลปรากฎอยู่ในข้อมูลก่อนที่จะทำการวิเคราะห์ Big Data ไม่เช่นนั้นอาจได้รับโทษตามกฎหมาย ซึ่งมีตัวอย่างให้เห็นแล้วมากมาย

 

ที่มา: มหาวิทยาลัยธุรกิจบัณฑิตย์