เรื่องที่ 195 : ผู้ใดควรต้องรับผิดแก่ลูกค้าในการขโมยข้อมูลส่วนตัวของลูกค้า (Breach of Data Protection)?
ข่าวการลักลอบขโมยข้อมูลของลูกค้าในกลุ่มธรุกิจต่าง ๆ สามารถพบเห็นได้ทั่วโลก แม้ในบ้านเรา ก็ปรากฏภาพข่าวมากมาย ไม่เว้นกระทั่งธุรกิจประกันภัยเอง
บริษัทประกันภัยโดยเฉพาะที่ต่างประเทศได้อาศัยความเสี่ยงภัยทางไซเบอร์ลักษณะนี้มาออกแบบความคุ้มครองทั้งในรูปแบบด้านทรัพย์สิน และด้านความรับผิด แต่ด้วยความใหม่ของลักษณะความเสี่ยงภัยเอย ลักษณะกฎหมายใหม่ที่ถูกบัญญัติออกมารองรับ หรือกฎหมายเดิมที่นำมาปรับใช้เอย ประกอบกับเนื้อหาความคุ้มครองที่หลากหลายของแต่ละบริษัทประกันภัยซึ่งยังไม่มีมาตรฐานเดียวกัน ส่งผลก่อให้เกิดข้อถกเถียง การตีความหมายทั้งในถ้อยคำของกฎหมายกับของตัวกรมธรรม์ประกันภัยไซเบอร์เหล่านี้แตกต่างกันออกไปอย่างมากมาย
ดั่งเช่นตัวอย่างคดีศึกษาต่างประเทศนี้
ธุรกิจขายปลีกเจ้าหนึ่งถูกคนร้ายใช้โปรแกรมมัลแวร์เข้าไปโจมตีกับลักลอบนำข้อมูลลูกค้าไป ทำให้ธุรกิจขายปลีกรายนี้ถูกหน่วยงานรัฐปรับโทษฐานไม่จัดการปกป้องระบบคอมพิวเตอร์อย่างดีพอ
ลูกค้ารายหนึ่งอ้างว่า ตนเป็นผู้เสียหายโดยหวั่นวิตกว่า ข้อมูลส่วนบุคคลของตนอาจจะถูกคนร้ายนั้นนำไปใช้ประโยชน์ในทางที่เสียหายแก่ตนในอนาคตได้ จึงฟ้องเรียกร้องให้ธุรกิจขายปลีกรายนี้ชดใช้ค่าเสียหายจากความหวั่นวิตก (Distress) ของตนเป็นจำนวนเงิน 5,000 ปอนด์สเตอร์ลิง ในข้อกล่าวหากระทำผิด ดังนี้
1) ละเมิดความไว้วางใจของลูกค้าที่มีต่อตนเอง (Breach of Confidence)
2) การใช้ข้อมูลส่วนบุคคลในทางที่ผิด (Misuse of Private Information)
3) กระทำการด้วยความประมาทเลินเล่อตามหลักกฎหมายทั่วไป (Negligence)
4) การทำผิดกฎหมายว่าด้วยข้อมูลส่วนบุคคล (Breach of Data Protection Act)
ศาลชั้นต้นได้วินิจฉัยออกมาเป็นลำดับ ดังนี้
1) ละเมิดความไว้วางใจของลูกค้าที่มีต่อตนเอง และ
2) การใช้ข้อมูลส่วนบุคคลในทางที่ผิด
ข้อกล่าวหาทั้งสองข้อไม่ได้ก่อให้เกิดหน้าที่แก่ผู้เก็บรวบรวมข้อมูล หรือผู้ควบคุมข้อมูล ในการจัดการดูแลรักษาความปลอดภัยของข้อมูล แต่เป็นเรื่องเกี่ยวกับการห้ามมิให้ผู้เก็บรวบรวมข้อมูล หรือผู้ควบคุมข้อมูลเปิดเผยข้อมูลที่มีสาระสำคัญที่ตนได้รับรู้มามากกว่า เป็นต้นว่า ข้อมูลลับทางการค้า เช่นนี้ จึงเรียกว่า การจะไม่ละเมิดความไว้วางใจของลูกค้าที่มีต่อตนเอง มิใช่หมายความถึงข้อมูลส่วนบุคคลทั่วไป
ส่วนการใช้ในทางที่ผิดนั้นจะต้องมีการลงมือกระทำอย่างแท้จริงด้วย โดยศาลได้หยิบยกตัวอย่างประกอบให้เห็นภาพว่า สมมุติมีคนร้ายแอบเข้าไปในบ้านทางหน้าต่างที่ถูกเปิดทิ้งไว้โดยเจ้าของบ้านหลังนั้นด้วยความสะเพร่า แล้วขโมยสมุดบัญชีธนาคารของลูกเจ้าของบ้านหลังนั้นไป จะเรียกว่า เจ้าของบ้านหลังนั้นกระทำการเสมือนหนึ่งใช้ข้อมูลส่วนบุคคลในทางที่ผิดยังงั้นได้หรือ? ศาลไม่เห็นพ้องด้วย
กรณีนี้เป็นเพียงความล้มเหลวที่จะปกป้องการลักลอบเข้ามาโดยไม่ชอบของคนร้ายเท่านั้น โดยที่ธุรกิจขายปลีกรายนี้ถือเป็นผู้เสียหาย มิใช่ผู้กระทำความผิดดังกล่าวแต่ประการใด
3) กระทำการด้วยความประมาทเลินเล่อตามหลักกฎหมายทั่วไป
เมื่อมีกฎหมายเฉพาะกำหนดหน้าที่เอาไว้แล้ว ไม่จำต้องมีการกำหนดหน้าที่ในการใช้ความระมัดระวังอันสมควรมาใช้บังคับให้ซ้ำซ้อนกันอีก
นอกจากนี้ หลักการไม่ใช้ความระมัดระวังอันสมควรตามหลักกฎหมายทั่วไป อย่างเช่นหลักกฎหมายเรื่องละเมิด จะต้องมีความเสียหายบังเกิดขึ้นอีกด้วย ซึ่งความเสียหายจากความหวั่นวิตกนั้นไม่ถือเป็นความเจ็บป่วยทางร่างกาย หรือทางอนามัยอันจะได้รับความคุ้มครองภายใต้หลักกฎหมายเรื่องละเมิดด้วย เพราะเป็นเพียงความคาดหวังในอนาคตที่ยังมิได้บังเกิดขึ้นมาจริง
อนึ่ง หากจะสามารถคุ้มครองได้ ผู้กระทำผิดที่แท้จริงก็คือ คนร้ายผู้กระทำผิดเรื่องละเมิดนั้นเอง แต่มิใช่ธุรกิจขายปลีกรายนี้ซึ่งตกเป็นผู้เสียหายทำนองเดียวกันเช่นนี้
4) การทำผิดกฎหมายว่าด้วยข้อมูลส่วนบุคคล
เป็นเรื่องที่จะต้องไปว่ากล่าวกันต่อไป เนื่องจากธุรกิจขายปลีกรายนี้ยื่นอุทธรณ์เรื่องค่าปรับต่อหน่วยงานกำกับดูแลแล้ว
(อ้างอิง และเรียบเรียงมาจากคดี Darren Lee Warren v DSG Retail Limited [2021] EWHC 2168 (QB))
หมายเหตุ
แม้นเป็นเพียงแนวคำพิพากษาศาลชั้นต้น แต่ก็ได้รับความสนใจในแวดวงกฎหมายทั่วโลก
สามารถใช้อ้างอิงเป็นแนวทางประกอบการพิจารณาเลือกใช้ความคุ้มครองของการประกันภัยไซเบอร์ให้ถูกต้อง และเหมาะสมแก่โอกาสความเสี่ยงภัยของตนต่อไป
บริการ
- รับบรรยายให้ความรู้ด้านประกันวินาศภัย
- รับแปลเอกสารกรมธรรม์ประกันภัย (อังกฤษเป็นไทย)
สนใจติดต่อ vivatchai.amornkul@gmail.com
อ่านบทความอีกชุดที่น่าสนใจเพิ่มเติมได้ใน พบ-ป(ร)ะ-กัน(ภัย): เป็นเรื่อง เป็นัราว ใน Facebook Meet Insurance ที่ https://www.facebook.com/pomamornkul/
ไม่มีความคิดเห็น:
แสดงความคิดเห็น