การนำข้อมูลมาวิเคราะห์ (Data Analytics)
ในการดำเนินธุรกิจทั้งในภาครัฐและเอกชนนั้นปฏิเสธไม่ได้เลยว่า ทุก ๆ ธุรกิจมีความจำเป็นที่จะต้องเข้ามาเกี่ยวข้องกับข้อมูลส่วนบุคคลของใครคนหนึ่ง ๆ ผ่านวิธีการเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูล (Data Subject) นั้น ไม่ว่าจะเป็นการจัดเก็บและใช้ข้อมูลส่วนบุคคลผ่านการสมัครสมาชิก การทำสัญญาต่าง ๆ การเข้ารับและใช้บริการ หรือการซื้อขายสินค้าต่างๆ โดยเป็นการที่เจ้าของข้อมูลส่วนบุคคลให้ข้อมูลต่อธุรกิจนั้น ๆ ในลักษณะทั้งทางกายภาพหรือทางอิเล็กทรอนิกส์ เช่น ผ่านระบบคอมพิวเตอร์ อุปกรณ์ต่าง ๆ ที่สามารถให้ข้อมูลได้อย่างอัตโนมัติและเป็นระบบ
ข้อมูลส่วนบุคคลที่ธุรกิจต่าง ๆ ได้มีการเก็บ ใช้ หรือเปิดเผยนั้น ล้วนแล้วแต่เป็นข้อมูลที่เป็นประโยชน์ และมีมูลค่ามากต่อธุรกิจทั้งสิ้น โดยมีการนำข้อมูลที่ได้มาวิเคราะห์ (Data Analytics) เพื่อหาแนวโน้มในการประกอบธุรกิจ การปรับตัว และการวางแผนพัฒนากลยุทธ์ทางธุรกิจในอนาคตได้
ผลจากการประกาศใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
เมื่อพิจารณา เราจะเห็นได้ว่าตั้งแต่มีการประกาศใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA (Personal Data Protection Act 2019) ธุรกิจต่าง ๆ ทั้งภาครัฐและเอกชนนั้น เกิดความตื่นตัว ระมัดระวังและตระหนักรู้ขึ้นมาก ในการเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของใครก็ตาม เพราะพระราชบัญญัตินี้ มุ่งปกป้องและคุ้มครองความเป็นส่วนตัวของเจ้าของข้อมูล (Data Subject) เพื่อไม่ให้ข้อมูลของ ‘เขา’ ถูกนำไปใช้ในทางที่อาจเป็นการละเมิดความเป็นส่วนตัว (Privacy) ของเขาได้
ตัวอย่างข้อมูลส่วนบุคคล ซึ่งเป็นข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม เช่น ข้อมูลส่วนบุคคล-ข้อมูลประวัติส่วนตัว, ข้อมูลกายภาพ, ข้อมูลประชากร, ข้อมูลเศรษฐกิจ ซึ่งทำให้สามารถระบุตัวบุคคลหนึ่ง ๆ ได้ และข้อมูลส่วนบุคคลอ่อนไหว-เชื้อชาติ, ความคิดเห็นทางการเมือง, ศาสนา, พฤติกรรมทางเพศ, ประวัติอาชญากรรม หรือข้อมูลสุขภาพ
โดยข้อมูลส่วนบุคคลที่ยกตัวอย่างข้างต้นของเขาจะได้รับความคุ้มครองตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ฉะนั้น การที่ธุรกิจใด ๆ ก็ตามจะนำข้อมูลส่วนบุคคลของใครมาประมวลผลหรือวิเคราะห์ (Data Analytics) นั้น พึงต้องระวังถึงข้อปฏิบัติตามกฎหมายอย่างเคร่งครัดด้วย
ด้วยเหตุนี้เอง ทำให้เกิดข้อจำกัดหรืออุปสรรคในการจะนำข้อมูลดังกล่าวนั้นมาวิเคราะห์ (Data Analytics) เป็นอย่างมาก เพราะอาจทำให้เกิดการละเมิดความเป็นส่วนตัวของเจ้าของข้อมูลได้ อันนำมาซึ่งผลลัพธ์ทั้งในแง่ทำให้เสื่อมเสียชื่อเสียงต่อตัวธุรกิจ และในแง่ค่าใช้จ่ายหากเกิดกรณีพิพาทขึ้น
การทำข้อมูลให้เป็นนิรนาม (Anonymization)
เพื่อลดข้อจำกัดหรือขจัดอุปสรรคในการจะนำข้อมูลดังกล่าวนั้นมาวิเคราะห์ (Data Analytics) และในการวิเคราะห์ข้อมูลนั้นไม่จำเป็นต้องทำการระบุตัวเจ้าของข้อมูลได้เสมอไป ดังนั้น การทำข้อมูลให้เป็นนิรนาม (Anonymization) จึงเป็นทางเลือกที่เหมาะสมทางเลือกหนึ่งสำหรับธุรกิจต่าง ๆ เพราะเป็นการใช้วิธีการทางเทคนิคที่จะทำให้ข้อมูลส่วนบุคคลนั้นไม่สามารถระบุตัวบุคคลได้อีกต่อไป และเมื่อไม่สามารถระบุตัวตนได้ ข้อมูลนิรนามจะไม่ถือเป็นข้อมูลส่วนบุคคลอันต้องถูกบังคับใช้ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล ส่งผลให้การนำข้อมูลมาวิเคราะห์หาแนวโน้มในการประกอบธุรกิจ การปรับตัว และการวางแผนพัฒนากลยุทธ์ทางธุรกิจจึงเป็นไปอย่างง่ายและสะดวกมากขึ้น
ตัวอย่างวิธีการทำข้อมูลให้เป็นนิรนาม (Anonymization)[1]
- การกำจัดหรือซ่อนตัวของเจ้าของข้อมูลส่วนบุคคล (Generalizing the Data) เป็นวิธีการแทนข้อมูลส่วนบุคคลด้วยตัวเลขหรือลำดับต่าง ๆ
- การผสมข้อมูล (Scrambling) เป็นการนำตัวอักษรมาสลับกันเพื่อให้ไม่สามารถระบุตัวตนได้ หรือเมื่ออ่านแล้วไม่สามารถระบุถึงตัวตนที่แท้จริงของเจ้าของข้อมูลส่วนบุคคลได้
- การปิดทับข้อมูล (Masking) เป็นการเปลี่ยนส่วนใดส่วนหนึ่งของข้อมูลด้วยกลุ่มของตัวอักษรที่ได้จากการสุ่ม หรือข้อมูลอื่น ๆ เช่น การนำชื่อซึ่งเป็นข้อมูลส่วนบุคคลของเจ้าของข้อมูลแต่ละคนไปแทนที่ด้วยกลุ่มของตัวอักษรที่สุ่มขึ้นมา จากนั้นนำเอาตัวอักษรสุ่มดังกล่าวมาแทนที่ชื่อในข้อมูลปัจจุบันนั้นเอง
- การจัดทำข้อมูลนิรนามโดยเจ้าของข้อมูลที่อนุญาตให้เจ้าของข้อมูลสามารถเลือกได้ (Personalized anonymization) ว่าจะใช้วิธีการตามที่ตนระบุในการทำให้ข้อมูลส่วนบุคคลของตนกลายเป็นข้อมูลที่ไม่สามารถระบุตัวตนได้
- การลดความชัดเจนของข้อมูลส่วนบุคคล (Blurring or Noising) เป็นการใช้ข้อมูลโดยประมาณแทนที่ข้อมูลดั้งเดิม เพื่อลดความเฉพาะเจาะจงของข้อมูลลง วิธีดังกล่าวนั้นทวีความนิยมมากขึ้นในภาครัฐ ภาคเอกชนทั่วโลก
นอกจากนี้ ยังมีการแฝงข้อมูล (Pseudonymization) [2] ซึ่งหมายถึง วิธีการในการแทนที่สิ่งที่ระบุตัวตนของเจ้าของข้อมูลโดยตรง เช่น ชื่อ ที่อยู่ หรือ รหัสประจำตัวต่าง ๆ ด้วยชื่อหรือรหัสที่สร้างขึ้นมาด้วยวิธีการใดวิธีการหนึ่งอันเป็นเอกลักษณ์ และองค์กรได้เก็บรักษาข้อมูลทั้งสองชุดไว้แยกจากกัน
อย่างไรก็ตาม เราจะเห็นได้ว่าการแฝงข้อมูลเป็นเพียงวิธีการหนึ่งในการรักษาความปลอดภัยของข้อมูลส่วนบุคคล ที่การแฝงข้อมูลแต่เพียงอย่างเดียวนั้นไม่เพียงพอที่จะทำให้ข้อมูลดังกล่าวเป็นข้อมูลนิรนาม เนื่องจากข้อมูลแฝงนั้นจะแสดงผลเป็นข้อมูลส่วนบุคคลได้หากมีการนำข้อมูลแต่ละส่วนกลับมารวมกัน ต่างกับการทำให้ข้อมูลนิรนามที่เป็นการทำให้ข้อมูลส่วนบุคคลแปรสภาพไปจนไม่สามารถระบุถึงตัวบุคคลของเจ้าของข้อมูลได้ไม่ว่าจะทำวิธีใด ๆ ก็ตาม
แหล่งอ้างอิง
[1.] PT & Associates ABER Group Aberdeen Alumni Chapter (Bangkok), ถาม-ตอบ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 สำหรับผู้ปฏิบัติงาน, พิมพ์ครั้งที่ 1, 33.
[2.] ศูนย์วิจัยกฎหมายและการพัฒนา คณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย, Thailand Data Protection Guidelines 3.0 แนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล, พิมพ์ครั้งที่ 3, 272.
