เมื่อ Google Analytics ผิดกฎหมาย GDPR กับปัญหาที่ซ่อนอยู่ระหว่างสหรัฐอเมริกาและสหภาพยุโรป แล้ว PDPA จะได้รับผลกระทบหรือไม่?
5 บทเรียนเมื่อ Google Analytics ทำผิดกฎหมาย GDPR
กรณีดังกล่าวเกิดขึ้นเมื่อ NOYB องค์กรไม่แสวงหาผลกำไรของประเทศออสเตรียได้ออกมาเรียกร้องว่า Google Analytics ได้เปิดเผยข้อมูล IP Address ที่ “เก็บข้อมูลจากทวีปยุโรป แล้วไปปรากฏอยู่บนเซิฟเวอร์ของประเทศสหรัฐอเมริกา” กรณีนี้ ถือว่าเป็นการขัดต่อกฎหมายในเรื่องการปกปิดข้อมูลส่วนบุคคลระหว่างใช้งาน GDPR
แล้วเราสามารถเรียนรู้อะไรได้จากเหตุการณ์นี้ วันนี้ Big Data Thailand ถอดบทเรียน 5 ข้อมาฝากทุกคนกัน
เมื่อปลายปีที่แล้ว สำนักงานคุ้มครองข้อมูลแห่งหนึ่งในยุโรปได้แถลงการณ์ถึงการใช้บริการติดตามผู้ใช้งานออนไลน์อย่าง Google Analytics ว่าขัดกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลยุโรป (General Data Protection Regulation: GDPR) สิ่งนี้ไม่เพียงแต่ส่งผลกระทบต่อธุรกิจที่กำลังใช้งาน Google Analytics เท่านั้น
เมื่อวันที่ 22 ธันวาคม 2021 สำนักงานคุ้มครองข้อมูลของประเทศออสเตรีย (Datenschutzbehörde, Data Protection Authority: DPA) ได้ออกแถลงการณ์เกี่ยวกับการร้องเรียนจากองค์กรไม่แสวงหาผลกำไรชื่อ NOYB ว่าการใช้บริการการติดตามผู้ใช้งานออนไลน์ของ Google Analytics ว่าได้เปิดเผยข้อมูล IP Address ที่เก็บจากทวีปยุโรปแล้วไปปรากฎบนเซิร์ฟเวอร์ของประเทศสหรัฐอเมริกา ซึ่งเป็นการขัดต่อกฎหมายในเรื่องการปกปิดข้อมูลส่วนบุคคลระหว่างการใช้งาน
As the complainant has also rightly pointed out, US intelligence services take certain online identifiers (such as the IP address or unique identification numbers) as starting point for monitoring individuals.
สำนักงานคุ้มครองข้อมูลของประเทศออสเตรีย (DATENSCHUTZBEHÖRDE, DATA PROTECTION AUTHORITY: DPA)
…อย่างที่ผู้ร้องเรียนได้ชี้ถึงประเด็นปัญหา หน่วยสืบราชการลับของสหรัฐสามารถใช้ข้อมูลระบุตัวตนบางอย่าง (อย่างเช่น IP Address หรือ ข้อมูลตัวเลขประจำตัว) เพื่อเป็นจุดเริ่มต้นในการติดตามบุคคลได้…
สำนักงานคุ้มครองข้อมูลของประเทศออสเตรีย (DATENSCHUTZBEHÖRDE, DATA PROTECTION AUTHORITY: DPA)
การใช้งานข้อมูล IP Address ผิด GDPR อย่างไร?
GDPR ได้ระบุอย่างชัดเจนว่าข้อมูล IP Address เป็นข้อมูลส่วนบุคคลและไม่สามารถที่จะใช้งานข้อมูลนี้ได้แม้ว่าเราจะทำการแปลงข้อมูล IP Address นี้ให้เป็นข้อมูลนิรนามแล้วก็ตาม
Google ไม่ได้นิ่งนอนใจ จึงได้ออกแถลงการณ์ตอบโต้ในบล๊อคของ Google จากกรณีดังกล่าว โดยกล่าวในภาพรวมของการรักษาความปลอดภัยในแง่มุมต่าง ๆ ไม่ว่าจะเป็นการสนับสนุนให้ผู้ประกอบการได้ปฏิบัติตามกฎหมาย GDPR ได้ง่ายขึ้น การส่งข้อมูลข้ามทวีปจะเกิดขึ้นเมื่อข้อมูลดังกล่าวเป็นไปตามกฎเกณฑ์ข้อบังคับความเป็นส่วนตัวเท่านั้น และสามารถเปิดใช้งานการปกปิดข้อมูล IP Address ได้
อย่างไรก็ตาม ทางฝั่งผู้คุมกฎดูเหมือนว่าจะไม่พอใจในมาตรการการใช้งานการปกปิดข้อมูล IP Address ด้วยการอำพรางข้อมูล (Pseudonymization) โดยยกคำแถลงจากสำนักงานคุ้มครองข้อมูลของประเทศเยอรมนีที่กล่าวถึงการใช้ข้อมูล IP Address ที่มีการอำพรางไว้ว่าถึงแม้จะมีการอำพรางเพื่อไม่ให้ค้นพบตัวตนที่แท้จริง แต่ก็ยังสามารถ ”จำแนกจำเพาะบุคคล” (distinguishable) จากข้อมูลนั้น ๆ ได้ เพราะฉะนั้นการใช้งานข้อมูล IP Address ในรูปแบบใด ๆ จึงผิดในทุกกรณี
นอกจากนี้ ผู้ควบคุมกฎหมายคุ้มครองข้อมูลส่วนบุคคลในบางประเทศในทวีปยุโรปก็เห็นด้วยกับการที่ Google ผิดกฎหมาย GDPR ได้แก่
ประเทศฝรั่งเศส: Google ถูกปฏิเสธฟังก์ชันการปกปิด IP Address โดยชี้ว่าไม่ว่าอย่างไรหน่วยสืบราชการลับของประเทศสหรัฐก็สามารถเข้าไปใช้งานข้อมูล IP Address และข้อมูลระบุตัวตน (Personal Identifiable Information: PII) อื่น ๆ อยู่ดี
●
นอกเหนือจากประเทศออสเตรีย ผู้ดูแลกฎจากเนเธอร์แลนด์และนอร์เวย์ต่างเห็นพ้องกันกับการทำผิดกฎหมายของ Google Analytics พร้อมทั้งพยายามจะให้ผู้ประกอบการในประเทศลดการเพิ่งพาแพลตฟอร์มดังกล่าว
ผลกระทบที่จะเกิดขึ้น
เรื่องการตัดสินกรณีการกระทำผิดกฎหมายของ Google Analytics นี้ไม่เพียงแต่จะกระทบบริษัท Google เพียงเท่านั้น แต่จะยังกระทบต่อบริษัทที่ดำเนินงานในประเทศสหรัฐแต่ขายบริการให้ในกลุ่มประเทศสมาชิกสหภาพยุโรป เพราะการส่งข้อมูลส่วนบุคคลที่เก็บได้ในกลุ่มประเทศยุโรปไปให้บริษัทในประเทศสหรัฐในการวิเคราะห์จะไม่สามารถทำได้อีกต่อไป
จนเมื่อปี 2015 ศาลยุติธรรมแห่งสหภาพยุโรป (European Court of Justice) ได้ตัดสินให้ ”การเห็นชอบต่อหลัก Safe Harbour Privacy Principles ของคณะกรรมาธิการยุโรปเป็นโมฆะ” (“The Court of Justice declares that the Commission’s U.S. Safe Harbour Decision is invalid.”)
เรื่องนี้เป็นเรื่องที่ยังใหม่มากสำหรับทุกประเทศและยังต้องการการวิเคราะห์และขัดเกลาในตัวบทกฎหมายอีกสักพักกว่าที่กฎหมายนี้จะพร้อมและเตรียมตัวเข้าสู่ยุคดิจิทัลอย่างเต็มตัว เรื่องการกระทำผิดกฎหมายของ Google ในกรณีของ Google Analytics อาจเป็นจุดเปลี่ยนครั้งสำคัญในหลาย ๆ เรื่อง ผู้เขียนมองว่าเรื่องนี้จะเป็นจุดเริ่มต้นของผลกระทบที่เป็นไปได้ทั้งสองทาง