วันพุธที่ 23 พฤษภาคม พ.ศ. 2561

เกร็ดการร่างกฎหมาย 15 โดย นายปกรณ์ นิลประพันธ์


                   ก่อนที่จะต้องยุติบทบาทการเป็นนักร่างกฎหมาย ผู้เขียนขอฝากเกร็ดการร่างกฎหมายเล็ก ๆ น้อย ๆ ไว้ให้นักร่างกฎหมายรุ่นต่อ ๆ ไปได้ทราบกันไว้อีกสักเรื่องหนึ่ง เผื่อเวลามีใครเขาถามจะได้อธิบายเหตุผลให้เขาฟังได้ ไม่ใช่ตอบว่าแบบหรือแนวทางการเขียนกฎหมายที่ลอก ๆ กันสืบต่อมากันเพรื่อไป

                   เรื่องที่ว่านี้ก็คือความแตกต่างระหว่าง “อนุมัติ” กับ “อนุญาต

                   เหตุที่จะฝากเรื่องนี้ไว้เพราะไม่ใคร่จะมีใครใส่ใจเท่าไร ฟังดูมันคล้าย ๆ กัน น่าจะแทนกันได้ เวลามีผู้ถามว่ามันเหมือนกันหรือต่างกันอย่างไรจึงมักจะตอบเขาไม่ได้

                   เรื่องนี้เรื่องใหญ่นะครับเพราะมันเป็นกลไกสำคัญของกฎหมายทีเดียว

                   อันว่า “อนุมัติ” นี่ที่มาจากคำว่า “อนฺมติ” (อะ-นุ-มะ-ติ) ในภาษาบาลีสันสฤตซึ่งแปลว่า รู้ตาม หรือเห็นตาม ในการร่างกฎหมายจะใช้กับการยินยอมหรือเห็นชอบเรื่องที่ผู้น้อยเสนอ ซึ่งผู้เสนอก็ได้แก่ผู้ใต้บังคับบัญชาหรือหน่วยงานของรัฐอยู่ภายใต้การควบคุมดูแลของผู้มีอำนาจ เช่น การดำเนินโครงการต้องได้รับอนุมัติจากคณะรัฐมนตรีก่อน หรือต้องได้รับอนุมัติจากปลัดกระทรวงก่อน ในภาษาอังกฤษถ้าเป็นกริยาใช้ว่า approve ถ้าเป็นคำนามใช้ว่า approval

                   อนุมัตินี้จะทำด้วยวาจาหรือเป็นลายลักษณ์อักษรก็ได้แล้วแต่เรื่อง

                   สำหรับ “อนุญาต” มีที่มาจากคำว่า “อนฺญฺญฺาต” (อะ-นุน-ยา-ตะ) ในภาษาบาลีซึ่งแปลว่า ยอม ยินยอม หรือตกลง ในภาษาไทยเราใช้ในความหมายที่ว่ายินยอมตามที่ผู้น้อยขอ เช่น นักเรียน (ผู้น้อย) ขออนุญาต คุณครู (ผู้มีอำนาจควบคุมดูแลนักเรียน) ไปดื่มน้ำหรือไปปัสสาวะ คุณครูก็อนุญาตให้ ส่วนในการร่างกฎหมายจะใช้กับการที่ผู้มีอำนาจหรือสิทธิตามกฎหมายให้ความยินยอมแก่ผู้ขอ เช่น มีผู้มาขออนุญาตก่อสร้าง ทางราชการอนุญาตให้ก่อสร้างได้ตามที่ขอ แม้ในระหว่างเอกชนก็ใช้ เช่น บริษัท ก. อนุญาตให้บริษัท ข. ผลิตสินค้าภายใต้สิทธิบัตรที่บริษัท ก. เป็นเจ้าของ

                   ในภาษาอังกฤษ การอนุญาตถ้าเป็นกริยาใช้ permit ถ้าเป็นคำนามใช้ว่า permission หากเป็นการอนุญาตโดยที่ผู้มีอำนาจหรือมีสิทธิตามกฎหมายออกเอกสารแสดงการอนุญาตหรือที่เรียกว่า “ใบอนุญาต” ไว้ให้เป็นหลักฐานด้วย ก็ใช้คำว่า license

                   ไม่ว่าอย่างไร อนุมัติกับอนุญาต นั้นมีลักษณะที่เหมือนกันประการหนึ่ง คือ ผู้มีอำนาจอนุมัติหรืออนุญาตนั้นมี “ดุลพินิจ” ที่จะอนุมัติอนุญาตหรือไม่ก็ได้ และการใช้ดุลพินิจนี้เองเป็นช่องทางให้ผู้มีอำนาจใช้อำนาจในทางที่ไม่ชอบด้วยเหตุผลขึ้นได้ มาตรา 77 ของรัฐธรรมนูญฉบับปัจจุบันจึงได้กำหนดไว้ชัดเจนว่าการใช้ระบบอนุมัติอนุญาตในกฎหมายต้องกระทำเพียงเท่าที่จำเป็น และต้องกำหนดหลักเกณฑ์การใช้ดุลพินิจไว้ให้ชัดเจนด้วย

                   ส่วนระบบทะเบียน (Registration) นั้นแตกต่างจากระบบอนุมัติอนุญาต เพราะเป็นระบบที่ผู้ประสงค์จะการทำการตามที่กำหนดต้องให้ข้อมูลบางอย่างแก่รัฐเพื่อประโยชน์ในการกำกับดูแลหรือบริหารจัดการ เช่น ทะเบียนพาณิชย์ ทะเบียนอาวุธปืน ในทางเอกชนก็ใช้ระบบทะเบียนเพื่อประโยชน์ในการดำเนินงานเหมือนกัน เช่น ทะเบียนผู้เข้าร่วมกิจกรรมวิ่งการกุศล ทะเบียนผู้ป่วย

                   ปัญหาต่อมาของระบบทะเบียนก็คือ จะ “ลง” ทะเบียนหรือ “ขึ้น” ทะเบียนดี อันนี้แล้วแต่เรื่องนะครับ แต่ไม่ใช่ว่าจะใช้อย่างไรก็ได้ตามที่สบายใจ ถ้าเป็นการเอาเข้าไปไว้ในทะเบียน ก็ใช้ “ขึ้น” ทะเบียน เช่น ขึ้นทะเบียนนักศึกษา ขึ้นทะเบียนโบราณสถาน ขึ้นทะเบียนทหาร แต่ถ้าเป็นการจดเป็นหลักฐาน เขาใช้ “ลง” ทะเบียน เช่น ลงทะเบียนเรียน เรื่องนี้ภาษาไทยแท้ ๆ นะครับ ไม่ใช่หลักกฎหมายอันใด และมักมีผู้สงสัยเรื่องเล็ก ๆ น้อย ๆ เหล่านี้เสมอ จะได้ตอบเขาให้ถูก สีข้างจะได้ไม่แดง

                   แถมพกเรื่องใบรับรอง (Certificate) ให้ด้วยก็แล้วกัน ไหน ๆ ก็ไหน ๆ แล้ว  ใบรับรองนี้เขาใช้กับการรับรองคุณลักษณะ (Characteristics) ของบุคคล สิ่งของ สถานที่ หรือองค์กรนะครับ เช่น ใบรับรองการตรวจสอบ ใบรับรองว่าผ่านการฝึกอบรม ใบรับรองจึงต่างจากใบอนุญาตนะครับ คนละเรื่องกันเลย

                   ฝากไว้เพียงเท่านี้แหละครับ

**********

วันอังคารที่ 22 พฤษภาคม พ.ศ. 2561

สิทธิที่จะถูกลืมจากโลกดิจิทัล โดย นายอรรถกร สุขปุณพันธ์*


          เชื่อว่าท่านผู้อ่านบทความนี้อาจจะเคยมีความจำเป็นหรือเพียงแต่นึกสนุก สืบค้นหาชื่อและนามสกุลของบุคคลที่ท่านสนใจใน website ของผู้ให้บริการ search engine เพื่อตรวจสอบดูประวัติอันเป็นข้อมูลส่วนบุคคล (personal data) ของบุคคลเหล่านั้นไม่มากก็น้อย
แต่หากคำนึงย้อนไปว่าในขณะที่เรากำลังสืบค้นประวัติของผู้อื่นอยู่นั้น เราเองอาจเคยเป็น "ผู้ถูกสืบค้น" เสียเองก็ได้ ความน่ากังวลก็จะบังเกิดขึ้นโดยทันที เพราะผลการสืบค้นที่ปรากฏในโลกออนไลน์อาจจะเคยมีประวัติส่วนตัวที่เกี่ยวข้องกับเจ้าของข้อมูลส่วนบุคคล (data subject) ทั้งที่จริงและเท็จ และเจ้าของข้อมูลส่วนบุคคลเองต้องประสบกับความทุกข์ เพราะไม่ประสงค์ที่จะให้มีการเผยแพร่อยู่เช่นนั้น เนื่องจากอาจเป็นผลเสียต่อชีวิตที่ต้องดำเนินต่อไปทั้งความน่าเชื่อถือในชีวิตการทำงาน การประกอบธุรกิจ หรือกระทั่งความสงบสุขในการใช้ชีวิตส่วนตัว เช่น ผลการศึกษาในอดีตที่ประกาศบน website ของมหาวิทยาลัยที่ระบุชื่อของตนกำกับอยู่ ประวัติการเป็นผู้ต้องหาในคดีซึ่งเป็นข่าวครึกโครมทั้งที่อาจต่อสู้คดีในชั้นศาลจนพิสูจน์ได้ว่าไม่ได้เป็นผู้กระทำความผิดในชั้นที่สุด หรือแม้ต้องโทษแต่ก็พ้นจากโทษไปแล้วเป็นเวลายาวนาน ประวัติการหย่าร้าง คำสั่งศาลให้เป็นบุคคลล้มละลายหรือประกาศขายทอดตลาดทรัพย์สิน ฯลฯ
ปัญหามีอยู่ว่าตัวเจ้าของข้อมูลส่วนบุคคลเหล่านั้นจะทำอย่างไรได้บ้างเพื่อให้เกิดกระบวนการที่ประวัติต่าง ๆ ของตนนั้นถูกลบเลือนหรือลืมไปเสียจากโลกดิจิทัล (digital obviation) เนื่องจากหากปรับใช้แต่เพียงกฎหมายว่าด้วยละเมิดหรือหมิ่นประมาทเพื่อบังคับให้ลบข้อมูลประวัติต่าง ๆ ดังกล่าวออกไปแล้วนั้นก็สู้จะไม่เพียงพอต่อการเยียวยาในยุคดิจิทัล เนื่องจากอาจจะต้องดำเนินการฟ้องร้องดำเนินคดีกับเจ้าของ webpage ต่าง ๆ ในศาลเป็นจำนวนมากมายทั้งในประเทศและต่างประเทศที่ดำเนินการประมวลผลข้อมูลส่วนบุคคล (data processing) โดยการเผยแพร่ข้อมูลนั้นบน webpage ต่าง ๆ นับไม่ถ้วน
เรียกได้ว่าคงจะสิ้นเปลืองทรัพย์ยากรเงินทอง แรงกาย แรงใจ และเวลาไปอย่างมหาศาล แตกต่างจากในอดีตที่ข้อมูลส่วนบุคคลจะถูกเผยแพร่โดยสื่อกระแสหลัก เช่น หนังสือพิมพ์ของสำนักพิมพ์เพียงไม่กี่แห่งเท่านั้น

สำหรับประเทศสมาชิกสหภาพยุโรปนั้น แม้ว่าพัฒนาการในการคุ้มครองข้อมูลส่วนบุคคลถือว่าก้าวหน้าเป็นอย่างมาก โดยจะสังเกตได้จากการที่กฎบัตรสิทธิขั้นพื้นฐานของสหภาพยุโรป (Charter of Fundamental Rights of the European Union: CFR) ถึงกับบัญญัติรับรองสิทธิที่จะได้รับการคุ้มครองข้อมูลส่วนบุคคล (right to protection of personal data) แยกต่างหากเป็นการเฉพาะ (lex specialist) จากสิทธิในชีวิตส่วนตัวและครอบครัว (right to respect for private and family life)[1] และยังมี Directive 95/46/EC ที่กำหนดแนวทางให้มีและใช้บังคับกฎหมายภายในว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลของประเทศสมาชิกเป็นการทั่วไป

อย่างไรก็ตาม ไม่มีบัญญัติในส่วนใดใน Directive 95/46/EC ที่กล่าวถึง "สิทธิที่จะถูกลืม(right to be forgotten) เพื่อให้ข้อมูลส่วนบุคคลของเจ้าของข้อมูลถูกลบเลือนหรือลืมไปเสียจากโลกออนไลน์เป็นลายลักษณ์อักษรแต่อย่างใด ซึ่งก็เป็นการสอดคล้องกับข้อเท็จจริงของพัฒนาการทางเทคโนโลยีภายในสหภาพยุโรปเอง โดยในปี ค.ศ. 1998 อันเป็นปีที่ Directive ฉบับดังกล่าวมีผลใช้บังคับนั้น จากสถิติพบว่าประชาชนชาวยุโรปน้อยกว่าร้อยละ 10 เท่านั้นที่ใช้บริการอินเตอร์เน็ตในชีวิตประจำวัน และ Google Inc. เพิ่งก่อตั้งบริษัทเพื่อประกอบธุรกิจเป็นผู้ให้บริการ search engine ได้เพียงหนึ่งปี[2]

right to be forgotten จึงเป็นเพียงข้อกังวลที่ได้รับการกล่าวถึงและพัฒนาในวงวิชาการ จนเมื่อปรากฏการณ์ทางสังคมที่เปลี่ยนแปลงไปสู่ยุคสังคมข้อมูลข่าวสาร (information society) ซึ่งข้อมูลจำนวนมหาศาลในโลกออนไลน์ (big data) มีแนวโน้มที่จะถูกรวบรวม (collected) จัดเก็บ (stored) และประมวลผล (processed) อย่างต่อเนื่องและอัตโนมัติบนเครือข่ายอินเตอร์เน็ตที่สามารถสืบค้นได้ง่าย (searchable) และด้วยเหตุที่ความมีอยู่ของข้อมูลดังกล่าวอาจก่อทั้งผลดีและผลเสียแก่เจ้าของข้อมูล แนวโน้มข้อห่วงกังวลเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลในโลกออนไลน์จึงกลับด้านเป็นว่า “จะทำอย่างไรให้ข้อมูลส่วนบุคคลถูกจดจำในโลกออนไลน์น้อยที่สุดและสิ่งใดบ้างที่ควรถูกลบเลือนไป” (how to remember less and what should be forgotten?)[3]

ท้ายที่สุดในเดือนพฤษภาคม ค.ศ. 2014 right to be forgotten จึงได้รับการรับรองและคุ้มครองว่าเป็นส่วนหนึ่งของ right to protection of personal data อย่างเป็นรูปธรรมเป็นครั้งแรกในรูปแบบของการวางหลักเกณฑ์เบื้องต้นจากคำวินิจฉัยของศาล (preliminary ruling) ผ่านการตีความ Directive 95/46/EC ของศาลยุติธรรมสหภาพยุโรป (Court of Justice of the European Union: CJEU) ในคดี Google Spain[4] ซึ่งมีผลผูกพันการใช้การตีความกฎหมายขององค์กรของรัฐในสหภาพยุโรป[5] โดยให้สิทธิเจ้าของข้อมูลส่วนบุคคลที่จะเรียกร้องให้ผู้ให้บริการ search engine ลบ link เชื่อมต่อที่แสดงผลการค้นหาชื่อและนามสกุลของตนไปยัง webpage ต่าง ออกจากเครือข่ายอินเตอร์เน็ต (delist)  ทั้งนี้ แม้ว่าผลคำวินิจฉัยดังกล่าวได้รับการวิพากษ์วิจารณ์ในแวดวงวิชาการเกี่ยวกับประสิทธิภาพในทางปฏิบัติที่จะให้ความคุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคลในโลกดิจิทัล[6] ในท้ายที่สุด right to be forgotten ก็ได้ถูกรับรองโดยการบัญญัติขึ้นอย่างชัดแจ้งในกฎระเบียบว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลแห่งสภาพยุโรป (General Data Protection Regulation: GDPR) ที่จะมีผลใช้บังคับแทน Directive 95/46/EC ในวันที่ 25 พฤษภาคม ค.ศ. 2018 โดยได้มีการปรับปรุงและพัฒนาทั้งในด้านเนื้อหาแห่งสิทธิ ผู้มีหน้าที่ และข้อยกเว้นแห่งสิทธิที่ชัดเจนและกว้างขวางมากยิ่งขึ้น

บทความฉบับนี้จะได้นำเสนอสภาพปัญหาของการพยายามปรับใช้กฎหมายของสหภาพยุโรปเท่าที่มีอยู่กับโลกดิจิทัล ผ่านการตีความของ CJEU ในคดี Google Spain และพัฒนาการในกฎหมายฉบับใหม่ของสหภาพยุโรปที่กำลังจะมาถึง อันอาจยังประโยชน์ในการพิจารณาร่างกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลของประเทศไทยที่อาจมีประเด็นต้องพิจารณาระดับการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอต่อ GDPR เพื่อประโยชน์ในการรับโอนข้อมูลส่วนบุคคลจากสหภาพยุโรป[7]ต่อไปในอนาคต  

 

1. Right to be forgotten จากแนวทางการตีความของ CJEU ในคดี Google Spain

 

1.1 มูลเหตุอันเป็นที่มาแห่งคดีโดยสังเขป

นาย Mario Costeja González นักธุรกิจและทนายความที่มีชื่อเสียงชาวสเปน ได้ยื่นข้อร้องเรียนสำนักพิมพ์ La Vanguardia Ediciones SL บริษัท Google Spain และบริษัท Google Inc.ต่อองค์กรคุ้มครองข้อมูลส่วนบุคคลของประเทศสเปน (Agencia Española de Protección de Datos: AEPD) ว่าได้กระทำการละเมิดสิทธิในข้อมูลส่วนบุคคลของตน โดยพบว่าเมื่อผู้ใช้บริการอินเตอร์เน็ตได้สืบค้นชื่อและนามสกุลของนาย González ใน website ของ Google แล้วจะพบ link ที่นำไปสู่ webpage ต่าง ที่ปรากฏข้อมูลส่วนบุคคลของตน โดยเฉพาะอย่างยิ่ง ข้อมูลเกี่ยวกับการขายทอดตลาดทรัพย์เพื่อนำมาชำระหนี้ที่นาย González เคยตกเป็นผู้ล้มละลายในอดีต โดยมีข้อเรียกร้องให้สำนักพิมพ์ดังกล่าวและ Google ลบ webpage และ link ที่เชื่อมผลการค้นหาจากชื่อของตนไปยัง webpage ตามลำดับ

AEPD ได้มีคำสั่งปฏิเสธข้อร้องเรียนในส่วนของสำนักพิมพ์ La Vanguardia Ediciones SL โดยยืนยันว่าการเผยแพร่ข้อมูลดังกล่าวบน website ของสำนักพิมพ์นั้นชอบด้วยกฎหมายเนื่องจากเป็นข้อมูลที่เผยแพร่อย่างเป็นทางการจากหน่วยงานของรัฐ แต่ AEPD ก็เห็นพ้องด้วยกับข้อร้องเรียนต่อ Google เมื่อพิจารณาแล้วเห็นว่าผู้ให้บริการ search engine มีหน้าที่ตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลที่จะต้องดำเนินการตามคำร้องเรียนของผู้ร้อง

อย่างไรก็ตาม Google ได้โต้แย้งคำสั่งทางปกครองไปยังศาลของประเทศสเปนว่าลักษณะการให้บริการสืบค้นข้อมูลทางอินเตอร์เนตของตนนั้นมิได้ตกอยู่ภายใต้นิยามคำว่าผู้ประมวลผลข้อมูล (data processer) และข้อพิพาทได้ถูกนำเสนอขึ้นสู่การพิจารณาของ CJEU โดยคำร้องขอของศาลประเทศสเปนให้ตีความบทบัญญัติของ Directive 95/46/EC ในเบื้องต้นก่อนว่ามีผลบังคับใช้ต่อผู้คัดค้าน คือ Google ในคดีนี้หรือไม่ ตามลำดับ

 

1.2 ประเด็นในส่วนเนื้อหาแห่งสิทธิ

CJEU วินิจฉัยวางแนวทางการคุ้มครอง right to be forgotten อย่างแคบ โดยจำกัดขอบเขตแต่เพียงสิทธิในการเรียกร้องให้ผู้ให้บริการ search engine (Google สำหรับคดีนี้) ลบ link ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลอันเป็นผลมาจากการสืบค้นผ่านชื่อและนามสกุลของเจ้าของข้อมูลส่วนบุคคล โดยไม่มีการวินิจฉัยวางหลักให้สิทธิในการเรียกร้องให้เจ้าของ webpage ซึ่งเป็นผู้ประมวลผลข้อมูลส่วนบุคคลในชั้นต้นเนื่องจากเป็นผู้เผยแพร่ข้อมูลบน webpage ของตนอันก่อให้เกิด link เชื่อมโยงมายังผลการค้นหาของ Google นั้นต้องดำเนินการลบข้อมูลส่วนบุคคลดังกล่าวแต่อย่างใด[8]

ผลโดยนัยของคำวินิจฉัยฉบับนี้จึงเป็นการจำกัดขอบเขตของ right to be forgotten ภายใต้ Directive 95/46/EC เพียง "สิทธิที่จะลบ link แสดงผลการสืบค้นทางอินเตอร์เน็ต (right to de-listing)" แทนที่จะเป็น "สิทธิที่จะถูกลืมจากโลกดิจิทัล (right to digital oblivion)" อย่างแท้จริง[9]

หลักการดังกล่าวนี้ได้ถูกยืนยันจากเอกสารกำหนดแนวทางทางดำเนินการตามคำพิพากษาโดยคณะทำงานตาม Article 29 แห่ง Directive (Article 29 of the Data Protection Working Party: AWP29) ซึ่งเป็นองค์กรที่ปรึกษาและกำกับดูแลความสอดคล้องในการบังคับใช้ Directive แก่องค์กรคุ้มครองข้อมูลส่วนบุคคลของทุกประเทศสมาชิก ว่าการบังคับข้อเรียกร้องของเจ้าของข้อมูลส่วนบุคคลตามสิทธิที่ได้รับการรับรองตามคำวินิจฉัยในคดี Google Spain นั้นไม่รวมถึงการลบข้อมูลส่วนบุคคลออกจาก webpage ต้นฉบับที่ปรากฏข้อมูลส่วนบุคคลนั้น ๆ ในการนี้ webpage ต้นฉบับดังกล่าวจะยังสามารถเข้าถึงได้ผ่านการสืบค้นโดยใช้ถ้อยคำอื่นที่ไม่ใช่ชื่อและชื่อสกุลของเจ้าของข้อมูลส่วนบุคคล หรือโดยการเข้าถึงโดยตรงผ่าน URL[10]

กรณีจึงเห็นได้ว่าผลของคำวินิจฉัยลดทอนประสิทธิภาพในการคุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคลที่ประสงค์จะให้มีการลบเลือนความเสียหายจากความมีอยู่ของข้อมูลส่วนบุคคลดังกล่าวออกจากโลกออนไลน์อย่างถาวร เพราะแม้ว่าในทางปฏิบัติแล้วการลบ link แสดงผลการค้นหาออกก็ยังผลให้เป็นเรื่องยากที่ผู้ใช้อินเตอร์เน็ตจะสามารถสืบค้นเพื่อเข้าถึงข้อมูลส่วนบุคคลดังกล่าวใน webpage ต้นฉบับ แต่หากผู้ใช้ดังกล่าวได้เคยสืบค้นและบันทึก URL ของ webpage ดังกล่าวเอาไว้ก่อนแล้ว หรือเจ้าของ webpage ต้นฉบับดำเนินการจัดพิมพ์เผยแพร่หน้า webpage เดิมซ้ำใน URL ใหม่อยู่เรื่อย ๆ ประวัติส่วนตัวอันเป็นความเสียหายของเจ้าของข้อมูลส่วนบุคคลจะไม่สามารถลบเลือนได้ตลอดไป

ภายใต้หลักการที่จำกัดอยู่ที่ right to de-listing นี้ CJEU กลับวางหลักเกณฑ์ที่ค่อนข้างกว้างขวางเพื่อเอื้อให้เจ้าของข้อมูลส่วนบุคคลสามารถใช้สิทธิในการลบ link แสดงผลการสืบค้นได้ง่ายขึ้น โดยได้วางหลักเกณฑ์กว้าง ๆ เกี่ยวกับลักษณะของข้อมูลส่วนบุคคลที่จะสามารถใช้สิทธิลบ link แสดงผลการสืบค้นได้นั้น เพียงแต่ "ไม่มีความสำคัญจำเป็น ไม่มีความเกี่ยวข้อง ไม่เกี่ยวข้องอีกต่อไป หรือเพียงแต่ไม่เป็นที่ปรารถนา" สำหรับเจ้าของข้อมูลส่วนบุคคล[11] ก็เป็นการเพียงพอ อีกทั้งเจ้าของข้อมูลส่วนบุคคลไม่มีภาระการพิสูจน์ในความเสียหาย และในการลบ link แสดงผลการสืบค้นนั้นไม่จำกัดอยู่แต่เพียงกรณีที่ webpage ต้นฉบับนั้นแสดงข้อมูลไม่ถูกต้อง ไม่สมบูรณ์ หรือไม่ชอบด้วยกฎหมายเท่านั้น[12]

นัยหนึ่งเท่ากับว่าแม้ข้อมูลดังกล่าวจะถูกต้องสมบูรณ์และชอบด้วยกฎหมายทุกประการ แต่หากเจ้าของข้อมูลส่วนบุคคลนั้นไม่ประสงค์ในความคงอยู่ของข้อมูลในโลกออนไลน์แล้ว ก็สามารถเรียกร้องต่อผู้ให้บริการ search engine ให้ดำเนินการลบผลการค้นหาได้เสมอโดยไม่ต้องนำสืบพิสูจน์ความเสียหาย (ซึ่งในประเด็นนี้จะเห็นได้ว่ามีความแตกต่างจากการใช้สิทธิตามกฎหมายแพ่งลักษณะละเมิดหรือกฎหมายอาญาฐานหมิ่นประมาท) แต่ไม่สามารถขอให้เจ้าของ webpage ต้นฉบับลบข้อมูลดังกล่าวได้  ทั้งนี้ CJEU ด้พยายามปรับใช้ Directive 95/46/EC Article 12(b) ว่าด้วยสิทธิในการเข้าถึงข้อมูลส่วนบุคคลเกี่ยวกับตน และดำเนินการแก้ไข ลบ หรือ ป้องกันการเข้าถึง ซึ่งข้อมูลส่วนบุคคลที่ไม่เป็นไปตาม Directive นี้[13] กับผู้ให้บริการ search engine แม้โดยเนื้อแท้แล้วสิทธิดังกล่าวควรจะใช้ยันกับเจ้าของ webpage ซึ่งเป็นผู้ประมวลผลข้อมูลชั้นต้น และแม้ว่าผลของคำวินิจฉัยค่อนข้างเอื้อประโยชน์ต่อเจ้าของข้อมูลส่วนบุคคลให้สามารถบังคับใช้สิทธิได้ค่อนข้างกว้างขวาง

อย่างไรก็ตาม CJEU มิได้วางแนวทางกำหนดหลักเกณฑ์ในการพิจารณาคำร้องขอให้ลบผลการสืบค้นที่ชัดแจ้งไว้ ดังปรากฏในคำวินิจฉัยฉบับนี้ว่าข้อเท็จจริงเกี่ยวกับระยะเวลาที่เนิ่นนานผ่านไปกว่า 16 ปี ความทุกข์ทรมานใจที่ได้รับจากความคงอยู่ของข้อมูลดังกล่าวในโลกออนไลน์ ตลอดจนข้อเท็จจริงเกี่ยวกับสถานะทางการเงินที่เปลี่ยนไปของนาย González ในปัจจุบันที่ไม่มีปัญหาสภาพคล่องอีกแล้ว นั้น ไม่ได้ถูกหยิบยกขึ้นมาเป็นข้อพิจารณาในการอนุญาตให้มีการลบผลการสืบค้นในคดีแต่อย่างใด[14]

โดยผลของคำวินิจฉัยฉบับนี้ก่อให้เกิดมาตรการเยียวยาชั้นต้นอย่างไม่เป็นทางการโดยผู้ให้บริการ search engine ที่ได้รับมอบอำนาจโดยพฤตินัยให้ทำการพิจารณาลักษณะของข้อมูลส่วนบุคคลว่าสามารถดำเนินการลบ link แสดงผลการสืบค้นตามคำร้องขอของเจ้าของข้อมูลส่วนบุคคลได้หรือไม่ เป็นรายกรณี[15] ซึ่งมีดุลพินิจที่ค่อนข้างกว้างขวาง ชั้นต่อมาจึงเป็นขั้นตอนของการยื่นข้อร้องเรียนโต้แย้งดุลพินิจของผู้ให้บริการ search engine ในกรณีที่ตอบปฏิเสธคำร้องขอของเจ้าของข้อมูลส่วนบุคคล ไปยังองค์กรคุ้มครองข้อมูลส่วนบุคคลหรือศาลของแต่ละประเทศเพื่อทบทวนดุลพินิจและบังคับการให้เป็นไปตามสิทธิของเจ้าของข้อมูลส่วนบุคคล[16] ในเบื้องต้นแม้จะดูเหมือนว่าแนวทางที่ CJEU วางไว้จะเป็นการอำนวยความสะดวกและประหยัดค่าใช้จ่ายในการเรียกร้องสิทธิโดยตรงไปยังผู้ให้บริการ search engineทนที่จะเริ่มต้นกระบวนการไปยังองค์กรคุ้มครองข้อมูลส่วนบุคคลหรือศาล โดยมีหลักฐานสนับสนุนจากผู้ตอบแบบสอบถามชาวสหราชอาณาจักรในปี ค.ศ. 2014 ว่ามีเพียงร้อยละ 1 ของผู้ตอบแบบสอบถามเท่านั้นที่มีความรู้เกี่ยวกับองค์กรคุ้มครองข้อมูลส่วนบุคคลของสหราชอาณาจักร (Information Commissioner's Office: ICO) ในขณะที่ Google นั้นเป็นที่รู้จักแพร่หลายและเป็นเจ้าตลาดการให้บริการ search engine ในประเทศสมาชิก EU โดยครองส่วนแบ่งการตลาดกว่าร้อยละ 90[17]

สำหรับ Google นั้น เพื่อปฏิบัติตามคำวินิจฉัยในคดี Google Spain นี้ Google ได้ดำเนินการจัดตั้งweb platform เพื่อรับพิจารณาคำร้องขอจำนวนมากจากผู้ร้องที่อยู่ในสหภาพยุโรปเป็นการเฉพาะ  

อย่างไรก็ตาม จากรายงานผลการดำเนินงานเพื่อความโปร่งใสของ Google ข้อมูล ณ เดือนเมษายน ค.ศ. 2018 นั้นชี้ให้เห็นว่า จำนวน URL ที่ Google ใช้ดุลพินิจลบตามคำร้องขอของเจ้าของข้อมูลส่วนบุคคลมีจำนวนน้อยกว่าจำนวน URL ที่ได้รับการปฏิเสธไม่ดำเนินการลบ กล่าวคือ จากจำนวน 665,612 คำร้องขอที่ Google ได้รับคิดเป็นจำนวน 2,470,351 URLs นั้น Google ใช้ดุลพินิจลบ link แสดงผลการค้นหาเพียงร้อยละ 43 ของจำนวน URL ขณะที่ปฏิเสธคำร้องขอถึงร้อยละ 56.2 จากจำนวน URL ทั้งหมด[18]

ดังนั้น จึงอาจสรุปผลในด้านของประสิทธิภาพในการคุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคลในภาพรวมได้ว่า ในขณะที่ผู้ร้องส่วนน้อยสามารถเร่งรัดการใช้สิทธิลบผลการสืบค้นประวัติส่วนตัวของตนให้สำเร็จผ่านการร้องขอโดยตรงไปยังผู้ให้บริการ search engine นั้น อีกกว่าครึ่งหนึ่งของผู้ยื่นคำร้อง ที่สุดแล้วจะต้องกลับเข้าสู่การดำเนินการในชั้นองค์กรคุ้มครองข้อมูลส่วนบุคคลหรือศาล จึงนับได้ว่าขั้นตอนการยื่นคำร้องโดยตรงไปยังผู้ให้บริการ search engine อาจเป็นความล่าช้าที่เกิดขึ้นโดยไม่จำเป็น (undue delay) สำหรับผู้ร้องกลุ่มหลัง

 

1.3 ประเด็นในส่วนของผู้มีหน้าที่

CJEU ปรับใช้ Article 2(b) ของ Directive 95/46/EC โดยตีความอย่างกว้างให้กิจกรรมการให้บริการของผู้ให้บริการ search engine ต้องด้วยการกระทำของผู้ประมวลผลข้อมูล (data controller)  ดังนั้น search engine มีหน้าที่ต้องปฏิบัติตาม Directive ในฐานะดังกล่าว[19] โดย CJEU ได้ให้เหตุผลว่า กิจกรรมของผู้ให้บริการ search engine อันประกอบด้วย การจัดพื้นที่แสดงผล (Locating) การจัดลำดับการแสดงผล (Indexing) และกระทำให้ข้อมูลบนหน้า webpage ต้นฉบับอยู่ในสถานะที่สามารถสืบค้นได้ (making available to a searcher) นั้นต้องด้วยลักษณะของการประมวลผลข้อมูล แม้ว่าโดยเนื้อแท้แล้วการละเมิดสิทธิของเจ้าของข้อมูลส่วนบุคคลในชั้นต้นนั้นเกิดขึ้นจากการประมวลผลข้อมูลโดยแสดงข้อมูลส่วนบุคคลดังกล่าวบนหน้า webpage ต้นฉบับของบุคคลที่สามก็ตาม[20]

CJEU ได้เน้นย้ำว่ากิจกรรมของผู้ให้บริการ search engine ช่วยให้ผู้ใช้งานอินเตอร์เน็ตสามารถเข้าถึงข้อมูลส่วนบุคคลที่ปรากฏอยู่บน webpage ต้นฉบับได้อย่างง่ายดายขึ้นเพียงแค่ค้นหาโดยใช้ชื่อและนามสกุลของเจ้าของข้อมูลส่วนบุคคล มิเช่นนั้นแล้วย่อมจะเข้าถึงยากลำบากหากจะต้องเข้าถึงผ่าน URL ของ webpage นั้น โดยตรง[21]  ดังนั้น การตีความอย่างกว้างดังกล่าวนี้จึงเป็นการดำเนินการเพื่อให้เกิดความมั่นใจซึ่งประสิทธิภาพและความครบถ้วนสมบูรณ์ในมาตรการคุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคล มิเช่นนั้นแล้ว มาตรการคุ้มครองสิทธิดังกล่าวย่อมแทบไม่มีความหมาย[22]

อย่างไรก็ตามในประเด็นนี้ยังมีข้อควรพิจารณาอยู่เช่นกันว่า ในความเป็นจริงแล้วผู้ให้บริการ search engine ที่กิจกรรมของผู้ให้บริการต้องด้วยลักษณะการกระทำของผู้ประมวลผลข้อมูลตาม Directive นั้นมิใช่มีแต่เพียง Google เท่านั้น แต่รวมถึงผู้ให้บริการรายอื่น ๆ เช่น Bing Yahoo หรือ Baidu ด้วย กรณีจึงอาจเกิดปัญหาในทางปฏิบัติขึ้นได้ว่าแม้ในกรณีที่ Google เห็นพ้องด้วยกับคำร้องขอให้ลบ link แสดงผลการสืบค้น แต่หากเจ้าของข้อมูลส่วนบุคคลมิได้ยื่นคำร้องขอไปยังผู้ให้บริการรายอื่นด้วย หรือได้ยื่นคำร้องขอแต่ผู้ให้บริการรายอื่นนั้นใช้ดุลพินิจที่แตกต่างออกไปพร้อมทั้งปฏิเสธคำร้องขอนั้น ผู้ใช้บริการอินเตอร์เน็ตย่อมสามารถสืบค้นประวัติข้อมูลส่วนบุคคลผ่านชื่อและนามสกุลของเจ้าของข้อมูลส่วนบุคคลได้ดุจเดิม เพียงแต่ย้ายการสืบค้นไปดำเนินการกับผู้ให้บริการรายอื่น ๆ

คำวินิจฉัยในคดี Google Spain นั้น นอกจากจะมิได้วางหลักเกณฑ์โดยตั้งอยู่บนพื้นฐานของ right to digital oblivion ซึ่งโดยผลลัพธ์จากการลบข้อมูลส่วนบุคคลบน webpage ต้นฉบับย่อมสามารถทำให้ผลการสืบค้นบนทุกผู้ให้บริการ search engine เลือนหายไปโดยอัตโนมัติเมื่อไม่มีข้อมูลต้นฉบับคงเหลือให้ค้นหา กลับกัน คำวินิจฉัยฉบับนี้กลับมิได้มีการวางกลไกใด ๆ เพื่อที่จะช่วยให้การบังคับใช้ right to de-listing มีความรวดเร็วและครอบคลุมทุกผู้ให้บริการ search engine ภายใต้การยื่นคำร้องขอเพียงฉบับเดียว[23]  ดังนั้น เมื่อสรุปเป็นขั้นตอนในภาพรวมสำหรับการบังคับใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลให้เป็นไปอย่างครบถ้วนแล้ว จะประกอบด้วยการยื่นคำร้องแต่ละคำร้องไปยังผู้ให้บริการ search engine แต่ละราย รอผลการพิจารณาจากแต่ละผู้ให้บริการ ตลอดจนการยื่นข้อร้องเรียนเพื่อทบทวนดุลพินิจของผู้ให้บริการรายที่ปฏิเสธคำร้องขอไปยังองค์กรคุ้มครองข้อมูลส่วนบุคคลหรือศาล ซึ่งจะเห็นได้ว่าขั้นตอนกระบวนการทั้งหมดค่อนข้างซับซ้อนและล่าช้าในทางปฏิบัติ

 

1.4 ประเด็นในส่วนหลักเกณฑ์เกี่ยวกับข้อยกเว้นการใช้สิทธิ

แม้ว่า right to be forgotten เป็นส่วนหนึ่งของ right to protection of personal data ซึ่งถือเป็นสิทธิขั้นพื้นฐานของประชาชนชาวสหภาพยุโรป แต่สิทธิดังกล่าวมิใช่สิทธิเด็ดขาด หากต้องมีการชั่งน้ำหนักกับสิทธิหรือประโยชน์สาธารณะที่อาจขัดหรือแย้งกันของบุคคลอื่นที่มีคุณค่าไม่ยิ่งหย่อนไปกว่ากัน เช่น สิทธิในเสรีภาพในการแสดงความคิดเห็นและการเข้าถึงข้อมูล (right to freedom of expression and information) หรือสิทธิประโยชน์ทางเศรษฐกิจ (economic interest) อันชอบด้วยกฎหมาย

ในบางกรณีที่เมื่อชั่งน้ำหนักตามความจำเป็นและความพอสมควรแก่เหตุแล้ว สิทธิหรือประโยชน์ดังกล่าวนั้นได้รับการคุ้มครองเหนือกว่า right to be forgotten ย่อมถือได้ว่าในกรณีนั้นเป็นข้อยกเว้นที่เจ้าของข้อมูลส่วนบุคคลไม่อาจบังคับใช้สิทธิของตนได้

อย่างไรก็ตาม CJEU มิได้กำหนดแนวทางที่ชัดเจนในการชั่งน้ำหนักสิทธิ เสรีภาพและประโยชน์ต่าง ๆ ที่ขัดแย้งกันเหล่านี้[24] โดยเพียงแต่เน้นย้ำว่าไม่มีสิทธิ เสรีภาพ หรือประโยชน์ใดที่มีลำดับชั้นสูงกว่าในทุกกรณี แต่ต้องพิเคราะห์ชั่งน้ำหนักเป็นรายกรณีตามแต่ข้อเท็จจริง ธรรมชาติและลักษณะของข้อมูลส่วนบุคคลนั้น ๆ[25]

กระนั้นก็ตาม คำวินิจฉัยในคดี Google Spain ได้วางแนวทางเบื้องต้นสำหรับการชั่งน้ำหนักระหว่าง right to be forgotten กับสิทธิประโยชน์ทางเศรษฐกิจของผู้ให้บริการ search engine ว่าโดยทั่วไปแล้วย่อมถือว่าสิทธิของเจ้าของข้อมูลส่วนบุคคลย่อมได้รับความคุ้มครองเหนือกว่าประโยชน์ทางเศรษฐกิจของผู้ให้บริการ search engine  แต่สำหรับกรณีของสิทธิและประโยชน์อื่น ๆ นั้น CJEU มิได้วางแนวทางอื่นใดไว้ว่าจะประกอบด้วยสิทธิหรือประโยชน์ประเภทใดบ้างที่อาจถูกหยิบยกขึ้นมาเป็นข้อยกเว้นได้ นอกเหนือจากหลักเกณฑ์ข้อยกเว้นกรณีหนึ่งว่าหากเป็นกรณีที่เจ้าของข้อมูลส่วนบุคคลเป็น "บุคคลสาธารณะ" (public figure) ประโยชน์สาธารณะเกี่ยวด้วยสิทธิในเสรีภาพในการแสดงความคิดเห็นและการเข้าถึงข้อมูลจะได้รับความคุ้มครองเหนือกว่าสิทธิของเจ้าของข้อมูลส่วนบุคคลนั้น[26] กระนั้น คำวินิจฉัยคดี Google Spain มิได้มีการกำหนดนิยามหรือแนวทางพิจารณาที่ชัดเจนอีกเช่นกันว่ากรณีใดบ้างที่บุคคลหนึ่ง ๆ จะอยู่ในฐานะบุคคลสาธารณะ

ในส่วนของคณะทำงาน AWP29 นั้นได้พยายามที่จะพัฒนาหลักเกณฑ์ทั่วไปเพื่อให้องค์กรคุ้มครองข้อมูลส่วนบุคคลของประเทศต่าง ๆ ใช้ในการพิจารณาทบทวนดุลพินิจของผู้ให้บริการ search engine ซึ่งรวมตลอดจนถึงขอบเขตของคำว่า "บุคคลสาธารณะ" โดยเทียบเคียงจากคำวินิจฉัยคดีของศาลสิทธิมนุษยชนยุโรป (European Court of Human Rights: ECtHR) แต่อย่างไรก็ตามหลักเกณฑ์ดังกล่าวมิได้มีสภาพบังคับใช้กับผู้ให้บริการ search engine เพื่อให้เป็นมาตรฐานเดียวกันแต่อย่างใด เพราะคณะทำงาน AWP29 เพียงแต่แนะนำให้แต่ละผู้ให้บริการ search engine ประกาศเผยแพร่หลักเกณฑ์ในการพิจารณาและสถิติการดำเนินการตามคำร้องขอของตนเองเพื่อความโปร่งใสเท่านั้น[27]

ในส่วนของ Google เองนั้น ได้ดำเนินการเผยแพร่หลักเกณฑ์ในการพิจารณาว่า "เพื่อให้เกิดความสมดุลระหว่างสิทธิในความเป็นส่วนตัว (privacy right) ของบุคคล กับประโยชน์สาธารณะ (public interest) ในการเข้าถึงและการเผยแพร่ข้อมูลข่าวสาร Google อาจปฏิเสธคำร้องขอให้ลบผลการค้นหาที่เกี่ยวข้องกับการกระทำมิชอบทางการเงิน (financial scam) ความประพฤติผิดต่อวิชาชีพ (professional malpractice) คำพิพากษาในความรับผิดทางอาญา (criminal conviction) หรือการกระทำความผิดต่อตำแหน่งหน้าที่ทางราชการ (public conduct of government official) เป็นต้น[28]

ดังนั้น เมื่อพิจารณาหลักเกณฑ์ที่แตกต่างหลากหลายขององค์กรภาครัฐกับผู้ให้บริการแต่ละราย ประกอบกับสถิติการลบ link แสดงผลการค้นหาตามคำร้องขอที่ google เผยแพร่ ที่ค่อนข้างต่ำกว่าการคาดหมาย ประกอบกับข้อเท็จจริงที่ว่าผู้ให้บริการ search engine เองนั้นมีผลประโยชน์ทางเศรษฐกิจเกี่ยวข้องกับความมีอยู่ของข้อมูลส่วนบุคคลต่าง ๆ เช่น ค่าโฆษณาจากผู้สนับสนุน จึงก่อให้เกิดข้อวิพากษ์วิจารณ์ถึงความเหมาะสมในการมอบอำนาจในการรับคำร้องขอและพิจารณาลบ link แสดงผลการค้นหาในชั้นต้นแก่ผู้ให้บริการ search engine ทนที่จะเป็นองค์กรคุ้มครองข้อมูลส่วนบุคคลซึ่งน่าจะมีความเป็นกลางและความเป็นอิสระสำหรับการพัฒนาและบังคับใช้ right to be forgotten ที่เป็นมาตรฐานเดียวกันภายใต้กฎหมายของสหภาพยุโรป[29]

 

1.5 ประเด็นเกี่ยวกับสภาพบังคับเหนือดินแดน (territorial scope) กับโลกออนไลน์

จากข้อเท็จจริงซึ่ง Google โต้แย้งว่า Google Spain นั้นเป็นแต่เพียงสาขาหนึ่งของ Google Inc. ในสหภาพยุโรปเพื่อทำหน้าที่เป็นตัวแทนทางธุรกิจสำหรับการโฆษณา แต่มิได้เป็นผู้ดำเนินการทางเทคนิคในส่วนของการสืบค้นข้อมูล (หรืออีกนัยหนึ่งคือไม่ได้เป็นที่ตั้งของระบบ server) ทาง website ของ google ที่ในทางปฏิบัติที่จะดำเนินการโดย Google Inc. ในประเทศสหรัฐอเมริกา ดังนั้น การประมวลผลข้อมูลจึงมิได้ดำเนินการในสหภาพยุโรปและไม่ตกอยู่ภายใต้บังคับของ Directive 95/46/EC เป็นเหตุให้ CJEU ต้องใช้หลักการตีความอย่างกว้างเพื่อประโยชน์ในการปรับใช้ Directive 95/46/EC โดยอาศัยหลักการตีความที่เรียกว่าเป็นการกระทำในเชิงบริบทของสาขาหรือตัวแทนที่ตั้งอยู่ในสหภาพยุโรป (context of the activities of establishment) ของ Google Inc. กล่าวคือ แม้ว่า Google Spain ในฐานะตัวแทนทางธุรกิจจะมิใช่ผู้ประมวลผลข้อมูล แต่ Google Inc. ซึ่งเป็นผู้ประมวลผลข้อมูลส่วนบุคคลตัวจริงนั้นท้ายที่สุดแล้วย่อมได้รับประโยชน์ที่ไม่อาจแบ่งแยกได้ (inextricably linked) อันเป็นผลมาจากการประมวลผลนั้นจาก Google Spain  ดังนั้น การกระทำของ Google Inc. จึงย่อมตกอยู่ภายใต้บังคับของ Directive 95/46/EC ด้วย[30]

คำวินิจฉัยในประเด็นนี้จึงเป็นการวางแนวทางให้สามารถปรับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลกับผู้ประมวลผลข้อมูลตัวจริงซึ่งอาจเป็นบริษัทข้ามชาติที่มีเพียงแต่สำนักงานหรือสาขาในพื้นที่เพื่อติดต่อทางธุรกิจให้ตกอยู่ใต้บังคับของกฎหมายเพื่อประโยชน์ในการคุ้มครองสิทธิขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคลที่ถูกประมวลผล มิให้เกิดช่องโหว่ในการบังคับใช้สิทธิเพียงเพราะเหตุตำแหน่งที่ตั้งของระบบ server ของบริษัทเหล่านั้น

อย่างไรก็ตาม สภาพปัญหาจากการที่ right to be forgotten ป็นสิทธิใหม่ที่เพิ่งได้รับการรับรองว่าเป็นส่วนหนึ่งของ right to protection of personal data โดยผลของคำวินิจฉัยในสหภาพยุโรปเท่านั้น ยังมิได้มีแนวทางปฏิบัติที่รับรองและยอมรับกันอย่างเป็นมาตรฐานสากลทั่วโลก ในทางปฏิบัติจึงยังเกิดสภาพปัญหาในการบังคับใช้ในโลกออนไลน์อยู่ ตัวอย่างเช่น ในกรณีของ Google นั้น ได้ยืนยันที่จะจำกัดขอบเขตในการลบ link แสดงผลการค้นหาเฉพาะการค้นหาสำหรับผลิตภัณฑ์ของ Google ภายใต้ EU domain name เช่น Google.uk Google.fr Google.sp หรือ Google.de เท่านั้น โดยปฏิเสธที่จะดำเนินการลบผลการค้นหาในลักษณะทั่วทั้งโลกออนไลน์ (global de-listing) รวมไปถึง Google.com หรือ Google.ca เป็นต้น  ทั้งนี้ Google โต้แย้งว่าสำหรับ domain name อื่น ๆ นอกเหนือจาก EU domain name นั้น ได้จัดตั้งเพื่อดำเนินการนอกเขตพื้นที่ของสหภาพยุโรป จึงไม่ตกอยู่ภายใต้ผลจากคำวินิจฉัยในคดี Google Spain ประกอบกับเห็นว่ากฎหมายของสหภาพยุโรปนั้นไม่สามารถละเมิดสิทธิในการเข้าถึงข้อมูลของประชาชนภายนอกสหภาพยุโรปซึ่งมีสิทธิเข้าถึงข้อมูลต่าง ๆ นั้นได้โดยไม่เป็นการต้องห้าม[31] 

แม้ว่าคณะทำงาน AWP29 จะได้โต้แย้งว่าการลบ link แสดงผลการค้นหาจะต้องบังคับไปในทางที่คุ้มครองสิทธิขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคลได้อย่างมีประสิทธิภาพโดยไม่เปิดช่องว่างที่ง่ายต่อการหลีกเลี่ยง การจำกัดนโยบายที่จะลบเฉพาะ link แสดงผลการค้นหาภายใน EU domain name ภายใต้ข้อสันนิษฐานที่ว่าผู้ใช้อินเตอร์เน็ตจะค้นหาเฉพาะจากใน domain name ในชาติของตนนั้นไม่ถือว่าเป็นการเพียงพอ กล่าวโดยเฉพาะคือการลบ link แสดงผลการค้นหาที่มีประสิทธิภาพจะต้องเป็นการลบในทุก ๆ domain name ที่เกี่ยวข้องของผู้ให้บริการ search engine นั้น เช่น รวมไปถึง .com ด้วย[32]

แนวทางการตีความและบังคับใช้กฎหมายที่ยังคงแตกต่างกันนี้ส่งผลถึงประสิทธิภาพในการบังคับใช้สิทธิ ยกตัวอย่างเช่น หากผู้ใช้อินเตอร์เน็ตชาวฝรั่งเศสผู้หนึ่งไม่สามารถสืบค้นประวัติส่วนตัวจากชื่อและนามสกุลของเจ้าของข้อมูลส่วนบุคคลที่ได้รับการร้องขอให้ลบใน Google.fr ไปแล้ว บุคคลดังกล่าวยังคงสามารถสืบค้นเพื่อให้ได้รับผลลัพธ์เช่นเดิมได้อย่างง่ายดายเพียงเปลี่ยนไปใช้บริการ Google.com เป็นต้น[33]  

ทั้งนี้ องค์กรคุ้มครองข้อมูลส่วนบุคคลฝรั่งเศสได้มีการออกคำสั่งปรับทางปกครองต่อ Google เป็นจำนวน 10,000 ยูโร ฐานที่ไม่ปฏิบัติตามคำสั่งที่ให้ทำการลบ link แสดงผลการค้นหาครอบคลุมไปถึง Google.com ด้วย โดยขณะนี้คำสั่งดังกล่าวอยู่ระหว่างคุ้มครองชั่วคราวเนื่องจาก Google ได้ยื่นอุทธรณ์คำสั่งไปยังศาลภายในของฝรั่งเศสและได้มีการส่งเรื่องต่อไปพิจารณายัง CJEU เพื่อพิจารณากำหนดแนวทาง[34] โดย Google ได้อ้างว่าการฝ่าฝืนคำสั่งดังกล่าวเป็นไปเพื่อปกป้องหลักการที่ว่า "แต่ละประเทศสมควรที่จะสามารถชั่งน้ำหนักระหว่างเสรีภาพในการแสดงความคิดเห็น (freedom of expression) กับความเป็นส่วนตัว (privacy) ได้ตามแนวทางที่ตนกำหนดเลือก"[35] โดยเป็นที่คาดการณ์กันว่าคดีดังกล่าวนี้จะยังไม่ได้รับการวินิจฉัยเพื่อวางแนวทางให้เป็นข้อยุติก่อนปี ค.ศ. 2019[36]

 

1.6 ประเด็นเกี่ยวกับมาตรการบังคับให้เป็นไปตามสิทธิ

จากหลักการตามคำวินิจฉัยคดี Google Spain ที่ได้กล่าวไปตามข้อ 1.1 ถึง 1.5 แม้โดยหลักการแล้วเจ้าของข้อมูลส่วนบุคคล สามารถยื่นข้อร้องเรียนให้ทบทวนการปฏิเสธของผู้ให้บริการ search engine ไปยังองค์กรคุ้มครองข้อมูลส่วนบุคคลหรือศาลของประเทศสมาชิกสหภาพยุโรปได้ และหากองค์กรดังกล่าวเห็นพ้องด้วยกับเหตุผลก็จะได้ดำเนินการบังคับการให้เป็นไปตามสิทธิของผู้ยื่นข้อร้องเรียนต่อไป

อย่างไรก็ตาม ในทางปฏิบัตินั้นแม้แต่ในขั้นตอนนี้ก็ยังประสบปัญหาเกี่ยวกับมาตรการกำกับดูแล และการบังคับการตามกฎหมายภายในของแต่ละประเทศสมาชิกสหภาพยุโรปที่มิได้มีสภาพบังคับในมาตรฐานที่สอดคล้องกันอย่างแท้จริง เนื่องจาก Directive 95/46/EC นั้นมิได้มีผลใช้บังคับแก่ประเทศสหภาพยุโรปโดยอัตโนมัติ หากแต่ประเทศสมาชิกมีภาระผูกพันที่จะต้องดำเนินการออกกฎหมายภายในให้เป็นไปตามหลักการของ Directive ดังกล่าวเสียก่อน[37] แต่ละประเทศจึงมีการออกกฎหมายภายในว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลของตนเอง และองค์กรคุ้มครองข้อมูลส่วนบุคคลของแต่ละประเทศโดยมากก็เป็นองค์กรของรัฐที่มีอำนาจหน้าที่ตามที่กำหนดอยู่ในกฎหมายภายในฉบับนั้น ๆ ซึ่งในทางปฏิบัติแล้วพบว่ายังคงมีการบัญญัติอำนาจหน้าที่ไว้แตกต่างกันอยู่[38]

สภาพปัญหาเกี่ยวกับมาตรการบังคับที่แตกต่างกันในแต่ละประเทศย่อมก่อให้เกิดปัญหาการบังคับใช้กฎหมายเนื่องจากการประกอบธุรกิจของบริษัทเกี่ยวกับข้อมูลส่วนบุคคลในโลกออนไลน์นั้นมีลักษณะข้ามชาติแม้อาจจะก่อตั้งบริษัทหรือสาขาของบริษัทเพียงในชาติใดชาติหนึ่งในประเทศสมาชิกสหภาพยุโรป โดยแนวทางการตีความของ CJEU ตาม Directive 95/46/EC Article 28(6) ประกอบ Article 4(1)(a) ในอดีตหลาย ๆ คดีนั้นค่อนข้างเคร่งครัดว่ากฎหมายที่ใช้บังคับกับคดีได้แก่กฎหมายของประเทศสมาชิกที่มีการดำเนินการประมวลผลข้อมูลและผู้ประมวลผลข้อมูลมีสถานที่ตั้งอยู่[39] แนวทางการตีความดังกล่าวก่อให้เกิดปัญหาเกี่ยวกับความไม่สะดวกสบาย ค่าใช้จ่าย และความล่าช้าต่อเจ้าของข้อมูลส่วนบุคคลในหลาย ๆ คดีที่สถานที่ตั้งของผู้ประมวลผลข้อมูลเป็นคนละประเทศหรืออยู่ห่างไกลโดยระยะทางกับภูมิลำเนาของเจ้าของข้อมูลส่วนบุคคล เพราะในทางปฏิบัติแล้วช่องโหว่จากมาตรการตามกฎหมายภายในที่แตกต่างกันนั้นได้ถูกบริษัทเกี่ยวกับข้อมูลส่วนบุคคลในโลกออนไลน์ใช้ในการเลือกสถานที่ตั้งบริษัทหรือสาขาของบริษัท (forum shopping) เพื่อดำเนินกิจการในสหภาพยุโรป

ยกตัวอย่างเช่นกรณีของประเทศไอร์แลนด์ที่ตามกฎหมายภายในนั้นองค์กรคุ้มครองข้อมูลส่วนบุคคลของประเทศไอร์แลนด์ไม่มีอำนาจออกคำสั่งปรับทางปกครองแก่ผู้กระทำการฝ่าฝืนกฎหมายหรือคำสั่งแต่อย่างใด[40] จึงไม่เป็นที่น่าแปลกใจว่าบริษัทจำนวนมาก เช่น Google Facebook LinkedIn และ Twitter เลือกที่จะใช้ไอร์แลนด์เป็นสถานที่ตั้งสำนักงานใหญ่ของบริษัทหรือสำนักงานสาขาหลักในสหภาพยุโรปเพื่อหลีกเลี่ยงสภาพบังคับเกี่ยวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล[41]

ตัวอย่างคดีที่โด่งดังคดีหนึ่งซึ่งปรากฏความยุ่งยากลำบากแก่เจ้าของข้อมูลส่วนบุคคล เช่น คดีของนาย Schrems[42]โจทก์ซึ่งเป็นประชาชนชาวออสเตรียแต่ต้องดำเนินการยื่นข้อร้องเรียนคัดค้านการที่บริษัท Facebook EU ที่มีสำนักงานใหญ่อยู่ในประเทศไอร์แลนด์ ได้โอนข้อมูลส่วนบุคคลของประชาชนในสหภาพยุโรปไปประมวลผลในประเทศสหรัฐอเมริกาที่ในขณะนั้นมีข้อวิพากษ์วิจารณ์เกี่ยวกับการจารกรรมข้อมูลในโครงการ Prism ที่รัฐบาลสหรัฐอเมริการ่วมมือกับบริษัทหลายรายกระทำต่อบัญชีของสมาชิก

คดีดังกล่าวนี้โจทก์ประสบความยุ่งยากในการดำเนินคดีข้ามประเทศทั้งต่อองค์กรคุ้มครองข้อมูลส่วนบุคคลไอร์แลนด์ที่ปฏิเสธที่จะบังคับการตามข้อร้องเรียน ศาลภายในของประเทศไอร์แลนด์ ตลอดจน CJEU ที่มีการส่งประเด็นมาเพื่อวินิจฉัยเบื้องต้น สภาพปัญหาดังกล่าวนี้ย่อมสามารถเกิดขึ้นได้กับกรณีของบริษัทผู้ให้บริการ seacrh engine เช่นเดียวกัน

กรณีปัญหาดังกล่าวอาจทวีความยุ่งยากมากยิ่งขึ้นหากเป็นกรณีที่บริษัทผู้ให้บริการ search engine เป็นบริษัทนอกสัญชาติ EU และไม่มีการจัดตั้งสำนักงานใหญ่ หรือสำนักงานสาขาใดๆ ในประเทศสมาชิกสหภาพยุโรป เนื่องจากว่ามาตรการบังคับตามกฎหมายของสหภาพยุโรปไม่ว่าจะเป็นคำสั่งทางปกครองหรือคำพิพากษาของศาลอาจไม่ได้รับการยอมรับและบังคับการให้โดยองค์กรของประเทศนอกสหภาพยุโรปที่อาจมีนิตินโยบายแตกต่างกัน แม้ว่าผลของคำวินิจฉัยคดี Google Spain จะมีอิทธิพลในทางบวกต่อการบังคับใช้สิทธิดังกล่าวในประเทศนอกสหภาพยุโรปในหลายกรณี เช่น ในเดือนตุลาคม ค.ศ. 2014 ศาลของประเทศญี่ปุ่นได้พิพากษาให้ Google ลบ link แสดงผลการค้นหาจากชื่อและนามสกุลซึ่งเกี่ยวกับคดีอาญาของโจทก์ โดยเป็นการวางหลักกฎหมายที่พัฒนาผ่านคำพิพากษาโดยคำนึงถึงการตีความในคดี Google Spain แม้ว่าขณะนั้นประเทศญี่ปุ่นจะยังมิได้มีกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลเป็นการเฉพาะ[43] ในรัสเซียได้มีการตรากฎหมายรับรองหลักการทำนองเดียวกับ right to de-listing ของสหภาพยุโรป และมีผลบังคับใช้มาตั้งแต่ปี ค.ศ. 2016[44]  

อย่างไรก็ตาม สำหรับในบางประเทศนั้นการบังคับการตามสิทธิดังกล่าวยังเป็นเครื่องหมายคำถาม โดยเฉพาะอย่างยิ่ง ประเทศสหรัฐอเมริกาซึ่งเป็นประเทศเจ้าของเทคโนโลยีนั้นมิได้มีการบัญญัติรับรองสิทธิในการคุ้มครองข้อมูลส่วนบุคคลไว้เป็นสิทธิตามรัฐธรรมนูญ ไม่มีกฎหมายคุ้มครองข้อมูลส่วนบุคคลเป็นการเฉพาะ แต่ในทางกลับกันในส่วนของเสรีภาพในการแสดงความคิดเห็นนั้นได้รับการปกป้องอย่างแข็งขันในฐานะสิทธิประการแรกที่ระบุอยู่ในรัฐธรรมนูญฉบับแก้ไขเพิ่มเติม Bill of rights ครั้งที่ 1 (the first amendment) ของสหรัฐอเมริกาและอาจให้ความคุ้มครองไปถึงผู้ให้บริการ search engine ในฐานะของสื่อด้วย แนวความคิดในการรับรองและบังคับ right to be forgotten จึงได้รับการวิพากษ์วิจารณ์จากนักนิติศาสตร์ส่วนใหญ่ของสหรัฐอเมริกาในขณะนี้ว่าอาจเป็นการขัดต่อรัฐธรรมนูญ[45]

ในระยะยาวเพื่อหลีกเลี่ยงมาตรการบังคับที่แตกต่างกันในแต่ละประเทศ จึงยังมีความจำเป็นต้องสร้างความร่วมมือระหว่างประเทศเกี่ยวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล ความรู้ความเข้าใจในสิทธิหน้าที่ ตลอดจนระบบเทคโนโลยีที่เกี่ยวข้องร่วมกันของประชาคมโลก[46]  กระนั้น ในระยะสั้นเพื่อประโยชน์ในการคุ้มครองสิทธิในข้อมูลส่วนบุคคลของประชาชนของสหภาพยุโรป ย่อมมีความจำเป็นต้องพัฒนาหลักเกณฑ์ทางกฎหมายเพื่อเอื้อให้เกิดสภาพบังคับต่อผู้ประมวลผลข้อมูลซึ่งมิได้มีสถานที่ตั้งอยู่ในสหภาพยุโรปเป็นการเฉพาะเพิ่มมากยิ่งขึ้น

 

2. Right to be forgotten ภายใต้ General Data Protection Regulation (GDPR)

ภายใต้กฎหมายฉบับใหม่ของสหภาพยุโรปคือ GDPR ที่จะมีผลใช้บังคับแทน Directive 95/46/EC ตั้งแต่วันที่ 25 พฤษภาคม ค.ศ. 2018 นั้น right to be forgotten ได้ถูกพัฒนาและยกระดับขึ้นเป็นสิทธิใหม่ที่ได้รับการรับรองโดยชัดแจ้งใน Article 17 "Right to erasure ('right to be forgotten')" โดยอาจพิจารณาสาระสำคัญโดยเปรียบเทียบในเชิงพัฒนาการกับสิทธิเดิมที่เคยได้รับการรับรองโดยคำวินิจฉัยของ CJEU ได้ดังต่อไปนี้

 

2.1 เนื้อหาแห่งสิทธิ ผู้มีหน้าที่ และข้อยกเว้น

ภายใต้ Article 17 ของ GDPR สิทธิดังกล่าวได้ก้าวไปไกลกว่า "right to de-listing" หรือการลบ link แสดงผลการค้นหาจากผู้ให้บริการ search engine เนื่องจากมีการเน้นย้ำในเนื้อหาแห่งสิทธิใหม่ว่าเป็น "right to erasure" หรือการลบซึ่งข้อมูลส่วนบุคคลที่เกี่ยวกับเจ้าของข้อมูลอย่างแท้จริง โดยไม่ชักช้า และสามารถใช้ยันได้ต่อผู้ประมวลผลข้อมูลทั้งหมด ทั้งเจ้าของ webpage ต้นฉบับที่ต้องด้วยบทนิยามตาม GDPR ว่าเป็นผู้ดำเนินการตัดสินใจว่าจะประมวลผลข้อมูลส่วนบุคคลหรือไม่[47] หรือผู้ให้บริการ search engine จากแนวทางการตีความในคดี Google Spain  ทั้งนี้ การคงถ้อยคำในวงเล็บว่า right to be forgotten หลัง right to erasure นั้น มีเจตนารมณ์เพื่อเน้นย้ำถึงความสำคัญในการพัฒนา right to erasure เดิมตาม Directive 95/46/EC เข้าสู่การลบเลือนข้อมูลส่วนบุคคลในบริบททางดิจิทัล[48]

ใน Article 17 วรรคหนึ่ง (a) ถึง (f) ได้กำหนดถึงเหตุที่เจ้าของข้อมูลส่วนบุคคลอาจเรียกร้องให้ผู้ประมวลผลข้อมูลลบข้อมูลส่วนบุคคลของตนเสียไว้อย่างละเอียดชัดเจนยิ่งขึ้น อาทิ ข้อมูลส่วนบุคคลดังกล่าวไม่มีความจำเป็นต่อการประมวลผลอีกต่อไป เจ้าของข้อมูลส่วนบุคคลได้ยกเลิกความยินยอมที่เคยได้ให้ไว้สำหรับการประมวลผลข้อมูลและไม่มีเหตุอันชอบด้วยกฎหมายอื่น ๆ ที่ผู้ประมวลผลข้อมูลจะทำการประมวลผลข้อมูลต่อไป เจ้าของข้อมูลส่วนบุคคลได้คัดค้านการประมวลผลข้อมูลนั้นและไม่มีเหตุอันชอบด้วยกฎหมายอื่น ๆ ทีได้รับความคุ้มครองเหนือกว่าสำหรับการประมวลผลข้อมูลต่อไป ข้อมูลส่วนบุคคลนั้นถูกประมวลผลโดยมิชอบด้วยกฎหมายหรือมีความจำเป็นต้องถูกลบเพื่อให้เป็นไปตามที่กฎหมายบัญญัติ รวมตลอดถึงกรณีที่ข้อมูลส่วนบุคคลเกี่ยวกับเยาวชนถูกจัดเก็บโดยผู้ให้บริการสังคมข้อมูลข่าวสาร (information society services) [49]

ยิ่งกว่านั้น Article 17 วรรคสอง ของ GDPR ยังได้กำหนดมาตรการใหม่เพื่อให้การใช้ right to be forgotten นั้นมีประสิทธิผลมากยิ่งขึ้น โดยได้กำหนดหน้าที่ให้ผู้ประมวลผลข้อมูล เมื่อได้รับคำร้องขอจากเจ้าของข้อมูลส่วนบุคคลให้ลบข้อมูลข้อมูลส่วนบุคคล ดำเนินการแจ้งผู้ประมวลผลข้อมูลอื่น ๆ ที่ประมวลผลข้อมูลที่เกี่ยวข้องกับคำร้องขอนั้น ให้ดำเนินการลบ link สำเนา หรือ ผลลัพธ์ที่เกี่ยวกับข้อมูลส่วนบุคคลดังกล่าวด้วย  ทั้งนี้ โดยพิจารณาความเป็นไปได้ในทางเทคโนโลยี และต้นทุนค่าใช้จ่าย ตามสมควรแก่กรณี[50]

มาตรการใหม่นี้แม้มีข้ออ่อนตรงที่ยังไม่มีการกำหนดสภาพบังคับแก่ผู้ประมวลผลข้อมูลรายอื่นที่ได้รับแจ้งการร้องขอลบข้อมูลส่วนบุคคลจากผู้ประมวลผลข้อมูลรายแรก ให้มีผลเสมือนเป็นการได้รับคำร้องจากเจ้าของข้อมูลส่วนบุคคลโดยตรงเพื่อให้กระบวนการยื่นคำร้องต่อผู้ประมวลผลข้อมูลทั้งหมดมีผลด้วยการยื่นคำร้องเพียงฉบับเดียว แต่ก็เป็นที่คาดการณ์กันว่าเมื่อพิจารณาประกอบกับหลักเกณฑ์ที่ชัดเจนว่าเจ้าของข้อมูลส่วนบุคคลสามารถร้องขอให้ลบข้อมูลส่วนบุคคลต่อผู้ประมวลผลข้อมูลได้เป็นการทั่วไปแล้ว ย่อมสามารถเพิ่มโอกาสให้เจ้าของข้อมูลส่วนบุคคลมีโอกาสได้รับการเยียวยาความเสียหายโดยการลบข้อมูลส่วนบุคคลจากผู้ประมวลผลรายอื่นมากยิ่งขึ้น ยกตัวอย่างเช่น กรณีมีการร้องขอให้ Google ลบข้อมูลส่วนบุคคล โดยนัยของวรรคนี้ Google ย่อมต้องดำเนินการแจ้งไปยังเจ้าของ webpage ที่ปราก link ผลการค้นหาทั้งหมด รวมตลอดจนผู้ให้บริการ search engine รายอื่น เพื่อให้ทราบถึงคำร้องที่ Google ได้รับ และผลการตัดสินใจลบของ Google ย่อมเพิ่มความเป็นไปได้ที่ผู้ประมวลผลข้อมูลรายอื่นจะได้ทำการลบข้อมูลส่วนบุคคลในส่วนของตนตามแบบอย่างของ Google เพื่อหลีกเลี่ยงความรับผิดตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลหากเจ้าของข้อมูลส่วนบุคคลดำเนินการร้องขอต่อตนโดยตรงในภายหลัง[51]

ในส่วนของข้อยกเว้นนั้น Article 17 วรรคสาม (a) ถึง (e) ของ GDPR ได้กำหนดข้อยกเว้นหน้าที่ของผู้ประมวลผลข้อมูลตามวรรคหนึ่งและวรรคสองไว้ อย่างชัดเจนหลายประการ อาทิ เพื่อเป็นการใช้สิทธิในเสรีภาพในการแสดงความคิดเห็นและการเข้าถึงข้อมูลข่าวสาร (right of freedom of expression and information ) เพื่อให้เป็นไปตามหน้าที่ตามที่กฎหมายบัญญัติ หน้าที่เพื่อประโยชน์สาธารณะ หรือการดำเนินการในนามขององค์กรของรัฐ ซึ่งผู้ประมวลผลจะต้องประมวลผลข้อมูลต่อไป กรณีประโยชน์สาธารณะเกี่ยวกับการสาธารณสุข กรณีประโยชน์สาธารณะเกี่ยวกับการวิจัยทางวิทยาศาสตร์และประวัติศาสตร์เฉพาะเหตุที่หากไม่ใช้ข้อยกเว้นดังกล่าวจะทำให้ประโยชน์สาธารณะดังกล่าวไม่อาจบรรลุผลหรือส่งผลเสียต่อประโยชน์ดังกล่าวอย่างร้ายแรง รวมตลอดถึงกรณีเพื่อประโยชน์ในการใช้เป็นข้อต่อสู้ในทางกฎหมาย[52]

การกำหนดหลักเกณฑ์ในการร้องขอใช้สิทธิลบข้อมูลส่วนบุคคล ตลอดจนข้อยกเว้นที่ชัดเจนตาม Article 17 ย่อมเป็นการสร้างความชัดเจนแก่ผู้ที่เกี่ยวข้องกับการบังคับใช้กฎหมาย ทั้งเจ้าของข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูล ตลอดจนองค์กรคุ้มครองข้อมูลส่วนบุคคลหรือศาล ให้มีความรู้ความเข้าใจ ตลอดจนการใช้ดุลพินิจบนหลักเกณฑ์เดียวกัน ตลอดจนยังประโยชน์ต่อการพัฒนาหลักกฎหมายผ่านการใช้การตีความหลักเกณฑ์ดังกล่าวในระยะยาวอีกด้วย

 

2.2 สภาพบังคับในโลกดิจิทัลและมาตรการบังคับตามกฎหมาย

GDPR Article 3 เน้นย้ำถึงสภาพบังคับใช้ทั่วโลกของกฎหมายฉบับนี้ต่อการประมวลผลข้อมูลของบุคคลที่อยู่ในสหภาพยุโรปในโดยไม่คำนึงถึงว่าการประมวลผลข้อมูลในทางปฏิบัติจะได้กระทำในเขตพื้นที่ของสหภาพยุโรปหรือไม่ รวมตลอดถึงเปิดช่องให้มีการใช้บังคับ GDPR ต่อผู้ประมวลผลข้อมูลที่มีที่ตั้งอยู่นอกเขตพื้นที่สหภาพยุโรปแต่ตกอยู่ใต้บังคับกฎหมายของประเทศสมาชิกเนื่องจากสภาพบังคับตามกฎหมายระหว่างประเทศแผนกคดีเมือง (เช่น มีความตกลงระหว่างประเทศระหว่างกัน) อีกด้วย [53] GDPR ยังได้กำหนดมาตรการบังคับตามกฎหมายที่เพิ่มความเข้มข้นและสอดคล้องกันทั่วทั้งสหภาพยุโรป ยกตัวอย่างเช่น มาตรการเกี่ยวกับโทษปรับทางปกครอง ซึ่งใน Article 83 วรรคห้า (b) นั้นสามารถปรับใช้ในการบังคับให้ผู้ประมวลผลข้อมูลที่กระทำผิดกฎหมายคุ้มครองข้อมูลส่วนบุคคลในส่วนของ right to be forgotten ตาม Article 17 ต้องรับโทษปรับทางปกครองไม่เกิน 20 ล้านยูโร หรือไม่เกินร้อยละ 4 ของผลประกอบการรวมรายปีทั่วโลกของผู้ประมวลผลข้อมูลรายนั้นตามแต่จำนวนใดจะสูงกว่า[54] อีกทั้งมาตรการต่าง ๆ ตาม GDPR นั้นมีผลบังคับใช้ได้โดยทันทีในทุกประเทศอย่างสอดคล้องกันเนื่องจากถือเป็นส่วนหนึ่งของกฎหมายภายในของทุกประเทศสมาชิกโดยอัตโนมัติ[55] Article 77 และ Article 79 ยังเพิ่มการอำนวยความสะดวกในการบังคับใช้สิทธิแก่เจ้าของข้อมูลส่วนบุคคลโดยได้ยืนยันหลักการใหม่เกี่ยวกับสิทธิที่จะยื่นข้อร้องเรียนและได้รับมาตรการเยียวยาทางศาลที่มีประสิทธิภาพ โดยกำหนดให้เจ้าของข้อมูลส่วนบุคคลสามารถยื่นข้อร้องเรียนหรือเริ่มกระบวนการในชั้นศาลต่อองค์กรคุ้มครองข้อมูลส่วนบุคคลหรือศาลที่ตนมีภูมิลำเนาอยู่ได้ ตามลำดับ[56] ยิ่งกว่านั้น ตาม Article 4(17) ประกอบ Article 27 ได้กำหนดหน้าที่ให้ผู้ประมวลผลข้อมูลที่ตั้งอยู่นอกสหภาพยุโรปจะต้องจัดตั้งตัวแทนขึ้นภายในเขตพื้นที่ของสหภาพยุโรป[57]  ทั้งนี้ เพื่อประกันการบังคับใช้มาตรการตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่มีประสิทธิภาพผ่านทางตัวแทนที่ผู้ประมวลผลข้อมูลดังกล่าวจัดตั้งขึ้นภายในเขตพื้นที่ของสหภาพยุโรปได้ต่อไป

 

โดยสรุป อาจพิจารณาในเบื้องต้นได้ว่าสิทธิที่จะถูกลืม หรือ right to be forgotten นั้น กำลังอยู่ในระหว่างพัฒนาโดยประเทศสมาชิกสหภาพยุโรป จากสิทธิอย่างแคบเฉพาะการลบ link แสดงผลการค้นหาของผู้ให้บริการ search engine ที่ได้รับการรับรองผ่านคำวินิจฉัยของ CJEU เข้าสู่มิติใหม่ของสิทธิที่ได้รับการรับรองชัดแจ้งโดยกฎหมายที่จะเรียกร้องให้ผู้ประมวลผลข้อมูลลบข้อมูลส่วนบุคคลออกจากโลกดิจิทัลอย่างถาวรและเป็นรูปธรรม ข้อจำกัดและสภาพปัญหาในการตีความและบังคับใช้ Directive 95/46/EC ซึ่งขาดความเหมาะสมกับสภาวการณ์ทางสังคมและเทคโนโลยีที่เปลี่ยนแปลงไปอย่างมากมายในช่วง 20 ปีที่ผ่านมานั้นดูเหมือนจะได้รับการพิจารณาปรับปรุงในหลายประเด็น ในวันที่ 25 พฤษภาคม ค.ศ. 2018 ประชาชนในสหภาพยุโรปจะได้รับสิทธิที่พัฒนาขึ้นมาใหม่ให้เกิดความชัดเจนขึ้นทั้งในส่วนของเนื้อหาแห่งสิทธิ ผู้มีหน้าที่ ข้อยกเว้นแห่งสิทธิ สภาพบังคับที่เหมาะสมกับการประมวลผลข้อมูลในโลกออนไลน์ ตลอดจนมาตรการบังคับทางกฎหมายที่สอดคล้องและมีประสิทธิภาพมากยิ่งขึ้น ซึ่งเวลาจะเป็นผู้ให้คำตอบถึงผลลัพธ์ในทางปฏิบัติของบทบัญญัติตามกฎหมายใหม่ของสหภาพยุโรปฉบับนี้ว่าจะมีประสิทธิภาพในการบังคับใช้จริงมากน้อยเพียงไร  ทั้งนี้ ประสบการณ์และสภาพปัญหาของสหภาพยุโรปในการบังคับใช้ Directive 95/46/EC ผ่านคำวินิจฉัยในคดี Google Spain และการบังคับใช้สิทธิดังกล่าวที่ได้รับรองโดย GDPR ในอนาคตอันใกล้นี้ จะเป็นตัวอย่างที่สมควรให้ความสนใจสำหรับประเทศที่อยู่ระหว่างการพิจารณากำหนดให้มีหรือแก้ไขกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลว่าจะให้การรับรอง right to be forgotten หรือไม่ ในขอบเขตแค่ไหนเพียงไร ตลอดจนมาตรการทางกฎหมายใดบ้างที่สำคัญและจำเป็น สมควรกำหนดเพื่อบังคับใช้สิทธิดังกล่าวให้เกิดประสิทธิภาพและสอดคล้องกับมาตรฐานสากลสำหรับโลกดิจิทัลที่กำลังจะมาถึง



* LL.B. and LL. M. in Criminal Law, Thammasat Univerity, LL.M. Candidate in Intellectual Property and Information Law at King's College London; Barrister-at-Law, Krisdika Lawyer, Professional Level at Office of the Council of State
[1] The CFR
"Article 7 Respect for private and family life
Everyone has the right to respect for his or her private and family life, home and communications.
Article 8 Protection of personal data
1. Everyone has the right to the protection of personal data concerning him or her.
2. Such data must be processed fairly for specified purposes and on the basis of the consent of the person concerned or some other legitimate basis laid down by law. Everyone has the right of access to data which has been collected concerning him or her, and the right to have it rectified.
3. Compliance with these rules shall be subject to control by an independent authority."
[2] George Brock, The Right To Be Forgotten: Privacy And The Media In The Digital Age (IB Tauris & Co Ltd 2016) p.18.
[3] Bert-Jaap Koops, 'Forgetting Footprints, Shunning Shadows: A Critical Analysis Of The 'Right to Be Forgotten' In Big Data Practice' (2011) 8 SCRIPTed: A Journal of Law, Technology and Societyp.1-4 see also Normann Witzleb and others, Emerging Challenges In Privacy Law: Comparative Perspectives (Cambridge University Press 2014) p. 290-337.
[4] C-131/12 Google Spain v. Agencia Española de Protección de Datos (AEPD) and Mario Costeja González [2014] ECLI:EU:C:2014:317
[5] Treaty on the Functioning of the European Union
"Article 267 The Court of Justice of the European Union shall have jurisdiction to give preliminary rulings concerning:
(a) the interpretation of the Treaties;
(b) the validity and interpretation of acts of the institutions, bodies, offices or agencies of the Union..."
[6] Rolf H. Weber, 'On The Search For An Adequate Scope Of The Right To Be Forgotten' (2015) 6 Journal of Intellectual Property, Information Technology and Electronic Commerce Law p.1.
[7] The GDPR
"Article 45 Transfers on the basis of an adequacy decision
1. A transfer of personal data to a third country or an international organisation may take place where
the Commission has decided that the third country, a territory or one or more specified sectors within that
third country, or the international organisation in question ensures an adequate level of protection..."
[8] Rosemary Jay and others, Guide To The General Data Protection Regulation: A Companion To Data Protection Law And Practice (4th edn, Sweet & Maxwell 2017) p.274.
[9] Russell L Weaver and others, Privacy In A Digital Age: Perspectives From Two Continents (Carolina Academic Press 2017) p.9.
[10] AWP29, 'Guidelines On The Implementation Of The Court Of Justice Of The European Union Judgment On “Google Spain And Inc V. Agencia Española De Protección De Datos (Aepd) And Mario Costeja González”
C-131/12' (2014) p.2.
[11] C-131/12 (n4) para 94.
[12] ibid para 88.
[13] ibid para 70.
[14] Stefania Alessi, 'Eternal Sunshine: The Right To Be Forgotten In The European Union After The 2016 General Data Protection Regulation' (2017) 32 Emory International Law Review p.159.
[15] European Commission, 'Factsheet On The “Right To Be Forgotten” Ruling (C-131/12)' <https://www.inforights.im/media/1186/cl_eu_commission_factsheet_right_to_be-forgotten.pdf> accessed 19 April 2018.
[16] AWP29 (n10) p.5.
[17] Brock (n2) p.10, 91.
[18] 'Google Transparency Report' (Transparencyreport.google.com, 2018) <https://transparencyreport.google.com/eu-privacy/overview?hl=en_GB> accessed 6 April 2018.
[19] C-131/12 (n4) para 33, 41.
[20] ibid para 27, 41.
[21] ibid para 36.
[22] ibid para 34, 54.
[23] Weaver and others (n9) p.15.
[24] Alessi (n14) p.159.
[25] C-131/12 (n4) para 81.
[26] ibid para 97.
[27] AWP29 (n10) p.10, 12-19.
[28] 'EU Privacy Removal' (Google.com, 2018) <https://www.google.com/webmasters/tools/legal-removal-request?complaint_type=rtbf&visit_id=0-636496126362623931-44683020&rd=1> accessed 6 April 2018.
[29] Weaver and others (n9) p.40.
[30] C-131/12 (n4) para 56, 60.
[31] Brock (n2) p.100.
[32] AWP29 (n10) p.2.
[33] Andrew Murray, Information Technology Law: The Law And Society (3rd edn, Oxford University Press 2016) p.577-578.
[34]'Case C-507/17: Request For A Preliminary Ruling From The Conseil D’État (France) Lodged On 21 August 2017 — Google Inc. V Commission Nationale De L’Informatique Et Des Libertés (CNIL)' (eur-lex.europa.eu, 2017) <https://eur-lex.europa.eu/legal-content/EN/ALL/?uri=CELEX%3A62017CN0507> accessed 15 May 2018.
[35] 'French Court Refers 'Right To Be Forgotten' Dispute To Top EU Court' (Reuters, 2017) <https://www.reuters.com/article/us-google-litigation/french-court-refers-right-to-be-forgotten-dispute-to-top-eu-court-idUSKBN1A41AS> accessed 18 April 2018.
[36] Mark Scott and Joanna Plucinska, 'French Court Refers Google Privacy Case To ECJ' (POLITICO, 2018) <https://www.politico.eu/article/french-court-refers-google-privacy-case-to-ecj/> accessed 15 May 2018.
[37] H. Hijmans, 'The Dpas And Their Cooperation: How Far Are We In Making Enforcement Of Data Protection Law More European?' (2016) 2 European Data Protection Law Review p.363.
[38] Paul de Hert and Michal Czerniawski, 'Expanding The European Data Protection Scope Beyond Territory: Article 3 Of The General Data Protection Regulation In Its Wider Context' (2016) 6 International Data Privacy Law p.230.
[39]see C-288/12 European Commission v. Hungary [2014] ECLI:EU:C:2014:237, C-614/10 European Commission v. Republic of Austria [2012] ECLI:EU:C:2012:631 and C-518/07 European Commission v. Germany [2010] ECLI:EU:C:2010:125
[40] Denis Kelleher, Privacy And Data Protection Law In Ireland (Bloomsbury Publishing Plc 2015).
[41] Hijmans (n37) p.369.
[42] C-362/14 Schrems v. Data Protection Commissioner [2015] ECLI:EU:C:2015:650
[43] Brock (n2) p.67.
[44] Ruslan Nurullaev, 'Right To Be Forgotten In The European Union And Russia: Comparison And Criticism
(In English)' (2015) 2015 Law: Journal of the Higher School of Economics
p.181.
[45] Samuel W. Royston, 'The Right To Be Forgotten: Comparing U.S. And European Approaches' (2016) 48
St. Mary's Law Journal
p.253-254.
[46] Meg Leta Jones, Ctrl + Z: The Right To Be Forgotten (New York University Press 2016) p.166-168.

[47]The GDPR
"Article 4 Definitions
For the purposes of this Regulation:..
(7) ‘controller’ means the natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data; where the purposes and means of such processing are determined by Union or Member State law, the controller or the specific criteria for its nomination may be provided for by Union or Member State law;..."
[48] The GDPR, Statement of the Council’s Reasons: Position (EU) No 6/2016
[49] The GDPR
"Article 17 Right to erasure (‘right to be forgotten’)
1. The data subject shall have the right to obtain from the controller the erasure of personal data concerning him or her without undue delay and the controller shall have the obligation to erase personal data without undue delay where one of the following grounds applies:
(a) the personal data are no longer necessary in relation to the purposes for which they were collected or otherwise processed;
 (b) the data subject withdraws consent on which the processing is based according to point (a) of Article 6(1), or point (a) of Article 9(2), and where there is no other legal ground for the processing;
(c) the data subject objects to the processing pursuant to Article 21(1) and there are no overriding legitimate grounds for the processing, or the data subject objects to the processing pursuant to Article 21(2);
(d) the personal data have been unlawfully processed;
(e) the personal data have to be erased for compliance with a legal obligation in Union or Member State law to which the controller is subject;
(f) the personal data have been collected in relation to the offer of information society services referred to in
Article 8(1)..."
[50] The GDPR
"Article 17 Right to erasure (‘right to be forgotten’)...
2. Where the controller has made the personal data public and is obliged pursuant to paragraph 1 to erase
the personal data, the controller, taking account of available technology and the cost of implementation,
shall take reasonable steps, including technical measures, to inform controllers which are processing the personal data that the data subject has requested the erasure by such controllers of any links to, or copy or replication of, those personal data..."
[51] Alessi (n14) p.159 see also Witzleb and others (n3) p.317.
[52] The GDPR
"Article 17 Right to erasure (‘right to be forgotten’)...
3. Paragraphs 1 and 2 shall not apply to the extent that processing is necessary:
(a) for exercising the right of freedom of expression and information;
(b) for compliance with a legal obligation which requires processing by Union or Member State law to which the controller is subject or for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller;
(c) for reasons of public interest in the area of public health in accordance with points (h) and (i) of Article 9(2) as well as Article 9(3);
(d) for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes in accordance with Article 89(1) in so far as the right referred to in paragraph 1 is likely to render impossible or seriously impair the achievement of the objectives of that processing; or
(e) for the establishment, exercise or defence of legal claims."
[53] The GDPR
"Article 3 Territorial scope
1. This Regulation applies to the processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union, regardless of whether the processing takes place in the Union or not.
2. This Regulation applies to the processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union, where the processing activities are related to:
(a) the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union; or
(b) the monitoring of their behaviour as far as their behaviour takes place within the Union.
3. This Regulation applies to the processing of personal data by a controller not established in the Union, but in a place where Member State law applies by virtue of public international law."
[54] The GDPR
"Article 83 General conditions for imposing administrative fines
5. Infringements of the following provisions shall, in accordance with paragraph 2, be subject to administrative fines up to 20 000 000 EUR, or in the case of an undertaking, up to 4 % of the total worldwide annual turnover of the preceding financial year, whichever is higher:
(a) the basic principles for processing, including conditions for consent, pursuant to Articles 5, 6, 7 and 9;
(b) the data subjects' rights pursuant to Articles 12 to 22;..."
[55] 'Regulations, Directives And Other Acts - European Union - European Commission' (European Union) <https://europa.eu/european-union/eu-law/legal-acts_en> accessed 16 April 2018.
[56] The GDPR
"Article 77 Right to lodge a complaint with a supervisory authority
1. Without prejudice to any other administrative or judicial remedy, every data subject shall have the right to lodge a complaint with a supervisory authority, in particular in the Member State of his or her habitual residence, place of work or place of the alleged infringement if the data subject considers that the processing of personal data relating to him or her infringes this Regulation.
2. The supervisory authority with which the complaint has been lodged shall inform the complainant on the progress and the outcome of the complaint including the possibility of a judicial remedy pursuant to
Article 78.
Article 79 Right to an effective judicial remedy against a controller or processor
1. Without prejudice to any available administrative or non-judicial remedy, including the right to lodge a complaint with a supervisory authority pursuant to Article 77, each data subject shall have the right to an effective judicial remedy where he or she considers that his or her rights under this Regulation have been infringed as a result of the processing of his or her personal data in non-compliance with this Regulation.
2. Proceedings against a controller or a processor shall be brought before the courts of the Member State where the controller or processor has an establishment. Alternatively, such proceedings may be brought before the courts of the Member State where the data subject has his or her habitual residence, unless the controller or processor is a public authority of a Member State acting in the exercise of its public powers."
[57] The GDPR
"Article 4 Definitions
For the purposes of this Regulation:..
(17) ‘representative’ means a natural or legal person established in the Union who, designated by the controller or processor in writing pursuant to Article 27, represents the controller or processor with regard to their respective obligations under this Regulation;...
Article 27 Representatives of controllers or processors not established in the Union
1. Where Article 3(2) applies, the controller or the processor shall designate in writing a representative in the Union..."
สิ