ช่วงนี้หลายคนอาจได้ยินคำว่า GDPR บ่อยขึ้น GDPR ย่อมาจาก General Data Protection Regulation คือหลักคุ้มครองข้อมูลส่วนบุคคลแบบใหม่ยุโรป ที่สภาสหภาพยุโรปผ่านกฎหมายไปเมื่อปี 2016 และจะมีผลบังคับใช้ 25 พฤษภาคม 2018

GDPR เป็นมาตรฐานคุ้มครองข้อมูลใหม่แทนที่กฎหมายเดิมในยุโรปที่บังคับใช้มานานตั้งแต่ปี 1980 เพื่อให้ตอบรับกับเทคโนโลยีรับ-ส่ง และประมวลผลข้อมูลในยุคนี้

สาเหตุที่ต้องใช้เวลาถึง 2 ปี กว่าจะบังคับใช้กฎหมาย ทั้งที่ GDPR ผ่านสภามาตั้งแต่ปี 2016 นั้น ก็เพื่อให้องค์กรบริษัทห้างร้านต่างๆ มีเวลาปรับตัว และแน่ใจว่าองค์กรมีวิธีการเก็บ ถ่าย โอน ข้อมูลของลูกค้าอย่างถูกต้องตามหลัก GDPR จริงๆ ไม่เช่นนั้นอาจถูกปรับไม่เกิน 20 ล้านยูโร หรือไม่เกิน 4% ของรายได้รวมทั่วโลก ขึ้นกับอะไรสูงกว่า

ไอเดียตั้งต้นของกฎหมายคุ้มครองข้อมูลส่วนบุคคล และ GDPR

ต้องบอกก่อนว่า GDPR ไม่ได้มารื้อหรือปฏิวัติหลักการเดิม เพียงแต่มาขยายความคุ้มครองข้อมูลส่วนบุคคลให้ชัดเจน เป็นมาตรฐานเดียวกันทั่วยุโรป และที่สำคัญ คือ คุ้มครองข้อมูลพลเมืองยุโรป ไม่ว่าข้อมูลจะวิ่งไปเก็บอยู่ที่ไหนของโลกก็ตาม

ยุโรปมีกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่แข็งแรงอยู่แล้ว กฎหมายด้านนี้ของยุโรปมักตั้งอยู่บนพื้นฐานร่วมกันเหล่านี้

• หน่วยงานควบคุมข้อมูลที่เจ้าของข้อมูลรับบริการ (data controller) ต้องได้รับความยินยอมจากเจ้าของข้อมูล (data subject) ในการจัดเก็บข้อมูล รวมทั้งต้องกำหนดขอบเขต วัตถุประสงค์ในการประมวลผลข้อมูลที่ชัดเจน
• แต่ละประเทศต้องให้การคุ้มครองอย่างเคร่งครัดต่อข้อมูลที่อ่อนไหวเป็นพิเศษ เช่น ความคิดทางการเมือง ศาสนา ลัทธิ พฤติกรรมสุขภาพ พฤติกรรมทางเพศ การเป็นสมาชิกสหพันธ์ ประวัติอาชญากรรม เป็นต้น
• การส่งข้อมูลไปต่างประเทศ หรือบริษัทที่อยู่ต่างประเทศ ผู้รับข้อมูลต้องมีการคุ้มครองข้อมูลมาตรฐานเดียวกับบริษัทในยุโรป
• หน่วยงานควบคุมข้อมูลต้องกำหนดขอบเขต ระยะเวลาในการประมวลผล และมีมาตรการรักษาความปลอดภัยข้อมูลอย่างรัดกุม

GDPR มาขยับมาตรฐานคุ้มครองข้อมูลให้ชัดเจน และคุ้มครองเป็นการทั่วไป (General) ใช้เหมือนกันในทุกประเทศสมาชิกของ EU ซึ่งต่างจากก่อนหน้านี้ ที่ EU มีหลักการเบื้องต้นให้แล้วแต่ละประเทศไปร่างกฎหมายการดำเนินการและบทลงโทษกันเอาเอง

อีกสิ่งสำคัญที่ GDPR เข้ามาทำให้ชัดเจนคือการส่งข้อมูลระหว่างประเทศ ไม่ต้องสับสนอีกต่อไปว่าจะจัดการอย่างไร เพราะระบุชัดเจนว่า ผู้รับข้อมูล ซึ่งอาจจะเป็นบริษัทคลาวด์หรือบริษัทประมวลผลข้อมูล (data Processer) ที่แม้อยู่ต่างประเทศ นอกขอบเขตของประเทศสมาชิก EU ก็ต้องทำตามกฎ GDPR อยู่ดี

การเปลี่ยนแปลงสำคัญใน GDPR มีอะไรบ้าง

ความเปลี่ยนแปลงจาก GDPR โดยสรุปตามเว็บไซต์ทางการของ EU GDPR มีดังนี้

• นิยามข้อมูลข้ามพรมแดนชัดเจน คือ การเปลี่ยนแปลงสำคัญที่สุดของ GDPR อย่างที่ได้กล่าวไปเบื้องต้น ทำให้ความสับสนของการจัดการข้อมูลข้ามแดนหายไป ไม่ต้องมานั่งพิจารณาว่าควรใช้กฎหมายฉบับไหน ประเทศใด เพราะผู้รับข้อมูลต้องทำตาม GDPR เท่ากันหมด
• บทลงโทษแรงขึ้น หากพบว่าผิดกฎ องค์กรต้องจ่ายค่าปรับ 4% ของผลประกอบการรายได้ทั่วโลกทั้งหมด หรือกว่า 20 ล้านยูโร ตัวอย่างความผิดเช่น การได้ข้อมูลมาโดยเจ้าของข้อมูลไม่ได้ให้การยินยอม ซึ่งเกิดขึ้นแล้วกรณี Facebook 1, 2 บทลงโทษนี้จะบังคับใช้ทั้งหน่วยงานควบคุมข้อมูล และผู้ประมวลผลข้อมูล
• การขอความยินยอมจากเจ้าของข้อมูลต้องเข้าใจง่าย เงื่อนไขการขอความยินยอมยาวเหยียดจะไม่มีอีกต่อไปแล้ว เพราะ GDPR บอกว่า คำขอความยินยอมต้องอ่านแล้วเข้าใจง่าย ใช้ภาษาที่รวบรัดชัดเจน เช่นเดียวกันกับการถอนความยินยอม ก็ต้องทำได้ง่ายเช่นกัน
• การแจ้งเตือนเมื่อเกิดเหตุข้อมูลรั่ว หากพบว่าข้อมูลรั่วไหล หน่วยงานควบคุมข้อมูลและผู้ประมวลผลข้อมูลต้องแจ้งให้หน่วยงานกำกับดูแล และประชาชนทราบภายใน 72 ชั่วโมง
• สิทธิของ data subject ใน GDPR ขยายขอบเขตสิทธิของเจ้าของข้อมูล ที่ data controller ต้องแจ้งเจ้าของข้อมูลว่าข้อมูลถูกใช้เอาไปทำอะไร เพื่อวัตถุประสงค์ใด และต้องจัดทำสำเนาข้อมูลให้กับเจ้าของข้อมูลในรูปแบบอิเล็กทรอนิกส์ โดยห้ามเก็บค่าใช้จ่ายเพิ่ม
• สิทธิ์ที่จะถูกลืม (Right to be Forgotten) เจ้าของข้อมูลสามารถขอให้หน่วยงานควบคุมข้อมูลลบข้อมูลของตัวเองออกได้ นอกจากนั้นข้อมูลที่ไม่มีความเกี่ยวข้องกับจุดประสงค์ของการประมวลผล ก็ต้องเอาออกด้วย
  ให้ความสำคัญกับความเป็นส่วนตัวตั้งแต่การออกแบบ (Privacy by Design) คือการให้หน่วยงานควบคุมข้อมูลตระหนักความสำคัญของข้อมูล โดยเริ่มจากการออกแบบบริการที่คิดถึงการป้องกันข้อมูลตั้งแต่แรกเลย ไม่ใช่ออกแบบแล้ว ค่อยมาเพิ่มเรื่องการป้องกันข้อมูล และใช้มาตรการทางเทคนิคที่เหมาะสมและมีประสิทธิภาพในการป้องกันข้อมูล
• ต้องมีเจ้าหน้าที่คุ้มครองข้อมูล หรือ Data Protection Officers (DPO) จากเดิมที่องค์กรต้องแจ้งกิจกรรมการประมวลผลข้อมูลต่อหน่วยงานท้องถิ่น (Local Data Protection Authority) ที่เป็นข้อบังคับตามกฎหมายเดิม (Data Protection Act 1998) ภายใต้กฎ GDPR นี้ไม่ต้องแจ้งแล้ว แต่ต้องจ้างเจ้าหน้าที่คุ้มครองข้อมูล หรือ DPO เข้ามาในบริษัทเลย

เจ้าหน้าที่่คุ้มครองข้อมูล มีหน้าที่ติดตามกิจกรรมประมวลผลข้อมูลขนาดใหญ่ และข้อมูลอ่อนไหว คุณสมบัติของ DPO คือ มีความรู้ความเชี่ยวชาญการจัดเก็บข้อมูล, รายงานการทำงานตรงต่อผู้บริหาร, ต้องไม่ทำงานอื่นที่อาจสร้างความขัดแย้งเรื่องผลประโยชน์

GDPR เป็นกฎของยุโรป แล้วเกี่ยวกับคนไทยอย่างไร

อาทิตย์ สุริยะวงศ์กุล จากเครือข่ายพลเมืองเน็ต

Blognone สัมภาษณ์ อาทิตย์ สุริยะวงศ์กุล จากเครือข่ายพลเมืองเน็ต พุดคุยเรื่องผลกระทบในไทยที่อาจเกิดขึ้นได้จากกฎใหม่ GDPR

คุณอาทิตย์ระบุว่า องค์กรที่มีลูกค้าเป็นพลเมืองยุโรป ต้องทำตาม GDPR และเป็นไปได้สูงมากว่าองค์กรไทยโดยเฉพาะการท่องเที่ยว โรงแรม ซึ่งเป็นภาคอุตสาหกรรมใหญ่ คงต้องทำตาม GDPR อย่างหลีกเลี่ยงได้ยาก

ผู้ประกอบการไทยจะลำบากขึ้น เพราะ GDPR กำหนดชัดเจนเรื่องการส่งออกข้อมูลไม่ว่าจะไปที่ประเทศใด ประเทศนั้นต้องมีกฎคุ้มครองที่เทียบเท่าหรือมากกว่า GDPR ถ้าไทยไม่มีกฎหมายที่ดีพอ นั่นหมายถึงการเสียโอกาสทางธุรกิจ คุณอาทิตย์กล่าว

คุณอาทิตย์ บอกเพิ่มเติมว่า อย่างไรก็ตาม GDPR ไม่ได้ปิดประตูตาย กรณีที่ประเทศปลายทางยังไม่มีกฎที่เทียบเท่า GDPR ผู้ที่เกี่ยวข้องทั้งหน่วยงานควบคุมข้อมูล, หน่วยงานประมวลผลข้อมูล ต้องมาทำสัญญากับหน่วยงานในไทย และพิสูจน์มาตรฐานป้องกันข้อมูลว่ามีประสิทธิภาพ พร้อมทั้งระบุผู้รับผิดชอบกรณีถ้ามีการละเมิดเกิดขึ้น

ปัญหาคือถ้าองค์กรยุโรปหนึ่งดีลกับลูกค้าไทยสิบเจ้า เท่ากับต้องร่างสัญญาสิบฉบับ ถ้ามีองค์กรอื่นเข้ามาเกี่ยวข้องอีก ก็ต้องเพิ่มจำนวนสัญญา และการทำสัญญาก็มีค่าใช้จ่ายของมันอยู่ ทำให้อุตสาหกรรมรายเล็กลำบาก ดังนั้น สุดท้ายแล้ววิธีที่ตรงไปตรงมาที่สุดคือ ประเทศไทยควรมีกฎหมายคุ้มครองข้อมูลที่เทียบเท่า GDPR

ภาพจาก EGA Facebook Sak Sake

ประเทศไทยพร้อมหรือยัง กฎหมายไทยเคลื่อนไหวต่อเรื่องนี้ไปถึงไหนแล้ว

ปัจจุบันประเทศไทย ยังไม่มีกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่บังคับใช้เป็นการทั่วไป จะมีก็เพียงการคุ้มครองข้อมูลแบบแยกส่วน เช่น คุ้มครองข้อมูลส่วนบุคคลที่ใช้ในหน่วยงานราชการ มีบรรจุใน พ.ร.บ. ข้อมูลข่าวสาร 2540 เป็นข้อมูลสุขภาพ ก็ระบุใน พ.ร.บ. สุขภาพแห่งชาติ ข้อมูลการใช้บัตรเครดิต เรื่องข้อมูลส่วนบุคคลจะมีเขียนไว้ใน พ.ร.บ. ข้อมูลเครดิตแห่งชาติ

อย่างไรก็ตาม ไทยพยายามผลักดันร่างกฎหมายคุ้มครองข้อมูลส่วนบุคคลมา 20 ปีแล้ว

Blognone ได้พูดคุยกับ ดร. นคร เสรีรักษ์ อาจารย์ประจำวิทยาลัยการปกครองท้องถิ่น ม.ขอนแก่น และผู้ก่อตั้ง Privacy Thailand เล่าความเป็นมาของร่างกฎหมายไทยให้ฟังว่า แรกเริ่มเดิมที กฎหมายถูกผลักดันโดย NECTEC ศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ

ดร. นคร เสรีรักษ์ อาจารย์ประจำวิทยาลัยการปกครองท้องถิ่น ม.ขอนแก่น และผู้ก่อตั้ง Privacy Thailand

ดร. นคร เล่าให้ฟังเพิ่มเติมว่า ร่างกฎหมายเริ่มมาชัดเจนตอนรัฐบาลของ อภิสิทธิ์ เวชชาชีวะ อดีตนายกรัฐมนตรี พ.ศ. 2549 รัฐบาลชุดอภิสิทธิ์ก็เสนอร่างกฎหมายเข้าสภา แต่หมดสมัยอภิสิทธิ์เสียก่อน จนกระทั่งมาในรัฐบาลของ ยิ่งลักษณ์ ชินวัตร ก็เกิดรัฐประหารเสียอีก รัฐบาลชุดคณะรักษาความสงบแห่งชาติ ได้หยิบร่างกฎหมายและส่งกลับไปสภา โดยให้ความเห็นว่าเป็นกฎหมายสำคัญต่อการปฏิรูปประเทศ คสช. จึงส่งกฎหมายไปให้ สำนักงานนิติบัญญัติแห่งชาติ (สนช.) พิจารณา

แต่การเกิดขึ้นของกระทรวงดิจิทัล ทำให้มีปัญหาขึ้นอีก เพราะ รมต. กระทรวงดิจิทัล ในขณะนั้นเสนอกฎหมายใหม่เข้าสภา 8 ฉบับ โดย 1 ใน 8 ฉบับ มีร่าง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลอีกฉบับเข้ามา กลายเป็นว่ามีร่างกฎหมายเดียวกัน 2 ฉบับให้พิจารณา จนสุดท้ายร่างที่อาจจะได้ใช้จริงคือร่างของกระทรวงดิจิทัล มีการแก้ไขใหม่ รื้อใหม่ กลายเป็นร่างกฎหมายฉบับปัจจุบัน

คุณนคร สรุปสถานการณ์ร่างกฎหมายคุ้มครองข้อมูลในไทยว่า ความไม่มีเสถียรภาพทางการเมืองเป็นสาเหตุสำคัญที่ทำให้กระบวนการร่างกฎหมายล่าช้า

ร่างกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่ยังอยู่ระหว่างพิจารณานี้ มีมาตรฐานเทียบเท่ากับ GDPR หรือไม่

Blognone ได้ถามความเห็นจากทั้ง อาทิตย์ สุริยะวงศ์กุล เครือข่ายพลเมืองเน็ต และ ดร. นคร เสรีรักษ์ จาก Privacy Thailand เรื่องมาตรฐานกฎหมายไทย ทั้งสองคนให้ความเห็นไปในทางเดียวกันว่า กฎหมายไทยตอนนี้ยังไม่ได้มาตรฐานเทียบเท่า GDPR และมีหลายประเด็นที่น่าเป็นห่วง

เริ่มจาก คุณอาทิตย์ บอกว่า ในร่างกฎหมายที่พิจารณากันอยู่มีปัญหาสำคัญหลายประการ เริ่มจากนิยามคำว่า "ข้อมูลส่วนบุคคล" ก็ผิดแล้ว

มาตรา 5 ร่าง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ……. กำหนดนิยาม "ข้อมูลส่วนบุคคล" ว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงการระบุเฉพาะชื่อ ตำแหน่ง สถานที่ทำงาน หรือที่อยู่ทางธุรกิจ และข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ

ทำให้เกิดความสับสนว่า ชื่อ ตำแหน่ง สถานที่ทำงานฯ ทั้งที่เป็นข้อมูลชี้ตัวเราได้ แต่ไม่ได้เป็นข้อมูลส่วนบุคคลอย่างนั้นหรือ?

คุณอาทิตย์เล่าให้ฟังว่า ตอนที่ตนไปรับฟังความเห็นร่างกฎหมาย ทางผู้ร่างยกตัวอย่างกฎหมายสิงคโปร์ ที่ยกเว้นข้อมูลติดต่อสำหรับธุรกิจ (business contact) ไว้ แต่จริงๆ แล้ว สิงคโปร์เขียนเฉพาะเจาะจงกว่านี้ ข้อมูลติดต่อสำหรับธุรกิจในนิยามกฎหมายสิงคโปร์ คือ ชื่อ ตำแหน่ง สถานที่ติดต่อทางธุรกิจ ที่บุคคลมอบให้ไว้กับหน่วยงาน เพื่อเก็บไว้ติดต่อธุรกิจกับหน่วยงานนั้น และการให้ที่อยู่ติดต่อธุรกิจ ต้องเป็นไปเพื่อประโยชน์ที่ไม่ใช่เฉพาะประโยชน์ส่วนตัว

ในร่างกฎหมายปัจจุบันยังมีปัญหาเรื่องข้อยกเว้นอีกด้วย ในมาตรา 4 ระบุว่า พ.ร.บ. นี้ไม่ใช้บังคับแก่ใครบ้าง ปัญหาคือ กฎหมายนี้ไม่บังคับใช้แก่การดำเนินการทางศาสนา, กิจการสื่อสารมวลชน และ การดำเนินการกับข้อมูลเครดิตและสมาชิกตามกฎหมายว่าด้วยการประกอบข้อมูลเครดิตทางธุรกิจ

คุณอาทิตย์บอกว่า "ข้อมูลศาสนา เป็นข้อมูลที่อ่อนไหว (sensitive information) ซึ่งในร่างกฎหมายมาตรา 22 ระบุชัดเจนว่าเป็นข้อมูลที่ห้ามเก็บ ไม่จำเป็นต้องมายกเว้นอีกครั้งในมาตรา 4 ส่วนข้อมูลเครดิต ถ้ากฎหมายเครดิตมีมาตรฐานเทียบเท่า GDPR อยู่แล้ว ก็ไม่เป็นปัญหา แต่กฎหมายหลักไม่ควรมีข้อยกเว้น เพราะมันจะกลายเป็นช่องโหว่ได้ กฎหมายไม่ควรซับซ้อน เพราะการทำตามกฎหมายจะได้ง่ายขึ้น

คุณอาทิตย์เล่าให้ฟังอีกว่า "อีกกิจการที่กฎหมายนี้ยกเว้นคือ สื่อสารมวลชน ซึ่งในสายตาประชาชน กิจการที่ละเมิดความเป็นส่วนตัวมากอย่างหนึ่งเลยคือสื่อ ถ้าสื่อได้รับการยกเว้นก็จะหมายความว่า สื่อสามารถเอาข่าวผมถูกหวยไปลงได้ ไม่ผิด แม้ผมจะไม่ยินยอม"

ด้าน ดร. นคร เสรีรักษ์ จาก Privacy Thailand ให้ความเห็นเกี่ยวกับร่างกฎหมายนี้ในประเด็นการส่งข้อมูลข้ามแดนที่เป็นเรื่องสำคัญที่สุด ร่างกฎหมายไทยระบุว่า "การส่งข้อมูลข้ามแดนให้เป็นไปตามหลักเกณฑ์ที่กรรมการกำหนด" แต่ขณะเดียวกัน กฎหมายเราก็ยังไม่มี กรรมการก็ยังไม่มี และยังไม่รู้ว่าหลักเกณฑ์จะมีหน้าตาอย่างไร ถ้าระหว่างนี้ต้องมีการส่งข้อมูลข้ามชาติขึ้นมา ทางยุโรปจะเห็นว่าร่างกฎหมายไทยแบบนี้ จะมีมาตรฐานเทียบเท่า GDPR หรือไม่?

องค์กรที่กำกับดูแลก็สำคัญเช่นกัน ถ้ากฎหมายอยู่กับหน่วยงานที่คุ้มครองดูแลสิทธิเสรีภาพ คุ้มครองผู้บริโภค สำนักงานคณะกรรมการข้อมูลข่าวสาร มันยังพอเห็นภาพว่ากฎหมายจะออกมาในโทนไหน

แต่พอกฎหมายไปอยู่กับกระทรวงดิจิทัล การกำกับดูแลจะเน้นความปลอดภัยเชิงวิศวกรรม ไอที เชิงเทคนิคมากกว่าหรือไม่ กับไปเอื่้อผู้ประกอบการมากกว่าหรือไม่ หรือถ้าถ้ากฎหมายไปอยู่ที่ฝ่ายความมั่นคง หรือกรรมการที่มาจากสายงานธุรกิจมากๆ ใครจะดูแลผู้บริโภค

ดร. นคร เล่าให้ฟังเพิ่มเติมว่า การคุ้มครองข้อมูลส่วนบุคคลไม่ใช่เรื่องความปลอดภัยทางกายภาพเท่านั้น แต่มีมิติของการคุ้มครองสิทธิพลเมืองด้วย ยกตัวอย่างร่างกฎหมายที่เสนอมาครั้งแรก ในร่างนั้นตัดหลักความยินยอม (consent) ที่เป็นหัวใจสำคัญของกฎหมายคุ้มครองข้อมูลส่วนตัวออกไป ซึ่งเป็นเรื่องอันตรายมาก เพราะส่งผลต่อความไว้ใจของผู้บริโภคโดยตรง

อย่างไรก็ตามในร่างฉบับปัจจุบันที่รับฟังความเห็นอยู่มีหลักการยินยอมแล้ว แต่ก็ยังไม่รู้ว่าจะเปลี่ยนอะไรอีกหรือไม่ เพราะร่างกฎหมายยังต้องผ่านอีกหลายขั้นตอน

ภาพจาก Shutterstock

ความท้าทายของธุรกิจ และสิทธิ์ของประชาชนคนไทย

เป็นที่แน่ชัดว่า GDPR มีผลกระทบอย่างมากต่อธุรกิจที่ต้องเกี่ยวข้องกับข้อมูลของประชากรยุโรป และเมื่อถึงเวลาบังคับใช้จริง จะส่งผลต่อบริการสำคัญอีกมาก ทั้งบริการด้านสุขภาพ, หรือบริการที่เกี่ยวข้องกับพลเมืองยุุโรปมากๆ เช่น ธุรกิจการบิน, ท่องเที่ยว, โรงแรม การปรับตัวให้สอดคล้องกับ GDPR เป็นโจทย์ใหญ่ที่ธุรกิจคงต้องเร่งหาทางเพื่อให้ดำเนินการต่อไปได้

มองอีกด้าน สังคมไทยอาจจะถึงเวลาตั้งคำถามการคุ้มครองสิทธิ์ในข้อมูลส่วนบุคคล ซึ่งเรายังพบว่าข้อมูลส่วนตัวที่เราให้หน่วยงานต่างๆ ไป ถูกใช้งานอย่างไม่เหมาะสม ทั้งการเผยแพร่สู่สาธารณะ การส่งต่อข้อมูลให้กับหน่วยงานที่เราไม่ได้ยินยอม ไปจนถึงเงื่อนไขขอใช้งานข้อมูลที่ฝังไว้ในข้อตกลงการใช้งานที่ยาวยืดและภาษาที่กำกวม เราคงต้องตั้งคำถามว่าคนไทยมีสิทธิ์จะควบคุมข้อมูลของตัวเองในระดับเดียวกับ GDPR ได้หรือยัง

ที่มา - EU GDPR, WIRED