1 คะแนน โดย GN⁺ 2023-09-17 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • คณะกรรมาธิการคุ้มครองข้อมูลของไอร์แลนด์ (DPC) สั่งปรับ TikTok 345 ล้านยูโร โดยระบุว่าวิธีจัดการบัญชีเด็กของบริษัทละเมิด EU GDPR
  • ประเด็นสำคัญคือ บัญชีอายุ 13–17 ปีถูกตั้งค่าเป็น สาธารณะ โดยค่าเริ่มต้นระหว่างขั้นตอนสมัครใช้งาน และไม่มีการให้ข้อมูลที่โปร่งใสเพียงพอแก่ผู้ใช้ที่เป็นเด็ก
  • ฟีเจอร์ “family pairing” ไม่ได้ตรวจสอบว่าผู้ใหญ่ที่ควบคุมบัญชีเป็น พ่อแม่หรือผู้ปกครอง ตัวจริงหรือไม่ จึงอาจเปิดการตั้งค่าข้อความส่วนตัวของผู้ใช้อายุ 16 ปีขึ้นไปได้
  • DPC มองว่า TikTok ไม่ได้พิจารณาความเสี่ยงอย่างเพียงพอที่ผู้ใช้อายุต่ำกว่า 13 ปีจะเข้าสู่แพลตฟอร์มและถูกตั้งค่าเป็นสาธารณะ แต่ไม่ได้มองว่า วิธียืนยันอายุ เองเป็นการละเมิด GDPR
  • TikTok โต้แย้งว่าการสอบสวนครอบคลุมการตั้งค่าช่วง 31 กรกฎาคมถึง 31 ธันวาคม 2020 และบริษัทได้แก้ปัญหาไปแล้วตั้งแต่ปี 2021 เช่น เปลี่ยนบัญชีอายุ 13–15 ปีให้เป็น ส่วนตัว โดยค่าเริ่มต้น

เหตุผลของค่าปรับ 345 ล้านยูโร

  • TikTok ถูกปรับ 345 ล้านยูโร หรือราว 296 ล้านปอนด์ เนื่องจากละเมิด กฎหมายคุ้มครองข้อมูลของสหภาพยุโรป ที่เกี่ยวข้องกับการจัดการบัญชีเด็ก
  • คณะกรรมาธิการคุ้มครองข้อมูลของไอร์แลนด์ (DPC) ซึ่งดูแลการกำกับ TikTok ในสหภาพยุโรป เห็นว่า TikTok ละเมิดกฎ GDPR หลายข้อ
  • แกนสำคัญคือบริษัทไม่สามารถปกป้องไม่ให้คอนเทนต์ของผู้ใช้เยาวชนถูกเปิดเผยต่อสาธารณะได้อย่างเพียงพอ

ความเสี่ยงจากการตั้งค่าเป็นสาธารณะโดยค่าเริ่มต้น

  • DPC เห็นว่าผู้ใช้อายุ 13–17 ปีถูกชักนำให้ตั้งค่าบัญชีเป็น สาธารณะโดยค่าเริ่มต้น ระหว่างขั้นตอนสมัคร
    • ในบัญชีสาธารณะ ใครก็สามารถดูคอนเทนต์ของบัญชีหรือแสดงความคิดเห็นได้
    • ด้วยการตั้งค่านี้ ใครก็สามารถเห็นคอนเทนต์โซเชียลมีเดียที่ผู้ใช้นั้นโพสต์ได้
  • อายุขั้นต่ำในการใช้งาน TikTok คือ 13 ปี
  • ยังมีการชี้ว่าบริษัทไม่ได้พิจารณาความเสี่ยงอย่างเพียงพอกรณีผู้ใช้อายุต่ำกว่า 13 ปีเข้าถึงแพลตฟอร์มแล้วถูกตั้งค่าเป็นสาธารณะ

การขาดความโปร่งใสและปัญหาของ family pairing

  • การไม่ให้ ข้อมูลที่โปร่งใส อย่างเพียงพอแก่ผู้ใช้เด็กก็ถูกรวมเป็นการละเมิด GDPR ด้วย
  • ฟีเจอร์ “family pairing” อนุญาตให้ผู้ใหญ่ควบคุมการตั้งค่าบัญชีเด็กได้ แต่ไม่ได้ตรวจสอบว่าผู้ใหญ่ที่เชื่อมต่ออยู่นั้นเป็น พ่อแม่หรือผู้ปกครอง จริงหรือไม่
  • ผ่านการตั้งค่านี้ ผู้ใหญ่ที่เข้าถึงบัญชีเด็กอาจเปิดใช้งานฟังก์ชัน ข้อความส่วนตัว ของผู้ใช้อายุ 16 ปีขึ้นไปได้

การตัดสินเรื่อง Duet·Stitch และการยืนยันอายุ

  • Duet และ Stitch เป็นฟีเจอร์ที่ช่วยให้ผู้ใช้รวมคอนเทนต์เข้ากับผู้ใช้ TikTok คนอื่นได้
  • DPC ระบุว่าฟีเจอร์เหล่านี้ถูก เปิดใช้งานโดยค่าเริ่มต้น สำหรับผู้ใช้อายุต่ำกว่า 17 ปี
  • อย่างไรก็ตาม DPC มองว่า วิธียืนยันอายุ ของ TikTok เองไม่ได้ละเมิด GDPR

แรงกดดันด้านกฎระเบียบเพิ่มเติมหลังบทลงโทษในสหราชอาณาจักร

  • การตัดสินครั้งนี้เกิดขึ้นหลังจากที่ TikTok ถูกหน่วยงานกำกับดูแลข้อมูลของสหราชอาณาจักรปรับ 12.7 ล้านปอนด์ ในเดือนเมษายน 2023
    • หน่วยงานกำกับของสหราชอาณาจักรเห็นว่า TikTok ประมวลผลข้อมูลของเด็กอายุต่ำกว่า 13 ปีจำนวน 1.4 ล้านคนอย่างผิดกฎหมาย โดยเด็กเหล่านี้ใช้งานแพลตฟอร์มโดยไม่ได้รับความยินยอมจากผู้ปกครอง
    • ในเวลานั้นสำนักงานคณะกรรมการข้อมูลข่าวสารมองว่า TikTok “แทบไม่ได้ทำอะไรเลย” เพื่อตรวจสอบว่าใครกำลังใช้งานแพลตฟอร์ม
  • TikTok ระบุว่าการสอบสวนครั้งนี้มุ่งที่ การตั้งค่าความเป็นส่วนตัว ระหว่าง 31 กรกฎาคมถึง 31 ธันวาคม 2020 และบริษัทได้แก้ไขประเด็นที่ถูกหยิบยกแล้ว
  • ตั้งแต่ปี 2021 เป็นต้นมา บัญชีเดิมและบัญชีใหม่ของผู้ใช้อายุ 13–15 ปีจะถูกตั้งค่าเป็น ส่วนตัว โดยค่าเริ่มต้น
    • ในบัญชีส่วนตัว จะมีเพียงคนที่ผู้ใช้อนุมัติเท่านั้นที่มองเห็นคอนเทนต์ได้
  • TikTok ระบุว่าไม่เห็นด้วยกับระดับค่าปรับและคำตัดสิน โดยโต้แย้งว่าคำวิจารณ์ของ DPC มุ่งไปที่ฟีเจอร์และการตั้งค่าเมื่อ 3 ปีก่อน
  • บริษัทยังระบุด้วยว่าได้เปลี่ยนบัญชีอายุต่ำกว่า 16 ปีให้เป็นส่วนตัวโดยค่าเริ่มต้นก่อนเริ่มการสอบสวนแล้ว

การแทรกแซงของคณะกรรมการคุ้มครองข้อมูลยุโรป

  • DPC ยอมรับว่าในบางส่วนของคำตัดสิน จุดยืนของตนถูกเปลี่ยนโดย European Data Protection Board
  • ผลคือ DPC ต้องรวมข้อวินิจฉัยที่หน่วยงานกำกับดูแลของเยอรมนีเสนอเข้ามาด้วย
  • ข้อวินิจฉัยดังกล่าวระบุว่าการใช้ dark patterns ซึ่งเป็นการออกแบบเว็บไซต์หรือแอปแบบหลอกล่อให้ผู้ใช้ตัดสินใจหรือทำพฤติกรรมบางอย่าง ละเมิดข้อกำหนดของ GDPR ว่าด้วยการประมวลผลข้อมูลส่วนบุคคลอย่างเป็นธรรม

1 ความคิดเห็น

 
GN⁺ 2023-09-17
ความคิดเห็นจาก Hacker News
  • เขาว่าฟีเจอร์ “Family Pairing” ไม่ได้ตรวจสอบว่าผู้ใหญ่ที่ควบคุมการตั้งค่าบัญชีเด็กเป็น พ่อแม่หรือผู้ปกครองจริงหรือไม่ แต่ก็ไม่รู้ว่า TikTok ควรตรวจสอบความเป็นพ่อแม่อย่างแม่นยำได้อย่างไร
    บริษัทเทคโนโลยีอื่น ๆ ก็ถูกกำหนดให้ต้องยืนยันผู้ปกครองด้วยหรือเปล่า? ดูเหมือน TikTok จะเป็นรายเดียวที่โดนปรับด้วยเหตุผลแบบนี้

  • ถ้าเราปรบมือให้คำตัดสินเป็นบรรทัดฐานแบบนี้ไปเรื่อย ๆ ผมว่าเรากำลังเดินไปสู่เส้นทางที่ต้องใช้ บัตรประจำตัวที่ออกโดยรัฐบาล และการยืนยันตัวตนทางไกลเพื่อเข้าใช้เว็บไซต์ยอดนิยม

    • ตอนนี้เราอาจต้องลด ความไม่ระบุตัวตน ลงบ้างแล้วก็ได้
      ตั้งแต่ยุค 90 มีความคิดว่าอินเทอร์เน็ตแบบนิรนามและการขยายสัญญาณให้เสียงต่าง ๆ มีผลสุทธิเป็นบวก แต่ยิ่งนานไปก็ดูเหมือนจะไม่จริงเท่าเดิม
      ถ้าอยากเผยแพร่เองแบบนิรนามก็ทำได้ แต่ไม่ได้แปลว่าจะได้รับประกันสิทธิในการใช้หนึ่งใน 5 แพลตฟอร์มใหญ่
      ถ้าสิ่งนี้ทำให้แพลตฟอร์มใหญ่แตกออกเป็นส่วน ๆ ได้ ผมก็มองว่าเป็นผลสุทธิที่ดี
    • รัฐบาลแก้นิสัยดูหนังโป๊ของผมด้วยวิธีนี้ไปแล้ว
    • ได้อ่านบทความหรือยัง? นี่ไม่ใช่กรณีที่ “ไม่รู้ว่าอายุเท่าไร” แต่เป็นกรณีที่บัญชีตั้ง วันเกิดเป็นผู้เยาว์ ไว้
  • ช่วงหลังเพิ่งเริ่มใช้ TikTok เห็นว่าไลฟ์สตรีมต้องมี ผู้ติดตาม 1,000 คน และอายุ 18 ปีขึ้นไป แต่จริง ๆ แล้วเห็นเด็ก ๆ ไลฟ์กันเยอะมาก
    เลยสงสัยว่าทำไมไม่บังคับใช้กฎของตัวเอง อาจเป็นเพราะมีสตรีมเมอร์เยอะเกินไปก็ได้ แต่แค่มีคนรับผิดชอบสักคนก็น่าจะหาไลฟ์ของวัยรุ่นหรือเด็กได้มากพอแล้ว
    ดังนั้นคำตัดสินครั้งนี้จึงมาถูกเวลา
    แต่ก็สงสัยว่าทำไมคนอายุ 13–18 ปีถึงควรถูกห้ามสตรีม ถ้าเหตุผลคือ “พวกโรคจิตที่แอบซุ่มอยู่” ตรรกะนั้นก็ใช้กับการควบคุมแชตไม่ได้ แล้วทำไมถึงใช้ได้เฉพาะตรงนี้ ใน TikTok ไม่อนุญาตคอนเทนต์ทางเพศ และถึงจะเห็นผู้หญิงใส่บิกินีได้ แต่บนชายหาดสาธารณะในโลกจริงก็ยังเห็นถึงขั้นเปลือยท่อนบนได้ด้วยซ้ำ เหตุผลอื่นคืออะไร?

    • เหตุผลที่คนอายุ 13–18 ปีควรถูกห้ามสตรีมคือ ความสัมพันธ์แบบกึ่งสังคม โดยเฉพาะกับผู้ชมจำนวนมาก ส่งผลแปลก ๆ แม้แต่กับผู้ใหญ่
    • อย่างหนึ่งคือการเห็นผู้หญิงเปลือยท่อนบนบนชายหาด แต่อีกอย่างคือคนแปลกหน้านิรนามให้รางวัลเด็ก ๆ เพื่อให้เข้าใกล้การแสดงเชิงทางเพศมากขึ้น
    • เด็ก ๆ เปราะบางมาก และสิ่งเหล่านี้มี ผลเสีย ต่อจิตใจ
  • เป็นจุดเริ่มต้นที่ดี แต่สงสัยว่ากฎหมายข้อมูลของ EU จะเริ่มถูกบังคับใช้ในวงกว้างกับ บริษัทในยุโรป ด้วยหรือไม่ ไม่ใช่แค่บริษัทข้ามชาติ

    • มีการบังคับใช้กับบริษัทในยุโรปด้วย แค่ไม่ใช่ Big Tech เลยไม่ขึ้นพาดหัวใน HN และแทบไม่มีใครที่นี่เคยได้ยิน
      บริษัทใน EU มักมองและจัดการเรื่องการคุ้มครองข้อมูลอย่างระมัดระวังและจริงจังมากกว่าตั้งแต่ก่อน GDPR แล้ว จึงพบผู้ละเมิดร้ายแรงได้ไม่บ่อยนัก
    • จริง ๆ ก็มีการบังคับใช้อยู่พอสมควร แต่บริษัท EU ส่วนใหญ่หลีกเลี่ยงได้ตั้งแต่ต้นเพราะ แทบไม่เก็บข้อมูล เกินกว่าที่จำเป็นต่อการให้บริการ
      อย่างน้อยเวลาผมใช้บริการของ EU นโยบายความเป็นส่วนตัวมักจบได้ในกระดาษ A4 ไม่กี่หน้า ประเด็นสำคัญอยู่ด้านหน้า และเขียนให้เข้าใจง่าย แม้แต่ธนาคารก็ไม่ปิดบังว่าเก็บอะไร และอธิบายว่าทำไมถึงเก็บ
      ในทางกลับกัน บริษัทต่างชาติมักยืนกรานใช้นโยบายความเป็นส่วนตัวขนาดมหึมาจนเข้าใจยาก และพยายามใช้มันเลี่ยงกฎหมาย ตัวอย่างเช่น หน้าความเป็นส่วนตัวของ Google แทบจะเป็นหน้าเดียวขนาดใหญ่ที่พูดซ้ำ ๆ ว่า “Google อาจเก็บข้อมูลเกี่ยวกับคุณ” โดยไม่ชัดเจนว่าข้อมูลถูกใช้ทำอะไร และพึ่งพาคำอธิบายรายละเอียดในหน้าอื่น ๆ อย่างมาก คนทั่วไปน่าจะตามไม่ทันไปแล้ว
      สุดท้ายคือบริษัทต่างชาติคิดว่าต่อให้ทำผิดกฎหมายก็รอดได้ และทำให้การติดตามว่าข้อมูลถูกใช้อย่างไรยากขึ้น ส่วนบริษัทในยุโรปโดยทั่วไปปฏิบัติตามกฎหมายจริง ๆ ดังนั้นคดีสำคัญ ๆ จึงมักเป็นคดีกับยักษ์เทคโนโลยีต่างชาติ
    • บริษัทในยุโรปจำนวนมากก็ถูกปรับ
      เพียงแต่โดยทั่วไปบริษัทในยุโรปรับเรื่องนี้จริงจังกว่าบริษัทข้ามชาติมาก บางครั้งจริงจังเกินไปด้วยซ้ำ จนยังเห็นบางบริษัทบังคับใช้นโยบายเกี่ยวกับข้อมูลที่ ไร้สาระ เพราะเข้าใจผิดว่าจำเป็นต่อการปฏิบัติตามกฎ แม้ช่วงหลังจะซาลงบ้างแล้ว
    • จำเป็นต้องเป็นแบบนั้นด้วยหรือ? บริษัทในยุโรปมีแนวโน้มทำตามกฎหมายมากกว่าอยู่แล้ว และไม่ค่อยกระตือรือร้นที่จะบิดหรือเมินกฎหมาย มักเป็นเพราะคนที่ทำงานที่นั่นเข้าใจกฎหมายดีกว่าและให้ความสำคัญมากกว่า
      ในทางกลับกัน บริษัทในยุโรปมักเล็กกว่า ค่าปรับจึงต่ำกว่า เลยไม่ค่อยขึ้นพาดหัว นั่นคือเหตุผลที่แม้ยังมีค่าปรับบริษัทในยุโรปอยู่ แต่เราไม่ค่อยได้ยิน พูดตรง ๆ เรามักได้ยินแต่ค่าปรับระดับมหาศาลเท่านั้น
    • ดูเองได้เลย: https://www.enforcementtracker.com/
  • สำหรับคำตัดสินของประเทศเดียว ค่าปรับค่อนข้างใหญ่ทีเดียว ประมาณ 2.6% ของรายได้ต่อปี หรือราว 10 วัน

    • ค่าปรับนี้สำหรับ ทั้ง EU เพียงแต่สำนักงานใหญ่ของ TikTok อยู่ในไอร์แลนด์ จึงเป็นหน่วยงานไอร์แลนด์ที่จัดการ
    • ตามบทความ หน่วยงานไอร์แลนด์เป็นผู้บังคับใช้แทนทั้ง EU ผมมองว่าเป็นแนวทางแบบ one-stop shop ที่บริษัทต่างชาติรายใหญ่และ Twitter ใช้เพื่อเลี่ยงการโดนปรับแยกในแต่ละรัฐสมาชิก ดูเหมือนจะรวมถึงการกำกับดูแลที่ใกล้ชิดยิ่งขึ้นด้วย
      ผมจงใจเรียกว่า Twitter ไม่ใช่ X Corp เพราะ Musk ตัดสินใจอย่างฉาวโฉ่ด้วยการไล่คนที่ดูแลงาน compliance ใน Twitter Ireland ออกทั้งหมด หนึ่งในข้อกำหนดน่าจะรวมถึงการให้ทีมไอร์แลนด์ตรวจสอบการเปิดตัวฟีเจอร์ทุกอย่าง เพื่อไม่ให้ละเมิดกฎหมายข้อมูลของ EU แต่ Musk ไม่ได้ทำแบบนั้นกับการเปลี่ยนแปลงใด ๆ ที่นำมาใช้หลังการซื้อกิจการด้วยเงินกู้
  • เมื่อไรพวก CEO หน้าคีย์บอร์ดจะเลิกพูดประมาณว่า “ฮ่า ๆ x เป็นแค่เศษฝุ่นเมื่อเทียบกับรายได้ y” กันเสียที? คิดว่า 345 ล้านยูโร งอกบนต้นไม้หรือไง?

    • รายได้ปีนี้คาดว่าจะอยู่ที่ 13.2 พันล้านดอลลาร์
  • นอกจากค่าปรับแล้ว ควรถูกส่งเข้า penalty box สักหลายเดือนด้วย เช่น ห้ามทำธุรกิจในเขตอำนาจนั้นเป็นช่วงเวลาหนึ่ง

  • ถือเป็นจุดเริ่มต้นที่ดีในฐานะค่าปรับตั้งต้นแทนการแบน และเป็นแนวทางที่ผมเรียกร้องมาตลอด
    หากละเมิดความเป็นส่วนตัวของผู้ใช้ซ้ำ ๆ ค่าปรับควรถูกยกระดับไปถึงหลายพันล้านดอลลาร์ เคยมีกรณีตัวอย่างกับ Facebook แล้ว
    บริษัทขนาดใหญ่ไม่มีข้อแก้ตัวที่จะทำเรื่องแบบนี้แล้วรอดตัว และบริษัทโซเชียลมีเดียทุกรายที่มีผู้ใช้หลายร้อยล้านคนขึ้นไปควรถูกปรับหากละเมิดความเป็นส่วนตัวของผู้ใช้เหมือน TikTok ไม่ควรมีข้อยกเว้นหรือข้ออ้างอีกต่อไป
    ท้ายที่สุด เมื่อ TikTok ทำพังเรื่องความเป็นส่วนตัวของผู้ใช้ตัวเอง ก็ ไม่ต่างจาก Meta

  • เมื่อมองภาพรวมทั้งหมด ดูเหมือนไม่ใช่เงินก้อนใหญ่เท่าไร ค่าปรับที่หนักกว่านี้ก็น่าจะสมเหตุสมผล แต่อาจเป็นเพราะผมไม่รู้รายละเอียดทั้งหมดก็ได้

    • เห็นด้วย ในระดับขนาดนั้น ค่าปรับใกล้เคียงกับภาษีในฐานะ ต้นทุนการทำธุรกิจ
      พอการต่อสู้ทางกฎหมายจบลง ก็มีโอกาสสูงที่จะถูกลดลงเหลือน้อยกว่านี้มาก
  • เงินนั้นไปไหน?

    • ให้ตายเถอะ แค่คำถามง่าย ๆ คำถามเดียว แต่จนถึงตอนนี้มีคำตอบที่ขัดกันเองถึงสามแบบแล้ว คือ “งบประมาณรัฐบาลทั่วไป”, “ประเทศที่ออกค่าปรับ”, “งบประมาณ EU”
      ถ้าไม่รู้คำตอบ ก็ไม่ควรแต่งเรื่องขึ้นมาแล้วพูดเหมือนเป็นข้อเท็จจริง
    • ไปยังประเทศที่ออกค่าปรับ ก่อนหน้านี้ Meta คือไอร์แลนด์ ส่วน Amazon คือลักเซมเบิร์ก
    • ผมก็อยากรู้เหมือนกัน ค่าปรับพวกนี้ทั้งหมดไปไหน?
    • ไปเป็นงบประมาณรัฐบาลทั่วไป
    • เข้างบประมาณ EU https://en.wikipedia.org/wiki/Budget_of_the_European_Union