แพลตฟอร์มเว็บไซต์ แอปพลิเคชัน ผู้ให้บริการด้านออนไลน์ต่างมีการจัดทำ ‘Term of Service’ หรือเงื่อนไขในการให้บริการ ซึ่งเป็นข้อตกลงร่วมกันระหว่างผู้ให้บริการ และผู้ใช้บริการ ได้รับทราบและเข้าใจกันเป็นอย่างดีแล้วทั้งสองฝ่าย เช่น เงื่อนไขการให้บริการของ Google, Apple ซึ่งเป็นขั้นตอนที่จำเป็นในการใช้บริการ Gmail และ iPhone ดังนั้นการดำเนินการลักษณะนี้จะถือว่าเป็นการทำ ‘สัญญาร่วมกัน’ และนับว่าผู้ใช้บริการได้ยอมรับเงื่อนไขการใช้บริการต่างๆ ซึ่งมักระบุเป็นข้อๆ และยาวมากนั้นแล้ว …คำถามคือ จะมีซักกี่คนที่เคยอ่านเงื่อนไขใน Term of Service โดยละเอียด!!!
ดังนั้น หาก ‘Term of Service’ ยาวมากและบางครั้งตัวพิมพ์ก็เล็กมาก จึงเป็นไปได้มาก ว่า ผู้ใช้บริการย่อมไม่อ่านโดยละเอียด หรืออาจจะรีบๆ เลื่อนผ่านและ ‘กดยินยอม’ โดยที่ไม่ได้อ่านเงื่อนไขข้อตกลงนั้นเลย ก็น่าคิดอยู่ว่า สัญญาที่ผู้รับบริการไม่เข้าใจ และเจตนาสร้างความสับสนจะถือเป็นสัญญาที่มีผลตามกฎหมายได้หรือ?
Term of Service ลักษณะนี้เข้าข่ายการหลอกลวงหรือทำให้เข้าใจผิดหรือไม่?
กฎหมาย PDPA หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 19 ระบุถึงผู้ควบคุมข้อมูลส่วนบุคคลที่เก็บ รวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคลจะต้องขอความยินยอมจากเจ้าของข้อมูล ซึ่งต้องทำโดยชัดแจ้ง เป็นหนังสือหรือทำผ่านระบบอิเล็กทรอนิกส์ และต้องแจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไปด้วย และการขอความยินยอมนั้น ต้องแยกส่วนออกจากข้อความอื่นอย่างชัดเจน มีแบบ หรือข้อความที่เข้าถึงได้ง่ายและเข้าใจได้ รวมทั้ง ใช้ภาษาที่อ่านง่าย และไม่เป็นการหลอกลวงหรือทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์
ด้วยเหตุนี้ หากดูที่เนื้อหาของกฎหมาย จะถือว่าผู้ให้บริการได้ทำผิดกฎหมาย PDPA หรือไม่? ซึ่งคำตอบของคำถามนี้อาจจะต้องอยู่ที่การวินิจฉัยของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล แต่หากวิเคราะห์โดยลักษณะและรูปแบบที่เคยพบเห็นก่อนที่ พรบ.คุ้มครองข้อมูลฯ บังคับใช้ รูปแบบของ Term of Service ที่มักเขียนเงื่อนไขเป็นข้อๆ ไว้มากมาย ก็ดูเหมือนเป็นการ ‘จงใจ’ ประลองขันติของผู้ใช้บริการ และทำให้เกิดความไม่เข้าใจในเงื่อนไขสัญญาการให้บริการ ก็อาจจะเข้าข่ายเป็นการละเมิดกฎหมาย PDPA
ความผิดกรณีลักษณะนี้เคยเกิดขึ้นในต่างประเทศ ภายใต้ข้อบังคับของ GDPR (General Data Protection Regulation 2016/679) โดยเป็นข้อบังคับในกฎหมายของสหภาพยุโรปว่าด้วยการคุ้มครองข้อมูลความเป็นส่วนตัว และเขตเศรษฐกิจในยุโรป ซึ่งเป็นต้นแบบของ PDPA
โดยผู้ใช้บริการฟ้องผู้ให้บริการในกรณีที่เจตนากำหนดเงื่อนไขข้อตกลงในการเก็บใช้ หรือเปิดเผยข้อมูลส่วนบุคคลอย่างคลุมเครือ หรืออีกกรณีหนึ่ง คือ คณะกรรมการคุ้มครองข้อมูลฯ พิจารณาว่าผู้ให้บริการเจตนา กำหนดเงื่อนไขที่ยากต่อความเข้าใจ และเข้าถึง หรือคลุมเครือจนทำให้เกิดความเข้าใจผิด
ด้วยเหตุผลที่นำมาอ้างอิงเหล่านี้จึงสามารถตอบคำถามว่า
อย่างไรก็ตาม หากมองในมุมของผู้ให้บริการที่จัดทำ Term of Service ซึ่งเป็นนโยบายการให้บริการและคำชี้แจงสิทธิที่ต้องมีการเขียนอย่างครอบคลุมเพื่อปกป้องสิทธิและผลประโยชน์ทั้งของผู้ให้บริการและผู้ใช้บริการ เป็นเหมือนเอกสารสัญญา หากไม่ชัดเจนหรือไม่ครอบคลุมอาจต้องเผชิญกับความรับผิดทางแพ่งหรือทางอาญา จะให้เขียนสั้นๆ เพียงไม่กี่ข้อก็คงไม่ได้ ซึ่งการกระทำนี้ได้รวมถึงการเขียน Policy Notice หรือประกาศความเป็นส่วนตัวขององค์กรต่างๆ ด้วย
จากเหตุและปัจจัยดังกล่าวจึงเป็นไปได้ว่า ในอนาคต คณะกรรมการคุ้มครองข้อมูลฯจะมีการประกาศ เทมเพลตหรือรูปแบบของการกำหนดเงื่อนไขในการให้บริการและแบบฟอร์มขอความยินยอมในการเก็บ รวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคล ตามแบบที่กำหนดก็ได้ แต่ถึงตอนนี้ยังไม่มี การดำเนินการตามข้อบังคับของ PDPA จึงต้องดูที่เนื้อหาของกฎหมาย ซึ่งจะเป็นทางเลือกเดียวในการทำทุกอย่างให้ถูกต้อง
Term of Service แบบไหนจึงถูกต้องตามกฎหมาย PDPA
โดยทั่วไป การสร้างข้อตกลงและเงื่อนไขการให้บริการ หรือ Term of Service คือ สัญญารูปแบบหนึ่งที่ได้จัดทำขึ้นเป็นเอกสารอิเล็กทรอนิกส์ หรือรูปแบบออนไลน์ ซึ่งจะประกอบด้วยเนื้อหาส่วนสำคัญ เช่น คำอธิบายในการใช้บริการ การจำกัดพฤติกรรมผู้ใช้และบทลงโทษรวมถึงการยุติการให้บริการ ทรัพย์สินทางปัญญา ฐานกฎหมายที่ใช้บังคับ สิทธิของผู้ใช้ เนื้อหาของบริการหรือผลิตภัณฑ์ ความรับผิดสำหรับการกระทำหรือไม่กระทำ และข้อจำกัดและการสิ้นสุดความรับผิดชอบ ซึ่งเทมเพลตลักษณะนี้ก็นับว่าครอบคลุมมากพอสมควร
แต่ข้อเสียของการทำให้ครอบคลุม คือ ยาวและค่อนข้างทำให้มึนงงได้ง่าย ดังนั้นส่วนสำคัญๆ จึงต้องทำให้ชัดเจน หรือ ‘แยกส่วนจากเนื้อหาอื่นๆ อย่างชัดเจน’ และแจ้งถึงผลที่เกิดขึ้นจากการยินยอม หรือไม่ยินยอมในการเก็บ ใช้ หรือเปิดเผยข้อมูลด้วย โดยสามารถทำได้ง่ายๆ ไม่มีอะไรพิสดาร เช่น การใช้สีที่แตกต่างเพื่อความความแตกต่างจากข้อความปกติ ดังตัวอย่างนี้ :
- ผู้ให้บริการมีการเก็บ รวบรวมใช้ และอาจเปิดเผยข้อมูล ชื่อ นามสกุล อีเมล หมายเลขโทรศัพท์ บัญชีการเงิน ฯลฯ เพื่อประโยชน์ในการให้บริการและการติดต่อเพื่อการนัดชำระเงิน ฯลฯ
- ผู้ให้บริการมีการเก็บ ใช้ ข้อมูลส่วนบุคคลอ่อนไหว เช่น ลายนิ้วมือ ภาพสแกนใบหน้า เพื่อประโยชน์ในการให้บริการที่มีความปลอดภัย และได้จัดให้มีการรักษาความปลอดภัยอย่างเข้มงวด
- ผู้ให้บริการมีการเก็บข้อมูล IP Address, ID Login, Passwords ฯลฯ เพื่อประโยชน์ในการเข้าถึงและเก็บรักษาข้อมูล หรืออื่นๆ
- ข้อมูลส่วนบุคคล อื่นๆ ที่ผู้ให้บริการมีการเก็บ ใช้ หรือเปิดเผยพร้อมด้วยวัตถุประสงค์
จากข้อความตัวอย่างเงื่อนไขการให้บริการ และการขอความยินยอมใน Term of Service ที่เราสมมตินี้ ไม่เพียงต้อง ‘แยกส่วน’ ซึ่งอาจสามารถใช้สีที่แตกต่างเพื่อความโดดเด่น และไม่มีเจนตาปกปิด แต่ยังต้อง ‘ชี้แจง’ วัตถุประสงค์และเหตุผล รวมถึงการขอความยินยอม ในทุกหมวดข้อมูลส่วนบุคคลที่จัดเก็บ ใช้หรือเปิดเผยข้อมูล และจะต้องให้อิสระแก่เจ้าของข้อมูลสามารถ ‘กดไม่ยินยอม’ ได้ แต่ผู้ให้บริการต้องบอกถึงผลกระทบที่เกิดขึ้นจากการไม่ยินยอมให้เก็บ ใช้ หรือเปิดเผยข้อมูล เช่น จะไม่ได้รับข้อมูลการส่งเสริมการขาย หรือไม่สามารถใช้บริการในบางหมวดได้ เป็นต้น โดยใจความสำคัญของสิ่งเล็กๆ น้อยๆ เหล่านี้ถือเป็นการแสดงความจริงใจในการดำเนินการตามเงื่อนไขสัญญาใน Term of Service และเป็นการสร้างความเข้าใจอย่างชัดร่วมกันที่แท้จริง
อย่างไรก็ตาม ข้อมูลเล็กๆ น้อยๆ ที่เรานำเสนอ ก็เพื่อพยายามจะทำให้ Term of Service ของผู้ให้บริการแพลตฟอร์มออนไลน์ต่างๆ ครอบคลุม ชัดเจน และสอดคล้องกับกฎหมาย PDPA มากที่สุด แต่ด้วยเงื่อนไขและข้อตกลงของแต่ละผู้ให้บริการอาจมีความซับซ้อนและแตกต่างกัน ดังนั้นทางที่ดีที่สุดคือต้องศึกษาเพิ่มเติมและรับคำแนะนำจากผู้เชี่ยวชาญเฉพาะด้าน จึงจะเป็นแนวทางที่ปลอดภัยที่สุด แล้วคุณจะไม่ต้องกลัวบทลงโทษของ PDPA อีกต่อไป
