ป้ายกำกับ: พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

คู่มือคุ้มครองข้อมูลส่วนบุคคลสำหรับท้องถิ่น

เขมภัทร ทฤษฎิคุณ

ชื่อหนังสือ: คู่มือคุ้มครองข้อมูลส่วนบุคคลสำหรับท้องถิ่น

การอ้างอิงแนะนำตามรูปแบบ APA: นคร เสรีรักษ์, และคณะ. (2565). คู่มือคุ้มครองข้อมูลส่วนบุคคลสำหรับท้องถิ่น. แพร่: พีเพรส.

สรุปสาระสำคัญ

คู่มือคุ้มครองข้อมูลส่วนบุคคลสำหรับท้องถิ่นจัดทำขึ้นเพื่อเป็นแนวทางในการปฏิบัติพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งเป็นกฎหมายที่กำหนดหลักการในการคุ้มครองข้อมูลส่วนบุคคล โดยหนังสือเล่มนี้เป็นการจัดทำงานร่วมกันระหว่าง Privacy Thailand และสำนักงานส่งเสริมเศรษฐกิจดิจิทัล (depa) ที่ตระหนักถึงความสำคัญในเรื่องนี้ จึงได้ร่วมกันจัดการอบรมเชิงปฏิบัติการเรื่อง “แนวทางการปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 สำหรับองค์กรปกครองส่วนท้องถิ่น” เพื่อเป็นการเสริมสร้างความรู้ความเข้าใจเกี่ยวกับสิทธิส่วนบุคคลและกฎหมายคุ้มครองข้อมูลส่วนบุคคล และเพื่อให้เจ้าหน้าที่สามารถปฏิบัติงานโดยไม่ละเมิดสิทธิส่วนบุคคลและสามารถคุ้มครองข้อมูลส่วนบุคคลได้อย่างถูกต้องและมีประสิทธิภาพ

นิติเศรษฐศาสตร์ของการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคล: มุมมองจากทฤษฎีตัวการ-ตัวแทน

เขมภัทร ทฤษฎิคุณ

ชื่อบทความ: นิติเศรษฐศาสตร์ของการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคล: มุมมองจากทฤษฎีตัวการ-ตัวแทน

เผยแพร่ใน: วารสาร CMU Journal of Law and Social Sciences, ปีที่ 17 ฉบับที่ 2 (2024): กรกฎาคม – ธันวาคม 2567

การอ้างอิงแนะนำตามรูปแบบ APA: วัชรพล ศิริ และเขมภัทร ทฤษฎิคุณ. (2567). นิติเศรษฐศาสตร์ของการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคล: มุมมองจากทฤษฎีตัวการ-ตัวแทน. วารสารนิติสังคมศาสตร์, 17(2). 145-176. https://so01.tci-thaijo.org/index.php/CMUJLSS/article/view/275731

บทคัดย่อ

บทความนี้เป็นการทดลองนำมโนทัศน์ปัญหาตัวการ-ตัวแทน ซึ่งเป็นแนวคิดในทางเศรษฐศาสตร์มาประยุกต์ใช้กับการวิเคราะห์สภาพปัญหาการบังคับใช้กฎหมายไทย โดยอาศัยตัวอย่างการศึกษาคือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562  ทั้งนี้ การศึกษาในครั้งนี้มีวัตถุประสงค์เพื่อทำความเข้าใจปัญหาการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลของไทยผ่านแนวคิดปัญหาตัวการ-ตัวแทน โดยกำหนดให้ฝ่ายนิติบัญญัติเป็นตัวการ และหน่วยงานของรัฐอื่นเป็นตัวแทนที่ต้องทำตามเจตนารมณ์ของตัวการ

อย่างไรก็ดี จากการศึกษาพบว่าสภาพปัญหาตัวการ-ตัวแทนที่เกิดขึ้นจากพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีสาเหตุมาจากปัญหาความไม่สมมาตรของข้อมูลและจริยธรรมวิบัติ ซึ่งทำให้การบังคับใช้กฎหมายไม่ตอบสนองต่อเจตนารมณ์ของฝ่ายนิติบัญญัติ (ตัวการ) โดยผู้เขียนได้นำเสนอบทวิเคราะห์สภาพปัญหานี้โดยอาศัยตัวอย่างการศึกษา 2 ประการคือ ความขัดแย้งระหว่างตัวการ-ตัวแทนในการตรากฎหมายลำดับรอง และความขัดแย้งระหว่างตัวการ-ตัวแทนในการตีความกฎหมาย  อนึ่ง การศึกษากฎหมายผ่านทฤษฎีตัวการ-ตัวแทนนี้จะมีประโยชน์ต่อการวิพากษ์และการเสนอแนะเพื่อแก้ไขกฎหมายต่อไป

Download

การเสริมสร้างกรอบการกำกับดูแลสำหรับเศรษฐกิจดิจิทัลของประเทศไทย

เขมภัทร ทฤษฎิคุณ

เผยแพร่ครั้งแรกเมื่อวันที่ 16 เมษายน 2567 บนเว็บไซต์ Tech for Good Institute บทความนี้เขียนโดยเขมภัทร ทฤษฎิคุณ นักวิจัยอาวุโส และวิชญาดา อำพนกิจวิวัฒน์ นักวิจัย สถาบันวิจัยเพื่อการพัฒนาประเทศไทย

การกำกับดูแลเศรษฐกิจดิจิทัลในประเทศไทยกระจายตัวอยู่ในหน่วยงาน ทำให้บทบาทด้านการกำกับดูแล อาทิ การออกกฎหมาย กำหนดมาตรฐาน และการบังคับใช้กฎหมายกระจายไปในแต่ละหน่วยงานทั้งจากหน่วยงานที่อยู่ภายใต้กระทรวงเดียวกัน และเป็นองค์กร (มหาชน) อิสระ ทำหน้าที่ตามภารกิจ เช่น การกำกับดูแลการแข่งขันในตลาด การคุ้มครองผู้บริโภค การคุ้มครองข้อมูลส่วนบุคคล และการรักษาความมั่นคงปลอดภัยไซเบอร์ เป็นต้น

ภาพรวมหน่วยงานกำกับดูแลของประเทศไทยในยุคเศรษฐกิจดิจิทัล

ในด้านโครงสร้างพื้นฐานด้านเทคโนโลยีสารสนเทศและดิจิทัลของประเทศไทยจะมีกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (MDES) เป็นหน่วยงานหลักที่มีบทบาทในการพัฒนาและกำกับดูแลโครงสร้างพื้นฐานดังกล่าว ภายใต้ MDES มีหน่วยงานย่อยๆ อาทิ สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (ETDA) และสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC)

สำหรับสำนักงานคณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติ (NBTC) เป็นหน่วยงานกำกับดูแลด้านกิจการโทรคมนาคมผ่านการออกใบอนุญาตให้กับหน่วยงานของรัฐและเอกชน ซึ่งบทบาทดังกล่าวรวมถึงการกำกับดูแลการแข่งขันทางการค้าเฉพาะในกิจการโทรคมนาคม ในทางกฎหมายหน้าที่ของ NBTC ดังกล่าวอาจต้องทำงานร่วมกันกับสำนักงานคณะกรรมการแข่งขันทางการค้า (TCCT) เพื่อคุ้มครองการแข่งขันเพื่อนำมาสู่บริการที่มีคุณภาพ ประสิทธิภาพ รวดเร็ว ถูกต้อง และเป็นธรรม

ปัจจุบัน ETDA มีบทบาทสำคัญในการกำกับดูแลธุรกรรมทางอิเล็กทรอนิกส์ เช่น การกำหนดมาตรฐานการพิสูจน์และยืนยันตัวตนทางดิจิทัล (NDID) มาตรฐานการทำลายมือชื่ออิเล็กทรอนิกส์ (E-signature) และ
การประกอบธุรกิจบริการแพลตฟอร์มดิจิทัล เพื่อให้ผู้ประกอบธุรกิจอยู่ภายใต้มาตรฐานเดียวกัน เว้นแต่ธุรกิจนั้นจะมีกฎหมายและมาตรฐานเป็นการเฉพาะ เช่น ภาคการเงินจะอยู่ภายใต้การกำกับดูแลของธนาคารแห่งประเทศไทย (BOT) หรือสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (SEC) เป็นต้น

PDPC มีบทบาทเข้าไปกำกับดูแลหน่วยงานภาครัฐและเอกชนในการใช้ข้อมูลส่วนบุคคล การเชื่อมโยงข้อมูลระหว่างประเทศ ผ่านกฎระเบียบและแนวปฏิบัติต่างๆ รวมทั้งการพิจารณาข้อพิพาทหรือประเด็นปัญหาที่เกิดขึ้นได้เพื่อสร้างความมั่นใจและน่าเชื่อถือให้กับประเทศ

สำหรับการรักษาความมั่นคงปลอดภัยไซเบอร์ มีการจัดตั้งสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (NCSC) มีหน้าที่ป้องกันและจัดการภัยคุกคามทางไซเบอร์ โดยเฉพาะภัยคุกคามที่เข้ามาจู่โจมโครงสร้างพื้นฐานที่สำคัญของประเทศ เช่น ความมั่นคงของรัฐ ความมั่นคงทางเศรษฐกิจ โครงสร้างด้านเทคโนโลยีสารสนเทศและโทรคมนาคม เป็นต้น

การคุ้มครองการแข่งขันในประเทศไทยอยู่ภายใต้การกำกับดูแลของ TCCT ซึ่งในปัจจุบันทำหน้าที่กำกับดูแลและส่งเสริมการแข่งขันการค้าแบบทั่วไปในประเทศไทย ซึ่งรวมถึงการแข่งขันทางการค้าในธุรกิจแพลตฟอร์ม

ดังกล่าวมาแล้วว่า ในกรณีของภาคการเงินมีหน่วยงานเฉพาะ อาทิ BOT มีบทบาทหน้าที่ในการกำกับดูแลการบริหารความเสี่ยงด้านการเงินที่จะเกิดขึ้นได้กับประชาชน และการสร้างความน่าเชื่อของสถาบันการเงินให้มีมาตรฐานผ่านการกำหนดหลักเกณฑ์และแนวทางปฏิบัติต่างๆ ส่วน SEC เป็นหน่วยงานที่มีอำนาจในการกำกับดูแลตลาดทุนของผู้ลงทุนผ่านขั้นตอนและวิธีการดำเนินธุรกิจ การระดมทุน รวมถึงกิจกรรมเกี่ยวกับสินทรัพย์ดิจิทัล เพื่อป้องกันไม่ให้เกิดการฉ้อโกง หลอกลวง หรือความผิดเกี่ยวกับสินทรัพย์ดิจิทัลในตลาดทุนไทยได้

ความซับซ้อนด้านกฎระเบียบและบทบาทที่เปลี่ยนแปลง

ในปัจจุบันการกำกับดูแลธุรกิจแพลตฟอร์มประกอบไปด้วยหน่วยทั่วไปที่มีหน้าที่กำกับดูแลด้านเทคโนโลยีสารสนเทศและดิจิทัลในประเทศไทย ทั้งในด้านนโยบายและกฎระเบียบต่างๆ แต่ถ้าเป็นอุตสาหกรรมเฉพาะจะมีหน่วยงานกำกับดูแลเป็นการเฉพาะ อาทิ ธุรกิจการเงิน  อย่างไรก็ตาม ในทางปฏิบัติหน่วยงานของรัฐมีความพยายามในการทำงานร่วมกันผ่านนโยบาย มาตรการ โครงการต่างๆ จากทางภาครัฐ อาทิ BOT และ SEC อาจทำงานร่วมกันกับ ETDA เพื่อส่งเสริมให้หน่วยงานในประเทศมีความพร้อมด้านการเงินและตลาดทุนไทยมากขึ้น

สภาพดังกล่าวสะท้อนให้เห็นถึงการกำกับดูแลในปัจจุบันที่แนวโน้มบทบาทของหน่วยงานกำกับดูแลกำลังขยายออกไปในเรื่องที่ในอดีตไม่เคยกำกับดูแล ทำให้ความเชี่ยวชาญที่เคยมีอาจจะไม่ตอบสนองต่อความเปลี่ยนแปลงที่เกิดขึ้น รวมถึงกรอบทางกฎหมายปัจจุบันอาจไม่ครอบคลุมหรือไม่เอื้อให้เกิดการกำกับดูแลที่มีประสิทธิภาพ ตัวอย่างเช่น บทบาทของ TCCT ยังเน้นการกำกับดูแลแบบ Ex-post ในขณะที่พฤติกรรมของแพลตฟอร์มมีความซับซ้อนมากกว่านั้นและจำเป็นต้องเข้าถึงอัลกอริธึมเพื่อเข้าใจพฤติกรรมการแข่งขันรวมถึงวิเคราะห์สภาพตลาดเพื่อจะกำกับดูแลแบบ Ex-ante ก่อนแพลตฟอร์มจะละเมิดการแข่งขัน

อย่างไรก็ดี การอาศัยกรอบและอำนาจตามกฎหมายที่กระจายอยู่ตามหน่วยงานต่างๆ ทำให้การกำกับดูแลธุรกิจแพลตฟอร์มติดช่องโหว่ที่เกิดจากการไม่มีกฎหมายเข้ามากำกับดูแล ทำให้ประเทศไทยมีความพยายามยกร่างกฎหมายว่าด้วยเศรษฐกิจแพลตฟอร์มขึ้นมาเพื่อเป็นกฎหมายหลักในการกำกับดูแลการประกอบธุรกิจแพลตฟอร์มในประเทศไทย ซึ่งยังอยู่ในระหว่างกระบวนการยกร่าง

กฎหมายฉบับนี้จะทำหน้าที่เป็นกรอบทั้งในแนวระนาบที่กำกับดูแลพฤติกรรมที่เกิดขึ้นเป็นการทั่วไปของธุรกิจแพลตฟอร์ม อาทิ การแข่งขันทางการค้า การคุ้มครองผู้บริโภค และการควบคุมการให้บริการ โดยกำหนดหน้าที่พื้นฐานที่แพลตฟอร์มทุกๆ ขนาดต้องปฏิบัติ และกำหนดหน้าที่เพิ่มเติมตามความเสี่ยงที่แพลตฟอร์มแต่ละลักษณะจะก่อให้เกิดขึ้นกับเศรษฐกิจและผู้บริโภค  นอกจากนี้ กฎหมายฉบับนี้ยังเชื่อมโยงกลไกการบังคับใช้กฎหมายกับกฎเกณฑ์ภายใต้กฎหมายเฉพาะอื่นๆ

การทำงานร่วมกันด้านกฎระเบียบที่ก้าวหน้า

ทว่า ในขณะที่กฎหมายว่าด้วยเศรษฐกิจแพลตฟอร์มยังไม่มีผลใช้บังคับ โจทย์ใหญ่ที่เป็นความท้าทายสำคัญของการกำกับดูแลเศรษฐกิจดิจิทัลของประเทศไทยคือการเร่งสร้างความร่วมมือเพื่อรองรับการกับความเปลี่ยนแปลง จากคำแนะนำของ Tech for Good Institute ซึ่งได้แนะนำให้เกิดการสร้างความร่วมมือ 3 ลักษณะ ได้แก่

  1. หน่วยงานของรัฐด้วยกัน เนื่องจากประเด็นเศรษฐกิจดิจิทัลมีความเกี่ยวข้องหลายมิติ อาทิ การแข่งขันทางการค้า คุ้มครองผู้บริโภค ความปลอดภัยไซเบอร์ และคุ้มครองข้อมูลส่วนบุคคล ซึ่งจำเป็นต้องใช้หน่วยงานที่มีความถนัดเฉพาะทางหลากหลาย การมีประสานความร่วมมือกันเพื่อตอบสนองต่อปัญหาที่เกิดขึ้นจึงสำคัญ อย่างไรก็ดี ภายใต้บริบทที่ให้อำนาจหน่วยงานต่างๆ ไว้เฉพาะ อาจจะทำให้เป้าหมายและการดำเนินงานของแต่ละหน่วยงานไม่สอดคล้องกัน
  2. หน่วยงานของรัฐกับภาคเอกชน เนื่องจากเทคโนโลยีมีการพัฒนาเปลี่ยนแปลงไปอย่างรวดเร็ว สภาพดังกล่าวทำให้การกำกับดูแล อาทิ การออกกฎเกณฑ์อาจจะไม่ทันกับการปรับตัวของรูปแบบธุรกิจและเทคโนโลยี รวมถึงหน่วยงานของรัฐอาจขาดความเข้าใจเกี่ยวกับเรื่องที่จะกำกับดูแล รวมถึงประเมินผลกระทบที่เกิดขึ้นผิดพลาด การสร้างความร่วมมือระหว่างหน่วยงานของรัฐกับภาคเอกชนจะช่วยให้เกิดการแลกเปลี่ยนข้อมูลและการทำความเข้าใจรูปแบบธุรกิจและเทคโนโลยีได้มากขึ้น
  3. หน่วยงานของรัฐกับหน่วยงานของรัฐประเทศอื่นๆ เนื่องจากโจทย์ของการกำกับดูแลในเศรษฐกิจดิจิทัลมีความท้าทายโดยไม่จำกัดเฉพาะภายในพรมแดนรัฐใดรัฐหนึ่ง การแลกเปลี่ยนประสบการณ์และสร้างความร่วมมือระหว่างหน่วยงานของรัฐกับหน่วยงานของรัฐประเทศอื่นๆ กลไกการกำกับดูแลมีประสิทธิภาพมากขึ้น รวมถึงได้รับบทเรียนจากประเทศอื่นมาเป็นแนวทาง

การมองไปในอนาคตเพื่อให้การกำกับดูแลครอบคลุมทุกมิติ

กล่าวโดยสรุป กรอบการกำกับดูแลเศรษฐกิจดิจิทัลของประเทศไทยมีความซับซ้อนและเกี่ยวข้องกับภารกิจ
ที่กระจายอยู่ตามหน่วยงานต่างๆ ที่กฎหมายกำหนดความรับผิดชอบไว้เป็นการเฉพาะ แม้ว่าจะมีความพยายามในการทำงานร่วมกันและจัดการกับความท้าทายที่เกิดขึ้นใหม่นี้ แต่การขยายบทบาทด้านกฎระเบียบและช่องว่างที่มีอยู่ก็ยังทำให้เกิดอุปสรรคอย่างต่อเนื่อง  ทั้งนี้ การแก้ไขปัญหาเหล่านี้รัฐบาลไทยควรจะต้องดำเนินการออกกฎหมายว่าด้วยเศรษฐกิจแพลตฟอร์มเพื่อมุ่งเป้าหมายในการรวมศูนย์การกำกับดูแลภายใต้กรอบการทำงานที่สอดคล้องกัน และปรับปรุงกลไกภายในระหว่างหน่วยงานเพื่อให้เกิดการบังคับใช้กฎหมายร่วมกันอย่างมีประสิทธิภาพ 

นอกจากนี้การเร่งสร้างความท้าทายยังเป็นโจทย์ใหญ่ของประเทศไทย ทั้งในแง่ของความร่วมมือระหว่างหน่วยงานของรัฐ ภาคเอกชน รวมถึงกับระหว่างกำกับดูแลในต่างประเทศ ซึ่งมีความสำคัญอย่างยิ่งต่อการแก้ไขปัญหาความซับซ้อน (ซ้ำซ้อน) และทำให้เกิดการทำงานร่วมกันในการแลกเปลี่ยนข้อมูลเชิงลึก ซึ่งจะทำให้ประเทศไทยสามารถปรับตัวกับภูมิทัศน์ด้านกฎระเบียบที่เปลี่ยนแปลงไปได้มากขึ้นในยุคที่เศรษฐกิจดิจิทัลกำลังเติบโต

แนวทางการปรับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลกับกิจกรรมของรัฐที่ได้รับการยกเว้น

เขมภัทร ทฤษฎิคุณ

ชื่อบทความ: แนวทางการปรับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลกับกิจกรรมของรัฐที่ได้รับการยกเว้น

เผยแพร่ใน: หนังสือรายงานการประชุมสืบเนื่อง (proceeding) โครงการประชุมวิชาการระดับชาติ ครั้งที่ 4 เรื่อง “Legal Tech and Sustainable Development” ปีการศึกษา 2565

การอ้างอิงแนะนำตามรูปแบบ APA: เขมภัทร ทฤษฎิคุณ. (2565). แนวทางการปรับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลกับกิจกรรมของรัฐที่ได้รับการยกเว้น. ใน พินิจ ทิพย์มณี และคณะ (บก.). รายงานการประชุมสืบเนื่อง (proceeding) โครงการประชุมวิชาการระดับชาติ ครั้งที่ 4 เรื่อง “Legal Tech and Sustainable Development” ปีการศึกษา 2565 (น.29-43). คณะนิติศาสตร์ ปรีดี พนมยงค์ มหาวิทยาลัยธุรกิจบัณฑิต. https://law.dpu.ac.th/lawpridi-conference/document/conference-vol4.pdf

บทคัดย่อ

สิทธิความเป็นส่วนตัวได้มีการรับรองไว้รัฐธรรมนูญแห่งราชอาณาจักรไทย พุทธศักราช 2560 มาตรา 32 โดยกำหนดหน้าที่ผูกพันให้รัฐต้องคุ้มครองรักษาสิทธิความเป็นส่วนตัวของประชาชน ซึ่งข้อมูลส่วนบุคคลเป็นส่วนหนึ่งของความเป็นส่วนตัวเป็นเหตุให้ในเวลาต่อมารัฐบาลจึงตราพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ขึ้นมา

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีสถานะเป็นกฎหมายทั่วไปในการคุ้มครองข้อมูลส่วนบุคคลโดยกำหนดหลักการคุ้มครองข้อมูลส่วนบุคคลทั้งในหน่วยงานของรัฐและเอกชนและไม่จำกัดว่า ข้อมูลส่วนบุคคลดังกล่าวจะอยู่ในรูปแบบกระดาษหรือเป็นข้อมูลอิเล็กทรอนิกส์ อย่างไรก็ดี พระราชบัญญัติฉบับนี้ได้ยกเว้นไม่นำมาใช้บังคับกับกิจกรรมที่มีการประมวลผลข้อมูลส่วนบุคคลบางประเภท ซึ่งรวมถึงกิจกรรมการประมวลผลข้อมูลส่วนบุคคลของหน่วยงานของรัฐในเรื่องการดำเนินการของหน่วยงานของรัฐที่มีหน้าที่ในการรักษาความมั่นคงของรัฐ และการพิจารณาพิพากษาคดีของศาลและการดำเนินงานของเจ้าหน้าที่ในกระบวนการพิจารณาคดี การบังคับคดี และการวางทรัพย์ รวมทั้งการดำเนินงานตามกระบวนการยุติธรรมทางอาญาตามมาตรา 4 (2) และ (5) โดยพระราชบัญญัติเพียงแต่กำหนดว่า หน่วยงานของรัฐจะต้องกำหนดมาตรการคุ้มครองข้อมูลส่วนบุคคลสำหรับกิจกรรมที่ได้รับการยกเว้น ซึ่งอาจไม่เพียงพอต่อการบรรลุวัตถุประสงค์ในการคุ้มครองข้อมูลส่วนบุคคล

บทความนี้ต้องการศึกษาแนวทางการปรับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กับกิจกรรมของรัฐที่ได้รับการยกเว้นตามกฎหมาย และศึกษาแนวทางการคุ้มครองข้อมูลส่วนบุคคลตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรปและสหราชอาณาจักร ซึ่งเป็นต้นแบบในการยกร่างพระราชบัญญัติของไทยเพื่อนำแนวทางดังกล่าวมาเสนอแนะให้กับหน่วยงานของรัฐไทยใช้เป็นกรอบในการคุ้มครองข้อมูลส่วนบุคคลในกิจกรรมที่ได้รับยกเว้น

ประโยชน์และความท้าทายในการใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลในประเทศไทย

เขมภัทร ทฤษฎิคุณ

เผยแพร่ครั้งแรกเมื่อวันที่ 16 สิงหาคม 2566 บนเว็บไซต์ Tech for Good Institute โดยเขียนร่วมกันระหว่าง กัญจน์ จิระวุฒิพงศ์ นักวิจัย สถาบันวิจัยเพื่อการพัฒนาประเทศไทย และเขมภัทร ทฤษฎิคุณ นักวิจัยอาวุโส สถาบันวิจัยเพื่อการพัฒนาประเทศไทย

ที่ผ่านมารัฐบาลไทยได้ตระหนักถึงความสำคัญของเศรษฐกิจดิจิทัล ดังจะเห็นได้จากความพยายามของรัฐบาลในการกำหนดนโยบายเศรษฐกิจดิจิทัลระดับชาติที่มุ่งหมายให้เกิดการอำนวยความสะดวก การลงทุนเชิงกลยุทธ์ และการตรากฎหมายเศรษฐกิจดิจิทัลเพื่อรองรับการเติบโตของเศรษฐกิจดิจิทัล ซึ่งรวมถึงพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ที่ได้รับความสนใจจากภาคธุรกิจและประชาชน

เนื่องจากกฎหมายมีรายละเอียดและหลักการที่ไม่เคยปรากฏมาก่อนบทความนี้จึงมีวัตถุประสงค์เพื่ออธิบายภาพรวมของพัฒนาการของประเทศไทยในด้านการคุ้มครองข้อมูลส่วนบุคคล รวมถึงกฎระเบียบและแนวทางปัจจุบัน ประโยชน์ที่อาจเกิดขึ้นจากการมีระบบและมาตรการคุ้มครองข้อมูลส่วนบุคคลที่ดี และความท้าทายของประเทศไทยในการพัฒนามาตรการคุ้มครองข้อมูลส่วนบุคคล โดยบทความนี้น่าจะเป็นประโยชน์สำหรับการศึกษาแนวทางการพัฒนามาตรการคุ้มครองข้อมูลส่วนบุคคลในประเทศไทย และเป็นบทเรียนสำหรับประเทศอื่นๆ ที่กำลังอยู่ในระหว่างการพัฒนากฎหมายคุ้มครองข้อมูลส่วนบุคคลในลักษณะที่ใกล้เคียงกันอีกด้วย

ภาพรวมของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือเรียกโดยย่อว่า PDPA ได้ประกาศใช้เมื่อวันที่ 24 พฤษภาคม 2562 แต่ในความเป็นจริงพระราชบัญญัติฉบับนี้เพิ่งมีผลใช้บังคับจริงในวันที่ 1 มิถุนายน 2562 โดยมี สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส. หรือ PDPC) เป็นหน่วยงานหลักในการควบคุมและบังคับใช้กฎหมาย รวมถึงมีอำนาจในการออกกฎหมายลำดับรองและวางแนวทางปฏิบัติในการดำเนินการตาม PDPA โดยในปัจจุบัน สคส. ได้มีการออกกฎหมายลำดับรองและแนวทางปฏิบัติดังปรากฏตามตารางข้างท้ายนี้ตารางแสดงกฎหมายลำดับรองและแนวปฏิบัติตามฎหมายคุ้มครองข้อมูลส่วนบุคคล (ข้อมูล ณ 14 กรกฎาคม 2566)

กฎหมายลำดับรองวันที่ออก
1. ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง การยกเว้นการบันทึกรายการของผู้ควบคุมข้อมูลส่วนบุคคลซึ่งเป็นกิจการขนาดเล็ก พ.ศ. 256521 มิถุนายน 2565
2. ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์การพิจารณาออกคำสั่งลงโทษปรับทางปกครองของคณะกรรมการผู้เชี่ยวชาญ พ.ศ. 256521 มิถุนายน 2565
3. ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 256521 มิถุนายน 2565
4. ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีการในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล พ.ศ. 256515 ธันวาคม 2565
5. ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีการในการจัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลสำหรับผู้ประมวลผลข้อมูลส่วนบุคคล พ.ศ. 256517 ธันวาคม 2565
6. ระเบียบคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลว่าด้วยการยื่น การไม่รับเรื่อง การยุติเรื่อง การพิจารณา และระยะเวลาในการพิจารณาคำร้องเรียน พ.ศ. 256512 กรกฎาคม 2565
แนวปฏิบัติวันที่ออก
7. แนวทางการดำเนินการในการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 25627 กันยายน 2565
8. แนวทางการดำเนินการในการแจ้งวัตถุประสงค์และรายละเอียดในการเก็บรวบรวมข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 25627 กันยายน 2565
ที่มา: เว็บไซต์ สคส.

นอกจากกฎหมายลำดับรองและแนวปฏิบัติดังกล่าวข้างต้นแล้ว ปัจจุบัน สคส. ได้มีความพยายามจะออกกฎหมายลำดับรองเพื่อสร้างความชัดเจนเพิ่มเติมเกี่ยวกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (data protection officer: DPO) ในหน่วยงานของรัฐและกฎหมายลำดับรองเกี่ยวกับการถ่ายโอนข้อมูลระหว่างประเทศในบริบทของประเทศไทย PDPA ไม่ใช่กฎหมายที่กำหนดแนวทางในการคุ้มครองข้อมูลส่วนบุคคลเพียงฉบับเดียว

แต่ในบริบทของอุตสาหกรรมเฉพาะในประเทศไทย อาทิ โทรคมนาคม เครดิตบูโร การเงินและการธนาคาร และการประกันภัยก็มีกฎหมายเฉพาะในการกำกับการใช้ข้อมูลส่วนบุคคลในอุตสาหกรรมเหล่านี้อยู่นอกจากนี้ เมื่อพิจารณาในเรื่องการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลพบว่า ในปัจจุบันยังไม่ปรากฏคำวินิจฉัยของ สคส. หรือ PDPC และคำพิพากษาของศาลตาม PDPA

ประโยชน์ของการมีกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่ดี

ในทางหลักการ PDPA มีส่วนสำคัญในการส่งเสริมเศรษฐกิจดิจิทัลด้วยการสร้างความมั่นใจว่า ข้อมูลส่วนบุคคลจะได้รับการคุ้มครองจากรัฐ ผ่านการกำหนดมาตรการและแนวทางในการใช้ข้อมูลส่วนบุคคลที่คำนึงความเป็นส่วนตัว และการวางมาตรการรองรับการเคลื่อนย้ายข้อมูลส่วนบุคคลข้ามพรมแดน ซึ่งเป็นหัวใจของเศรษฐกิจดิจิทัลที่ขับเคลื่อนด้วยข้อมูล

นอกจากนี้ กฎหมายยังมีส่วนในการสร้างความมั่นใจให้กับนักลงทุนว่าประเทศไทยมีมาตรการการคุ้มครองข้อมูลส่วนบุคคลที่เป็นสากล ซึ่งเป็นประโยชน์มากสำหรับอุตสาหกรรมเทคโนโลยี อาทิ อุตสาหกรรมที่เกี่ยวกับข้อมูลแบบคลาวด์คอมพิวเตอร์ โดยตัวอย่างการเพิ่มศักยภาพในการแข่งขันนี้คือ การเข้ามาลงทุนในศูนย์ข้อมูลและบริการคลาวด์ในประเทศไทยและประเทศอื่นๆ ในอาเซียนของ Amazon Web Service (AWS)  นอกจากนี้ การมีกฎหมายคุ้มครองข้อมูลส่วนบุคคลน่าเชื่อถือยังเอื้อต่อการไหลเวียนของข้อมูลอย่างราบรื่น ซึ่งส่งเสริมความร่วมมือและเสริมสร้างการมีส่วนร่วมของประเทศไทยในการเจรจาการค้าระหว่างประเทศ อาทิ ความตกลงแบบครอบคลุมและก้าวหน้าสำหรับหุ้นส่วนทางเศรษฐกิจภาคพื้นแปซิฟิก (Comprehensive and Progressive Agreement for Trans-Pacific Partnership: CPTPP)ความตกลงหุ้นส่วนทางเศรษฐกิจระดับภูมิภาคที่ครอบคลุม (Regional Comprehensive Economic Partnership: RCEP) และกรอบความร่วมมือเศรษฐกิจอินโด-แปซิฟิก (Indo-Pacific Economic Framework: IPEF)

ความท้าทายอย่างต่อเนื่องของการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลในไทย

ในช่วงต้นปี พ.ศ. 2566 ได้เกิดเหตุข้อมูลส่วนบุคคลรั่วไหลครั้งใหญ่ทำให้ สคส. เรียกร้องให้องค์กรธุรกิจและหน่วยงานของรัฐต่างๆ ประเมินความพร้อมในการรับมือต่อความเสี่ยงที่ข้อมูลส่วนบุคคลจะรั่วไหลและระบบรักษาความปลอดภัยของข้อมูลส่วนบุคคล 

อย่างไรก็ดี เหตุการณ์ดังกล่าวเกิดขึ้นหลังจากการมีข้อมูลส่วนบุคคลรั่วไหลอีกหลายครั้งในช่วงหลายปีที่ผ่านมา 

ดังนั้น สถานการณ์ดังกล่าวอาจส่งผลกระทบต่อความเชื่อมั่นของผู้มีส่วนได้เสียว่า มาตรการคุ้มครองข้อมูลส่วนบุคคลของประเทศไทยเพียงพอหรือไม่สถานการณ์ข้อมูลส่วนบุคคลรั่วไหลนี้ไม่ได้เกิดขึ้นเฉพาะในประเทศไทย แต่เป็นสถานการณ์ร่วมกันของภูมิภาคเอเชียแปซิฟิก จากรายงาน Check Point ในปี 2564 พบว่า มีการโจมตีทางไซเบอร์ในภูมิภาคเอเชียแปซิฟิกเพิ่มขึ้นร้อยละ 168 เมื่อเทียบกับปีก่อนๆ โดยร้อยละ 59 ของเป้าหมายในการโจมตีทางไซเบอร์มาจากภาคธุรกิจ 

ความท้าทายสำคัญของการป้องกันและรับมือ การถูกโจมตีทางไซเบอร์นั้น ส่วนหนึ่งมาจากการขาดบุคลากรที่มีความเชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ ซึ่งจากการสำรวจในปี 2564 พบว่า ในปัจจุบันมีความต้องการของจำนวนผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์มากถึง 2.72 ล้านตำแหน่งทั่วโลกสถานการณ์ดังกล่าวสะท้อนความจำเป็นที่ประเทศไทยต้องสร้างระบบการคุ้มครองข้อมูลส่วนบุคคลที่ดีเพื่อป้องกันความเสี่ยงที่เกิดจากการรั่วไหลของข้อมูลที่อาจจะเพิ่มมากขึ้น เพื่อบรรลุเป้าหมายดังกล่าวประเทศไทยจำเป็นต้องมีแนวทางในการคุ้มครองข้อมูลส่วนบุคคลที่มีประสิทธิภาพ ซึ่งจะเกิดขึ้นได้ก็จากความร่วมมือและการเรียนรู้ร่วมกันระหว่างผู้มีส่วนได้เสียทั้งหมด บนหลักการสำคัญคือ การสร้างความสมดุลระหว่างการใช้ประโยชน์ในข้อมูลกับการคุ้มครองสิทธิความเป็นส่วนตัว โดยเฉพาะอย่างยิ่ง สคส. ที่มีบทบาทสำคัญในการสร้างนโยบายและกรอบในการกำกับกิจกรรมการใช้ข้อมูลส่วนบุคคล ควรจะต้องทำหน้าที่โดยประสานความร่วมมือกับภาคธุรกิจในนามของสมาคมธุรกิจ และภาคประชาสังคม

ดังนั้น จากประสบการณ์ที่ผ่านมาของประเทศไทย สามารถสรุปความท้าทาย 3 ประการที่จะเกิดขึ้นในอนาคตอันใกล้นี้ ดังนี้

1. การกำหนดกฎระเบียบและแนวปฏิบัติที่สอดคล้องและเหมาะสมกับการทำงานในแต่ละอุตสาหกรรม

การสร้างแนวปฏิบัติหรือมาตรฐานภายในอุตสาหกรรมมีส่วนสำคัญในการขับเคลื่อนการปฏิบัติตาม PDPA โดยในช่วงก่อนที่กฎหมายจะมีผลใช้บังคับ คณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย ได้จัดทำแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล และต่อมาก็มีการพัฒนาแนวปฏิบัติเฉพาะรายอุตสาหกรรม อาทิ แนวปฏิบัติเฉพาะธุรกิจธนาคาร และประกันภัยที่เกิดขึ้นภายใต้การส่งเสริมของสมาคมธุรกิจนอกจากนี้ เพื่อส่งเสริมให้เกิดแนวทางในการคุ้มครองข้อมูลส่วนบุคคล สคส. ได้สนับสนับสนุนสถาบันวิจัยเพื่อการพัฒนาประเทศไทย (ทีดีอาร์ไอ) 

ในการดำเนินการปรึกษาหารือการจัดทำแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล 7 รายสาขาธุรกิจ และจัดให้มีการประชุมรับฟังความคิดเห็นสาธารณะจากภาคธุรกิจและประชาชน เพื่อสร้างแนวทางปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลที่ดี ซึ่งการประชุมรับฟังความคิดเห็นดังกล่าวได้รับความสนใจจากผู้มีส่วนได้เสียจำนวนมาก เนื่องจากแนวปฏิบัติมีส่วนช่วยให้เกิดความชัดเจนในการปฏิบัติตามกฎหมาย PDPAอย่างไรก็ดี ข้อสำคัญที่ต้องระลึกไว้ก็คือ ในยุคที่เทคโนโลยีมีและรูปแบบธุรกิจมีการเปลี่ยนแปลงอย่างรวดเร็ว การทำงานร่วมกันกับผู้มีส่วนได้เสียจึงมีความสำคัญ

สคส. ควรจะต้องกำกับกิจกรรมการใช้ข้อมูลส่วนบุคคลโดยรักษาสมดุลระหว่างการใช้ประโยชน์ในข้อมูลส่วนบุคคลทั้งไม่ว่าจะโดยภาคธุรกิจหรือหน่วยงานของรัฐ กับสิทธิความเป็นส่วนตัวของประชาชน ซึ่งการร่วมมือกันกับภาคธุรกิจและภาคประชาสังคมที่เกิดขึ้นในอนาคตอาจพิจารณาประเด็นการกำหนดแนวทางเก็บรวบรวมข้อมูลของอัลกอริทึมอย่างไรให้เกิดความโปร่งใส หรือการกำหนดแนวทางที่ดีในการเก็บข้อมูลอัตโนมัติอย่างไรให้กระทบสิทธิความเป็นส่วนตัวน้อยที่สุด

2. การมีหน่วยงานกำกับกิจกรรมการใช้ข้อมูลส่วนบุคคลที่เข้มแข็ง

ในการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลให้มีประสิทธิภาพจำเป็นต้องมีหน่วยงานกำกับกิจกรรมการใช้ข้อมูลส่วนบุคคลที่เข้มแข็ง ซึ่งการจะเกิดหน่วยงานในลักษณะดังกล่าวได้จำเป็นต้องมีงบประมาณที่เพียงพอและบุคลากรที่มีความสามารถเหมาะสมกับการทำงานในกรณีของประเทศไทยได้เผชิญกับความท้าทายในช่วงเริ่มต้นการบังคับใช้ PDPA ในปี 2562 ภายหลังจากการเลื่อนการบังคับใช้กฎหมายไปถึง 2 ครั้ง 

ในที่สุด PDPA ได้เริ่มต้นใช้บังคับเมื่อวันที่ 1 มิถุนายน 2565 ที่ผ่านมา ท่ามกลางสถานการณ์ความวุ่นวายของการระบาดของไวรัสโควิด-19 ที่ส่งผลกระทบต่อภาครัฐและเอกชน ซึ่งรวมถึงหน่วยงานกำกับดูแลอย่าง สคส. ทำให้กระทบต่อการสรรหากรรมการและการออกกฎหมายลำดับรองที่ล่าช้านอกจากนี้ การได้รับงบประมาณที่เพียงพอ และบุคลากรที่มีคุณสมบัติเหมาะสมกับตำแหน่งงานเป็นส่วนสำคัญต่อการเสริมสร้างความเข้มแข็งและความมั่นใจในการทำงานของหน่วยงานกำกับดุแลการใช้ข้อมูลส่วนบุคคล  อย่างไรก็ดี ข้อจำกัดด้านงบประมาณและบุคลากรเป็นความท้าทายที่เกิดขึ้นกับหน่วยงานคุ้มครองข้อมูลส่วนบุคคลในหลายประเทศเช่นกัน โดยในปัจจุบัน สคส. มีจำนวนบุคลากรต่ำกว่าเป้าหมายที่ตั้งไว้คือ จะต้องมีเจ้าหน้าที่รวมทั้งหมด 210 คน 

แต่ตามแผนที่รายงานคณะรัฐมนตรี สคส. มีแผนจะรับโอนบุคลากรเพิ่มขึ้นอีกประมาณ 49 คนในปีงบประมาณนี้ ซึ่งยังไม่เพียงพอต่อเป้าหมายในการดำเนินงาน ในด้านงบประมาณ สคส. มีความพยายามขอรับการจัดสรรงบประมาณจำนวน 99,000 ล้านบาท เพื่อสนับสนุนการทำงานของ สคส. งบประมาณและบุคลากรเหล่านี้เป็นเงื่อนไขสำคัญที่จะช่วยส่งเสริมการทำงานของ สคส. ในการปฏิบัติตามกฎหมายได้อย่างมีประสิทธิภาพ

3. การกำหนดแนวทางที่ชัดเจนในการใช้กฎหมาย และการวางข้อจำกัดในการยกเว้นกฎหมายให้เหมาะสม

PDPA ของประเทศไทยได้รับอิทธิพลในการร่างมาจากกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป หรือ General Data Protection Regulation (GDPR) โดยมีหลักการสำคัญหลายประการร่วมกัน แม้อาจจะมีความแตกต่างบ้างเล็กน้อยในบางเรื่อง ตัวอย่างเช่นการตระหนักถึงความหลากหลายของธุรกิจในประเทศไทย จึงได้มีการกำหนดข้อยกเว้นบางประการเพื่อสนับสนุนวิสาหกิจขนาดกลางและขนาดย่อม (SMEs) โดยลดภาระการปฏิบัติตามกฎหมาย 

อย่างไรก็ดี ประเทศไทยกำลังเผชิญกับความท้าทายในการตีความกฎหมายคุ้มครองข้อมูลส่วนบุคคลในบริบทอุตสาหกรรมเฉพาะที่มีกฎหมายกำกับดูแลการใช้ข้อมูลส่วนบุคคล อาทิ ด้านการเงินที่เกี่ยวข้องกับข้อมูลที่มีความละเอียดอ่อนที่รวบรวมไว้ก่อนการบังคับใช้ PDPA จำเป็นต้องมีความชัดเจนว่า ในสถานการณ์เช่นนี้จะใช้กฎหมายอย่างไรนอกจากนี้ การร่างกฎหมายลำดับรองที่พิจารณาอยู่ในปัจจุบันยังได้มีความพยายามยกเว้นการบังคับใช้ PDPA ในบางแง่มุม โดยเฉพาะอย่างยิ่งในหน่วยงานของรัฐ

แม้ว่าจะได้มีความพยายามสร้างหลักเกณฑ์สำหรับข้อยกเว้นในการบังคับใช้กฎมายเหล่านี้ แต่ข้อยกเว้นดังกล่าวยังขาดวิธีการที่ชัดเจนในการรักษาสิทธิของเจ้าของข้อมูลส่วนบุคคล สภาพดังกล่าวอาจส่งผลให้มาตรฐานการคุ้มครองข้อมูลส่วนบุคคลของประเทศไทยมีมาตรฐานที่ต่ำกว่ามาตรฐานสากล โดยเฉพาะอย่างยิ่งมาตรฐานของสหภาพยุโรป ซึ่งจะกระทบต่อการถ่ายโอนข้อมูลส่วนบุคคลข้ามพรมแดน เนื่องจากไม่ได้มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เท่าเทียมกัน เพื่อป้องกันผลกระทบดังกล่าว

รัฐบาลจึงควรจะต้องแก้ไขสถานการณ์ดังกล่าวด้วยความระมัดระวัง และคำนึงถึงผลกระทบของการยกเว้นการบังคับใช้กฎหมายอย่างละเอียดถี่ถ้วนและสอดคล้องกับเป้าหมายที่จะมีกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่ดีของประเทศไทย

บทสรุป

โดยรวมแล้วการบังคับใช้ PDPA ในประเทศไทยยังจำเป็นต้องจัดการกับความท้าทายเกี่ยวกับความสามารถของรัฐ การกำหนดแนวทางที่ชัดเจนในการใช้กฎหมายและการกำหนดข้อยกเว้นกฎหมาย และการกำหนดมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลในอุตสาหกรรม โดยในกรณีนี้ สคส. ควรจัดลำดับความสำคัญและเลือกใช้ทรัพยากรที่มีอยู่ตอบสนองต่อความท้าทายเหล่านี้ รวมถึงควรจะต้องคำนึงความสอดคล้องของมาตรฐานสากล และการร่วมมือกับภาคเอกชนอย่างจริงจัง เพื่อให้ได้ผลลัพธ์สุดท้ายคือ การเสริมสร้างกรอบในการคุ้มครองข้อมลส่วนบุคคลน่าเชื่อถือ

ยกเว้น กฎหมายคุ้มครองข้อมูลส่วนบุคคล กับผลที่อาจตามมา

เขมภัทร ทฤษฎิคุณใส่ความเห็น

เผยแพร่ครั้งแรกเมื่อวันที่ 10 สิงหาคม 2565 บนหนังสือพิมพ์และเว็บไซต์ กรุงเทพธุรกิจ ในคอลัมน์วาระทีดีอาร์ไอ

กฎหมายคุ้มครองข้อมูลส่วนบุคคล มีความสำคัญทั้งในด้านของการคุ้มครองสิทธิและเสรีภาพของประชาชน และในด้านของการกำกับดูแลการใช้ข้อมูลส่วนบุคคล ซึ่งปัจจุบันมีความสำคัญทั้งกับภาคธุรกิจและการดำเนินภารกิจของหน่วยงานของรัฐ

เมื่อไม่นานมานี้หลังจาก พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ใช้บังคับมาได้เพียง 1 เดือน คณะรัฐมนตรีได้มีมติและเห็นชอบหลักการของพระราชกฤษฎีกายกเว้นการบังคับใช้ พ.ร.บ. ให้กับการใช้ข้อมูลส่วนบุคคลในหน่วยงานของรัฐ

เพื่อวัตถุประสงค์ในการป้องกันประเทศ การรักษาความมั่นคงของประเทศ ความปลอดภัยสาธารณะ การจัดเก็บภาษีของหน่วยงานรัฐ การดำเนินการเพื่อประโยชน์สาธารณะ การดำเนินการตามพันธกรณีระหว่างประเทศ การดำเนินการของหน่วยงาน ศาล อัยการ และผู้บังคับใช้กฎหมาย ซึ่งขอบเขตของการยกเว้นดังกล่าวค่อนข้างกว้าง และอาจกระทบต่อสิทธิและเสรีภาพของประชาชน รวมทั้งเศรษฐกิจของประเทศ

ในด้านสิทธิและเสรีภาพของประชาชน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ทำหน้าที่เสมือนผ้าเบรกช่วยลดการแทรกแซงสิทธิความเป็นส่วนตัว และคุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคล โดยการกำหนดมาตรฐานและวิธีการในการใช้ข้อมูลส่วนบุคคล

การยกเว้นการบังคับใช้ พ.ร.บ. นั้นมีความน่ากังวลในประเด็นนี้ 2 เรื่อง เรื่องแรกคือ ขอบเขตของการยกเว้น ซึ่งตามร่างพระราชกฤษฎีกานี้มีการยกเว้นการนำกฎหมายมาใช้ในเรื่องสำคัญๆ ได้แก่ การคุ้มครองข้อมูลส่วนบุคคล สิทธิของเจ้าของข้อมูลส่วนบุคคล การร้องเรียน ความรับผิดทางแพ่ง และบทกำหนดโทษ ซึ่งเปิดโอกาสให้หน่วยงานของรัฐลอยนวลพ้นผิดจากการละเมิดสิทธิของเจ้าของข้อมูลส่วนบุคคลในรูปแบบต่างๆ

เรื่องที่สองคือ วัตถุประสงค์ของการยกเว้น อาทิ การรักษาความมั่นคงของประเทศ ความปลอดภัยสาธารณะ และการดำเนินการเพื่อประโยชน์สาธารณะนั้นมีความไม่เฉพาะเจาะจง และไม่อาจคาดหมายได้ว่าจะมีความหมายเช่นไรขึ้นกับดุลยพินิจและการตีความของหน่วยงานรัฐ ซึ่งข้อยกเว้นดังกล่าวนั้นขยายออกไปจากข้อยกเว้นเดิมที่กฎหมายกำหนดไว้

ที่ผ่านมาภาครัฐมีปัญหาในเรื่องการคุ้มครองข้อมูลส่วนบุคคลมาโดยตลอด ดังเช่นในปีที่ผ่านมา พบว่ามีการรั่วไหลของข้อมูลส่วนบุคคลจากหน่วยงานของรัฐ 5 ครั้ง ซึ่งข้อมูลที่รั่วไหลนั้นรวมถึงข้อมูลสุขภาพที่เป็นข้อมูลส่วนบุคคลอ่อนไหวที่กฎหมายมุ่งคุ้มครองเป็นพิเศษ

นอกจากเรื่องรั่วไหลของข้อมูลส่วนบุคคลแล้ว ล่าสุดภาครัฐยังมีประเด็นเกี่ยวกับการคุกคามความเป็นส่วนตัวของประชาชนที่น่ากังวลและไม่ชัดเจน จากกรณีที่มีนักกิจกรรมหลายคนถูกติดตามด้วยซอฟต์แวร์สปายแวร์บนโทรศัพท์มือถือ และถูกเข้าถึงข้อมูลส่วนบุคคลรวมถึงข้อมูลพิกัดตำแหน่งบุคคลโดยผู้ใช้ไม่รู้ตัว ซึ่งบริษัทผู้ผลิตซอฟต์แวร์ดังกล่าวจะขายซอฟต์แวร์ให้กับภาครัฐเท่านั้น

สิ่งที่เกิดขึ้นนำมาสู่การวิพากษ์วิจารณ์เกี่ยวกับความโปร่งใสและความรับผิดชอบของภาครัฐ ดังนั้น การยกเว้นการบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ยิ่งอาจจะทำให้มีปัญหาให้หน่วยงานของรัฐใช้หรือเข้าถึงข้อมูลส่วนบุคคลโดยปราศจากความรับผิดชอบ และกลายเป็นการซ้ำเติมปัญหาวัฒนธรรมการลอยนวลพ้นผิดเมื่อเกิดการละเมิดข้อมูลส่วนบุคคล

ในทางเศรษฐกิจของประเทศ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ทำหน้าที่สำคัญในฐานะเป็นส่วนหนึ่งของกฎหมายเศรษฐกิจดิจิทัลที่กำหนดหลักเกณฑ์และวิธีการเคลื่อนย้ายข้อมูลส่วนบุคคลข้ามพรมแดน ซึ่งเป็นหัวใจสำคัญของเศรษฐกิจสมัยใหม่ที่มีความจำเป็นต้องมีการเคลื่อนย้ายข้อมูลส่วนบุคคลข้ามพรมแดน

ดังจะเห็นได้จากกรอบความตกลงทางเศรษฐกิจต่างๆ เช่น RCEP หรือ CPTPP เป็นต้น ที่กำหนดให้ประเทศภาคีต้องรับรองหลักการดังกล่าว ซึ่งรวมถึงการทำให้ประเทศมหาอำนาจอย่างประเทศจีนต้องผ่านกฎหมายคุ้มครองข้อมูลส่วนบุคคลออกมาในปีที่ผ่านมา

หลักการสำคัญของการเคลื่อนย้ายข้อมูลส่วนบุคคลข้ามพรมแดนนั้นให้ความสำคัญกับการส่งข้อมูลส่วนบุคคลของประเทศผู้รับข้อมูลส่วนบุคคลนั้นจะต้องมีมาตรฐานในการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอไม่น้อยกว่าประเทศผู้ส่งข้อมูลส่วนบุคคล

ซึ่งตาม GDPR หรือ General Data Protection Regulation  ของสหภาพยุโรปกำหนดว่า มาตรฐานที่เพียงพอนี้รวมถึงการคุ้มครองข้อมูลส่วนบุคคลตามกฎหมายจะต้องไม่ถูกแทรกแซงโดยรัฐหรือหน่วยงานด้านความมั่นคงของรัฐ ซึ่งเป็นหลักการพื้นฐานของรัฐที่เป็นนิติรัฐที่มุ่งคุ้มครองสิทธิและเสรีภาพของประชาชน

ดังนั้น ผลของพระราชกฤษฎีกาฉบับนี้เปิดช่องให้สามารถตีความ รวมถึงไม่ได้มีการรับรองสิทธิของเจ้าของข้อมูลส่วนบุคคลเอาไว้ ก็อาจจะทำให้ประเทศไทยไม่ได้รับการยอมรับว่าเป็นประเทศที่มีกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่เท่าเทียมกันกับสหภาพยุโรป

นอกจากนี้ อิทธิพลของ GDPR ได้สร้างมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลใหม่ทั่วโลก หากประเทศไทยไม่มีมาตรฐานเทียบเท่า GDPR ก็จะมีผลให้ประเทศไทยไม่มีมาตรฐานเทียบเท่ากับกฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศอื่น ซึ่งทำให้การเคลื่อนย้ายข้อมูลส่วนบุคคลเข้ามาในประเทศไทยทำได้ยาก และทำให้เอกชนของประเทศไทยอาจจะพลาดโอกาสในการเติบโตในยุคเศรษฐกิจดิจิทัล

หากคณะรัฐมนตรียังต้องการผลักดันพระราชกฤษฎีกาฉบับดังกล่าวต่อไป ต้องพิจารณาข้อน่ากังวลที่อาจจะเกิดขึ้นทั้งสองประการข้างต้น และควรตระหนักถึงสิทธิและเสรีภาพของประชาชนที่รัฐธรรมนูญรับรองไว้เป็นสำคัญ

ช่องโหว่กฎหมาย PDPA เมื่อ ‘Big Brother’ จ้องคุกคามความเป็นส่วนตัวของประชาชน

เขมภัทร ทฤษฎิคุณ

เผยแพร่ครั้งแรกเมื่อวันที่ 26 กรกฎาคม 2565 บนเว็บไซต์ waymagazine.org

“Big brother is watching you”

ประโยคข้างต้นสะท้อนนัยของการคุกคามความเป็นส่วนตัวของประชาชนผ่านการสอดส่องโดยรัฐ การสอดส่องการกระทำของประชาชนนั้นไม่ได้เกิดขึ้นแค่ในโลกวรรณกรรม แต่สิ่งนี้เกิดขึ้นในโลกของความเป็นจริง ซึ่งล่าสุดในประเทศไทยก็เกิดกรณีที่นักกิจกรรมออกมาเผยแพร่ต่อสาธารณะถึงการได้รับคำเตือนทางโทรศัพท์ว่ากำลังถูกเจาะระบบ และนำมาสู่การเปิดเผยว่ามีการใช้สปายแวร์ ‘เพกาซัส’ ในประเทศไทย 

การล่วงล้ำเข้าไปยังพื้นที่ส่วนตัวของประชาชน จากการใช้อำนาจรัฐหรือปฏิบัติการโดยเจ้าหน้าที่ของรัฐโดยการไม่คำนึงสิทธิและเสรีภาพของประชาชน โดยเฉพาะอย่างยิ่งเพื่อจุดประสงค์ในทางการเมือง ถือได้ว่าเป็นการก่ออาชญากรรมโดยรัฐที่ทำกับประชาชนรูปแบบหนึ่ง ซึ่งสถานการณ์ของประเทศไทยในปัจจุบันอาจจะเลวร้ายมากขึ้น เพราะเมื่อไม่นานมานี้คณะรัฐมนตรีได้มีความพยายามที่จะยกเว้นการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลในส่วนที่เกี่ยวกับความสัมพันธ์ของรัฐกับประชาชนด้วยข้อความที่คลุมเครือและเปิดช่องให้เกิดการตีความให้ได้เปรียบแก่รัฐในการคุกคามสิทธิและเสรีภาพของประชาชน

บทความชิ้นนี้เป็นบทวิเคราะห์ให้เห็นความสำคัญของการคุ้มครองสิทธิความเป็นส่วนตัวที่ถือเป็นสิทธิขั้นพื้นฐาน และอำนาจของประชาชนที่จะต่อสู้กับรัฐในสถานการณ์ที่รัฐไม่น่าไว้วางใจ โดยเฉพาะในช่วงเวลาปัจจุบันที่รัฐพยายามละเมิดสิทธิประชาชนโดยอาศัยช่องโหว่ของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือกฎหมาย PDPA (Personal Data Protection Act) ซึ่งมีผลบังคับใช้เมื่อวันที่ 1 มิถุนายน 2565

การสอดส่องประชาชนโดยรัฐ = การก่ออาชญากรรมโดยรัฐ

หลายคนอาจคุ้นหูและเคยเห็นข้อความว่า “Big brother is watching you” จากสื่อต่างๆ ซึ่งมีที่มาจากวรรณกรรมเรื่อง 1984 ของ จอร์จ ออร์เวลล์ (George Orwell) พื้นหลังของเรื่องเล่าถึงประเทศสหราชอาณาจักรที่ถูกปกครองโดยระบอบเผด็จการแบบเบ็ดเสร็จ โดยรัฐจะสอดส่องชีวิตของประชาชนผ่านระบบเทคโนโลยีที่เรียกว่า ‘telescreen’ ซึ่งใช้ในการสอดส่องการกระทำของประชาชน รวมถึงเพื่อให้แน่ใจว่า ประชาชนที่อยู่ภายใต้การปกครองจะประพฤติและปฏิบัติตัวเป็นไปตามที่ความต้องการที่ผู้ปกครองกำหนดหรือไม่ 

สถานการณ์ดังกล่าวนั้นไม่ได้เกิดเฉพาะในงานวรรณกรรมเท่านั้น ทว่าการสอดส่องประชาชนโดยรัฐนั้นได้เกิดขึ้นจริง โดยมีตัวอย่างหลายกรณีทั่วโลก เช่น การสร้างระบบคลาวด์ตำรวจ (police cloud) ของประเทศจีน ซึ่งระบบจะทำการรวบรวมข้อมูลจากแหล่งข้อมูลต่างๆ เช่น ประวัติการรักษาพยาบาล ข้อมูลสมาชิกซูเปอร์มาร์เก็ต และข้อมูลอื่นๆ ที่เชื่อมโยงกับหมายเลขประจำตัวประชาชน ทำให้ระบบสามารถติดตามประชาชนไม่ว่าจะอยู่ที่ใด และทราบได้ว่าเป้าหมายนั้นมีปฏิสัมพันธ์กับบุคคลใด รวมถึงการคาดการณ์กิจกรรมในอนาคตของบุคคลนั้น โดยวัตถุประสงค์ของระบบคลาวด์ตำรวจนำมาใช้เพื่อวิเคราะห์ความสัมพันธ์ระหว่างเหตุการณ์กับบุคคล เป็นต้น[1]

ย้อนกลับมาในกรณีของประเทศไทยล่าสุดนี้ได้มีการเปิดเผยข้อมูลเกี่ยวกับสอดส่องประชาชนโดยอาศัยสปายแวร์ (spyware) ที่มีชื่อว่า ‘เพกาซัส’ (Pegasus) โดยกลุ่มเป้าหมายที่ถูกสอดส่องส่วนใหญ่เป็นกลุ่มนักกิจกรรม นักวิชาการ ทนายความ และนักเคลื่อนไหวต่อต้านรัฐบาลไทย 

จากการสรุปของ Citizen Lab หรือห้องปฏิบัติการสหวิทยาการจาก Munk School of Global Affairs พบว่า ปัจจุบันมีนักกิจกรรมทางการเมืองกว่า 30 คน ถูกสอดส่องโดยเพกาซัสในช่วงปี พ.ศ. 2563-2564[2] และจากการศึกษาของ iLaw พบว่า ช่วงเวลาส่วนใหญ่ที่มีการพยายามเจาะระบบโทรศัพท์นั้นจะเกิดขึ้นพร้อมๆ กับสถานการณ์ทางการเมืองที่มีการเรียกร้องให้รัฐบาลชุดปัจจุบันออกจากตำแหน่ง หรือการเคลื่อนไหวเพื่อเรียกร้องให้มีการปฏิรูปสถาบันกษัตริย์[3]

เมื่อพิจารณาเกี่ยวกับภูมิหลังของสปายแวร์นี้แล้วจะพบว่า สปายแวร์ดังกล่าวเป็นของบริษัท NSO Group ซึ่งเป็นบริษัทสัญชาติอิสราเอลที่เป็นผู้พัฒนาและให้บริการด้านความมั่นคงไซเบอร์ โดยบริษัทดังกล่าวจะให้บริการเฉพาะกับหน่วยงานของรัฐ และเป็นหน่วยงานของรัฐที่ได้รับอนุญาตจากรัฐบาลของประเทศอิสราเอลแล้วเท่านั้น[4]

รายชื่อบุคคลผู้ถูกคุกคามและช่วงเวลาที่มีการเจาะระบบ

ที่มา: CitizenLab (2022)

นัยของการสอดส่องประชาชนโดยรัฐนั้น ไม่เพียงแสดงถึงลักษณะการกระทำที่เข้าข่ายอาชญากรรมโดยรัฐแล้ว การสอดส่องประชาชนโดยรัฐยังอาจก่อให้เกิดอาชญากรรมรูปแบบอื่นๆ ต่อไปได้อีก เช่น การใช้ข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ ศาสนา วรรณะ และลัทธิทางการเมือง เพื่อการสร้างความเกลียดชัง และเลือกปฏิบัติกับตัวบุคคลโดยไม่เป็นธรรม ซึ่งสถานการณ์ดังกล่าวเคยเกิดขึ้นแล้วในประวัติศาสตร์มนุษยชาติที่ผ่านมา ดังเช่นในสมัยนาซีเยอรมันที่มีการฆ่าล้างเผ่าพันธุ์ชาวยิว เป็นต้น หรือการจำกัดสิทธิและเสรีภาพในการแสดงความคิดเห็น โดยรัฐอาจใช้มาตรการดังกล่าวเพื่อดำเนินคดีในประเด็นสาธารณะ และเพื่อปิดปากผู้เห็นต่างทางการเมืองหรือคู่ขัดแย้งทางการเมือง[5]

นอกจากนี้ การคุกคามสิทธิความเป็นส่วนตัวโดยรัฐนั้นอาจจะเกิดจากวิธีการที่เป็นทางการ ผ่านการใช้อำนาจรัฐตามกฎหมายหรือปฏิบัติการของเจ้าหน้าที่ที่มีกฎหมายรองรับ หรือวิธีการที่มีความเป็นทางการน้อยกว่า อย่างปฏิบัติการเชิงข้อมูลข่าวสาร (information operation: IO) โดยการนำข้อมูลส่วนบุคคลหรือเรื่องส่วนตัวของบุคคลดังกล่าวมาเปิดเผยต่อสาธารณะเพื่อสร้างความเกลียดชัง 

แอมเนสตี้ อินเตอร์เนชั่นแนล ประเทศไทย (Amnesty international Thailand) ระบุว่า ปลายปี พ.ศ. 2561 รัฐบาลได้เปิดเผยแผนการผลักดัน ‘ศูนย์ไซเบอร์กองทัพบก’ ในลักษณะสงครามไซเบอร์ ซึ่งกองกำลังไซเบอร์ถูกใช้เป็นเครื่องมือในการสอดส่องสื่อสังคมออนไลน์และการสื่อสารออนไลน์ของคนทำงานภาคประชาสังคมเพื่อระบุตัวผู้ต่อต้านรัฐบาล และมีความเป็นไปได้ที่กองทัพไซเบอร์นั้นจงใจปล่อยข่าวปลอมเพื่อคุกคามนักสิทธิมนุษยชนทางโซเชียลมีเดีย หรือแม้กระทั่งดำเนินคดีกับประชาชนทั่วไปที่พยายามแสดงถึงเสรีภาพในการแสดงออก[6]

การรุกล้ำข้อมูลส่วนบุคคลเพื่อความมั่นคงของรัฐ ในนามกฎหมาย PDPA

ดังจะเห็นได้ว่า นัยของสิทธิความเป็นส่วนตัวนั้นมีความสำคัญในฐานะส่วนหนึ่งของสิทธิมนุษยชนสมัยใหม่[7] และได้รับการรับรองเอาไว้ในบทบัญญัติของรัฐธรรมนูญในหลายๆ ประเทศ รวมถึงประเทศไทยที่มีการบัญญัติรับรองสิทธิความเป็นส่วนตัวเอาไว้ในรัฐธรรมนูญ[8] โดยในบางประเทศสิทธิความเป็นส่วนตัว และสิทธิในข้อมูลส่วนบุคคล อาจได้รับการคุ้มครองเป็นพิเศษจากกฎหมายเฉพาะ เนื่องจากในชีวิตของคนหนึ่งคนประกอบไปด้วยข้อมูลส่วนบุคคลจำนวนมาก อาทิ ชื่อ-นามสกุล เพศ อายุ อาชีพ ศาสนา ความเชื่อ ความคิดเห็น หรือความเชื่อทางการเมือง สถานะทางเศรษฐกิจ จนถึงรสนิยมการดำรงชีวิตหรือการบริโภค ซึ่งข้อมูลดังกล่าวผูกพันหรือยืนยันความเป็นมนุษย์ของบุคคลนั้นให้แตกต่างไปจากบุคคลอื่น[9] ฉะนั้น การคุ้มครองข้อมูลส่วนบุคคลจึงเป็นสาระสำคัญของการรักษาสิทธิความเป็นส่วนตัว เพราะหากปราศจากการคุ้มครองข้อมูลส่วนบุคคล พลเมืองก็จะปราศจากวิธีการและเครื่องมือในการใช้สิทธิความเป็นส่วนตัว และปกป้องสิทธิและข้อมูลส่วนบุคคลของตนเองจากการล่วงละเมิด เพื่อบรรเทาการแทรกแซงสิทธิความเป็นส่วนตัว[10]

วัตถุประสงค์ของการคุ้มครองข้อมูลส่วนบุคคล คือ การให้สิทธิกับประชาชนในฐานะเจ้าของข้อมูลส่วนบุคคล ในการควบคุมและปกป้องข้อมูลส่วนบุคคลของตนเองจากการถูกละเมิด กฎหมายคุ้มครองข้อมูลส่วนบุคคลจึงกำหนดกฎเกณฑ์และแนวทางเกี่ยวกับการใช้ข้อมูลส่วนบุคคล ไม่ว่าการใช้ข้อมูลส่วนบุคคลนั้นจะเกิดขึ้นโดยหน่วยงานของรัฐ บริษัทเอกชน หรือ NGO และไม่ว่าการประมวลผลข้อมูลส่วนบุคคลนั้นจะเกิดขึ้นในรูปแบบอิเล็กทรอนิกส์หรือกระดาษ[11] ซึ่งในกรณีของประเทศไทยนั้นได้มีการตรา พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ขึ้นมาเพื่อเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคล[12]

คำถามสำคัญก็คือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 สามารถที่จะคุ้มครองสิทธิในข้อมูลส่วนบุคคลและการคุกคามความเป็นส่วนตัวจากรัฐได้หรือไม่ ซึ่งหากในสถานการณ์ปกติอาจจะกล่าวได้ว่า พระราชบัญญัติฉบับนี้อาจช่วยบรรเทาการแทรกแซงสิทธิความเป็นส่วนตัว โดยการเรียกร้องให้การใช้ข้อมูลส่วนบุคคลจะต้องปฏิบัติตามหลักเกณฑ์ที่กฎหมายกำหนด

อย่างไรก็ดี เมื่อไม่นานมานี้คณะรัฐมนตรีได้อนุมัติหลักการของพระราชกฤษฎีกายกเว้นการบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลโดยหน่วยงานของรัฐเพื่อวัตถุประสงค์ในการป้องกันประเทศ การรักษาความมั่นคงของประเทศ ความปลอดภัยสาธารณะ การจัดเก็บภาษีของหน่วยงานรัฐ การดำเนินการเพื่อประโยชน์สาธารณะ การดำเนินการตามพันธกรณีระหว่างประเทศ การดำเนินการของหน่วยงาน ศาล อัยการ และผู้บังคับใช้กฎหมาย โดยมิให้นำบทบัญญัติในหมวดเรื่องของการคุ้มครองข้อมูลส่วนบุคคล สิทธิของเจ้าของข้อมูลส่วนบุคคล การร้องเรียน ความรับผิดทางแพ่ง และบทกำหนดโทษมาใช้บังคับหน่วยงานของรัฐในวัตถุประสงค์ดังกล่าว[13] ซึ่งจะเห็นได้ว่า ข้อยกเว้นดังกล่าวนั้นกว้างกว่าข้อยกเว้นเดิมที่กฎหมายกำหนดไว้[14] และอาจทำให้หน่วยงานของรัฐทั้งหลายตบเท้าเข้ามาเพื่อเข้าถึงข้อมูลส่วนบุคคลและแทรกแซงสิทธิความเป็นส่วนตัวของประชาชนได้ ไม่ว่าจะเป็นทหาร ตำรวจ สำนักงานคณะกรรมการป้องกันและปราบปรามยาเสพติด (ป.ป.ส.) หรือกองอำนวยการรักษาความมั่นคงภายในราชอาณาจักร (กอ.รมน.) โดยประชาชนปราศจากเครื่องมือในการต่อสู้

ปัญหาสำคัญของร่างพระราชกฤษฎีกาดังกล่าวก็คือ ขอบเขตของการยกเว้นการบังคับใช้กฎหมายที่ไม่ชัดเจน โดยเฉพาะอย่างยิ่งในกรณีของการรักษาความมั่นคงปลอดภัยของประเทศ ความปลอดภัยสาธารณะ หรือการดำเนินการเพื่อประโยชน์สาธารณะ ซึ่งบรรดาถ้อยคำเหล่านี้ไม่ได้มีความหมายเฉพาะเจาะจง สุดแต่ผู้มีอำนาจจะตีความ และที่ผ่านมาการตีถ้อยคำว่า ‘การรักษาความมั่นคงปลอดภัย’ ‘ความปลอดภัยสาธารณะ’ หรือ ‘ประโยชน์สาธารณะ’ ล้วนแต่มีปัญหาในการตีความที่นำมาสู่การตั้งคำถามของสังคมเกี่ยวกับความเสมอภาคในการบังคับใช้กฎหมาย รวมถึงข้อยกเว้นดังกล่าวยังตอกย้ำวัฒนธรรม ‘ลอยนวลพ้นผิด’ ตามวิถีนิติรัฐแบบไทยๆ ที่มอบอภิสิทธิ์อย่างล้นๆ เกินๆ แก่เจ้าหน้าที่ฝ่ายความมั่นคงที่จะละเมิดสิทธิและเสรีภาพของประชาชนได้ในนามของกฎหมาย

ท้ายที่สุดหากรัฐบาลมีความจริงใจ โปร่งใส และมุ่งหมายที่จะเคารพสิทธิความเป็นส่วนตัวและสิทธิในข้อมูลส่วนบุคคลแล้ว รัฐบาลควรที่จะระงับแผนการที่จะผ่านร่างพระราชกฤษฎีกาฉบับนี้ เพื่อให้การคุ้มครองสิทธิความเป็นส่วนตัวและสิทธิในข้อมูลส่วนบุคคลได้รับการคุ้มครองอย่างแท้จริง

เชิงอรรถ

[1] Human Right Watch, ‘China: Police ‘Big Data’ Systems Violate Privacy, Target Dissent Automated Systems Track People Authorities Claim Threatening’ (Human Right Watch, 19 November 2017). <https://www.hrw.org/news/2017/11/19/china-police-big-data-systems-violate-privacy-target-dissent> accessed 22 July 2022.

[2] John Scott-Railton, Bill Marczak and others, ‘GeckoSpy: Pegasus Spyware Used Against Thailand’s Pro-Democracy Movement’ (The Citizen Lab, 17 July 2022). <https://citizenlab.ca/2022/07/geckospy-pegasus-spyware-used-against-thailands-pro-democracy-movement/> accessed 22 July 2022.

[3] เพิ่งอ้าง.

[4] iLaw, ‘ปรสิตติดโทรศัพท์ : ข้อค้นพบเมื่อสปายแวร์เพกาซัสถูกใช้ต่อผู้เห็นต่างจากรัฐบาล’ (iLaw, 16 กรกฎาคม 2565). <https://freedom.ilaw.or.th/report-parasite-that-smiles-th> สืบค้นเมื่อ 22 กรกฎาคม 2565.

[5] See Privacy International, ‘The Keys to Data Protection: A Guide for Policy Engagement on Data Protection’ (5 September 2018). <https://www.privacyinternational.org/report/2255/data-protection-guide-complete> accessed 23 July 2022, 26.

[6] แอมเนสตี้, ‘สิทธิในเสรีภาพในการแสดงออกออนไลน์’ (Amnesty) <https://www.amnesty.or.th/our-work/onlinefreedom/> สืบค้นเมื่อ 23 กรกฎาคม 2565.

[7] ดู ปฏิญญาสากลว่าด้วยสิทธิมนุษยชน ข้อ 12.

[8] รัฐธรรมนูญแห่งราชอาณาจักรไทย พุทธศักราช 2560 มาตรา 32.

[9] นคร เสรีรักษ์, ความเป็นส่วนตัว: ความคิด ความรู้ ความจริง และพัฒนาการเรื่องการคุ้มครองข้อมูลส่วนบุคคลในประเทศไทย (พิมพ์ครั้งที่ 2, พี.เพรส 2563) 101.

[10] Privacy Internationaol (no 5) 12.

[11] Ibid; เขมภัทร ทฤษฎิคุณ, ‘PDPA101: มาเข้าใจกฎหมายคุ้มครองข้อมูลส่วนบุคคลแบบนับหนึ่งกันเถอะ’ (สถาบันปรีดี พนมยงค์, 1 มิถุนายน 2565). <https://pridi.or.th/th/content/2022/06/1121> สืบค้นเมื่อ 23 กรกฎาคม 2565.

[12] ดู พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หมายเหตุท้ายพระราชบัญญัติ.

[13] รัฐบาลไทย, ‘สรุปข่าวการประชุมคณะรัฐมนตรี 5 กรกฎาคม 2565’ (รัฐบาลไทย, 5 กรกฎาคม 2565) <https://www.thaigov.go.th/news/contents/details/56572?fbclid=IwAR3urkjQeTG60Xuu0gDYBT6rBmBityC30hJwHTtQncP8bEmGGPfCz30DdrA> สืบค้นเมื่อ 23 กรกฎาคม 2565.

[14] พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 4.

สำรวจความพร้อมภาครัฐ ปฏิบัติตาม ‘PDPA’

เขมภัทร ทฤษฎิคุณ

เผยแพร่ครั้งแรกเมื่อวันที่ 30 มิถุนายน 2565 บนหนังสือพิมพ์และเว็บไซต์ กรุงเทพธุรกิจ ในคอลัมน์วาระทีดีอาร์ไอ

ใกล้จะครบ 1 เดือนที่ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA มีผลใช้บังคับ หลังจากเลื่อนการบังคับใช้มาเป็นระยะเวลา 2 ปี ด้วยเหตุผลเพื่อภาครัฐและบริษัทเอกชนได้เตรียมความพร้อม

หลังกฎหมายบังคับใช้ เกิดคำถามและความเข้าใจผิดหลายกรณีเกี่ยวกับสิ่งที่ ทำได้-ทำไม่ได้ ตามกฎหมายกำหนด ซึ่งหน่วยงานกำกับดูแลคือ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลจำเป็นต้อง ให้ความกระจ่างแก่ประชาชนอย่างทันถ่วงที เพื่อป้องกันการสร้างความเข้าใจผิด หรือการใช้ ประโยชน์จากกฎหมายในทางไม่ชอบ ซึ่งอาจ เป็นอุปสรรคต่อการปรับตัวรับการบังคับใช้ PDPA ตามเจตนารมณ์แท้จริงของกฎหมาย

นอกจากการแก้ไขความเข้าใจผิดเกี่ยวกับ กฎหมายสำหรับประชาชนแล้ว อีกปัจจัยสำคัญที่ต้องเร่งยกระดับคือ ความพร้อมของ หน่วยงานต่างๆ โดยเฉพาะหน่วยงานของภาครัฐ เนื่องจากภาคเอกชนได้เร่งปรับตัว เตรียมความพร้อมคุ้มครองข้อมูลส่วนบุคคลตามหลักสากล GDPR ไปก่อนแล้ว รวมทั้งการปฏิบัติตามหลักธรรมาภิบาลขององค์กรในการประกอบกิจการ

แต่สำหรับหน่วยงานภาครัฐที่มีการเก็บรวบรวมข้อมูลส่วนบุคคลเป็นจำนวนมาก ตั้งแต่เกิดจนเสียชีวิต ยังติดกับอุปสรรคหลาย ประการที่ทำให้ยังไม่ได้ยกระดับการคุ้มครองข้อมูลส่วนบุคคลในภาครัฐ ซึ่งการคุ้มครองข้อมูลส่วนบุคคลในภาครัฐที่ผ่านมาเป็นไปตาม พ.ร.บ.ข้อมูลข่าวสารราชการ พ.ศ.2540 แต่ในตอนนี้ การคุ้มครองข้อมูลส่วนบุคคลของภาครัฐจะต้องปรับไปตาม PDPA ด้วย

จากการศึกษาของทีดีอาร์ไอ พบว่า ตลอด 2 ปีที่ผ่านมา มีบางหน่วยงานได้เตรียม ความพร้อมในการปฏิบัติตาม PDPA ไปบ้างแล้ว เช่น สำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน) (สพร.) ซึ่งเป็นหน่วยงาน ของรัฐแรกๆ ที่ได้ดำเนินการปฏิบัติตาม PDPA และเป็นตัวอย่างที่ดีให้กับหน่วยงาน อื่นๆ โดยการทำเอกสารแม่แบบสำหรับการ ดำเนินการในการปฏิบัติตามกฎหมาย

อย่างไรก็ตาม ความเปลี่ยนแปลงที่เกิดขึ้นในหลายหน่วยงานมีเพียงบนกระดาษ ไม่ได้ เปลี่ยนแปลงระดับนโยบาย กระบวนการทำงาน ไปจนถึงเทคโนโลยีเพื่อการรักษาความปลอดภัยข้อมูลส่วนบุคคล ซึ่งอาจทำให้ ข้อมูลส่วนบุคคลของประชาชนถูกละเมิด/รั่วไหลได้ ตามที่เคยเกิดขึ้นแล้ว หลัง PDPA ประกาศใช้ในช่วงปี 2564 มีการละเมิด/รั่วไหล ของข้อมูลส่วนบุคคลในภาครัฐถึง 5 ครั้ง

เพื่อยกระดับความพร้อมให้กับภาครัฐ และป้องกันปัญหาเกิดขึ้นเช่นในอดีต จำเป็นที่ภาครัฐจะต้องปรับปรุงแก้ไขสิ่งต่างๆ ดังนี้

1. สร้างความเข้าใจและความชัดเจนในบทบาทหน้าที่ ความไม่เข้าใจหรือไม่ชัดเจนในบทบาทของภาครัฐในฐานะผู้ควบคุมข้อมูล ส่วนบุคคลตาม PDPA ทำให้บางส่วนอาจเห็นว่าการคุ้มครองข้อมูลส่วนบุคคลเป็นหน้าที่ของสำนัก/กอง/กลุ่ม/แผนกหนึ่งในหน่วยงานของรัฐเป็นผู้รับผิดชอบ เช่น สำนักเทคโนโลยี เป็นต้น แต่ตามหลักคือ หน่วยงานภาครัฐจะต้องสร้างความเข้าใจให้กับเจ้าหน้าที่ทุกคนและยึดหลักปฏิบัติเดียวกันทั้งองค์กร

2. มีนโยบายภายในองค์กรเพื่อรองรับการปฏิบัติตาม PDPA  หรือแม้แต่การปรับเปลี่ยน กฎเกณฑ์ทางกฎหมายภายใต้อำนาจของ หน่วยงานของรัฐ เพื่อให้สอดคล้องกับหลักการ ของกฎหมายคุ้มครองข้อมูลส่วนบุคคล

3. มีแนวปฏิบัติ (guidelines) เพื่อการ เตรียมความพร้อมในการปฏิบัติตาม PDPA และมีคำอธิบายบทบัญญัติของ PDPA ซึ่งหากพิจารณาเฉพาะตัวพระราชบัญญัติแล้ว  จะเห็นเพียงหลักการแต่ไม่เห็นแนวทางในการปฏิบัติตาม

4. มีความเข้าใจต่อการพิจารณาฐานทางกฎหมาย เมื่อขาดนโยบายและแนวปฏิบัติ หน่วยงานของรัฐส่วนใหญ่จึงไม่มั่นใจว่า ภารกิจหรือกิจกรรมการประมวลผลข้อมูลส่วนบุคคลของตนจะต้องใช้ฐานการประมวลผล ข้อมูลส่วนบุคคลใด โดยเฉพาะอย่างยิ่งในมาตราที่กฎหมายห้ามไม่ให้เก็บรวบรวมข้อมูลส่วนบุคคล หากไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ซึ่งจะเป็นปัญหาสำหรับหน่วยงานของรัฐที่มีภารกิจต้องเก็บจากบุคคลเป็นจำนวนมาก เช่น ฐานข้อมูลทะเบียนราษฎร หรือฐานข้อมูลบัตรประจำตัวประชาชน เป็นต้น เจ้าหน้าที่รัฐอาจไม่มั่นใจว่าจะสามารถขอความยินยอมได้อย่างไร ซึ่งในความเป็นจริงแล้ว PDPA ได้ให้อำนาจหน่วยงานของรัฐในฐานการประมวลผลเพื่อการใช้ประโยชน์ในการจัดทำบริการสาธารณะเอาไว้ โดยไม่ต้อง ขอความยินยอม นอกจากนี้ ในกรณีอื่นๆ หน่วยงานของรัฐก็อาจจะอาศัยฐานในการประมวลผลอื่นๆ เพื่อเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคลได้ ได้แก่ ฐานสัญญา ฐานสถิติ  เอกสารประวัติศาสตร์ และจดหมายเหตุ ฐานป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล ฐานประโยชน์โดยชอบด้วยกฎหมาย และฐานการปฏิบัติตามกฎหมาย ซึ่ง PDPA รับรองเอาไว้

5. มีระบบเทคโนโลยีสารสนเทศที่ปลอดภัย หน่วยงานของรัฐบางแห่งยังไม่มีระบบที่ทันสมัยเพียงพอกับการรับมือกับการละเมิด/รั่วไหลของข้อมูลส่วนบุคคล ซึ่งอาจเกิดการรั่วไหลหรือถูกโจมตีต่อระบบคอมพิวเตอร์ได้ หรือในกรณีที่เก็บรักษาเอกสารอิเล็กทรอนิกส์ไว้ในเครื่องคอมพิวเตอร์สำนักงานโดยไม่มีการตั้งรหัสการเข้าถึงข้อมูล (access control) อาจทำให้บุคคลที่ไม่มีส่วนเกี่ยวข้องเข้าถึงข้อมูลได้โดยไม่จำเป็น

นอกเหนือจากสิ่งต่างๆ ที่กล่าวมาแล้ว หลักสำคัญในการปรับตัวตาม PDPA ของภาครัฐคือการตระหนักถึงบทบาทในฐานะผู้ควบคุมข้อมูลส่วนบุคคล ที่ต้องให้การคุ้มครองข้อมูลส่วนบุคคลของประชาชน และต้องสร้างความโปร่งใสในการสื่อสารกับประชาชน

ในกรณีที่จะต้องเก็บรวบรวมและใช้ข้อมูลส่วนบุคคล ภาครัฐควรจะต้องมีการแจ้งให้ประชาชนทราบ เพื่อให้ประชาชสามารถใช้สิทธิของตนเองได้ตามกฎหมาย เพราะหน่วยงานของรัฐส่วนใหญ่ยังขาดการเตรียมกระบวนการเพื่อแจ้งเจ้าของข้อมูลส่วนบุคคลให้ทราบเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล การจัดเตรียมช่องทางการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล โดยควรจะต้องแจ้งให้ประชาชนรับรู้ เพื่อประโยชน์ของประชาชนในการควบคุมสิทธิในข้อมูลส่วนบุคคลของตนเอง

คู่มือ PDPA สำหรับผู้ประกอบการ SMEs

เขมภัทร ทฤษฎิคุณ

ชื่อหนังสือ: คู่มือ PDPA สำหรับผู้ประกอบการ SMEs

การอ้างอิงแนะนำตามรูปแบบ APA: เวทางค์ พ่วงทรัพย์. (2565). คู่มือ PDPA สำหรับผู้ประกอบการ SMEs. กรุงเทพฯ: สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล. https://www.pdpc.or.th/pdpc-book/คู่มือ-pdpa-สำหรับผู้ประกอบ/

สรุปสาระสำคัญ

คู่มือ PDPA สำหรับผู้ประกอบการ SMEs เล่มนี้จัดทำขึ้นโดยข้อจำกัดด้านระยะเวลาโดยมีเป้าหมายเพื่อใช้ในการสื่อสารกับประชาชนในช่วงระยะสั้นๆ โดยคู่มือฉบับนี้ได้รับความอนุเคราะห์ในการเผยแพร่ในตรวจสอบความถูกต้องของเนื้อหาจากสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

Download

PDPA101: มาเข้าใจกฎหมายคุ้มครองข้อมูลส่วนบุคคลแบบนับหนึ่งกันเถอะ

เขมภัทร ทฤษฎิคุณ

เผยแพร่ครั้งแรกเมื่อวันที่ 1 มิถุนายน 2565 บนเว็บไซต์ pridi.or.th

1 มิถุนายน 2565 วันนี้เป็นวันแรกที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลจะเริ่มบังคับใช้ ภายหลังจากเลื่อนมาเป็นระยะเวลากว่า 2 ปีแล้ว ทำให้เกิดความตื่นตัวขึ้นในสังคมไทย โดยเฉพาะเมื่อช่วงที่ผ่านมาได้มีข่าวเกี่ยวกับการนำรูปภาพส่วนตัวออกมาเผยแพร่ ประกอบกับมีผู้นำเสนอข้อมูลและสร้างความเข้าใจผิดเกี่ยวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล จึงทำให้กฎหมายฉบับนี้ถูกพูดถึงเป็นจำนวนมากในช่วงเวลาสั้นๆ มีทั้งความเข้าใจที่ถูกต้อง และไม่ถูกต้อง

ก่อนการบังคับใช้ ในบทความนี้ผู้เขียนจึงอยากชวนมาทำความเข้าใจและตระหนักถึงความสำคัญของกฎหมายฉบับนี้

ที่มาของกฎหมาย

ในความเป็นจริงแล้ว “กฎหมายคุ้มครองข้อมูลส่วนบุคคล” นั้น สังคมไทย หากแต่มีความพยายามในการยกร่างกฎหมายฉบับนี้มาตั้งแต่ประมาณปี พ.ศ. 2540[1]  อย่างไรก็ดี เวลาล่วงมากว่า 20 ปี กฎหมายก็ไม่ได้มีการประกาศใช้ จนกระทั่งกระแสเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลกลับมาถูกกล่าวถึงมากขึ้นในโลกเมื่อสหภาพยุโรปผ่าน “กฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป” (General Data Protection Regulation: GDPR) ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่ได้รับการจัดว่าเป็นกฎหมายที่ก้าวหน้าที่สุด และมีผลเป็นการทำให้ประเทศต่างๆ ต้องปรับเปลี่ยนกฎหมายคุ้มครองข้อมูลส่วนบุคคลหรือต้องยกร่างกฎหมายคุ้มครองข้อมูลส่วนบุคคล ซึ่งรวมถึงประเทศไทยที่มีกฎหมายฉบับดังกล่าวเป็นแม่แบบในการยกร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA

จุดมุ่งหมายของ PDPA

ในช่วงที่ผ่านมา ทั้งสื่อมวลชนและบุคคลสาธารณะจำนวนหนึ่งที่พยายามจะสื่อสารว่า ห้ามมิให้มีการเก็บหรือใช้ข้อมูลส่วนบุคคลของผู้อื่น ซึ่งความเข้าใจดังกล่าวเป็นความเข้าใจที่ผิด เพราะตาม PDPA แล้ว ไม่ได้ห้ามมิให้มีการเก็บหรือใช้ข้อมูลส่วนบุคคล แต่กฎหมายต้องการให้เกิดความตระหนักถึงสิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject; คนที่ข้อมูลนั้นเชื่อมโยงไปถึง) เพื่อให้เจ้าของข้อมูลส่วนบุคคลมีอำนาจควบคุมและสามารถตัดสินใจเกี่ยวกับข้อมูลส่วนบุคคลของตนเองได้ ซึ่งจะเห็นได้ว่ากระบวนการทั้งหมดของกฎหมาย คือ การมอบอำนาจในการตัดสินใจเกี่ยวกับข้อมูลส่วนบุคคลให้กับเจ้าของข้อมูลส่วนบุคคล เช่น การแจ้งเกี่ยวกับการเก็บและใช้ข้อมูลส่วนบุคคล และการขอความยินยอมในการเก็บและใช้สำหรับกิจกรรมบางกิจกรรม เป็นต้น

ใครที่ PDPA มุ่งคุ้มครอง

PDPA มุ่งคุ้มครองคนธรรมดาทุกคนที่ยังมีชีวิตอยู่ ดังจะเห็นได้จากกฎหมายกำหนดความหมายของ “ข้อมูลส่วนบุคคล” คือ ข้อมูลใดๆ ก็ตามที่สามารถเชื่อมโยงไปหาบุคคลนั้นได้โดยทางตรงหรือทางอ้อม โดยข้อมูลส่วนบุคคลตามกฎหมายไม่รวมถึงข้อมูลของคนตายโดยเฉพาะ[2]  ฉะนั้น หากเป็นข้อมูลของคนตายไปแล้วก็จะไม่ได้รับความคุ้มครองตามกฎหมายฉบับนี้ แต่ในกรณีของหน่วยงานของรัฐที่เก็บหรือใช้ข้อมูลส่วนบุคคลยังคงมีหน้าที่ต้องคุ้มครองข้อมูลส่วนบุคคลตามกฎหมายอื่น[3]  อย่างไรก็ดี ไม่ใช่ว่า นอกหน่วยงานของรัฐข้อมูลส่วนบุคคลของคนตายจะไม่ได้รับความคุ้มครอง ทายาทยังคงดำเนินการในเรื่องของคนตายตามกฎหมายอื่นๆ ได้

PDPA ใช้กับเรื่องใดบ้าง

ขอบเขตการบังคับใช้ PDPA นั้นใช้กับกิจกรรมการใช้ข้อมูลส่วนบุคคลของคนธรรมดา (ฉะนั้น กฎหมายไม่ใช้กับข้อมูลของหน่วยงานหรือองค์กร) ทุกประเภทโดยไม่จำกัด ว่าการเก็บข้อมูลนั้นจะเป็นดิจิทัลหรือกระดาษ

การใช้ข้อมูลส่วนบุคคลนั้นจะเกิดขึ้นเพื่อวัตถุประสงค์ในทางธุรกิจหรือไม่ และไม่ว่าจะเป็นการใช้ข้อมูลส่วนบุคคลโดยบุคคลธรรมดา หน่วยงานของรัฐ องค์กรธุรกิจเอกชน หรือองค์กรไม่แสวงหาผลกำไร (สมาคมและมูลนิธิ) 

อย่างไรก็ดี กฎหมายฉบับนี้มุ่งใช้กับกิจกรรมของหน่วยงานหรือองค์กรขนาดใหญ่เสียส่วนใหญ่ที่มีการเก็บหรือใช้ข้อมูลจำนวนมาก  ฉะนั้น กฎหมายจึงไม่ได้มีผลเปลี่ยนแปลงการใช้ชีวิตส่วนใหญ่ของคนธรรมดา เพราะหากเป็นการใช้ข้อมูลส่วนบุคคลเกี่ยวกับเรื่องส่วนตัวหรือครอบครัวก็จะได้รับการยกเว้น[4] เช่น การถ่ายภาพที่ระลึกครอบครัว การถ่ายวิดีโอของครอบครัว หรือการทำแผนผังครอบครัว เป็นต้น  ฉะนั้น ในทางปฏิบัติคนธรรมดาแบบเราคือคนสำคัญที่กฎหมายมุ่งจะคุ้มครอง

ใครมีหน้าที่ตาม PDPA และต้องทำอะไรบ้าง

ตาม PDPA กำหนดหน้าที่ให้กับผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ซึ่งก็คือ “บุคคลธรรมดา” (คนธรรมดาแบบเรา) หรือ “นิติบุคคล” (หน่วยงานหรือองค์กร) ที่มีการเก็บ ใช้ และเปิดเผยข้อมูลส่วนบุคคล (เข้าไปเกี่ยวกับข้อมูลส่วนบุคคลของคนอื่น) ซึ่งกฎหมายกำหนดหน้าที่ให้คนคนนี้ ต้องปฏิบัติเพื่อคุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคล ซึ่งหน้าที่โดยส่วนใหญ่ของผู้ควบคุมข้อมูลส่วนบุคคลก็คือ การคุ้มครองข้อมูลส่วนบุคคล (ให้หลักประกัน) มิให้มีการนำข้อมูลส่วนบุคคลไปใช้นอกเหนือความคาดหมายของเจ้าของข้อมูลส่วนบุคคล และสนับสนุนการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล ซึ่งอาจจะสรุปหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคลเป็นหลักการสำคัญที่ต้องคำนึงถึง ดังนี้[5]

1. หลักความชอบด้วยกฎหมาย ความเป็นธรรม และความโปร่งใส ผู้ควบคุมจะต้องกำหนดให้การเก็บ ใช้ และเปิดเผยข้อมูลส่วนบุคคลจะต้องเป็นไปโดยมีเหตุผลความจำเป็นที่สามารถอ้างอิงฐานการประมวลผลได้ และมีการประกาศ/แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบเหตุผลความจำเป็น

2. หลักการจำกัดวัตถุประสงค์ โดยกำหนดให้การประมวลผลข้อมูลส่วนบุคคลกระทำเท่าที่จำเป็นภายใต้ขอบเขตของวัตถุประสงค์ที่ได้แจ้งไว้กับเจ้าของข้อมูลส่วนบุคคล

3. หลักการรวบรวมข้อมูลเท่าที่จำเป็น การประมวลผลข้อมูลส่วนบุคคลภายใต้วัตถุประสงค์และรวบรวมข้อมูลเฉพาะเท่าที่จำเป็นและในสัดส่วนที่เหมาะสม

4. หลักความถูกต้องของข้อมูลส่วนบุคคล การประมวลผลข้อมูลส่วนบุคคลนั้น ผู้ควบคุมข้อมูลส่วนบุคคลจำเป็นต้องจัดให้มีมาตรการหรือวิธีการใดๆ เพื่อรับรองข้อมูลที่เก็บรวบรวมไว้ให้มีความถูกต้องและเป็นปัจจุบัน

5. หลักการเก็บข้อมูลส่วนบุคคลอย่างจำกัดระยะเวลา ภายใต้วัตถุประสงค์ที่กำหนดไว้ ผู้ควบคุมข้อมูลส่วนบุคคลจะเก็บรักษาข้อมูลไว้ในระยะเวลาเท่าที่จำเป็นตามวัตถุประสงค์

6. หลักความสมบูรณ์ของข้อมูลส่วนบุคคลและการเก็บรักษาเป็นความลับ ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องประมวลผลข้อมูลส่วนบุคคลด้วยความระมัดระวังและใช้มาตรการรักษาความปลอดภัยข้อมูลที่เหมาะสมเพื่อป้องกันการรั่วไหลของข้อมูลส่วนบุคคลหรือการสูญหาย

7. หลักความรับผิดชอบ ผู้ควบคุมข้อมูลส่วนบุคคลมีความรับผิดชอบในการดำเนินการเพื่อบรรลุวัตถุประสงค์หลักดังกล่าวข้างต้น และจะแสดงให้เห็นได้อย่างชัดเจนว่า ผู้ควบคุมข้อมูลส่วนบุคคลได้มีการปฏิบัติหน้าที่ตามที่กฎหมายกำหนดไว้อย่างครบถ้วน

อย่างไรก็ดี หากจะสรุปหน้าที่ตามหลักการ 7 ประการก็คือ

(1) การใช้ข้อมูลส่วนบุคคลจะต้องใช้เท่าที่จำเป็น เหมาะสมโดยแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบวัตถุประสงค์การเก็บ ใช้ หรือเปิดเผย และในกรณีที่ต้องขอความยินยอมก็ต้องขอความยินยอมให้ถูกต้องตามกฎหมาย

(2) ต้องคำนึงถึงความปลอดภัยของข้อมูลส่วนบุคคล หลีกเลี่ยงการให้บุคคลไม่มีส่วนเกี่ยวข้องเข้าถึงข้อมูลส่วนบุคคล และคอยตรวจสอบให้ข้อมูลดังกล่าวอัปเดตตรงกับความเป็นจริง และ

(3) เมื่อเกิดข้อผิดพลาดใดๆ กับข้อมูลส่วนบุคคลจะต้องดำเนินการแจ้งหน่วยงานกำกับดูแลให้ทราบและแจ้งเจ้าของข้อมูลส่วนบุคคลในกรณีที่กฎหมายกำหนด

แม้ว่ากฎหมายฉบับนี้จะใหม่ แต่ก็ไม่ยากเกินกว่าจะทำความเข้าใจ เพราะหากทำความเข้าใจหลักการของกฎหมายทั้งหมดแล้วการปฏิบัติตามกฎหมายในลำดับต่อไปก็จะไม่ใช่เรื่องยากอีกต่อไป และหากมีข้อสงสัยเกี่ยวกับ PDPA สามารถติดตามช่องทางอย่างเป็นทางการของสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ซึ่งเป็นหน่วยงานกำกับดูแลตามกฎหมายได้ทาง Facebook Fanpage PDPC Thailand

เชิงอรรถ

[1] นคร เสรีรักษ์, ความเป็นส่วนตัว (พิมพ์ครั้งที่ 2, สำนักพิมพ์ฟ้าฮ่าม 2563) 263 – 264.

[2] พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 6.

[3] ดู พระราชบัญญัติข้อมูลข่าวสารราชการ พ.ศ. 2540.

[4] พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 4 (1).

[5] เขมภัทร ทฤษฎิคุณ, ‘เมื่อเราอยู่ในยุคที่ข้อมูลส่วนบุคคลมีค่าดั่งทองคำ’ (สถาบันปรีดี พนมยงค์, 28 กุมภาพันธ์ 2565) <https://pridi.or.th/th/content/2022/02/991> สืบค้นเมื่อ 31 พฤษภาคม 2565.