ในด้านการคุ้มครองข้อมูลส่วนบุคคล การกำหนดข้อมูลส่วนบุคคลเป็นสิ่งที่ท้าทายอยู่แล้ว โดยทั่วไป แนวคิดของข้อมูลส่วนบุคคลครอบคลุมข้อมูลใด ๆ ที่บุคคลสามารถระบุตัวเองหรือผู้อื่นสามารถระบุได้ อย่างไรก็ตาม ไม่ชัดเจนเสมอไปว่าสิ่งใดที่จัดอยู่ในหมวดหมู่ของข้อมูล “ตามที่สามารถระบุตัวบุคคลได้”
ก่อนที่จะใช้กฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค (GDPR)และในระหว่างที่ข้อบังคับของสหภาพยุโรปมีผลบังคับใช้ ความสับสนก็เกิดขึ้นรอบที่อยู่ IP ด้วย การอภิปรายเกี่ยวกับที่อยู่ IP ในด้านการคุ้มครองข้อมูลส่วนบุคคลถือเป็นคำถามที่ว่าที่อยู่ IP สามารถถือเป็นข้อมูลส่วนบุคคลได้หรือไม่ และถ้าเป็นเช่นนั้น จะมีความแตกต่างระหว่างที่อยู่ IP แบบไดนามิกและแบบคงที่หรือไม่
เพื่อชี้แจงว่าที่อยู่ IP ถูกพิจารณาว่าเป็นข้อมูลส่วนบุคคลอย่างไร เราจะหารือเกี่ยวกับบทบาทของศาลยุติธรรมแห่งยุโรปในการแก้ปัญหาภาวะที่กลืนไม่เข้าคายไม่ออกนี้ สุดท้าย เราจะกล่าวถึงตำแหน่งปัจจุบันของที่อยู่ IP ในด้านการปกป้องข้อมูลในกฎหมายของสหภาพยุโรปและเซอร์เบีย
ที่อยู่ IP คืออะไร?
ที่อยู่ IP คือป้ายกำกับตัวเลขที่ไม่ซ้ำกันสำหรับอุปกรณ์บนอินเทอร์เน็ต แต่ละอุปกรณ์จะถูกระบุผ่านที่อยู่ IP และเปิดใช้งานการเข้าถึงอินเทอร์เน็ต (ตัวอย่างที่อยู่ IP: 51.254.100.34) ที่อยู่ IP สามารถเป็นแบบคงที่หรือแบบไดนามิก ที่อยู่ IP แบบไดนามิกเป็นหมวดหมู่ตัวแปร ซึ่งหมายความว่าเมื่อใดก็ตามที่เราเตอร์ที่เชื่อมต่อกับอินเทอร์เน็ตถูกรีเซ็ต ที่อยู่ IP จะใช้ค่าอื่น
ตามกฎแล้ว ผู้ให้บริการอินเทอร์เน็ตจะกำหนดที่อยู่ IP แบบไดนามิกให้กับผู้ใช้ เว้นแต่ผู้ใช้จะต้องการเป็นอย่างอื่น ก็เพียงพอแล้วสำหรับการท่องอินเทอร์เน็ตเป็นประจำ อย่างไรก็ตาม ในกรณีที่ความต้องการของผู้ใช้ค่อนข้างมากขึ้น และหากจำเป็นต้องเข้าถึงทรัพยากรบางอย่างอย่างต่อเนื่องผ่านทางอินเทอร์เน็ต (เช่น เราต้องการติดตั้งการเฝ้าระวังวิดีโอผ่านอินเทอร์เน็ต) ผู้ใช้จะเลือกที่อยู่ IP แบบคงที่และครอบคลุมบางส่วน ค่าใช้จ่ายเพิ่มเติม อย่างไรก็ตาม นี่คือวิธีที่ที่อยู่ IP แบบคงที่ยังคงเป็นที่อยู่อินเทอร์เน็ตถาวรของเรา อุปกรณ์ทั้งหมดภายในเครือข่ายท้องถิ่นจะสามารถเข้าถึงอินเทอร์เน็ตด้วยที่อยู่ IP แบบคงที่นี้
ที่อยู่ IP กลายเป็นข้อมูลส่วนบุคคลได้อย่างไร
เส้นทางของที่อยู่ IP สู่การพิจารณาข้อมูลส่วนบุคคลนั้นไม่สั้นและเรียบง่าย จำเป็นต้องมีการตัดสินใจของศาลสำคัญๆ หลายประการเพื่อให้ที่อยู่ IP ได้รับการพิจารณาว่าเป็นข้อมูลส่วนบุคคลตาม GDPR
ขั้นตอนที่ 1: คำตัดสินของ Scarlet Extended (กลุ่ม Belgacom) กับ Sabam Sase จากปี 2011
คำอธิบายกรณี:
สมาคมผู้แต่ง นักแต่งเพลง และผู้จัดพิมพ์แห่งเบลเยียม (SABAM) ร้องขอจากศาลให้บังคับ Scarlet ผู้ให้บริการอินเทอร์เน็ตให้ติดตั้งระบบการกรองที่จะตรวจสอบและป้องกันการดาวน์โหลดและการแลกเปลี่ยนผลงานที่ได้รับการคุ้มครองลิขสิทธิ์ ศาลเบลเยียมตัดสินคดีนี้ให้ SABAM และสั่งให้ Scarlet ทำเช่นนั้น อย่างไรก็ตาม Scarlet ได้ยื่นคำร้องเกี่ยวกับคำตัดสินของศาลชั้นต้นนี้ต่อศาลอุทธรณ์ในกรุงบรัสเซลส์ ภายในบริบทนี้ ศาลอุทธรณ์ได้ตั้งคำถามต่อศาลยุติธรรมแห่งยุโรปว่ากฎหมายของสหภาพยุโรปอนุญาตให้ศาลระดับประเทศสั่งติดตั้งระบบกรองและปิดกั้นการสื่อสารทางอิเล็กทรอนิกส์หรือไม่ ในที่สุด,ศาลในลักเซมเบิร์กยังกำหนดว่าระบบการกรองอาจขัดต่อสิทธิ์พื้นฐานของผู้ใช้ Scarlet นั่นคือสิทธิ์ในการปกป้องข้อมูลส่วนบุคคลและสิทธิ์ในการแลกเปลี่ยน (รับและโอน) ข้อมูล
ศาลยุติธรรมแห่งยุโรปพูดอะไรเกี่ยวกับที่อยู่ IP เป็นข้อมูลส่วนบุคคล?
ศาลยุติธรรมแห่งยุโรปตัดสินว่าที่อยู่ IP ที่รวบรวมโดยผู้ให้บริการอินเทอร์เน็ตนั้นเป็นข้อมูลส่วนบุคคล กล่าวคือ ศาลยุติธรรมแห่งยุโรปพิจารณาว่าคำสั่งที่เรียกร้องให้ติดตั้งระบบการกรองที่โต้แย้งได้จะรวมถึงการวิเคราะห์ระบบของเนื้อหาทั้งหมด ตลอดจนการรวบรวมและระบุที่อยู่ IP ของผู้ใช้ซึ่งเนื้อหาที่ผิดกฎหมายถูกส่งทางออนไลน์ ที่อยู่ IP เป็นข้อมูลที่ได้รับการคุ้มครองเนื่องจากสามารถระบุตัวตนผู้ใช้ได้อย่างแม่นยำ ศาลไม่ได้ให้รายละเอียดเพิ่มเติมที่ละเอียดและแม่นยำเกี่ยวกับที่อยู่ IP เป็นข้อมูลส่วนบุคคล หรือมากกว่านั้น ไม่ได้กำหนดว่าที่อยู่ IP ถือเป็นข้อมูลส่วนบุคคลเสมอหรือไม่ และไม่ได้ระบุถึงความแตกต่างระหว่างไดนามิกและสแตติก ที่อยู่ IP ในแง่นี้
เนื่องจากคำตัดสินนี้มีส่วนทำให้ทัศนคติเกี่ยวกับที่อยู่ IP เป็นปัญหาข้อมูลส่วนบุคคลในระดับหนึ่งเท่านั้น หลังจากคำตัดสินที่รอคอยมานานสำหรับคดี Patrick Breyer กับ Bundesrepublik ที่ศาลยุติธรรมแห่งยุโรปได้ให้คำตอบสำหรับคำถาม โดยไม่มีจุดยืนและการปฏิบัติในศาลที่เป็นเอกลักษณ์
ขั้นตอนที่ II: คำตัดสินในคดี Patrick Breyer กับ Bundesrepublik Deutschland Case
ปัญหาของที่อยู่ IP ที่พิจารณาข้อมูลส่วนบุคคลได้รับการกล่าวถึงในคำตัดสินของศาลยุติธรรมยุโรปในคดีPatrick Breyer กับ Bundesrepublik Deutschland เมื่อเดือนตุลาคม 2016 ความสำคัญของคำตัดสินนี้สะท้อนให้เห็นในการให้คำจำกัดความที่แม่นยำเกี่ยวกับสิ่งที่สามารถถือเป็นข้อมูลส่วนบุคคลได้อย่างไร ข้อมูลนี้สามารถใช้ได้และเมื่อใดที่จะถูกนำไปใช้ในทางที่ผิด ทั้งหมดนี้เป็นไปตามข้อกำหนดของสหภาพยุโรปที่มีผลบังคับใช้ในอดีตว่าด้วยการปกป้องข้อมูลส่วนบุคคล
คำอธิบายกรณี:
กรณีของ Patrick Breyer vs Bundesrepublik Deutschland รวมถึงเว็บไซต์ที่จัดการโดยสหพันธ์สาธารณรัฐเยอรมนี (“BRD”) ซึ่งเช่นเดียวกับผู้ให้บริการเว็บไซต์ส่วนใหญ่มีบันทึกที่อยู่ IP ของผู้เยี่ยมชมเว็บไซต์ของตน Patrick Breyer เริ่มดำเนินคดีในศาลต่อสหพันธ์สาธารณรัฐเยอรมนี โดยพิจารณาว่ารัฐบาลเยอรมันได้รวบรวมและใช้ที่อยู่ IP ของผู้เยี่ยมชมเว็บไซต์ที่ควบคุมโดยรัฐบาล และด้วยเหตุนี้จึงประมวลผลข้อมูลส่วนบุคคลของผู้เยี่ยมชมโดยไม่ได้รับความยินยอมจากพวกเขา เขาเรียกร้องให้ศาลสั่งห้ามสหพันธ์สาธารณรัฐเยอรมนีในฐานะผู้ให้บริการเว็บ พร้อมกับภาระหน้าที่ที่จะต้องได้รับการอนุมัติล่วงหน้าสำหรับกิจกรรมดังกล่าว รัฐบาลให้เหตุผลในการปฏิบัตินี้ด้วยเหตุผลด้านความปลอดภัย การป้องกันการโจมตีทางไซเบอร์ และความเป็นไปได้ในการดำเนินคดีกับผู้กระทำความผิดในการกระทำดังกล่าว
ศาลยุติธรรมแห่งสหพันธรัฐเยอรมันยุติกระบวนการและส่งเรื่องต่อไปยังคณะตุลาการศาลยุติธรรมแห่งสหภาพยุโรป โดยมองหาคำตอบสำหรับคำถามต่อไปนี้:
1. เป็นข้อมูลส่วนบุคคลที่อยู่ IP แบบไดนามิกโดยอาศัยอำนาจตามคำสั่งของสหภาพยุโรปเกี่ยวกับการปกป้องข้อมูลส่วนบุคคล และ
2. กฎหมายของเยอรมันเกี่ยวกับ Telemedia ขัดกับข้อกำหนดของสหภาพยุโรปเกี่ยวกับการปกป้องข้อมูลส่วนบุคคลหรือไม่ เนื่องจากไม่อนุญาตให้ผู้ให้บริการเว็บให้เหตุผล ผลประโยชน์ที่ชอบด้วยกฎหมายในการประมวลผลข้อมูลส่วนบุคคล (ในกรณีนี้ รัฐบาลเยอรมันจะปรับผลประโยชน์ที่ชอบด้วยกฎหมายในแง่ของการป้องกันการโจมตีทางไซเบอร์ของเว็บไซต์ที่จัดการ)
กล่าวคือ ศาลในเยอรมนีขอให้ศาลยุติธรรมแห่งยุโรปมีจุดยืนว่าที่อยู่ IP แบบไดนามิกที่รวบรวมโดยผู้ให้บริการเว็บ ถือเป็นข้อมูลส่วนบุคคลหรือไม่ หากผู้ให้บริการอินเทอร์เน็ตในฐานะบุคคลที่สาม มีข้อมูลเพิ่มเติมที่สามารถระบุตัวบุคคลนั้นได้ .
ศาลพูดอะไร?
ศาลตัดสินว่าที่อยู่ IP แบบไดนามิกถือเป็นข้อมูลส่วนบุคคลแม้ว่าบุคคลที่สามจะเป็นคนเดียว (ในกรณีนี้คือผู้ให้บริการอินเทอร์เน็ต) ที่มีข้อมูลเพิ่มเติมที่จำเป็นในการระบุตัวบุคคล – แม้ว่าจะอยู่ภายใต้สถานการณ์เฉพาะเท่านั้น ศาลเน้นย้ำถึงข้อเท็จจริงที่ว่าความเป็นไปได้ในการรวมข้อมูลเข้ากับข้อมูลเพิ่มเติมจะต้องเป็น ” วิธีการ ซึ่งมีเหตุผลที่จะเชื่อว่าจะใช้เพื่อระบุตัวบุคคล” ศาลชี้แจงว่าจะไม่เป็นกรณีนี้ “หากการระบุตัวบุคคลขัดต่อกฎหมายหรือแทบจะเป็นไปไม่ได้ เนื่องจากต้องใช้ความพยายามอย่างไม่สมส่วนในแง่ของเวลา ค่าใช้จ่าย และผู้คน ดังนั้นความเสี่ยงในการระบุตัวตนในความเป็นจริงจะ ไม่สำคัญ”
ดังนั้น ศาลยุติธรรมแห่งยุโรปจึงมีจุดยืนว่าที่อยู่ IP แบบไดนามิกสามารถถือเป็นข้อมูลส่วนบุคคลได้ แต่ขึ้นอยู่กับสถานการณ์และความจำเพาะของแต่ละกรณี
ศาลยุติธรรมแห่งยุโรปยังตัดสินด้วยว่ามาตรา 15 ของกฎหมายเยอรมันเกี่ยวกับเทเลมีเดียนั้นเข้มงวดเกินไป เนื่องจากบทบัญญัติไม่ได้คาดการณ์ว่าการประมวลผลข้อมูลส่วนบุคคลสามารถพิสูจน์เหตุผลได้ด้วยผลประโยชน์ที่ชอบด้วยกฎหมายของผู้ดำเนินการเว็บ ศาลตัดสินว่าทางการเยอรมันสามารถมีผลประโยชน์ที่ชอบด้วยกฎหมายในการรวบรวมที่อยู่ IP ของผู้เยี่ยมชมเว็บไซต์ และด้วยเหตุนี้จึงประมวลผลข้อมูลส่วนบุคคลของพวกเขาเพื่อป้องกันตนเองจากการโจมตีทางไซเบอร์
คำถามสำคัญ
กรณีของ Patrick Breyer กับ Bundesrepublik ใน Deutschland ทำให้เกิดคำถามว่าที่อยู่ IP แบบไดนามิกซึ่งเป็นหมวดหมู่ตัวแปรสามารถถือเป็นข้อมูลส่วนบุคคลได้หรือไม่ โดยทั่วไป ที่อยู่ IP แบบไดนามิกเพียงอย่างเดียวไม่เพียงพอที่จะระบุตัวบุคคล อย่างไรก็ตาม ผู้ให้บริการอินเทอร์เน็ตสามารถระบุผู้ใช้ได้โดยใช้วันที่และเวลาในการเข้าถึงร่วมกัน ดังนั้นผู้ให้บริการเว็บด้วยความช่วยเหลือจากผู้ให้บริการจึงสามารถค้นพบตัวตนของผู้ใช้ทางอ้อมได้ นี่คือคำถามสำคัญ: ข้อมูลดังกล่าวมีสิทธิ์ได้รับการพิจารณาว่าเป็นข้อมูลส่วนบุคคลหรือไม่?
ดังที่เราได้เห็นในข้อความนี้แล้ว ศาลยุติธรรมแห่งยุโรปตัดสินใจว่าที่อยู่ IP สำหรับผู้ให้บริการอินเทอร์เน็ตมีคุณสมบัติเป็นข้อมูลส่วนบุคคล อย่างไรก็ตาม จนถึงกรณีนี้ ไม่มีจุดยืนอย่างเป็นทางการว่าหมายถึงผู้ให้บริการสื่อออนไลน์ด้วยหรือไม่ เช่น ผู้ให้บริการเว็บ โดยเฉพาะอย่างยิ่งหากบุคคลที่สาม เช่น ผู้ให้บริการอินเทอร์เน็ต มีข้อมูลที่จำเป็นสำหรับการระบุตัวบุคคล
กฎระเบียบของสหภาพยุโรปกำหนดข้อมูลส่วนบุคคลอย่างไร
ตามมาตรา 2 ของระเบียบ EU ว่าด้วยการปกป้องข้อมูลส่วนบุคคล ข้อมูลส่วนบุคคลรวมถึงข้อมูลใด ๆ ที่อ้างถึงบุคคลธรรมดาที่ระบุตัวตนหรือบุคคลธรรมดาที่สามารถระบุตัวตนได้ บุคคลที่สามารถระบุตัวตนได้คือบุคคลที่สามารถระบุได้โดยตรงหรือโดยอ้อม โดยเฉพาะอย่างยิ่งผ่านหมายเลขประจำตัวประชาชนหรือปัจจัยหนึ่งหรือหลายปัจจัยที่มีลักษณะเฉพาะสำหรับอัตลักษณ์ทางร่างกาย สรีรวิทยา จิตใจ เศรษฐกิจ วัฒนธรรม หรือสังคม
GDPRยังคงคำจำกัดความนี้ไว้ โดยเพิ่มเติมว่าบุคคลธรรมดาสามารถระบุได้โดยใช้ชื่อ ข้อมูลตำแหน่ง ตัวระบุออนไลน์ และสารพันธุกรรมของบุคคลนั้น GDPR คาดการณ์ว่าบุคคลธรรมดาสามารถเชื่อมต่อกับตัวระบุออนไลน์ที่มีให้โดยอุปกรณ์ แอป เครื่องมือ และโปรโตคอล เช่น ที่อยู่ IP ตัวระบุคุกกี้ หรือตัวระบุอื่นๆ เช่น ป้ายกำกับความถี่วิทยุ สิ่งนี้สามารถทิ้งร่องรอยที่อาจใช้เพื่อสร้างโปรไฟล์ของบุคคลธรรมดาและการระบุตัวตน โดยเฉพาะอย่างยิ่งหากรวมกับตัวระบุที่ไม่ซ้ำกันและข้อมูลอื่น ๆ ที่ได้รับจากเซิร์ฟเวอร์ ดังนั้นในที่สุดกฎหมายของสหภาพยุโรปก็แก้ไขภาวะที่กลืนไม่เข้าคายไม่ออก: ที่อยู่ IP สามารถถือเป็นข้อมูลส่วนบุคคลได้
ที่อยู่ IP ถือเป็นข้อมูลส่วนบุคคลในสาธารณรัฐเซอร์เบียหรือไม่
กฎหมายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลจาก 2008 กำหนดให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่เกี่ยวข้องกับบุคคลธรรมดาโดยไม่คำนึงถึงรูปแบบที่จะแสดงในและผู้ให้บริการข้อมูล (กระดาษเทป, ภาพยนตร์, สื่ออิเล็กทรอนิกส์อื่น ๆ ) เมื่อมีการร้องขอ ในชื่อหรือบัญชีของผู้ที่จัดเก็บข้อมูล วันที่สร้าง ตำแหน่งที่จัดเก็บข้อมูล วิธีการรับข้อมูล (โดยตรง โดยการฟังหรือดู ฯลฯ หรือโดยอ้อม โดยการดูเอกสารที่มีข้อมูล ฯลฯ ) หรือโดยไม่คำนึงถึงคุณสมบัติอื่นของข้อมูล
อย่างไรก็ตาม เนื่องจากกฎหมายฉบับนี้ไม่ได้ควบคุมเนื้อหาของการคุ้มครองข้อมูลส่วนบุคคลอย่างเพียงพอ ความจำเป็นในการนำกฎหมายฉบับใหม่มาใช้ในปี 2012 และทั้งหมดนี้เพื่อให้สอดคล้องกับกฎหมายของเรากับกฎหมายของสหภาพยุโรป คณะกรรมาธิการยุโรปยืนยันสิ่งนี้ในรายงานตั้งแต่ปี 2559 ซึ่งพวกเขาระบุว่าจำเป็นต้องนำกฎหมายใหม่มาใช้อย่างเร่งด่วนซึ่งจะเป็นไปตามมาตรฐานของสหภาพยุโรป การนำกฎหมายใหม่ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลไปใช้เป็นหนึ่งในเงื่อนไขของการเจรจาระหว่างเซอร์เบียและสหภาพยุโรป โดยอาศัยการเปิดบทที่ 23
รัฐบาลเซอร์เบียให้คำมั่นที่จะนำกฎหมายฉบับใหม่มาใช้ภายในสิ้นปี 2015 บนพื้นฐานของแบบจำลองที่จัดทำโดยคณะกรรมาธิการเพื่อข้อมูลสาธารณประโยชน์ อย่างไรก็ตาม โครงการนี้ยังไม่เกิดขึ้นจริง และกำหนดเส้นตายในการบังคับใช้กฎหมายใหม่ถูกเลื่อนออกไปหลายครั้ง
ความคืบหน้าครั้งสุดท้ายในการดำเนินโครงการนี้คือการนำร่างกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลมาใช้ซึ่ง จัดทำโดยกระทรวงยุติธรรมแห่งสาธารณรัฐเซอร์เบีย อย่างไรก็ตาม ร่างนี้ถูกวิพากษ์วิจารณ์จากสาธารณชนผู้เชี่ยวชาญ และคณะกรรมาธิการยุโรปและ Eurojust ได้ยื่นเรื่องร้องเรียน โดยเฉพาะอย่างยิ่ง การวิพากษ์วิจารณ์ความคิดเห็นในประเทศและสาธารณะได้กล่าวถึงความจำเป็นในการควบคุมวิดีโอเฝ้าระวังที่เพียงพอมากขึ้น การป้องกันการใช้หมายเลขประจำตัวประชาชนของพลเมืองในทางที่ผิด และการสร้างการปกป้องข้อมูลที่มีประสิทธิภาพมากขึ้นในภาครัฐ
ตามร่างกฎหมายดังกล่าวข้อมูลส่วนบุคคลคือ “ข้อมูลใด ๆ ที่อ้างถึงบุคคลธรรมดาซึ่งระบุตัวตนหรือสามารถกำหนดได้ไม่ว่าโดยตรงหรือโดยอ้อม โดยเฉพาะอย่างยิ่งบนพื้นฐานของฉลากระบุตัวตน เช่น ชื่อและหมายเลขประจำตัวประชาชน ข้อมูลตำแหน่ง ตัวระบุในเครือข่ายการสื่อสารทางอิเล็กทรอนิกส์ หรือคุณสมบัติอย่างน้อยหนึ่งอย่างทางร่างกาย สรีรวิทยา พันธุกรรม จิตใจ เศรษฐกิจ วัฒนธรรม และสังคม”
เนื่องจากกฎหมายฉบับร่างไม่ได้กล่าวถึงที่อยู่ IP โดยเฉพาะ แต่กล่าวถึง “ตัวระบุในเครือข่ายการสื่อสารทางอิเล็กทรอนิกส์” จึงสรุปได้ว่ากฎหมายใหม่สอดคล้องกับ GDPR ในเรื่องนี้