เทรนด์ Privacy Law ทั่วโลกเป็นยังไงบ้าง Security Pitch พาส่องเทรนด์ Privacy Law ปีนี้

Privacy Law หรือ กฎหมายที่ภาครัฐจะใช้ในการคุ้มครองข้อมูลของประชาชนในประเทศ มักมีการปรับเปลี่ยนไปตามยุคสมัย แต่สำหรับเทรนด์ Privacy Law ในปีนี้จะเป็นอย่างไรนั้น เราขอเริ่มไปที่ข้อแรก 

1. AI (Artificial Intelligence)

ในปี 2024 นี้ AI ถือเป็นประเด็นสำคัญเลยก็ว่าได้ เนื่องจากการใช้ข้อมูลต่าง ๆ ที่นำมาพัฒนาโมเดล AI หรือนำมาสร้างผลงาน ล้วนมีความเกี่ยวข้องกับข้อมูลส่วนบุคคลแทบทั้งสิ้น เพราะมีการดึงข้อมูลทั้ง งานภาพ เอกสาร หรือ ข้อมูลบุคคล ทั้งมีชื่อเสียงและบุคคลธรรมดาเข้ามาใช้งาน

การสร้างผลิตภัณฑ์ AI เองก็มีความเสี่ยงที่ผู้พัฒนาแอปพลิเคชันหรือเว็บไซต์จะนำข้อมูลทางชีวภาพ เช่น ใบหน้า หรือ ร่างกาย ไปใช้ก็เป็นได้ ทำให้ในตอนนี้ทั่วโลกให้ความสำคัญในประเด็นนี้ เห็นได้จาก

เมื่อวันที่ 9 ธันวาคม 2023 สหภาพยุโรปได้ทำข้อตกลงถึงหลักการเบื้องต้นเกี่ยวกับกฎหมาย EU AI Act ซึ่งคาดว่าจะมีผลบังคับใช้ในปี 2024 กฎหมายนี้น่าจะส่งผลกระทบอย่างมากต่อแวดวงการตลาดดิจิทัล นับตั้งแต่กฎหมาย Digital Markets Act และ Digital Services Act เริ่มบังคับใช้ในปี 2023 

ด้านฝั่งของสหรัฐอเมริกา มีการกำหนดแนวทางปฏิบัติเกี่ยวกับ AI โดยกำหนดให้ต้องใช้ AI อย่างปลอดภัย และมีจริยธรรม นอกจากนี้ กระทรวงความมั่นคงแห่งมาตุภูมิสหรัฐฯ และศูนย์ความมั่นคงไซเบอร์แห่งชาติสหราชอาณาจักร ยังร่วมกับหน่วยงานด้านความมั่นคง 21 แห่งทั่วโลก เผยแพร่แนวทางปฏิบัติสำหรับการพัฒนา AI อย่างปลอดภัย

2. Privacy- enhancing technologies (PET) 

เทคโนโลยีเพิ่มความเป็นส่วนตัว แม้จะไม่ใช่เทคโนโลยีใหม่และแพร่หลายมาก แต่เมื่อก้าวเข้าสู่ยุคของ AI เทคโนโลยีนี้กลับได้รับความนิยมเพิ่มขึ้นอย่างมาก และอาจเป็นเทรนด์หลักในปี 2024 นี้ และคาดว่าจะมีมูลค่าสูงถึง 25.8 พันล้านดอลลาร์ภายในปี 2033

เทคโนโลยี PET ที่น่าจับตามองในปี 2024 มีดังนี้ :

• Federated Learning : เทคนิคการฝึกโมเดล AI แบบกระจาย โดยข้อมูลฝึกฝนอยู่ต่างสถานที่และไม่แชร์ต่อกัน ผลลัพธ์การฝึกฝนจึงไม่เปิดเผยข้อมูลส่วนตัว
• Differential Privacy : วิธีการทางคณิตศาสตร์เพื่อตรวจจับรอยรั่วของข้อมูลส่วนตัวในโมเดล AI และหาทางป้องกัน
• Homomorphic Encryption : การเข้ารหัสข้อมูลขั้นสูง ซึ่งทำการคำนวณที่ซับซ้อน บนข้อมูลลับได้ โดยไม่ละเมิดความเป็นส่วนตัว
• Secure Multi-Party Computation : วิธีการให้หลายฝ่ายร่วมคำนวณข้อมูลลับ โดยไม่เปิดเผยข้อมูลของแต่ละฝ่าย

3.  Pay or Okay เสี่ยงต่อธุรกิจ

Pay or Okay ถือเป็นโมเดลธุรกิจที่เริ่มได้รับความนิยมในปีที่แล้ว นั่นคือการกดยินยอม หรือ เสียเงินเพื่อไม่ให้แพลตฟอร์มเข้ามายุ่งกับข้อมูลส่วนบุคคลของเรา 

ตัวอย่างที่ชัดเจนที่สุดคือในกรณีของ  Meta ได้ทดลองเสนอทางเลือกแก่ผู้ใช้ในยุโรป ดังนี้:

• ฟรี : ใช้ Facebook และ Instagram ได้ฟรี แต่ยินยอมให้เก็บข้อมูลส่วนตัว
• เสียค่าบริการ : จ่ายค่าบริการรายเดือน ไม่เห็นโฆษณา และควบคุมข้อมูลตัวเองได้

โมเดลธุรกิจในลักษณะนี้กำลังถูกวิพากษ์วิจารณ์เป็นอย่างมาก และอาจขัดกับข้อกฎหมาย GDPR ทำให้ในตอนนี้ยังคงมีการพิจารณาว่า โมเดลธุรกิจดังกล่าวขัดกับกฎหมายหรือไม่

จบกันไปแล้วกับ 3 เทรนด์หลักในปีนี้ แล้วกฎหมายด้าน Privacy Law ของประเทศอื่นเป็นอย่างไร สรุปให้ดังนี้ 

สิงคโปร์ และ มาเลเซีย

• ใช้ Personal Data Privacy Act (PDPA) เป็นหลัก สิงคโปร์บังคับใช้ร่างกฎหมายนี้มาตั้งแต่ปี 2012 มาเลเซีย ปี 2013 ครอบคลุมตั้งแต่สื่ออิเล็กทรอนิกส์ และสื่อที่ไม่ใช่อิเล็กทรอนิกส์ 
• บทลงโทษมีตั้งแต่ ปรับสูงสุด 1 ล้านดอลลาร์สิงคโปร์ หรือ จำคุก 3 ปี 
• มีข้อกำหนดห้ามมิให้มีการถ่ายโอนข้อมูลไปยังเขตอำนาจศาลใด ๆ ที่มีมาตรการคุ้มครองข้อมูลส่วนบุคคลในระดับที่ต่ำกว่า

ญี่ปุ่น

• Act on the Protection of Personal Information (APPI) บังคับใช้มาตั้งแต่ปี 2003 แต่มีการปรับปรุงกฎหมายนี้ใหม่ในปี 2022 

• APPI ฉบับใหม่ครอบคลุมธุรกิจที่จัดการข้อมูลส่วนบุคคลของชาวญี่ปุ่น แม้ว่าธุรกิจนั้นจะไม่ได้ตั้งอยู่ในญี่ปุ่นก็ตาม

• เข้มงวดเรื่องการโอนข้อมูลออกนอกประเทศ : ธุรกิจต้องได้รับความยินยอมจากเจ้าของข้อมูล  หรือ มีระบบป้องกันข้อมูลก่อนที่จะโอนข้อมูลส่วนบุคคลออกนอกญี่ปุ่น

• กำหนดหมวดข้อมูลใหม่ที่เรียกว่า “ข้อมูลส่วนบุคคลที่ต้องได้รับการดูแลเป็นพิเศษ” เช่น รสนิยมทางเพศ ศาสนา เชื้อชาติ สถานะสุขภาพ เป็นต้น ธุรกิจต้องได้รับความยินยอมก่อนรวบรวม หรือใช้ข้อมูลเหล่านี้ เช่นเดียวกับ GDPR

• APPI เพิ่มหมวดข้อมูลใหม่ที่เรียกว่า “ข้อมูลที่เกี่ยวข้องกับบุคคล” ซึ่งรวมถึงข้อมูลที่เกี่ยวข้อง กับบุคคลแต่ไม่ใช่ข้อมูลส่วนบุคคลโดยตรง เช่น คุกกี้และที่อยู่ IP การรวบรวมข้อมูลประเภทนี้ ต้องมีนโยบายความเป็นส่วนตัวแต่ไม่ต้องขอความยินยอม ซึ่งอาจส่งผลให้แบนเนอร์ แจ้งเตือนเกี่ยวกับคุกกี้มีการเปลี่ยนแปลงเล็กน้อย

• ธุรกิจต้องรายงานการรั่วไหลของข้อมูลให้กับคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ในกรณีที่ข้อมูลที่รั่วไหลเป็นข้อมูลละเอียดอ่อน ถูกเก็บรวบรวมอย่างไม่ถูกต้อง หรือส่งผลกระทบต่อบุคคลมากกว่า 1,000 คน

• กฎหมายฉบับใหม่กำหนดโทษที่สูงขึ้นสำหรับการรั่วไหลของข้อมูลที่เกิดจากการทุจริต หรือการใช้ข้อมูลโดยมิชอบของพนักงาน โดยปรับธุรกิจสูงสุดได้ถึง 930,000 ดอลลาร์

เกาหลีใต้

• ใช้  Personal Information Protection Act (PIPA) มีผลบังคับใช้ในปี 2012 แยกระหว่างข้อมูลส่วนบุคคล และข้อมูลส่วนบุคคลที่ละเอียดอ่อน
• ข้อมูลส่วนบุคคลที่ละเอียดอ่อนในกรอบของ PIPA มีตั้งแต่ ความเชื่อทางศาสนา ความเกี่ยวข้องหรือมุมมองทางการเมือง ตลอดจนข้อมูลด้านสุขภาพ การแพทย์ และข้อมูลทางเพศ
• กฎหมายกำหนดให้องค์กรสามารถรวบรวมข้อมูลส่วนบุคคลได้เฉพาะเท่าที่จำเป็น ตามที่กฎหมายกำหนดเท่านั้น
• เจ้าของข้อมูลมีสิทธิปฏิเสธไม่ให้องค์กรรวบรวมข้อมูลส่วนบุคคลเกินกรอบกฎหมาย เมื่อปฏิเสธแล้วก็จะถือเป็นคำขาด 

จีน

• ออกร่างกฎหมาย Personal Information Protection Law (PIPL) ฉบับใหม่ มีผลบังคับใช้ 1 พฤศจิกายน ปี 2021
• ข้อบังคับต่าง ๆ คล้ายกับ GDPR ของยุโรป 
• ข้อมูลส่วนบุคคลที่ใช้เพื่อวัตถุประสงค์ส่วนตัว หรือ ครอบครัว จะได้รับการยกเว้น
• อนุญาตให้โอนข้อมูลออกนอกประเทศได้ในบางกรณี แต่ข้อมูลบางประเภทก็มีข้อกำหนดเกี่ยวกับการเก็บข้อมูลภายในประเทศ
• องค์กรต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล (DPO) ทำการตรวจสอบข้อมูล และประเมินผลกระทบข้อมูลเป็นประจำ แจ้งหน่วยงานที่เกี่ยวข้องกรณีเกิดการรั่วไหลของข้อมูล

เวียดนาม

• The Protection of Personal Data ปี 2023 มีผลบังคับใช้ตั้งแต่วันที่ 1 กรกฎาคม 2023
• กำหนดภาระหน้าที่ของเจ้าของข้อมูลในการปกป้องข้อมูลของตนเอง ทำให้เวียดนามเป็นประเทศเดียวที่กำหนดภาระหน้าที่ให้กับบุคคลในการดูแลข้อมูลส่วนบุคคลด้วยตัวเอง
• ยังไม่มีข้อกำหนดการจัดการข้อมูลที่แตกต่างกัน
• เจ้าของข้อมูลมีสิทธิที่จะยินยอม เข้าถึง แก้ไข ถอนความยินยอม ลบข้อมูล จำกัดการใช้ข้อมูล คัดค้าน และเรียกร้องค่าเสียหาย ภายใน 72 ชั่วโมง เมื่อมีเหตุเกิดขึ้น
• ความยินยอมต้องชัดเจนและตรวจสอบได้ การนิ่งเฉย หรือ ไม่ตอบกลับ ไม่ถือเป็นการยินยอม ข้อความยินยอมและนโยบายความเป็นส่วนตัว ต้องมีความโปร่งใสและชัดเจนเกี่ยวกับผลกระทบของการประมวลผลข้อมูล
• การรั่วไหลของข้อมูลต้องรายงานต่อกระทรวงความมั่นคง ภายใน 72 ชั่วโมง

สหภาพยุโรป และ อังกฤษ

• ในยุโรปยังคงยึดกฎหมาย General Data Protection Regulation (GDPR) บังคับใช้ในประเทศสมาชิก EU หากไม่ใช่สมาชิกประเทศนั้นจะต้องแต่งตั้งผู้แทน 
• ในส่วนของอังกฤษที่ออกจาก EU ไปแล้ว จะใช้ The Data Protection Act 2018  ซึ่งเป็นไปตามหลัก GDPR 
• ให้สิทธิในการระงับข้อมูลของตัวเองกรณีมีบุคคลที่ 3 นำข้อมูลไปใช้ 
•  กำลังพิจารณาร่าง AI act 

สหรัฐอเมริกา

เริ่มประกาศใช้กฎหมายข้อมูลส่วนบุคคล โดยแบ่งเป็นแต่ละรัฐ ล่าสุดมีการผ่านกฎหมายออกมา 8 รัฐ แต่จะประกาศใช้ก่อน 5 รัฐ ได้แก่

• Montana Consumer Data Privacy Act (MTCDPA)
• Florida Digital Bill of Rights (FDBR)
• Texas Data Privacy and Security Act (TDPSA)
• Oregon Consumer Privacy Act (OCPA)
• Delaware Personal Data Privacy Act (DPDPA)

ซึ่งรัฐอื่นๆในสหรัฐฯยังคงอยู่ในช่วงของการศึกษาและร่างกฎหมายของตนเอง

สำหรับในทวีปอเมริกาใต้ กฎหมายที่เกี่ยวกับ Privacy ของทุกประเทศยังอยู่ในการพิจารณาและทำข้อกำหนดต่าง ๆ โดยมีแรงบันดาลใจจาก GDPR ของยุโรป 

ในส่วนของประเทศไทยมีการร่างกฎหมาย PDPA และประกาศบังคับใช้ เมื่อวันที่ 1 มิถุนายน 2565 ปัจจุบันยังคงเป็นประเด็นน่าห่วง เนื่องจากผู้คนยังขาดการตระหนักรู้ถึงความจำเป็นของกฎหมาย โดยจากการตรวจสอบเว็บไซต์ของสำนักงานคณะกรรมการคุ้มครองข้อมูล ส่วนบุคคล (สคส.)  พบว่า มีเคสร้องเรียนจากประชาชนกว่า 300 เคส และมีการตัดสินคดีไปแล้วทั้งสิ้น 70 เคส 

สอบถามข้อมูลผลิตภัณฑ์ “OneFence”

Tel. : 081-972-2500
Line : @securitypitch
Email : [email protected]

บทความที่น่าสนใจ

• AI สมจริงเกิน สั่นคลอนระบบยืนยันตัวตน
• รับมือ AI เลียนเสียงของมิจฉาชีพ
• Data Privacy สำคัญอย่างไร ในกรอบ ESG