จะช่วยแรงงานยุคใหม่ รัฐควรต้องปรับตัว

มกราคม 12, 2024มีนาคม 14, 2025 เขมภัทร ทฤษฎิคุณ

เผยแพร่ครั้งแรกเมื่อวันที่ 26 ธันวาคม 2566 บนเว็บไซต์ pridi.or.th

“ธุรกิจแพลตฟอร์ม” เป็นการประกอบธุรกิจรูปแบบใหม่ที่แตกต่างจากการประกอบธุรกิจที่ผ่านมา โดยเป็นผลมาจากสั่งสมและพัฒนาเทคโนโลยีหลายด้านๆ เข้าด้วยกัน วัตถุประสงค์ของการดำเนินธุรกิจแพลตฟอร์มคือ การเข้ามาแก้ไขปัญหาพื้นฐานในชีวิตประจำวันของมนุษย์ให้สะดวกสบายมากขึ้น อาทิ การเดินทาง โดยเข้ามาช่วยเติมเต็มและแก้ไขปัญหาการเข้าถึงรถโดยสารสาธารณะหรือการไม่มียานยนต์ขับขี่ส่วนตัว หรือการส่งอาหาร ซึ่งแต่เดิมไม่ใช่ทุกร้านอาหารจะมีบริการส่งอาหาร

อย่างไรก็ดี การเกิดขึ้นของธุรกิจแพลตฟอร์มนำมาสู่ปัญหาใหม่ๆ ในสังคมโดยเฉพาะอย่างยิ่งปัญหาเกี่ยวกับการทำงาน ด้วยลักษณะของธุรกิจแพลตฟอร์มที่เปลี่ยนแปลงสภาพการทำงานและความสัมพันธ์ในการทำงานที่มีอดีต ทำให้กรอบทางกฎหมายที่เคยใช้ในการคุ้มครองแรงงานอาจจะไม่ตอบโจทย์อีกต่อไป ในขณะเดียวกันแรงงานในธุรกิจแพลตฟอร์มก็ได้รับผลกระทบจากการมีอำนาจทางเศรษฐกิจที่สูงกว่าทำให้ไม่สามารถที่จะเข้าสู่กระบวนการต่อรองกับธุรกิจแพลตฟอร์มได้เหมือนกับแรงงานในอดีต

มิเพียงเท่านี้บทบาทของรัฐในการเข้ามาแทรกแซงเพื่อที่จะช่วยเหลือและรักษาประโยชน์ของแรงงานกลุ่มนี้ทำได้จำกัด เพราะลักษณะของธุรกิจที่ซับซ้อนและมีความเปลี่ยนแปลงอยู่ตลอดเวลา ทำให้รัฐไม่สามารถที่จะตามธุรกิจแพลตฟอร์มเหล่านี้ทันและสร้างมาตรการเพื่อควบคุมพฤติกรรมที่ละเมิดสิทธิของแรงงานแพลตฟอร์มได้

บทความนี้ต้องการจะนำเสนอรายละเอียดของสภาพปัญหาดังกล่าว โดยมุ่งเน้นไปที่แรงงานในแพลตฟอร์มส่งอาหารเป็นหลัก พร้อมทั้งให้แนวทางแก้ไขปัญหาเบื้องต้นกับรัฐบาลและผู้มีส่วนเกี่ยวข้อง

ลักษณะธุรกิจที่ผิดแปลกจากอดีต

ในอดีตเวลาเราต้องการสั่งพิซซ่าจากร้าน เราอาจจะโทรศัพท์ไปที่ Call Center โดยตรง (ถ้าไม่ได้สั่งที่ร้าน) และร้านพิซซ่าก็จะให้พนักงานขับรถมาส่งอาหาร ลักษณะของการขายสินค้าจึงเป็นกิจกรรมที่เกิดขึ้นระหว่างร้านอาหารกับผู้บริโภคโดยตรง ยอดขายและความสามารถในการส่งสินค้าขึ้นอยู่กับโปรโมชันและศักยภาพในการส่งสินค้าของร้านอาหารโดยตรง

แต่ลักษณะของการประกอบธุรกิจนั้นได้เปลี่ยนไปเมื่อธุรกิจแพลตฟอร์มมาถึง แพลตฟอร์มเข้ามาทำหน้าที่เป็นบุคคลที่สาม ในการจับคู่ความต้องการระหว่างผู้บริโภคและ Partner ซึ่งได้แก่ ร้านอาหาร และคนขับรถส่งอาหาร สภาพดังกล่าวทำให้เกิดความสัมพันธ์ 3 ฝ่ายระหว่างผู้บริโภค ร้านอาหาร และคนขับรถส่งอาหาร

ทั้ง 3 ฝ่ายนี้ถูกเชื่อมโยงกันโดยมีแพลตฟอร์มเข้ามาเป็นตัวกลางในการจับคู่ธุรกรรม กล่าวให้ง่ายขึ้นคือ ทำหน้าที่เป็นตัวกลางในการจัดการความต้องกลางของผู้บริโภคสินค้า ร้านอาหารในการขายของ และคนขับรถส่งอาหารในการหารายได้จากการทำงาน

สิ่งนี้ทำให้เกิดสภาพการดำเนินธุรกิจแพลตฟอร์มแตกต่างจากอดีตที่โดยทั่วไปแล้วเป็นตลาดด้านเดียว (Single-sided Market) กล่าวคือเป็นตลาดระหว่างผู้บริโภคกับผู้ขายสินค้า แต่ในกรณีของแพลตฟอร์มที่มีทั้งผู้บริโภค ร้านอาหาร และคนขับรถส่งอาหารลักษณะของตลาดการประกอบธุรกิจจึงกลายเป็นตลาดหลายด้าน (Multi-sided Market) ด้วยกัน เป็นความสัมพันธ์หลายคู่ที่เชื่อมโยงกันโดยมีแพลตฟอร์มอยู่ตรงกลางของความสัมพันธ์เหล่านั้น ดังปรากฏตามภาพประกอบข้างท้ายนี้

ที่มา: FourWeekMBA

ความสัมพันธ์แบบตลาดหลายด้านนี้ ได้นำไปสู่การเกิดขึ้นของอำนาจทางเศรษฐกิจรูปแบบใหม่ที่แตกต่างจากอำนาจทางเศรษฐกิจแบบเดิมคือ อำนาจของแพลตฟอร์ม

อำนาจแพลตฟอร์มเหนือการควบคุมแบบเดิม

อำนาจแพลตฟอร์มเกิดขึ้นจากความสัมพันธ์ทางเศรษฐกิจที่แตกต่างจากความสัมพันธ์ทางเศรษฐกิจแบบเดิมในอดีตคือ การมีผู้มีส่วนเกี่ยวข้องในธุรกรรมหลายฝ่ายในตลาดหลายด้านทำให้แพลตฟอร์มเกิดอำนาจใหม่คือ อำนาจของแพลตฟอร์ม

การเกิดขึ้นของอำนาจแพลตฟอร์มนี้เกิดจากปัจจัยพื้นฐาน 3 ประการ ได้แก่

ประการแรก ผลกระทบเชิงเครือข่าย (Network effect) ที่เกิดจากความสัมพันธ์หลายฝ่ายบนธุรกรรมแพลตฟอร์ม เมื่อแพลตฟอร์มสามารถดึงเอาผู้บริโภคและผู้ให้บริการร่วมเข้ามาอยู่ภายใต้ระบบนิเวศเดียวกัน ทำให้ลักษณะการทำงานของตลาดแพลตฟอร์มแตกต่างธุรกิจดั้งเดิมโดยเป็นตลาดหลายด้าน (Muti-sided market) ตลาดแต่ละด้านจะส่งผลเชื่อมโยงระหว่างกันและกัน กล่าวคือ เมื่อตลาดด้านผู้บริโภคเพิ่มขึ้นก็จะทำให้ตลาดด้านผู้ขายสินค้าเพิ่มขึ้นตามไปด้วย เพราะทำให้เกิดความอยากขายสินค้าเพิ่มขึ้นเช่นกัน ในส่วนของตลาดด้านคนขับรถส่งอาหารก็จะเพิ่มขึ้นตามไปด้วยเช่นกันจากการเล็งเห็นว่ามีงานเพิ่มขึ้น สิ่งนี้เรียกว่าผลกระทบเชิงเครือข่ายที่เกิดจากผลกระทบในตลาดหนึ่งไปสู่อีกตลาดหนึ่ง

ประการที่สอง ความสามารถในการสกัดกั้น ควบคุม และวิเคราะห์ข้อมูล โดยความสามารถนี้เกิดขึ้นมาจากการสามารถเก็บข้อมูลได้มากกว่าปกติ ซึ่งในอดีตการเก็บข้อมูลเพื่อรู้จักตัวผู้บริโภคกระทำผ่านการสำรวจความต้องการทางการตลาด แต่การที่แพลตฟอร์มสามารถเก็บรวบรวมคนจำนวนมาก และเก็บข้อมูลได้ในระดับพฤติกรรมแบบ Real time ทำให้แพลตฟอร์มมีศักยภาพในการนำข้อมูลดังกล่าวไปใช้วิเคราะห์ รวมถึงควบคุมพฤติกรรมของผู้บริโภค ผู้ขายสินค้า และคนขับรถขนส่งอาหารบนแพลตฟอร์ม ผ่านการนำเสนอสินค้าและบริการเฉพาะรายบุคคล และผ่านการสร้างแรงจูงใจทางเศรษฐกิจกับผู้ขายสินค้าและคนส่งอาหาร รวมถึงนำข้อมูลดังกล่าวมาใช้สร้างเงื่อนไขในการใช้บริการ

ประการที่สาม ต้นทุนที่สูงในการเปลี่ยนแพลตฟอร์ม เนื่องจากการเปลี่ยนไปสู่แพลตฟอร์มใหม่ ๆ นั้นไม่ใช่เพียงความไม่คุ้นเคยกับประสบการณ์ใช้งานของแพลตฟอร์มที่แตกต่างกัน แต่การย้ายไปสู่แพลตฟอร์มใหม่มีต้นทุนที่มากกว่านั้น ในแง่หนึ่งคือผลประโยชน์ในเชิงของชื่อเสียง ที่ได้รับจากการให้คะแนนรีวิวสินค้าและบริการบนแพลตฟอร์ม รวมถึงการสร้างระบบผลประโยชน์ตอบแทนในระบบบิดภายใต้แพลตฟอร์มหนึ่ง ซึ่งไม่สามารถโอนย้ายไปยังแพลตฟอร์มอื่น ๆ ได้ อาทิ คะแนนสะสม และเครดิตเงินคืน สิ่งนี้กระทบต่อคนส่งอาหารในฐานะแรงงานในธุรกิจแพลตฟอร์มนี้ เพราะเท่ากับว่าแรงงานมีต้นทุนที่สูงในการโยกย้ายแพลตฟอร์ม เพราะแรงงานจะสูญเสียคะแนนจากการรีวิว และแม้ว่าในทางปฏิบัติเราจะเห็นว่าแรงงานอาจจะทำงานให้มากกว่าหนึ่งแพลตฟอร์มในเวลาเดียวกัน แต่สิ่งนี้มีข้อจำกัดและไม่ได้สะดวกอย่างที่เห็นซึ่งจะได้กล่าวถึงต่อไป

ไม่เพียงแต่อำนาจของแพลตฟอร์มเท่านั้น อีกสิ่งที่ทำให้แพลตฟอร์มแตกต่างจากธุรกิจแบบดั้งเดิมและกระทบต่อความสัมพันธ์ในทางแรงงานคือ การอยู่เหนือการควบคุมของรัฐ ธุรกิจแพลตฟอร์มอาศัยช่องว่างของกฎหมายที่รองรับความสัมพันธ์ของแรงงานแบบเดิม ทำเกิดภาวะสุญญากาศในการคุ้มครองแรงงานและคนงาน กล่าวคือ กฎหมายแรงงานเดิมออกแบบขึ้นมาเพื่อรองรับความสัมพันธ์ในทางแรงงานในสถานประกอบการ และสัญญาจ้างแรงงานแบบเดิมที่ไม่ยืดหยุ่น

ในขณะเดียวกันอำนาจของแพลตฟอร์มนั้น ไม่ได้จำกัดอยู่เฉพาะอำนาจทางเศรษฐกิจเท่านั้น แต่ยังมีอำนาจทางการเมืองด้วยเช่นกัน จากงานวิจัยของของโจอันนา มาซูร์ และมาร์ซิน เซราฟิน ในปี ค.ศ. 2022 ได้ระบุว่าในกรณีของธุรกิจแบบดั้งเดิมนั้นหากธุรกิจเหล่านี้กระทำการใดๆ ที่ส่งผลกระทบในเชิงลบต่อสังคม รัฐอาจจะดำเนินการปิดกิจการนั้นเสีย หรือพยายามเข้าไปควบคุมผ่านการดำเนินการลงโทษหรือปรับเงิน แต่ธุรกิจแพลตฟอร์มนั้น แตกต่างออกไปผลกระทบเชิงโครงข่ายไม่ได้ ทำให้แพลตฟอร์มมีอำนาจทางทางเศรษฐกิจเท่านั้น แต่ในขณะเดียวกันผลกระทบเชิงโครงข่ายได้ ทำให้แพลตฟอร์มมีไพ่เหนือกว่ารัฐไปด้วย ผ่านการที่แพลตฟอร์มเข้าถึงผู้บริโภคและผู้ให้บริการร่วมจำนวนมาก ซึ่งบรรดาคนเหล่านี้เป็นผู้มีสิทธิเลือกตั้งและเป็นฐานคะแนนเสียงของรัฐบาล ทำให้เมื่อรัฐพยายามเข้ามากำกับดูแลแพลตฟอร์ม อาจทำให้เกิดการต่อต้านจากบรรดาผู้มีสิทธิเลือกตั้งที่เป็นผู้บริโภคของแพลตฟอร์ม

นอกจากนี้ รัฐยังมีข้อจำกัดในการเข้ามาควบคุมการประกอบธุรกิจแพลตฟอร์ม เนื่องจากปัญหาความไม่สมมาตรกันของข้อมูลของรัฐกับธุรกิจแพลตฟอร์ม เพราะว่าลักษณะของการประกอบธุรกิจแพลตฟอร์ม มีการเปลี่ยนแปลงอยู่ตลอดเวลา เนื่องมาจากปัจจัยที่สลับซับซ้อนในการวิเคราะห์และอัลกอริธึมภายหลังระบบ ซึ่งรัฐไม่สามารถเข้าใจข้อมูลดังกล่าวได้ จากการเข้าไม่ถึงข้อมูลที่อยู่ในความครอบครองของแพลตฟอร์ม

ผลกระทบของแพลตฟอร์มต่อแรงงาน

ผลกระทบของธุรกิจแพลตฟอร์มต่อแรงงานนั้น ส่งผลสำคัญมากๆ ซึ่งปัญหาดังกล่าวเกิดมาจากการที่กฎหมายไม่สามารถเข้าไปควบคุมและกำกับกิจกรรมของแพลตฟอร์มได้

การที่กฎหมายปัจจุบันไม่คุ้มครองในแรงงานในมิติต่างๆ ได้แก่

ประการแรก สัญญาจ้างแบบยืดหยุ่น การไม่นำความสัมพันธ์แบบการจ้างงานมาใช้ ทำให้ลักษณะของการทำงานของแรงงานมีความไม่มั่นคง นายจ้างมีอำนาจต่อรองและสามารถยกเลิกสัญญาได้ตลอดเวลา

ประการที่สอง สภาพการทำงานที่ไม่มั่นคง และการถ่ายโอนความเสี่ยงด้านต้นทุนของการทำงานไปยังแรงงาน สภาพการทำงานที่พ้นไปจากสัญญาจ้าง ทำให้สภาพแวดล้อมในการทำงานภายใต้แพลตฟอร์มต่ำกว่ามาตรฐานแรงงานทั่วไป

ประการที่สาม การไม่มีอำนาจต่อรองที่เท่าเทียมกัน ผลจากการไม่มีสถานะทางสัญญาจ้างแรงงานและการมีความสัมพันธ์ทางอำนาจที่เหลื่อมล้ำกัน ส่งผลให้แรงงานแพลตฟอร์มต่าง ๆ นั้นจะมีระบบการจัดสรรงานและโอกาสในการทำงานให้กับแรงงานไม่เท่ากัน ในขณะเดียวกันแรงงานมีต้นทุนที่สูงในการเปลี่ยนแพลตฟอร์ม แม้ว่าในทางปฏิบัติจะสามารถย้ายแพลตฟอร์มทำงานได้ แต่การย้ายแพลตฟอร์มก็มาพร้อมข้อจำกัด เนื่องจากแพลตฟอร์มสามารถตั้งเงื่อนไขให้ในกรณีที่ไม่ได้รับงานเป็นระยะเวลาหนึ่ง หรือไม่ได้เชื่อมต่อกับระบบเป็นเวลานาน อาจทำให้ถูกปฏิเสธการเข้าใช้งานและถูกบล็อกออกจากระบบ

ประการที่สี่ การตั้งเงื่อนไขให้แรงงานแพลตฟอร์มสะสมทุนผ่านชื่อเสียง การสะสมอิทธิพลของแรงงานแพลตฟอร์ม กระทำผ่านการสะสมชื่อเสียงจากการรีวิวการทำงาน เงื่อนไขเหล่านี้ถูกนำมากำหนดเป็นความดีความชอบในการทำงาน โดยแรงงานได้ประโยชน์จากการอยู่ในระบบหนึ่งๆ แต่ไม่สามารถย้ายชื่อเสียงหรือผลงานของตัวเองออกไปยังระบบอื่นๆ ได้ โดยเมื่อออกมาจากระบบแล้ว ชื่อเสียงดังกล่าวแทบไม่มีประโยชน์ต่อแรงงานเลย

รัฐจะช่วยแรงงานได้อย่างไร

การแก้ไขปัญหานี้รัฐต้องเข้ามาแทรกแซง โดยเฉพาะในเรื่องของกฎหมายแรงงานและสัญญาจ้าง การแก้ไขกฎหมายแรงงานให้ครอบคลุมถึงแรงงานแพลตฟอร์มในเรื่องชั่วโมงการทำงาน การมีหลักประกันความเสี่ยงภัยในการทำงาน และความคุ้มครองที่เกิดขึ้นจากการจ่ายเงินทดแทน เพื่อให้แรงงานได้รับความคุ้มครองจากที่ไม่เคยได้รับการคุ้มครองมาก่อน รวมถึงการกำหนดให้ต้องมีการแจ้งล่วงหน้าในการเปลี่ยนแปลงข้อตกลงเกี่ยวกับการทำงานล่วงหน้าเพื่อให้แรงงานแพลตฟอร์มสามารถตัดสินใจได้

การเข้ามาแทรกแซงนิติสัมพันธ์ในเรื่องนี้ โดยเบื้องต้นช่วยให้แรงงานสามารถที่จะได้รับความคุ้มครองเพิ่มขึ้น อย่างไรก็ดี การดำเนินการกำกับกิจกรรมบนแพลตฟอร์ม รัฐต้องเข้าไปดำเนินการมากกว่าการควบคุมธุรกิจในแบบเดิม

อ้างอิงจาก

Sebastian Wismer and Arno Rasek, “Market Definition in Multi-sided Markets,” OECD [Online], accessed 16 November 2023, from https://one.oecd.org/document/DAF/COMP/WD%282017%2933/FINAL/En/pdf#:~:text=As%20multi%2Dsided%20markets%20involve%20distinct%20groups%20of%20customers%2C%20there,market%20encompassing%20all%20customer%20groups
ธร ปิติดล, เศรษฐกิจแพลตฟอร์มกับความท้าทายของเศรษฐกิจไทย: บทเรียนจากโครงการชุมชนนโยบายเศรษฐกิจแพลตฟอร์ม, (กรุงเทพฯ: มูลนิธิฟรีดริค เอแบร์ท, 2564).
สมเกียรติ ตั้งกิจวานิชย์ และคณะ, “รายงานฉบับสมบูรณ์การศึกษาผลกระทบและนำเสนอมาตรการในการกำกับดูแล Digital Platform ในประเทศไทย,” (รายวิจัยเสนอต่อสำนักงานสภานโยบายการอุดมศึกษา วิทยาศาสตร์ วิจัยและนวัตกรรมแห่งชาติ โดย หน่วยบริหารและจัดการทุนด้านการเพิ่มความสามารถในการแข่งขันของประเทศ (บพข.), 2566).
เดือนเด่น นิคมบริรักษ์, “การผูกขาดกับความเหลื่อมล้ำในภาคธุรกิจ,” TDRI [Online] สืบค้นเมื่อ 16 พฤศจิกายน 2566, จาก https://tdri.or.th/wp-content/uploads/2013/05/A151_Chapter2.pdf
ธร ปีติดล, “เศรษฐกิจแพลตฟอร์มกับความท้าทายของเศรษฐกิจไทย (2): การผูกขาด การแข่งขัน และโจทย์ใหญ่ของการกำกับดูแล,” the 101.world [Online] สืบค้นเมื่อ 16 พฤศจิกายน 2566, จาก https://www.the101.world/platform-econ-challenge-thai-2/
อรรคณัฐ วันทนะสมบัติ และเกรียงศักดิ์ ธีระโกวิทขจร, แพลตฟอร์มอีโคโนมีและผลกระทบต่อแรงงานในภาคบริการ: กรณีศึกษาในประเทศไทย, (กรุงเทพฯ: มูลนิธิฟรีดริค เอแบร์ท, 2561).
Platform Revolution, “How digital platforms increase inequality,” Platform Thinking Labs [Online] accessed on 16 November 2022, from https://platformthinkinglabs.com/materials/how-digital-platforms-increase-inequality/
Joanna Mazur and Marcin Serafin, “Stalling the State: How Digital Platforms Contribute to and Profit From Delays in the Enforcement and Adoption of Regulations,” Comparative Political Studies, 56(1), 101-130, https://doi.org/10.1177/00104140221089651.

คุ้มครองข้อมูลส่วนบุคคลในโลกแพลตฟอร์ม รัฐไทยพร้อมหรือยัง?

กันยายน 21, 2023มีนาคม 28, 2025 เขมภัทร ทฤษฎิคุณ

เผยแพร่ครั้งแรกเมื่อวันที่ 7 กันยายน 2566 บนหนังสือพิมพ์และเว็บไซต์ กรุงเทพธุรกิจ ในคอลัมน์วาระทีดีอาร์ไอ (ตอนที่ 1) และเผยแพร่ครั้งแรกเมื่อวันที่ 21 กันยายน 2566 บนหนังสือพิมพ์และเว็บไซต์ กรุงเทพธุรกิจ ในคอลัมน์วาระทีดีอาร์ไอ (ตอนที่ 2)

ในปี 2564 ธุรกิจแพลตฟอร์มมีมูลค่าทางเศรษฐกิจถึง 9 แสนล้านบาท การเติบโตอย่างก้าวกระโดดของธุรกิจแพลตฟอร์มนี้ เป็นผลมาจากความได้เปรียบจากการสะสมข้อมูลจำนวนมาก ที่ทำให้ธุรกิจแพลตฟอร์มสามารถวิเคราะห์พฤติกรรมและออกแบบบริการได้ตอบสนองความต้องการของผู้บริโภค

ทว่าในอีกแง่มุมหนึ่ง การที่ผู้ประกอบธุรกิจแพลตฟอร์มเก็บรวบรวมข้อมูลส่วนบุคคลของผู้บริโภค ได้ทำให้เกิดความกังวลเกี่ยวกับความปลอดภัยและผลกระทบต่อความเป็นส่วนตัวของบุคคลมากขึ้น

จึงเป็นความท้าทายของการคุ้มครองข้อมูลส่วนบุคคลในธุรกิจแพลตฟอร์มในประเทศไทยว่าจะมีการบังคับใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA ได้มากน้อยเพียงใด ในการที่จะรักษาสมดุลระหว่างการคุ้มครองสิทธิเจ้าของข้อมูลส่วนบุคคลกับการการนำข้อมูลไปใช้ประโยชน์ทางเศรษฐกิจ

สำรวจความท้าทายที่ต้องเผชิญ

ความท้าทายแรก คือ การขาดแนวทางในการสื่อสารที่ดีกับผู้บริโภค เมื่อผู้บริโภคใช้บริการแพลตฟอร์ม แม้ว่ากฎหมาย PDPA จะเริ่มใช้บังคับเมื่อปีที่ผ่านมา แต่จากการสำรวจของ TDRI ในงานวิจัยการศึกษาผลกระทบและการนำเสนอมาตรการในการกำกับดูแล Digital Platform พบว่าแนวทางการแจ้งการเก็บและใช้ข้อมูลส่วนบุคคลของผู้บริโภคยังมีลักษณะ “ไม่เป็นมิตร” ต่อผู้บริโภค เช่น การใช้ข้อความเยิ่นเย้อ หรือการใช้ถ้อยคำทางกฎหมายที่ทำให้ผู้บริโภคไม่สามารถเข้าใจรายละเอียดที่จะดำเนินการกับข้อมูลส่วนบุคคลได้ รวมไปถึงการปิดกั้นเนื้อหาโดยกำหนดให้ต้องมีการให้ความยินยอมให้ใช้เทคโนโลยีติดตาม เช่น cookie wall ซึ่งก่อให้เกิดความรำคาญและทำให้ผู้บริโภคตัดสินใจให้ความยินยอมโดยอาจจะไม่ได้พิจารณาเนื้อหาการเก็บและใช้ข้อมูล

การสื่อสารเพื่อให้ผู้บริโภคตระหนักว่าข้อมูลส่วนบุคคลกำลังถูกเก็บและนำไปใช้ ถือเป็นเรื่องสำคัญ เพราะโดยทั่วไปแล้วแพลตฟอร์มมักมีลักษณะเป็นการให้บริการฟรีไม่เสียค่าตอบแทน แต่กลับมี “ราคา” ที่ผู้บริโภคจะต้องจ่ายให้กับแพลตฟอร์ม คือ ข้อมูลส่วนบุคคลและพฤติกรรมการใช้งานบนแพลตฟอร์ม

นอกจากนี้ในปัจจุบันแพลตฟอร์มขนาดใหญ่ในกลุ่ม Super App ที่รวบหลายบริการไว้ในแอปเดียว ยังขาดแนวทางสื่อสารที่ชัดเจนที่จะทำให้ผู้บริโภคตระหนักว่า ข้อมูลที่ให้กับแพลตฟอร์มอาจจะถูกนำไปใช้กับเพื่อเสนอบริการอื่น และเป็นความเสี่ยงที่อาจจะสร้างการรบกวนให้ผู้บริโภคได้

ความท้าทายที่สอง แม้ว่าสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้ออกประกาศเรื่อง มาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคลในปี2565 แต่ไม่ใช่ทุกแพลตฟอร์มจะมีมาตรฐานเพียงพอที่จะคุ้มครองข้อมูลส่วนบุคคลตามประกาศฉบับนี้

ขณะเดียวกันยังพบว่า มีแพลตฟอร์มจำนวนไม่น้อยที่ยังขาดความเข้าใจในการดำเนินการ เนื่องจากที่ผ่านมาไม่มีการจััดทำแนวทางที่่เป็นคำแนะนำ เพื่ออธิบายวิธีการและเทคโนโลยีที่ควรนำมาใช้กับภาคธุรกิจ ทำให้แพลตฟอร์มบางรายยังไม่ได้จัดให้มีวิธีการดำเนินงานที่เหมาะสมเพื่อคุ้มครองสิทธิของผู้บริโภค เช่น บางแพลตฟอร์มไม่ได้จัดให้มีช่องทางการใช้สิทธิสำหรับผู้บริโภค เมื่อผู้บริโภคต้องการขอใช้สิทธิตามกฎหมาย หรือบริษัทยังมีความกังวลในการปฏิบัติตามกฎหมายด้วยความไม่รู้หรือไม่เข้าใจว่าควรจะต้องใช้มาตรการรักษาความปลอดภัยของข้อมูลเท่าใดจึงจะเพียงพอ ทำให้บริษัทมีทางจำกัดคือ ถ้าไม่เลือกใช้มาตรฐานที่สูงในการรักษาความปลอดภัยของข้อมูล ก็อาจจะไม่ได้ให้ความสำคัญต่อการรักษาความปลอดภัยของข้อมูลและเลือกรับความเสี่ยงเพื่อแก้ไขปัญหาเฉพาะหน้าแทน

ความท้าทายที่สาม การถ่ายโอนข้อมูลส่วนบุคคลไปยังบริษัทและประเทศที่ไม่ได้มีระดับการคุ้มครองข้อมูลส่วนบุคคลเทียบเท่าประเทศไทย ทำให้เกิดความกังวลในการถ่ายโอนข้อมูลไปยังปลายทางเหล่านั้นสามารถทำได้หรือไม่ ปัญหานี้ทำให้บริษัทมีต้นทุนที่ต้องไปตรวจสอบว่าประเทศปลายทางมีความพร้อมในการรับข้อมูล และต้องไปเจรจาเกี่ยวกับมาตรการในการคุ้มครองข้อมูลส่วนบุคคลกับบริษัทในประเทศปลายทาง รวมถึงต้องมีต้นทุนในการเจรจากับผู้บริโภคที่เป็นเจ้าของข้อมูลส่วนบุคคลในการขอความยินยอมในบางกรณี

ความท้าทายที่สี่ การยกเว้นการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลในหน่วยงานของรัฐ โดยเดือนกรกฎาคม ปี 2565 คณะรัฐมนตรี มีมติเห็นชอบร่างพระราชกฤษฎีกายกเว้นการบังคับใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล กับการใช้ข้อมูลส่วนบุคคลในหน่วยงานของรัฐ ที่มีวัตถุประสงค์เพื่อความมั่นคงของชาติหรือประโยชน์สาธารณะ อย่างไรก็ดีได้มีการเปลี่ยนหลักการของพระราชกฤษฎีกาดังกล่าวใหม่ โดยแก้ไขข้อยกเว้นให้จำกัดลงและกำหนดมาตรการในการคุ้มครองข้อมูลส่วนบุคคลไว้

แต่ประเด็นสำคัญยังคงอยู่ที่ ภาครัฐควรจะตระหนักถึงการคุ้มครองข้อมูลส่วนบุคคลให้มากกว่านี้ โดยไม่ควรกำหนดข้อยกเว้นกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่กว้างเกินไป เพราะจะส่งผลกระทบต่อการป้องกันความเป็นส่วนตัวของประชาชนที่อยู่กับรัฐ โดยปฏิเสธไม่ได้ว่าปัจจุบันรัฐก็มีการเก็บข้อมูลของประชาชนบนแพลตฟอร์มเช่นเดียวกัน และในการยกเว้นการคุ้มครองข้อมูลส่วนบุคคลภาครัฐควรจะต้องกำหนดมาตรการที่จะเยียวยาผลกระทบไว้เสมอ นั่นหมายความว่ากฎหมายไม่ควรจะยกเว้นการคุ้มครองข้อมูลส่วนบุคคลโดยสมบูรณ์

ปมปัญหาเหล่านี้ทำให้มาตรฐานการคุ้มครองข้อมูลส่วนบุคคลของไทยไม่ทัดเทียมกับต่างประเทศ จนกลายเป็นอุปสรรคในการทำธุรกิจดิจิทัลตามแนวทางสากล

การเติบโตของธุรกิจแพลตฟอร์ม นำมาสู่ความกังวลในความปลอดภัยและผลกระทบต่อความเป็นส่วนตัวของบุคคล ความกังวลนี้เกิดจากการที่ผู้ประกอบใช้เครื่องมือเก็บรวบรวมข้อมูลส่วนบุคคลของผู้บริโภค ใช้วิเคราะห์พฤติกรรม เพื่อนำไปออกแบบบริการให้ตอบความต้องการของผู้บริโภค

แม้ว่าจะมีการบังคับใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ PDPA แต่ก็มีคววามท้าทายว่าจะสามารถรักษาสมดุลระหว่างการคุ้มครองสิทธิเจ้าของข้อมูลส่วนบุคคลกับการการนำข้อมูลไปใช้ประโยชน์ทางเศรษฐกิจได้มากน้อยเพียงใด

หลังจากที่วาระทีดีอาร์ไอ : คุ้มครองข้อมูลส่วนบุคคลในโลกแพลตฟอร์ม รัฐไทยพร้อมหรือยัง ? (ตอนที่1 )ได้ระบุถึงโจทย์ความท้าทายไปแล้ว บทความนี้จะสำรวจการดำเนินการของนานาชาติว่ามีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลอย่างไร

กรณีของสหภาพยุโรป (EU) และสหราชอาณาจักร มีความพยายามอย่างมากในการรักษาสมดุลระหว่างการคุ้มครองสิทธิเจ้าของข้อมูลส่วนบุคคลกับการนำข้อมูลไปใช้ประโยชน์ทางเศรษฐกิจ

โดย EU ออกแนวปฏิบัติเกี่ยวกับการสื่อสารระหว่างผู้ให้บริการและแพลตฟอร์ม รวมถึงมีตัวอย่างของสิ่งที่ผู้ให้บริการควรทำและไม่ควรทำ ซึ่งทำให้เกิดความเข้าใจได้มากกว่าการออกเพียงแค่กฎเกณฑ์

ขณะที่สหราชอาณาจักร มีหน่วยงานที่มีหน้าที่ดูแลด้านการคุ้มครองข้อมูลส่วนบุคคล หรือ Information Commissioner’s Office (ICO) โดยมีความพยายามผลักดันให้เอกชนเข้ามามีส่วนร่วมในการจัดทำ “จรรยาบรรณทางธุรกิจ” (code of conduct) เพื่อใช้ภายในอุตสาหกรรม

เนื่องจากภาครัฐอาจจะไม่สามารถเข้าใจทางปฏิบัติของภาคธุรกิจได้ทั้งหมด การเปิดให้ภาคธุรกิจเข้ามามีส่วนร่วมกำหนดมาตรฐาน โดยภาครัฐตรวจสอบคุณภาพของมาตรฐานเหล่านี้เป็นทางออกที่ดีในการจัดการกับความท้าทายใหม่ๆที่ภาครัฐอาจจะวิ่งตามไม่ทัน

อีกทั้งภาครัฐยังไม่ปิดประตูของการพัฒนานวัตกรรม โดย ICO ได้เปิดโอกาสให้ภาคธุรกิจสามารถมาปรึกษาหารือและร่วมกันพัฒนา Sandbox ทดลองการพัฒนานวัตกรรม ให้คำแนะนำด้านกฎหมายของ ICO

ส่วนกรณีของการถ่ายโอนข้อมูลส่วนบุคคลนั้น ตามแนวทางสากล กำหนดว่า การถ่ายโอนข้อมูลส่วนบุคคลจะต้องถ่ายโอนข้อมูลไปยังประเทศที่มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลทัดเทียมกัน

ในสหภาพยุโรปได้มีการประกาศรายชื่อประเทศ (whitelist) ที่ถูกรับรองว่ามีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลเทียบเท่า (adequacy) ซึ่งทำให้เกิดความมั่นใจกับภาคธุรกิจในการถ่ายโอนข้อมูลส่วนบุคคลไปประมวลผลทางธุรกิจในประเทศเหล่านั้น

“ 3 เร่ง 1 เลิก” คุ้มครองข้อมูลส่วนบุคคล

สำหรับข้อเสนอในประเทศไทยนั้น “3 สิ่งที่ควรทำ และ 1 สิ่งที่ควรเลิก” ซึ่งอาจเป็นแนวทางให้รัฐบาลและสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลของไทยควรเร่งดำเนินการ คือ

“เร่งออก” แนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล รวมถึงการจัดทำตัวอย่างในการสื่อสารกับผู้บริโภคโดยคอยสื่อสารอย่างสม่ำเสมอว่าการสื่อสารในลักษณะใดควรจะต้องทำหรือไม่ควรจะต้องทำ และจับตาดูเป็นพิเศษเกี่ยวกับการใช้ข้อมูลส่วนบุคคลของแพลตฟอร์มขนาดใหญ่

“เร่งทำ” ความร่วมมือกับสมาคมธุรกิจในการจัดทำจรรยาบรรณทางธุรกิจ รวมถึงสร้างความร่วมมือในการปรึกษาหารือในประเด็นข้อกฎหมายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลกับภาคธุรกิจ

“เร่งประกาศ” แนวทางการถ่ายโอนข้อมูลส่วนบุคคลไปต่างประเทศและประกาศตัวอย่างของประเทศที่มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลเทียบเท่ากับประเทศไทย โดยการเร่งดำเนินการทั้งสามเรื่องเป็นงานหลักและงานใหญ่ของสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

และสุดท้าย “เลิกพยายาม” ในการยกเว้นการคุ้มครองข้อมูลส่วนบุคคลในหน่วยงานของรัฐ รัฐบาลควรจะจริงจังในการเลิกพยายามทำเรื่องดังกล่าว เพื่อไม่ให้ประเทศไทยกลายเป็นประเทศที่ไม่ได้มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลเทียบเท่ากับต่างประเทศ ซึ่งทำให้เสียโอกาสในการเข้าเป็นส่วนหนึ่งของเศรษฐกิจแพลตฟอร์มโลก

Examining the benefits and challenges of Thailand’s latest Data Protection Law

สิงหาคม 16, 2023มีนาคม 28, 2025 เขมภัทร ทฤษฎิคุณ

First Published in Tech for Good Institute on Wednesday, August 16, 2023. This article is co-authored by Gunn Jiravuttipong and Khemmapat Trasadikoon, researchers from the Thailand Development Research Institute (TDRI).

Thailand recognises the importance of embracing the digital economy and has taken significant steps to facilitate its growth through national plans, strategic investments, and new digital laws. The Data Protection Act is one area that received significant attention and generated discussion.

This article aims to provide an overview of the country’s developments in data protection, including the current regulations and guidelines, the potential benefits of having a strong data protection regime, and the challenges as Thailand continues to strengthen its data protection practices. The insights shared in this reflection will be valuable not only for Thailand’s progress but also for other nations navigating a similar path.

Overview of the law the Personal Data Protection Act, B.E. 2562 (2019)

The Personal Data Protection Act, B.E. 2562 (2019), also known as the PDPA, was announced on 24 May 2019 but came into full effect on 1 June, 2022. The Personal Data Protection Committee (PDPC) is the primary regulator and has been actively working on developing sub-regulations and guidelines to support the implementation of the PDPA. Several of these sub-regulations and guidelines have already been officially published (see Table).

Table: Sub-regulations and guidelines announced by the Personal Data Protection Commission (PDPC) (as of 14 July 2023)

Sub-regulations	Date
1. Notification of the PDPC on the Exemption from Maintenance of Records Obligation of the Data Controller Which Is a Small Organisation B.E. 2565 (2022)	21 June 2022
2. Notification of the PDPC on the Security Measures of the Data Controller B.E. 2565 (2022)	21 June 2022
3. Notification of the PDPC on the Rules on Consideration for Issuance of Orders Imposing Administrative Fines by the Expert Committee B.E. 2565 (2022)	21 June 2022
4. Notification of the PDPC on the Rules and Methods of Personal Data Breach Notification B.E. 2565 (2022)	15 Dec 2022
5. Notification of the PDPC on the Rules and Methods for Preparation and Maintenance of Records of Personal Data Processing Activities for the Data Processor B.E. 2565 (2022)	17 Dec 2022
6. Rules of the PDPC on the Filing, Refusal of Acceptance, Dismissal, Consideration, and Timeframe for the Consideration of the Complaints B.E. 2565 (2022)	12 July 2022
Guidelines	Date
7. Operational Guideline on Obtaining Consent from Data Subjects under the PDPA (2019)	7 Sep 2022
8. Operational Guideline on the Notification of the Purposes and Details of Collection of Personal Data from the Data Subjects under the PDPA	7 Sep 2022

Source: PDPC website

Draft sub-regulations are being developed to provide further clarity on Data Protection Officers (DPOs) in government agencies and international data transfers. Additionally, sector-specific regulations pertaining to data protection exist in areas such as telecommunications, credit bureaus, payments, and insurance. As of now, there have been no publicly announced court cases regarding the Data Protection Act.

Advantages of a robust data protection framework

The Data Protection Act has been acknowledged by stakeholders as a catalyst for boosting Thailand’s digital economy. Effective implementation of the act is crucial to protecting privacy rights in today’s data-driven economy. It also builds investor confidence, positioning Thailand as an appealing destination for data hubs and enhancing its competitiveness in the global market. Therefore, establishing a robust data protection framework is a vital preparatory step to capitalise on these opportunities.

An example of this potential is Amazon Web Services (AWS) recently announcing plans to invest in data centers and cloud services in Thailand and other ASEAN countries. Furthermore, compliance with international data protection standards facilitates seamless data flows, fostering collaborations and strengthening Thailand’s participation in trade negotiations such as Comprehensive and Progressive Agreement for Trans-Pacific Partnership (CPTPP), Regional Comprehensive Economic Partnership (RCEP), and the latest Indo-Pacific Economic Framework for Prosperity (IPEF).

Navigating data protection challenges in a dynamic landscape

In early 2023, a significant personal data leak prompted the PDPC to call upon public organisations to assess their readiness in terms of risk and security systems. These incidents, coupled with a series of data breaches, may have adversely affected stakeholders’ confidence in Thailand’s data protection measures.

These security breaches are not unique to Thailand. According to a 2021 Check Point report, the Asia Pacific region experienced a 168% increase in cyberattacks year-on-year, with 59% of businesses reported being victims of cyberattacks. Furthermore, this issue is further compounded by the global cybersecurity workforce gap, which is estimated to be 2.72 million in 2021.

Thus, there is an urgent need for Thailand to establish a robust data protection framework while ensuring data risks are mitigated. Achieving this goal requires an effective data protection framework built on collaboration and continuous learning among all stakeholders to strike the right balance and understand the diverse perspectives of different stakeholders. Regulators, in particular, play a pivotal role in creating a clear policy and regulatory framework, overseeing and collaborating with the public and companies.

We reflect on Thailand’s experiences and highlight three primary challenges in the foreseeable future.

1. Creating industry-aligned regulations and guidelines that are fit-for-purpose

Industry standards and the co-creation of guidelines play a vital role in PDPA compliance. Even before the law entered into force, legal academics from Chulalongkorn University created a data protection guideline and continued to develop into specific areas. Additionally, sector associations, such as those in the financial, banking, and insurance, have made efforts to develop sector-specific guidelines.To further promote compliance and best practices, the PDPC has engaged the Thailand Development Research Institute (TDRI) to conduct public hearings and consult with seven sectors.

This collaboration aims to create case studies and identify best practices in data protection. The demonstrated interest from stakeholders indicates their readiness and the opportunity for the PDPC to establish legally binding codes of conduct, similar to leading jurisdictions. Such engagements can enhance clarity in regulatory compliance.In the era of rapidly emerging technologies and evolving business models, collaboration with all stakeholders becomes crucial. Regulators must navigate the technical aspects and strike a balance between business practices, individual rights, and other public benefits.

Future collaboration may encompass topics like algorithm transparency and the automation of systems that collect consumer behavior data.

2. Establishing a robust regulatory authority

To enhance enforcement and foster confidence in safeguarding personal data, it is crucial to prioritise adequate funding and the recruitment of qualified personnel. Thailand faced challenges during the initial enforcement of the Personal Data Protection Act (PDPA) in 2019, resulting in two one-year postponements.

The law eventually came into full effect on 1 June 2022, amidst the complexities and demands imposed by the COVID-19 pandemic on both public and private organisations, as well as the regulatory body. These postponements had implications for the appointment of the commissioner and the approval of sub-regulations. Adequate funding and recruitment of qualified personnel are crucial for strengthening enforcement efforts and building trust in personal data protection. While staff and budget constraints are common challenges in data protection agencies in other countries, the PDPC currently operates with a workforce below its target of 210 personnel.

However, there are plans to recruit approximately 49 more staff this year. Ongoing efforts are being made to secure a budget allocation of 99 billion baht to support the operations of the PDPC. These resources are vital for the PDPC to effectively fulfil its responsibilities and enforce the provisions of the PDPA.

3. Establishing a clear framework for regulatory exemption and divergence

Thailand’s PDPA was drafted closely aligned with the EU’s General Data Protection Regulation (GDPR), sharing many core principles with minor differences. Recognising the diverse landscape of businesses in Thailand, certain exemptions have been put in place to support small and medium-sized enterprises (SMEs) in mitigating the compliance burden.

However, Thailand faces a challenge of fragmentation in interpreting the data protection law, particularly in the context of existing sector-specific regulations such as in the financial on sensitive data collected before PDPA was enforced. There is a need for clarity on which law takes precedence and applies in specific scenarios.

Furthermore, the current draft sub-regulations being considered include provisions for exemptions to the Personal Data Protection Act (PDPA) specifically for select public agencies. Additionally, the precise frameworks for these exemptions and how they will be implemented remain ambiguous. This lack of clarity may result in a divergence in Thailand’s standard of personal data protection. Consequently, this divergence could potentially jeopardise the country’s inclusion in the European Union’s whitelist and impede data transfer across borders with countries that maintain equivalent data protection standards. To prevent such implications, it is crucial for the government to approach the issue of exemptions with utmost caution.

Any exemptions granted must undergo thorough evaluation and alignment with the overarching objective of establishing a robust data protection framework in Thailand.

Conclusion

Overall, enforcing the PDPA in Thailand requires addressing challenges related to state capacity, exemption and divergence, and industry standards. By prioritising adequate resources, aligning with international standards, and actively collaborating with the private sector, Thailand can strengthen its data protection framework and enhance compliance, fostering trust and facilitating the secure and responsible use of personal data.

ประโยชน์และความท้าทายในการใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลในประเทศไทย

สิงหาคม 16, 2023มีนาคม 28, 2025 เขมภัทร ทฤษฎิคุณ

เผยแพร่ครั้งแรกเมื่อวันที่ 16 สิงหาคม 2566 บนเว็บไซต์ Tech for Good Institute โดยเขียนร่วมกันระหว่าง กัญจน์ จิระวุฒิพงศ์ นักวิจัย สถาบันวิจัยเพื่อการพัฒนาประเทศไทย และเขมภัทร ทฤษฎิคุณ นักวิจัยอาวุโส สถาบันวิจัยเพื่อการพัฒนาประเทศไทย

ที่ผ่านมารัฐบาลไทยได้ตระหนักถึงความสำคัญของเศรษฐกิจดิจิทัล ดังจะเห็นได้จากความพยายามของรัฐบาลในการกำหนดนโยบายเศรษฐกิจดิจิทัลระดับชาติที่มุ่งหมายให้เกิดการอำนวยความสะดวก การลงทุนเชิงกลยุทธ์ และการตรากฎหมายเศรษฐกิจดิจิทัลเพื่อรองรับการเติบโตของเศรษฐกิจดิจิทัล ซึ่งรวมถึงพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ที่ได้รับความสนใจจากภาคธุรกิจและประชาชน

เนื่องจากกฎหมายมีรายละเอียดและหลักการที่ไม่เคยปรากฏมาก่อนบทความนี้จึงมีวัตถุประสงค์เพื่ออธิบายภาพรวมของพัฒนาการของประเทศไทยในด้านการคุ้มครองข้อมูลส่วนบุคคล รวมถึงกฎระเบียบและแนวทางปัจจุบัน ประโยชน์ที่อาจเกิดขึ้นจากการมีระบบและมาตรการคุ้มครองข้อมูลส่วนบุคคลที่ดี และความท้าทายของประเทศไทยในการพัฒนามาตรการคุ้มครองข้อมูลส่วนบุคคล โดยบทความนี้น่าจะเป็นประโยชน์สำหรับการศึกษาแนวทางการพัฒนามาตรการคุ้มครองข้อมูลส่วนบุคคลในประเทศไทย และเป็นบทเรียนสำหรับประเทศอื่นๆ ที่กำลังอยู่ในระหว่างการพัฒนากฎหมายคุ้มครองข้อมูลส่วนบุคคลในลักษณะที่ใกล้เคียงกันอีกด้วย

ภาพรวมของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือเรียกโดยย่อว่า PDPA ได้ประกาศใช้เมื่อวันที่ 24 พฤษภาคม 2562 แต่ในความเป็นจริงพระราชบัญญัติฉบับนี้เพิ่งมีผลใช้บังคับจริงในวันที่ 1 มิถุนายน 2562 โดยมี สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส. หรือ PDPC) เป็นหน่วยงานหลักในการควบคุมและบังคับใช้กฎหมาย รวมถึงมีอำนาจในการออกกฎหมายลำดับรองและวางแนวทางปฏิบัติในการดำเนินการตาม PDPA โดยในปัจจุบัน สคส. ได้มีการออกกฎหมายลำดับรองและแนวทางปฏิบัติดังปรากฏตามตารางข้างท้ายนี้ตารางแสดงกฎหมายลำดับรองและแนวปฏิบัติตามฎหมายคุ้มครองข้อมูลส่วนบุคคล (ข้อมูล ณ 14 กรกฎาคม 2566)

กฎหมายลำดับรอง	วันที่ออก
1. ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง การยกเว้นการบันทึกรายการของผู้ควบคุมข้อมูลส่วนบุคคลซึ่งเป็นกิจการขนาดเล็ก พ.ศ. 2565	21 มิถุนายน 2565
2. ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์การพิจารณาออกคำสั่งลงโทษปรับทางปกครองของคณะกรรมการผู้เชี่ยวชาญ พ.ศ. 2565	21 มิถุนายน 2565
3. ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565	21 มิถุนายน 2565
4. ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีการในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล พ.ศ. 2565	15 ธันวาคม 2565
5. ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีการในการจัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลสำหรับผู้ประมวลผลข้อมูลส่วนบุคคล พ.ศ. 2565	17 ธันวาคม 2565
6. ระเบียบคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลว่าด้วยการยื่น การไม่รับเรื่อง การยุติเรื่อง การพิจารณา และระยะเวลาในการพิจารณาคำร้องเรียน พ.ศ. 2565	12 กรกฎาคม 2565
แนวปฏิบัติ	วันที่ออก
7. แนวทางการดำเนินการในการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562	7 กันยายน 2565
8. แนวทางการดำเนินการในการแจ้งวัตถุประสงค์และรายละเอียดในการเก็บรวบรวมข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562	7 กันยายน 2565

ที่มา: เว็บไซต์ สคส.

นอกจากกฎหมายลำดับรองและแนวปฏิบัติดังกล่าวข้างต้นแล้ว ปัจจุบัน สคส. ได้มีความพยายามจะออกกฎหมายลำดับรองเพื่อสร้างความชัดเจนเพิ่มเติมเกี่ยวกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (data protection officer: DPO) ในหน่วยงานของรัฐและกฎหมายลำดับรองเกี่ยวกับการถ่ายโอนข้อมูลระหว่างประเทศในบริบทของประเทศไทย PDPA ไม่ใช่กฎหมายที่กำหนดแนวทางในการคุ้มครองข้อมูลส่วนบุคคลเพียงฉบับเดียว

แต่ในบริบทของอุตสาหกรรมเฉพาะในประเทศไทย อาทิ โทรคมนาคม เครดิตบูโร การเงินและการธนาคาร และการประกันภัยก็มีกฎหมายเฉพาะในการกำกับการใช้ข้อมูลส่วนบุคคลในอุตสาหกรรมเหล่านี้อยู่นอกจากนี้ เมื่อพิจารณาในเรื่องการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลพบว่า ในปัจจุบันยังไม่ปรากฏคำวินิจฉัยของ สคส. หรือ PDPC และคำพิพากษาของศาลตาม PDPA

ประโยชน์ของการมีกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่ดี

ในทางหลักการ PDPA มีส่วนสำคัญในการส่งเสริมเศรษฐกิจดิจิทัลด้วยการสร้างความมั่นใจว่า ข้อมูลส่วนบุคคลจะได้รับการคุ้มครองจากรัฐ ผ่านการกำหนดมาตรการและแนวทางในการใช้ข้อมูลส่วนบุคคลที่คำนึงความเป็นส่วนตัว และการวางมาตรการรองรับการเคลื่อนย้ายข้อมูลส่วนบุคคลข้ามพรมแดน ซึ่งเป็นหัวใจของเศรษฐกิจดิจิทัลที่ขับเคลื่อนด้วยข้อมูล

นอกจากนี้ กฎหมายยังมีส่วนในการสร้างความมั่นใจให้กับนักลงทุนว่าประเทศไทยมีมาตรการการคุ้มครองข้อมูลส่วนบุคคลที่เป็นสากล ซึ่งเป็นประโยชน์มากสำหรับอุตสาหกรรมเทคโนโลยี อาทิ อุตสาหกรรมที่เกี่ยวกับข้อมูลแบบคลาวด์คอมพิวเตอร์ โดยตัวอย่างการเพิ่มศักยภาพในการแข่งขันนี้คือ การเข้ามาลงทุนในศูนย์ข้อมูลและบริการคลาวด์ในประเทศไทยและประเทศอื่นๆ ในอาเซียนของ Amazon Web Service (AWS) นอกจากนี้ การมีกฎหมายคุ้มครองข้อมูลส่วนบุคคลน่าเชื่อถือยังเอื้อต่อการไหลเวียนของข้อมูลอย่างราบรื่น ซึ่งส่งเสริมความร่วมมือและเสริมสร้างการมีส่วนร่วมของประเทศไทยในการเจรจาการค้าระหว่างประเทศ อาทิ ความตกลงแบบครอบคลุมและก้าวหน้าสำหรับหุ้นส่วนทางเศรษฐกิจภาคพื้นแปซิฟิก (Comprehensive and Progressive Agreement for Trans-Pacific Partnership: CPTPP)ความตกลงหุ้นส่วนทางเศรษฐกิจระดับภูมิภาคที่ครอบคลุม (Regional Comprehensive Economic Partnership: RCEP) และกรอบความร่วมมือเศรษฐกิจอินโด-แปซิฟิก (Indo-Pacific Economic Framework: IPEF)

ความท้าทายอย่างต่อเนื่องของการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลในไทย

ในช่วงต้นปี พ.ศ. 2566 ได้เกิดเหตุข้อมูลส่วนบุคคลรั่วไหลครั้งใหญ่ทำให้ สคส. เรียกร้องให้องค์กรธุรกิจและหน่วยงานของรัฐต่างๆ ประเมินความพร้อมในการรับมือต่อความเสี่ยงที่ข้อมูลส่วนบุคคลจะรั่วไหลและระบบรักษาความปลอดภัยของข้อมูลส่วนบุคคล

อย่างไรก็ดี เหตุการณ์ดังกล่าวเกิดขึ้นหลังจากการมีข้อมูลส่วนบุคคลรั่วไหลอีกหลายครั้งในช่วงหลายปีที่ผ่านมา

ดังนั้น สถานการณ์ดังกล่าวอาจส่งผลกระทบต่อความเชื่อมั่นของผู้มีส่วนได้เสียว่า มาตรการคุ้มครองข้อมูลส่วนบุคคลของประเทศไทยเพียงพอหรือไม่สถานการณ์ข้อมูลส่วนบุคคลรั่วไหลนี้ไม่ได้เกิดขึ้นเฉพาะในประเทศไทย แต่เป็นสถานการณ์ร่วมกันของภูมิภาคเอเชียแปซิฟิก จากรายงาน Check Point ในปี 2564 พบว่า มีการโจมตีทางไซเบอร์ในภูมิภาคเอเชียแปซิฟิกเพิ่มขึ้นร้อยละ 168 เมื่อเทียบกับปีก่อนๆ โดยร้อยละ 59 ของเป้าหมายในการโจมตีทางไซเบอร์มาจากภาคธุรกิจ

ความท้าทายสำคัญของการป้องกันและรับมือ การถูกโจมตีทางไซเบอร์นั้น ส่วนหนึ่งมาจากการขาดบุคลากรที่มีความเชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ ซึ่งจากการสำรวจในปี 2564 พบว่า ในปัจจุบันมีความต้องการของจำนวนผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์มากถึง 2.72 ล้านตำแหน่งทั่วโลกสถานการณ์ดังกล่าวสะท้อนความจำเป็นที่ประเทศไทยต้องสร้างระบบการคุ้มครองข้อมูลส่วนบุคคลที่ดีเพื่อป้องกันความเสี่ยงที่เกิดจากการรั่วไหลของข้อมูลที่อาจจะเพิ่มมากขึ้น เพื่อบรรลุเป้าหมายดังกล่าวประเทศไทยจำเป็นต้องมีแนวทางในการคุ้มครองข้อมูลส่วนบุคคลที่มีประสิทธิภาพ ซึ่งจะเกิดขึ้นได้ก็จากความร่วมมือและการเรียนรู้ร่วมกันระหว่างผู้มีส่วนได้เสียทั้งหมด บนหลักการสำคัญคือ การสร้างความสมดุลระหว่างการใช้ประโยชน์ในข้อมูลกับการคุ้มครองสิทธิความเป็นส่วนตัว โดยเฉพาะอย่างยิ่ง สคส. ที่มีบทบาทสำคัญในการสร้างนโยบายและกรอบในการกำกับกิจกรรมการใช้ข้อมูลส่วนบุคคล ควรจะต้องทำหน้าที่โดยประสานความร่วมมือกับภาคธุรกิจในนามของสมาคมธุรกิจ และภาคประชาสังคม

ดังนั้น จากประสบการณ์ที่ผ่านมาของประเทศไทย สามารถสรุปความท้าทาย 3 ประการที่จะเกิดขึ้นในอนาคตอันใกล้นี้ ดังนี้

1. การกำหนดกฎระเบียบและแนวปฏิบัติที่สอดคล้องและเหมาะสมกับการทำงานในแต่ละอุตสาหกรรม

การสร้างแนวปฏิบัติหรือมาตรฐานภายในอุตสาหกรรมมีส่วนสำคัญในการขับเคลื่อนการปฏิบัติตาม PDPA โดยในช่วงก่อนที่กฎหมายจะมีผลใช้บังคับ คณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย ได้จัดทำแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล และต่อมาก็มีการพัฒนาแนวปฏิบัติเฉพาะรายอุตสาหกรรม อาทิ แนวปฏิบัติเฉพาะธุรกิจธนาคาร และประกันภัยที่เกิดขึ้นภายใต้การส่งเสริมของสมาคมธุรกิจนอกจากนี้ เพื่อส่งเสริมให้เกิดแนวทางในการคุ้มครองข้อมูลส่วนบุคคล สคส. ได้สนับสนับสนุนสถาบันวิจัยเพื่อการพัฒนาประเทศไทย (ทีดีอาร์ไอ)

ในการดำเนินการปรึกษาหารือการจัดทำแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล 7 รายสาขาธุรกิจ และจัดให้มีการประชุมรับฟังความคิดเห็นสาธารณะจากภาคธุรกิจและประชาชน เพื่อสร้างแนวทางปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลที่ดี ซึ่งการประชุมรับฟังความคิดเห็นดังกล่าวได้รับความสนใจจากผู้มีส่วนได้เสียจำนวนมาก เนื่องจากแนวปฏิบัติมีส่วนช่วยให้เกิดความชัดเจนในการปฏิบัติตามกฎหมาย PDPAอย่างไรก็ดี ข้อสำคัญที่ต้องระลึกไว้ก็คือ ในยุคที่เทคโนโลยีมีและรูปแบบธุรกิจมีการเปลี่ยนแปลงอย่างรวดเร็ว การทำงานร่วมกันกับผู้มีส่วนได้เสียจึงมีความสำคัญ

สคส. ควรจะต้องกำกับกิจกรรมการใช้ข้อมูลส่วนบุคคลโดยรักษาสมดุลระหว่างการใช้ประโยชน์ในข้อมูลส่วนบุคคลทั้งไม่ว่าจะโดยภาคธุรกิจหรือหน่วยงานของรัฐ กับสิทธิความเป็นส่วนตัวของประชาชน ซึ่งการร่วมมือกันกับภาคธุรกิจและภาคประชาสังคมที่เกิดขึ้นในอนาคตอาจพิจารณาประเด็นการกำหนดแนวทางเก็บรวบรวมข้อมูลของอัลกอริทึมอย่างไรให้เกิดความโปร่งใส หรือการกำหนดแนวทางที่ดีในการเก็บข้อมูลอัตโนมัติอย่างไรให้กระทบสิทธิความเป็นส่วนตัวน้อยที่สุด

2. การมีหน่วยงานกำกับกิจกรรมการใช้ข้อมูลส่วนบุคคลที่เข้มแข็ง

ในการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลให้มีประสิทธิภาพจำเป็นต้องมีหน่วยงานกำกับกิจกรรมการใช้ข้อมูลส่วนบุคคลที่เข้มแข็ง ซึ่งการจะเกิดหน่วยงานในลักษณะดังกล่าวได้จำเป็นต้องมีงบประมาณที่เพียงพอและบุคลากรที่มีความสามารถเหมาะสมกับการทำงานในกรณีของประเทศไทยได้เผชิญกับความท้าทายในช่วงเริ่มต้นการบังคับใช้ PDPA ในปี 2562 ภายหลังจากการเลื่อนการบังคับใช้กฎหมายไปถึง 2 ครั้ง

ในที่สุด PDPA ได้เริ่มต้นใช้บังคับเมื่อวันที่ 1 มิถุนายน 2565 ที่ผ่านมา ท่ามกลางสถานการณ์ความวุ่นวายของการระบาดของไวรัสโควิด-19 ที่ส่งผลกระทบต่อภาครัฐและเอกชน ซึ่งรวมถึงหน่วยงานกำกับดูแลอย่าง สคส. ทำให้กระทบต่อการสรรหากรรมการและการออกกฎหมายลำดับรองที่ล่าช้านอกจากนี้ การได้รับงบประมาณที่เพียงพอ และบุคลากรที่มีคุณสมบัติเหมาะสมกับตำแหน่งงานเป็นส่วนสำคัญต่อการเสริมสร้างความเข้มแข็งและความมั่นใจในการทำงานของหน่วยงานกำกับดุแลการใช้ข้อมูลส่วนบุคคล อย่างไรก็ดี ข้อจำกัดด้านงบประมาณและบุคลากรเป็นความท้าทายที่เกิดขึ้นกับหน่วยงานคุ้มครองข้อมูลส่วนบุคคลในหลายประเทศเช่นกัน โดยในปัจจุบัน สคส. มีจำนวนบุคลากรต่ำกว่าเป้าหมายที่ตั้งไว้คือ จะต้องมีเจ้าหน้าที่รวมทั้งหมด 210 คน

แต่ตามแผนที่รายงานคณะรัฐมนตรี สคส. มีแผนจะรับโอนบุคลากรเพิ่มขึ้นอีกประมาณ 49 คนในปีงบประมาณนี้ ซึ่งยังไม่เพียงพอต่อเป้าหมายในการดำเนินงาน ในด้านงบประมาณ สคส. มีความพยายามขอรับการจัดสรรงบประมาณจำนวน 99,000 ล้านบาท เพื่อสนับสนุนการทำงานของ สคส. งบประมาณและบุคลากรเหล่านี้เป็นเงื่อนไขสำคัญที่จะช่วยส่งเสริมการทำงานของ สคส. ในการปฏิบัติตามกฎหมายได้อย่างมีประสิทธิภาพ

3. การกำหนดแนวทางที่ชัดเจนในการใช้กฎหมาย และการวางข้อจำกัดในการยกเว้นกฎหมายให้เหมาะสม

PDPA ของประเทศไทยได้รับอิทธิพลในการร่างมาจากกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป หรือ General Data Protection Regulation (GDPR) โดยมีหลักการสำคัญหลายประการร่วมกัน แม้อาจจะมีความแตกต่างบ้างเล็กน้อยในบางเรื่อง ตัวอย่างเช่นการตระหนักถึงความหลากหลายของธุรกิจในประเทศไทย จึงได้มีการกำหนดข้อยกเว้นบางประการเพื่อสนับสนุนวิสาหกิจขนาดกลางและขนาดย่อม (SMEs) โดยลดภาระการปฏิบัติตามกฎหมาย

อย่างไรก็ดี ประเทศไทยกำลังเผชิญกับความท้าทายในการตีความกฎหมายคุ้มครองข้อมูลส่วนบุคคลในบริบทอุตสาหกรรมเฉพาะที่มีกฎหมายกำกับดูแลการใช้ข้อมูลส่วนบุคคล อาทิ ด้านการเงินที่เกี่ยวข้องกับข้อมูลที่มีความละเอียดอ่อนที่รวบรวมไว้ก่อนการบังคับใช้ PDPA จำเป็นต้องมีความชัดเจนว่า ในสถานการณ์เช่นนี้จะใช้กฎหมายอย่างไรนอกจากนี้ การร่างกฎหมายลำดับรองที่พิจารณาอยู่ในปัจจุบันยังได้มีความพยายามยกเว้นการบังคับใช้ PDPA ในบางแง่มุม โดยเฉพาะอย่างยิ่งในหน่วยงานของรัฐ

แม้ว่าจะได้มีความพยายามสร้างหลักเกณฑ์สำหรับข้อยกเว้นในการบังคับใช้กฎมายเหล่านี้ แต่ข้อยกเว้นดังกล่าวยังขาดวิธีการที่ชัดเจนในการรักษาสิทธิของเจ้าของข้อมูลส่วนบุคคล สภาพดังกล่าวอาจส่งผลให้มาตรฐานการคุ้มครองข้อมูลส่วนบุคคลของประเทศไทยมีมาตรฐานที่ต่ำกว่ามาตรฐานสากล โดยเฉพาะอย่างยิ่งมาตรฐานของสหภาพยุโรป ซึ่งจะกระทบต่อการถ่ายโอนข้อมูลส่วนบุคคลข้ามพรมแดน เนื่องจากไม่ได้มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เท่าเทียมกัน เพื่อป้องกันผลกระทบดังกล่าว

รัฐบาลจึงควรจะต้องแก้ไขสถานการณ์ดังกล่าวด้วยความระมัดระวัง และคำนึงถึงผลกระทบของการยกเว้นการบังคับใช้กฎหมายอย่างละเอียดถี่ถ้วนและสอดคล้องกับเป้าหมายที่จะมีกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่ดีของประเทศไทย

บทสรุป

โดยรวมแล้วการบังคับใช้ PDPA ในประเทศไทยยังจำเป็นต้องจัดการกับความท้าทายเกี่ยวกับความสามารถของรัฐ การกำหนดแนวทางที่ชัดเจนในการใช้กฎหมายและการกำหนดข้อยกเว้นกฎหมาย และการกำหนดมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลในอุตสาหกรรม โดยในกรณีนี้ สคส. ควรจัดลำดับความสำคัญและเลือกใช้ทรัพยากรที่มีอยู่ตอบสนองต่อความท้าทายเหล่านี้ รวมถึงควรจะต้องคำนึงความสอดคล้องของมาตรฐานสากล และการร่วมมือกับภาคเอกชนอย่างจริงจัง เพื่อให้ได้ผลลัพธ์สุดท้ายคือ การเสริมสร้างกรอบในการคุ้มครองข้อมลส่วนบุคคลน่าเชื่อถือ

Digital treasure trove threatens privacy

สิงหาคม 16, 2023มีนาคม 28, 2025 เขมภัทร ทฤษฎิคุณ

First Published in Bangkok Post on Wednesday, August 16, 2023

With the unstoppable digital boom, Thailand faces a critical question: Is the country adequately prepared to shield its citizens’ personal information from potential misuse?

Due to their rapid growth, digital platform businesses have propelled their value to over 900 billion baht in 2021. Their prowess lies in their capacity to compile and process vast data, enabling them to decode consumer behaviour and create sought-after services. Yet, this advantage raises privacy concerns.

Amid escalating data breaches and privacy infringements, swift government action is essential to fortify data protection against influential digital entities before matters spiral.

Although the 2019 Personal Data Protection Act (PDPA) is in effect, challenges persist. It remains unclear how well this law shields individual privacy given the difficulty in finding the right balance between commerce and personal privacy.

The first challenge is unclear communication with consumers on how their personal data is collected and used.

A Thailand Development Research Institute (TDRI) study reveals businesses using perplexing language and legal jargon, hindering consumers’ comprehension of how their personal data are handled. Moreover, the use of technology to block access to information unless the consumer agrees to be tracked by a “cookie wall” creates consumer annoyance. As a result, many impulsively give consent without fully grasping the data implications.

Given platforms’ typically free services, users rarely pay close attention to the terms of use, unknowingly playing with their personal data and online browsing habits which have an impact on their privacy. Therefore, the government must mandate that digital platform businesses transparently inform users about personal data usage.

Currently, “super apps” grant users an array of services under one roof. Yet these apps are not clear about how they share users’ personal data with other platforms within the same app. This causes consumer frustration and concerns about privacy infringement.

The second concern is that not all digital platforms have adequate standards to protect personal data as required by the Personal Data Protection Committee in 2022, thus putting personal data at risk.

Lacking specific guidelines to protect consumer rights, many platforms fail to fully understand the required procedures. This results in varying security standards. Some do not offer channels for consumers to exercise their rights. Some offer overzealous measures while others forego all security measures, preferring to deal with risks as they arise.

The third challenge involves the transfer of personal information. Since platforms may send data to companies and countries without data protection standards equivalent to Thailand, it raises legality questions. To resolve this issue, platforms have to bear the costs of ensuring proper handling and obtaining consumer consent.

The Personal Data Protection Act’s exemption of state agencies is the fourth problem. To safeguard “national security” and “public interests,” the Cabinet approved a draft royal decree in July 2022 that would exempt state agencies from adhering to the PDPA.

Although the Cabinet has amended the draft decree to narrow the scope of the exemption and provide data protection measures, citizen privacy is still at risk. The government needs to be more aware of the significance of protecting personal data in the digital era. It should not permit exemptions based on broad, ambiguous justifications like “national security” and “public interests” that compromise citizens’ rights to privacy protection.

It cannot be denied that state agencies are also collecting huge amounts of citizens’ personal data on their platforms. Excluding them from the PDPA then endangers citizens’ privacy. It is, therefore, essential to include measures to minimise the repercussions and provide compensation for privacy violations by state agencies. In short, the law should not allow state agencies to violate citizens’ privacy without being held accountable and responsible.

Moreover, international regulations demand equivalent privacy standards for cross-border data transfers. Making exceptions for state agencies regarding personal data protection suggests that Thailand’s standards do not meet global benchmarks. As a result, Thailand’s digital economy may face negative consequences.

On the other hand, the European Union (EU) and the United Kingdom (UK) are taking significant steps to strike a balance between personal data protection and using data for business purposes. The EU, for example, has provided clear guidelines for communication between service providers and platforms, with specific dos and don’ts. These well-defined guidelines lead to better understanding among service and platform providers, going beyond mere enforcement of rules.

In addition, the UK’s Information Commissioner’s Office (ICO), which is in charge of protecting personal data, is urging the private sector to participate in the development of a “business code of conduct” for use in the industry.

Since the government may not fully understand the practices of the business sector, allowing the private sector to contribute to the development of standards and having the government certify their quality is an efficient way to deal with rapid changes in the digital world that the government cannot keep up with.

Realising that state support is essential for the development of the digital economy, ICO also provides consultation and collaboration with businesses in a sandbox environment to foster innovation with ICO’s legal guidance.

Furthermore, the European Union has released a whitelist of nations with sufficient data protection standards for the transfer of personal data which boosts confidence in businesses when they transfer personal data for processing in these countries.

Such collaboration between the government and private sector to protect consumers’ personal data and promote innovation offers valuable strategies for Thailand to address the challenges at home.

To strike a balance between citizens’ privacy and business interests, the government and the Personal Data Protection Committee (PDPC) must expedite the following three measures and immediately stop one damaging move.

First and foremost, release personal data protection guidelines for businesses as soon as possible. The guidelines should include concrete examples of clear and transparent communication with consumers and the need to inform them regularly what practices they should or should not engage in. The use of personal data by the “super apps” should also be closely monitored to prevent privacy violations.

Secondly, expedite collaborations with businesses to formulate a privacy protection code of conduct as well as establish consultations and dialogues on legal aspects of personal data protection between the government and the industry.

Thirdly, speed up the issuance of government directives for cross-border personal data transfers. Also, publish a list of countries with personal data protection standards on par with Thailand’s.

It is the responsibility of the Personal Data Protection Committee (PDPC) to implement these crucial measures, which it must prioritise as its immediate goals.

Finally, the government must stop the efforts to exempt state entities from personal data regulations. If not, Thailand’s standard for personal data protection will fall below international guidelines. As a result, Thailand will miss out on the chance to fully participate in the global platform economy.

Amid the digital revolution, Thailand faces a pivotal choice: act fast to embrace strong personal data protection or succumb to the officialdom’s resistance to change and lag behind. The path chosen today will shape Thailand’s digital future and determine where it will stand in the global digital arena.

PRIDI Economic Focus: จาก “ควบรวม” ถึง “ผูกขาด” ประเมินความเสี่ยงที่สังคมไทยต้องแบกรับ

พฤศจิกายน 4, 2022มีนาคม 28, 2025 เขมภัทร ทฤษฎิคุณ

เผยแพร่ครั้งแรกเมื่อวันที่ 4 พฤศจิกายน 2565 บนเว็บไซต์ pridi.or.th

ในช่วงเดือนตุลาคมที่ผ่านมามีสถานการณ์ทางเศรษฐกิจเกิดขึ้นหลายเรื่องในประเทศไทย ทั้งการที่รัฐบาลมีนโยบายกระตุ้นเศรษฐกิจของประเทศโดยการผ่านกฎหมายให้สิทธิต่างชาติศักยภาพสูง 4 กลุ่ม ถือครองที่ดินได้ไม่เกิน 1 ไร่ โดยต้องลงทุนไม่ต่ำกว่า 40 ล้านบาท อย่างน้อย 3 ปี หรือการปรับค่าจ้างขั้นต่ำของประเทศไทยใหม่ที่เริ่มต้นมีผลเมื่อช่วงต้นเดือน (อ่านเพิ่มเติมได้ที่ PRIDI Economic Focus: 2565 ปรับค่าแรงใหม่เพียงพอหรือไม่ สำรวจบทวิเคราะห์ค่าแรง)

แต่เรื่องหนึ่งที่น่าสนใจไม่แพ้ประเด็นร้อนเหล่านี้ก็คือ การที่ กสทช. (คณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติ) มีมติให้มีการควบรวมธุรกิจระหว่างบริษัทให้บริการโทรคมนาคมรายใหญ่ 2 ราย ซึ่งในบทความนี้ ผู้เขียนจะขอสรุปสถานการณ์ 1 สัปดาห์ที่ผ่านมาหลัง กสทช. มีมติให้ควบรวม

สภาพปัจจุบันของการแข่งขันในธุรกิจโทรศัพท์มือถือ

ในปัจจุบันประเทศไทยประกอบไปด้วยผู้ให้บริการโทรศัพท์เคลื่อนที่จำนวน 6 บริษัท/กลุ่มบริษัท โดยประกอบไปด้วยบริษัท AIS, กลุ่มบริษัท DTAC, กลุ่มบริษัท TRUE, บริษัท Aces, กลุ่มบริษัทผู้ให้บริการแบบ MVNO และบริษัท NT

อย่างไรก็ดี เมื่อพิจารณาเฉพาะผู้ให้บริการรายหลักที่มีนัยสำคัญต่อการแข่งขันแล้วจะเห็นได้ว่าในความเป็นจริงแล้วผู้ให้บริการรายหลักในประเทศไทยมีเพียงแค่ 4 บริษัทเท่านั้น คือ บริษัท AIS, กลุ่มบริษัท DTAC, กลุ่มบริษัท TRUE และบริษัท NT

เมื่อพิจารณาในแง่ส่วนแบ่งตลาดของผู้ประกอบธุรกิจโทรศัพท์เคลื่อนที่จะพบว่า ส่วนแบ่งตลาดในปัจจุบันกระจุกตัวอยู่ในกลุ่มผู้ประกอบธุรกิจโทรศัพท์เคลื่อนที่ขนาดใหญ่ 3 ราย ได้แก่ กลุ่มบริษัท AIS มีส่วนแบ่งตลาดร้อยละ 47.72 กลุ่มบริษัท TRUE มีส่วนแบ่งตลาดร้อยละ 31.99 และกลุ่มบริษัท DTAC มีส่วนแบ่งตลาดร้อยละ 17.41

นอกจากนี้ ผลของการวิเคราะห์เบื้องต้นของสำนักงาน กสทช. สรุปว่า ภายหลังจากควบรวมธุรกิจระหว่างบริษัททรู คอร์ปอเรชั่น จำกัด (มหาชน) และบริษัทโทเทิ่ล แอ็คเซ็ส คอมมูนิเคชั่น จำกัด (มหาชน) จะมีผลทำให้ส่วนแบ่งตลาดของบริษัทที่รวมกันเป็นร้อยละ 49.40^[1]

อย่างไรก็ดี 101 Public Policy ประเมินสถานการณ์ดังกล่าวแตกต่างไป โดยมองว่าส่วนแบ่งตลาดภายหลังจากการควบรวมธุรกิจแล้วในตลาดโทรศัพท์มือถือจะมีส่วนแบ่งตลาดถึงร้อยละ 50.4 และตลาดอินเทอร์เน็ตมือถือร้อยละ 51.2 ของตลาดผู้ให้บริการโทรศัพท์มือถือและอินเทอร์เน็ตมือถือ^[2]

มติ กสทช. ให้ควบรวมธุรกิจ

ก่อนจะไปเริ่มดูสถานการณ์โดยรอบ ผู้เขียนขอเริ่มต้นจากมติ กสทช. ให้ควบรวมธุรกิจเสียก่อน โดยในวันที่ 20 ตุลาคม 2565 ที่ประชุม กสทช. ได้พิจารณาการรวมธุรกิจระหว่างบริษัททรู คอร์ปอเรชั่น จำกัด (มหาชน) และบริษัทโทเทิ่ล แอ็คเซ็ส คอมมูนิเคชั่น จำกัด (มหาชน) โดยกรณีการควบรวมธุรกิจดังกล่าวนั้นถูกสังคมจับจ้องเป็นพิเศษในฐานะเรื่องที่มีความละเอียดอ่อนและมีผลกระทบต่อสาธารณะ

เนื่องจากการควบรวมธุรกิจดังกล่าวจะมีผลทำให้การแข่งขันในธุรกิจโทรคมนาคมลดลง ซึ่งในท้ายที่สุด กสทช. ได้มีมติ 3:2 (ประธานกรรมการใช้อำนาจในการโหวต 2 ครั้ง ทำให้เสียงที่เท่ากันมี 3 เสียง โดยมีหนึ่งใน กสทช. งดออกเสียง) โดยถือว่า การรวมธุรกิจนี้ไม่ใช่การรวมธุรกิจของผู้ถือครองธุรกิจในบริการประเภทเดียวกันตามข้อ 8 ของประกาศ กสทช. เรื่อง มาตรการเพื่อป้องกันมิให้มีการกระทำอันเป็นการผูกขาดหรือก่อให้เกิดความไม่เป็นธรรมในการแข่งขันในกิจการโทรคมนาคม พ.ศ. 2549

ดังนั้น กสทช. จึงไม่มีอำนาจในการพิจารณาอนุญาตให้ควบรวมธุรกิจหรือไม่ ผลดังกล่าวทำให้ กสทช. มีอำนาจเพียงแค่รับแจ้งการควบรวมธุรกิจ และดำเนินการตามข้อ 9 ของประกาศ กสทช. เรื่อง มาตรการกำกับดูแลการรวมธุรกิจในกิจการโทรคมนาคม (ประกาศฉบับปี 2561) และเมื่อได้รับแจ้งผลการควบรวมธุรกิจแล้ว กสทช. จึงจะกำหนดเงื่อนไขและมาตรการเฉพาะเพื่อลดผลกระทบต่อผู้บริโภคและการแข่งขันต่อไป^[3]

เพจ E-Public Law^[4] ได้สรุปสาระสำคัญเงื่อนไขและมาตรการเฉพาะเพื่อลดผลกระทบต่อผู้บริโภคและการแข่งขันดังต่อไปนี้

กำหนดเพดานราคาของอัตราค่าบริการเฉลี่ย และกำหนดราคาค่าบริการ โดยใช้ราคาเฉลี่ยทางเศรษฐศาสตร์
กำหนดเงื่อนไขบังคับก่อน และเงื่อนไขเฉพาะภายหลังการควบรวมธุรกิจ
กำหนดเงื่อนไขเกี่ยวกับการดำรงคุณภาพการให้บริการ
กำหนดเงื่อนไขและวิธีการเกี่ยวกับการถือครองคลื่นความถี่
กำหนดเงื่อนไขด้านนวัตกรรมและความเหลื่อมล้ำทางดิจิทัล (Digital divide)

สถานการณ์ภายหลังการมีมติของ กสทช.

ภายหลังการมีมติของ กสทช. นั้น อาจกล่าวได้ว่า มติดังกล่าวถูกตั้งคำถามจากสังคมเป็นจำนวนมาก ในขณะเดียวกันการวิเคราะห์เป็นจำนวนมากก็ให้ความเห็นไปในทิศทางเดียวกันว่า การควบรวมธุรกิจดังกล่าวจะส่งผลกระทบต่อการแข่งขันและต่อผู้บริโภคอย่างมาก และในแถลงข่าวของสำนักงาน กสทช. ก็ไม่ได้ให้ความเห็นของ กสทช. ว่ามีความเห็นต่อการควบรวมธุรกิจนี้โดยละเอียดอย่างไรซึ่งต้องรอเวลาสักพักหนึ่ง ภายหลังจากการประชุมสิ้นสุดลง จึงเริ่มมีการแสดงความคิดเห็นส่วนตัวของ กสทช. เสียงข้างน้อย

ศาสตราจารย์ พิรงรอง รามสูต หนึ่งใน กสทช. เสียงข้างน้อย ได้ให้ความเห็นผ่านช่องทางสื่อสังคมออนไลน์ส่วนตัวว่า^[5]

“ในทางกฎหมาย การตัดสินใจสงวนความเห็นที่จะรับทราบการรวมธุรกิจ และยืนยันที่จะไม่อนุญาต เพราะเห็นว่ากรณีดังกล่าวเป็นการถือครองธุรกิจประเภทเดียวกัน ซึ่งสามารถส่งผลกระทบอย่างกว้างขวางในตลาดบริการโทรศัพท์เคลื่อนที่ในแง่การลดหรือจำกัดการแข่งขัน การคุ้มครองผู้บริโภค และการพัฒนาทางเศรษฐกิจและสังคมของประเทศ ทั้งนี้ โดยอาศัยอำนาจตามข้อ 8 ของประกาศ กทช. เรื่องมาตรการเพื่อป้องกันมิให้มีการกระทำอันเป็นการผูกขาดหรือก่อให้เกิดความไม่เป็นธรรมในการแข่งขันในกิจการโทรคมนาคม พ.ศ. 2549 และกฎหมายอื่นๆ ที่เกี่ยวข้อง…”

นอกจากนี้ อ.พิรงรอง ยังได้ให้เหตุผลสนับสนุนข้อคัดค้านจำนวน 7 ข้อ โดยสรุปได้ดังนี้

การควบรวมธุรกิจจะทำให้การแข่งขันลดลงโดยเป็นการเพิ่มส่วนแบ่งตลาดโทรศัพท์เคลื่อนที่
การควบรวมจะกระทบต่อผู้บริโภคมาก โดยจากการประเมินของบริษัทที่ปรึกษาอิสระ SCF Associates Ltd. ระบุว่า มาตรการเฉพาะเพื่อลดผลกระทบที่อาจเกิดขึ้น ก็ไม่สามารถเป็นจริงได้ทั้งหมดในบริบทของตลาดบริการโทรศัพท์เคลื่อนที่ของไทย เช่น การสนับสนุนให้เกิดผู้ให้บริการโทรศัพท์เคลื่อนที่ (MNO) รายใหม่, การส่งเสริมการแข่งขันในตลาดค้าส่ง, การร่วมใช้คลื่น (Roaming) และการโอนคลื่นความถี่ (Spectrum Transfer) เป็นต้น โดยการรวมธุรกิจจะนำไปสู่การกระจุกตัวของตลาดมากขึ้นกว่าแต่ก่อน และจะทำให้ค่าบริการโทรศัพท์เพิ่มสูงขึ้น
มาตรการลดผลกระทบที่กำหนดไม่ช่วยเพิ่มการแข่งขันในตลาดผู้ให้บริการโทรศัพท์เคลื่อนที่ และภายหลังจากการควบรวมธุรกิจในส่วนของ กสทช. อาจจะต้องใช้ทรัพยากรจำนวนมากเพื่อกำกับดูแล โดยไม่อาจคาดหมายได้ว่าเงื่อนไขหรือมาตรการเฉพาะจะส่งผลให้เกิดการแข่งขันในตลาดได้เช่นเดียวกับที่เคยมีอยู่ก่อนการควบรวมหรือไม่
ข้อมูลเชิงประจักษ์เกี่ยวกับผลกระทบต่อการควบรวมธุรกิจยังไม่เพียงพอที่จะแสดงให้เห็นถึงประโยชน์ต่อสาธารณะ
การควบรวมธุรกิจอาจจะนำไปสู่การผูกขาดและกีดกันการแข่งขันทางการค้า ซึ่งขัดต่อบทบัญญัติของรัฐธรรมนูญ
การให้รวมธุรกิจจะส่งผลกระทบกว้างขวางและต่อเนื่องในระยะยาว อีกทั้งยังหวนคืนไม่ได้ เพราะตลาดบริการโทรศัพท์เคลื่อนที่ของไทยอยู่ในภาวะอิ่มตัว ทำให้ผู้เล่นรายใหม่เข้าสู่ตลาดและเข้ามาแย่งชิงส่วนแบ่งตลาดได้ยาก
หนึ่งในผู้ขอรวมธุรกิจมีความสัมพันธ์ทางธุรกิจใกล้ชิดกับกลุ่มธุรกิจครบวงจร (Conglomerate) รายใหญ่ ซึ่งครอบครองตลาดสินค้าและบริการในระดับค้าปลีกและค้าส่งของทั้งประเทศ จึงมีโอกาสที่จะขยายตลาดโดยใช้กลยุทธ์ขายบริการแบบเหมารวม ส่งผลให้เกิดการแข่งขันที่ไม่เท่าเทียมกันกับผู้ประกอบการรายอื่น

ในขณะที่ นางสาวสารี อ๋องสมหวัง เลขาธิการสภาองค์กรของผู้บริโภค ให้สัมภาษณ์ก่อนแถลงข่าวผลการพิจารณาการควบรวมกิจการทรู-ดีแทค ว่า คาดหวังว่าผลที่ออกมาจะเป็นบวกต่อผู้บริโภค เนื่องจากผลการควบรวมกิจการครั้งนี้ไม่ได้เป็นประโยชน์ต่อผู้บริโภค ไม่เป็นประโยชน์ต่อการเติบโตของเศรษฐกิจไทย (จีดีพี) แต่จะเกิดความเสียหายกับผู้บริโภคกว่า 80 ล้านเลขหมาย จึงอยากให้ กสทช. ตัดสินใจบนผลประโยชน์ของประชาชน

“อยากให้ กสทช. กลไกหรือกติกาที่มีอยู่แล้ว ไม่ว่าจะเป็นการให้ผู้ให้บริการสามารถใช้โครงข่ายโทรคมนาคมร่วมกันมากขึ้นเพื่อลดต้นทุน แต่ที่ผ่านมา กสทช. อาจจะยังไม่มีการบังคับอย่างชัดเจน และควรที่จะทำให้ทรูและดีแทค แข่งขันกับเอไอเอสให้มากขึ้น”

น.ส.สารี เลขาธิการสภาองค์กรของผู้บริโภค ยังกล่าวอีกว่า หากมติ กสทช. เป็นไปในแนวทาง “รับทราบ” รายงานการควบรวมกิจการที่ผู้ประกอบการได้นำเสนอมา ในฐานะภาคประชาชนจะขอใช้สิทธิในการดำเนินคดีต่อ กสทช. ในฐานความผิดตามประมวลกฎหมายอาญา มาตรา 157 ซึ่งเข้าข่ายปฏิบัติหรือละเว้นการปฏิบัติหน้าที่โดยทุจริต นอกจากนี้ยังมีกฎหมายให้มอบอำนาจใหักับสภาองค์กรผู้บริโภคสามารถดำเนินคดีได้ หากพบว่ามีการละเมิดสิทธิผู้บริโภค[6]

นอกจากนี้ ดร.สมเกียรติ ตั้งกิจวานิชย์ ประธานสถาบันวิจัยเพื่อการพัฒนาประเทศไทย (ทีดีอาร์ไอ) ได้เรียกผลคำติดสินดังกล่าวว่าเป็น “มติอัปยศ” โดยวิพากษ์วิจารณ์ว่า การควบรวมธุรกิจดังกล่าวส่งผลต่อการคุ้มครองผู้บริโภคอย่างไร และเงื่อนไขและมาตรการเฉพาะที่ไม่มีผลลดความเสียหายใดๆ รวมถึง ดร.สมเกียรติ ยังได้นำเสนอแนวทางในการดำเนินการต่อไป โดยเสนอให้มีการฟ้องคดีต่อศาลปกครอง เพื่อขอให้ศาลยกเลิกมติของ กสทช. ที่ปล่อยให้มีการควบรวมกิจการ และขอให้ศาลกำหนดมาตรการคุ้มครองชั่วคราว อย่าให้มีการควบรวมก่อนมีคำตัดสิน และดำเนินการเพื่อฟ้องคดีต่อศาลรัฐธรรมนูญว่า การที่ กสทช. อนุญาตให้ควบรวมแล้วมีผลทำให้บริการโทรคมนาคมซึ่งเป็นสาธารณูปโภคขั้นพื้นฐาน จะมีค่าบริการที่สูงขึ้นในอนาคตและเป็นภาระต่อประชาชน ตามที่มีผลการศึกษาหลายชิ้นชี้ไว้ ซึ่งจะทำให้การกระทำของ กสทช. ขัดต่อมาตรา 56 ของรัฐธรรมนูญ

ทั้งนี้ ในปัจจุบันศาลรัฐธรรมนูญกำลังพิจารณาคดีที่เกี่ยวข้องกับกิจการไฟฟ้าโดยอ้างมาตราเดียวกันอยู่ รวมถึงดำเนินการร่วมมือกับองค์กรด้านต่อต้านการทุจริตคอร์รัปชันร้องเรียนให้ ปปช. ตรวจสอบการละเว้นการปฏิบัติหน้าที่ของ กสทช. และเรียกร้องให้ฝ่ายนิติบัญญัติโดยเฉพาะ ส.ส. ตรวจสอบ กสทช. อย่างเข้มข้น และพิจารณาแก้ไขกฎหมาย กสทช. ครั้งใหญ่เพื่อปฏิรูป กสทช. และสำนักงาน กสทช. ให้มีความโปร่งใสและความรับผิดชอบต่อประชาชน ในท้ายที่สุด รณรงค์ให้ประชาชนและผู้บริโภคแสดงออก โดยงดซื้อสินค้าและบริการจากกลุ่มธุรกิจที่เกี่ยวข้องกับทุนผูกขาด ไม่ว่าจะเป็นร้านสะดวกซื้อ ร้านกาแฟ อาหารและอาหารสัตว์ อินเทอร์เน็ต ระบบการชำระเงินและกิจการอื่นๆ

ในปัจจุบัน สภาองค์กรของผู้บริโภคได้มีการเปิดให้ร่วมลงชื่อสนับสนุนสภาองค์กรของผู้บริโภค ในการฟ้องศาลปกครองเพิกถอนมติเสียงข้างมาก กสทช. ที่ให้ควบรวมทรู-ดีแทค พร้อมขอคุ้มครองชั่วคราวก่อนนำมติผิดกฎหมายไปดำเนินการต่อ

อาจจะต้องติดตามสถานการณ์ต่อไปจากนี้ว่าเรื่องดังกล่าวจะจบลงอย่างไร?

เชิงอรรถ

[1] สำนักงาน กสทช., ‘ข้อมูลเบื้องต้นในการวิเคราะห์ผลกระทบกรณีการรวมธุรกิจระหว่างบริษัททรู คอร์ปอเรชั่น จำกัด (มหาชน) และบริษัทโทเทิ่ล แอ๊คเซ็ส คอมมูนิเคชั่น จำกัด (มหาชน)’ อ้างใน ฉัตร คำแสง, ‘5 เรื่องเล่า vs 5 เรื่องจริง ดีลควบรวมทรู+ดีแทค และบทบาทของ กสทช.’ (The 101.World, 2 พฤษภาคม 2565) สืบค้นเมื่อวันที่ 1 พฤศจิกายน 2565.

[2] เพิ่งอ้าง.

[3] สำนักงาน กสทช., ข่าวประชาสัมพันธ์ 51/2565 วันที่ 20 ตุลาคม 2565 เรื่อง กสทช. มีมติเสียงข้างมากรับทราบการควบรวม ทรู-ดีแทค พร้อมกำหนดเงื่อนไข/มาตราการเฉพาะ เพื่อคุ้มครองผู้บริโภคและการพัฒนาธุรกิจโทรคมนาคม.

[4] ดู Facebook E-Public Law I https://www.facebook.com/photo?fbid=116928027863269&set=a.114120234810715&_rdc=1&_rdr

[5] ดู Facebook Pirongrong Ramasoota I https://www.facebook.com/pirongrong.ramasoota?_rdc=1&_rdr

[6] BBC News ไทย, ‘กสทช. ไม่เอกฉันท์ ไฟเขียวควบทรู-ดีแทคท่ามกลางเสียงค้านของกลุ่มผู้บริโภค’ (BBC News ไทย, 20 ตุลาคม 2565) สืบค้นเมื่อ 1 พฤศจิกายน 2565.

[7] ดู Facebook Somkiat Tangkitvanich I https://www.facebook.com/photo/?fbid=10229474744355447&set=a.1847179781672&_rdc=1&_rdr

Personal Data at Risk in Govt Hands

สิงหาคม 31, 2022มีนาคม 29, 2025 เขมภัทร ทฤษฎิคุณ

First Published in Bangkok Post on Wednesday, August 31, 2022

Only one month after enforcing the law to protect the Thai people’s personal data security and privacy, the government had a change of heart.

Instead of imposing the PDPA law on all organisations that handle data, the government has helped some government agencies to bypass the Personal Data Protection Act (PDPA) in the name of “national security” and “public service”. As a result, government, national security agencies, the courts, public attorneys, police and tax authorities will be permitted to collect, access, and transfer our data with impunity.

In addition, the government can access citizens’ personal data to fulfil those obligations.

A scary scenario indeed.

The Personal Data Protection Act (PDPA) took effect on June 1 this year after a two-year delay. The long-overdue law sets rules and standards for the private and public sectors to follow on collecting and using personal data to protect privacy and security.

While the business community is busy setting up new security mechanisms to comply with the PDPA’s complex rules and avoid legal punishment, the government has hatched a plan to bypass the PDPA altogether.

On July 5, 2022, the cabinet approved the draft of the royal decree by the Ministry of Digital Economy and Society to exempt government agencies from the PDPA law if the data is to be used for public service, national security protection or the inspection of crimes such as narcotics offences, human trafficking and money laundering.

Following cabinet approval, the royal decree can bypass parliament as an urgent piece of law. The legislation will be effective after it is signed by His Majesty the King.

This royal decree will affect citizens’ rights and freedoms for many reasons.

Firstly, the areas of exemption are too broad. Under the drafted royal decree, the PDPA’s stipulations on data protection rights, petition procedures, financial compensation and the punishment for violators will not apply to those state authorities which are exempted by the royal decree.

In short, the officials will freely enjoy legal immunity from prosecution under data protection laws.

Secondly, the exemptions granted to protect “national security” and allow operations of “public service” are too wide-ranging and unclear. This ambiguity allows officials to interpret “national security” and “public service” as they see fit, making it easy for them to abuse power. Allowing all levels of the judiciary — from police and attorneys to the courts — and tax collectors to freely access and transfer the citizens’ personal data creates similar worries.

Public concern over data safety is valid when trust is already so low and power abuse is so widespread.

The public sector has repeatedly failed to protect the personal data of those it should be serving. Government agencies experienced at least five data breaches last year alone. The hacked data involved users’ health records and other sensitive information.

Apart from data breaches from external violators, the government also faces allegations of breaching public privacy and freedom by using spyware to track and record activists’ and journalists’ mobile phone use. Only governments can buy this spyware to hack people’s cell phones.

The government’s alleged violations have raised questions about state responsibility and accountability. Exempting the state from the PDPA further intensifies public concern about abuse of power and political persecution. It also perpetuates a culture of impunity, which aggravates state violence against the citizens.

The exemption may also affect the economy. The PDPA is an important part of a host of digital economic laws to set standards and regulations on the cross-border transfer of personal data, which is essential for digital economic transactions.

Public trust in a secure cross-border transfer of personal data is crucial for the growth of the digital economy. As a result, most international trade agreements, such as the Regional Comprehensive Economic Partnership or Comprehensive and Progressive Agreement for Trans-Pacific Partnership, require members to honour personal data protection. Even China, an economic powerhouse, agreed to pass the law on personal data protection last year.

The core principle of data protection and privacy in international trade is that the data senders’ and receivers’ countries must share similar data protection standards. To safeguard citizens’ rights and freedoms, the General Data Protection Regulation of the European Union, the gold standard on data protection and privacy, prohibits intervention by the government or security agencies.

The government’s attempt to free itself from the PDPA’s legal obligations violates EU standards on data protection. It will backfire economically.

Data transfer to Thailand will become problematic from failure to meet international standards. The local businesses will be hit hard. The private sector will therefore miss the opportunities to grow in the era of the digital economy.

The government must realise the risks of allowing officials to tamper with people’s privacy and threaten people’s safety. The economic loss will be huge. So will the impact on the citizens’ rights and freedoms.

This royal decree effort violates citizens’ rights enshrined in the constitution. It protects the officialdom, not the people. It perpetuates state oppression and a culture of impunity. It risks seeing Thailand slide into becoming a pariah state. It must be stopped before it is too late.

ยกเว้น กฎหมายคุ้มครองข้อมูลส่วนบุคคล กับผลที่อาจตามมา

สิงหาคม 10, 2022มีนาคม 30, 2025 เขมภัทร ทฤษฎิคุณใส่ความเห็น

เผยแพร่ครั้งแรกเมื่อวันที่ 10 สิงหาคม 2565 บนหนังสือพิมพ์และเว็บไซต์ กรุงเทพธุรกิจ ในคอลัมน์วาระทีดีอาร์ไอ

กฎหมายคุ้มครองข้อมูลส่วนบุคคล มีความสำคัญทั้งในด้านของการคุ้มครองสิทธิและเสรีภาพของประชาชน และในด้านของการกำกับดูแลการใช้ข้อมูลส่วนบุคคล ซึ่งปัจจุบันมีความสำคัญทั้งกับภาคธุรกิจและการดำเนินภารกิจของหน่วยงานของรัฐ

เมื่อไม่นานมานี้หลังจาก พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ใช้บังคับมาได้เพียง 1 เดือน คณะรัฐมนตรีได้มีมติและเห็นชอบหลักการของพระราชกฤษฎีกายกเว้นการบังคับใช้ พ.ร.บ. ให้กับการใช้ข้อมูลส่วนบุคคลในหน่วยงานของรัฐ

เพื่อวัตถุประสงค์ในการป้องกันประเทศ การรักษาความมั่นคงของประเทศ ความปลอดภัยสาธารณะ การจัดเก็บภาษีของหน่วยงานรัฐ การดำเนินการเพื่อประโยชน์สาธารณะ การดำเนินการตามพันธกรณีระหว่างประเทศ การดำเนินการของหน่วยงาน ศาล อัยการ และผู้บังคับใช้กฎหมาย ซึ่งขอบเขตของการยกเว้นดังกล่าวค่อนข้างกว้าง และอาจกระทบต่อสิทธิและเสรีภาพของประชาชน รวมทั้งเศรษฐกิจของประเทศ

ในด้านสิทธิและเสรีภาพของประชาชน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ทำหน้าที่เสมือนผ้าเบรกช่วยลดการแทรกแซงสิทธิความเป็นส่วนตัว และคุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคล โดยการกำหนดมาตรฐานและวิธีการในการใช้ข้อมูลส่วนบุคคล

การยกเว้นการบังคับใช้ พ.ร.บ. นั้นมีความน่ากังวลในประเด็นนี้ 2 เรื่อง เรื่องแรกคือ ขอบเขตของการยกเว้น ซึ่งตามร่างพระราชกฤษฎีกานี้มีการยกเว้นการนำกฎหมายมาใช้ในเรื่องสำคัญๆ ได้แก่ การคุ้มครองข้อมูลส่วนบุคคล สิทธิของเจ้าของข้อมูลส่วนบุคคล การร้องเรียน ความรับผิดทางแพ่ง และบทกำหนดโทษ ซึ่งเปิดโอกาสให้หน่วยงานของรัฐลอยนวลพ้นผิดจากการละเมิดสิทธิของเจ้าของข้อมูลส่วนบุคคลในรูปแบบต่างๆ

เรื่องที่สองคือ วัตถุประสงค์ของการยกเว้น อาทิ การรักษาความมั่นคงของประเทศ ความปลอดภัยสาธารณะ และการดำเนินการเพื่อประโยชน์สาธารณะนั้นมีความไม่เฉพาะเจาะจง และไม่อาจคาดหมายได้ว่าจะมีความหมายเช่นไรขึ้นกับดุลยพินิจและการตีความของหน่วยงานรัฐ ซึ่งข้อยกเว้นดังกล่าวนั้นขยายออกไปจากข้อยกเว้นเดิมที่กฎหมายกำหนดไว้

ที่ผ่านมาภาครัฐมีปัญหาในเรื่องการคุ้มครองข้อมูลส่วนบุคคลมาโดยตลอด ดังเช่นในปีที่ผ่านมา พบว่ามีการรั่วไหลของข้อมูลส่วนบุคคลจากหน่วยงานของรัฐ 5 ครั้ง ซึ่งข้อมูลที่รั่วไหลนั้นรวมถึงข้อมูลสุขภาพที่เป็นข้อมูลส่วนบุคคลอ่อนไหวที่กฎหมายมุ่งคุ้มครองเป็นพิเศษ

นอกจากเรื่องรั่วไหลของข้อมูลส่วนบุคคลแล้ว ล่าสุดภาครัฐยังมีประเด็นเกี่ยวกับการคุกคามความเป็นส่วนตัวของประชาชนที่น่ากังวลและไม่ชัดเจน จากกรณีที่มีนักกิจกรรมหลายคนถูกติดตามด้วยซอฟต์แวร์สปายแวร์บนโทรศัพท์มือถือ และถูกเข้าถึงข้อมูลส่วนบุคคลรวมถึงข้อมูลพิกัดตำแหน่งบุคคลโดยผู้ใช้ไม่รู้ตัว ซึ่งบริษัทผู้ผลิตซอฟต์แวร์ดังกล่าวจะขายซอฟต์แวร์ให้กับภาครัฐเท่านั้น

สิ่งที่เกิดขึ้นนำมาสู่การวิพากษ์วิจารณ์เกี่ยวกับความโปร่งใสและความรับผิดชอบของภาครัฐ ดังนั้น การยกเว้นการบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ยิ่งอาจจะทำให้มีปัญหาให้หน่วยงานของรัฐใช้หรือเข้าถึงข้อมูลส่วนบุคคลโดยปราศจากความรับผิดชอบ และกลายเป็นการซ้ำเติมปัญหาวัฒนธรรมการลอยนวลพ้นผิดเมื่อเกิดการละเมิดข้อมูลส่วนบุคคล

ในทางเศรษฐกิจของประเทศ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ทำหน้าที่สำคัญในฐานะเป็นส่วนหนึ่งของกฎหมายเศรษฐกิจดิจิทัลที่กำหนดหลักเกณฑ์และวิธีการเคลื่อนย้ายข้อมูลส่วนบุคคลข้ามพรมแดน ซึ่งเป็นหัวใจสำคัญของเศรษฐกิจสมัยใหม่ที่มีความจำเป็นต้องมีการเคลื่อนย้ายข้อมูลส่วนบุคคลข้ามพรมแดน

ดังจะเห็นได้จากกรอบความตกลงทางเศรษฐกิจต่างๆ เช่น RCEP หรือ CPTPP เป็นต้น ที่กำหนดให้ประเทศภาคีต้องรับรองหลักการดังกล่าว ซึ่งรวมถึงการทำให้ประเทศมหาอำนาจอย่างประเทศจีนต้องผ่านกฎหมายคุ้มครองข้อมูลส่วนบุคคลออกมาในปีที่ผ่านมา

หลักการสำคัญของการเคลื่อนย้ายข้อมูลส่วนบุคคลข้ามพรมแดนนั้นให้ความสำคัญกับการส่งข้อมูลส่วนบุคคลของประเทศผู้รับข้อมูลส่วนบุคคลนั้นจะต้องมีมาตรฐานในการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอไม่น้อยกว่าประเทศผู้ส่งข้อมูลส่วนบุคคล

ซึ่งตาม GDPR หรือ General Data Protection Regulation ของสหภาพยุโรปกำหนดว่า มาตรฐานที่เพียงพอนี้รวมถึงการคุ้มครองข้อมูลส่วนบุคคลตามกฎหมายจะต้องไม่ถูกแทรกแซงโดยรัฐหรือหน่วยงานด้านความมั่นคงของรัฐ ซึ่งเป็นหลักการพื้นฐานของรัฐที่เป็นนิติรัฐที่มุ่งคุ้มครองสิทธิและเสรีภาพของประชาชน

ดังนั้น ผลของพระราชกฤษฎีกาฉบับนี้เปิดช่องให้สามารถตีความ รวมถึงไม่ได้มีการรับรองสิทธิของเจ้าของข้อมูลส่วนบุคคลเอาไว้ ก็อาจจะทำให้ประเทศไทยไม่ได้รับการยอมรับว่าเป็นประเทศที่มีกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่เท่าเทียมกันกับสหภาพยุโรป

นอกจากนี้ อิทธิพลของ GDPR ได้สร้างมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลใหม่ทั่วโลก หากประเทศไทยไม่มีมาตรฐานเทียบเท่า GDPR ก็จะมีผลให้ประเทศไทยไม่มีมาตรฐานเทียบเท่ากับกฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศอื่น ซึ่งทำให้การเคลื่อนย้ายข้อมูลส่วนบุคคลเข้ามาในประเทศไทยทำได้ยาก และทำให้เอกชนของประเทศไทยอาจจะพลาดโอกาสในการเติบโตในยุคเศรษฐกิจดิจิทัล

หากคณะรัฐมนตรียังต้องการผลักดันพระราชกฤษฎีกาฉบับดังกล่าวต่อไป ต้องพิจารณาข้อน่ากังวลที่อาจจะเกิดขึ้นทั้งสองประการข้างต้น และควรตระหนักถึงสิทธิและเสรีภาพของประชาชนที่รัฐธรรมนูญรับรองไว้เป็นสำคัญ

ช่องโหว่กฎหมาย PDPA เมื่อ ‘Big Brother’ จ้องคุกคามความเป็นส่วนตัวของประชาชน

กรกฎาคม 26, 2022มีนาคม 29, 2025 เขมภัทร ทฤษฎิคุณ

เผยแพร่ครั้งแรกเมื่อวันที่ 26 กรกฎาคม 2565 บนเว็บไซต์ waymagazine.org

“Big brother is watching you”

ประโยคข้างต้นสะท้อนนัยของการคุกคามความเป็นส่วนตัวของประชาชนผ่านการสอดส่องโดยรัฐ การสอดส่องการกระทำของประชาชนนั้นไม่ได้เกิดขึ้นแค่ในโลกวรรณกรรม แต่สิ่งนี้เกิดขึ้นในโลกของความเป็นจริง ซึ่งล่าสุดในประเทศไทยก็เกิดกรณีที่นักกิจกรรมออกมาเผยแพร่ต่อสาธารณะถึงการได้รับคำเตือนทางโทรศัพท์ว่ากำลังถูกเจาะระบบ และนำมาสู่การเปิดเผยว่ามีการใช้สปายแวร์ ‘เพกาซัส’ ในประเทศไทย

การล่วงล้ำเข้าไปยังพื้นที่ส่วนตัวของประชาชน จากการใช้อำนาจรัฐหรือปฏิบัติการโดยเจ้าหน้าที่ของรัฐโดยการไม่คำนึงสิทธิและเสรีภาพของประชาชน โดยเฉพาะอย่างยิ่งเพื่อจุดประสงค์ในทางการเมือง ถือได้ว่าเป็นการก่ออาชญากรรมโดยรัฐที่ทำกับประชาชนรูปแบบหนึ่ง ซึ่งสถานการณ์ของประเทศไทยในปัจจุบันอาจจะเลวร้ายมากขึ้น เพราะเมื่อไม่นานมานี้คณะรัฐมนตรีได้มีความพยายามที่จะยกเว้นการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลในส่วนที่เกี่ยวกับความสัมพันธ์ของรัฐกับประชาชนด้วยข้อความที่คลุมเครือและเปิดช่องให้เกิดการตีความให้ได้เปรียบแก่รัฐในการคุกคามสิทธิและเสรีภาพของประชาชน

บทความชิ้นนี้เป็นบทวิเคราะห์ให้เห็นความสำคัญของการคุ้มครองสิทธิความเป็นส่วนตัวที่ถือเป็นสิทธิขั้นพื้นฐาน และอำนาจของประชาชนที่จะต่อสู้กับรัฐในสถานการณ์ที่รัฐไม่น่าไว้วางใจ โดยเฉพาะในช่วงเวลาปัจจุบันที่รัฐพยายามละเมิดสิทธิประชาชนโดยอาศัยช่องโหว่ของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือกฎหมาย PDPA (Personal Data Protection Act) ซึ่งมีผลบังคับใช้เมื่อวันที่ 1 มิถุนายน 2565

การสอดส่องประชาชนโดยรัฐ = การก่ออาชญากรรมโดยรัฐ

หลายคนอาจคุ้นหูและเคยเห็นข้อความว่า “Big brother is watching you” จากสื่อต่างๆ ซึ่งมีที่มาจากวรรณกรรมเรื่อง 1984 ของ จอร์จ ออร์เวลล์ (George Orwell) พื้นหลังของเรื่องเล่าถึงประเทศสหราชอาณาจักรที่ถูกปกครองโดยระบอบเผด็จการแบบเบ็ดเสร็จ โดยรัฐจะสอดส่องชีวิตของประชาชนผ่านระบบเทคโนโลยีที่เรียกว่า ‘telescreen’ ซึ่งใช้ในการสอดส่องการกระทำของประชาชน รวมถึงเพื่อให้แน่ใจว่า ประชาชนที่อยู่ภายใต้การปกครองจะประพฤติและปฏิบัติตัวเป็นไปตามที่ความต้องการที่ผู้ปกครองกำหนดหรือไม่

สถานการณ์ดังกล่าวนั้นไม่ได้เกิดเฉพาะในงานวรรณกรรมเท่านั้น ทว่าการสอดส่องประชาชนโดยรัฐนั้นได้เกิดขึ้นจริง โดยมีตัวอย่างหลายกรณีทั่วโลก เช่น การสร้างระบบคลาวด์ตำรวจ (police cloud) ของประเทศจีน ซึ่งระบบจะทำการรวบรวมข้อมูลจากแหล่งข้อมูลต่างๆ เช่น ประวัติการรักษาพยาบาล ข้อมูลสมาชิกซูเปอร์มาร์เก็ต และข้อมูลอื่นๆ ที่เชื่อมโยงกับหมายเลขประจำตัวประชาชน ทำให้ระบบสามารถติดตามประชาชนไม่ว่าจะอยู่ที่ใด และทราบได้ว่าเป้าหมายนั้นมีปฏิสัมพันธ์กับบุคคลใด รวมถึงการคาดการณ์กิจกรรมในอนาคตของบุคคลนั้น โดยวัตถุประสงค์ของระบบคลาวด์ตำรวจนำมาใช้เพื่อวิเคราะห์ความสัมพันธ์ระหว่างเหตุการณ์กับบุคคล เป็นต้น^[1]

ย้อนกลับมาในกรณีของประเทศไทยล่าสุดนี้ได้มีการเปิดเผยข้อมูลเกี่ยวกับสอดส่องประชาชนโดยอาศัยสปายแวร์ (spyware) ที่มีชื่อว่า ‘เพกาซัส’ (Pegasus) โดยกลุ่มเป้าหมายที่ถูกสอดส่องส่วนใหญ่เป็นกลุ่มนักกิจกรรม นักวิชาการ ทนายความ และนักเคลื่อนไหวต่อต้านรัฐบาลไทย

จากการสรุปของ Citizen Lab หรือห้องปฏิบัติการสหวิทยาการจาก Munk School of Global Affairs พบว่า ปัจจุบันมีนักกิจกรรมทางการเมืองกว่า 30 คน ถูกสอดส่องโดยเพกาซัสในช่วงปี พ.ศ. 2563-2564^[2] และจากการศึกษาของ iLaw พบว่า ช่วงเวลาส่วนใหญ่ที่มีการพยายามเจาะระบบโทรศัพท์นั้นจะเกิดขึ้นพร้อมๆ กับสถานการณ์ทางการเมืองที่มีการเรียกร้องให้รัฐบาลชุดปัจจุบันออกจากตำแหน่ง หรือการเคลื่อนไหวเพื่อเรียกร้องให้มีการปฏิรูปสถาบันกษัตริย์^[3]

เมื่อพิจารณาเกี่ยวกับภูมิหลังของสปายแวร์นี้แล้วจะพบว่า สปายแวร์ดังกล่าวเป็นของบริษัท NSO Group ซึ่งเป็นบริษัทสัญชาติอิสราเอลที่เป็นผู้พัฒนาและให้บริการด้านความมั่นคงไซเบอร์ โดยบริษัทดังกล่าวจะให้บริการเฉพาะกับหน่วยงานของรัฐ และเป็นหน่วยงานของรัฐที่ได้รับอนุญาตจากรัฐบาลของประเทศอิสราเอลแล้วเท่านั้น^[4]

รายชื่อบุคคลผู้ถูกคุกคามและช่วงเวลาที่มีการเจาะระบบ

นัยของการสอดส่องประชาชนโดยรัฐนั้น ไม่เพียงแสดงถึงลักษณะการกระทำที่เข้าข่ายอาชญากรรมโดยรัฐแล้ว การสอดส่องประชาชนโดยรัฐยังอาจก่อให้เกิดอาชญากรรมรูปแบบอื่นๆ ต่อไปได้อีก เช่น การใช้ข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ ศาสนา วรรณะ และลัทธิทางการเมือง เพื่อการสร้างความเกลียดชัง และเลือกปฏิบัติกับตัวบุคคลโดยไม่เป็นธรรม ซึ่งสถานการณ์ดังกล่าวเคยเกิดขึ้นแล้วในประวัติศาสตร์มนุษยชาติที่ผ่านมา ดังเช่นในสมัยนาซีเยอรมันที่มีการฆ่าล้างเผ่าพันธุ์ชาวยิว เป็นต้น หรือการจำกัดสิทธิและเสรีภาพในการแสดงความคิดเห็น โดยรัฐอาจใช้มาตรการดังกล่าวเพื่อดำเนินคดีในประเด็นสาธารณะ และเพื่อปิดปากผู้เห็นต่างทางการเมืองหรือคู่ขัดแย้งทางการเมือง^[5]

นอกจากนี้ การคุกคามสิทธิความเป็นส่วนตัวโดยรัฐนั้นอาจจะเกิดจากวิธีการที่เป็นทางการ ผ่านการใช้อำนาจรัฐตามกฎหมายหรือปฏิบัติการของเจ้าหน้าที่ที่มีกฎหมายรองรับ หรือวิธีการที่มีความเป็นทางการน้อยกว่า อย่างปฏิบัติการเชิงข้อมูลข่าวสาร (information operation: IO) โดยการนำข้อมูลส่วนบุคคลหรือเรื่องส่วนตัวของบุคคลดังกล่าวมาเปิดเผยต่อสาธารณะเพื่อสร้างความเกลียดชัง

แอมเนสตี้ อินเตอร์เนชั่นแนล ประเทศไทย (Amnesty international Thailand) ระบุว่า ปลายปี พ.ศ. 2561 รัฐบาลได้เปิดเผยแผนการผลักดัน ‘ศูนย์ไซเบอร์กองทัพบก’ ในลักษณะสงครามไซเบอร์ ซึ่งกองกำลังไซเบอร์ถูกใช้เป็นเครื่องมือในการสอดส่องสื่อสังคมออนไลน์และการสื่อสารออนไลน์ของคนทำงานภาคประชาสังคมเพื่อระบุตัวผู้ต่อต้านรัฐบาล และมีความเป็นไปได้ที่กองทัพไซเบอร์นั้นจงใจปล่อยข่าวปลอมเพื่อคุกคามนักสิทธิมนุษยชนทางโซเชียลมีเดีย หรือแม้กระทั่งดำเนินคดีกับประชาชนทั่วไปที่พยายามแสดงถึงเสรีภาพในการแสดงออก^[6]

การรุกล้ำข้อมูลส่วนบุคคลเพื่อความมั่นคงของรัฐ ในนามกฎหมาย PDPA

ดังจะเห็นได้ว่า นัยของสิทธิความเป็นส่วนตัวนั้นมีความสำคัญในฐานะส่วนหนึ่งของสิทธิมนุษยชนสมัยใหม่^[7] และได้รับการรับรองเอาไว้ในบทบัญญัติของรัฐธรรมนูญในหลายๆ ประเทศ รวมถึงประเทศไทยที่มีการบัญญัติรับรองสิทธิความเป็นส่วนตัวเอาไว้ในรัฐธรรมนูญ^[8] โดยในบางประเทศสิทธิความเป็นส่วนตัว และสิทธิในข้อมูลส่วนบุคคล อาจได้รับการคุ้มครองเป็นพิเศษจากกฎหมายเฉพาะ เนื่องจากในชีวิตของคนหนึ่งคนประกอบไปด้วยข้อมูลส่วนบุคคลจำนวนมาก อาทิ ชื่อ-นามสกุล เพศ อายุ อาชีพ ศาสนา ความเชื่อ ความคิดเห็น หรือความเชื่อทางการเมือง สถานะทางเศรษฐกิจ จนถึงรสนิยมการดำรงชีวิตหรือการบริโภค ซึ่งข้อมูลดังกล่าวผูกพันหรือยืนยันความเป็นมนุษย์ของบุคคลนั้นให้แตกต่างไปจากบุคคลอื่น^[9] ฉะนั้น การคุ้มครองข้อมูลส่วนบุคคลจึงเป็นสาระสำคัญของการรักษาสิทธิความเป็นส่วนตัว เพราะหากปราศจากการคุ้มครองข้อมูลส่วนบุคคล พลเมืองก็จะปราศจากวิธีการและเครื่องมือในการใช้สิทธิความเป็นส่วนตัว และปกป้องสิทธิและข้อมูลส่วนบุคคลของตนเองจากการล่วงละเมิด เพื่อบรรเทาการแทรกแซงสิทธิความเป็นส่วนตัว^[10]

วัตถุประสงค์ของการคุ้มครองข้อมูลส่วนบุคคล คือ การให้สิทธิกับประชาชนในฐานะเจ้าของข้อมูลส่วนบุคคล ในการควบคุมและปกป้องข้อมูลส่วนบุคคลของตนเองจากการถูกละเมิด กฎหมายคุ้มครองข้อมูลส่วนบุคคลจึงกำหนดกฎเกณฑ์และแนวทางเกี่ยวกับการใช้ข้อมูลส่วนบุคคล ไม่ว่าการใช้ข้อมูลส่วนบุคคลนั้นจะเกิดขึ้นโดยหน่วยงานของรัฐ บริษัทเอกชน หรือ NGO และไม่ว่าการประมวลผลข้อมูลส่วนบุคคลนั้นจะเกิดขึ้นในรูปแบบอิเล็กทรอนิกส์หรือกระดาษ^[11] ซึ่งในกรณีของประเทศไทยนั้นได้มีการตรา พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ขึ้นมาเพื่อเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคล^[12]

คำถามสำคัญก็คือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 สามารถที่จะคุ้มครองสิทธิในข้อมูลส่วนบุคคลและการคุกคามความเป็นส่วนตัวจากรัฐได้หรือไม่ ซึ่งหากในสถานการณ์ปกติอาจจะกล่าวได้ว่า พระราชบัญญัติฉบับนี้อาจช่วยบรรเทาการแทรกแซงสิทธิความเป็นส่วนตัว โดยการเรียกร้องให้การใช้ข้อมูลส่วนบุคคลจะต้องปฏิบัติตามหลักเกณฑ์ที่กฎหมายกำหนด

อย่างไรก็ดี เมื่อไม่นานมานี้คณะรัฐมนตรีได้อนุมัติหลักการของพระราชกฤษฎีกายกเว้นการบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลโดยหน่วยงานของรัฐเพื่อวัตถุประสงค์ในการป้องกันประเทศ การรักษาความมั่นคงของประเทศ ความปลอดภัยสาธารณะ การจัดเก็บภาษีของหน่วยงานรัฐ การดำเนินการเพื่อประโยชน์สาธารณะ การดำเนินการตามพันธกรณีระหว่างประเทศ การดำเนินการของหน่วยงาน ศาล อัยการ และผู้บังคับใช้กฎหมาย โดยมิให้นำบทบัญญัติในหมวดเรื่องของการคุ้มครองข้อมูลส่วนบุคคล สิทธิของเจ้าของข้อมูลส่วนบุคคล การร้องเรียน ความรับผิดทางแพ่ง และบทกำหนดโทษมาใช้บังคับหน่วยงานของรัฐในวัตถุประสงค์ดังกล่าว^[13] ซึ่งจะเห็นได้ว่า ข้อยกเว้นดังกล่าวนั้นกว้างกว่าข้อยกเว้นเดิมที่กฎหมายกำหนดไว้^[14] และอาจทำให้หน่วยงานของรัฐทั้งหลายตบเท้าเข้ามาเพื่อเข้าถึงข้อมูลส่วนบุคคลและแทรกแซงสิทธิความเป็นส่วนตัวของประชาชนได้ ไม่ว่าจะเป็นทหาร ตำรวจ สำนักงานคณะกรรมการป้องกันและปราบปรามยาเสพติด (ป.ป.ส.) หรือกองอำนวยการรักษาความมั่นคงภายในราชอาณาจักร (กอ.รมน.) โดยประชาชนปราศจากเครื่องมือในการต่อสู้

ปัญหาสำคัญของร่างพระราชกฤษฎีกาดังกล่าวก็คือ ขอบเขตของการยกเว้นการบังคับใช้กฎหมายที่ไม่ชัดเจน โดยเฉพาะอย่างยิ่งในกรณีของการรักษาความมั่นคงปลอดภัยของประเทศ ความปลอดภัยสาธารณะ หรือการดำเนินการเพื่อประโยชน์สาธารณะ ซึ่งบรรดาถ้อยคำเหล่านี้ไม่ได้มีความหมายเฉพาะเจาะจง สุดแต่ผู้มีอำนาจจะตีความ และที่ผ่านมาการตีถ้อยคำว่า ‘การรักษาความมั่นคงปลอดภัย’ ‘ความปลอดภัยสาธารณะ’ หรือ ‘ประโยชน์สาธารณะ’ ล้วนแต่มีปัญหาในการตีความที่นำมาสู่การตั้งคำถามของสังคมเกี่ยวกับความเสมอภาคในการบังคับใช้กฎหมาย รวมถึงข้อยกเว้นดังกล่าวยังตอกย้ำวัฒนธรรม ‘ลอยนวลพ้นผิด’ ตามวิถีนิติรัฐแบบไทยๆ ที่มอบอภิสิทธิ์อย่างล้นๆ เกินๆ แก่เจ้าหน้าที่ฝ่ายความมั่นคงที่จะละเมิดสิทธิและเสรีภาพของประชาชนได้ในนามของกฎหมาย

ท้ายที่สุดหากรัฐบาลมีความจริงใจ โปร่งใส และมุ่งหมายที่จะเคารพสิทธิความเป็นส่วนตัวและสิทธิในข้อมูลส่วนบุคคลแล้ว รัฐบาลควรที่จะระงับแผนการที่จะผ่านร่างพระราชกฤษฎีกาฉบับนี้ เพื่อให้การคุ้มครองสิทธิความเป็นส่วนตัวและสิทธิในข้อมูลส่วนบุคคลได้รับการคุ้มครองอย่างแท้จริง

เชิงอรรถ

[1] Human Right Watch, ‘China: Police ‘Big Data’ Systems Violate Privacy, Target Dissent Automated Systems Track People Authorities Claim Threatening’ (Human Right Watch, 19 November 2017). <https://www.hrw.org/news/2017/11/19/china-police-big-data-systems-violate-privacy-target-dissent> accessed 22 July 2022.

[2] John Scott-Railton, Bill Marczak and others, ‘GeckoSpy: Pegasus Spyware Used Against Thailand’s Pro-Democracy Movement’ (The Citizen Lab, 17 July 2022). <https://citizenlab.ca/2022/07/geckospy-pegasus-spyware-used-against-thailands-pro-democracy-movement/> accessed 22 July 2022.

[3] เพิ่งอ้าง.

[4] iLaw, ‘ปรสิตติดโทรศัพท์ : ข้อค้นพบเมื่อสปายแวร์เพกาซัสถูกใช้ต่อผู้เห็นต่างจากรัฐบาล’ (iLaw, 16 กรกฎาคม 2565). <https://freedom.ilaw.or.th/report-parasite-that-smiles-th> สืบค้นเมื่อ 22 กรกฎาคม 2565.

[5] See Privacy International, ‘The Keys to Data Protection: A Guide for Policy Engagement on Data Protection’ (5 September 2018). <https://www.privacyinternational.org/report/2255/data-protection-guide-complete> accessed 23 July 2022, 26.

[6] แอมเนสตี้, ‘สิทธิในเสรีภาพในการแสดงออกออนไลน์’ (Amnesty) <https://www.amnesty.or.th/our-work/onlinefreedom/> สืบค้นเมื่อ 23 กรกฎาคม 2565.

[7] ดู ปฏิญญาสากลว่าด้วยสิทธิมนุษยชน ข้อ 12.

[8] รัฐธรรมนูญแห่งราชอาณาจักรไทย พุทธศักราช 2560 มาตรา 32.

[9] นคร เสรีรักษ์, ความเป็นส่วนตัว: ความคิด ความรู้ ความจริง และพัฒนาการเรื่องการคุ้มครองข้อมูลส่วนบุคคลในประเทศไทย (พิมพ์ครั้งที่ 2, พี.เพรส 2563) 101.

[10] Privacy Internationaol (no 5) 12.

[11] Ibid; เขมภัทร ทฤษฎิคุณ, ‘PDPA101: มาเข้าใจกฎหมายคุ้มครองข้อมูลส่วนบุคคลแบบนับหนึ่งกันเถอะ’ (สถาบันปรีดี พนมยงค์, 1 มิถุนายน 2565). <https://pridi.or.th/th/content/2022/06/1121> สืบค้นเมื่อ 23 กรกฎาคม 2565.

[12] ดู พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หมายเหตุท้ายพระราชบัญญัติ.

[13] รัฐบาลไทย, ‘สรุปข่าวการประชุมคณะรัฐมนตรี 5 กรกฎาคม 2565’ (รัฐบาลไทย, 5 กรกฎาคม 2565) <https://www.thaigov.go.th/news/contents/details/56572?fbclid=IwAR3urkjQeTG60Xuu0gDYBT6rBmBityC30hJwHTtQncP8bEmGGPfCz30DdrA> สืบค้นเมื่อ 23 กรกฎาคม 2565.

[14] พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 4.

สำรวจความพร้อมภาครัฐ ปฏิบัติตาม ‘PDPA’

มิถุนายน 30, 2022มีนาคม 29, 2025 เขมภัทร ทฤษฎิคุณ

เผยแพร่ครั้งแรกเมื่อวันที่ 30 มิถุนายน 2565 บนหนังสือพิมพ์และเว็บไซต์ กรุงเทพธุรกิจ ในคอลัมน์วาระทีดีอาร์ไอ

ใกล้จะครบ 1 เดือนที่ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA มีผลใช้บังคับ หลังจากเลื่อนการบังคับใช้มาเป็นระยะเวลา 2 ปี ด้วยเหตุผลเพื่อภาครัฐและบริษัทเอกชนได้เตรียมความพร้อม

หลังกฎหมายบังคับใช้ เกิดคำถามและความเข้าใจผิดหลายกรณีเกี่ยวกับสิ่งที่ ทำได้-ทำไม่ได้ ตามกฎหมายกำหนด ซึ่งหน่วยงานกำกับดูแลคือ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลจำเป็นต้อง ให้ความกระจ่างแก่ประชาชนอย่างทันถ่วงที เพื่อป้องกันการสร้างความเข้าใจผิด หรือการใช้ ประโยชน์จากกฎหมายในทางไม่ชอบ ซึ่งอาจ เป็นอุปสรรคต่อการปรับตัวรับการบังคับใช้ PDPA ตามเจตนารมณ์แท้จริงของกฎหมาย

นอกจากการแก้ไขความเข้าใจผิดเกี่ยวกับ กฎหมายสำหรับประชาชนแล้ว อีกปัจจัยสำคัญที่ต้องเร่งยกระดับคือ ความพร้อมของ หน่วยงานต่างๆ โดยเฉพาะหน่วยงานของภาครัฐ เนื่องจากภาคเอกชนได้เร่งปรับตัว เตรียมความพร้อมคุ้มครองข้อมูลส่วนบุคคลตามหลักสากล GDPR ไปก่อนแล้ว รวมทั้งการปฏิบัติตามหลักธรรมาภิบาลขององค์กรในการประกอบกิจการ

แต่สำหรับหน่วยงานภาครัฐที่มีการเก็บรวบรวมข้อมูลส่วนบุคคลเป็นจำนวนมาก ตั้งแต่เกิดจนเสียชีวิต ยังติดกับอุปสรรคหลาย ประการที่ทำให้ยังไม่ได้ยกระดับการคุ้มครองข้อมูลส่วนบุคคลในภาครัฐ ซึ่งการคุ้มครองข้อมูลส่วนบุคคลในภาครัฐที่ผ่านมาเป็นไปตาม พ.ร.บ.ข้อมูลข่าวสารราชการ พ.ศ.2540 แต่ในตอนนี้ การคุ้มครองข้อมูลส่วนบุคคลของภาครัฐจะต้องปรับไปตาม PDPA ด้วย

จากการศึกษาของทีดีอาร์ไอ พบว่า ตลอด 2 ปีที่ผ่านมา มีบางหน่วยงานได้เตรียม ความพร้อมในการปฏิบัติตาม PDPA ไปบ้างแล้ว เช่น สำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน) (สพร.) ซึ่งเป็นหน่วยงาน ของรัฐแรกๆ ที่ได้ดำเนินการปฏิบัติตาม PDPA และเป็นตัวอย่างที่ดีให้กับหน่วยงาน อื่นๆ โดยการทำเอกสารแม่แบบสำหรับการ ดำเนินการในการปฏิบัติตามกฎหมาย

อย่างไรก็ตาม ความเปลี่ยนแปลงที่เกิดขึ้นในหลายหน่วยงานมีเพียงบนกระดาษ ไม่ได้ เปลี่ยนแปลงระดับนโยบาย กระบวนการทำงาน ไปจนถึงเทคโนโลยีเพื่อการรักษาความปลอดภัยข้อมูลส่วนบุคคล ซึ่งอาจทำให้ ข้อมูลส่วนบุคคลของประชาชนถูกละเมิด/รั่วไหลได้ ตามที่เคยเกิดขึ้นแล้ว หลัง PDPA ประกาศใช้ในช่วงปี 2564 มีการละเมิด/รั่วไหล ของข้อมูลส่วนบุคคลในภาครัฐถึง 5 ครั้ง

เพื่อยกระดับความพร้อมให้กับภาครัฐ และป้องกันปัญหาเกิดขึ้นเช่นในอดีต จำเป็นที่ภาครัฐจะต้องปรับปรุงแก้ไขสิ่งต่างๆ ดังนี้

1. สร้างความเข้าใจและความชัดเจนในบทบาทหน้าที่ ความไม่เข้าใจหรือไม่ชัดเจนในบทบาทของภาครัฐในฐานะผู้ควบคุมข้อมูล ส่วนบุคคลตาม PDPA ทำให้บางส่วนอาจเห็นว่าการคุ้มครองข้อมูลส่วนบุคคลเป็นหน้าที่ของสำนัก/กอง/กลุ่ม/แผนกหนึ่งในหน่วยงานของรัฐเป็นผู้รับผิดชอบ เช่น สำนักเทคโนโลยี เป็นต้น แต่ตามหลักคือ หน่วยงานภาครัฐจะต้องสร้างความเข้าใจให้กับเจ้าหน้าที่ทุกคนและยึดหลักปฏิบัติเดียวกันทั้งองค์กร

2. มีนโยบายภายในองค์กรเพื่อรองรับการปฏิบัติตาม PDPA หรือแม้แต่การปรับเปลี่ยน กฎเกณฑ์ทางกฎหมายภายใต้อำนาจของ หน่วยงานของรัฐ เพื่อให้สอดคล้องกับหลักการ ของกฎหมายคุ้มครองข้อมูลส่วนบุคคล

3. มีแนวปฏิบัติ (guidelines) เพื่อการ เตรียมความพร้อมในการปฏิบัติตาม PDPA และมีคำอธิบายบทบัญญัติของ PDPA ซึ่งหากพิจารณาเฉพาะตัวพระราชบัญญัติแล้ว จะเห็นเพียงหลักการแต่ไม่เห็นแนวทางในการปฏิบัติตาม

4. มีความเข้าใจต่อการพิจารณาฐานทางกฎหมาย เมื่อขาดนโยบายและแนวปฏิบัติ หน่วยงานของรัฐส่วนใหญ่จึงไม่มั่นใจว่า ภารกิจหรือกิจกรรมการประมวลผลข้อมูลส่วนบุคคลของตนจะต้องใช้ฐานการประมวลผล ข้อมูลส่วนบุคคลใด โดยเฉพาะอย่างยิ่งในมาตราที่กฎหมายห้ามไม่ให้เก็บรวบรวมข้อมูลส่วนบุคคล หากไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ซึ่งจะเป็นปัญหาสำหรับหน่วยงานของรัฐที่มีภารกิจต้องเก็บจากบุคคลเป็นจำนวนมาก เช่น ฐานข้อมูลทะเบียนราษฎร หรือฐานข้อมูลบัตรประจำตัวประชาชน เป็นต้น เจ้าหน้าที่รัฐอาจไม่มั่นใจว่าจะสามารถขอความยินยอมได้อย่างไร ซึ่งในความเป็นจริงแล้ว PDPA ได้ให้อำนาจหน่วยงานของรัฐในฐานการประมวลผลเพื่อการใช้ประโยชน์ในการจัดทำบริการสาธารณะเอาไว้ โดยไม่ต้อง ขอความยินยอม นอกจากนี้ ในกรณีอื่นๆ หน่วยงานของรัฐก็อาจจะอาศัยฐานในการประมวลผลอื่นๆ เพื่อเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคลได้ ได้แก่ ฐานสัญญา ฐานสถิติ เอกสารประวัติศาสตร์ และจดหมายเหตุ ฐานป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล ฐานประโยชน์โดยชอบด้วยกฎหมาย และฐานการปฏิบัติตามกฎหมาย ซึ่ง PDPA รับรองเอาไว้

5. มีระบบเทคโนโลยีสารสนเทศที่ปลอดภัย หน่วยงานของรัฐบางแห่งยังไม่มีระบบที่ทันสมัยเพียงพอกับการรับมือกับการละเมิด/รั่วไหลของข้อมูลส่วนบุคคล ซึ่งอาจเกิดการรั่วไหลหรือถูกโจมตีต่อระบบคอมพิวเตอร์ได้ หรือในกรณีที่เก็บรักษาเอกสารอิเล็กทรอนิกส์ไว้ในเครื่องคอมพิวเตอร์สำนักงานโดยไม่มีการตั้งรหัสการเข้าถึงข้อมูล (access control) อาจทำให้บุคคลที่ไม่มีส่วนเกี่ยวข้องเข้าถึงข้อมูลได้โดยไม่จำเป็น

นอกเหนือจากสิ่งต่างๆ ที่กล่าวมาแล้ว หลักสำคัญในการปรับตัวตาม PDPA ของภาครัฐคือการตระหนักถึงบทบาทในฐานะผู้ควบคุมข้อมูลส่วนบุคคล ที่ต้องให้การคุ้มครองข้อมูลส่วนบุคคลของประชาชน และต้องสร้างความโปร่งใสในการสื่อสารกับประชาชน

ในกรณีที่จะต้องเก็บรวบรวมและใช้ข้อมูลส่วนบุคคล ภาครัฐควรจะต้องมีการแจ้งให้ประชาชนทราบ เพื่อให้ประชาชสามารถใช้สิทธิของตนเองได้ตามกฎหมาย เพราะหน่วยงานของรัฐส่วนใหญ่ยังขาดการเตรียมกระบวนการเพื่อแจ้งเจ้าของข้อมูลส่วนบุคคลให้ทราบเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล การจัดเตรียมช่องทางการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล โดยควรจะต้องแจ้งให้ประชาชนรับรู้ เพื่อประโยชน์ของประชาชนในการควบคุมสิทธิในข้อมูลส่วนบุคคลของตนเอง

Khemmapat Trisadikoon

หมวดหมู่: Law and Society Topics

จะช่วยแรงงานยุคใหม่ รัฐควรต้องปรับตัว

ลักษณะธุรกิจที่ผิดแปลกจากอดีต

อำนาจแพลตฟอร์มเหนือการควบคุมแบบเดิม

ผลกระทบของแพลตฟอร์มต่อแรงงาน

รัฐจะช่วยแรงงานได้อย่างไร

อ้างอิงจาก

PRIDI Economic Focus: จาก “ควบรวม” ถึง “ผูกขาด” ประเมินความเสี่ยงที่สังคมไทยต้องแบกรับ

สภาพปัจจุบันของการแข่งขันในธุรกิจโทรศัพท์มือถือ

มติ กสทช. ให้ควบรวมธุรกิจ

สถานการณ์ภายหลังการมีมติของ กสทช.

เชิงอรรถ

สำรวจความพร้อมภาครัฐ ปฏิบัติตาม ‘PDPA’