เผยแพร่ครั้งแรกเมื่อวันที่ 16 สิงหาคม 2566 บนเว็บไซต์ Tech for Good Institute โดยเขียนร่วมกันระหว่าง กัญจน์ จิระวุฒิพงศ์ นักวิจัย สถาบันวิจัยเพื่อการพัฒนาประเทศไทย และเขมภัทร ทฤษฎิคุณ นักวิจัยอาวุโส สถาบันวิจัยเพื่อการพัฒนาประเทศไทย
ที่ผ่านมารัฐบาลไทยได้ตระหนักถึงความสำคัญของเศรษฐกิจดิจิทัล ดังจะเห็นได้จากความพยายามของรัฐบาลในการกำหนดนโยบายเศรษฐกิจดิจิทัลระดับชาติที่มุ่งหมายให้เกิดการอำนวยความสะดวก การลงทุนเชิงกลยุทธ์ และการตรากฎหมายเศรษฐกิจดิจิทัลเพื่อรองรับการเติบโตของเศรษฐกิจดิจิทัล ซึ่งรวมถึงพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ที่ได้รับความสนใจจากภาคธุรกิจและประชาชน
เนื่องจากกฎหมายมีรายละเอียดและหลักการที่ไม่เคยปรากฏมาก่อนบทความนี้จึงมีวัตถุประสงค์เพื่ออธิบายภาพรวมของพัฒนาการของประเทศไทยในด้านการคุ้มครองข้อมูลส่วนบุคคล รวมถึงกฎระเบียบและแนวทางปัจจุบัน ประโยชน์ที่อาจเกิดขึ้นจากการมีระบบและมาตรการคุ้มครองข้อมูลส่วนบุคคลที่ดี และความท้าทายของประเทศไทยในการพัฒนามาตรการคุ้มครองข้อมูลส่วนบุคคล โดยบทความนี้น่าจะเป็นประโยชน์สำหรับการศึกษาแนวทางการพัฒนามาตรการคุ้มครองข้อมูลส่วนบุคคลในประเทศไทย และเป็นบทเรียนสำหรับประเทศอื่นๆ ที่กำลังอยู่ในระหว่างการพัฒนากฎหมายคุ้มครองข้อมูลส่วนบุคคลในลักษณะที่ใกล้เคียงกันอีกด้วย
ภาพรวมของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือเรียกโดยย่อว่า PDPA ได้ประกาศใช้เมื่อวันที่ 24 พฤษภาคม 2562 แต่ในความเป็นจริงพระราชบัญญัติฉบับนี้เพิ่งมีผลใช้บังคับจริงในวันที่ 1 มิถุนายน 2562 โดยมี สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส. หรือ PDPC) เป็นหน่วยงานหลักในการควบคุมและบังคับใช้กฎหมาย รวมถึงมีอำนาจในการออกกฎหมายลำดับรองและวางแนวทางปฏิบัติในการดำเนินการตาม PDPA โดยในปัจจุบัน สคส. ได้มีการออกกฎหมายลำดับรองและแนวทางปฏิบัติดังปรากฏตามตารางข้างท้ายนี้ตารางแสดงกฎหมายลำดับรองและแนวปฏิบัติตามฎหมายคุ้มครองข้อมูลส่วนบุคคล (ข้อมูล ณ 14 กรกฎาคม 2566)
| กฎหมายลำดับรอง | วันที่ออก |
| 1. ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง การยกเว้นการบันทึกรายการของผู้ควบคุมข้อมูลส่วนบุคคลซึ่งเป็นกิจการขนาดเล็ก พ.ศ. 2565 | 21 มิถุนายน 2565 |
| 2. ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์การพิจารณาออกคำสั่งลงโทษปรับทางปกครองของคณะกรรมการผู้เชี่ยวชาญ พ.ศ. 2565 | 21 มิถุนายน 2565 |
| 3. ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565 | 21 มิถุนายน 2565 |
| 4. ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีการในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล พ.ศ. 2565 | 15 ธันวาคม 2565 |
| 5. ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีการในการจัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลสำหรับผู้ประมวลผลข้อมูลส่วนบุคคล พ.ศ. 2565 | 17 ธันวาคม 2565 |
| 6. ระเบียบคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลว่าด้วยการยื่น การไม่รับเรื่อง การยุติเรื่อง การพิจารณา และระยะเวลาในการพิจารณาคำร้องเรียน พ.ศ. 2565 | 12 กรกฎาคม 2565 |
| แนวปฏิบัติ | วันที่ออก |
| 7. แนวทางการดำเนินการในการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 | 7 กันยายน 2565 |
| 8. แนวทางการดำเนินการในการแจ้งวัตถุประสงค์และรายละเอียดในการเก็บรวบรวมข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 | 7 กันยายน 2565 |
นอกจากกฎหมายลำดับรองและแนวปฏิบัติดังกล่าวข้างต้นแล้ว ปัจจุบัน สคส. ได้มีความพยายามจะออกกฎหมายลำดับรองเพื่อสร้างความชัดเจนเพิ่มเติมเกี่ยวกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (data protection officer: DPO) ในหน่วยงานของรัฐและกฎหมายลำดับรองเกี่ยวกับการถ่ายโอนข้อมูลระหว่างประเทศในบริบทของประเทศไทย PDPA ไม่ใช่กฎหมายที่กำหนดแนวทางในการคุ้มครองข้อมูลส่วนบุคคลเพียงฉบับเดียว
แต่ในบริบทของอุตสาหกรรมเฉพาะในประเทศไทย อาทิ โทรคมนาคม เครดิตบูโร การเงินและการธนาคาร และการประกันภัยก็มีกฎหมายเฉพาะในการกำกับการใช้ข้อมูลส่วนบุคคลในอุตสาหกรรมเหล่านี้อยู่นอกจากนี้ เมื่อพิจารณาในเรื่องการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลพบว่า ในปัจจุบันยังไม่ปรากฏคำวินิจฉัยของ สคส. หรือ PDPC และคำพิพากษาของศาลตาม PDPA
ประโยชน์ของการมีกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่ดี
ในทางหลักการ PDPA มีส่วนสำคัญในการส่งเสริมเศรษฐกิจดิจิทัลด้วยการสร้างความมั่นใจว่า ข้อมูลส่วนบุคคลจะได้รับการคุ้มครองจากรัฐ ผ่านการกำหนดมาตรการและแนวทางในการใช้ข้อมูลส่วนบุคคลที่คำนึงความเป็นส่วนตัว และการวางมาตรการรองรับการเคลื่อนย้ายข้อมูลส่วนบุคคลข้ามพรมแดน ซึ่งเป็นหัวใจของเศรษฐกิจดิจิทัลที่ขับเคลื่อนด้วยข้อมูล
นอกจากนี้ กฎหมายยังมีส่วนในการสร้างความมั่นใจให้กับนักลงทุนว่าประเทศไทยมีมาตรการการคุ้มครองข้อมูลส่วนบุคคลที่เป็นสากล ซึ่งเป็นประโยชน์มากสำหรับอุตสาหกรรมเทคโนโลยี อาทิ อุตสาหกรรมที่เกี่ยวกับข้อมูลแบบคลาวด์คอมพิวเตอร์ โดยตัวอย่างการเพิ่มศักยภาพในการแข่งขันนี้คือ การเข้ามาลงทุนในศูนย์ข้อมูลและบริการคลาวด์ในประเทศไทยและประเทศอื่นๆ ในอาเซียนของ Amazon Web Service (AWS) นอกจากนี้ การมีกฎหมายคุ้มครองข้อมูลส่วนบุคคลน่าเชื่อถือยังเอื้อต่อการไหลเวียนของข้อมูลอย่างราบรื่น ซึ่งส่งเสริมความร่วมมือและเสริมสร้างการมีส่วนร่วมของประเทศไทยในการเจรจาการค้าระหว่างประเทศ อาทิ ความตกลงแบบครอบคลุมและก้าวหน้าสำหรับหุ้นส่วนทางเศรษฐกิจภาคพื้นแปซิฟิก (Comprehensive and Progressive Agreement for Trans-Pacific Partnership: CPTPP)ความตกลงหุ้นส่วนทางเศรษฐกิจระดับภูมิภาคที่ครอบคลุม (Regional Comprehensive Economic Partnership: RCEP) และกรอบความร่วมมือเศรษฐกิจอินโด-แปซิฟิก (Indo-Pacific Economic Framework: IPEF)
ความท้าทายอย่างต่อเนื่องของการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลในไทย
ในช่วงต้นปี พ.ศ. 2566 ได้เกิดเหตุข้อมูลส่วนบุคคลรั่วไหลครั้งใหญ่ทำให้ สคส. เรียกร้องให้องค์กรธุรกิจและหน่วยงานของรัฐต่างๆ ประเมินความพร้อมในการรับมือต่อความเสี่ยงที่ข้อมูลส่วนบุคคลจะรั่วไหลและระบบรักษาความปลอดภัยของข้อมูลส่วนบุคคล
อย่างไรก็ดี เหตุการณ์ดังกล่าวเกิดขึ้นหลังจากการมีข้อมูลส่วนบุคคลรั่วไหลอีกหลายครั้งในช่วงหลายปีที่ผ่านมา
ดังนั้น สถานการณ์ดังกล่าวอาจส่งผลกระทบต่อความเชื่อมั่นของผู้มีส่วนได้เสียว่า มาตรการคุ้มครองข้อมูลส่วนบุคคลของประเทศไทยเพียงพอหรือไม่สถานการณ์ข้อมูลส่วนบุคคลรั่วไหลนี้ไม่ได้เกิดขึ้นเฉพาะในประเทศไทย แต่เป็นสถานการณ์ร่วมกันของภูมิภาคเอเชียแปซิฟิก จากรายงาน Check Point ในปี 2564 พบว่า มีการโจมตีทางไซเบอร์ในภูมิภาคเอเชียแปซิฟิกเพิ่มขึ้นร้อยละ 168 เมื่อเทียบกับปีก่อนๆ โดยร้อยละ 59 ของเป้าหมายในการโจมตีทางไซเบอร์มาจากภาคธุรกิจ
ความท้าทายสำคัญของการป้องกันและรับมือ การถูกโจมตีทางไซเบอร์นั้น ส่วนหนึ่งมาจากการขาดบุคลากรที่มีความเชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ ซึ่งจากการสำรวจในปี 2564 พบว่า ในปัจจุบันมีความต้องการของจำนวนผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์มากถึง 2.72 ล้านตำแหน่งทั่วโลกสถานการณ์ดังกล่าวสะท้อนความจำเป็นที่ประเทศไทยต้องสร้างระบบการคุ้มครองข้อมูลส่วนบุคคลที่ดีเพื่อป้องกันความเสี่ยงที่เกิดจากการรั่วไหลของข้อมูลที่อาจจะเพิ่มมากขึ้น เพื่อบรรลุเป้าหมายดังกล่าวประเทศไทยจำเป็นต้องมีแนวทางในการคุ้มครองข้อมูลส่วนบุคคลที่มีประสิทธิภาพ ซึ่งจะเกิดขึ้นได้ก็จากความร่วมมือและการเรียนรู้ร่วมกันระหว่างผู้มีส่วนได้เสียทั้งหมด บนหลักการสำคัญคือ การสร้างความสมดุลระหว่างการใช้ประโยชน์ในข้อมูลกับการคุ้มครองสิทธิความเป็นส่วนตัว โดยเฉพาะอย่างยิ่ง สคส. ที่มีบทบาทสำคัญในการสร้างนโยบายและกรอบในการกำกับกิจกรรมการใช้ข้อมูลส่วนบุคคล ควรจะต้องทำหน้าที่โดยประสานความร่วมมือกับภาคธุรกิจในนามของสมาคมธุรกิจ และภาคประชาสังคม
ดังนั้น จากประสบการณ์ที่ผ่านมาของประเทศไทย สามารถสรุปความท้าทาย 3 ประการที่จะเกิดขึ้นในอนาคตอันใกล้นี้ ดังนี้
1. การกำหนดกฎระเบียบและแนวปฏิบัติที่สอดคล้องและเหมาะสมกับการทำงานในแต่ละอุตสาหกรรม
การสร้างแนวปฏิบัติหรือมาตรฐานภายในอุตสาหกรรมมีส่วนสำคัญในการขับเคลื่อนการปฏิบัติตาม PDPA โดยในช่วงก่อนที่กฎหมายจะมีผลใช้บังคับ คณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย ได้จัดทำแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล และต่อมาก็มีการพัฒนาแนวปฏิบัติเฉพาะรายอุตสาหกรรม อาทิ แนวปฏิบัติเฉพาะธุรกิจธนาคาร และประกันภัยที่เกิดขึ้นภายใต้การส่งเสริมของสมาคมธุรกิจนอกจากนี้ เพื่อส่งเสริมให้เกิดแนวทางในการคุ้มครองข้อมูลส่วนบุคคล สคส. ได้สนับสนับสนุนสถาบันวิจัยเพื่อการพัฒนาประเทศไทย (ทีดีอาร์ไอ)
ในการดำเนินการปรึกษาหารือการจัดทำแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล 7 รายสาขาธุรกิจ และจัดให้มีการประชุมรับฟังความคิดเห็นสาธารณะจากภาคธุรกิจและประชาชน เพื่อสร้างแนวทางปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลที่ดี ซึ่งการประชุมรับฟังความคิดเห็นดังกล่าวได้รับความสนใจจากผู้มีส่วนได้เสียจำนวนมาก เนื่องจากแนวปฏิบัติมีส่วนช่วยให้เกิดความชัดเจนในการปฏิบัติตามกฎหมาย PDPAอย่างไรก็ดี ข้อสำคัญที่ต้องระลึกไว้ก็คือ ในยุคที่เทคโนโลยีมีและรูปแบบธุรกิจมีการเปลี่ยนแปลงอย่างรวดเร็ว การทำงานร่วมกันกับผู้มีส่วนได้เสียจึงมีความสำคัญ
สคส. ควรจะต้องกำกับกิจกรรมการใช้ข้อมูลส่วนบุคคลโดยรักษาสมดุลระหว่างการใช้ประโยชน์ในข้อมูลส่วนบุคคลทั้งไม่ว่าจะโดยภาคธุรกิจหรือหน่วยงานของรัฐ กับสิทธิความเป็นส่วนตัวของประชาชน ซึ่งการร่วมมือกันกับภาคธุรกิจและภาคประชาสังคมที่เกิดขึ้นในอนาคตอาจพิจารณาประเด็นการกำหนดแนวทางเก็บรวบรวมข้อมูลของอัลกอริทึมอย่างไรให้เกิดความโปร่งใส หรือการกำหนดแนวทางที่ดีในการเก็บข้อมูลอัตโนมัติอย่างไรให้กระทบสิทธิความเป็นส่วนตัวน้อยที่สุด
2. การมีหน่วยงานกำกับกิจกรรมการใช้ข้อมูลส่วนบุคคลที่เข้มแข็ง
ในการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลให้มีประสิทธิภาพจำเป็นต้องมีหน่วยงานกำกับกิจกรรมการใช้ข้อมูลส่วนบุคคลที่เข้มแข็ง ซึ่งการจะเกิดหน่วยงานในลักษณะดังกล่าวได้จำเป็นต้องมีงบประมาณที่เพียงพอและบุคลากรที่มีความสามารถเหมาะสมกับการทำงานในกรณีของประเทศไทยได้เผชิญกับความท้าทายในช่วงเริ่มต้นการบังคับใช้ PDPA ในปี 2562 ภายหลังจากการเลื่อนการบังคับใช้กฎหมายไปถึง 2 ครั้ง
ในที่สุด PDPA ได้เริ่มต้นใช้บังคับเมื่อวันที่ 1 มิถุนายน 2565 ที่ผ่านมา ท่ามกลางสถานการณ์ความวุ่นวายของการระบาดของไวรัสโควิด-19 ที่ส่งผลกระทบต่อภาครัฐและเอกชน ซึ่งรวมถึงหน่วยงานกำกับดูแลอย่าง สคส. ทำให้กระทบต่อการสรรหากรรมการและการออกกฎหมายลำดับรองที่ล่าช้านอกจากนี้ การได้รับงบประมาณที่เพียงพอ และบุคลากรที่มีคุณสมบัติเหมาะสมกับตำแหน่งงานเป็นส่วนสำคัญต่อการเสริมสร้างความเข้มแข็งและความมั่นใจในการทำงานของหน่วยงานกำกับดุแลการใช้ข้อมูลส่วนบุคคล อย่างไรก็ดี ข้อจำกัดด้านงบประมาณและบุคลากรเป็นความท้าทายที่เกิดขึ้นกับหน่วยงานคุ้มครองข้อมูลส่วนบุคคลในหลายประเทศเช่นกัน โดยในปัจจุบัน สคส. มีจำนวนบุคลากรต่ำกว่าเป้าหมายที่ตั้งไว้คือ จะต้องมีเจ้าหน้าที่รวมทั้งหมด 210 คน
แต่ตามแผนที่รายงานคณะรัฐมนตรี สคส. มีแผนจะรับโอนบุคลากรเพิ่มขึ้นอีกประมาณ 49 คนในปีงบประมาณนี้ ซึ่งยังไม่เพียงพอต่อเป้าหมายในการดำเนินงาน ในด้านงบประมาณ สคส. มีความพยายามขอรับการจัดสรรงบประมาณจำนวน 99,000 ล้านบาท เพื่อสนับสนุนการทำงานของ สคส. งบประมาณและบุคลากรเหล่านี้เป็นเงื่อนไขสำคัญที่จะช่วยส่งเสริมการทำงานของ สคส. ในการปฏิบัติตามกฎหมายได้อย่างมีประสิทธิภาพ
3. การกำหนดแนวทางที่ชัดเจนในการใช้กฎหมาย และการวางข้อจำกัดในการยกเว้นกฎหมายให้เหมาะสม
PDPA ของประเทศไทยได้รับอิทธิพลในการร่างมาจากกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป หรือ General Data Protection Regulation (GDPR) โดยมีหลักการสำคัญหลายประการร่วมกัน แม้อาจจะมีความแตกต่างบ้างเล็กน้อยในบางเรื่อง ตัวอย่างเช่นการตระหนักถึงความหลากหลายของธุรกิจในประเทศไทย จึงได้มีการกำหนดข้อยกเว้นบางประการเพื่อสนับสนุนวิสาหกิจขนาดกลางและขนาดย่อม (SMEs) โดยลดภาระการปฏิบัติตามกฎหมาย
อย่างไรก็ดี ประเทศไทยกำลังเผชิญกับความท้าทายในการตีความกฎหมายคุ้มครองข้อมูลส่วนบุคคลในบริบทอุตสาหกรรมเฉพาะที่มีกฎหมายกำกับดูแลการใช้ข้อมูลส่วนบุคคล อาทิ ด้านการเงินที่เกี่ยวข้องกับข้อมูลที่มีความละเอียดอ่อนที่รวบรวมไว้ก่อนการบังคับใช้ PDPA จำเป็นต้องมีความชัดเจนว่า ในสถานการณ์เช่นนี้จะใช้กฎหมายอย่างไรนอกจากนี้ การร่างกฎหมายลำดับรองที่พิจารณาอยู่ในปัจจุบันยังได้มีความพยายามยกเว้นการบังคับใช้ PDPA ในบางแง่มุม โดยเฉพาะอย่างยิ่งในหน่วยงานของรัฐ
แม้ว่าจะได้มีความพยายามสร้างหลักเกณฑ์สำหรับข้อยกเว้นในการบังคับใช้กฎมายเหล่านี้ แต่ข้อยกเว้นดังกล่าวยังขาดวิธีการที่ชัดเจนในการรักษาสิทธิของเจ้าของข้อมูลส่วนบุคคล สภาพดังกล่าวอาจส่งผลให้มาตรฐานการคุ้มครองข้อมูลส่วนบุคคลของประเทศไทยมีมาตรฐานที่ต่ำกว่ามาตรฐานสากล โดยเฉพาะอย่างยิ่งมาตรฐานของสหภาพยุโรป ซึ่งจะกระทบต่อการถ่ายโอนข้อมูลส่วนบุคคลข้ามพรมแดน เนื่องจากไม่ได้มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เท่าเทียมกัน เพื่อป้องกันผลกระทบดังกล่าว
รัฐบาลจึงควรจะต้องแก้ไขสถานการณ์ดังกล่าวด้วยความระมัดระวัง และคำนึงถึงผลกระทบของการยกเว้นการบังคับใช้กฎหมายอย่างละเอียดถี่ถ้วนและสอดคล้องกับเป้าหมายที่จะมีกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่ดีของประเทศไทย
บทสรุป
โดยรวมแล้วการบังคับใช้ PDPA ในประเทศไทยยังจำเป็นต้องจัดการกับความท้าทายเกี่ยวกับความสามารถของรัฐ การกำหนดแนวทางที่ชัดเจนในการใช้กฎหมายและการกำหนดข้อยกเว้นกฎหมาย และการกำหนดมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลในอุตสาหกรรม โดยในกรณีนี้ สคส. ควรจัดลำดับความสำคัญและเลือกใช้ทรัพยากรที่มีอยู่ตอบสนองต่อความท้าทายเหล่านี้ รวมถึงควรจะต้องคำนึงความสอดคล้องของมาตรฐานสากล และการร่วมมือกับภาคเอกชนอย่างจริงจัง เพื่อให้ได้ผลลัพธ์สุดท้ายคือ การเสริมสร้างกรอบในการคุ้มครองข้อมลส่วนบุคคลน่าเชื่อถือ
Khemmapat Trisadikoon 