Power of The Act: Smart Charging และ E-Mobility กับการคุ้มครองข้อมูลส่วนบุคคล

ผู้เขียนได้นำเสนอแนวคิดเรื่อง ระบบการสื่อสารและเชื่อมโยงทางข้อมูลของระบบโครงข่ายไฟฟ้าและการอัดประจุไฟฟ้า ณ เวลาปัจจุบันสามารถเรียกได้ว่าเป็น “Smart Charging” ไว้ใน Power of The Act EP8 (การอัดประจุไฟฟ้าอัจฉริยะรถ EV โดยอาศัยโครงข่ายไฟฟ้ายืดหยุ่น) ซึ่งเผยแพร่ในวันที่ 20 กรกฏาคมที่ผ่านมา โดยอธิบายว่า การอัดประจุไฟฟ้าอัจฉริยะ (“Smart Charging”) ช่วยให้ผู้ใช้งานยานยนต์ไฟฟ้าสามารถระบุได้ว่าควรจะเข้ารับบริการอัดประจุไฟฟ้า ณ สถานีอัดประจุไฟฟ้าใด ทำให้ผู้ใช้งานยานยนต์ไฟฟ้าทราบได้ว่าราคาไฟฟ้าที่ตนกำลังจะซื้อเพื่อยานยนต์ไฟฟ้ามีอัตราเท่าใด

ด้วยเหตุนี้จึงกล่าวได้ว่า สถานีอัดประจุไฟฟ้านั้นไม่ได้เพียงแค่การจ่ายไฟฟ้าเข้าสู่ยานยนต์เท่านั้น หากแต่ยังเป็นจุดที่มีการส่งและรับข้อมูลและทำหน้าที่เป็น “ตัวเชื่อม” ระหว่างยานยนต์ไฟฟ้ากับโครงข่ายไฟฟ้าอีกด้วย การให้บริการ “จำหน่ายไฟฟ้า” ผ่านระบบ Smart Charging จึงไม่ได้เพียงประกอบกิจการไฟฟ้าเท่านั้นหากแต่ยังเป็นผู้ประมวลผลข้อมูลอีกด้วย

การเป็นผู้ประมวลผลข้อมูลนั้นทำให้ผู้ประกอบกิจการสถานีอัดประจุไฟฟ้ามีทั้ง “โอกาส” ในการให้บริการที่ดีขึ้นแต่ขณะเดียวกันก็ส่งผลต้องประสบกับความ “ความท้าทาย” ในการคุ้มครองข้อมูล โดยเฉพาะอย่างยิ่งข้อมูลส่วนบุคคลของผู้ใช้บริการสถานีอัดประจุไฟฟ้าสาธารณะ

การเก็บรวบรวมและใช้ข้อมูลเพื่อเพิ่มประสิทธิภาพในภาคการขนส่ง

Martin Brunner ได้ตีพิมพ์งานเขียนชื่อ “Safeguarding Electric Vehicle Charging Key to Secure E-mobility” ผ่านเว็บไซต์ Fierce Electronics เมื่อวันที่ 16 มิถุนายน ค.ศ.2020 โดยอธิบายไว้อย่างน่าสนใจว่า แนวคิดเรื่องการขับเคลื่อนด้วยระบบไฟฟ้าหรือ “E-mobility” หมายถึงการเปลี่ยนผ่านจากการขนส่งในรูปแบบที่อาศัยเพียงเครื่องจักรกล (Mechanical) มาเป็นรูปแบบของการเป็น “ศูนย์กลาง (Hub)” สำหรับการให้บริการและการเชื่อมโยง (Connectivity) ระหว่างเจ้าของหรือผู้ใช้งานของยานยนต์ อุปกรณ์อิเล็กทรอนิกส์ และระบบการควบคุมการจราจร การเปลี่ยนผ่านนี้จะเกิดขึ้นไม่ได้หากปราศจากการเชื่อมต่อระหว่างยานยนต์และโครงสร้างพื้นฐานในด้านการอัดประจุไฟฟ้า

การอาศัยเทคโนโลยี (โดยเฉพาะอย่างยิ่งการเชื่อมต่อสื่อสาร) เป็นปัจจัยสำคัญในการเพิ่มประสิทธิภาพและคุณภาพในภาคการขนส่งนั้น เป็นสิ่งที่รัฐบาลไทยตระหนักและมีแนวทางที่ส่งเสริมแล้ว โดยสามารถดูตัวอย่างได้จากประกาศคณะกรรมการขับเคลื่อนการพัฒนาเมืองอัจฉริยะ ที่ 1/2562 เรื่อง หลักเกณฑ์การประเมินและคุณสมบัติ วิธีการ และกระบวนการในการพิจารณาการเป็นเมืองอัจฉริยะ (ออกโดยอาศัยอำนาจตามคำสั่งสำนักนายกรัฐมนตรี ที่ 267/2560) ระบุถึง “ลักษณะของการพัฒนาเมืองอัจฉริยะ” ในด้านการขนส่งหรือ “Smart Mobility” ไว้ว่าเป็น “เมืองที่มุ่งเน้นพัฒนาระบบจราจรและขนส่งอัจฉริยะเพื่อขับเคลื่อนประเทศ โดยเพิ่มประสิทธิภาพและความเชื่อมโยงของระบบขนส่งและการสัญจรที่หลากหลาย เพิ่มความสะดวกและความปลอดภัยในการเดินทางและขนส่ง รวมถึงเป็นมิตรกับสิ่งแวดล้อม”

การใช้บริการสถานีอัดประจุไฟฟ้าสามารถก่อความเสี่ยงต่อข้อมูลส่วนบุคคลของผู้ใช้ยานยนต์ไฟฟ้า

ขณะที่ Justin Banda ตีพิมพ์งานเขียนชื่อ “Electric Vehicle Charging Stations May Be a Privacy Risk” ผ่านเว็บไซต์ International Association of Privacy Professionals (IAPP) เมื่อวันที่ 26 มกราคม ค.ศ. 2022 อธิบายว่า ตัวสถานีอัดประจุไฟฟ้าสาธารณะสามารถเก็บรวมและใช้ข้อมูลส่วนบุคคลได้ ในขณะเดียวกัน Mobile Application (App) หรือบัตรที่มีหน่วยความจุภายในตัว (Memory Chip) ซึ่งจะเรียกว่า “RFID Card” ก็สามารถที่จะเก็บรวบรวมข้อมูลส่วนบุคคลของผู้ใช้บริการได้เช่นกัน

App หรือ RFID Card จะทำการเก็บรวบรวมข้อมูลส่วนบุคคล เช่น ตำแหน่งที่ตั้ง (Location Data) ที่สามารถระบุพิกัดได้อย่างแน่นอนแม่นยำ เพื่อช่วยให้ผู้ใช้บริการสามารถเลือกเข้ารับบริการอัดประจุไฟฟ้า ณ สถานีที่สะดวกหรือสามารถให้บริการได้ดีที่สุด ณ เวลาที่ต้องการรับบริการ

อย่างไรก็ตาม ข้อมูลเหล่านี้ย่อมสามารถสามารถทำให้มีการคาดการณ์รูปแบบการขับขี่และพฤติกรรมการขับขี่ประจำวันของผู้ใช้งานยานยนต์ได้ หากข้อมูลเหล่านี้ตกอยู่ในความครอบครองของผู้ไม่ประสงค์ดี ย่อมก่อความเสี่ยงต่อผู้ใช้งานยานยนต์ไฟฟ้า

ส่วนสถานีอัดประจุไฟฟ้า จะทำการเก็บรวบรวมและส่งข้อมูลต่อไปยังระบบโครงข่ายไฟฟ้าตลอดเวลาที่ผู้ใช้ยานยนต์ไฟฟ้าใช้บริการอัดประจุไฟฟ้า เช่น จะเก็บรวบรวมระยะเวลาการอัดประจุไฟฟ้า เวลาเริ่มอัดประจุ เวลาสิ้นสุดการอัดประจุ จำนวนไฟฟ้าที่ถูกอัด ค่าบริการ รหัส RFID Card หากพิจารณาเพียงผิวเผิน ข้อมูลเหล่านี้ไม่น่าจะก่อความเสี่ยงได้ อย่างไรก็ตาม ข้อมูลเกี่ยวกับสถานที่และเวลาการอัดประจุ (Session Data) นั้นสามารถถูกใช้เพื่อคาดการณ์รูปแบบการขับขี่และพฤติกรรมการขับขี่ประจำวันของผู้ใช้งานยานยนต์ได้ในทำนองเดียวกับข้อมูลเกี่ยวกับตำแหน่งที่ตั้ง (Location Data)

เมื่อการอัดประจุไฟฟ้าอาจกินเวลานานถึงหลายชั่วโมง (เทียบกับการเติมน้ำมันเชื้อเพลิงแบบดั้งเดิมซึ่งกินเวลาราว 5-10 นาทีเท่านั้น) สถานีอัดประจุไฟฟ้าย่อมก่อความเสี่ยงที่ข้อมูลส่วนบุคคลจะถูกล่วงละเมิดได้ นอกจากนี้ การเชื่อมโยงระหว่างผู้ใช้ยานยนต์และผู้ให้บริการสถานีอัดประจุไฟฟ้านั้นสามารถ (และมักจะ) เป็นไปโดยผ่านเครือข่ายอินเทอร์เน็ต การเชื่อมโยงดังกล่าวย่อมเกิด “ช่อง” ให้ผู้ไม่ประสงค์ดี “จารกรรมข้อมูล” โดยผ่านการเชื่อมโยงผ่านเครือข่ายอินเทอร์เน็ตได้

การเป็นทั้งผู้ประกอบกิจการพลังงานและผู้ควบคุมข้อมูลส่วนบุคคล

ผู้รับใบอนุญาตประกอบกิจการจำหน่ายไฟฟ้าผ่านสถานีอัดประจุตามพระราชบัญญัติการประกอบกิจการพลังงาน พ.ศ.2550 จะต้องเป็นผู้มีคุณสมบัติตามที่กฎหมายกำหนด เช่น ตามข้อ 4(2)(ก) ของระเบียบคณะกรรมการกำกับกิจการพลังงานว 63242;ดวยการขอรับใบอนุญาตและการอนุญาตการประกอบกิจการพลังงาน พ.ศ. 2551 นิติบุคคลเอกชนที่ประสงค์จะประกอบกิจการพลังงานจะต้องมีคุณสมบัติเช่น “มีศักยภาพทางการเงินและทางเทคนิคเพียงพอที่จะก่อสร้างและดำเนินกิจการพลังงาน”

นอกจากนี้ ตามมาตรา 72 แห่งพระราชบัญญัติการประกอบกิจการพลังงาน พ.ศ.2550 การประกอบกิจการพลังงาน “ต้องเป็นตามมาตรฐานทางวิศวกรรมและมีความปลอดภัยตามระเบียบที่คณะกรรมการกำกับกิจการพลังงานประกาศกำหนด” คุณสมบัติและมาตรฐานเหล่านี้สามารถช่วยสร้างความพร้อมและปลอดภัยในการ “ให้บริการจำหน่ายไฟฟ้า” ได้

อย่างไรก็ตาม เมื่อผู้ให้บริการสถานีอัดประจุไฟฟ้าภายใต้แนวคิดเรื่อง E-mobility และ Smart Charging การประกอบกิจการจำหน่ายไฟฟ้าผ่านสถานีอัดประจุไฟฟ้า ผู้ประกอบการเหล่านี้จึงมิได้มีเพียงองค์ประกอบเพียงเรื่องการนำกระแสไฟฟ้าจากระบบโครงข่ายไฟฟ้ามาจ่ายเข้าตัวยานยนต์ไฟฟ้าอย่างปลอดภัยเท่านั้น หากแต่ยังมีการรับ ส่ง และประมวลผลข้อมูล (ซึ่งรวมไปถึงข้อมูลส่วนบุคคล) ของผู้ใช้งานยานยนต์อีกด้วย

ในส่วนที่เกี่ยวข้องการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล ผู้ประกอบกิจการสถานีอัดประจุไฟฟ้าอาจกลายเป็น “ผู้ควบคุมข้อมูลส่วนบุคคล” ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562

ทั้งนี้ มาตรา 6 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ได้ให้นิยาม “ผู้ควบคุมข้อมูลส่วนบุคคล” ไว้ว่า “บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล” ด้วยเหตุนี้ ในกรณีที่ผู้ประกอบกิจการสถานีอัดประจุไฟฟ้าเป็นผู้ “ตัดสินใจ” ว่าการจะเปิดบัญชีผู้ใช้งานสถานีอัดประจุไฟฟ้าของตน บุคคลที่จะรับบริการต้องให้ข้อมูลส่วนบุคคลใดแก่ผู้ประกอบกิจการบ้าง (กล่าวคือข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม) เช่น ต้องให้ชื่อ นามสกุล ข้อมูลการติดต่อ ข้อมูลด้านการเงิน ข้อมูลเกี่ยวกับตำแหน่งที่ตั้ง เช่น GPS Location

และผู้ประกอบกิจการสถานีอัดประจุไฟฟ้ายังเป็นผู้ “ตัดสินใจ” ว่าข้อมูลที่ถูกเก็บรวบรวมดังกล่าวจะถูก “ใช้” เพื่อวัตถุประสงค์ใด เช่น จะใช้ข้อมูลเกี่ยวกับตำแหน่งที่ตั้ง (Location Data) และ GPS Location เพื่อค้นหาสถานีบริการ เพื่อแก้ไข และปรับปรุงการให้บริการ หากปรากฏข้อเท็จจริงเหล่านี้ผู้ประกอบกิจการสถานีอัดประจุไฟฟ้าย่อมมีสถานะเป็นผู้ควบคุมข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562

การคุ้มครองข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

คำถามที่ตามมาคือ เมื่อผู้ประกอบกิจการสถานีอัดประจุไฟฟ้ามีสถานะเป็นผู้ควบคุมข้อมูลส่วนบุคคล จะมี “ผลดีต่อการคุ้มครองผู้ใช้งานยานยนต์ไฟฟ้า” หรือไม่เพียงใด

ผลดีประการแรก คือ มาตรา 22 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 บังคับให้ผู้ควบคุมข้อมูลส่วนบุคคลการเก็บรวบรวมข้อมูลส่วนบุคคลให้เก็บรวบรวมได้ “เท่าที่จำเป็น” ภายใต้วัตถุประสงค์อันชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล โดยเราอาจเรียกหลักการนี้ว่า “Data Minimization”

กล่าวคือ ข้อมูลใดที่ผู้ประกอบกิจการสถานีอัดประจุไฟฟ้าไม่จำเป็นต้องเก็บรวบรวมเพื่อการให้บริการสถานีอัดประจุไฟฟ้า จะต้องไม่เก็บรวบรวมข้อมูลดังกล่าว เช่น หากการให้บริหารนั้นไม่จำเป็นที่จะต้องรู้ถึง “ศาสนา” ของผู้รับบริการ ก็ย่อมจะต้องไม่เก็บข้อมูลส่วนบุคคล (ที่มีความอ่อนไหว) ดังกล่าว

ประการถัดมา กฎหมายบังคับให้ผู้ควบคุมข้อมูลส่วนบุคคลมีความ “โปร่งใส” ต่อเจ้าของข้อมูลส่วนบุคคล จะเห็นได้ว่าผู้ประกอบกิจการสถานีอัดประจุไฟฟ้าอาจเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของผู้รับบริการเป็นจำนวนมาก ผู้ใช้บริการจะรับรู้และเข้าใช้ถึงรายละเอียดดังกล่าวก็ต่อเมื่อผู้ประกอบกิจการสถานีอัดประจุไฟฟ้าได้แจ้งรายละเอียดแก่ผู้ใช้บริการ ซึ่งเป็นหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคลตามมาตรา 23 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ซึ่งบัญญัติให้มีการแสดงรายละเอียด เช่น “ฐานทางกฎหมาย” ในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลซึ่งผู้ควบคุมข้อมูลส่วนบุคคลอ้างอิง

เมื่อพูดถึง “ฐานทางกฎหมาย” เราอาจอธิบายแบบง่าย ๆ ได้ว่าคือ “ไฟเขียว” ที่ทำให้การเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลเป็นไปโดยชอบด้วยกฎหมาย ซึ่งไม่ได้มีแต่เพียงฐานความยินยอมเท่านั้น ตามมาตรา 24(3) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ผู้ควบคุมข้อมูลส่วนบุคคลสามารถเก็บรวบรวมข้อมูลส่วนบุคคลโดยไม่ต้องขอความยินยอมจากเจ้าของข้อมูลหากเป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญาหรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญานั้น

ด้วยเหตุนี้ หากชื่อและนามสกุล ตลอดจนข้อมูลทางการเงินของผู้ใช้บริการสถานีอัดประจุไฟฟ้าจำเป็นต้องถูกใช้ทำสัญญาการรับบริการเพื่อการชำระหนี้จากการรับบริการ กรณีผู้ประกอบกิจการสถานีอัดประจุไฟฟ้าย่อมสามารถอ้างอิงฐาน “สัญญา” ตามมาตรา 24(3) ดังกล่าวเพื่อประโยชน์ในการเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลเหล่านี้เพื่อประโยชน์ในการรับชำระหนี้ตามสัญญาได้

แต่การอ้างอิงฐานสัญญาดังกล่าวย่อมมีข้อจำกัด กล่าวคือผู้ประกอบกิจการสถานีอัดประจุไฟฟ้าย่อมไม่สามารถใช้ชื่อและนามสกุล ตลอดจนข้อมูลทางการเงินของผู้ใช้บริการสถานีอัดประจุไฟฟ้าเพื่อวัตถุประสงค์อื่น เช่น นำเอาข้อมูลไปเปิดเผยต่อบุคคลที่สามารถใช้เพื่อประโยชน์ทางการค้าของบุคคลที่สาม

ในส่วนของ “ความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล” นั้น มาตรา 37(1) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 บัญญัติว่าผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคล โดยปราศจากอำนาจหรือโดยมิชอบ และต้องทบทวนมาตรการดังกล่าวเมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้มีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม ทั้งนี้ให้เป็นไปตามมาตรฐานขั้นต่ำที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด

ทั้งนี้ ตามประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล พ.ศ.2563 ผู้ให้บริการสถานีอัดประจุไฟฟ้าจึงมีหน้าที่ตามกฎหมายในการดำเนินการให้สถานีอัดประจุไฟฟ้านั้นมีศักยภาพในการธำรงไว้ซึ่งความลับ (Confidentiality) ความถูกต้องครบถ้วน (Integrity) และสภาพพร้อมใช้งาน (Availability) ของข้อมูลส่วนบุคคล ทั้งนี้ เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยมิชอบ

หน้าที่ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมข้างต้นย่อมมีส่วนช่วย “ลดความเสี่ยง” ที่ข้อมูลส่วนบุคคลซึ่งถูกเก็บรวบรวม ใช้ และเปิดเผยเพื่อให้บริการสถานีอัดประจุไฟฟ้านั้นจะถูกจารกรรมหรือถูกเข้าถึงโดยมิชอบได้

อย่างไรก็ตาม ขอตั้งข้อสังเกตต่อไปว่า หน้าที่ตามกฎหมายดังกล่าวได้ก่อ “ความท้าทายในทางปฏิบัติ” ให้กับผู้ประกอบกิจการสถานีอัดประจุไฟฟ้า เช่น ผู้ประกอบกิจการสถานีอัดประจุไฟฟ้า ซึ่งมีสถานะเป็นผู้ควบคุมข้อมูลส่วนบุคคลด้วยย่อมประสงค์จะรู้ว่า “มาตรการเพื่อความมั่นคงปลอดภัยที่จะนำมาใช้” นั้นจะต้องครอบคลุมด้านใดบ้าง จะต้องมีการควบคุมการใช้งานและเข้าถึงข้อมูลส่วนบุคคลในระดับใดจึงจะเรียกได้ว่าปฏิบัติหน้าที่ตามกฎหมายแล้ว และที่สำคัญ “การรักษาความมั่นคงปลอดภัยที่เหมาะสม” สำหรับสถานีอัดประจุไฟฟ้านั้นจะมีลักษณะอย่างไร

ประเด็นเหล่านี้จะได้มีการอธิบายและนำเสนอแนวทางการวิเคราะห์ในบทความฉบับถัดไป โปรดติดตามได้ใน Power of The Act EP10

อ.ดร.ปิติ เอี่ยมจำรูญลาภ

ผู้อำนวยการหลักสูตร LL.M. (Business Law) หลักสูตรนานาชาติ

คณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย

โดย สำนักข่าวอินโฟเควสท์ (03 ส.ค. 65)

Tags: , , , , , , ,
Back to Top