หลักการคุ้มครองข้อมูลส่วนบุคคลด้วยการออกแบบตั้งแต่ต้น (Privacy by Design)

หลักการการคุ้มครองความเป็นส่วนตัวด้วยการออกแบบตั้งแต่ต้น (Privacy by Design) เป็นแนวคิดที่นำเสนอและได้รับการพัฒนาโดย ดร. Ann Cavoukian ผู้อำนวยการสถาบันความเป็นส่วนตัวและข้อมูลของมลรัฐออนแทรีโอในประเทศแคนาดาตั้งแต่ปี ค.ศ. 1990 ซึ่งได้นำเสนอหลักการการคุ้มครองข้อมูลส่วนตัวด้วยการออกแบบตั้งแต่ต้นว่าเป็นวิธีการที่ให้ความคุ้มครองความเป็นส่วนตัวที่มีประสิทธิภาพด้วยการกำหนดหลักเกณฑ์ให้ผู้ผลิตสินค้าหรือเทคโนโลยีต้องพิจารณาปัจจัยการคุ้มครองข้อมูลส่วนตัวตั้งแต่ขั้นตอนการออกแบบและวางแผนสถาปัตยกรรมของระบบข้อมูล กระบวนการทางธุรกิจและโครงสร้างพื้นฐานเครือข่ายตั้งแต่ต้น รวมทั้งขั้นตอนการพัฒนาสินค้า เพราะจะเป็นการประกันว่าผู้ผลิตสินค้าค้องคำนึงถึงการคุ้มครองความเป็นส่วนตัวก่อนตั้งแต่เริ่มออกแบบผลิตภัณฑ์ และเริ่มแนวคิดการพัฒนาสินค้า โดยเฉพาะตัวผลิตภัณฑ์ดังกล่าวมีกาารรวบรวมและจัดการข้อมูลส่วนบุคคล  ซึ่งเทคโนโลยีดิจิทัลในยุคปัจจุบันมีขีดความสามารถในการเก็บข้อมูลส่วนตัวได้อย่างง่ายได้ รวดเร็ว และจำนวนมากอย่างครอบคลุมกว้างขวาง 

หลักการการคุ้มครองข้อมูลส่วนตัวด้วยการออกแบบตั้งแต่ต้นจึงถือเป็นนโยบายการคุ้มครองข้อมูลส่วนบุคคลในเชิงป้องกัน (Preventive measure) มิใช่มาตรการเชิงแก้ไขเยียวยาหรือปราบปราม เพราะแนวคิดนี้สามารถช่วยลดภาระในการกำกับดูแลของหน่วยงานกำกับดูแลและบริหารจัดการของหน่วยงานหรือผู้รับผิดชอบในการควบคุมข้อมูล โดยใช้มิติของเทคโนโลยีและการบริหารจัดการเป็นปัจจัยหลักการกำกับดูแลมากกว่ามาตรการเชิงลงโทษ เพื่อให้เกิดนวัตกรรมทางด้านเทคโนโลยีและการบริหารให้มีการเคารพต่อการคุ้มครองข้อมูลส่วนบุคคลในการออกแบบคล้ายกับกฎหมายความรับผิดของสินค้า (Product liability law) ที่ผู้ผลิตสินค้าหรือให้บริการต้องคำนึงถึงและให้ความสำคัญกับแนวคิดการออกแบบและประดิษฐ์เทคโนโลยีตั้งแต่เริ่มต้น เพื่อลดความเสี่ยงหรือช่องว่างในการใช้ข้อมูลส่วนบุคคลโดยมิชอบ

ทั้งนี้ หลักการการคุ้มครองข้อมูลส่วนตัวด้วยการออกแบบตั้งแต่เริ่มต้น มีพัฒนาการสำคัญ ดังนี้
•การประชุมระหว่างประเทศของคณะกรรมาธิการด้านการปกป้องข้อมูลและความเป็นส่วนตัวเห็นชอบกับหลักการคุ้มครองข้อมูลส่วนตัวด้วยการออกแบบตั้งแต่ต้น อย่างเป็นเอกฉันท์ในปี 2010 โดยมีมติว่าหลักการคุ้มครองข้อมูลส่วนตัวด้วยการออกแบบตั้งแต่ต้น เป็นองค์ประกอบที่สำคัญของการปกป้องความเป็นส่วนตัวขั้นพื้นฐาน

•ในสหรัฐอเมริกา รายงานคณะกรรมการการค้าสหพันธรัฐ (Federal Trade Commission หรือ FTC) ในปี ค.ศ. 2012 ระบุว่าการคุ้มครองความเป็นส่วนตัวของผู้บริโภคในยุคดิจิทัลที่มีการแห่งการเปลี่ยนแปลงอย่างรวดเร็วควรยึดหลักการคุ้มครองข้อมูลส่วนตัวด้วยการออกแบบตั้งแต่ต้น 

•ในปี 2014 คณะกรรมาธิการยุโรปประกาศว่า: หลักการคุ้มครองข้อมูลส่วนตัวด้วยการออกแบบตั้งแต่ต้น  จะกลายเป็นหลักการสำคัญ

หลักการพื้นฐานของหลักการคุ้มครองข้อมูลส่วนตัวด้วยการออกแบบตั้งแต่ต้น ประกอบด้วยหลักการพื้นฐาน 7 ประการ ดังนี้

1. มาตรการเชิงรุก แต่มิใช่มาตรการตอบโต้ กล่าวคือ มาตรการป้องกันนี้ไม่ใช่การเยียวยาแก้ไขการละเมิดข้อมูลส่วนบุคคลและความเป็นส่วนตัวโดยการกำหนดให้คำนึงปัจจัยดังกล่าวตั้งแต่การออกแบบสินค้าหรือบริการ จึงเป็นมาตรการในเชิงรุกมากกว่ามาตรการแบบตอบโต้ โดยกำหนดให้มีการคาดการณ์และป้องกันเหตุการณ์ความเป็นส่วนตัวที่อาจถูกละเมิดได้ หลักการนี้จะไม่รอให้เกิดความเสี่ยงด้านการละเมิดความเป็นส่วนตัวที่อาจจะเกิดขึ้นจริง และไม่ได้มีการนำเสนอวิธีการแก้ไขตั้งแต่แรก ดังนั้น แนวคิดนี้จึงใมีเป้าหมายเพื่อป้องกันไม่ให้เหตุการณ์ละเมิดเกิดขึ้น โดยการออกแบบมาก่อน ไม่ใช่ต้องมีระมัดระวังหรือกำหนดมาตรการภายหลังจากผลิตภัณฑ์ออกวางตลาดแล้ว
2. ความเป็นส่วนตัวเป็นการตั้งค่าเริ่มต้นในการผลิตสินค้าหรือให้บริการ โดยต้องการสร้างความมั่นใจหรือเชื่อมั่นว่าสินค้าที่วางจำหน่ายในตลาดจะประกันว่ามีมาตรการป้องกันการละเมิดความเป็นส่วนตัว ผู้ผลิตสินค้าหรือผู้ให้บริการได้คิดคำนึงถึงเรื่องดังกล่าวเป็นค่าเริ่มต้นตั้งแต่การผลิตสินค้าหรือการให้บริการ ถือว่าหลักการดังกล่าวเป็นกฎเริ่มต้นตั้งแต่การออกแบบ ผู้บริโภคจึงมีความมั่นใจว่าข้อมูลส่วนบุคคลได้รับการคุ้มครองโดยอัตโนมัติ โดยผู้บริโภคไม่ต้องปรับแต่งหรือซื้อสินค้าหรือบริการีเสริมเพื่อป้องกันการละเมิดข้อมูลส่วนบุคคลหรือความเป็นส่วนตัวในภายหลัง 
3. ความเป็นส่วนตัวที่ฝังอยู่ในการออกแบบและสถาปัตยกรรมของระบบไอทีและการดำเนินธุรกิจ ไม่จำเป็นต้องซื้อส่วนเสริมหลังจากข้อเท็จจริงแล้ว ผลที่ได้คือความเป็นส่วนตัวกลายเป็นองค์ประกอบสำคัญของฟังก์ชั่นหลักที่ส่งมอบ ความเป็นส่วนตัวเป็นสิ่งสำคัญสำหรับระบบโดยไม่ต้องลดฟังก์ชันการทำงานลง
4. ฟังก์ชั่นเต็มรูปแบบ กล่าวคือหลักการคุ้มครองข้อมูลส่วนตัวด้วยการออกแบบตั้งแต่ต้นมุ่งหวังที่จะรองรับผลประโยชน์และวัตถุประสงค์ที่ถูกต้องตามกฎหมายในรูปแบบ“ ผลรวมชนะ” ไม่ใช่ผลรวมแบบเป็นศูนย์ จึงไม่ประนีประนอมเพื่อลดความมั่นคงปลอดภัยและความเป็นส่วนตัวลงในการออกแบบสินค้าหรือการให้บริการ

5. การรักษาความปลอดภัยแบบครบวงจร กล่าวคือหลักการคุ้มครองข้อมูลส่วนตัวด้วยการออกแบบตั้งแต่ต้นถูกบูรณาการหรือฝังลงในระบบก่อนที่จะมีการรวบรวมข้อมูล และคำนึงถึงกระบวนการต่อเนื่องจนครอบวงจรของข้อมูลที่เกี่ยวข้อง โดยจะให้ความสำคัญกับมาตรการรักษาความปลอดภัยต่อความเป็นส่วนตัวตั้งแต่ต้นจนจบ ซึ่งจะทำให้มั่นใจได้ว่าข้อมูลทั้งหมดจะถูกเก็บไว้อย่างปลอดภัยและถูกทำลายอย่างปลอดภัยในตอนท้ายของกระบวนการในเวลาที่เหมาะสม ดังนั้น หลักการคุ้มครองข้อมูลส่วนตัวด้วยการออกแบบตั้งแต่ต้นจะทำให้มั่นใจได้ถึงความปลอดภัยและการจัดการวงจรชีวิตของข้อมูลตั้งแต่ต้นจนจบ

6. ทัศนวิสัยและความโปร่งใส กล่าวคือหลักการคุ้มครองข้อมูลส่วนตัวด้วยการออกแบบตั้งแต่ต้นพยายามที่จะสร้างความมั่นใจให้กับผู้มีส่วนได้ส่วนเสียทุกคนไม่ว่าการดำเนินธุรกิจหรือเทคโนโลยีที่เกี่ยวข้องจะเป็นความจริงการดำเนินงานตามสัญญาและวัตถุประสงค์ที่ระบุไว้ภายใต้การตรวจสอบอย่างอิสระ ชิ้นส่วนและการทำงานของมันยังคงมองเห็นได้และโปร่งใสสำหรับผู้ใช้และผู้ให้บริการ จำไว้วางใจ แต่ยืนยัน

7. เคารพความเป็นส่วนตัวของผู้ใช้ และให้ผู้ใช้เป็นศูนย์กลาง กล่าวคือหลักการคุ้มครองข้อมูลส่วนตัวด้วยการออกแบบตั้งแต่ต้นกำหนดให้สถาปนิกและผู้ประกอบการรักษาผลประโยชน์ส่วนบุคคลโดยการเสนอมาตรการดังกล่าวเป็นค่าเริ่มต้นความเป็นส่วนตัวที่แข็งแกร่งประกาศที่เหมาะสมและเพิ่มทางเลือกที่เป็นมิตรกับผู้ใช้ ทำให้ผู้ใช้เป็นศูนย์กลาง

โดยสรุป หลักการคุ้มครองข้อมูลส่วนตัวด้วยการออกแบบตั้งแต่ต้นถือเป็นหลักการที่สำคัญ เพื่อยกระดับมาตรฐานของอุตสาหกรรมให้เน้นหรือให้ความสำคัญกับความเป็นส่วนตัวและความมั่นคงปลอดภัยโดยต้องเริ่มตั้งแต่กระบวนการออกแบบสินค้าหรือการให้บริการ ดังนั้น ระบบหรือมาตรการคุ้มครองความเป็นส่วนตัวจะถูกรวมหรือฝังอยู่ฝนระบบหรือสินค้าหรือบริการตั้งแต่วันเริ่มจำหน่ายในตลาด แม้ว่าหลักการนี้จะมีความยากในการนำไปประยุกต์ใช้และใช้ระยะเวลายาวนานในการผลักดันให้เกิดขึ้นได้จริง แต่ก็เป็นนโยบายที่จำเป็นที่ผู้กำหนดนโยบายจำเป็นต้องดำเนินผลักดันอย่างต่อเนื่องและจริงจัง