หน่วยงานรัฐของฝรั่งเศส สั่งปรับเงิน Google เป็นจำนวน 57 ล้านดอลลาร์ (ราว 1,880 ล้านบาท) ข้อหาละเมิดกฎหมายความเป็นส่วนตัวของผู้บริโภค หรือ GDPR ถือเป็นครั้งแรกที่มีการลงโทษยักษ์ใหญ่ด้านเทคโนโลยีของสหรัฐ นับแต่มีการบังคับใช้กฎนี้ เมื่อปีที่แล้ว

บทลงโทษครั้งนี้เกิดขึ้น ภายหลัง ฝ่ายคุ้มครองข้อมูลส่วนบุคคลของฝรั่งเศส หรือ CNIL ซึ่งเริ่มดำเนินการตรวจสอบตั้งแต่ 25 พ.ค. ปีที่แล้ว ระบุว่า Google ไม่มีการแจกแจงรายละเอียดที่ชัดเจนต่อผู้ใช้ ว่าได้เก็บข้อมูลส่วนบุคคลในรูปแบบใด และนำข้อมูลไปใช้ประโยชน์อย่างไรบ้าง นอกจากนี้ ยังแสดงโฆษณาแบบ personalized ads โดยไม่ได้รับความยินยอมจากผู้ใช้

CNIL สรุปว่า การดำเนินงานของ Google เข้าข่ายละเมิดกฎหมายคุ้มครองข้อมูลทั่วไปของยุโรป (General Data Protection Regulation หรือ GDPR) ซึ่งเริ่มใช้เมื่อปีที่แล้ว แม้ทางบริษัทฯ จะชี้แจงว่าได้ปรับแนวทางการทำธุรกิจบางส่วน เพื่อให้สอดคล้องกับกฎดังกล่าวแล้วก็ตาม

หลังรับทราบบทลงโทษ ทาง Google ยังไม่ได้ชี้แจงอะไรเพิ่มเติม นอกจากระบุว่ากำลังพิจารณาว่าจะดำเนินการอย่างไรต่อไป แต่พร้อมจะปรับเปลี่ยนเพื่อให้เป็นไปตามกฎหมาย

อย่างไรก็ตาม Google ไม่ใช่รายเดียวที่ถูก CNIL ตรวจสอบเรื่องนี้ เพราะ Facebook และบริษัทในเครืออย่าง Instagram และ WhatsApp ซึ่งมีโมเดลธุรกิจใกล้เคียงกัน ก็อยู่ในข่ายเช่นกัน

ด้าน แม็กซ์ ชเรมส์ ผู้นำขององค์กรไม่แสวงผลกำไร Noyb.eu (None of Your Business) กล่าวแสดงความยินดีกับการที่หน่วยงานรัฐ เริ่มต้นบังคับใช้กฎหมายนี้ เพื่อควบคุมและลงโทษบริษัทที่ละเมิดความเป็นส่วนตัวของผู้ใช้งานอย่างจริงจัง

อย่างไรก็ตาม ยังมีบางเสียงที่เห็นว่า โทษปรับครั้งนี้เบาบางเกินไป เช่น La Quadrature du Net หนึ่งในกลุ่มที่ยื่นเรื่องร้องเรียน กล่าวว่าโทษปรับเงิน “ต่ำมากเมื่อเทียบกับผลประกอบการประจำปีของพวกเขา”

AHEAD TAKEAWAY

GDPR คืออะไร?
GDPR เป็นกฏหมายคุ้มครองข้อมูลส่วนบุคคลของพลเมืองในสหภาพยุโรป (EU) ซึ่งเริ่มบังคับใช้ตั้งแต่ 25 พ.ค. ปีที่แล้ว

เป็นการรวบรวมกฎหมายที่เกี่ยวข้องหลายฉบับเข้าด้วยกัน และเพิ่มบทลงโทษที่ชัดเจนมากขึ้น เพื่อให้สอดคล้องกับหลายธุรกิจในปัจจุบัน

โดยเฉพาะกลุ่มการโฆษณาและการตลาดออนไลน์ ที่ให้บริการแก่ผู้ใช้โดยไม่คิดมูลค่า แลกกับการนำข้อมูลไปใช้ประโยชน์ในทางใดทางหนึ่ง

GDPR ไม่ได้คุ้มครองเฉพาะข้อมูลพื้นฐาน อย่าง ชื่อนามสกุล อีเมล เบอร์โทร หรือที่อยู่ แต่ยังครอบคลุมข้อมูลอื่นๆที่ย้อนกลับมาบ่งชี้ตัวตนของบุคคลนั้นด้วย เช่น เลข IP, รูปโพรไฟล์ ฯลฯ

บริษัทที่ถือครองข้อมูลเหล่านี้ไว้ จึงต้องควบคุมการใช้อย่างเหมาะสม รวมถึงจัดเก็บให้ปลอดภัยด้วย เพราะตัวกฎหมายให้ความสำคัญกับปัญหาการรั่วไหลของข้อมูล (data breach)

หากเกิดขึ้น บริษัทฯเหล่านั้นจะต้องรายงานเหตุการณ์ต่อหน่วยงานกำกับดูแลที่เกี่ยวข้อง และผู้บริโภคด้วย

Google ผิดตรงไหน?
ในกรณีนี้ CNIL มองว่า Google ทำผิดในสองกรณีหลัก

คือทั้งไม่ได้ระบุชัดเจนว่าดึงข้อมูลผู้ใช้งานอะไรไปบ้าง และก็ไม่ได้มีการขอความยินยอมจากผู้ใช้ ในการแสดงโฆษณาแบบ personalized ads ซึ่งในข้อตกลงกับผู้ใช้งานมีความคลุมเครืออยู่

เพราะบริษัทฯมีผลิตภัณฑ์และบริการหลายตัวทำงานซ้อนกันอยู่เช่น ในระบบปฏิบัติการแอนดรอยด์ มีการรันแอพ Google Maps, YouTube หรือ Play Store

แม้ผู้ใช้จะตั้งค่าความเป็นส่วนตัวได้ แต่ CNIL ยืนยันว่ายังไม่เพียงพอ เพราะท้ายที่สุด ก็มีการกำหนดให้ผู้ลงทะเบียน ต้องยอมรับ ข้อตกลงและเงื่อนไขโดยสมบูรณ์ เพื่อสร้างบัญชีใช้งานอยู่ดี

ผลที่จะตามมา?
ถึงจะมีเสียงทักท้วงว่าบทลงโทษนั้นเบาเกินไป แต่ก็อาจนับเป็นจุดเริ่มต้นของการเปลี่ยนแปลงสำคัญก็ได้ หลังจากที่ผ่านมา ข้อมูลส่วนตัวผู้บริโภคถูกนำไปใช้ประโยชน์มากมาย โดยที่เจ้าของข้อมูลตัวจริงไม่ได้รับรู้อย่างที่ควรจะเป็น

เอสแตลล์ มาสเซ่ ผู้เชี่ยวชาญด้านการปกป้องข้อมูล ของกลุ่มผู้สนับสนุน Access Now กล่าวว่าการพิจารณาคดีของฝรั่งเศสครั้งนี้ ถือเป็น “สัญญาณแรกที่ยิ่งใหญ่” เกี่ยวกับความตั้งใจของยุโรปในการบังคับใช้กฎหมายฉบับนี้ และคาดหวังว่าจะมีการลงโทษบริษัทอื่นต่อไปอย่างเข้มงวด

“Google ไม่ใช่คนเดียวที่ทำสิ่งนี้ นี่เป็นสิ่งสำคัญสำหรับพวกเขาในฐานะบริษัทใหญ่ แต่ก็ยังรวมถึงบริษัทใหญ่รายอื่นๆ ด้วย”

ด้านองค์กรคุ้มครองผู้บริโภคของสหรัฐฯ ก็ยังแนะนำให้รัฐบาลของ โดนัลด์ ทรัมป์ ตามรอยทางฝั่งยุโรป ด้วยการกำหนดข้อบังคับลักษณะนี้ขึ้นบ้าง

มาร์ค โรเทนเบิร์ก ผู้อำนวยการบริหารศูนย์ข้อมูลความเป็นส่วนตัวทางอิเล็กทรอนิกส์ Electronic Privacy Information Center กล่าวว่า “คำถามสำคัญคือ หลายปีมานี้ ทำไมคณะกรรมาธิการการค้าของรัฐบาลกลาง (FTC) ถึงไม่สามารถต่อกรกับบริษัทเทคโนโลยีเหล่านี้ได้เลย”

สำหรับในบ้านเรา GDPR อาจจะมีผลกระทบเฉพาะกลุ่มผู้ให้บริการ เว็บไซต์ไทยและบริการออนไลน์ต่างๆ เช่น เว็บค้นหาและจองที่พัก, โฮมสเตย์, กิจกรรมท่องเที่ยวต่างๆ ฯลฯ ที่มีลูกค้าเป็นชาวยุโรป

ส่วนในกรณีของผู้บริโภคทั่วไปนั้น อาจจะต้องพึ่งพากฎหมายในประเทศ ที่มีลักษณะคล้ายๆกัน คือ ร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล แทน

แต่หากยังจำเป็นต้องใช้บริการของบริษัทเทคโนโลยีเหล่านี้แล้ว ก็คงไม่มีทางเลือกอื่น นอกจากกดยอมรับเงื่อนไขอยู่ดี

 

เรียบเรียงจาก
France fines Google nearly $57 million for first major violation of new European privacy regime

 

AHEAD.ASIA นวัตกรรม ล้ำหน้า