พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA มาตรา 37 (3) กำหนดให้องค์กรมีหน้าที่จัดให้มีระบบการตรวจสอบ เพื่อดำเนินการลบ หรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนดระยะเวลาการเก็บรักษา
หรือที่ไม่เกี่ยวข้องหรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลนั้น หรือตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอ หรือที่เจ้าของข้อมูลส่วนบุคคลได้ถอนความยินยอม เว้นแต่กรณีดังต่อไปนี้
1. เป็นการเก็บรักษาไว้เพื่อวัตถุประสงค์ในการใช้เสรีภาพในการแสดงความคิดเห็น (freedom of expression)
2. การเก็บรักษาไว้เพื่อวัตถุประสงค์เกี่ยวกับการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ หรือที่เกี่ยวกับการศึกษาวิจัยหรือสถิติ
2.1 การจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ หรือที่เกี่ยวกับการศึกษาวิจัยหรือสถิติ
2.2 การปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะหรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐ
2.3 เวชศาสตร์ป้องกันหรืออาชีวเวชศาสตร์ การประเมินความสามารถในการทำงานของลูกจ้าง การวินิจฉัยโรคทางการแพทย์ การให้บริการด้านสุขภาพหรือด้านสังคม การรักษาทางการแพทย์ การจัดการด้านสุขภาพ หรือระบบและการให้บริการด้านสังคมสงเคราะห์
2.4 ประโยชน์สาธารณะด้านการสาธารณสุข
3.การใช้เพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย
4.การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย
5.การยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
6.การปฏิบัติตามกฎหมาย
นอกจากจะเป็นหน้าที่ขององค์กรที่จะต้องจัดให้มีระบบการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้างต้นแล้ว PDPA ยังให้สิทธิแก่เจ้าของข้อมูลส่วนบุคคลในการขอให้ผู้ควบคุมข้อมูลส่วนบุคคล “ดำเนินการลบหรือทำลาย” (Erasure) หรือ “ทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้อีกด้วย” (Anonymization) ตามที่กำหนดไว้ในมาตรา 33 และองค์กรมีหน้าที่ดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลเว้นแต่ต้องด้วยข้อยกเว้นตามกฎหมาย
มาตรา 33 ของ PDPA ดังกล่าวแตกต่างจากสิทธิในการขอให้ลบตาม GDPR (Art. 17 GDPR Right to erasure (‘right to be forgotten’)) เนื่องจากตาม GDPR ไม่ได้กล่าวถึงสิทธิในการขอทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ ดังนั้น โดยหลักการตามมาตรา 17 GDPR หากเจ้าของข้อมูลส่วนบุคคลขอลบข้อมูลและไม่มีข้อยกเว้น องค์กรย่อมมีหน้าที่ในการลบข้อมูลเท่านั้น
ทั้งนี้ ตาม GDPR ข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้หรือข้อมูลนิรนาม (Anonymous Data) ไม่ถือว่าเป็นข้อมูลส่วนบุคคล จึงไม่อยู่ภายใต้บังคับของ GDPR ดังนั้น องค์กรที่มีข้อมูลส่วนบุคคลดังกล่าวอยู่ในความครอบครองหรือมีการประมวลผล Anonymous Data
เช่น เพื่อการทำ Machine Learning หรือ Training Data/Testing Data สำหรับโมเดล AI การดำเนินการดังกล่าวจะไม่อยู่ในบังคับของ GDPR แต่ตาม GDPR ก็ยังมีความไม่ชัดเจนว่าองค์กรสามารถเลือกที่จะใช้วิธีการ Anonymization แทนการลบข้อมูลได้หรือไม่
และยิ่งหากเจ้าของข้อมูลส่วนบุคคลใช้สิทธิในการขอลบ องค์กรจะปฏิเสธไม่ดำเนินการลบแต่ใช้วิธีการ Anonymization เพื่อให้ข้อมูลที่มีอยู่สามารถนำไปใช้ประโยชน์ในด้านอื่น ๆ ต่อไปได้หรือไม่
เมื่อพิจารณาบทบัญญัติของ PDPA ตามมาตรา 37 (3) หน้าที่ดำเนินการลบ และมาตรา 33 คำขอให้ลบ จึงมีประเด็นน่าสนใจว่าองค์กรสามารถเลือกที่จะไม่ลบแต่เลือกทำให้ข้อมูลเป็นข้อมูลนิรนาม (Anonymous Data) แทนได้หรือไม่
ซึ่ง (ร่าง) ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์ในการลบหรือทำลายฯ (อยู่ระหว่างการรับฟังความคิดเห็น) ที่ออกโดยอาศัยอำนาจตามมาตรา 33 วรรคห้า ในข้อ 7. กำหนดว่า ในกรณีที่เจ้าของข้อมูลส่วนบุคคลใช้สิทธิขอให้องค์กรดำเนินการลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้เมื่อข้อมูลส่วนบุคคลได้ถูกเก็บรวบรวม ใช้ หรือเปิดเผยโดยไม่ชอบด้วยกฎหมาย องค์กรจะต้องดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลเท่านั้น โดยไม่อาจดำเนินการทำให้ข้อมูลเป็นข้อมูลนิรนาม (Anonymous Data) แทนได้
จากบทบัญญัติดังกล่าวของร่างประกาศฯ จึงมีแนวโน้มว่าคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลจะเปิดช่องให้หน่วยงานเลือกใช้การทำ Anonymization แทนการลบข้อมูลส่วนบุคคลได้ (ยกเว้นกรณีที่เป็นการเก็บรวบรวม ใช้ หรือเปิดเผยโดยไม่ชอบด้วยกฎหมายเท่านั้น)
ดังนั้น แม้ว่าเจ้าของข้อมูลส่วนบุคคลจะได้ถอนความยินยอม หรือข้อมูลส่วนบุคคลนั้นสิ้นสุดระยะเวลาการจัดเก็บแล้ว ซึ่งการบัญญัติในลักษณะดังกล่าวจะส่งผลดีต่อการพัฒนา AI ของประเทศ เนื่องจากนักพัฒนาจะถูกลดข้อจำกัดในการนำข้อมูลมาใช้เพื่อการพัฒนา AI
นอกจากนี้ร่างประกาศฉบับดังกล่าวในข้อ 5. ยังส่งเสริมและสนับสนุนการพัฒนาเทคโนโลยี AI อย่างมีนัยยะสำคัญ โดยการกำหนดให้หน่วยงานอาจไม่ต้องทำการลบหรือทำลายข้อมูลส่วนบุคคลหรือต้องทำ Anonymous Data ตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอเนื่องจากเหตุผลทางเทคนิคได้ ซึ่งกรณีนี้จะทำให้องค์กรที่ใช้ Big Data หรือมีข้อมูลขนาดใหญ่และซับซ้อนเพื่อใช้ในการฝึกสอน AI อาจไม่ต้องทำการลบหรือทำลายข้อมูลส่วนบุคคล ในกรณีที่เจ้าของข้อมูลส่วนบุคคลร้องขอ
เนื่องจากการดำเนินการดังกล่าวอาจไม่สามารถดำเนินการได้ด้วยเหตุผลในทางเทคนิค (Technical Feasibility) อีกทั้งการดำเนินการลบหรือทำลาย หรือการทำ Anonymization ยังอาจจะส่งผลกระทบต่อความน่าเชื่อถือและความถูกต้องของการประมวลผลของระบบ AI
หรือหากข้อมูลส่วนบุคคลถูกลบออกจากชุดข้อมูลการฝึก โมเดล AI ก็อาจจำเป็นต้องได้รับการฝึกใหม่ (Model Retraining) เพื่อให้แน่ใจว่าจะไม่เก็บข้อมูลที่ได้มาจากข้อมูลที่ถูกลบ ซึ่งกระบวนการนี้อาจต้องใช้ทรัพยากรมากอีกด้วย แต่ทั้งนี้ องค์กรมีหน้าที่ชี้แจงหรือแสดงให้เห็นถึงเหตุผลดังกล่าว
อย่างไรก็ตาม หลักความโปร่งใสต่อเจ้าของข้อมูลส่วนบุคคลก็เป็นเรื่องสำคัญเช่นเดียวกัน ร่างประกาศฯ จึงกำหนดให้ในกรณีของการทำ Anonymous Data องค์กรมีหน้าที่แจ้งรายละเอียดในการดำเนินการดังกล่าวให้เจ้าของข้อมูลส่วนบุคคลทราบตามสมควรด้วย หรือในกรณีที่ไม่อาจดำเนินการลบหรือทำลาย หรือทำ Anonymous Data ตามคำขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลได้ องค์กรก็มีหน้าที่ต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบพร้อมเหตุผลประกอบด้วยเช่นกัน
คอลัมน์ Tech, Law and Security
ระวีวรรณ ขันติวิริยะพานิช
บริษัท ดีพีโอเอเอเอส จำกัด
ศุภวัชร์ มาลานนท์
GMI มหาวิทยาลัยเทคโนโลยีพระจอมเกล้าธนบุรี
————————————————————————————————————————————————————————–
ที่มา : Bangkokbiznews / วันที่เผยแพร่ 24 มิ.ย.67
Link : https://www.bangkokbiznews.com/tech/gadget/1132874