[นโยบายพื้นฐานสมาชิกฝั่งแบ็กเอนด์] 02. ข้อมูลการสมัครสมาชิก การเปลี่ยนแปลงข้อมูล และการจัดการข้อมูลหลังถอนสมาชิก

ข้อมูลการสมัครสมาชิก

เงื่อนไขเบื้องต้น: เป็นนโยบายสำหรับกรณีที่สมัครสมาชิกโดยผู้ใช้กรอกอีเมลส่วนบุคคลหรืออีเมลองค์กร/นิติบุคคลลงบนแพลตฟอร์มโดยตรง ไม่ใช่การสมัครแบบง่ายผ่านบัญชีภายนอก (เช่น Kakao, Naver, Google, Apple)

ประเภทของสมาชิกโดยทั่วไปสามารถแบ่งได้เป็น สมาชิกบุคคลทั่วไป และสมาชิกบุคคลธรรมดาที่สังกัดบริษัทนิติบุคคล

สมาชิกบุคคลทั่วไปหมายถึงสมาชิกที่สมัครในฐานะบุคคล ส่วนสมาชิกที่สังกัดบริษัทนิติบุคคลหมายถึงสมาชิกที่สามารถสมัครโดยแยกจากสมาชิกบุคคลทั่วไป เพื่อให้แพลตฟอร์มซึ่งให้บริการแก่บริษัทนิติบุคคลสามารถมอบสิทธิประโยชน์ เช่น ส่วนลดในการซื้อบริการ (ชำระเงิน) ได้

ขั้นตอนหลักของกระบวนการสมัครสมาชิก

• การสมัครสมาชิกบุคคลทั่วไปส่วนใหญ่จะผ่านการยืนยันด้วยอีเมลส่วนบุคคลหรือโทรศัพท์มือถือ ผู้ใช้กรอกที่อยู่อีเมล รับรหัสยืนยันเพื่อยืนยันตัวตนให้เสร็จสมบูรณ์ จากนั้นกรอกรหัสผ่านและข้อมูลยืนยันตัวตน
• ข้อมูลบังคับที่ต้องกรอกอาจรวมถึง ที่อยู่อีเมลส่วนบุคคล รหัสผ่าน (เช่น อย่างน้อย 6 ตัวอักษร ต้องมีอักขระพิเศษ ฯลฯ) หมายเลขโทรศัพท์มือถือ เป็นต้น (รายการข้อมูลบังคับและข้อมูลเพิ่มเติมแตกต่างกันไปตามโมเดลธุรกิจของแพลตฟอร์ม)
• ต้องผ่านขั้นตอนการยินยอมต่อข้อกำหนดต่าง ๆ เช่น ข้อกำหนดการใช้งาน และนโยบายการประมวลผลข้อมูลส่วนบุคคล
• การยืนยันชื่อจริงหรือการยืนยันตัวบุคคลสามารถทำได้หลายวิธีตามบริการ เช่น การยืนยันผ่านโทรศัพท์มือถือ บัตรเครดิต i-PIN หรือไบโอเมตริกซ์
• อาจออกแบบให้แยกการสมัครสมาชิกบุคคลทั่วไปและสมาชิกผู้ประกอบการออกจากกัน และรองรับการเปลี่ยนจากสมาชิกบุคคลทั่วไปเป็นผู้ประกอบการภายหลังเพื่อความยืดหยุ่นของบริการได้ (เช่น Coupang หรือ Naver)

ข้อกำหนดทางกฎหมาย

• การสมัครสมาชิก การถอนสมาชิก และการยกเลิกคำสั่งซื้อที่เกี่ยวข้องควรดำเนินการและเสร็จสิ้นได้อย่างสะดวกทางออนไลน์ หากจงใจทำให้ขั้นตอนถอนสมาชิกยุ่งยาก อาจมีบทลงโทษทางกฎหมาย เช่น ค่าปรับทางปกครอง
• นอกจากนี้ ในกรณีของแพลตฟอร์มอีคอมเมิร์ซ ตามกฎหมายว่าด้วยพาณิชย์อิเล็กทรอนิกส์ เป็นต้น หน้าแรกของการสมัครสมาชิกต้องแสดงข้อมูลอย่างชัดเจน เช่น ชื่อบริษัทของผู้ประกอบการแพลตฟอร์ม ชื่อผู้แทน ที่อยู่สถานประกอบการ ช่องทางติดต่อ เลขทะเบียนธุรกิจ และข้อกำหนดการใช้งาน

รายการข้อมูลที่กฎหมายกำหนดให้ต้องแจ้ง (ตัวอย่างแพลตฟอร์มอีคอมเมิร์ซ)

-ชื่อบริษัทและชื่อผู้แทน
-ที่อยู่สถานประกอบการ
-ช่องทางติดต่อและที่อยู่อีเมล
-เลขทะเบียนธุรกิจ
-เลขที่จดแจ้งธุรกิจขายทางไกล
-ผู้รับผิดชอบการจัดการข้อมูลส่วนบุคคล
-ข้อกำหนดการใช้งานและนโยบายการประมวลผลข้อมูลส่วนบุคคล
-ข้อกำหนดที่เกี่ยวข้องกับธุรกรรมและข้อมูลแจ้งผู้บริโภค

การเปลี่ยนแปลงข้อมูลสมาชิก
โดยทั่วไป วิธีที่สมาชิกบุคคลทั่วไปสามารถเปลี่ยนแปลงข้อมูลส่วนบุคคลที่กรอกไว้ตอนสมัครบนแพลตฟอร์ม คือผ่านเมนูแก้ไขข้อมูลสมาชิกในหน้ามายเพจ เมื่อมีการเปลี่ยนข้อมูลส่วนบุคคล จะต้องมีขั้นตอนยืนยันตัวตน (เช่น ยืนยันรหัสผ่านเข้าสู่ระบบอีกครั้ง) และอาจมีการแจ้งขั้นตอนการเปลี่ยนแปลงรวมถึงข้อควรระวังทางกฎหมายด้วย

ขั้นตอนการเปลี่ยนแปลงข้อมูลส่วนบุคคล

• หลังเข้าสู่ระบบบนแพลตฟอร์ม ให้ไปที่เมนู My Page > Edit Member Information
• กรอกข้อมูลใหม่ที่ต้องการเปลี่ยน เช่น ช่องทางติดต่อ ที่อยู่
• หลังกรอกข้อมูลใหม่ที่ต้องการเปลี่ยนแล้ว ให้ผ่านกระบวนการยืนยันผ่านโทรศัพท์มือถือหรืออีเมล
• เมื่อเปลี่ยนเสร็จแล้ว ให้คลิกปุ่ม Confirm หรือ Save เพื่อสิ้นสุดการเปลี่ยนแปลงข้อมูล

สิ่งที่ต้องระวังเมื่อเปลี่ยนแปลงข้อมูลส่วนบุคคล

• เมื่อต้องเปลี่ยนข้อมูลส่วนบุคคล การยืนยันตัวตนของเจ้าของข้อมูล (ผ่านโทรศัพท์มือถือหรืออีเมล) เป็นสิ่งจำเป็น
• ควรระบุไว้อย่างชัดเจนว่า หากเปลี่ยนเป็นข้อมูลของผู้อื่นหรือกรอกข้อมูลเท็จ อาจถูกลงโทษตาม [กฎหมายคุ้มครองข้อมูลส่วนบุคคล] และ [กฎหมายสารสนเทศและการสื่อสาร] เป็นต้น
• ข้อมูลบางประเภท (เช่น ชื่อ หมายเลขประจำตัวประชาชน เป็นต้น) อาจถูกจำกัดไม่ให้แก้ไขโดยตรงตามนโยบายของแพลตฟอร์ม และอาจต้องมีขั้นตอนหรือบริการแก้ไขแยกต่างหาก

ข้อพิจารณาทางกฎหมายในการดำเนินงานแพลตฟอร์ม

• เมื่อมีการเปลี่ยนแปลงข้อมูลส่วนบุคคล ต้องจัดเก็บและบริหารบันทึกการเข้าสู่ระบบ รายการเปลี่ยนแปลง และประวัติการเปลี่ยนแปลงตามกฎหมายที่เกี่ยวข้อง
• เมื่อการเปลี่ยนแปลงข้อมูลส่วนบุคคลเสร็จสมบูรณ์ ให้ส่งประวัติการเปลี่ยนแปลงข้อมูล (ไม่ใช่รายการข้อมูลที่เปลี่ยน) ไปยังอีเมลของลูกค้า
• เมื่อมีคำขอให้แก้ไขข้อมูลที่ผิดพลาด ต้องแจ้งแก้ไขไปยังข้อมูลที่ได้ให้แก่บุคคลที่สามด้วยเพื่อให้มีผลสะท้อนตามนั้น

การจัดการข้อมูลหลังถอนสมาชิก

สรุป

• การถอนสมาชิกและการลบทันที (เช่น การลบถาวร) บนแพลตฟอร์มควรเสร็จสมบูรณ์ได้ก็ต่อเมื่อผู้ใช้เข้าใจและยินยอมอย่างชัดเจน
• ควรออกแบบขั้นตอนการเก็บรักษาและการทำลายข้อมูลให้แตกต่างกันตามการจัดประเภทข้อมูลผู้ใช้ (ข้อมูลที่ต้องเก็บรักษา ข้อมูลระบุตัวบุคคล และข้อมูลที่ไม่สามารถระบุตัวตนได้)
• ข้อมูลที่เป็นข้อยกเว้น เช่น ข้อมูลที่มีกฎหมายบังคับให้เก็บรักษา (ประวัติการชำระเงิน ประวัติธุรกรรม เป็นต้น) และข้อมูลสำหรับความร่วมมือในการสืบสวน (หากเกิดขึ้น) ต้องจัดการเป็นกรณียกเว้น และต้องแจ้งเหตุผลแก่ผู้ใช้เมื่อยื่นคำขอถอนสมาชิก
• ในมุมมองการดำเนินงานแพลตฟอร์ม แนะนำกระบวนการ soft delete -> deactivation of user account -> permanent deletion สำหรับการถอนสมาชิกของผู้ใช้
• หลังจากลบข้อมูลผู้ใช้ออกจากแพลตฟอร์มอย่างถาวรแล้ว ยังจำเป็นต้องมีนโยบายจัดทำขั้นตอนการลบและการทำให้ไม่สามารถระบุตัวตนได้สำหรับข้อมูลที่ได้ให้แก่บุคคลที่สาม (เช่น ผู้ให้บริการชำระเงิน) ด้วย

กระบวนการถอนสมาชิก

1. การแจ้งข้อมูลผู้ใช้และผลลัพธ์

• บนหน้าคำขอถอนสมาชิก ต้องแสดงให้ชัดเจนว่า ข้อมูลใดของผู้ใช้จะถูกลบทันที และข้อมูลใดจะถูกเก็บรักษาไว้ช่วงระยะเวลาหนึ่ง
• สำหรับข้อมูลที่ถูกเก็บรักษา ต้องระบุเหตุผล (หน้าที่ตามกฎหมาย การระงับข้อพิพาท ประวัติการชำระเงิน เป็นต้น) และระยะเวลาเก็บรักษา (เช่น 3 ปี) อย่างชัดเจน
• เมื่อลงมือถอนสมาชิก อาจระบุได้ว่าสามารถกู้คืนสถานะสมาชิกได้ภายในช่วงเวลาหนึ่ง (เช่น ภายใน 7 วันหลังถอนสมาชิก) หรือไม่

2. การยืนยันตัวบุคคลอีกครั้ง (re-authentication)

• เช่น การกรอกรหัสผ่านอีกครั้ง หรือรหัสยืนยันทางอีเมล/โทรศัพท์มือถือ

3. หน้ายืนยันการถอนสมาชิก

• เมื่อถอนสมาชิกเสร็จสิ้น ต้องแจ้งการสูญเสียสิทธิ์และสิทธิต่าง ๆ (เช่น การยกเลิกการต่ออายุสมาชิกอัตโนมัติ นโยบายคืนเงิน การคงอยู่ของคอนเทนต์สาธารณะ เป็นต้น)
• เมื่อถอนสมาชิกเสร็จสิ้น อาจเปิดให้เลือกได้ระหว่างการลบอย่างสมบูรณ์หรือการปิดใช้งาน

4. การแสดงสถานะความคืบหน้าของการดำเนินการถอนสมาชิก

• เมื่อลงคำขอถอนสมาชิกแล้ว ต้องระบุให้ชัดเจนว่าจะถอนเสร็จทันทีหรือจำเป็นต้องใช้เวลาระยะหนึ่งในการประมวลผล
• หลังคำขอถอนสมาชิกเสร็จสิ้น อาจส่งหนังสือยืนยันการถอนสมาชิกไปยังอีเมลของสมาชิกได้

5. หลังถอนสมาชิก

• หลังดำเนินการถอนสมาชิกเสร็จสมบูรณ์ เมื่อพยายามเข้าสู่ระบบด้วยบัญชีเดิม อาจแสดงข้อความ เช่น ไม่พบบัญชีนี้, กำลังดำเนินการถอนสมาชิก, บัญชีนี้ถูกถอนสมาชิกแล้ว
• เมื่อมีการสมัครใหม่ สามารถกำหนดเชิงนโยบายได้ว่าจะอนุญาตให้ใช้อีเมลที่เคยมีประวัติการใช้งานเดิมสมัครใหม่ได้หรือไม่

การจัดประเภทและการประมวลผลข้อมูล

1. ตัวอย่างการจัดประเภทข้อมูล

• ข้อมูลระบุตัวบุคคล (PII): ชื่อ อีเมล หมายเลขโทรศัพท์ (มือถือ) หมายเลขประจำตัวประชาชน เป็นต้น
• บันทึกการใช้บริการ: ประวัติคำสั่งซื้อและการชำระเงิน ข้อมูลการสมัครสมาชิกแบบชำระเงิน รายการธุรกรรม (ตรวจสอบว่าอยู่ในข่ายที่กฎหมายกำหนดให้เก็บรักษาหรือไม่)
• ข้อมูลที่ผู้ใช้สร้างขึ้น: โพสต์ ความคิดเห็น รูปภาพและไฟล์ที่อัปโหลด คอนเทนต์บางประเภท
• ข้อมูลล็อก: access log, event tracking log

2. ตัวอย่างหลักการประมวลผล

• หากไม่มีความจำเป็นทางธุรกิจหรือกฎหมายสำหรับระยะเวลาเก็บรักษาขั้นต่ำ ให้ลบทันที (หรือทำให้ไม่สามารถระบุตัวตนได้)
• กำหนดระยะเวลาเก็บรักษาอย่างชัดเจน: บันทึกธุรกรรม O ปี, บันทึก CS O ปี, ล็อก OO วัน เป็นต้น
• ให้ความสำคัญกับการทำให้ไม่สามารถระบุตัวตนได้ก่อน: pseudonymization หรือ anonymization
• การจัดการการส่งต่อไปยังบุคคลที่สาม: สะท้อนขั้นตอนการลบและการทำให้ไม่สามารถระบุตัวตนได้สำหรับผู้ให้บริการชำระเงิน เป็นต้น
• เมื่อมีคำขอจากการบังคับใช้กฎหมายหรือการร้องขอข้อมูลตามกฎหมาย ให้บันทึกเหตุผล ระยะเวลา และขอบเขตของการเก็บรักษาไว้เพื่อจัดการเป็นข้อยกเว้น

กระบวนการของผู้ดูแลแพลตฟอร์มเมื่อเกิดการถอนสมาชิก

คำขอ -> การยืนยันตัวตน -> การประมวลผล -> การจัดการประวัติ

1. รับคำขอ: รับคำขอถอนสมาชิกผ่าน UI และ API

2. ขั้นตอนยืนยันตัวตน: ยืนยันซ้ำผ่านการล็อกอินใหม่หรือ OTP เป็นต้น

3. การประมวลผลคำขอ

• ประมวลผลทันที: ปิดใช้งานบัญชีที่ยื่นคำขอถอนสมาชิก (บังคับ logout, ทำให้ token ใช้งานไม่ได้, ลบเซสชัน)
• การประมวลผลฝั่งแบ็กเอนด์: ทำ PII ให้เป็นนามแฝง, ลบออกจาก search engine และ cache, รอคำขอลบผ่าน external API (งานแบบ asynchronous)

4. ยืนยันผลการประมวลผล: แจ้งผลว่าคำขอถอนสมาชิกประมวลผลเสร็จแล้วผ่านอีเมลหรือ SMS ของสมาชิก พร้อมสรุปรายการที่ถูกลบหรือเก็บรักษา

5. การจัดการประวัติ: บันทึกเวลาที่ร้องขอถอนสมาชิก ผู้ดำเนินการ (อัตโนมัติหรือผู้ดูแลระบบ) ผลการดำเนินการ และ ID ที่เกี่ยวข้อง

รายการตรวจสอบ QA

• ทดสอบว่าไม่สามารถถอนสมาชิกได้หากไม่มีการยืนยันตัวตนซ้ำ
• หากมีช่วงผ่อนผันสำหรับการกู้คืนหลังถอนสมาชิก ให้ตรวจสอบความเป็นไปได้ในการกู้คืน (รวมถึงว่าสามารถกู้ข้อมูลกลับมาได้ครบถ้วนหรือไม่)
• หลังลบข้อมูลสมาชิกอย่างสมบูรณ์แล้ว ให้ตรวจสอบว่ามี PII คงอยู่ใน search engine และ index หรือไม่ (เช่น Elasticsearch)
• ตรวจสอบว่าคำขอการลบและการทำให้ไม่สามารถระบุตัวตนได้ถูกสะท้อนไปยังบริการภายนอกที่เชื่อมต่ออยู่ (การชำระเงิน, CDN เป็นต้น) อย่างถูกต้องหรือไม่
• ตรวจสอบว่าในระหว่างรอบการเก็บรักษา backup ไม่สามารถเข้าถึงข้อมูลจริงได้หรือไม่
• ตรวจสอบว่ามีการบันทึกล็อกสำหรับการลบหรือการกู้คืนข้อมูลสมาชิกหรือไม่
• หากมีกรณียกเว้นระยะเวลาเก็บรักษาข้อมูลด้วยเหตุผลทางกฎหมาย (ข้อพิพาทหรือการสืบสวน เป็นต้น) ให้ตรวจสอบว่ามีการบันทึกล็อกและเหตุผลไว้หรือไม่

รายการตรวจสอบเพื่อรองรับการตรวจสอบ (audit)

1. จัดเก็บล็อกการประมวลผลคำขอถอนสมาชิกและการลบแยกต่างหาก

2. ทบทวนนโยบายเป็นระยะและตรวจสอบทางกฎหมาย

3. จัดทำเอกสารการประเมินผลกระทบด้านข้อมูลส่วนบุคคล

การจัดทำเอกสารการประเมินผลกระทบด้านข้อมูลส่วนบุคคล หมายถึงกระบวนการวิเคราะห์และประเมินความเสี่ยงของการละเมิดข้อมูลส่วนบุคคลล่วงหน้า เมื่อมีการสร้างหรือเปลี่ยนแปลงระบบประมวลผลข้อมูลส่วนบุคคล และบันทึกกับบริหารผลลัพธ์อย่างเป็นระบบ

• ขั้นที่ 1 ตรวจสอบขอบเขตการประเมิน: ครอบคลุมกรณีประมวลผลข้อมูลอ่อนไหวหรือข้อมูลระบุตัวตนเฉพาะของบุคคลตั้งแต่ 50,000 คนขึ้นไป, การเชื่อมโยงข้อมูลตั้งแต่ 500,000 คนขึ้นไป, หรือการสร้าง/ดำเนินงาน/เปลี่ยนแปลงแฟ้มข้อมูลส่วนบุคคลตั้งแต่ 1,000,000 คนขึ้นไป
• ขั้นที่ 2 ดำเนินการประเมินผลกระทบ: รวบรวมและวิเคราะห์เอกสาร เช่น นโยบายภายใน/ภายนอก แผนภาพโครงสร้างระบบ แผนภาพการไหลของข้อมูลส่วนบุคคล การวิเคราะห์ปัจจัยการละเมิด และการประเมินระดับความเสี่ยง
• ขั้นที่ 3 จัดทำแผนปรับปรุงและเอกสาร: จัดทำรายงานการประเมินผลกระทบโดยสะท้อนข้อปรับปรุงที่ได้จากการประเมิน และจัดทำเอกสารผลการตรวจสอบการดำเนินการ