แชร์

สิทธิในการลบ Apple ID / Apple Account ของผู้ใช้บริการ

อัพเดทล่าสุด: 20 ก.พ. 2025
5 ผู้เข้าชม

สิทธิในการขอให้องค์กรที่ครอบครองข้อมูลส่วนบุคคลของผู้ใช้บริการลบหรือทำลายข้อมูลต่าง ๆ เกี่ยวกับตนเอง (Right to erasure) เป็นสิทธิที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลในหลาย ๆ ประเทศให้การรับรองไว้ ทั้ง GDPR ของสหภาพยุโรป หรือ California Consumer Privacy Act (CCPA: Section 1798.105 Right to Delete) รวมถึงพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ด้วย โดยวันนี้ ผู้เขียนมีกรณีศึกษาที่น่าสนใจเกี่ยวกับการขอลบ Apple ID ที่มีผู้ใช้บริการของ Apple ร้องเรียนต่อ DPC (Ireland Data Protection Authority) ว่า Apple ไม่ปฏิบัติตามคำขอใช้สิทธิให้ลบ Apple ID และข้อมูลต่าง ๆ เกี่ยวกับผู้ใช้บริการรายดังกล่าวตามเงื่อนไขที่กำหนดไว้ในมาตรา 17 ของ GDPR

ข้อร้องเรียนดังกล่าวเกิดจากการที่ผู้ใช้บริการรายหนึ่งได้ใช้สิทธิขอลบ Apple ID/Apple Account ของตนเอง (Deletion request) ต่อ Apple Distribution International Limited ซึ่งเป็นบริษัทในเครือของ Apple Inc. ที่รับผิดชอบการบริหารและการดำเนินการในสหภาพยุโรป (จดทะเบียนจัดตั้งและมีสำนักงานอยู่ที่ประเทศไอร์แลนด์) Deletion request ของผู้ร้องเรียนรายดังกล่าวได้รับการตอบสนองและยืนยันการดำเนินการโดย Apple ซึ่งผู้ใช้บริการรายดังกล่าวก็เชื่อว่า Apple ได้ดำเนินการลบ Apple Account ของตนเองให้เป็นที่เรียบร้อยแล้ว แต่ปรากฏว่าต่อมาบุคคลดังกล่าวประสงค์จะใช้อีเมลเดิมซึ่งผูกอยู่ติดอยู่กับ Apple Account ของตนเอง ที่ได้ขอลบไปแล้วจากระบบของ Apple เพื่อทำการเปิดบัญชีให้ลูกสาวของตนเอง (สร้างบัญชี Apple สำหรับบุตรหลาน) แต่ปรากฏว่าไม่สามารถใช้อีเมลดังกล่าวในการสร้างบัญชีใหม่ได้ และได้รับการแจ้งว่าอีเมลนั้นเชื่อมโยงกับ Apple Account อื่นแล้ว ผู้ร้องเรียนรายดังกล่าวจึงเห็นว่า Apple ไม่ได้ทำการลบข้อมูลของตนเองอย่างแท้จริง เนื่องจากยังมีข้อมูลอีเมลของตนเองอยู่ในระบบของ Apple และสิ่งที่ Apple ดำเนินการตาม Deletion request จึงเป็นการ Deactivate หรือการระงับการใช้หรือการเข้าถึงระบบต่าง ๆ ของ  Apple เท่านั้น

Apple ชี้แจงกรณีดังกล่าวต่อ DPC ว่าเมื่อผู้ใช้บริการทำการขอลบข้อมูล Apple ยังจำเป็นต้องเก็บรักษาข้อมูลส่วนบุคคลเกี่ยวกับผู้ใช้บริการบางส่วนไว้ดังต่อไปนี้

(1) ข้อมูลธุรกรรมในอดีตเพื่อวัตถุประสงค์ในการรายงานทางการเงิน

(2) เพื่อปฏิบัติคำสั่งศาลหรือกระบวนการทางกฎหมายที่กำลังดำเนินการอยู่

(3) ค่าแฮชแบบทางเดียวของที่อยู่อีเมลของบัญชีที่ถูกลบ (one-way hash of the email address) เพื่อปฏิบัติตามข้อกำหนดทางกฎหมาย (Security) และเก็บไว้นานเท่าที่จำเป็น (Storage limitation) เพื่อผลประโยชน์โดยชอบด้วยกฎหมายในการแสดงถึงการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลและเพื่อความมั่นคงปลอดภัยของบัญชี

(4) ค่าแฮชของที่อยู่อีเมลจะถูกเก็บไว้เป็นหลักฐานว่า Apple ได้ปฏิบัติตาม Deletion request ของเจ้าของข้อมูลส่วนบุคคลแล้ว

จากเหตุผลที่ Apple ชี้แจงต่อ DPC ประเด็นที่ผู้ใช้บริการไม่เห็นด้วยได้แก่ การเก็บค่าแฮชของอีเมล ซึ่งเป็นการแฝงค่าของข้อมูลส่วนบุคคลเท่านั้น แต่ไม่ใช่การลบหรือทำลายตามที่ผู้ใช้บริการร้องขอ และ DPC ยืนยันว่าการเก็บค่าแฮชแบบทางเดียวของที่อยู่อีเมลของบัญชีที่ถูกลบเป็นเพียงการแฝงข้อมูลส่วนบุคคล (Pseudonymization) แต่ยังไม่ใช่การลบหรือทำลาย หรือการทำให้เป็นข้อมูลนิรนาม (Anonymization) ตามเงื่อนไขของมาตรา 17 GDPR

อย่างไรก็ตาม Apple ได้ให้เหตุผลที่สำคัญเกี่ยวกับการห้ามใช้อีเมลที่เกี่ยวข้องกับ Apple ID ที่ถูกลบว่า เป็นมาตรการในการป้องกันการฉ้อโกง (Fraud prevention) และถือเป็นส่วนหนึ่งของมาตรการรักษาความมั่นคงปลอดภัย โดยค่าแฮชของที่อยู่อีเมลที่เกี่ยวข้องและข้อมูลที่ใช้เพื่อระบุผู้ใช้งานในระบบ Directory Services ซึ่งเป็นระบบที่เก็บและจัดการข้อมูลเกี่ยวกับผู้ใช้บริการของ Apple (DSID) จะถูกประมวลผลด้วยอัลกอริทึมเฉพาะ และหากไม่มีการเก็บค่าแฮชของที่อยู่อีเมลที่ถูกลบ อาจมีบุคคลที่ไม่หวังดีที่เข้าถึงที่อยู่อีเมลนั้นได้จากการขโมยข้อมูลและนำมาสร้างบัญชีใหม่โดยใช้อีเมลนั้นเพื่อใช้บริการต่าง ๆ ของ Apple โดยปลอมตัวเป็นผู้ใช้งานที่แท้จริง ซึ่งจะทำให้ Apple เสี่ยงต่อการสนับสนุนการฉ้อโกงแทนที่จะเป็นการป้องกัน

ซึ่งเหตุผลและความจำเป็นต่าง ๆ ตามที่ Apple กล่าวอ้างในการที่ยังต้องเก็บรักษาข้อมูลบางส่วนและการเก็บค่าแฮชไว้นั้น  DPC เห็นด้วยว่า Apple มีประโยชน์โดยชอบด้วยกฎหมาย (Legitimate interest) ในการดำเนินการและปฏิบัติสอดคล้องกับหลักการเก็บข้อมูลเท่าที่จำเป็นแล้ว (Data minimization) อย่างไรก็ตาม Apple ถูกสั่งให้แก้ไขการดำเนินการให้มีความโปร่งใสมากขึ้นในกระบวนการแจ้งรายละเอียดและขั้นตอนต่าง ๆ ให้สอดคล้องกับ GDPR มาตรา 13 (1) (c) การแจ้งวัตถุประสงค์ของการประมวลผลข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม ซึ่งรวมถึงฐานทางกฎหมายสำหรับการประมวลผลนั้น และมาตรา 13 (1) (d) หากการประมวลผลข้อมูลส่วนบุคคลนั้นอ้างอิงฐานทางกฎหมายตามมาตรา 6(1) (f) [legitimate interest] ให้ระบุถึงผลประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคลด้วย

ค่าแฮชแบบทางเดียวที่ Apple เก็บรักษาไว้คืออะไร

กรณีสมมติ หากนำอีเมล example@icloud.com ให้ ChatGPT 4o ใช้ SHA-256 อัลกอริทึมเพื่อแฮชแบบทางเดียว จะได้ค่า hash (ข้อมูลชุดที่ 1) และ salt (ข้อมูลชุดที่ 2) ดังนี้

example@icloud.com
Hash: c427ce21f505e268a89b8783e113c26833154a43b69d649982f3fc6e037e63e8
 
Salt (hex): bfe48510372dcd0046e4b6f9cc373e2e
ในทำนองเดียวกันหากให้ ChatGPT ทำการ Reidentify อีเมลจาก hash และ salt ข้างต้นจะได้ค่า example@icloud.com ซึ่งเป็นอีเมลส่วนบุคคลที่ถูกแฝงข้อมูลไว้

SHA-256 (Secure Hash Algorithm 256-bit) เป็นหนึ่งในฟังก์ชันแฮชที่ออกแบบมาเพื่อเข้ารหัสข้อมูลที่สามารถใช้ตรวจสอบความสมบูรณ์ของข้อมูลหรือใช้ในกระบวนการเข้ารหัส อัลกอริทึมแฮชแบบทางเดียวถูกออกแบบมาให้เป็นเรื่องที่ยากมากที่จะย้อนกลับกระบวนการนี้และได้ที่อยู่อีเมลต้นฉบับจากค่าแฮช ดังนั้น ในกรณีนี้หากมีเฉพาะค่าแฮช (ข้อมูลชุดที่ 1) ซึ่งเกิดจากการแฮชอีเมลด้วย SHA-256 ก็ไม่สามารถคำนวณกลับเพื่อหาว่าอีเมลที่เป็นต้นฉบับคืออะไรได้โดยตรง เว้นแต่จะมีการเข้าถึงข้อมูลชุดอื่น ๆ ด้วย อาทิ ค่า salt (ข้อมูลชุดที่ 2) หรือ Rainbow tables (ถ้าหากมี) เป็นต้น และจากคำวินัยฉัยของ DPC Ireland ในกรณีดังกล่าวแสดงให้เห็นว่า ค่า hash (ข้อมูลชุดที่ 1) และค่า salt (ข้อมูลชุดที่ 2) เป็นข้อมูลส่วนบุคคล เนื่องจากสามารถระบุตัวบุคคลได้ไม่ว่าทางตรงหรือทางอ้อม เพียงแต่กรณีนี้ Apple มีเหตุผลและความชอบธรรรมตามกฎหมายในการเก็บค่าแฮชดังกล่าว.

*****

เรียบเรียงจาก

1.Inquiry into Apple Distribution International Limited - March 2024, https://www.dataprotection.ie/en/dpc-guidance/law/decisions-made-under-data-protection-act-2018/Apple-Distribution-International-Limited-March-2024

2.Apple Distribution International Limited Final Decision Dated 7 March 2024, https://www.dataprotection.ie/sites/default/files/uploads/2024-08/Inquiry-into-Apple-Distribution-International-Limited-Final-Decision-March-2024-EN.pdf

3.WP29 Opinion 05/2014 on Anonymisation Techniques

 

https://www.bangkokbiznews.com/tech/gadget/1149626
หนังสือพิมพ์กรุงเทพธุรกิจ คอลัมน์ Tech, Law and Security วันที่ 4 ตุลาคม 2567

ระวีวรรณ ขันติวิริยะพานิช
บริษัท ดีพีโอเอเอเอส จำกัด

ศุภวัชร์ มาลานนท์
GMI มหาวิทยาลัยเทคโนโลยีพระจอมเกล้าธนบุรี

Tags :
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล
PDPA
datasecurity
ChatGPT
GDPR
บทความที่เกี่ยวข้อง
CrowdStrike หน้าที่และความรับผิดตาม PDPA เป็นของใคร
CrowdStrike หน้าที่และความรับผิดตาม PDPA เป็นของใคร
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA กำหนดหน้าที่ขององค์กรที่อาจเกี่ยวข้องกับเหตุการณ์ CrowdStrike ไว้ดังนี้
20 ก.พ. 2025
Digital Twins แบบจำลองดิจิทัล (Digital Replicas)
Digital Twins แบบจำลองดิจิทัล (Digital Replicas)
แบบจำลองดิจิทัล (Digital Replicas) หรือที่เรียกกันว่า "ฝาแฝดดิจิทัล" (Digital Twins) คือการจำลองเสมือนจริงของวัตถุหรือระบบทางกายภาพ
20 ก.พ. 2025
กฎหมายว่าด้วยการใช้ซิมการ์ดในทางที่ผิด
กฎหมายว่าด้วยการใช้ซิมการ์ดในทางที่ผิด
เหมือนกับบ้านเรา สิงคโปร์กำลังเผชิญกับการหลอกลวงที่เพิ่มสูงขึ้นโดยเฉพาะอย่างยิ่งการหลอกลวงผ่านทางโทรศัพท์ในปี 2566
20 ก.พ. 2025
เว็บไซต์นี้มีการใช้งานคุกกี้ เพื่อเพิ่มประสิทธิภาพและประสบการณ์ที่ดีในการใช้งานเว็บไซต์ของท่าน ท่านสามารถอ่านรายละเอียดเพิ่มเติมได้ที่ ประกาศการคุ้มครองข้อมูลส่วนบุคคล (Privacy Notice) และ นโยบายคุกกี้
เปรียบเทียบสินค้า
0/4
ลบทั้งหมด
เปรียบเทียบ
Powered By MakeWebEasy Logo MakeWebEasy