เมื่อองค์กรใหญ่ ไม่คุ้มครองข้อมูลส่วนบุคคล

เมื่อองค์กรใหญ่ ไม่คุ้มครองข้อมูลส่วนบุคคล
Be1con Life

Photo by Oliur on Unsplash

ประเด็นด้านความเป็นส่วนตัวนั้นเริ่มได้รับความสนใจมากยิ่งขึ้น เนื่องจากพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Act; PDPA) กำลังจะบังคับใช้ในเดือนนี้ ก็เลยจะมาเล่าเหตุการณ์ที่ทำให้ผมรู้สึก pissed off กับบริษัทใหญ่ (ติดท็อป 5) ของประเทศนี้ให้ฟังครับ

เนื่องจากเราสมัครบัตรสมาชิกของห้างดังสีแดงมานานมากแล้ว แน่นอนว่า เขา “แชร์” ข้อมูลส่วนบุคคลมายังบริษัทภายนอกที่เป็นคู่ค้า (ตามที่กำหนดไว้ในเงื่อนไขของการให้บริการ ซึ่งมีนโยบายส่วนนี้ก่อนที่จะมี พรบ. ฉบับนี้ออกมาด้วยซ้ำ) โดยรวมไปถึง บริษัทประกันชีวิตเจ้าหนึ่ง (G_______) และธนาคารแห่งหนึ่ง (U__)

ส่วนตัวผมแล้ว ผมเป็นคนหนึ่งที่ค่อนข้างนับถือแนวทางการบริหารงานของบริษัทนี้ เพราะว่าไม่ค่อยมีเรื่องที่ fishy ออกมามากนัก และมีภาพลักษณ์ที่ค่อนข้างเป็นบวก มากกว่าอีกบริษัทหนึ่งที่จากประสบการณ์มา เจอแต่ภาพลักษณ์ลบมาโดยตลอด (ผมหมายถึง __ นั่นแหละครับ เซ็นเซอร์ไว้ แต่น่าจะรู้กันว่าเจ้าไหน)

กลับมาเรื่องของการแบ่งปันข้อมูลกันต่อดีกว่า ในส่วนประกันเนี่ย เขาติดต่อมาหาเราทางโทรศัพท์ แน่นอนว่ารับสาย บอกตามตรงว่าได้คอนแทกต์มาจากไหน และติดต่อมาจากบริษัทอะไร มีความโปร่งใสดี แต่เนื่องจากเรามีประกันชีวิตอยู่แล้ว เราเลยปฏิเสธ ซึ่งหลังจากปฏิเสธสายไปแล้ว บริษัทฯ ก็ไม่ติดต่อกลับมาอีกเลย ซึ่งผมถือว่าเป็น Best Case นะครับของกรณีนี้ (แต่ก็ไม่ควรอยู่ดี)

แต่สำหรับธนาคารเนี่ย มันส่งมา 3 รอบ! ย้ำ! 3 รอบ! (บ้าไปแล้ว!)

ความสัมพันธ์อันน่าสับสนระหว่างธนาคารกับห้างสรรพสินค้า

Photo by rupixen.com on Unsplash

ก่อนอื่นต้องเล่ามาก่อนว่า บริษัทรายใหญ่ ๆ โดยเฉพาะห้างสรรพสินค้าเนี่ย มันย่อมมีบริการด้านการเงินอยู่แล้ว โดยส่วนมากจะเป็นในรูปแบบของพันธมิตรบัตร อย่างเช่น ห้างสรรพสินค้าสีเขียว มีพันธมิตรเป็นธนาคารจากญี่ปุ่น, ห้างริบบิ้นแดง มีพันธมิตรเป็นธนาคารสีม่วง แต่ส่วนมากมักจะมาจากธนาคารไทยสัญชาติญี่ปุ่นเจ้าดัง

อย่างไรก็ดี ห้างสรรพสินค้าส่วนมาก ก็มักจะวางตัวเป็นกลาง (แม้จะมีส่วนได้ส่วนเสียในด้านการทำบริการทางการเงินก็เหอะ) จะเห็นได้จากการไปจับมือกับธนาคารหลายรายเพื่อมาทำโปรโมชันร่วมกัน

ทีนี้ ไอ้ธนาคารที่ติดต่อมาเนี่ย ไม่ได้เป็นธนาคารที่เป็นพันธมิตรทำบัตรร่วมกันกับห้างสรรพสินค้าเลย แต่มันไปตกอยู่อย่างที่สองครับ คือ ทำโปรโมชันร่วมกัน

ตอนที่ 1: จดหมาย (เปียก)

Photo by Christian Wiediger on Unsplash

ความสนุกของเคสนี้คือ รอบแรก ผมได้รับจดหมายมาจากธนาคารเจ้านี้ เสนอขายบัตรเครดิต (ซึ่งก็ไม่แปลกใจเท่าไร เพราะผมไปซื้อของกินไว้ที่ห้องที่โซนขายสินค้าอุปโภค/บริโภคของเจ้านี้ประจำ จนได้คูปองมาทุก 3 เดือน แต่ช่วงนี้ไม่ได้ไป เพราะติด quarantine อยู่)

แน่นอนว่างวดนั้น สิ่งที่ทำก็คือ โยนจดหมายทิ้ง เอากระดาษไปรีไซเคิลเสีย เคลือบมันมาซะอย่างดีเสียด้วย เสียดาย เปียกน้ำฝนที่ตกลงมา ช่างมัน…

ตอนที่ 2: ลุกลามมายัง SMS

สภาพ SMS ที่ได้มา ยังดีที่มีลิงก์ให้ unsubscribe

ถัดมา เมื่อวันพุธที่แล้ว ระหว่างรอเวลาการประชุม ได้มี SMS เข้ามา

และแน่นอนว่า Same Shit ครับพ่อแม่พี่น้อง เนื้อหาเหมือนกับที่ส่งจดหมายมาเลย แต่สิ่งที่ต่างมีเพียงอย่างเดียวคือ รอบนี้ส่งมาเป็น SMS และมีลิงก์ให้กด unsubscribe ตัว SMS ด้วยเว้ย

สิ่งที่แปลกใจคือ ทำไมไม่มี tracking link ในลิงก์ตัว unsubscribe วะเนี่ย…

พอกดเข้าไปดูเนี่ยแหละ ถึงกับผ่างเลยว่า ไม่มีแบบฟอร์ม และให้กดตัวลิงก์ที่ภาพ เพื่อที่จะส่งอีเมล์ไปหาทางบริษัทให้ยกเลิกให้!

ที่สำคัญที่สุดคือ เมื่อส่งอีเมล์ยกเลิก ก็ไม่การันตีว่าจะยกเลิกทันทีด้วย ต้องรอภายใน 3 วันถึงจะยกเลิกให้

ผมถึงกับผงะเลยครับว่า เป็นบ้าอะไรของพี่เนี่ย กดลิงก์ยกเลิก ไม่มีระบบอัตโนมัติให้ยกเลิก ต้องส่งอีเมล์ แถมมันไม่ได้ยกเลิกโดยทันทีด้วย

เว็บไซต์เจ้ากรรมที่ว่า

แน่นอนว่า พอมาอย่างนี้ปุ๊ป เราทำอะไรไม่ได้ นอกจากส่งอีเมล์ไปหาบริษัท ซึ่งตอบสนองค่อนข้างไวพอสมควร (เพราะคิดว่าเจอเคสนี้ประจำ แถมเพิ่งเป็นช่วงเริ่มทำงาน เพราะส่ง SMS มาตอน 9 โมงพอดี แต่ก็นั่นแหละ ทำไมไม่ทำแบบฟอร์มให้ยกเลิกไปเลย)

จบเคสนี้ไปอย่างสบาย แต่อย่าลืมว่า มันยังมี Final Boss รอเราอยู่ และ Final Boss อันนั้นก็คือ… อีเมล์ของเราไงล่ะครับ

ตอนที่ 3: The Final Boss?

ช่วงเวลา 11 โมงของวันเดียวกัน ระหว่างการประชุมกับผู้ใหญ่นั้น ซึ่งช่วงนั้นก็นั่งเช็กอีเมล์เสียหน่อยว่ามีอะไรบ้าง เพราะมีอีเมล์ส่งมาก่อนหน้านี้อยู่แล้ว และแน่นอนว่า ระหว่างการเช็กอีเมล์ ผมก็เช็กกล่อง spam box และพบอีเมล์หนึ่งที่ชื่อคุ้น ๆ เพราะมันคือเจ้าเดียวกัน ข้อความแบบเดียวกันเลย!

อีเมล์เจ้ากรรม

ช่วงนั้นความอดทนเริ่มถึงขึดสุด และเริ่มรู้สึกว่า ไอ้นี่จะขายเราให้ได้เลยใช่ไหม

สิ่งที่ผมทำในขั้นถัดมาคือ ท้ายอีเมล์มีลิงก์ให้กด unsubscribe ถึง 2 ที่ (เนื่องจากใช้ client ข้างนอกในการไดรฟ์มาร์เก็ตติ้ง ซึ่งแน่นอนว่าเริ่มมีข้อกังวลเพิ่มเติมมาแล้ว เดี๋ยวจะเล่าต่อหลังจากนี้)

อะ โอเค กดลิงก์แรก เป็นลิงก์ของมาร์เก็ตติ้ง ก็กดยกเลิกตามปกติ เหมือนระบบ mailing list ปกติทั่วไป ตามมาตรฐานสากลของพวกนี้

แต่ครับแต่ อย่าลืมนะว่ามีลิงก์ที่ 2 อยู่ เมื่อกดลิงก์นั้นไปแล้ว สิ่งที่เจอก็คือ มันเป็นลิงก์สร้างอีเมล์ (อีกแล้ว) นี่ระบบธนาคารเจ้านี้ไม่มีการทำหน้าเว็บยกเลิกการรับข้อความในทุกช่องทางหรือไงเนี่ย

ไหน ๆ ก็มีปุ่มยกเลิกรับข่าวสารทั้ง 2 ที่ ก็กดมันซะทั้งคู่ละกัน

สิ่งที่ผมทำได้ก็คือ ได้แต่ถอนหายใจ แล้วก็เขียนอีเมล์บอกไปตามตรงว่า ไม่รับในทุกช่องทาง เพื่อตัดปัญหานี้ออกจากชีวิตเสียที

แต่ครับแต่ ในหัวอีเมล์เขียนว่าอะไรนะครับ ภายใน 3 วันทำการ ทำไมพี่ทำงานช้าแบบนี้ครับ? ยังใช้ระบบจัดการอีเมล์ทางการตลาดแบบเดิม หรือว่าต้องไปนั่งไล่เปิด query เพื่อลบในฐานข้อมูลทีละตัวกันแน่? ระบบธนาคารมันควรจะทันสมัยกว่านี้ไม่ใช่หรอ? นี่ยังไม่นับเรื่องบัตรเครดิตสำหรับวัยรุ่นที่เจ้านี้ออกมาอีกนะ…

ประเด็นสุดท้ายที่น่ากังวลที่สุดคือ ถ้าหากธนาคารมีอีเมล์แล้วเนี่ย มันมีโอกาสที่จะทำ Target ads ยิงมาหาเราบน Facebook ได้อีกนะ เพราะอย่าลืมว่าพวกนี้มันใช้ทริกนี้ตลอด

ตอนที่ 4: ขายตรง

และล่าสุด เมื่อไม่กี่นาทีที่ผ่านมา (5/5/2020 เวลา 15:36) ผมได้รับสายจากเบอร์โทรศัพท์แปลกหน้าเข้ามาเบอร์ส่วนตัว และเมื่อรับสาย ได้สอบถามชื่อว่าตรงไหม ซึ่งตอบว่าตรง

แล้วก็เริ่มสคริปขายของ ด้วยการบอกว่า สมาชิกบัตร ___ _ มีสิทธิพิเศษสำหรับการสมัครบัตร… ซึ่งฟังดูแล้ว แม่ง เจ้าเดิมอีกแล้วนิหว่า แล้วไอ้ที่่เราส่งอีเมล์ไปขอยกเลิกการรับข่าวสารจากบริษัททุกช่องทางนี่ไม่ได้ผลหรือไงวะเนี่ย

ความพีคคือ เขาจะส่งเจ้าหน้าที่มารับใบสมัครถึงที่บ้าน ซึ่ง บ้าไปแล้ว! แล้วพอมีคำถามว่าสะดวกให้เจ้าหน้าที่ไปรับที่ไหนได้ ผมเลยใช้ช่องทางนี้ตอบตรง ๆ ว่า ไม่รับครับ และขอให้นำรายชื่อออกทั้งหมดด้วย

เรื่องทั้งหมดนี้เป็นเรื่องที่รับไม่ได้อย่างมาก เพราะว่าคุณกำลังจะละเมิดสิทธิส่วนบุคคลของผมอยู่ โดยที่ผมไม่สมัครใจใช้บริการของคุณเลย และถ้าหากผมไม่ยื่นคำขาด แล้วอยู่ดี ๆ มีเซลล์มาบุกที่บ้านเพื่อขายล่ะ

มันผิดหลัก PDPA อย่างชัดเจนมาก และเป็นการกระทำที่ไม่น่าให้อภัยเป็นอันขาด

บทส่งท้าย: ใครคือผู้ที่ต้องรับผิดชอบตัวจริง

จริง ๆ ก็ต้องยอมรับกันตามตรงว่า ถ้าหากจะหาคนผิดจริง ๆ ก็คงจะหาไม่ยากแหละว่าใครเป็นคนปล่อย mailing list พวกนี้ออกมา ทั้งชื่อ ที่อยู่ เบอร์โทรศัพท์ และอีเมล์ เพราะทั้ง 2 รายต่างก็ระบุชื่อต้นทางมาว่าใครเป็นคนส่งมา

แต่นั่นแหละครับ ปัญหาจริง ๆ มันเกิดจาก 3 ประเด็นหลัก ๆ ที่ผมพอจะสรุปคร่าว ๆ ได้ว่า

  1. นโยบายความเป็นส่วนตัว ที่ระบุไว้เนี่ยก็บอกไว้ชัดเจนแล้ว แต่ปัญหาคือ ภาษากฎหมายที่ไม่ค่อยมีใครอยากจะอ่านกัน พอมันยาวมากก็เกิดอาการ Too Long, Don’t Read เสียอย่างนั้น
  2. ธุรกิจ เพราะเนื่องจากงบการตลาดมันก็จัดว่าเป็น revenue stream อันหนึ่งของบริษัทพวกนี้ จะโทษก็พอจะโทษได้แหละ แต่มันก็คือธุรกิจ เขาก็ต้องหารายได้เพื่อเอาใจผู้ถือหุ้นเป็นเรื่องปกติอยู่แล้ว
  3. กฎหมายในประเทศไทยที่ยังหละหลวม ซึ่งส่วนนี้กำลังจะได้รับการแก้ไขด้วย PDPA ที่ว่าไปตอนต้น ความแรงของกฎหมายนี้ถือว่าแรงพอ ๆ กับ GDPR เลยแหละ

แต่สุดท้าย ผมก็มองว่า มันก็อยู่กับอีกปัจจัยหนึ่งด้วย นั่นก็คือ จรรยาบรรณในการดำเนินธุรกิจ คุณจะบอกปาว ปาว ปาว ว่าหน่วยงานของคุณมีธรรมาภิบาลภายในองค์กร แต่ Action is always louder than words หรือการกระทำสำคัญกว่าคำพูด

และนี่คือหนึ่งในสิ่งที่ทำให้คำว่า ธรรมาภิบาล ที่เอาไว้ใช้ PR มันไม่มีอยู่จริง

Discover more from Be1con's Blog

Subscribe now to keep reading and get access to the full archive.

Continue reading