กฎหมาย

หากมีกฎหมาย PDPA แล้วสามารถวิเคราะห์ Big Data ได้หรือไม่ ?

Home / เรื่องทั่วไป / หากมีกฎหมาย PDPA แล้วสามารถวิเคราะห์ Big Data ได้หรือไม่ ?

ดร.ชัยพร เขมะภาตะพันธ์ คณบดีวิทยาลัยนวัตกรรมด้านเทคโนโลยีและวิศวกรรมศาสตร์ (CITE) มหาวิทยาลัยธุรกิจบัณฑิตย์ หรือ DPU ในฐานะผู้เชี่ยวชาญด้านวิศวกรรมคอมพิวเตอร์ และมีประสบการณ์ที่ปรึกษาด้าน กฎหมาย PDPA เปิดเผยว่า ถึงแม้ว่ากฎหมาย PDPA ( Personal Data Protection Act) หรือกฎหมายคุ้มครองข้อมูลส่วนบุคคล จะถูกเลื่อนบังคับใช้ในปี 2565 แล้วนั้น แต่มีหลายท่านอาจจะสงสัยว่าถ้ากฎหมาย PDPA เกิดการบังคับใช้แล้วจะมีผลต่อการวิเคราะห์ข้อมูล ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลจำนวนมากหรือ Big Data หรือไม่ ซึ่งองค์กรต่าง ๆ ที่มีข้อมูลอยู่ในมือเป็นจำนวนมากมักมีความต้องการที่จะทำการวิเคราะห์ข้อมูลที่องค์กรเก็บไว้อยู่เอง เพื่อเพิ่มประสิทธิภาพการทำงานต่าง ๆ เช่น การเพิ่มยอดขายสินค้า การเจาะกลุ่มเป้าหมายผู้บริโภค การลดต้นทุนการผลิต เป็นต้น

กฎหมาย PDPA

หากมีกฎหมายแล้ว จะสามารถวิเคราะห์ Big Data ได้หรือไม่ ?

ปกติการวิเคราะห์ข้อมูล Big Data ที่มีข้อมูลส่วนบุคคลของลูกค้าโดยอัตโนมัติมีความเสี่ยงสูง ที่จะมีผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล เนื่องจากผลลัพธ์ของข้อมูลที่ได้ มักจะถูกนำไปใช้ทำการตลาด เพื่อการประชาสัมพันธ์ตามลักษณะสินค้าเป็นรายบุคคล หรือการทำการตลาดตามโปรไฟล์ของลูกค้า เป็นรายบุคคลโดยอัตโนมัติ ซึ่งอาจส่งผลทางกฎหมายต่อเจ้าของข้อมูล ซึ่งคล้ายคลึง กับการทำการตลาดแบบออนไลน์ที่พบในปัจจุบัน

กฎหมาย PDPA

เช่น กรณีที่เราเข้าไปค้นหาสินค้าที่เราต้องการ ในแพลตฟอร์มการซื้อขายออนไลน์ จากนั้นเมื่อเราเข้าใช้งาน Social network หรือเว็บไซต์ต่างๆ จะปรากฏสินค้าในลักษณะดังกล่าว มาแสดงให้เห็นอยู่เป็นประจำ ซึ่งจะมีระบบหลังบ้านมีการวิเคราะห์ข้อมูลความต้องการซื้อสินค้าของเรา รวมถึงระบบตรวจสอบตัวบุคคลทำให้สามารถสร้างการโฆษณาที่แสดงสินค้าที่ตรงกับความต้องการของลูกค้าให้มากที่สุดนั่นเอง

ดร.ชัยพร กล่าวเพิ่มเติมว่า ตามข้อกำหนดของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 นั้นกำหนดไว้ว่า การนำข้อมูลส่วนบุคคลไปใช้ผิดวัตถุประสงค์ ที่บุคคลหนึ่งให้ไว้แต่แรกย่อมมีความผิด เช่น องค์กรหนึ่ง ได้ข้อมูลส่วนบุคคลของลูกค้าจากการขายสินค้าหรือบริการเป็นจำนวนมาก ซึ่งอนุมานได้ว่า เป็นการทำสัญญาทำให้องค์กรสามารถเก็บรวบรวมข้อมูลนี้เพื่อนำไปปฏิบัติตามความจำเป็นของสัญญาได้ เช่น การออกใบเสร็จรับเงิน หรือ การส่งสินค้า เป็นต้น

แต่องค์กรนั้นไม่สามารถใช้ข้อมูลส่วนบุคคลดังกล่าวดำเนินการอย่างอื่น นอกเหนือจากเงื่อนไข หรือความจำเป็นที่ต้องปฏิบัติตามสัญญาที่ระบุไว้ได้ ซึ่งหากฝ่าฝืนจะมีความผิดที่จะขัดต่อข้อกำหนดของกฎหมาย เนื่องจากเป็นการวิเคราะห์ข้อมูลเป็นจำนวนมาก อาจส่งผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคลในวงกว้าง ที่สำคัญหากมีข้อมูลที่มีความอ่อนไหวเป็นพิเศษ หรือมีข้อมูลของผู้เยาว์จะมีความผิดมากขึ้นไปอีกด้วย

หากมี กฎหมาย PDPA แล้วสามารถวิเคราะห์ Big Data ได้หรือไม่ ?

การวิเคราะห์ข้อมูล Big Data

ดร.ชัยพร กล่าวในตอนท้ายว่า การวิเคราะห์ข้อมูล Big Data จากข้อมูลขององค์กรที่มีอยู่ สามารถทำให้ถูกต้องได้ ทั้งนี้หากข้อมูลที่ต้องการนำมาวิเคราะห์ Big Data มีข้อมูลส่วนบุคคลอยู่ จำเป็นต้องทำให้ข้อมูลที่มีอยู่ ไม่สามารถระบุตัวตนของเจ้าของข้อมูลส่วนบุคคลหรือ Anonymize หรือ Masking ข้อมูลส่วนบุคคล หรือการนำเอาแอททริบิวท์ต่าง ๆ ที่เกี่ยวข้องโดยตรงกับข้อมูลส่วนบุคคลออก เช่น ชื่อ นามสกุล บ้านเลขที่ หมายเลขบัตรประชาชน เบอร์โทรศัพท์ บัญชีธนาคาร เป็นต้น

ซึ่งอาจทำได้ในกระบวนการ Cleansing data ก่อนจะเริ่มทำการวิเคราะห์ Big Data ต่อจากนั้นต้องตรวจสอบให้มั่นใจว่า ไม่มีข้อมูลส่วนไหนที่สามารถทำให้ระบุย้อนกลับมายังเจ้าของข้อมูลส่วนบุคคลได้

อย่างไรก็ตาม หากจำเป็นที่จะต้องมีการคงข้อมูลส่วนบุคคลไว้ในการวิเคราะห์ Big Data องค์กรก็จำเป็นต้องขอความยินยอมหรือขอ Consent จากเจ้าของข้อมูลทั้งหมดที่มีข้อมูลปรากฎอยู่ในข้อมูล ก่อนที่จะทำการวิเคราะห์ Big Data ไม่เช่นนั้นอาจได้รับโทษตามกฎหมาย ซึ่งมีตัวอย่างให้เห็นแล้วมากมาย

ดร.ชัยพร เขมะภาตะพันธ์

ดร.ชัยพร เขมะภาตะพันธ์ คณบดีวิทยาลัยนวัตกรรมด้านเทคโนโลยีและวิศวกรรมศาสตร์ (CITE) มหาวิทยาลัยธุรกิจบัณฑิตย์

บทความแนะนำ