[NEW] ทำความรู้จัก PDPA และการเตรียม Cookie และ Universal Consent | cookies คือ – NATAVIGUIDES

By

By

By

สรุป พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

สาระสำคัญของ PDPA คืออะไร และมีส่วนคล้ายคลึงกับ EU Data Protection Directive หรือ GDPR เช่น
1. การแจ้งให้ทราบเรื่องการจัดเก็บข้อมูล
2. การขอความยินยอม (Consent) ทั้งผ่านแบบฟอร์มและVerbal
3. การระบุวัตถุประสงค์ในการเก็บรวบรวม (Purpose Specification)
4. การรักษาความปลอดภัยของข้อมูล ต้องมีมาตรการรักษาความปลอดภัยของข้อมูลที่ถูกเก็บรักษา Integrity and confidentiality (security)
5. การกำหนดผู้ควบคุมข้อมูล (Data Controller) และผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)
6. สิทธิของเจ้าของข้อมูล โดยเจ้าของมีสิทธิในการขอเคลื่อนย้ายข้อมูลส่วนบุคคลของตน
7. ความรับผิดชอบของบุคคลซึ่งทำหน้าที่ควบคุมข้อมูล (Accountability)

สิ่งที่จะต้องเตรียมก็คือ

• List data touchpoints ทั้งหมดออกมาดู
• ออกแบบแบบระบบ consent ต่างๆทั้ง offline/online
• ตั้งกรรมการหรือคนที่ทำหน้าที่โดยตรง DPO (Data Protection Officer)
• ทำ Master Database เพื่อ Single Source of Customer Data
• ทำ Preference Center, Unsubscribe center เพื่อสิทธิที่จะถูกลบข้อมูลออก
• ทำ Data Gorvernance ให้ชัดเจน ใครควรView/Edit/Deleteข้อมูลลูกค้าแค่ไหน

ข้อมูลส่วนบุคคล หรือ Customer Data คืออะไร แบ่งเป็นกี่ประเภท

ประเภทของข้อมูลลูกค้า แบ่งเป็น 3 ประเภทได้แก่
1. ข้อมูลส่วนบุคคล (Personal Data)
ในที่นี้จะรวมทั้ง ข้อมูลที่ยืนยันตัวตนได้(Personally Identifiable Information) และยืนยันตัวตนไม่ได้ (Non-PII)

1.1 ข้อมูลที่ยืนยันตัวตนได้(Personally Identifiable Information)
คือข้อมูลที่ทราบแล้ว เราสามารถเชื่อมโยงได้ ว่าเจ้าของข้อมูลคนๆนั้นเป็นใคร โดยกลุ่มนี้สามารถแยกได้ย่อยเป็นอีก 2 กลุ่มได้แก่

(1) เชื่อมโยงได้โดยทันที (Linked Information) ได้แก่

• ชื่อเต็ม (Full name)
• ที่อยู่จริง (Physical address)
• Email address

(2) เชื่อมโยงได้เมื่อนำข้อมูลมาประกอบกัน Linkable Information ได้แก่

• ชื่อ หรือ นามสกุล (Firstname or lastname)
  ตำแหน่งที่อยู่  ประเทศ จังหวัด รหัสไปรษณีย์
  เพศ (Gender)

1.2  ข้อมูลที่ยืนยันตัวตนไม่ได้ (Non-PII)
คือข้อมูลที่ทราบแล้ว เราไม่สามารถเชื่อมโยงได้ ว่าเจ้าของข้อมูลคนๆนั้นเป็นใคร จัดอยู่ในกลุ่มข้อมูล (anonymous) ได้แก่

• เลขไอพี (IP address)
• Cookies
• เลข Device IDs

* ข้อมูลส่วนบุคคล (Personal Data) กลุ่มนี้จัดว่าเป็น”ข้อมูลส่วนบุคคล”ตาม General Data Protection Regulation (GDPR)

อ่านรายละเอียดเรื่อง Customer Data คืออะไร แบ่งเป็นกี่ประเภท

สำหรับการจัดการ Consent มีทั้งระดับ Cookie Consent และระดับสูงกว่าคือ (Universal Consent & Preference Management)

คุกกี้ หลักๆมีกี่รูปแบบ
1.คุกกี้ที่มีความจำเป็นอย่างยิ่ง (Strictly Necessary Cookies) เพื่อให้ Website ของเราทำงานได้ถูกต้อง, เพื่อระบบ Log-In หรือระบบ KYC  หรือเป็นคุกกี้เพื่อการตรวจเช็คความปลอดภัยด้านE-Payment

2.คุกกี้สำหรับฟังก์ชั่นการทำงาน (Preferences หรือ Functional Cookies) คุกกี้สำหรับใช้เพื่อประสบการณ์ที่ดีในการใช้งาน website เช่น จดจำสินค้าล่าสุดที่เราเคยดู ภาษาที่เราเลือกใช้ หรือการจดจำ Log-In  ก็ได้

3. คุกกี้เก็บข้อมูลการใช้งาน (Analytic หรือ Statistics หรือ Performance Cookies) คุกกี้พวกนี้สำหรับจัดเก็บพฤติกรรมการใช้งานwebsite ทั้งหมด และรวมถึง 3rd Party Cookie เช่น Google Analytic  เป็นต้น

4. คุกกี้สำหรับการโฆษณา (Marketing cookies ) คุกกี้สำหรับใช้เพื่อการทำ Advertising ทั้งการ Re-marketing  หรือการ Track จำนวน frequency

การจัดการ Cookie Consent Management

ตัวอย่าง Cookie  Banner Flow ที่จะทำหน้าที่ขวางการ Tracking ของ User จนกว่าจะมีการกดรับ Cookie

โดยเราสามารถเลือกความเข้มข้นในการขอ Consent ได้หลายแบบ เช่น

Notice Only ทึกทัก – Track ไปแล้ว และแจ้งให้ทราบเท่านั้นว่า Web ของเรามีการใช้คุกกี้อะไรบ้าง User ไม่สามารถ Disable Cookie ของเราได้ทำได้แค่ปิด Dialog / Banner Cookie เท่านั้น
Implied Consent แค่โอเคก็ทะลุทะลวง –  ยังไม่ Track แต่ทันทีที่ User กด OK  ระบบจะ Enable Cookie ทุกตัว
Opt-out ลากเข้าไปก่อน – Track ไปแล้ว และแจ้งให้ทราบว่า Web ของเรามีการใช้คุกกี้อะไรบ้าง มีPage ให้ User เข้าไป disable cookie บางตัวได้
Opt-in ปลอดภัยฝุดๆ – ยังไม่ Track นอกจากคุกกี้ที่จำเป็นกับการใช้งาน (Strictly Necessary) User เข้าไป Enable cookie แต่ละตัวเอง

การจัดการ Universal Consent & Preference Management
1. ระบุวัตถุประสงค์การเก็บและประมวลผล (purpose of processing) เช่น
– เพื่อการบริหารความสัมพันธ์, การทำ Email Marketing, การวัดผลแคมเปญ

2. การกำหนดจุดที่จะเก็บข้อมูล Points of Interaction หรือ Collection Point เช่น
   – Web Form, Email, APP SDK หรือ Custom API อื่นๆ
   โดยในส่วนนี้เราสามารถบังคับ User  ให้ Double Opt-in  ได้ เช่นการให้ User click confirmation link ใน Email

3. การสร้าง Preference Center เพื่อให้ User เข้ามาจัดการช่องทางการติดต่อ, และหมวดหมู่ที่ต้องการรับข่าวสารจากเรา

ตัวอย่าง Preference Center ของ spotify

อ่านสรุป พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA

Reference อื่นๆ
https://gdpr.eu/cookies
https://www.onetrust.com/
https://www.slideshare.net/mediapostlive/onetrust-sponsored-coffee-break
https://www.nivea.co.th/system-pages/cookies#CookieDescription

หากมีคำถามเพิ่มเติม สามารถสอบถามผมได้ที่กลุ่ม >> Marketing Tech Thailand

ติดตาม Marketing Tech Thailand ใน Social Media ได้ที่
🔥 Facbook Page : Marketing Tech Thailand
🔥 Facebook Group : Marketing Tech Thailand – Group
📺 Youtube : Marketing Tech Thailand
🌎 Linkedin Group (Global Community) : Marketing Tech Community in Thailand

Cookies คืออะไรกันแน่ และทำไมเว็บไซต์ถึงบังคับให้เรากด Accept 

 

สมัยก่อนเมื่อประมาณ 8 ปีที่แล้ว เวลาจะอ่านข่าวบนเว็บไซต์อย่าง CNN หรือพวกข่าวบอลอย่างเช่น ESPN หรือพวกเว็บไซต์ดังๆอย่าง Adobe มักจะมีแบนเนอร์ข้างล่าง website ที่เขียนว่า Accept Cookies or Not ซึ่งโดยที่เราไม่รู้ตัวเราก็อาจจะคิดว่ามันเหมือนกับโฆษณาบางอย่าง เราก็จะก็กด accept เพื่อที่ว่าตัดความรำคาญในการที่มันมาบดบังบทความที่เราจะอ่านด้านล่าง หรือ ช็อปปิ้งกับของที่อยู่ด้านล่าง

 

ทุกวันนี้ Cookies กลายเป็นส่วนนึงของชีวิตเราไปเรียบร้อยแล้ว เพราะมากกว่า 95% ของเว็บไซต์บนอินเตอร์เน็ทมีฟังค์ชั่นนี้เกิดขึ้น และมันสามารถจดจำข้อมูลบางอย่างของเรา เพื่อที่ครั้งถัดไปที่เราเข้าไปในเว็บไซต์ดังกล่าว มันจะได้เหมือนกับ เราเคยเข้าไปใช้งานมันมาแล้ว คล้ายๆกับพนักงานในร้านกาแฟที่จดจำใบหน้าของเราได้ว่า เราชอบสั่งอะไร ครั้งถัดไปที่เราเข้ามาสั่งเราจะได้รู้สึกถึงความเป็นกันเองในร้านกาแฟนั้น

 

คำเตือนที่ให้เรากด Accept หรือ Understood ทุกครั้ง

 

Cookies ถูกสร้างขึ้นมาโดยโปรแกรมเมอร์ที่มีชื่อว่า ลู มนทูลลี่ (Lou Montulli) ลูได้คำว่า Cookies นี้มาจากคำว่า “Magic Cookie” ที่โปรแกรมเมอร์ของ Linux ใช้กันในการส่งข้อมูลของโปรแกรมไปมา และเพื่อที่จะไม่ให้ข้อมูลตรงนั้นเปลี่ยนแปลง (ลินุกซ์ คือ ระบบปฏิบัติการในคอมพิวเตอร์)

 

ตอนนั้นเอง ลู อายุ 23 ปีกำลังทำงานให้กับ Netscape ซึ่งเป็นคู่แข่งของ Microsoft Internet Explorer ในตอนนั้น เพื่อที่จะรักษาข้อมูลว่าผู้ใช้งานเข้าไปใช้เว็บไซต์นี้หรือยัง ถ้าได้เข้าไปใช้งานแล้ว และเว็บไซต์นั้นต้องมีการล็อกอิน ก็จะทำหน้าที่ล็อกอินในอัตโนมัติให้ ซึ่งลูก็ตัดสินใจไปจดลิขสิทธิ์ของตัว Cookies นี้ตอนปี 1995 ก่อนที่จะถูกยินยอมตอนปี 1998 แต่ก็สายเกินไป Cookies ถูกใช้ใน Internet Explorer ตั้งแต่ตุลาคม ปี 1995 เช่นกัน

 

Lou Montulli ผู้สร้าง Cookies ขึ้นมา

 

ข้อดีที่ดีที่สุดของการเก็บ Cookies คือ ถ้าคุณเข้าไปในเว็บไซต์อย่าง Facebook หรือ เข้าไปซื้อของใน Lazada คุณไม่จำเป็นที่จะต้องล็อกอินใหม่ทุกๆครั้งที่เข้าเว็บไซต์ และ คุณก็ไม่จำเป็นที่จะต้องเลือกสินค้าใหม่อีกรอบ ในทุกๆครั้ง พูดได้ว่าเวลาคุณยินยอมในการกด Cookies คุณได้สิทธิพิเศษที่เว็บไซต์จะถูกปรับเพื่อให้เหมาะสมกับคุณใช้งาน ลองจินตนการภาพว่าถ้าคุณต้องล็อกอินเข้า Facebook ใหม่ทุกครั้งที่คุณเข้าในอินเตอร์เน็ท กับต้องเลือกของซ้ำๆเดิมๆใน Lazada คุณก็คงไม่อยากใช้งานมันถูกต้องไหมครับ

 

แต่นอกจากที่เขาเก็บข้อมูลของการเข้าล็อกอิน หรือ ในตะกร้าสินค้าว่าคุณซื้อของอะไรบ้าง สิ่งอื่นๆที่ Cookies สามารถเก็บได้เหมือนกันก็คือ เวลาที่คุณกดเข้าไปในเว็บไซต์ สินค้าอื่นๆที่คุณเลือกดู สถานที่ที่คุณอยู่ในการเข้าเว็บไซต์นี้ และบางข้อมูลอย่าง อีเมล หรือแม้กระทั่ง เบอร์โทรศัพท์ Cookies ก็จะถูกเก็บไว้เช่นเดียวกัน

 

 

ระบบของ Cookies

 

นี่ถูกเรียกว่า First-Party Cookies หรือ Cookies ในแบบแรก ที่เว็บไซต์เหล่านี้เก็บข้อมูลเราแต่ไม่ได้แบ่งปัน แต่ความอันตรายคือเมื่อเราเข้าใช้งานเว็บไซต์ในหลายๆแบบ ไม่ว่าจะเป็นเว็บไซต์หาคู่อย่าง Tinder เว็บไซต์ท่องเที่ยวอย่าง Agoda เว็บไซต์ข่าวต่างๆ หรือเว็บไซต์ที่เกี่ยวข้องกับธนาคาร เมื่อเอา First-Party Cookies เหล่านี้มารวมกันเมื่อไหร่ มันก็จะกลายเป็น Third-Party Cookies ทันทีเพื่อที่จะแชร์ข้อมูลของลูกค้าเข้าหากัน มันสามารถบอกได้ถึงเรื่องที่เป็นเรื่องส่วนบุคคล อย่างพรรคการเมืองที่เราสนับสนุน สเปคผู้ชายหรือผู้หญิงในฝันของเรา จนถึงขนาดบอกตัวตนของเราได้เลย

 

จนเว็บไซต์เหล่านี้ก็จะค่อยๆตามหลอกหลอนเรา อย่างเช่น ตอนที่กำลังนั่งเล่น Instagram อยู่ มีโฆษณาของ Reebok อยู่ใน feed โดยพอกดเข้าไป แล้วมันก็จะเข้าไปที่หน้าเว็บไซต์ของเขา แล้วก็เลยอยากรู้ว่าพรมโยคะของ Reebok นั้นราคาเท่าไหร่ ปรากฏว่ามันลดราคาจาก 600 กว่าบาท เหลือเพียง 300 กว่าบาท แต่ถ้าเราไม่ได้ซื้อ ทาง Reebok เองก็เก็บ Cookies นี้เอาไว้ จนตั้งแต่เมื่อวานจนถึงวันนี้ เราก็สามารถเห็นพรมของ Reebok ในเว็บไซต์อื่นๆมาแล้วถึง 5 ครั้ง และนี่แหละครับคือความน่ากลัวของ Cookies ที่เรียกว่าการ tracking หรือการสะกดรอยตาม

 

Cookies จะติดตามเราไปทุกที่

 

ซึ่งวิธีที่เขาขายโฆษณาคือการที่บริษัทและแบรนด์เหล่านี้จะมีเว็บไซต์ตัวกลางอย่าง Facebook และ Google เพื่อที่จะคอยส่งต่อข้อมูลที่แบรนด์ต่างๆจะโฆษณาไปให้กับกลุ่มเป้าหมาย ข้อมูลเหล่านี้จะถูกส่งต่อไปให้เว็บไซต์ที่เป็น Platform ต่างๆอย่างเช่น Sephora, Amazon หรือแม้กระทั่งบางบริษัททำหน้าที่ทั้งเป็นตัวกลางและทั้ง Platform ไปในตัวอย่างเช่น Facebook และ Google ซึ่งทั้งคู่ก็เป็นผู้เล่นเจ้าใหญ่ที่สุดในโลกออนไลน์ และ พวกเขามีข้อมูลอย่างละเอียดของแต่ละตัวบุคคล

 

ดังนั้นเวลาที่เราจะสร้างโฆษณาทั้งใน Facebook และ Google เราก็เลยสามารถที่จะเลือกกลุ่มเป้าหมายได้อย่างละเอียดยิบ เช่น กลุ่มคนอายุ 15-20 คนที่ชอบเพศเดียวกัน หรือ อย่างเช่นสิ่งที่ Reebok ทำคือคนที่เคยเข้าไปในเว็บไซต์ของเขาใน 30 วันที่ผ่านมา จะเห็นโฆษณา Reebok อยู่ทุกที่ ซึ่งที่เสียหายที่สุดคือต่อให้เราสามารถลบ Cookies ไปได้ในบราวเซอร์ของเรา แต่ข้อมูลส่วนตัวก็ยังถูกเก็บไว้ในเว็บไซต์เหล่านั้นอยู่ดี

วิธีการที่ Facebook ค้นหาเราให้เหมาะกับสินค้านั้นๆ

 

แต่เมื่อไม่นานมานี้เว็บบราวเซอร์ต่างๆอย่าง Google Chrome หรือ Mozilla Firefox ก็เริ่มที่จะให้คนสามารถปิด Third-Party Cookies ได้ พูดง่ายๆคือถ้าคุณเข้าเว็บไซต์อย่าง Lazada และเข้าเว็บไซต์ท่องเที่ยวต่ออย่าง Agoda ทั้งสองเว็บไซต์นี้ไม่สามารถที่จะแลกเปลี่ยนข้อมูลของคุณได้ แต่สุดท้ายแล้วคนกลางก็จะพยายามหาช่องโหว่ที่สามารถแลกเปลี่ยนข้อมูลพวกนี้ได้อยู่ดี ซึ่ง Facebook ก็สร้างมันขึ้นมาโดยเรียกมันว่า Facebook Pixel ซึ่งตัวนี้เองเป็นการใส่โค้ดของ Facebook ลงไปในเว็บไซต์ ตัว Facebook เองโฆษณาในเว็บไซต์ของตัวเองว่าตัว Pixel อันนี้สามารถหาลูกค้าได้มากขึ้น รายงานได้ละเอียดขึ้นและแม่นยำขึ้น และ Facebook Pixel นี้ไม่สามารถปิดได้โดยบราวเซอร์ต่างๆ

 

Facebook Pixel

 

ลูพึ่งให้สัมภาษณ์กับสื่ออย่าง Vox.com ถึงเรื่องที่ Cookies เข้ามามีผลกับชีวิตเราอย่างไร เขาให้สัมภาษณ์ว่า มันเป็นเรื่องที่น่ามหัศจรรย์อย่างยิ่งกับสิ่งที่บริษัทเหล่านี้เอา Cookies มาทำให้เกิดผลประโยชน์และมีอิทธิพลอย่างไรได้บ้าง จนผู้สัมภาษณ์ของ Vox ได้ถามคำถามว่าคุณรู้สึกยังไงที่บริษัทอย่าง Google เอาเครื่องมือที่คุณสร้างไปหากินขนาดนี้ เขาลังเลก่อนที่จะอธิบายว่า การโฆษณาเหล่านี้ทำให้สินค้าถูกลดคุณภาพลงกว่าเท่าที่มันควรจะเป็น มันเป็นธุรกิจที่มีมูลค่าหลายพันล้านเหรียญ

 

ถ้าเกิดว่าคุณต้องการให้เรื่องเหล่านี้จบลง คุณต้องบัญญัติเป็นกฏหมายขึ้นมาไม่งั้นแล้วต่อให้เราพยายามปิดกั้นยังไงก็ตาม บริษัทเหล่านี้ก็จะหาช่องโหว่จนเข้าถึงเราได้อยู่ดี เพราะว่าสุดท้ายแล้วบริษัทที่คุมข้อมูลอยู่ตอนนี้คือ 2 บริษัทที่ใหญ่ที่สุดในโลก และมีข้อมูลของพวกเรามากที่สุดในโลกนั้นก็คือ Google และ Facebook

Lou Montulli สัมภาษณ์กับสำนักข่าว Vox ผ่านทางวีดีโอคอล

 

 

ขอบคุณภาพจาก CSS Script, Cw.in.th , Netsparker, Science Source, Smart Insights, The Register, และ Vox

ขอบคุณเรื่องราวดีๆจาก ทิวัตถ์ ชุติภัทร์ : https://www.blockdit.com/tiwatfca