อธิปไตยด้านข้อมูล* หรือ Data Sovereignty (*คือ สิทธิของการเป็นเจ้าของข้อมูล ซึ่งต้องได้รับการปกป้องคุ้มครอง และต้องไม่ถูกนำไปใช้โดยไม่ได้รับการอนุญาต) ไม่ใช่ “เรื่องใหม่” แต่เป็น “เรื่องใหญ่” ที่ไม่พูดถึงไม่ได้ เหตุจาก “ตัวเรา” ที่ยอมเปิดเผยข้อมูลเพื่อแลกกับแพลตฟอร์มบริการที่ตอบโจทย์ความสะดวกสบายในการใช้ชีวิตและการทำงานเหล่านี้ คือ ข้อมูลที่สร้างมูลค่าและต้องได้รับการคุ้มครอง ทั้งโดย ตัวเรา ผู้เป็นเจ้าของข้อมูล (Data Subject) ผู้ให้บริการ ซึ่งเป็นผู้ดูแลควบคุม (Data Controller)และนำข้อมูลไปใช้ (Data Processor) รวมถึง กรอบกฎหมายต่าง ๆ เช่น General Data Protection Regulation (GDPR) ของทางยุโรป หรือ กฎหมายปกป้องข้อมูลส่วนบุคคล (Personal Data Protection Act: PDPA) ของไทย เพื่อให้การใช้งานเป็นไปตามวัตถุประสงค์ของกฎหมาย และที่เจ้าของข้อมูลอนุญาต (Consent) โดยไม่ละเมิดความเป็นส่วนตัว (Data Privacy) และไม่เกิดการรั่วไหล (Data Breaches) หรือผิดวัตถุประสงค์ (Misuse) ไม่ว่าข้อมูลต้นทางจะเริ่มที่ไหน ถูกนำไปใช้ หรือเคลื่อนย้ายไป-มาอย่างไร
นายมนตรี สถาพรกุล ผู้เชี่ยวชาญการดูแลข้อมูลส่วนบุคคล บมจ. โทเทิ่ล แอ็คเซ็ส คอมมูนิเคชั่น (ดีแทค) ให้สัมภาษณ์กับทีม OPEN-TEC ถึงแนวทางปกป้องข้อมูลของลูกค้าจากมุมผู้ให้บริการด้านโทรคมนาคม เริ่มจากบริบททางกฎหมายว่า แต่เดิมดีแทคมีหน้าที่ต้องปฏิบัติตามประกาศ กสทช.มาตรการคุ้มครองข้อมูลส่วนบุคคล(ฉบับ พ.ศ.2549) ซึ่งต้องกำกับให้การใช้ข้อมูลลูกค้าต้องเป็นไปเพื่อประโยชน์เฉพาะด้านการโทรคมนาคม ซึ่งหมายถึง การโทรเข้า-ออก การใช้งานเน็ตเวิร์ค หรือ การประมวลผลข้อมูลลูกค้าเพื่อออกผลิตภัณฑ์บริการด้านการโทรคมนาคมเท่านั้น โดยต้องมีการทำเอกสารคำยินยอม (Consent) จากลูกค้าในการขอนำข้อมูลไปใช้ไว้ในสัญญาการบริการเบื้องต้น หากปัจจุบันพฤติกรรมลูกค้าด้านบริการโทรคมนาคมได้เปลี่ยนไปสู่การใช้ข้อมูลที่มากขึ้น (Data-Driven) การเสนอบริการที่นอกเหนือจากวัตถุประสงค์ดังที่กล่าวเบื้องต้น จำเป็นต้องมีการขอและได้รับความยินยอมจากเจ้าของข้อมูลก่อนที่จะมีการนำข้อมูลไปใช้ เช่น ประมวลผลเพื่อการตลาด เสนอบริการความบันเทิง เกมส์ หรือวิดีโอรอสาย เป็นต้น
นายมนตรี สถาพรกุล
ผู้เชี่ยวชาญการดูแลข้อมูลส่วนบุคคล บมจ. โทเทิ่ล แอ็คเซ็ส คอมมูนิเคชั่น (ดีแทค)
กฎหมาย PDPA มีบทบาทสำคัญในการกำหนดมาตรฐานและความรับผิดชอบกับผู้ดูแลควบคุมข้อมูลส่วนบุคคลและปกป้องสิทธิความเป็นส่วนตัวให้กับเจ้าของข้อมูลในระดับประเทศ ดังนั้นเมื่อทุกองค์กร ปฎิบัติตามกฎหมาย การใช้ประโยชน์ในข้อมูล เช่นการเก็บ การใช้ การเปิดเผย การให้บริการเกี่ยวกับข้อมูลส่วนบุคคลสามารถทำได้โดยอิสระมากขึ้นและยังสามารถสร้างความเชื่อมั่นให้นักลงทุน หรือ บริษัทต่างประเทศด้วย
“หัวใจสำคัญของกฎหมาย PDPA เน้นการนำข้อมูลไปใช้ต้อง โปร่งใส และ ถูกต้องตรงตามวัตถุประสงค์ของสัญญาในการให้บริการ (Contract) และพื้นฐานกฎหมาย (Legal Basis) โดยคำนึงถึง ประโยชน์อันชอบธรรม (Legitimated Interest) สูงสุดที่ลูกค้าจะได้รับ”
ขณะที่ GDPR จะมีผลบังคับใช้ในประเทศไทยต่อเมื่อมีการประมวลผลข้อมูลส่วนบุคคลของพลเมืองยุโรป เช่น บริษัทยุโรปส่งข้อมูลมาไทยเพื่อขอรับบริการแมเนจเซอร์วิส หรือ บริการที่เสนอขายเฉพาะลูกค้ากลุ่มอียูเท่านั้น แต่ถ้าเป็นบริการพื้นฐานภายในราชอาณาจักรไทย เช่น สัญญาณบริการโทรนาคมท้องถิ่น (Roaming) เมื่อเดินทางเข้าประเทศ ถือเป็นบริการต่อเนื่องและอยู่ภายใต้การดูแลของกฎหมายไทย
ส่วนในบริบทการดำเนินธุรกิจ ดีแทคมีหน้าที่รับผิดชอบโดยตรงต่อการควบคุมดูแลข้อมูลส่วนบุคคลของลูกค้า มีการประเมินตรวจสอบเจตนาการใช้ข้อมูลลูกค้า (Privacy by Design) ก่อนที่จะมีการเริ่มประมวลผล ให้ตรงตามวัตถุประสงค์ของสัญญาบริการสัญญาและกฎหมาย ข้อมูลต้องประมวลและถูกเก็บในพื้นที่ปลอดภัยและมีผู้ดูแลระบบอย่างดี ต้องผ่านเกณฑ์มาตรฐานความปลอดภัยของข้อมูล ISO 27001 และ มีการประเมินวัตถุประสงค์เพื่อให้เป็นไปตามที่กฎหมายหรือสัญญากำหนด ควบคู่กับการออกแบบมาตรการคุมเข้มสำหรับการประมวลผลข้อมูล ในกรณีที่มีการใช้ผู้ให้บริการภายนอก (3rd Party Vendor) ในการประมวลผลข้อมูล นายมนตรี กล่าวว่า ทางดีแทคจำเป็นต้องมั่นใจว่าผู้ให้บริการภายนอกนั้นมีมารตรฐานในการดูแลข้อมูลตามที่ดีแทคกำหนด (Vendor Due Diligence) และการกำหนด ข้อตกลงด้านการประมวลผลข้อมูล (Data Processing Agreement-DPA) เพื่อควบคุมดูแลการมาตรฐานการประมวลผลข้อมูลบุคคลของผู้ให้บริการภายนอกให้เป็นไปตามมาตรฐานของดีแทค หรือ หากเป็นบริการผ่านคลาวด์ในต่างประเทศเพื่อการ“ประมวลผลข้อมูลลูกค้า” บริการคลาวด์นั้นต้องตั้งอยู่ในประเทศที่มีกฎการปกป้องข้อมูลส่วนบุคคลชัดเจน และมีมาตรฐานการรักษาความปลอดภัยของข้อมูลและระบบสารสนเทศไม่เช่นนั้น ดีแทคจะไม่อนุมัติให้ใช้บริการข้ามประเทศ(Approved Territory) ทั้งนี้ เพื่อให้เจ้าของข้อมูลได้รับการคุ้มครอง หรือฟ้องร้องเรียกค่าเสียหายได้เมื่อข้อมูลรั่วไหลหรือถูกละเมิดตามกฎหมายของประเทศนั้นๆ ได้
ภาคของการปฏิบัติงานในองค์กรก็เช่นกัน ดีแทคได้วางมาตรการควบคุมในสองส่วนสำคัญ คือ เทคโนโลยีความปลอดภัย เช่น หมั่นสอดส่องชุดข้อมูลในระบบว่า มีการเคลื่อนย้ายจากไหนไปไหน ไปอย่างไร มีการเข้ารหัสข้อมูลหรือไม่ และ วัตถุประสงค์การใช้ หรือเปิดเผยข้อมูล เช่น การเข้าถึงเพื่อใช้ข้อมูลลูกค้า เช่น พนักงานศูนย์ข้อมูลลูกค้าที่มีสิทธิเข้าถึงข้อมูลลูกค้าตามภาระงานที่ได้รับ จะมีมาตรการสอบทานว่า เข้าไปดูข้อมูลลูกค้าด้วยวัตถุประสงค์ใด หรือ ต้องมีคำขอใช้ข้อมูลอย่างเป็นทางการในบางกรณี
“มิติการปกป้องความเป็นส่วนตัวของข้อมูลขณะนี้ ถือว่านำหน้าเทคโนโลยีความปลอดภัยของข้อมูลไปแล้ว ด้วยเหตุนี้ อาวุธสำคัญในการเติมความเชื่อมั่นให้กับลูกค้า ท่ามกลางยุคสมัยของการขับเคลื่อนด้วยข้อมูลมหาศาลที่มีค่าดั่งทอง ที่ต้องขอย้ำอีกครั้ง คือ “ต้องโปร่งใส และเป็นการใช้งานถูกต้องตามวัตถุประสงค์ที่ให้กับลูกค้าผู้เป็นเจ้าของข้อมูลเป็นสำคัญ” นายมนตรีสรุปปิดท้าย