ข่าวใหญ่ที่น่าสนใจของเดือนพฤศจิกายน 2025 คือ ยุโรปกำลังจะแก้กฎหมายความเป็นส่วนตัว General Data Protection Regulation (GDPR)
ถ้าใครเคยเข้าเว็บแล้วเจอแบนเนอร์แจ้งเตือนว่า มีการเก็บคุกกี้นะ บังเต็มจอจนแทบไม่เห็นอะไร (สร้างความเดือดร้อนรำคาญให้กับชาวเน็ตทั่วโลก 555) ต้นเหตุของมันมาจากกฎหมาย GDPR ของยุโรปนี่ล่ะ
แต่จริงๆ GDPR ไม่ได้มีแค่เรื่องแบนเนอร์คุกกี้เท่านั้น มันเป็นกฎหมายหลักที่กำหนดเรื่องข้อมูลส่วนตัว (privacy) ของยุโรปเลยก็ว่าได้ และประเทศอื่นๆ รวมถึงไทยก็ไปลอกมันมาอีกที กลายเป็นกฎหมาย PDPA ที่ใช้กันอยู่ในปัจจุบัน มีแนวคิดเรื่องการแจ้งเตือนว่าจะเก็บข้อมูล (คุกกี้) การยินยอมให้เก็บข้อมูล (ขอ consent) และอื่นๆ อีกมาก
GDPR เป็นกฎหมายที่หลักการดูดี คุ้มครองผู้ใช้ ผู้บริโภค แต่ในทางปฏิบัติมันสร้างผลกระทบตามมาอีกมากมาย เพราะบริษัทหน่วยงานต่างๆ มีความ “กลัว” ว่าจะทำผิดกฎหมาย จึงเกิดกระบวนการตามมาอีกมากมายว่าจะต้องแจ้งเตือนลูกค้าอย่างโง้นอย่างงี้ เปลี่ยนเงื่อนไขแล้วต้องให้ลูกค้ากดยอมรับใหม่อีก ฯลฯ จนสุดท้ายเยอะเกิน ลูกค้ารำคาญ เลยเลิกอ่านมันไปซะทั้งหมดแทน
(ในอีกด้านมันก็เกิดอุตสาหกรรมใหม่ที่ขาย compliance, audit อะไรตามมาอีกมาก แต่สุดท้ายคือมีแต่กระพี้ แก่นหรือตัวเป้าหมายจริงๆ มันไม่สำเร็จอย่างที่หวัง)
GDPR เป็นหนึ่งในตัวอย่างที่ล้มเหลวของ EU ที่ “สนใจแต่การกำกับดูแล” มากจนเกินควร กลายเป็นว่าภาคธุรกิจของยุโรปโตไม่ได้เลย (เทียบกับอเมริกาหรือจีน) เพราะกฎหมายมันเยอะเกินไป หลักฐานชี้วัดง่ายๆ คือ บริษัท tech รายใหญ่รายล่าสุดของยุโรปเท่าที่ผมนึกออกคือ Spotify ซึ่งเลือกไปขายหุ้นใน NYSE ฝั่งอเมริกา แม้เป็นบริษัทจากสวีเดนก็ตาม
ยุโรปเองก็เหมือนจะยอมรับปัญหาข้อนี้ ปีที่แล้ว 2024 มีรายงานฉบับหนึ่งที่สร้างแรงสั่นสะเทือนมาก ชื่อว่า Draghi report จัดทำโดยคณะที่นำโดย Mario Draghi อดีตนายกอิตาลี และอดีตประธานธนาคารกลางยุโรป (ECB) ที่ออกมาฟันธงเปรี้ยงเลยว่า ยุโรปดักดานในเรื่องนี้ ภาคเอกชนของยุโรปแข่งขันกับสหรัฐไม่ได้เลย ในรอบ 50 ปีที่ผ่านมา ไม่มีบริษัทยุโรปที่มูลค่าเกิน 1 แสนล้านยูโรเลย ในขณะที่อเมริกามี 6 บริษัท
Draghi ฟันธงว่าต้นตอของปัญหานี้ไม่ได้มาจากยุโรปขาดคนเก่ง ขาดความทะเยอทะยาน แต่เป็นเพราะมีกฎเกณฑ์กำกับดูแลมากเกินไป ทำให้คนเก่งๆ ของยุโรปย้ายไปตั้งบริษัทในอเมริกากันหมด ทางออกเดียวของยุโรปหากจะดันเศรษฐกิจให้ไปต่อจึงเป็นการผ่อนคลายการกำกับดูแลลง
หนึ่งปีหลังจาก Draghi ออกรายงานมา เมื่อคืนนี้ ยุโรปก็ประกาศอย่างเป็นทางการว่าจะผ่อนคลายกฎหมายหลายๆ ข้อลง ทั้งแก้กฎหมาย GDPR ให้ซับซ้อนน้อยลง ลดภาระของผู้ประกอบการลง ลดการแสดงแบนเนอร์คุกกี้ลง ผ่อนคลายกฎหมายกำกับดูแล AI ลง ฯลฯ มาเป็นแพ็กเกจชุดใหญ่
รายละเอียดว่ายุโรปจะแก้ไขอะไรคงไม่ต้องเขียนถึงในที่นี้ (เขียนไว้แล้วใน Blognone) ประเด็นที่ผมเขียนเรื่องนี้ขึ้นมาเพื่อจะบอกว่า นี่คือตัวอย่างของการเดินผิดทาง ที่ประเทศไทยไม่ควรเอาเยี่ยงอย่าง
กฎหมาย PDPA ที่ไปลอก GDPR มา แม้ว่ามีความตั้งใจที่ดี แต่ถามว่าทุกวันนี้สามารถแก้ไขปัญหา scammer เอาข้อมูลหลุดของเรากลับมาหลอกเราได้หรือไม่ ในประเทศนี้คงไม่มีใครตอบว่าแก้ได้ กลายเป็นว่า PDPA ไม่สามารถจับโจร จับคนร้าย สั่งปรับใครได้เท่าไร แต่กลายเป็นภาระมากมายให้คนดีต้องมานั่งเก็บข้อมูล นั่งรายงาน นั่งทำเอกสารเพื่อให้เข้าเกณฑ์ตามกฎหมาย ทั้งที่ทำทั้งหมดไปก็ไม่ได้ช่วยอะไร
การออกเกณฑ์กำกับดูแล AI เป็นอีกเรื่องที่ผมจับตาดูมาเรื่อยๆ และบอกได้เลยว่านี่เป็นสิ่งที่ประเทศไทยก้าวหน้าที่สุดแล้วในเรื่อง AI นั่นคือ เรายังไม่มีตัวเทคโนโลยี AI สักเท่าไรเลย แต่ “นักกำกับดูแล” ของบ้านเราทำงานล่วงหน้าไปเยอะมาก (ต้องยอมรับว่าขยันจริง แต่ผิดเรื่องเนอะ) เรามาสนใจตัวแก่น สาระสำคัญของมันกันก่อนดีกว่า แล้วถ้าใช้งานไปเกิดปัญหาขึ้นมา ค่อยๆ มาปรับแก้กันไปภายหลัง
ประเทศไทยมีปัญหาเรื่องกฎเกณฑ์กฎระเบียบที่ยุ่งยาก ซ้ำซ้อน และพยายามทำ regulatory guillotine กันมานานก็ไม่สำเร็จ (มีผู้สันทัดกรณีบอกว่าเป็นเพราะให้ข้าราชการทำ ก็จะไม่มีใครกล้าตัดกฎหมายเก่าที่ตัวเองถืออยู่ เพราะกลัวผิด) เราอย่าซ้ำเติมปัญหานี้ให้รุนแรงขึ้น ด้วยการเพิ่มกฎเกณฑ์ เพิ่ม compliance ในเรื่องเทคโนโลยีใหม่ๆ เข้ามาอีกดีกว่าครับ