PDPA ปกป้องลูกคุณได้แค่ไหน: บทเรียนจากคดี TikTok ในแคนาดา
สวัสดีครับ เราเจอกันอีกแล้ว มีประเด็นสำคัญที่ผมอยากจะนำเสนอทุกคน เมื่อแคนนาดาพบว่า TikTok ไม่ได้ป้องกันเพื่อไม่ให้เด็กที่อายุตํ่ากว่า 13 ปีเข้าใช้แอป โดยทางแอปมีการเก็บรวมรวมและประมวลผลข้อมูลส่วนตัวของเด็กเหล่านั้น
ทำให้หน่วยงานคุ้มครองความเป็นส่วนตัวของรัฐบาลกลางในแคนาดา และของรัฐ (ควิเบก, บริติชโคลัมเบีย, อัลเบอร์ตา) ได้มีการสอบสวนร่วมกัน
ผลการสอบสวนพบว่า แม้ทาง TIKTOK เองไม่ได้ออกแบบมาเพื่อให้เด็กอายุตํ่ากว่า 13 ปีเข้าใช้ แต่จากผลสำรวจก็มีเด็กอายุตํ่ากว่า 13 ปีเข้าใช้ และเพิ่มจำนวนมากขึ้นทุกปี
เด็กเหล่านี้เข้าใจแล้วมีปัญหายังไง ก็เพราะว่าบางครั้งทางแอปได้เสนอโฆษณาต่อเด็กเหล่านั้น ซึ่งบ้างครั้งไม่เหมาะสม
หลังจากมีการเรียกร้องในแคนาดา ทำให้ทางTikTokเองตอบรับ โดยตกลงที่จะปรับปรุงวิธียืนยันอายุผู้ใช้งานให้มีการเข้มงวดมากขึ้น จนถึงมีการระบุชัดเจนว่าข้อมูลของผู้ใช้จะถูกนำไปใช้อย่างไร
ผมเลยคิดว่าจากกรณีศึกษานี้ น่าสนใจเป็นอย่างมากครับเมื่อนำมาเปรียบเทียบกับกฎหมายในไทย
- ■กรอบกฎหมายและระเบียบที่สำคัญในประเทศไทยเกี่ยวข้องกับกรณี TikTok
1. พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลหรือPDPA
PDPA กำหนดหลักการเรื่องการได้มาซึ่งความยินยอม (consent), สิทธิของเจ้าของข้อมูล (เช่น ขอลบ/เข้าถึง), และข้อพิเศษเกี่ยวกับการประมวลผลข้อมูลกลุ่มเปราะบาง/เด็ก (โดยเฉพาะการขอความยินยอมจากผู้ปกครองในบางกรณีและการจัดการข้อมูลเด็ก) ซึ่งทำให้ PDPA สามารถนำมาใช้ตรวจสอบการเก็บข้อมูลเด็กได้หากมีการประมวลผลของผู้ที่อยู่ในประเทศไทยหรือมุ่งเป้าไปที่คนไทย
2. พระราชบัญญัติคอมพิวเตอร์ (Computer Crime Act) + ระเบียบ MDES (กระทรวงดิจิทัล)
ไทยมีกรอบบังคับให้แพลตฟอร์มต้องลบเนื้อหาที่รัฐเห็นว่า “ผิดกฎหมาย/ก่อความเสียหาย” ภายในกรอบเวลาที่กระทรวงกำหนด (มีการขยายข้อบังคับการแจ้งเตือน/ลบภายใน 24 ชั่วโมงในหลายประกาศ/นโยบายล่าสุด) —> กรอบนี้เน้นการลบคอนเทนต์ แต่ไม่ได้เฉพาะเจาะจงเรื่องการเก็บข้อมูลเด็กหรือการยืนยันอายุผู้ใช้ (ช่องว่างเชิงการคุ้มครองข้อมูลเด็กจึงยังมี)
3. แนวทาง/นโยบายเฉพาะกิจ (เช่น มาตรการของหน่วยงานต่าง ๆ, คู่มือความปลอดภัยสำหรับเด็ก)
องค์กรระหว่างประเทศและ NGO (เช่น UNICEF) มีคู่มือ/แผนแนะนําสำหรับความปลอดภัยเด็กแบบออนไลน์ซึ่งชี้ว่าประเทศไทยมีระดับปัญหา cyberbullying สูงและจำเป็นต้องเสริมมาตรการปกป้องเด็กบนแพลตฟอร์มออนไลน์ต่าง ๆ
เมื่อเรารู้กฎหมายกันแล้วเรามาเปรียบเทียบกันดีกว่า
- ■ช่องว่างและความเสียงเชิงเปรียบเทียบ แคนาดา VS ไทย
1. การบังคับใช้กฎหมาย PDPA กับแพลฟอร์มต่างชาติ ซึ่งในแคนาดาสามารถสอบสวนและเรียกร้องต่อ TIKTOK ในเชิงบริบทได้ด้วยกฎหมายอขงตัวเอง
ซึ่งต่างจากไทยที่มี PDPA ครอบกลุมและกว้างก็จริงแต่การบังคับใช้กับแพลตฟอร์มต่างชาตินั้น ยังไม่มีสำนักงานในไทย ยังคงต้องพึ่งการประสานงานกับผู้ให้บริการต่างประเทศ
ทำให้ของแคนาดาอาจจะเร็วหรือเข้มงวดกว่าการบังคับใช้บางประเด็กในไทย
2. มาตรการยืนยันอายุ (Age verification)
ปัญหาหลักของแคนาดาคือวิธียืนยันอายุ “self-declared” ถูกหลอกได้ง่าย ไทยก็เผชิญปัญหาเดียวกัน: ไม่มีระบบยืนยันอายุระดับชาติที่ผูกกับแพลตฟอร์มสากล ทำให้เด็กอายุต่ำกว่า 13 สามารถลงทะเบียนได้ง่าย หากไม่มีเทคโนโลยีหรือนโยบายบังคับเพิ่มเติม
***เรื่องนี้ยังเป็นปัญหาที่รอการแก้ไขจริง ๆ
3. การเก็บข้อมูลของเด็กและการนำไปใช้ในเชิงโฆษณา
สำหรับเรื่องนี้ทางแคนาดากังวลว่าจะมีการใช้ข้อมูลเสียง ใบหน้า พิกัด และพฤติกรรมมาสร้าง Profiling เด็ก ส่วนของไทยนั้นได้กำหนดหลักการยินยอมและการคุ้มครองข้อมูล แต่ยังคงเป็นเรื่องละเอียดอ่อน ทำให้ยังต้องการแนวทางปฏิบัติและมาตรการประเมินผลกระทบต่อข้อมูลส่วนบุคคลที่เข็มแข็งขึ้น
4. กรอบการลบเนื้อหา vs การคุ้มครองข้อมูล
นโยบายไทย (เช่น การสั่งให้ลบคอนเทนต์ภายใน 24 ชั่วโมง) มุ่งการลบเนื้อหา แต่ไม่ได้แก้ปัญหา “การเก็บ/การใช้ข้อมูลส่วนบุคคลของเด็ก” ได้โดยตรง ถึงแม้จะลบวิดีโอ แต่ข้อมูลที่ถูกเก็บ (profiles, metadata) อาจยังถูกใช้อยู่ได้ถ้า PDPA หรือการบังคับใช้ไม่รัดกุม
- ■ข้อเสนอแนะเชิงนโยบายสำหรับไทย
หลังที่เราเห็นไปแล้วว่ามีหลายอย่างที่ต้องแก้
1. ระยะสั้น(จะแก้ในเดือนหรือไตรมาสก็ได้)
1.1) บังคุบให้แพลตฟอร์มมีการยืนยันอายุที่แข็งแรงขึ้น เช่นการยืนยันด้วยเอกสารที่เข้ารหัส หรือตรวจสอบผ่านผู้ให้บริการบัตรประชาชนก็ได้ ใกรณีที่ผู้ใช้อาจจะเป็นเด็ก
1.2) ร่วมกับหน่วยงานบังคับใช้ PDPA ออกแนวปฏิบัติ (guidelines) เฉพาะสำหรับการประมวลผลข้อมูลเด็ก ระบุว่าการเก็บข้อมูลเชิงชีวภาพ/เสียง/ตำแหน่งเพื่อการโฆษณาเป็นเรื่องต้องห้ามหรือจำกัดมาก
2. ระยะกลาง (6-12 เดือน)
2.1) บังคับให้แพลตฟอร์มต้องทำ Data Protection Impact Assessment (DPIA) ก่อนออกฟีเจอร์ใหม่ที่อาจกระทบกับเด็ก และเปิดเผยรายงานสรุปต่อสาธารณะ
2.2) สร้างช่องทางรายงาน/ตรวจสอบสำหรับผู้ปกครองและหน่วยงานคุ้มครองเด็ก เพื่อให้สามารถเรียกร้องให้ลบ/ระงับการใช้งานหรือขอข้อมูลที่เก็บไว้ได้สะดวกขึ้น
3. ระยะยาว (1–2 ปี)
3.1) พิจารณากรอบการกำกับที่เฉพาะสำหรับ “แพลตฟอร์มที่มุ่งเป้ากลุ่มเด็ก/เยาวชน”เช่น กำหนดมาตรฐานการออกแบบ (privacy-by-default, no profiling for ads) คล้าย Children’s Code ของสหราชอาณาจักร (สามารถดัดแปลงให้เหมาะกับบริบทไทย)
3.2) สร้างความร่วมมือระหว่างประเทศเพื่อบังคับใช้กับผู้ให้บริการที่ตั้งนอกประเทศ (MLATs, cross-border enforcement, การแชร์ข้อมูลกับหน่วยงานในต่างประเทศ)
- ■คำแนะนำสำหรับผู้ปกครองและโรงเรียน
-ตั้งค่าบัญชีเป็นแบบส่วนตัว และปิดการอนุญาตเข้าถึงตำแหน่ง รายชื่อ และข้อมูลส่วนตัวในแอป
-เป็นใช้การควบคุมโดยผู้ปกครอง
-เก็บหลักฐานการใช้งานที่เป็นปัญหาและส่งผลต่อเด็ก
-ให้ความรู้เรื่องความเสี่ยงของ “algorithmic nudging”
- ■จุดสังเกตการบังคับใช้ที่ควรจับตา
-วิธีการยืนยันอายุที่ “ปลอดภัย” ต้องสมดุลระหว่าง ความถูกต้อง และ ความคุ้มครองข้อมูลส่วนบุคคล การขอเอกสารประจำตัวย่อมเพิ่มความน่าเชื่อถือแต่ก็มีความเสี่ยงในการทำสำเนาข้อมูลเอาไว้
-การตรวจสอบการประมวลผลเชิงโปรไฟลิง (profiling) จำเป็นต้องมีมาตรฐานชัดเจนว่า “ข้อมูลอะไร” ถูกอนุญาตให้เก็บ/ใช้สำหรับเด็ก และการใช้เพื่อโฆษณาเชิงพฤติกรรมต้องมีข้อจำกัดเข้มงวด
นี่เป็นข้อมูลและการทำความเข้าใจจากผมเอง ผิดถูกและมีข้อมูลเสริมยังไงรบกวนคอมเมนต์บอกกันด้วยนะครับ
โฆษณา
- ดาวน์โหลดแอปพลิเคชัน
- © 2025 Blockdit
