- คณะกรรมาธิการคุ้มครองข้อมูลของไอร์แลนด์ (DPC) สั่งปรับ TikTok 345 ล้านยูโร โดยระบุว่าวิธีจัดการบัญชีเด็กของบริษัทละเมิด EU GDPR
- ประเด็นสำคัญคือ บัญชีอายุ 13–17 ปีถูกตั้งค่าเป็น สาธารณะ โดยค่าเริ่มต้นระหว่างขั้นตอนสมัครใช้งาน และไม่มีการให้ข้อมูลที่โปร่งใสเพียงพอแก่ผู้ใช้ที่เป็นเด็ก
- ฟีเจอร์ “family pairing” ไม่ได้ตรวจสอบว่าผู้ใหญ่ที่ควบคุมบัญชีเป็น พ่อแม่หรือผู้ปกครอง ตัวจริงหรือไม่ จึงอาจเปิดการตั้งค่าข้อความส่วนตัวของผู้ใช้อายุ 16 ปีขึ้นไปได้
- DPC มองว่า TikTok ไม่ได้พิจารณาความเสี่ยงอย่างเพียงพอที่ผู้ใช้อายุต่ำกว่า 13 ปีจะเข้าสู่แพลตฟอร์มและถูกตั้งค่าเป็นสาธารณะ แต่ไม่ได้มองว่า วิธียืนยันอายุ เองเป็นการละเมิด GDPR
- TikTok โต้แย้งว่าการสอบสวนครอบคลุมการตั้งค่าช่วง 31 กรกฎาคมถึง 31 ธันวาคม 2020 และบริษัทได้แก้ปัญหาไปแล้วตั้งแต่ปี 2021 เช่น เปลี่ยนบัญชีอายุ 13–15 ปีให้เป็น ส่วนตัว โดยค่าเริ่มต้น
เหตุผลของค่าปรับ 345 ล้านยูโร
- TikTok ถูกปรับ 345 ล้านยูโร หรือราว 296 ล้านปอนด์ เนื่องจากละเมิด กฎหมายคุ้มครองข้อมูลของสหภาพยุโรป ที่เกี่ยวข้องกับการจัดการบัญชีเด็ก
- คณะกรรมาธิการคุ้มครองข้อมูลของไอร์แลนด์ (DPC) ซึ่งดูแลการกำกับ TikTok ในสหภาพยุโรป เห็นว่า TikTok ละเมิดกฎ GDPR หลายข้อ
- แกนสำคัญคือบริษัทไม่สามารถปกป้องไม่ให้คอนเทนต์ของผู้ใช้เยาวชนถูกเปิดเผยต่อสาธารณะได้อย่างเพียงพอ
ความเสี่ยงจากการตั้งค่าเป็นสาธารณะโดยค่าเริ่มต้น
- DPC เห็นว่าผู้ใช้อายุ 13–17 ปีถูกชักนำให้ตั้งค่าบัญชีเป็น สาธารณะโดยค่าเริ่มต้น ระหว่างขั้นตอนสมัคร
- ในบัญชีสาธารณะ ใครก็สามารถดูคอนเทนต์ของบัญชีหรือแสดงความคิดเห็นได้
- ด้วยการตั้งค่านี้ ใครก็สามารถเห็นคอนเทนต์โซเชียลมีเดียที่ผู้ใช้นั้นโพสต์ได้
- อายุขั้นต่ำในการใช้งาน TikTok คือ 13 ปี
- ยังมีการชี้ว่าบริษัทไม่ได้พิจารณาความเสี่ยงอย่างเพียงพอกรณีผู้ใช้อายุต่ำกว่า 13 ปีเข้าถึงแพลตฟอร์มแล้วถูกตั้งค่าเป็นสาธารณะ
การขาดความโปร่งใสและปัญหาของ family pairing
- การไม่ให้ ข้อมูลที่โปร่งใส อย่างเพียงพอแก่ผู้ใช้เด็กก็ถูกรวมเป็นการละเมิด GDPR ด้วย
- ฟีเจอร์ “family pairing” อนุญาตให้ผู้ใหญ่ควบคุมการตั้งค่าบัญชีเด็กได้ แต่ไม่ได้ตรวจสอบว่าผู้ใหญ่ที่เชื่อมต่ออยู่นั้นเป็น พ่อแม่หรือผู้ปกครอง จริงหรือไม่
- ผ่านการตั้งค่านี้ ผู้ใหญ่ที่เข้าถึงบัญชีเด็กอาจเปิดใช้งานฟังก์ชัน ข้อความส่วนตัว ของผู้ใช้อายุ 16 ปีขึ้นไปได้
การตัดสินเรื่อง Duet·Stitch และการยืนยันอายุ
- Duet และ Stitch เป็นฟีเจอร์ที่ช่วยให้ผู้ใช้รวมคอนเทนต์เข้ากับผู้ใช้ TikTok คนอื่นได้
- DPC ระบุว่าฟีเจอร์เหล่านี้ถูก เปิดใช้งานโดยค่าเริ่มต้น สำหรับผู้ใช้อายุต่ำกว่า 17 ปี
- อย่างไรก็ตาม DPC มองว่า วิธียืนยันอายุ ของ TikTok เองไม่ได้ละเมิด GDPR
แรงกดดันด้านกฎระเบียบเพิ่มเติมหลังบทลงโทษในสหราชอาณาจักร
- การตัดสินครั้งนี้เกิดขึ้นหลังจากที่ TikTok ถูกหน่วยงานกำกับดูแลข้อมูลของสหราชอาณาจักรปรับ 12.7 ล้านปอนด์ ในเดือนเมษายน 2023
- หน่วยงานกำกับของสหราชอาณาจักรเห็นว่า TikTok ประมวลผลข้อมูลของเด็กอายุต่ำกว่า 13 ปีจำนวน 1.4 ล้านคนอย่างผิดกฎหมาย โดยเด็กเหล่านี้ใช้งานแพลตฟอร์มโดยไม่ได้รับความยินยอมจากผู้ปกครอง
- ในเวลานั้นสำนักงานคณะกรรมการข้อมูลข่าวสารมองว่า TikTok “แทบไม่ได้ทำอะไรเลย” เพื่อตรวจสอบว่าใครกำลังใช้งานแพลตฟอร์ม
- TikTok ระบุว่าการสอบสวนครั้งนี้มุ่งที่ การตั้งค่าความเป็นส่วนตัว ระหว่าง 31 กรกฎาคมถึง 31 ธันวาคม 2020 และบริษัทได้แก้ไขประเด็นที่ถูกหยิบยกแล้ว
- ตั้งแต่ปี 2021 เป็นต้นมา บัญชีเดิมและบัญชีใหม่ของผู้ใช้อายุ 13–15 ปีจะถูกตั้งค่าเป็น ส่วนตัว โดยค่าเริ่มต้น
- ในบัญชีส่วนตัว จะมีเพียงคนที่ผู้ใช้อนุมัติเท่านั้นที่มองเห็นคอนเทนต์ได้
- TikTok ระบุว่าไม่เห็นด้วยกับระดับค่าปรับและคำตัดสิน โดยโต้แย้งว่าคำวิจารณ์ของ DPC มุ่งไปที่ฟีเจอร์และการตั้งค่าเมื่อ 3 ปีก่อน
- บริษัทยังระบุด้วยว่าได้เปลี่ยนบัญชีอายุต่ำกว่า 16 ปีให้เป็นส่วนตัวโดยค่าเริ่มต้นก่อนเริ่มการสอบสวนแล้ว
การแทรกแซงของคณะกรรมการคุ้มครองข้อมูลยุโรป
- DPC ยอมรับว่าในบางส่วนของคำตัดสิน จุดยืนของตนถูกเปลี่ยนโดย European Data Protection Board
- ผลคือ DPC ต้องรวมข้อวินิจฉัยที่หน่วยงานกำกับดูแลของเยอรมนีเสนอเข้ามาด้วย
- ข้อวินิจฉัยดังกล่าวระบุว่าการใช้ dark patterns ซึ่งเป็นการออกแบบเว็บไซต์หรือแอปแบบหลอกล่อให้ผู้ใช้ตัดสินใจหรือทำพฤติกรรมบางอย่าง ละเมิดข้อกำหนดของ GDPR ว่าด้วยการประมวลผลข้อมูลส่วนบุคคลอย่างเป็นธรรม
1 ความคิดเห็น
ความคิดเห็นจาก Hacker News
เขาว่าฟีเจอร์ “Family Pairing” ไม่ได้ตรวจสอบว่าผู้ใหญ่ที่ควบคุมการตั้งค่าบัญชีเด็กเป็น พ่อแม่หรือผู้ปกครองจริงหรือไม่ แต่ก็ไม่รู้ว่า TikTok ควรตรวจสอบความเป็นพ่อแม่อย่างแม่นยำได้อย่างไร
บริษัทเทคโนโลยีอื่น ๆ ก็ถูกกำหนดให้ต้องยืนยันผู้ปกครองด้วยหรือเปล่า? ดูเหมือน TikTok จะเป็นรายเดียวที่โดนปรับด้วยเหตุผลแบบนี้
https://techcrunch.com/2022/09/05/instagram-gdpr-fine-childr...
ถ้าเราปรบมือให้คำตัดสินเป็นบรรทัดฐานแบบนี้ไปเรื่อย ๆ ผมว่าเรากำลังเดินไปสู่เส้นทางที่ต้องใช้ บัตรประจำตัวที่ออกโดยรัฐบาล และการยืนยันตัวตนทางไกลเพื่อเข้าใช้เว็บไซต์ยอดนิยม
ตั้งแต่ยุค 90 มีความคิดว่าอินเทอร์เน็ตแบบนิรนามและการขยายสัญญาณให้เสียงต่าง ๆ มีผลสุทธิเป็นบวก แต่ยิ่งนานไปก็ดูเหมือนจะไม่จริงเท่าเดิม
ถ้าอยากเผยแพร่เองแบบนิรนามก็ทำได้ แต่ไม่ได้แปลว่าจะได้รับประกันสิทธิในการใช้หนึ่งใน 5 แพลตฟอร์มใหญ่
ถ้าสิ่งนี้ทำให้แพลตฟอร์มใหญ่แตกออกเป็นส่วน ๆ ได้ ผมก็มองว่าเป็นผลสุทธิที่ดี
ช่วงหลังเพิ่งเริ่มใช้ TikTok เห็นว่าไลฟ์สตรีมต้องมี ผู้ติดตาม 1,000 คน และอายุ 18 ปีขึ้นไป แต่จริง ๆ แล้วเห็นเด็ก ๆ ไลฟ์กันเยอะมาก
เลยสงสัยว่าทำไมไม่บังคับใช้กฎของตัวเอง อาจเป็นเพราะมีสตรีมเมอร์เยอะเกินไปก็ได้ แต่แค่มีคนรับผิดชอบสักคนก็น่าจะหาไลฟ์ของวัยรุ่นหรือเด็กได้มากพอแล้ว
ดังนั้นคำตัดสินครั้งนี้จึงมาถูกเวลา
แต่ก็สงสัยว่าทำไมคนอายุ 13–18 ปีถึงควรถูกห้ามสตรีม ถ้าเหตุผลคือ “พวกโรคจิตที่แอบซุ่มอยู่” ตรรกะนั้นก็ใช้กับการควบคุมแชตไม่ได้ แล้วทำไมถึงใช้ได้เฉพาะตรงนี้ ใน TikTok ไม่อนุญาตคอนเทนต์ทางเพศ และถึงจะเห็นผู้หญิงใส่บิกินีได้ แต่บนชายหาดสาธารณะในโลกจริงก็ยังเห็นถึงขั้นเปลือยท่อนบนได้ด้วยซ้ำ เหตุผลอื่นคืออะไร?
เป็นจุดเริ่มต้นที่ดี แต่สงสัยว่ากฎหมายข้อมูลของ EU จะเริ่มถูกบังคับใช้ในวงกว้างกับ บริษัทในยุโรป ด้วยหรือไม่ ไม่ใช่แค่บริษัทข้ามชาติ
บริษัทใน EU มักมองและจัดการเรื่องการคุ้มครองข้อมูลอย่างระมัดระวังและจริงจังมากกว่าตั้งแต่ก่อน GDPR แล้ว จึงพบผู้ละเมิดร้ายแรงได้ไม่บ่อยนัก
อย่างน้อยเวลาผมใช้บริการของ EU นโยบายความเป็นส่วนตัวมักจบได้ในกระดาษ A4 ไม่กี่หน้า ประเด็นสำคัญอยู่ด้านหน้า และเขียนให้เข้าใจง่าย แม้แต่ธนาคารก็ไม่ปิดบังว่าเก็บอะไร และอธิบายว่าทำไมถึงเก็บ
ในทางกลับกัน บริษัทต่างชาติมักยืนกรานใช้นโยบายความเป็นส่วนตัวขนาดมหึมาจนเข้าใจยาก และพยายามใช้มันเลี่ยงกฎหมาย ตัวอย่างเช่น หน้าความเป็นส่วนตัวของ Google แทบจะเป็นหน้าเดียวขนาดใหญ่ที่พูดซ้ำ ๆ ว่า “Google อาจเก็บข้อมูลเกี่ยวกับคุณ” โดยไม่ชัดเจนว่าข้อมูลถูกใช้ทำอะไร และพึ่งพาคำอธิบายรายละเอียดในหน้าอื่น ๆ อย่างมาก คนทั่วไปน่าจะตามไม่ทันไปแล้ว
สุดท้ายคือบริษัทต่างชาติคิดว่าต่อให้ทำผิดกฎหมายก็รอดได้ และทำให้การติดตามว่าข้อมูลถูกใช้อย่างไรยากขึ้น ส่วนบริษัทในยุโรปโดยทั่วไปปฏิบัติตามกฎหมายจริง ๆ ดังนั้นคดีสำคัญ ๆ จึงมักเป็นคดีกับยักษ์เทคโนโลยีต่างชาติ
เพียงแต่โดยทั่วไปบริษัทในยุโรปรับเรื่องนี้จริงจังกว่าบริษัทข้ามชาติมาก บางครั้งจริงจังเกินไปด้วยซ้ำ จนยังเห็นบางบริษัทบังคับใช้นโยบายเกี่ยวกับข้อมูลที่ ไร้สาระ เพราะเข้าใจผิดว่าจำเป็นต่อการปฏิบัติตามกฎ แม้ช่วงหลังจะซาลงบ้างแล้ว
ในทางกลับกัน บริษัทในยุโรปมักเล็กกว่า ค่าปรับจึงต่ำกว่า เลยไม่ค่อยขึ้นพาดหัว นั่นคือเหตุผลที่แม้ยังมีค่าปรับบริษัทในยุโรปอยู่ แต่เราไม่ค่อยได้ยิน พูดตรง ๆ เรามักได้ยินแต่ค่าปรับระดับมหาศาลเท่านั้น
สำหรับคำตัดสินของประเทศเดียว ค่าปรับค่อนข้างใหญ่ทีเดียว ประมาณ 2.6% ของรายได้ต่อปี หรือราว 10 วัน
ผมจงใจเรียกว่า Twitter ไม่ใช่ X Corp เพราะ Musk ตัดสินใจอย่างฉาวโฉ่ด้วยการไล่คนที่ดูแลงาน compliance ใน Twitter Ireland ออกทั้งหมด หนึ่งในข้อกำหนดน่าจะรวมถึงการให้ทีมไอร์แลนด์ตรวจสอบการเปิดตัวฟีเจอร์ทุกอย่าง เพื่อไม่ให้ละเมิดกฎหมายข้อมูลของ EU แต่ Musk ไม่ได้ทำแบบนั้นกับการเปลี่ยนแปลงใด ๆ ที่นำมาใช้หลังการซื้อกิจการด้วยเงินกู้
เมื่อไรพวก CEO หน้าคีย์บอร์ดจะเลิกพูดประมาณว่า “ฮ่า ๆ x เป็นแค่เศษฝุ่นเมื่อเทียบกับรายได้ y” กันเสียที? คิดว่า 345 ล้านยูโร งอกบนต้นไม้หรือไง?
นอกจากค่าปรับแล้ว ควรถูกส่งเข้า penalty box สักหลายเดือนด้วย เช่น ห้ามทำธุรกิจในเขตอำนาจนั้นเป็นช่วงเวลาหนึ่ง
ถือเป็นจุดเริ่มต้นที่ดีในฐานะค่าปรับตั้งต้นแทนการแบน และเป็นแนวทางที่ผมเรียกร้องมาตลอด
หากละเมิดความเป็นส่วนตัวของผู้ใช้ซ้ำ ๆ ค่าปรับควรถูกยกระดับไปถึงหลายพันล้านดอลลาร์ เคยมีกรณีตัวอย่างกับ Facebook แล้ว
บริษัทขนาดใหญ่ไม่มีข้อแก้ตัวที่จะทำเรื่องแบบนี้แล้วรอดตัว และบริษัทโซเชียลมีเดียทุกรายที่มีผู้ใช้หลายร้อยล้านคนขึ้นไปควรถูกปรับหากละเมิดความเป็นส่วนตัวของผู้ใช้เหมือน TikTok ไม่ควรมีข้อยกเว้นหรือข้ออ้างอีกต่อไป
ท้ายที่สุด เมื่อ TikTok ทำพังเรื่องความเป็นส่วนตัวของผู้ใช้ตัวเอง ก็ ไม่ต่างจาก Meta
เมื่อมองภาพรวมทั้งหมด ดูเหมือนไม่ใช่เงินก้อนใหญ่เท่าไร ค่าปรับที่หนักกว่านี้ก็น่าจะสมเหตุสมผล แต่อาจเป็นเพราะผมไม่รู้รายละเอียดทั้งหมดก็ได้
พอการต่อสู้ทางกฎหมายจบลง ก็มีโอกาสสูงที่จะถูกลดลงเหลือน้อยกว่านี้มาก
เงินนั้นไปไหน?
ถ้าไม่รู้คำตอบ ก็ไม่ควรแต่งเรื่องขึ้นมาแล้วพูดเหมือนเป็นข้อเท็จจริง