ในบ้านเราเพิ่งมีการบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (พ.ศ.2562) หรือกฎหมาย PDPA (Personal Data Protection Act) ไปเมื่อ 1 มิถุนายน 2565 ที่ผ่านมา หลังเลื่อนมากว่า 2 ปี ซึ่งก็ได้รับความสนใจจากทุกภาคส่วนเพราะเป็นเรื่องที่เกี่ยวข้องกับทุกคนทั้งที่เป็นเจ้าของ และผู้ที่เก็บ รวบรวม ใช้ และเปิดเผย
ขณะที่สหภาพยุโรป หรือ EU มี GDPR (General Data Protection Regulation) เป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่ใช้ในกลุ่มประเทศ EU ที่มีมาตรการการรักษาความปลอดภัยเฉพาะสำหรับผู้ควบคุมข้อมูลที่จะนำมาใช้ รวมถึงการเข้ารหัสการรักษาความลับ และการทดสอบระบบ
- “ทางรัฐ” ซูเปอร์แอปแห่งชาติ รองรับแจกเงินดิจิทัล 10,000 บาท
- กองทุนประกัน อนุมัติจ่ายเงิน 7.29 พันล้าน มี.ค.-เม.ย. รับรองมูลหนี้เพิ่ม 560 ล้าน
- BITE SIZE : ถอนเงินไม่ใช้บัตร ข้ามแบงก์ได้แล้ว ธนาคารไหนรองรับบ้าง
กรณี GDPR เมื่อมีการบังคับใช้แล้วก็มีคำถามตามมาว่ากฎระเบียบและพัฒนาการของเทคโนโลยีจะสามารถก้าวไปด้วยกันได้หรือไม่โดยเฉพาะอย่างยิ่งกรณีเทคโนโลยีบล็อกเชนด้วยว่าการออกแบบระบบอยู่บนพื้นฐานที่ไม่ใช่แค่การเปลี่ยนแปลงข้อมูลไม่ได้ แต่ข้อมูลเหล่านั้นจะมีการบันทึกแบบถาวร
ในรายงาน Blockchain and the General Data Protection Regulation: Can distributed ledgers be squared with European data protection law? ตั้งแต่ปี 2019 ระบุว่าเทคโนโลยีบล็อกเชน และกฏหมาย GDPR มีความขัดแย้งกันอยู่สองประการ คือ
ประการแรก GDPR ตั้งอยู่บนฐานคิดที่ว่าในความสัมพันธ์ของข้อมูลส่วนบุคคล เป็นความสัมพันธ์ระหว่างบุคคลธรรมดาหรือนิติบุคคลอย่างน้อยหนึ่งคน ในฐานะ “ผู้ควบคุมข้อมูล” และ “เจ้าของข้อมูล” ซึ่งเจ้าของข้อมูลสามารถใช้สิทธิของตนภายใต้กฎหมายคุ้มครองข้อมูลของสหภาพยุโรป ในการแก้ไข เปลี่ยนแปลง หรือลบข้อมูลของตนได้ ผู้ควบคุมข้อมูลเหล่านั้นมีความรับผิดชอบต่อสิทธิ์เจ้าของข้อมูลตาม GDPR
ขณะที่บล็อกเชน ( Blockchains) เป็นฐานข้อมูลแบบกระจายศูนย์ ด้วยวัตถุประสงค์การกระจายอำนาจทำให้มีบุคคลหรือนิติบุคคลหลายคน ขาดความเห็นเป็นเอกฉันท์ จึงไม่สามารถระบุได้ว่าใครมีอำนาจกระทำการหรือมีความรับผิดชอบตามข้อกำหนด GDPR
ประการที่สอง GDPR ตั้งอยู่บนสมมติฐานที่ว่าข้อมูลสามารถแก้ไขหรือลบได้เมื่อจำเป็นเพื่อปฏิบัติตามข้อกำหนดทางกฎหมาย เช่น มาตรา 16 และ 17 ขณะที่ Blockchains ทำให้การแก้ไขข้อมูลทำได้ยากหรือแทบเป็นไปไม่ได้เลย จะมีเพียงการเพิ่มข้อมูลเข้าไปเพื่อเสริมความสมบูรณ์และความน่าเชื่อมั่นของเครือข่ายบล็อกเชนเท่านั้น
อย่างไรก็ตาม บล็อคเชนกลับช่วยเสริมการปฏิบัติตามข้อกำหนดGDPR ในการช่วยลดขนาดข้อมูลและการจำกัดวัตถุประสงค์ในการเก็บข้อมูลที่มักมีการนำไปใช้งานในเศรษฐกิจดิจิทัลหรือเศรษฐกิจข้อมูลในปัจจุบัน
อย่างไรก็ตาม ในการศึกษานี้ นอกจากจะช่วยสำรวจความขัดแย้งและอุปสรรคของ GDPR และบล็อกเชนแล้ว ยังเน้นย้ำถึงความจริงที่ว่าบล็อคเชนอาจช่วยส่งเสริมวัตถุประสงค์บางประการของ GDPR และได้เสนอทางเลือกด้านนโยบายที่เป็นรูปธรรมสำหรับการใช้งานบล็อกเชนร่วมกับกม.คุ้มครองข้อมูลส่วนบุคคล โดยเสนอ
3 ทางเลือก ได้แก่
1.ให้คำแนะนำทางกฎระเบียบ (regulatory guidance)
สืบเนื่องจาก กม.คุ้มครองข้อมูลส่วนบุคคลมีความยืดหยุ่นและครอบคลุมหลายด้าน ที่สำคัญคือวางตัวเป็นกลางทางเทคโนโลยีเพื่อรองรับเทคโนโลยีใหม่ที่จะเกิดขึ้นภายหลัง ทำให้พร้อมปรับระเบียบกฏเกณฑ์เฉพาะกรณีได้ ดังนั้นหากมีการนำบล็อกเชนมาใช้ในการจัดการข้อมูลส่วนบุคคล ผู้กำกับดูแลควรเข้าไปแนะนำหรือช่วยกันออกแบบเป็นการเฉพาะเพื่อให้การใช้เทคโนโลยีเอื้อต่อการกำกับดูแล
2.สนับสนุนด้านระเบียบหรือจรรยาบรรณการเก็บข้อมูล และการรับรองกลไก (support codes of conduct and certification mechanisms)
ด้วยความเป็นกลางทางเทคโนโลยีทำให้ กม. คุ้มครองข้อมูลส่วนบุคคลสามารถออกมาตรการที่เกี่ยวข้องมาสอดคล้องกับเทคโนโลยีใหม่ๆ ที่จะเกิดขึ้นได้ โดยกลไกการออกรับรองหรือแบบแผนด้านจรรณยาบรรณจะทำให้ผู้ใช้เทคโนโลยีเห็นความชัดเจนในการออกแบบการเก็บและจัดการข้อมูลมากขึ้น
3.สนับสนุนด้านทุนวิจัย (research funding)
กรณีการใช้บล็อกเชนจะเห็นได้ชัดว่าแม้จะให้คำแนะนำ และออกแบบระเบียบเฉพาะก็ยังไม่สามารถแก้ไขปัญหาเชิงเทคนิคของการเก็บข้อมูลส่วนบุคคลด้วยบล็อกเชนได้ กล่าวคือ บล็อกเชนไม่สามารถอนุญาติให้ใครก็ตามย้อนกลับไปแก้ไขข้อมูล ดังนั้นการสนับสนุนด้านการวิจัยเพื่อค้นคว้าวิธีการเชิงเทคนิคที่ช่วยทำให้การเก็บและประมวลผลด้วยบล็อคเชนส่งผลดีกับเจ้าของข้อมูลเป็นเรื่องที่ควรทำอย่างยิ่ง
แม้ว่ารายงานการศึกษาฉบับนี้เขียนขึ้นตั้งแต่ปี 2019 แต่ประเด็นปัญหาและแนวทางแก้ไขนับว่าร่วมสมัย เพราะเมื่อมองย้อนกลับมาที่กฎหมาย PDPA ของบ้านเราที่เพิ่งประกาศใช้ไป ประกอบกับแนวโน้มการใช้เทคโนโลยีใหม่ๆ ขององค์กรธุรกิจอย่างบล็อกเชนหรือเทคโนโลยีที่ใหม่กว่านั้นอาจนำมาซึ่งคำถามลักษณะเดียวกันว่า เทคโนโลยีใหม่จะขัดแย้งกับหลักการคุ้มครองข้อมูลหรือไม่ และจะทำอย่างไรให้เทคโนโลยีและหลักการรักษาข้อมูลไปด้วยกันได้เพื่อประโยชน์สุงสุดของเจ้าของข้อมูล
อ่านรายงานฉบับเต็มได้ที่เว็บไซต์ Europarl
