องค์กรธุรกิจต่าง ๆ มีการใช้มาตรการในการทำข้อมูลนิรนาม (anonymization) มากขึ้น สำหรับบริหารจัดการข้อมูลส่วนบุคคล เพื่อใช้ในการวิเคราะห์ การทำวิจัย และการตัดสินใจอย่างมีประสิทธิภาพ อย่างไรก็ตาม แม้การจัดทำข้อมูลนิรนามจะมีจุดมุ่งหมายเพื่อปกป้องความเป็นส่วนตัวด้วยการเปลี่ยนแปลงข้อมูลส่วนบุคคลให้อยู่ในรูปแบบที่ไม่สามารถระบุตัวบุคคลได้ แต่ความก้าวหน้าของการวิเคราะห์ข้อมูลในปัจจุบันส่งผลให้มีโอกาสเพิ่มขึ้นที่ข้อมูลชุดนั้นๆ อาจถูกนำกลับมาระบุตัวบุคคลได้อีกครั้ง (re-identified) หน่วยงานกำกับดูแลและองค์กรต่าง ๆ จึงควรมีการประเมินแนวทางในการทำข้อมูลให้ไม่สามารถระบุตัวบุคคลได้ เพื่อคุ้มครองข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลได้อย่างเหมาะสม
แนวคิดของการทำให้ข้อมูลเป็นนิรนาม หรือการทำให้ข้อมูลไม่สามารถระบุตัวบุคคล (anonymization) การแฝงข้อมูล (pseudonymization) และการลบข้อมูล (erasure) มีความใกล้เคียงกัน เพื่อป้องกันความสับสน จึงจำเป็นต้องพิจารณานิยามที่มีนัยยะทางกฎหมายแตกต่างกันให้ชัดเจน
ภายใต้ Recital 26 ของกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (General Data Protection Regulation หรือ “GDPR”) การทำข้อมูลนิรนาม (anonymization) เป็นกระบวนการที่ทำให้ข้อมูลนั้นไม่สามารถเชื่อมโยงไปยังบุคคลใดบุคคลหนึ่งได้อีกด้วยวิธีการใด ๆ ที่สมเหตุสมผล แต่การแฝงข้อมูล (pseudonymization) ตามมาตรา 4(5) ของ GDPR เป็นการประมวลผลข้อมูลที่มีการแทนที่ข้อมูลที่ระบุตัวตนทางตรงด้วยข้อมูลอ้างอิง เช่น รหัส ซึ่งแม้จะทำให้ไม่สามารถระบุตัวบุคคลได้โดยตรง แต่ยังสามารถเชื่อมโยงกลับไปยังเจ้าของข้อมูลส่วนบุคคลได้ หากมีการเข้าถึงข้อมูลอื่น ๆ ประกอบกัน ดังนั้น ข้อมูลดังกล่าวจึงยังคงถือเป็นข้อมูลส่วนบุคคล เนื่องจากมีโอกาสที่จะระบุตัวบุคคลไปยังเจ้าของข้อมูลส่วนบุคคลได้ในภายหลัง ในส่วนของการลบข้อมูล แม้จะไม่ได้มีคำนิยามไว้โดยเฉพาะ แต่การลบข้อมูลสามารถดำเนินการได้หลายวิธีการ แต่ข้อมูลนั้นต้องไม่สามารถเข้าถึง มองเห็น หรือถูกกู้คืนได้อีกไม่ว่าด้วยวิธีใดก็ตาม
การทำให้ข้อมูลเป็นนิรนาม (anonymization) จึงถือได้ว่าเป็นมาตรการด้านความมั่นคงปลอดภัยเพื่อสนับสนุนด้านการรักษาความลับของข้อมูล (confidentiality) อย่างไรก็ดี การทำข้อมูลนิรนามไม่ถือเป็นการลบข้อมูล เนื่องจากยังคงมีโอกาสที่ข้อมูลดังกล่าวจะสามารถถูกนำไประบุตัวตนได้อีก เช่นเดียวกับการแฝงข้อมูล (pseudonymization) ที่เป็นเพียงเทคนิคหนึ่งในการรักษาความปลอดภัยของข้อมูล โดยลดความสามารถในการเชื่อมโยงข้อมูลกลับไปยังบุคคล แต่ไม่เพียงพอในการทำให้ข้อมูลไม่สามารถระบุตัวบุคคลได้อย่างแท้จริง
แม้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (“พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล”) จะให้สิทธิแก่เจ้าของข้อมูลในการขอลบ ทำลาย หรือทำให้ข้อมูลไม่สามารถระบุตัวบุคคลได้ แต่กฎหมายไม่ได้กำหนดวิธีการหรือนิยามที่ชัดเจนไว้ เพื่อแก้ไขปัญหานี้ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้ออกประกาศ เรื่อง หลักเกณฑ์ในการลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ ตามมาตรา 33 ของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ซึ่งมีผลใช้บังคับตั้งแต่วันที่ 11 พฤศจิกายน พ.ศ. 2567 โดยประกาศฉบับนี้กำหนดหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล ดังต่อไปนี้
1. กรอบระยะเวลาการดำเนินการภายใน 90 วัน: ผู้ควบคุมข้อมูลส่วนบุคคลต้องดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลในการลบ ทำลาย หรือทำให้ข้อมูลไม่สามารถระบุตัวบุคคลได้ภายใน 90 วัน โดยครอบคลุมสำเนาและข้อมูลสำรองทั้งหมด หากไม่สามารถดำเนินการได้ทันที ต้องมีมาตรการป้องกันการเข้าถึงหรือเปิดเผยข้อมูลในระหว่างรอดำเนินการ
2. มาตรฐานการทำให้ข้อมูลเป็นนิรนาม: ต้องมีกระบวนการลบข้อมูลใด ๆ ที่เป็นข้อมูลระบุตัวตนทางตรง (direct identifiers) ก่อน เช่น ชื่อ หมายเลขบัตรประชาชน รายละเอียดการติดต่อ ตามด้วยมาตรการเพิ่มเติม เช่น การแฝงข้อมูล (pseudonymization) หรือมาตรการป้องกันอื่น ๆ เพื่อให้มั่นใจว่าข้อมูลดังกล่าวไม่สามารถระบุตัวบุคคลได้โดยข้อมูลระบุตัวตนทางอ้อม (indirect identifiers) รวมทั้งลดโอกาสในการระบุตัวตนของเจ้าของข้อมูลส่วนบุคคลให้อยู่ในระดับที่ต่ำเพียงพอ
3. วิธีการทางเลือก: หากผู้ควบคุมข้อมูลส่วนบุคคลเลือกใช้วิธีการอื่น ๆ เช่น การทำให้ไม่สามารถระบุตัวบุคคลแทนการลบข้อมูล จะต้องแจ้งให้เจ้าของข้อมูลทราบ เว้นแต่ในกรณีที่คำขอใช้สิทธินั้นมาจากการประมวลผลข้อมูลที่ไม่ชอบด้วยกฎหมายของผู้ควบคุมข้อมูล ในกรณีดังกล่าวผู้ควบคุมข้อมูลจำเป็นต้องดำเนินการลบข้อมูลตามคำขอใช้สิทธิ
4. การติดตามอย่างต่อเนื่อง: นอกจากการกำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลตอบสนองคำขอใช้สิทธิลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลไม่ระบุตัวบุคคลของเจ้าของข้อมูลส่วนบุคคลแล้ว ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่จัดให้มีระบบตรวจสอบ เพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลตาม มาตรา 37(3)ด้วย
กรณีศึกษา Information Commissioner’s Office (ICO) ของสหราชอาณาจักร แสดงให้เห็นว่า การจัดทำข้อมูลนิรนาม (anonymization) อย่างมีประสิทธิภาพ สามารถทำได้ผ่านมาตรการป้องกันหลายชั้นและการดูแลโดยบุคคลที่สาม เช่น บริษัทผู้ค้าปลีก (PriceSavvy) ต้องการข้อมูลเชิงลึกระดับตลาด โดยใช้ข้อมูลการทำธุรกรรมที่บริษัทอื่น (Market Lens) ถือครองข้อมูลอยู่ บริษัททั้งสองใช้บุคคลที่สามที่เชื่อถือได้ (Trusted Third Party หรือ “TTP”) เพื่อหลีกเลี่ยงการเปิดเผยข้อมูลที่สามารถระบุตัวบุคคลได้ ต่อมา แต่ละบริษัททำการแฝงข้อมูล (pseudonymization) โดยการลบข้อมูลระบุตัวตนทางตรงด้วยการแฮช (hashing) และส่งไปยัง TTP จากนั้น TTP ใช้มาตรการป้องกันเพิ่มเติม เช่น การแฮชรอบที่สอง การรวมกลุ่ม การปรับให้เป็นค่าทั่วไป และ การเพิ่มข้อมูลรบกวน สิ่งสำคัญคือ TTP ไม่เคยรวมหรือเปิดเผยข้อมูลดิบกับฝ่ายใดฝ่ายหนึ่ง โดยให้เฉพาะข้อมูลเชิงลึกระดับกลุ่ม ซึ่งไม่สามารถระบุตัวบุคคลได้
กรณีศึกษานี้จึงแสดงให้เห็นว่า การแยกบทบาท และเทคนิคการทำข้อมูลนิรนามหลายชั้นสามารถช่วยให้องค์กรปฏิบัติตามมาตรฐานความเป็นส่วนตัวที่เข้มงวดได้ โดยเฉพาะอย่างยิ่งภายใต้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ซึ่งมุ่งเน้นไปที่การลดโอกาสในการนำข้อมูลกลับมาระบุตัวบุคคลได้ กรณีศึกษานี้จึงเป็นประโยชน์ต่อผู้ควบคุมข้อมูลส่วนบุคคลที่ต้องการสร้างความสมดุลระหว่างการวิเคราะห์ข้อมูลกับการจัดการข้อมูลส่วนบุคคลอย่างมีความรับผิดชอบ
ดังนั้น การทำให้ข้อมูลเป็นนิรนาม (anonymization) จึงมีกระบวนการที่ซับซ้อนมากขึ้นทั้งในเชิงเทคนิคและทางกฎหมาย ผู้ควบคุมข้อมูลส่วนบุคคลจำเป็นต้องดำเนินการด้วยความรอบคอบ โปร่งใส และมีความรับผิดชอบมากยิ่งขึ้น การปฏิบัติตามกฎหมายไม่ได้เป็นเพียงการทำตามข้อกำหนดเท่านั้น หากแต่เป็นการดำเนินการที่จะคุ้มครองเจ้าของข้อมูลส่วนบุคคลอย่างแท้จริง ฉะนั้น องค์กรที่สามารถปรับแนวปฏิบัติให้สอดคล้องกับมาตรฐานทั้งในระดับประเทศและระดับสากลได้ จึงสามารถหลีกเลี่ยงความเสี่ยงในด้านกฎหมาย และยังสร้างความไว้วางใจในการจัดการและปกป้องข้อมูลส่วนบุคคลได้อีกด้วย
