นิติเศรษฐศาสตร์ของการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคล: มุมมองจากทฤษฎีตัวการ-ตัวแทน

มกราคม 4, 2025มิถุนายน 14, 2025 เขมภัทร ทฤษฎิคุณ

ชื่อบทความ: นิติเศรษฐศาสตร์ของการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคล: มุมมองจากทฤษฎีตัวการ-ตัวแทน

เผยแพร่ใน: วารสาร CMU Journal of Law and Social Sciences, ปีที่ 17 ฉบับที่ 2 (2024): กรกฎาคม – ธันวาคม 2567

การอ้างอิงแนะนำตามรูปแบบ APA: วัชรพล ศิริ และเขมภัทร ทฤษฎิคุณ. (2567). นิติเศรษฐศาสตร์ของการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคล: มุมมองจากทฤษฎีตัวการ-ตัวแทน. วารสารนิติสังคมศาสตร์, 17(2). 145-176. https://so01.tci-thaijo.org/index.php/CMUJLSS/article/view/275731

บทคัดย่อ

บทความนี้เป็นการทดลองนำมโนทัศน์ปัญหาตัวการ-ตัวแทน ซึ่งเป็นแนวคิดในทางเศรษฐศาสตร์มาประยุกต์ใช้กับการวิเคราะห์สภาพปัญหาการบังคับใช้กฎหมายไทย โดยอาศัยตัวอย่างการศึกษาคือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ทั้งนี้ การศึกษาในครั้งนี้มีวัตถุประสงค์เพื่อทำความเข้าใจปัญหาการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลของไทยผ่านแนวคิดปัญหาตัวการ-ตัวแทน โดยกำหนดให้ฝ่ายนิติบัญญัติเป็นตัวการ และหน่วยงานของรัฐอื่นเป็นตัวแทนที่ต้องทำตามเจตนารมณ์ของตัวการ

อย่างไรก็ดี จากการศึกษาพบว่าสภาพปัญหาตัวการ-ตัวแทนที่เกิดขึ้นจากพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีสาเหตุมาจากปัญหาความไม่สมมาตรของข้อมูลและจริยธรรมวิบัติ ซึ่งทำให้การบังคับใช้กฎหมายไม่ตอบสนองต่อเจตนารมณ์ของฝ่ายนิติบัญญัติ (ตัวการ) โดยผู้เขียนได้นำเสนอบทวิเคราะห์สภาพปัญหานี้โดยอาศัยตัวอย่างการศึกษา 2 ประการคือ ความขัดแย้งระหว่างตัวการ-ตัวแทนในการตรากฎหมายลำดับรอง และความขัดแย้งระหว่างตัวการ-ตัวแทนในการตีความกฎหมาย อนึ่ง การศึกษากฎหมายผ่านทฤษฎีตัวการ-ตัวแทนนี้จะมีประโยชน์ต่อการวิพากษ์และการเสนอแนะเพื่อแก้ไขกฎหมายต่อไป

Download

การเสริมสร้างกรอบการกำกับดูแลสำหรับเศรษฐกิจดิจิทัลของประเทศไทย

เมษายน 16, 2024มีนาคม 13, 2025 เขมภัทร ทฤษฎิคุณ

เผยแพร่ครั้งแรกเมื่อวันที่ 16 เมษายน 2567 บนเว็บไซต์ Tech for Good Institute บทความนี้เขียนโดยเขมภัทร ทฤษฎิคุณ นักวิจัยอาวุโส และวิชญาดา อำพนกิจวิวัฒน์ นักวิจัย สถาบันวิจัยเพื่อการพัฒนาประเทศไทย

การกำกับดูแลเศรษฐกิจดิจิทัลในประเทศไทยกระจายตัวอยู่ในหน่วยงาน ทำให้บทบาทด้านการกำกับดูแล อาทิ การออกกฎหมาย กำหนดมาตรฐาน และการบังคับใช้กฎหมายกระจายไปในแต่ละหน่วยงานทั้งจากหน่วยงานที่อยู่ภายใต้กระทรวงเดียวกัน และเป็นองค์กร (มหาชน) อิสระ ทำหน้าที่ตามภารกิจ เช่น การกำกับดูแลการแข่งขันในตลาด การคุ้มครองผู้บริโภค การคุ้มครองข้อมูลส่วนบุคคล และการรักษาความมั่นคงปลอดภัยไซเบอร์ เป็นต้น

ภาพรวมหน่วยงานกำกับดูแลของประเทศไทยในยุคเศรษฐกิจดิจิทัล

ในด้านโครงสร้างพื้นฐานด้านเทคโนโลยีสารสนเทศและดิจิทัลของประเทศไทยจะมีกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (MDES) เป็นหน่วยงานหลักที่มีบทบาทในการพัฒนาและกำกับดูแลโครงสร้างพื้นฐานดังกล่าว ภายใต้ MDES มีหน่วยงานย่อยๆ อาทิ สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (ETDA) และสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC)

สำหรับสำนักงานคณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติ (NBTC) เป็นหน่วยงานกำกับดูแลด้านกิจการโทรคมนาคมผ่านการออกใบอนุญาตให้กับหน่วยงานของรัฐและเอกชน ซึ่งบทบาทดังกล่าวรวมถึงการกำกับดูแลการแข่งขันทางการค้าเฉพาะในกิจการโทรคมนาคม ในทางกฎหมายหน้าที่ของ NBTC ดังกล่าวอาจต้องทำงานร่วมกันกับสำนักงานคณะกรรมการแข่งขันทางการค้า (TCCT) เพื่อคุ้มครองการแข่งขันเพื่อนำมาสู่บริการที่มีคุณภาพ ประสิทธิภาพ รวดเร็ว ถูกต้อง และเป็นธรรม

ปัจจุบัน ETDA มีบทบาทสำคัญในการกำกับดูแลธุรกรรมทางอิเล็กทรอนิกส์ เช่น การกำหนดมาตรฐานการพิสูจน์และยืนยันตัวตนทางดิจิทัล (NDID) มาตรฐานการทำลายมือชื่ออิเล็กทรอนิกส์ (E-signature) และ
การประกอบธุรกิจบริการแพลตฟอร์มดิจิทัล เพื่อให้ผู้ประกอบธุรกิจอยู่ภายใต้มาตรฐานเดียวกัน เว้นแต่ธุรกิจนั้นจะมีกฎหมายและมาตรฐานเป็นการเฉพาะ เช่น ภาคการเงินจะอยู่ภายใต้การกำกับดูแลของธนาคารแห่งประเทศไทย (BOT) หรือสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (SEC) เป็นต้น

PDPC มีบทบาทเข้าไปกำกับดูแลหน่วยงานภาครัฐและเอกชนในการใช้ข้อมูลส่วนบุคคล การเชื่อมโยงข้อมูลระหว่างประเทศ ผ่านกฎระเบียบและแนวปฏิบัติต่างๆ รวมทั้งการพิจารณาข้อพิพาทหรือประเด็นปัญหาที่เกิดขึ้นได้เพื่อสร้างความมั่นใจและน่าเชื่อถือให้กับประเทศ

สำหรับการรักษาความมั่นคงปลอดภัยไซเบอร์ มีการจัดตั้งสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (NCSC) มีหน้าที่ป้องกันและจัดการภัยคุกคามทางไซเบอร์ โดยเฉพาะภัยคุกคามที่เข้ามาจู่โจมโครงสร้างพื้นฐานที่สำคัญของประเทศ เช่น ความมั่นคงของรัฐ ความมั่นคงทางเศรษฐกิจ โครงสร้างด้านเทคโนโลยีสารสนเทศและโทรคมนาคม เป็นต้น

การคุ้มครองการแข่งขันในประเทศไทยอยู่ภายใต้การกำกับดูแลของ TCCT ซึ่งในปัจจุบันทำหน้าที่กำกับดูแลและส่งเสริมการแข่งขันการค้าแบบทั่วไปในประเทศไทย ซึ่งรวมถึงการแข่งขันทางการค้าในธุรกิจแพลตฟอร์ม

ดังกล่าวมาแล้วว่า ในกรณีของภาคการเงินมีหน่วยงานเฉพาะ อาทิ BOT มีบทบาทหน้าที่ในการกำกับดูแลการบริหารความเสี่ยงด้านการเงินที่จะเกิดขึ้นได้กับประชาชน และการสร้างความน่าเชื่อของสถาบันการเงินให้มีมาตรฐานผ่านการกำหนดหลักเกณฑ์และแนวทางปฏิบัติต่างๆ ส่วน SEC เป็นหน่วยงานที่มีอำนาจในการกำกับดูแลตลาดทุนของผู้ลงทุนผ่านขั้นตอนและวิธีการดำเนินธุรกิจ การระดมทุน รวมถึงกิจกรรมเกี่ยวกับสินทรัพย์ดิจิทัล เพื่อป้องกันไม่ให้เกิดการฉ้อโกง หลอกลวง หรือความผิดเกี่ยวกับสินทรัพย์ดิจิทัลในตลาดทุนไทยได้

ความซับซ้อนด้านกฎระเบียบและบทบาทที่เปลี่ยนแปลง

ในปัจจุบันการกำกับดูแลธุรกิจแพลตฟอร์มประกอบไปด้วยหน่วยทั่วไปที่มีหน้าที่กำกับดูแลด้านเทคโนโลยีสารสนเทศและดิจิทัลในประเทศไทย ทั้งในด้านนโยบายและกฎระเบียบต่างๆ แต่ถ้าเป็นอุตสาหกรรมเฉพาะจะมีหน่วยงานกำกับดูแลเป็นการเฉพาะ อาทิ ธุรกิจการเงิน อย่างไรก็ตาม ในทางปฏิบัติหน่วยงานของรัฐมีความพยายามในการทำงานร่วมกันผ่านนโยบาย มาตรการ โครงการต่างๆ จากทางภาครัฐ อาทิ BOT และ SEC อาจทำงานร่วมกันกับ ETDA เพื่อส่งเสริมให้หน่วยงานในประเทศมีความพร้อมด้านการเงินและตลาดทุนไทยมากขึ้น

สภาพดังกล่าวสะท้อนให้เห็นถึงการกำกับดูแลในปัจจุบันที่แนวโน้มบทบาทของหน่วยงานกำกับดูแลกำลังขยายออกไปในเรื่องที่ในอดีตไม่เคยกำกับดูแล ทำให้ความเชี่ยวชาญที่เคยมีอาจจะไม่ตอบสนองต่อความเปลี่ยนแปลงที่เกิดขึ้น รวมถึงกรอบทางกฎหมายปัจจุบันอาจไม่ครอบคลุมหรือไม่เอื้อให้เกิดการกำกับดูแลที่มีประสิทธิภาพ ตัวอย่างเช่น บทบาทของ TCCT ยังเน้นการกำกับดูแลแบบ Ex-post ในขณะที่พฤติกรรมของแพลตฟอร์มมีความซับซ้อนมากกว่านั้นและจำเป็นต้องเข้าถึงอัลกอริธึมเพื่อเข้าใจพฤติกรรมการแข่งขันรวมถึงวิเคราะห์สภาพตลาดเพื่อจะกำกับดูแลแบบ Ex-ante ก่อนแพลตฟอร์มจะละเมิดการแข่งขัน

อย่างไรก็ดี การอาศัยกรอบและอำนาจตามกฎหมายที่กระจายอยู่ตามหน่วยงานต่างๆ ทำให้การกำกับดูแลธุรกิจแพลตฟอร์มติดช่องโหว่ที่เกิดจากการไม่มีกฎหมายเข้ามากำกับดูแล ทำให้ประเทศไทยมีความพยายามยกร่างกฎหมายว่าด้วยเศรษฐกิจแพลตฟอร์มขึ้นมาเพื่อเป็นกฎหมายหลักในการกำกับดูแลการประกอบธุรกิจแพลตฟอร์มในประเทศไทย ซึ่งยังอยู่ในระหว่างกระบวนการยกร่าง

กฎหมายฉบับนี้จะทำหน้าที่เป็นกรอบทั้งในแนวระนาบที่กำกับดูแลพฤติกรรมที่เกิดขึ้นเป็นการทั่วไปของธุรกิจแพลตฟอร์ม อาทิ การแข่งขันทางการค้า การคุ้มครองผู้บริโภค และการควบคุมการให้บริการ โดยกำหนดหน้าที่พื้นฐานที่แพลตฟอร์มทุกๆ ขนาดต้องปฏิบัติ และกำหนดหน้าที่เพิ่มเติมตามความเสี่ยงที่แพลตฟอร์มแต่ละลักษณะจะก่อให้เกิดขึ้นกับเศรษฐกิจและผู้บริโภค นอกจากนี้ กฎหมายฉบับนี้ยังเชื่อมโยงกลไกการบังคับใช้กฎหมายกับกฎเกณฑ์ภายใต้กฎหมายเฉพาะอื่นๆ

การทำงานร่วมกันด้านกฎระเบียบที่ก้าวหน้า

ทว่า ในขณะที่กฎหมายว่าด้วยเศรษฐกิจแพลตฟอร์มยังไม่มีผลใช้บังคับ โจทย์ใหญ่ที่เป็นความท้าทายสำคัญของการกำกับดูแลเศรษฐกิจดิจิทัลของประเทศไทยคือการเร่งสร้างความร่วมมือเพื่อรองรับการกับความเปลี่ยนแปลง จากคำแนะนำของ Tech for Good Institute ซึ่งได้แนะนำให้เกิดการสร้างความร่วมมือ 3 ลักษณะ ได้แก่

หน่วยงานของรัฐด้วยกัน เนื่องจากประเด็นเศรษฐกิจดิจิทัลมีความเกี่ยวข้องหลายมิติ อาทิ การแข่งขันทางการค้า คุ้มครองผู้บริโภค ความปลอดภัยไซเบอร์ และคุ้มครองข้อมูลส่วนบุคคล ซึ่งจำเป็นต้องใช้หน่วยงานที่มีความถนัดเฉพาะทางหลากหลาย การมีประสานความร่วมมือกันเพื่อตอบสนองต่อปัญหาที่เกิดขึ้นจึงสำคัญ อย่างไรก็ดี ภายใต้บริบทที่ให้อำนาจหน่วยงานต่างๆ ไว้เฉพาะ อาจจะทำให้เป้าหมายและการดำเนินงานของแต่ละหน่วยงานไม่สอดคล้องกัน
หน่วยงานของรัฐกับภาคเอกชน เนื่องจากเทคโนโลยีมีการพัฒนาเปลี่ยนแปลงไปอย่างรวดเร็ว สภาพดังกล่าวทำให้การกำกับดูแล อาทิ การออกกฎเกณฑ์อาจจะไม่ทันกับการปรับตัวของรูปแบบธุรกิจและเทคโนโลยี รวมถึงหน่วยงานของรัฐอาจขาดความเข้าใจเกี่ยวกับเรื่องที่จะกำกับดูแล รวมถึงประเมินผลกระทบที่เกิดขึ้นผิดพลาด การสร้างความร่วมมือระหว่างหน่วยงานของรัฐกับภาคเอกชนจะช่วยให้เกิดการแลกเปลี่ยนข้อมูลและการทำความเข้าใจรูปแบบธุรกิจและเทคโนโลยีได้มากขึ้น
หน่วยงานของรัฐกับหน่วยงานของรัฐประเทศอื่นๆ เนื่องจากโจทย์ของการกำกับดูแลในเศรษฐกิจดิจิทัลมีความท้าทายโดยไม่จำกัดเฉพาะภายในพรมแดนรัฐใดรัฐหนึ่ง การแลกเปลี่ยนประสบการณ์และสร้างความร่วมมือระหว่างหน่วยงานของรัฐกับหน่วยงานของรัฐประเทศอื่นๆ กลไกการกำกับดูแลมีประสิทธิภาพมากขึ้น รวมถึงได้รับบทเรียนจากประเทศอื่นมาเป็นแนวทาง

การมองไปในอนาคตเพื่อให้การกำกับดูแลครอบคลุมทุกมิติ

กล่าวโดยสรุป กรอบการกำกับดูแลเศรษฐกิจดิจิทัลของประเทศไทยมีความซับซ้อนและเกี่ยวข้องกับภารกิจ
ที่กระจายอยู่ตามหน่วยงานต่างๆ ที่กฎหมายกำหนดความรับผิดชอบไว้เป็นการเฉพาะ แม้ว่าจะมีความพยายามในการทำงานร่วมกันและจัดการกับความท้าทายที่เกิดขึ้นใหม่นี้ แต่การขยายบทบาทด้านกฎระเบียบและช่องว่างที่มีอยู่ก็ยังทำให้เกิดอุปสรรคอย่างต่อเนื่อง ทั้งนี้ การแก้ไขปัญหาเหล่านี้รัฐบาลไทยควรจะต้องดำเนินการออกกฎหมายว่าด้วยเศรษฐกิจแพลตฟอร์มเพื่อมุ่งเป้าหมายในการรวมศูนย์การกำกับดูแลภายใต้กรอบการทำงานที่สอดคล้องกัน และปรับปรุงกลไกภายในระหว่างหน่วยงานเพื่อให้เกิดการบังคับใช้กฎหมายร่วมกันอย่างมีประสิทธิภาพ

นอกจากนี้การเร่งสร้างความท้าทายยังเป็นโจทย์ใหญ่ของประเทศไทย ทั้งในแง่ของความร่วมมือระหว่างหน่วยงานของรัฐ ภาคเอกชน รวมถึงกับระหว่างกำกับดูแลในต่างประเทศ ซึ่งมีความสำคัญอย่างยิ่งต่อการแก้ไขปัญหาความซับซ้อน (ซ้ำซ้อน) และทำให้เกิดการทำงานร่วมกันในการแลกเปลี่ยนข้อมูลเชิงลึก ซึ่งจะทำให้ประเทศไทยสามารถปรับตัวกับภูมิทัศน์ด้านกฎระเบียบที่เปลี่ยนแปลงไปได้มากขึ้นในยุคที่เศรษฐกิจดิจิทัลกำลังเติบโต

แนวทางการปรับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลกับกิจกรรมของรัฐที่ได้รับการยกเว้น

มีนาคม 30, 2024มีนาคม 30, 2025 เขมภัทร ทฤษฎิคุณ

ชื่อบทความ: แนวทางการปรับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลกับกิจกรรมของรัฐที่ได้รับการยกเว้น

เผยแพร่ใน: หนังสือรายงานการประชุมสืบเนื่อง (proceeding) โครงการประชุมวิชาการระดับชาติ ครั้งที่ 4 เรื่อง “Legal Tech and Sustainable Development” ปีการศึกษา 2565

การอ้างอิงแนะนำตามรูปแบบ APA: เขมภัทร ทฤษฎิคุณ. (2565). แนวทางการปรับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลกับกิจกรรมของรัฐที่ได้รับการยกเว้น. ใน พินิจ ทิพย์มณี และคณะ (บก.). รายงานการประชุมสืบเนื่อง (proceeding) โครงการประชุมวิชาการระดับชาติ ครั้งที่ 4 เรื่อง “Legal Tech and Sustainable Development” ปีการศึกษา 2565 (น.29-43). คณะนิติศาสตร์ ปรีดี พนมยงค์ มหาวิทยาลัยธุรกิจบัณฑิต. https://law.dpu.ac.th/lawpridi-conference/document/conference-vol4.pdf

บทคัดย่อ

สิทธิความเป็นส่วนตัวได้มีการรับรองไว้รัฐธรรมนูญแห่งราชอาณาจักรไทย พุทธศักราช 2560 มาตรา 32 โดยกำหนดหน้าที่ผูกพันให้รัฐต้องคุ้มครองรักษาสิทธิความเป็นส่วนตัวของประชาชน ซึ่งข้อมูลส่วนบุคคลเป็นส่วนหนึ่งของความเป็นส่วนตัวเป็นเหตุให้ในเวลาต่อมารัฐบาลจึงตราพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ขึ้นมา

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีสถานะเป็นกฎหมายทั่วไปในการคุ้มครองข้อมูลส่วนบุคคลโดยกำหนดหลักการคุ้มครองข้อมูลส่วนบุคคลทั้งในหน่วยงานของรัฐและเอกชนและไม่จำกัดว่า ข้อมูลส่วนบุคคลดังกล่าวจะอยู่ในรูปแบบกระดาษหรือเป็นข้อมูลอิเล็กทรอนิกส์ อย่างไรก็ดี พระราชบัญญัติฉบับนี้ได้ยกเว้นไม่นำมาใช้บังคับกับกิจกรรมที่มีการประมวลผลข้อมูลส่วนบุคคลบางประเภท ซึ่งรวมถึงกิจกรรมการประมวลผลข้อมูลส่วนบุคคลของหน่วยงานของรัฐในเรื่องการดำเนินการของหน่วยงานของรัฐที่มีหน้าที่ในการรักษาความมั่นคงของรัฐ และการพิจารณาพิพากษาคดีของศาลและการดำเนินงานของเจ้าหน้าที่ในกระบวนการพิจารณาคดี การบังคับคดี และการวางทรัพย์ รวมทั้งการดำเนินงานตามกระบวนการยุติธรรมทางอาญาตามมาตรา 4 (2) และ (5) โดยพระราชบัญญัติเพียงแต่กำหนดว่า หน่วยงานของรัฐจะต้องกำหนดมาตรการคุ้มครองข้อมูลส่วนบุคคลสำหรับกิจกรรมที่ได้รับการยกเว้น ซึ่งอาจไม่เพียงพอต่อการบรรลุวัตถุประสงค์ในการคุ้มครองข้อมูลส่วนบุคคล

บทความนี้ต้องการศึกษาแนวทางการปรับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กับกิจกรรมของรัฐที่ได้รับการยกเว้นตามกฎหมาย และศึกษาแนวทางการคุ้มครองข้อมูลส่วนบุคคลตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรปและสหราชอาณาจักร ซึ่งเป็นต้นแบบในการยกร่างพระราชบัญญัติของไทยเพื่อนำแนวทางดังกล่าวมาเสนอแนะให้กับหน่วยงานของรัฐไทยใช้เป็นกรอบในการคุ้มครองข้อมูลส่วนบุคคลในกิจกรรมที่ได้รับยกเว้น

คุ้มครองข้อมูลส่วนบุคคลในโลกแพลตฟอร์ม รัฐไทยพร้อมหรือยัง?

กันยายน 21, 2023มีนาคม 28, 2025 เขมภัทร ทฤษฎิคุณ

เผยแพร่ครั้งแรกเมื่อวันที่ 7 กันยายน 2566 บนหนังสือพิมพ์และเว็บไซต์ กรุงเทพธุรกิจ ในคอลัมน์วาระทีดีอาร์ไอ (ตอนที่ 1) และเผยแพร่ครั้งแรกเมื่อวันที่ 21 กันยายน 2566 บนหนังสือพิมพ์และเว็บไซต์ กรุงเทพธุรกิจ ในคอลัมน์วาระทีดีอาร์ไอ (ตอนที่ 2)

ในปี 2564 ธุรกิจแพลตฟอร์มมีมูลค่าทางเศรษฐกิจถึง 9 แสนล้านบาท การเติบโตอย่างก้าวกระโดดของธุรกิจแพลตฟอร์มนี้ เป็นผลมาจากความได้เปรียบจากการสะสมข้อมูลจำนวนมาก ที่ทำให้ธุรกิจแพลตฟอร์มสามารถวิเคราะห์พฤติกรรมและออกแบบบริการได้ตอบสนองความต้องการของผู้บริโภค

ทว่าในอีกแง่มุมหนึ่ง การที่ผู้ประกอบธุรกิจแพลตฟอร์มเก็บรวบรวมข้อมูลส่วนบุคคลของผู้บริโภค ได้ทำให้เกิดความกังวลเกี่ยวกับความปลอดภัยและผลกระทบต่อความเป็นส่วนตัวของบุคคลมากขึ้น

จึงเป็นความท้าทายของการคุ้มครองข้อมูลส่วนบุคคลในธุรกิจแพลตฟอร์มในประเทศไทยว่าจะมีการบังคับใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA ได้มากน้อยเพียงใด ในการที่จะรักษาสมดุลระหว่างการคุ้มครองสิทธิเจ้าของข้อมูลส่วนบุคคลกับการการนำข้อมูลไปใช้ประโยชน์ทางเศรษฐกิจ

สำรวจความท้าทายที่ต้องเผชิญ

ความท้าทายแรก คือ การขาดแนวทางในการสื่อสารที่ดีกับผู้บริโภค เมื่อผู้บริโภคใช้บริการแพลตฟอร์ม แม้ว่ากฎหมาย PDPA จะเริ่มใช้บังคับเมื่อปีที่ผ่านมา แต่จากการสำรวจของ TDRI ในงานวิจัยการศึกษาผลกระทบและการนำเสนอมาตรการในการกำกับดูแล Digital Platform พบว่าแนวทางการแจ้งการเก็บและใช้ข้อมูลส่วนบุคคลของผู้บริโภคยังมีลักษณะ “ไม่เป็นมิตร” ต่อผู้บริโภค เช่น การใช้ข้อความเยิ่นเย้อ หรือการใช้ถ้อยคำทางกฎหมายที่ทำให้ผู้บริโภคไม่สามารถเข้าใจรายละเอียดที่จะดำเนินการกับข้อมูลส่วนบุคคลได้ รวมไปถึงการปิดกั้นเนื้อหาโดยกำหนดให้ต้องมีการให้ความยินยอมให้ใช้เทคโนโลยีติดตาม เช่น cookie wall ซึ่งก่อให้เกิดความรำคาญและทำให้ผู้บริโภคตัดสินใจให้ความยินยอมโดยอาจจะไม่ได้พิจารณาเนื้อหาการเก็บและใช้ข้อมูล

การสื่อสารเพื่อให้ผู้บริโภคตระหนักว่าข้อมูลส่วนบุคคลกำลังถูกเก็บและนำไปใช้ ถือเป็นเรื่องสำคัญ เพราะโดยทั่วไปแล้วแพลตฟอร์มมักมีลักษณะเป็นการให้บริการฟรีไม่เสียค่าตอบแทน แต่กลับมี “ราคา” ที่ผู้บริโภคจะต้องจ่ายให้กับแพลตฟอร์ม คือ ข้อมูลส่วนบุคคลและพฤติกรรมการใช้งานบนแพลตฟอร์ม

นอกจากนี้ในปัจจุบันแพลตฟอร์มขนาดใหญ่ในกลุ่ม Super App ที่รวบหลายบริการไว้ในแอปเดียว ยังขาดแนวทางสื่อสารที่ชัดเจนที่จะทำให้ผู้บริโภคตระหนักว่า ข้อมูลที่ให้กับแพลตฟอร์มอาจจะถูกนำไปใช้กับเพื่อเสนอบริการอื่น และเป็นความเสี่ยงที่อาจจะสร้างการรบกวนให้ผู้บริโภคได้

ความท้าทายที่สอง แม้ว่าสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้ออกประกาศเรื่อง มาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคลในปี2565 แต่ไม่ใช่ทุกแพลตฟอร์มจะมีมาตรฐานเพียงพอที่จะคุ้มครองข้อมูลส่วนบุคคลตามประกาศฉบับนี้

ขณะเดียวกันยังพบว่า มีแพลตฟอร์มจำนวนไม่น้อยที่ยังขาดความเข้าใจในการดำเนินการ เนื่องจากที่ผ่านมาไม่มีการจััดทำแนวทางที่่เป็นคำแนะนำ เพื่ออธิบายวิธีการและเทคโนโลยีที่ควรนำมาใช้กับภาคธุรกิจ ทำให้แพลตฟอร์มบางรายยังไม่ได้จัดให้มีวิธีการดำเนินงานที่เหมาะสมเพื่อคุ้มครองสิทธิของผู้บริโภค เช่น บางแพลตฟอร์มไม่ได้จัดให้มีช่องทางการใช้สิทธิสำหรับผู้บริโภค เมื่อผู้บริโภคต้องการขอใช้สิทธิตามกฎหมาย หรือบริษัทยังมีความกังวลในการปฏิบัติตามกฎหมายด้วยความไม่รู้หรือไม่เข้าใจว่าควรจะต้องใช้มาตรการรักษาความปลอดภัยของข้อมูลเท่าใดจึงจะเพียงพอ ทำให้บริษัทมีทางจำกัดคือ ถ้าไม่เลือกใช้มาตรฐานที่สูงในการรักษาความปลอดภัยของข้อมูล ก็อาจจะไม่ได้ให้ความสำคัญต่อการรักษาความปลอดภัยของข้อมูลและเลือกรับความเสี่ยงเพื่อแก้ไขปัญหาเฉพาะหน้าแทน

ความท้าทายที่สาม การถ่ายโอนข้อมูลส่วนบุคคลไปยังบริษัทและประเทศที่ไม่ได้มีระดับการคุ้มครองข้อมูลส่วนบุคคลเทียบเท่าประเทศไทย ทำให้เกิดความกังวลในการถ่ายโอนข้อมูลไปยังปลายทางเหล่านั้นสามารถทำได้หรือไม่ ปัญหานี้ทำให้บริษัทมีต้นทุนที่ต้องไปตรวจสอบว่าประเทศปลายทางมีความพร้อมในการรับข้อมูล และต้องไปเจรจาเกี่ยวกับมาตรการในการคุ้มครองข้อมูลส่วนบุคคลกับบริษัทในประเทศปลายทาง รวมถึงต้องมีต้นทุนในการเจรจากับผู้บริโภคที่เป็นเจ้าของข้อมูลส่วนบุคคลในการขอความยินยอมในบางกรณี

ความท้าทายที่สี่ การยกเว้นการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลในหน่วยงานของรัฐ โดยเดือนกรกฎาคม ปี 2565 คณะรัฐมนตรี มีมติเห็นชอบร่างพระราชกฤษฎีกายกเว้นการบังคับใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล กับการใช้ข้อมูลส่วนบุคคลในหน่วยงานของรัฐ ที่มีวัตถุประสงค์เพื่อความมั่นคงของชาติหรือประโยชน์สาธารณะ อย่างไรก็ดีได้มีการเปลี่ยนหลักการของพระราชกฤษฎีกาดังกล่าวใหม่ โดยแก้ไขข้อยกเว้นให้จำกัดลงและกำหนดมาตรการในการคุ้มครองข้อมูลส่วนบุคคลไว้

แต่ประเด็นสำคัญยังคงอยู่ที่ ภาครัฐควรจะตระหนักถึงการคุ้มครองข้อมูลส่วนบุคคลให้มากกว่านี้ โดยไม่ควรกำหนดข้อยกเว้นกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่กว้างเกินไป เพราะจะส่งผลกระทบต่อการป้องกันความเป็นส่วนตัวของประชาชนที่อยู่กับรัฐ โดยปฏิเสธไม่ได้ว่าปัจจุบันรัฐก็มีการเก็บข้อมูลของประชาชนบนแพลตฟอร์มเช่นเดียวกัน และในการยกเว้นการคุ้มครองข้อมูลส่วนบุคคลภาครัฐควรจะต้องกำหนดมาตรการที่จะเยียวยาผลกระทบไว้เสมอ นั่นหมายความว่ากฎหมายไม่ควรจะยกเว้นการคุ้มครองข้อมูลส่วนบุคคลโดยสมบูรณ์

ปมปัญหาเหล่านี้ทำให้มาตรฐานการคุ้มครองข้อมูลส่วนบุคคลของไทยไม่ทัดเทียมกับต่างประเทศ จนกลายเป็นอุปสรรคในการทำธุรกิจดิจิทัลตามแนวทางสากล

การเติบโตของธุรกิจแพลตฟอร์ม นำมาสู่ความกังวลในความปลอดภัยและผลกระทบต่อความเป็นส่วนตัวของบุคคล ความกังวลนี้เกิดจากการที่ผู้ประกอบใช้เครื่องมือเก็บรวบรวมข้อมูลส่วนบุคคลของผู้บริโภค ใช้วิเคราะห์พฤติกรรม เพื่อนำไปออกแบบบริการให้ตอบความต้องการของผู้บริโภค

แม้ว่าจะมีการบังคับใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ PDPA แต่ก็มีคววามท้าทายว่าจะสามารถรักษาสมดุลระหว่างการคุ้มครองสิทธิเจ้าของข้อมูลส่วนบุคคลกับการการนำข้อมูลไปใช้ประโยชน์ทางเศรษฐกิจได้มากน้อยเพียงใด

หลังจากที่วาระทีดีอาร์ไอ : คุ้มครองข้อมูลส่วนบุคคลในโลกแพลตฟอร์ม รัฐไทยพร้อมหรือยัง ? (ตอนที่1 )ได้ระบุถึงโจทย์ความท้าทายไปแล้ว บทความนี้จะสำรวจการดำเนินการของนานาชาติว่ามีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลอย่างไร

กรณีของสหภาพยุโรป (EU) และสหราชอาณาจักร มีความพยายามอย่างมากในการรักษาสมดุลระหว่างการคุ้มครองสิทธิเจ้าของข้อมูลส่วนบุคคลกับการนำข้อมูลไปใช้ประโยชน์ทางเศรษฐกิจ

โดย EU ออกแนวปฏิบัติเกี่ยวกับการสื่อสารระหว่างผู้ให้บริการและแพลตฟอร์ม รวมถึงมีตัวอย่างของสิ่งที่ผู้ให้บริการควรทำและไม่ควรทำ ซึ่งทำให้เกิดความเข้าใจได้มากกว่าการออกเพียงแค่กฎเกณฑ์

ขณะที่สหราชอาณาจักร มีหน่วยงานที่มีหน้าที่ดูแลด้านการคุ้มครองข้อมูลส่วนบุคคล หรือ Information Commissioner’s Office (ICO) โดยมีความพยายามผลักดันให้เอกชนเข้ามามีส่วนร่วมในการจัดทำ “จรรยาบรรณทางธุรกิจ” (code of conduct) เพื่อใช้ภายในอุตสาหกรรม

เนื่องจากภาครัฐอาจจะไม่สามารถเข้าใจทางปฏิบัติของภาคธุรกิจได้ทั้งหมด การเปิดให้ภาคธุรกิจเข้ามามีส่วนร่วมกำหนดมาตรฐาน โดยภาครัฐตรวจสอบคุณภาพของมาตรฐานเหล่านี้เป็นทางออกที่ดีในการจัดการกับความท้าทายใหม่ๆที่ภาครัฐอาจจะวิ่งตามไม่ทัน

อีกทั้งภาครัฐยังไม่ปิดประตูของการพัฒนานวัตกรรม โดย ICO ได้เปิดโอกาสให้ภาคธุรกิจสามารถมาปรึกษาหารือและร่วมกันพัฒนา Sandbox ทดลองการพัฒนานวัตกรรม ให้คำแนะนำด้านกฎหมายของ ICO

ส่วนกรณีของการถ่ายโอนข้อมูลส่วนบุคคลนั้น ตามแนวทางสากล กำหนดว่า การถ่ายโอนข้อมูลส่วนบุคคลจะต้องถ่ายโอนข้อมูลไปยังประเทศที่มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลทัดเทียมกัน

ในสหภาพยุโรปได้มีการประกาศรายชื่อประเทศ (whitelist) ที่ถูกรับรองว่ามีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลเทียบเท่า (adequacy) ซึ่งทำให้เกิดความมั่นใจกับภาคธุรกิจในการถ่ายโอนข้อมูลส่วนบุคคลไปประมวลผลทางธุรกิจในประเทศเหล่านั้น

“ 3 เร่ง 1 เลิก” คุ้มครองข้อมูลส่วนบุคคล

สำหรับข้อเสนอในประเทศไทยนั้น “3 สิ่งที่ควรทำ และ 1 สิ่งที่ควรเลิก” ซึ่งอาจเป็นแนวทางให้รัฐบาลและสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลของไทยควรเร่งดำเนินการ คือ

“เร่งออก” แนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล รวมถึงการจัดทำตัวอย่างในการสื่อสารกับผู้บริโภคโดยคอยสื่อสารอย่างสม่ำเสมอว่าการสื่อสารในลักษณะใดควรจะต้องทำหรือไม่ควรจะต้องทำ และจับตาดูเป็นพิเศษเกี่ยวกับการใช้ข้อมูลส่วนบุคคลของแพลตฟอร์มขนาดใหญ่

“เร่งทำ” ความร่วมมือกับสมาคมธุรกิจในการจัดทำจรรยาบรรณทางธุรกิจ รวมถึงสร้างความร่วมมือในการปรึกษาหารือในประเด็นข้อกฎหมายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลกับภาคธุรกิจ

“เร่งประกาศ” แนวทางการถ่ายโอนข้อมูลส่วนบุคคลไปต่างประเทศและประกาศตัวอย่างของประเทศที่มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลเทียบเท่ากับประเทศไทย โดยการเร่งดำเนินการทั้งสามเรื่องเป็นงานหลักและงานใหญ่ของสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

และสุดท้าย “เลิกพยายาม” ในการยกเว้นการคุ้มครองข้อมูลส่วนบุคคลในหน่วยงานของรัฐ รัฐบาลควรจะจริงจังในการเลิกพยายามทำเรื่องดังกล่าว เพื่อไม่ให้ประเทศไทยกลายเป็นประเทศที่ไม่ได้มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลเทียบเท่ากับต่างประเทศ ซึ่งทำให้เสียโอกาสในการเข้าเป็นส่วนหนึ่งของเศรษฐกิจแพลตฟอร์มโลก

Examining the benefits and challenges of Thailand’s latest Data Protection Law

สิงหาคม 16, 2023มีนาคม 28, 2025 เขมภัทร ทฤษฎิคุณ

First Published in Tech for Good Institute on Wednesday, August 16, 2023. This article is co-authored by Gunn Jiravuttipong and Khemmapat Trasadikoon, researchers from the Thailand Development Research Institute (TDRI).

Thailand recognises the importance of embracing the digital economy and has taken significant steps to facilitate its growth through national plans, strategic investments, and new digital laws. The Data Protection Act is one area that received significant attention and generated discussion.

This article aims to provide an overview of the country’s developments in data protection, including the current regulations and guidelines, the potential benefits of having a strong data protection regime, and the challenges as Thailand continues to strengthen its data protection practices. The insights shared in this reflection will be valuable not only for Thailand’s progress but also for other nations navigating a similar path.

Overview of the law the Personal Data Protection Act, B.E. 2562 (2019)

The Personal Data Protection Act, B.E. 2562 (2019), also known as the PDPA, was announced on 24 May 2019 but came into full effect on 1 June, 2022. The Personal Data Protection Committee (PDPC) is the primary regulator and has been actively working on developing sub-regulations and guidelines to support the implementation of the PDPA. Several of these sub-regulations and guidelines have already been officially published (see Table).

Table: Sub-regulations and guidelines announced by the Personal Data Protection Commission (PDPC) (as of 14 July 2023)

Sub-regulations	Date
1. Notification of the PDPC on the Exemption from Maintenance of Records Obligation of the Data Controller Which Is a Small Organisation B.E. 2565 (2022)	21 June 2022
2. Notification of the PDPC on the Security Measures of the Data Controller B.E. 2565 (2022)	21 June 2022
3. Notification of the PDPC on the Rules on Consideration for Issuance of Orders Imposing Administrative Fines by the Expert Committee B.E. 2565 (2022)	21 June 2022
4. Notification of the PDPC on the Rules and Methods of Personal Data Breach Notification B.E. 2565 (2022)	15 Dec 2022
5. Notification of the PDPC on the Rules and Methods for Preparation and Maintenance of Records of Personal Data Processing Activities for the Data Processor B.E. 2565 (2022)	17 Dec 2022
6. Rules of the PDPC on the Filing, Refusal of Acceptance, Dismissal, Consideration, and Timeframe for the Consideration of the Complaints B.E. 2565 (2022)	12 July 2022
Guidelines	Date
7. Operational Guideline on Obtaining Consent from Data Subjects under the PDPA (2019)	7 Sep 2022
8. Operational Guideline on the Notification of the Purposes and Details of Collection of Personal Data from the Data Subjects under the PDPA	7 Sep 2022

Source: PDPC website

Draft sub-regulations are being developed to provide further clarity on Data Protection Officers (DPOs) in government agencies and international data transfers. Additionally, sector-specific regulations pertaining to data protection exist in areas such as telecommunications, credit bureaus, payments, and insurance. As of now, there have been no publicly announced court cases regarding the Data Protection Act.

Advantages of a robust data protection framework

The Data Protection Act has been acknowledged by stakeholders as a catalyst for boosting Thailand’s digital economy. Effective implementation of the act is crucial to protecting privacy rights in today’s data-driven economy. It also builds investor confidence, positioning Thailand as an appealing destination for data hubs and enhancing its competitiveness in the global market. Therefore, establishing a robust data protection framework is a vital preparatory step to capitalise on these opportunities.

An example of this potential is Amazon Web Services (AWS) recently announcing plans to invest in data centers and cloud services in Thailand and other ASEAN countries. Furthermore, compliance with international data protection standards facilitates seamless data flows, fostering collaborations and strengthening Thailand’s participation in trade negotiations such as Comprehensive and Progressive Agreement for Trans-Pacific Partnership (CPTPP), Regional Comprehensive Economic Partnership (RCEP), and the latest Indo-Pacific Economic Framework for Prosperity (IPEF).

Navigating data protection challenges in a dynamic landscape

In early 2023, a significant personal data leak prompted the PDPC to call upon public organisations to assess their readiness in terms of risk and security systems. These incidents, coupled with a series of data breaches, may have adversely affected stakeholders’ confidence in Thailand’s data protection measures.

These security breaches are not unique to Thailand. According to a 2021 Check Point report, the Asia Pacific region experienced a 168% increase in cyberattacks year-on-year, with 59% of businesses reported being victims of cyberattacks. Furthermore, this issue is further compounded by the global cybersecurity workforce gap, which is estimated to be 2.72 million in 2021.

Thus, there is an urgent need for Thailand to establish a robust data protection framework while ensuring data risks are mitigated. Achieving this goal requires an effective data protection framework built on collaboration and continuous learning among all stakeholders to strike the right balance and understand the diverse perspectives of different stakeholders. Regulators, in particular, play a pivotal role in creating a clear policy and regulatory framework, overseeing and collaborating with the public and companies.

We reflect on Thailand’s experiences and highlight three primary challenges in the foreseeable future.

1. Creating industry-aligned regulations and guidelines that are fit-for-purpose

Industry standards and the co-creation of guidelines play a vital role in PDPA compliance. Even before the law entered into force, legal academics from Chulalongkorn University created a data protection guideline and continued to develop into specific areas. Additionally, sector associations, such as those in the financial, banking, and insurance, have made efforts to develop sector-specific guidelines.To further promote compliance and best practices, the PDPC has engaged the Thailand Development Research Institute (TDRI) to conduct public hearings and consult with seven sectors.

This collaboration aims to create case studies and identify best practices in data protection. The demonstrated interest from stakeholders indicates their readiness and the opportunity for the PDPC to establish legally binding codes of conduct, similar to leading jurisdictions. Such engagements can enhance clarity in regulatory compliance.In the era of rapidly emerging technologies and evolving business models, collaboration with all stakeholders becomes crucial. Regulators must navigate the technical aspects and strike a balance between business practices, individual rights, and other public benefits.

Future collaboration may encompass topics like algorithm transparency and the automation of systems that collect consumer behavior data.

2. Establishing a robust regulatory authority

To enhance enforcement and foster confidence in safeguarding personal data, it is crucial to prioritise adequate funding and the recruitment of qualified personnel. Thailand faced challenges during the initial enforcement of the Personal Data Protection Act (PDPA) in 2019, resulting in two one-year postponements.

The law eventually came into full effect on 1 June 2022, amidst the complexities and demands imposed by the COVID-19 pandemic on both public and private organisations, as well as the regulatory body. These postponements had implications for the appointment of the commissioner and the approval of sub-regulations. Adequate funding and recruitment of qualified personnel are crucial for strengthening enforcement efforts and building trust in personal data protection. While staff and budget constraints are common challenges in data protection agencies in other countries, the PDPC currently operates with a workforce below its target of 210 personnel.

However, there are plans to recruit approximately 49 more staff this year. Ongoing efforts are being made to secure a budget allocation of 99 billion baht to support the operations of the PDPC. These resources are vital for the PDPC to effectively fulfil its responsibilities and enforce the provisions of the PDPA.

3. Establishing a clear framework for regulatory exemption and divergence

Thailand’s PDPA was drafted closely aligned with the EU’s General Data Protection Regulation (GDPR), sharing many core principles with minor differences. Recognising the diverse landscape of businesses in Thailand, certain exemptions have been put in place to support small and medium-sized enterprises (SMEs) in mitigating the compliance burden.

However, Thailand faces a challenge of fragmentation in interpreting the data protection law, particularly in the context of existing sector-specific regulations such as in the financial on sensitive data collected before PDPA was enforced. There is a need for clarity on which law takes precedence and applies in specific scenarios.

Furthermore, the current draft sub-regulations being considered include provisions for exemptions to the Personal Data Protection Act (PDPA) specifically for select public agencies. Additionally, the precise frameworks for these exemptions and how they will be implemented remain ambiguous. This lack of clarity may result in a divergence in Thailand’s standard of personal data protection. Consequently, this divergence could potentially jeopardise the country’s inclusion in the European Union’s whitelist and impede data transfer across borders with countries that maintain equivalent data protection standards. To prevent such implications, it is crucial for the government to approach the issue of exemptions with utmost caution.

Any exemptions granted must undergo thorough evaluation and alignment with the overarching objective of establishing a robust data protection framework in Thailand.

Conclusion

Overall, enforcing the PDPA in Thailand requires addressing challenges related to state capacity, exemption and divergence, and industry standards. By prioritising adequate resources, aligning with international standards, and actively collaborating with the private sector, Thailand can strengthen its data protection framework and enhance compliance, fostering trust and facilitating the secure and responsible use of personal data.

ประโยชน์และความท้าทายในการใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลในประเทศไทย

สิงหาคม 16, 2023มีนาคม 28, 2025 เขมภัทร ทฤษฎิคุณ

เผยแพร่ครั้งแรกเมื่อวันที่ 16 สิงหาคม 2566 บนเว็บไซต์ Tech for Good Institute โดยเขียนร่วมกันระหว่าง กัญจน์ จิระวุฒิพงศ์ นักวิจัย สถาบันวิจัยเพื่อการพัฒนาประเทศไทย และเขมภัทร ทฤษฎิคุณ นักวิจัยอาวุโส สถาบันวิจัยเพื่อการพัฒนาประเทศไทย

ที่ผ่านมารัฐบาลไทยได้ตระหนักถึงความสำคัญของเศรษฐกิจดิจิทัล ดังจะเห็นได้จากความพยายามของรัฐบาลในการกำหนดนโยบายเศรษฐกิจดิจิทัลระดับชาติที่มุ่งหมายให้เกิดการอำนวยความสะดวก การลงทุนเชิงกลยุทธ์ และการตรากฎหมายเศรษฐกิจดิจิทัลเพื่อรองรับการเติบโตของเศรษฐกิจดิจิทัล ซึ่งรวมถึงพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ที่ได้รับความสนใจจากภาคธุรกิจและประชาชน

เนื่องจากกฎหมายมีรายละเอียดและหลักการที่ไม่เคยปรากฏมาก่อนบทความนี้จึงมีวัตถุประสงค์เพื่ออธิบายภาพรวมของพัฒนาการของประเทศไทยในด้านการคุ้มครองข้อมูลส่วนบุคคล รวมถึงกฎระเบียบและแนวทางปัจจุบัน ประโยชน์ที่อาจเกิดขึ้นจากการมีระบบและมาตรการคุ้มครองข้อมูลส่วนบุคคลที่ดี และความท้าทายของประเทศไทยในการพัฒนามาตรการคุ้มครองข้อมูลส่วนบุคคล โดยบทความนี้น่าจะเป็นประโยชน์สำหรับการศึกษาแนวทางการพัฒนามาตรการคุ้มครองข้อมูลส่วนบุคคลในประเทศไทย และเป็นบทเรียนสำหรับประเทศอื่นๆ ที่กำลังอยู่ในระหว่างการพัฒนากฎหมายคุ้มครองข้อมูลส่วนบุคคลในลักษณะที่ใกล้เคียงกันอีกด้วย

ภาพรวมของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือเรียกโดยย่อว่า PDPA ได้ประกาศใช้เมื่อวันที่ 24 พฤษภาคม 2562 แต่ในความเป็นจริงพระราชบัญญัติฉบับนี้เพิ่งมีผลใช้บังคับจริงในวันที่ 1 มิถุนายน 2562 โดยมี สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส. หรือ PDPC) เป็นหน่วยงานหลักในการควบคุมและบังคับใช้กฎหมาย รวมถึงมีอำนาจในการออกกฎหมายลำดับรองและวางแนวทางปฏิบัติในการดำเนินการตาม PDPA โดยในปัจจุบัน สคส. ได้มีการออกกฎหมายลำดับรองและแนวทางปฏิบัติดังปรากฏตามตารางข้างท้ายนี้ตารางแสดงกฎหมายลำดับรองและแนวปฏิบัติตามฎหมายคุ้มครองข้อมูลส่วนบุคคล (ข้อมูล ณ 14 กรกฎาคม 2566)

กฎหมายลำดับรอง	วันที่ออก
1. ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง การยกเว้นการบันทึกรายการของผู้ควบคุมข้อมูลส่วนบุคคลซึ่งเป็นกิจการขนาดเล็ก พ.ศ. 2565	21 มิถุนายน 2565
2. ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์การพิจารณาออกคำสั่งลงโทษปรับทางปกครองของคณะกรรมการผู้เชี่ยวชาญ พ.ศ. 2565	21 มิถุนายน 2565
3. ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565	21 มิถุนายน 2565
4. ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีการในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล พ.ศ. 2565	15 ธันวาคม 2565
5. ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีการในการจัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลสำหรับผู้ประมวลผลข้อมูลส่วนบุคคล พ.ศ. 2565	17 ธันวาคม 2565
6. ระเบียบคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลว่าด้วยการยื่น การไม่รับเรื่อง การยุติเรื่อง การพิจารณา และระยะเวลาในการพิจารณาคำร้องเรียน พ.ศ. 2565	12 กรกฎาคม 2565
แนวปฏิบัติ	วันที่ออก
7. แนวทางการดำเนินการในการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562	7 กันยายน 2565
8. แนวทางการดำเนินการในการแจ้งวัตถุประสงค์และรายละเอียดในการเก็บรวบรวมข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562	7 กันยายน 2565

ที่มา: เว็บไซต์ สคส.

นอกจากกฎหมายลำดับรองและแนวปฏิบัติดังกล่าวข้างต้นแล้ว ปัจจุบัน สคส. ได้มีความพยายามจะออกกฎหมายลำดับรองเพื่อสร้างความชัดเจนเพิ่มเติมเกี่ยวกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (data protection officer: DPO) ในหน่วยงานของรัฐและกฎหมายลำดับรองเกี่ยวกับการถ่ายโอนข้อมูลระหว่างประเทศในบริบทของประเทศไทย PDPA ไม่ใช่กฎหมายที่กำหนดแนวทางในการคุ้มครองข้อมูลส่วนบุคคลเพียงฉบับเดียว

แต่ในบริบทของอุตสาหกรรมเฉพาะในประเทศไทย อาทิ โทรคมนาคม เครดิตบูโร การเงินและการธนาคาร และการประกันภัยก็มีกฎหมายเฉพาะในการกำกับการใช้ข้อมูลส่วนบุคคลในอุตสาหกรรมเหล่านี้อยู่นอกจากนี้ เมื่อพิจารณาในเรื่องการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลพบว่า ในปัจจุบันยังไม่ปรากฏคำวินิจฉัยของ สคส. หรือ PDPC และคำพิพากษาของศาลตาม PDPA

ประโยชน์ของการมีกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่ดี

ในทางหลักการ PDPA มีส่วนสำคัญในการส่งเสริมเศรษฐกิจดิจิทัลด้วยการสร้างความมั่นใจว่า ข้อมูลส่วนบุคคลจะได้รับการคุ้มครองจากรัฐ ผ่านการกำหนดมาตรการและแนวทางในการใช้ข้อมูลส่วนบุคคลที่คำนึงความเป็นส่วนตัว และการวางมาตรการรองรับการเคลื่อนย้ายข้อมูลส่วนบุคคลข้ามพรมแดน ซึ่งเป็นหัวใจของเศรษฐกิจดิจิทัลที่ขับเคลื่อนด้วยข้อมูล

นอกจากนี้ กฎหมายยังมีส่วนในการสร้างความมั่นใจให้กับนักลงทุนว่าประเทศไทยมีมาตรการการคุ้มครองข้อมูลส่วนบุคคลที่เป็นสากล ซึ่งเป็นประโยชน์มากสำหรับอุตสาหกรรมเทคโนโลยี อาทิ อุตสาหกรรมที่เกี่ยวกับข้อมูลแบบคลาวด์คอมพิวเตอร์ โดยตัวอย่างการเพิ่มศักยภาพในการแข่งขันนี้คือ การเข้ามาลงทุนในศูนย์ข้อมูลและบริการคลาวด์ในประเทศไทยและประเทศอื่นๆ ในอาเซียนของ Amazon Web Service (AWS) นอกจากนี้ การมีกฎหมายคุ้มครองข้อมูลส่วนบุคคลน่าเชื่อถือยังเอื้อต่อการไหลเวียนของข้อมูลอย่างราบรื่น ซึ่งส่งเสริมความร่วมมือและเสริมสร้างการมีส่วนร่วมของประเทศไทยในการเจรจาการค้าระหว่างประเทศ อาทิ ความตกลงแบบครอบคลุมและก้าวหน้าสำหรับหุ้นส่วนทางเศรษฐกิจภาคพื้นแปซิฟิก (Comprehensive and Progressive Agreement for Trans-Pacific Partnership: CPTPP)ความตกลงหุ้นส่วนทางเศรษฐกิจระดับภูมิภาคที่ครอบคลุม (Regional Comprehensive Economic Partnership: RCEP) และกรอบความร่วมมือเศรษฐกิจอินโด-แปซิฟิก (Indo-Pacific Economic Framework: IPEF)

ความท้าทายอย่างต่อเนื่องของการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลในไทย

ในช่วงต้นปี พ.ศ. 2566 ได้เกิดเหตุข้อมูลส่วนบุคคลรั่วไหลครั้งใหญ่ทำให้ สคส. เรียกร้องให้องค์กรธุรกิจและหน่วยงานของรัฐต่างๆ ประเมินความพร้อมในการรับมือต่อความเสี่ยงที่ข้อมูลส่วนบุคคลจะรั่วไหลและระบบรักษาความปลอดภัยของข้อมูลส่วนบุคคล

อย่างไรก็ดี เหตุการณ์ดังกล่าวเกิดขึ้นหลังจากการมีข้อมูลส่วนบุคคลรั่วไหลอีกหลายครั้งในช่วงหลายปีที่ผ่านมา

ดังนั้น สถานการณ์ดังกล่าวอาจส่งผลกระทบต่อความเชื่อมั่นของผู้มีส่วนได้เสียว่า มาตรการคุ้มครองข้อมูลส่วนบุคคลของประเทศไทยเพียงพอหรือไม่สถานการณ์ข้อมูลส่วนบุคคลรั่วไหลนี้ไม่ได้เกิดขึ้นเฉพาะในประเทศไทย แต่เป็นสถานการณ์ร่วมกันของภูมิภาคเอเชียแปซิฟิก จากรายงาน Check Point ในปี 2564 พบว่า มีการโจมตีทางไซเบอร์ในภูมิภาคเอเชียแปซิฟิกเพิ่มขึ้นร้อยละ 168 เมื่อเทียบกับปีก่อนๆ โดยร้อยละ 59 ของเป้าหมายในการโจมตีทางไซเบอร์มาจากภาคธุรกิจ

ความท้าทายสำคัญของการป้องกันและรับมือ การถูกโจมตีทางไซเบอร์นั้น ส่วนหนึ่งมาจากการขาดบุคลากรที่มีความเชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ ซึ่งจากการสำรวจในปี 2564 พบว่า ในปัจจุบันมีความต้องการของจำนวนผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์มากถึง 2.72 ล้านตำแหน่งทั่วโลกสถานการณ์ดังกล่าวสะท้อนความจำเป็นที่ประเทศไทยต้องสร้างระบบการคุ้มครองข้อมูลส่วนบุคคลที่ดีเพื่อป้องกันความเสี่ยงที่เกิดจากการรั่วไหลของข้อมูลที่อาจจะเพิ่มมากขึ้น เพื่อบรรลุเป้าหมายดังกล่าวประเทศไทยจำเป็นต้องมีแนวทางในการคุ้มครองข้อมูลส่วนบุคคลที่มีประสิทธิภาพ ซึ่งจะเกิดขึ้นได้ก็จากความร่วมมือและการเรียนรู้ร่วมกันระหว่างผู้มีส่วนได้เสียทั้งหมด บนหลักการสำคัญคือ การสร้างความสมดุลระหว่างการใช้ประโยชน์ในข้อมูลกับการคุ้มครองสิทธิความเป็นส่วนตัว โดยเฉพาะอย่างยิ่ง สคส. ที่มีบทบาทสำคัญในการสร้างนโยบายและกรอบในการกำกับกิจกรรมการใช้ข้อมูลส่วนบุคคล ควรจะต้องทำหน้าที่โดยประสานความร่วมมือกับภาคธุรกิจในนามของสมาคมธุรกิจ และภาคประชาสังคม

ดังนั้น จากประสบการณ์ที่ผ่านมาของประเทศไทย สามารถสรุปความท้าทาย 3 ประการที่จะเกิดขึ้นในอนาคตอันใกล้นี้ ดังนี้

1. การกำหนดกฎระเบียบและแนวปฏิบัติที่สอดคล้องและเหมาะสมกับการทำงานในแต่ละอุตสาหกรรม

การสร้างแนวปฏิบัติหรือมาตรฐานภายในอุตสาหกรรมมีส่วนสำคัญในการขับเคลื่อนการปฏิบัติตาม PDPA โดยในช่วงก่อนที่กฎหมายจะมีผลใช้บังคับ คณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย ได้จัดทำแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล และต่อมาก็มีการพัฒนาแนวปฏิบัติเฉพาะรายอุตสาหกรรม อาทิ แนวปฏิบัติเฉพาะธุรกิจธนาคาร และประกันภัยที่เกิดขึ้นภายใต้การส่งเสริมของสมาคมธุรกิจนอกจากนี้ เพื่อส่งเสริมให้เกิดแนวทางในการคุ้มครองข้อมูลส่วนบุคคล สคส. ได้สนับสนับสนุนสถาบันวิจัยเพื่อการพัฒนาประเทศไทย (ทีดีอาร์ไอ)

ในการดำเนินการปรึกษาหารือการจัดทำแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล 7 รายสาขาธุรกิจ และจัดให้มีการประชุมรับฟังความคิดเห็นสาธารณะจากภาคธุรกิจและประชาชน เพื่อสร้างแนวทางปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลที่ดี ซึ่งการประชุมรับฟังความคิดเห็นดังกล่าวได้รับความสนใจจากผู้มีส่วนได้เสียจำนวนมาก เนื่องจากแนวปฏิบัติมีส่วนช่วยให้เกิดความชัดเจนในการปฏิบัติตามกฎหมาย PDPAอย่างไรก็ดี ข้อสำคัญที่ต้องระลึกไว้ก็คือ ในยุคที่เทคโนโลยีมีและรูปแบบธุรกิจมีการเปลี่ยนแปลงอย่างรวดเร็ว การทำงานร่วมกันกับผู้มีส่วนได้เสียจึงมีความสำคัญ

สคส. ควรจะต้องกำกับกิจกรรมการใช้ข้อมูลส่วนบุคคลโดยรักษาสมดุลระหว่างการใช้ประโยชน์ในข้อมูลส่วนบุคคลทั้งไม่ว่าจะโดยภาคธุรกิจหรือหน่วยงานของรัฐ กับสิทธิความเป็นส่วนตัวของประชาชน ซึ่งการร่วมมือกันกับภาคธุรกิจและภาคประชาสังคมที่เกิดขึ้นในอนาคตอาจพิจารณาประเด็นการกำหนดแนวทางเก็บรวบรวมข้อมูลของอัลกอริทึมอย่างไรให้เกิดความโปร่งใส หรือการกำหนดแนวทางที่ดีในการเก็บข้อมูลอัตโนมัติอย่างไรให้กระทบสิทธิความเป็นส่วนตัวน้อยที่สุด

2. การมีหน่วยงานกำกับกิจกรรมการใช้ข้อมูลส่วนบุคคลที่เข้มแข็ง

ในการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลให้มีประสิทธิภาพจำเป็นต้องมีหน่วยงานกำกับกิจกรรมการใช้ข้อมูลส่วนบุคคลที่เข้มแข็ง ซึ่งการจะเกิดหน่วยงานในลักษณะดังกล่าวได้จำเป็นต้องมีงบประมาณที่เพียงพอและบุคลากรที่มีความสามารถเหมาะสมกับการทำงานในกรณีของประเทศไทยได้เผชิญกับความท้าทายในช่วงเริ่มต้นการบังคับใช้ PDPA ในปี 2562 ภายหลังจากการเลื่อนการบังคับใช้กฎหมายไปถึง 2 ครั้ง

ในที่สุด PDPA ได้เริ่มต้นใช้บังคับเมื่อวันที่ 1 มิถุนายน 2565 ที่ผ่านมา ท่ามกลางสถานการณ์ความวุ่นวายของการระบาดของไวรัสโควิด-19 ที่ส่งผลกระทบต่อภาครัฐและเอกชน ซึ่งรวมถึงหน่วยงานกำกับดูแลอย่าง สคส. ทำให้กระทบต่อการสรรหากรรมการและการออกกฎหมายลำดับรองที่ล่าช้านอกจากนี้ การได้รับงบประมาณที่เพียงพอ และบุคลากรที่มีคุณสมบัติเหมาะสมกับตำแหน่งงานเป็นส่วนสำคัญต่อการเสริมสร้างความเข้มแข็งและความมั่นใจในการทำงานของหน่วยงานกำกับดุแลการใช้ข้อมูลส่วนบุคคล อย่างไรก็ดี ข้อจำกัดด้านงบประมาณและบุคลากรเป็นความท้าทายที่เกิดขึ้นกับหน่วยงานคุ้มครองข้อมูลส่วนบุคคลในหลายประเทศเช่นกัน โดยในปัจจุบัน สคส. มีจำนวนบุคลากรต่ำกว่าเป้าหมายที่ตั้งไว้คือ จะต้องมีเจ้าหน้าที่รวมทั้งหมด 210 คน

แต่ตามแผนที่รายงานคณะรัฐมนตรี สคส. มีแผนจะรับโอนบุคลากรเพิ่มขึ้นอีกประมาณ 49 คนในปีงบประมาณนี้ ซึ่งยังไม่เพียงพอต่อเป้าหมายในการดำเนินงาน ในด้านงบประมาณ สคส. มีความพยายามขอรับการจัดสรรงบประมาณจำนวน 99,000 ล้านบาท เพื่อสนับสนุนการทำงานของ สคส. งบประมาณและบุคลากรเหล่านี้เป็นเงื่อนไขสำคัญที่จะช่วยส่งเสริมการทำงานของ สคส. ในการปฏิบัติตามกฎหมายได้อย่างมีประสิทธิภาพ

3. การกำหนดแนวทางที่ชัดเจนในการใช้กฎหมาย และการวางข้อจำกัดในการยกเว้นกฎหมายให้เหมาะสม

PDPA ของประเทศไทยได้รับอิทธิพลในการร่างมาจากกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป หรือ General Data Protection Regulation (GDPR) โดยมีหลักการสำคัญหลายประการร่วมกัน แม้อาจจะมีความแตกต่างบ้างเล็กน้อยในบางเรื่อง ตัวอย่างเช่นการตระหนักถึงความหลากหลายของธุรกิจในประเทศไทย จึงได้มีการกำหนดข้อยกเว้นบางประการเพื่อสนับสนุนวิสาหกิจขนาดกลางและขนาดย่อม (SMEs) โดยลดภาระการปฏิบัติตามกฎหมาย

อย่างไรก็ดี ประเทศไทยกำลังเผชิญกับความท้าทายในการตีความกฎหมายคุ้มครองข้อมูลส่วนบุคคลในบริบทอุตสาหกรรมเฉพาะที่มีกฎหมายกำกับดูแลการใช้ข้อมูลส่วนบุคคล อาทิ ด้านการเงินที่เกี่ยวข้องกับข้อมูลที่มีความละเอียดอ่อนที่รวบรวมไว้ก่อนการบังคับใช้ PDPA จำเป็นต้องมีความชัดเจนว่า ในสถานการณ์เช่นนี้จะใช้กฎหมายอย่างไรนอกจากนี้ การร่างกฎหมายลำดับรองที่พิจารณาอยู่ในปัจจุบันยังได้มีความพยายามยกเว้นการบังคับใช้ PDPA ในบางแง่มุม โดยเฉพาะอย่างยิ่งในหน่วยงานของรัฐ

แม้ว่าจะได้มีความพยายามสร้างหลักเกณฑ์สำหรับข้อยกเว้นในการบังคับใช้กฎมายเหล่านี้ แต่ข้อยกเว้นดังกล่าวยังขาดวิธีการที่ชัดเจนในการรักษาสิทธิของเจ้าของข้อมูลส่วนบุคคล สภาพดังกล่าวอาจส่งผลให้มาตรฐานการคุ้มครองข้อมูลส่วนบุคคลของประเทศไทยมีมาตรฐานที่ต่ำกว่ามาตรฐานสากล โดยเฉพาะอย่างยิ่งมาตรฐานของสหภาพยุโรป ซึ่งจะกระทบต่อการถ่ายโอนข้อมูลส่วนบุคคลข้ามพรมแดน เนื่องจากไม่ได้มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เท่าเทียมกัน เพื่อป้องกันผลกระทบดังกล่าว

รัฐบาลจึงควรจะต้องแก้ไขสถานการณ์ดังกล่าวด้วยความระมัดระวัง และคำนึงถึงผลกระทบของการยกเว้นการบังคับใช้กฎหมายอย่างละเอียดถี่ถ้วนและสอดคล้องกับเป้าหมายที่จะมีกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่ดีของประเทศไทย

บทสรุป

โดยรวมแล้วการบังคับใช้ PDPA ในประเทศไทยยังจำเป็นต้องจัดการกับความท้าทายเกี่ยวกับความสามารถของรัฐ การกำหนดแนวทางที่ชัดเจนในการใช้กฎหมายและการกำหนดข้อยกเว้นกฎหมาย และการกำหนดมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลในอุตสาหกรรม โดยในกรณีนี้ สคส. ควรจัดลำดับความสำคัญและเลือกใช้ทรัพยากรที่มีอยู่ตอบสนองต่อความท้าทายเหล่านี้ รวมถึงควรจะต้องคำนึงความสอดคล้องของมาตรฐานสากล และการร่วมมือกับภาคเอกชนอย่างจริงจัง เพื่อให้ได้ผลลัพธ์สุดท้ายคือ การเสริมสร้างกรอบในการคุ้มครองข้อมลส่วนบุคคลน่าเชื่อถือ

Digital treasure trove threatens privacy

สิงหาคม 16, 2023มีนาคม 28, 2025 เขมภัทร ทฤษฎิคุณ

First Published in Bangkok Post on Wednesday, August 16, 2023

With the unstoppable digital boom, Thailand faces a critical question: Is the country adequately prepared to shield its citizens’ personal information from potential misuse?

Due to their rapid growth, digital platform businesses have propelled their value to over 900 billion baht in 2021. Their prowess lies in their capacity to compile and process vast data, enabling them to decode consumer behaviour and create sought-after services. Yet, this advantage raises privacy concerns.

Amid escalating data breaches and privacy infringements, swift government action is essential to fortify data protection against influential digital entities before matters spiral.

Although the 2019 Personal Data Protection Act (PDPA) is in effect, challenges persist. It remains unclear how well this law shields individual privacy given the difficulty in finding the right balance between commerce and personal privacy.

The first challenge is unclear communication with consumers on how their personal data is collected and used.

A Thailand Development Research Institute (TDRI) study reveals businesses using perplexing language and legal jargon, hindering consumers’ comprehension of how their personal data are handled. Moreover, the use of technology to block access to information unless the consumer agrees to be tracked by a “cookie wall” creates consumer annoyance. As a result, many impulsively give consent without fully grasping the data implications.

Given platforms’ typically free services, users rarely pay close attention to the terms of use, unknowingly playing with their personal data and online browsing habits which have an impact on their privacy. Therefore, the government must mandate that digital platform businesses transparently inform users about personal data usage.

Currently, “super apps” grant users an array of services under one roof. Yet these apps are not clear about how they share users’ personal data with other platforms within the same app. This causes consumer frustration and concerns about privacy infringement.

The second concern is that not all digital platforms have adequate standards to protect personal data as required by the Personal Data Protection Committee in 2022, thus putting personal data at risk.

Lacking specific guidelines to protect consumer rights, many platforms fail to fully understand the required procedures. This results in varying security standards. Some do not offer channels for consumers to exercise their rights. Some offer overzealous measures while others forego all security measures, preferring to deal with risks as they arise.

The third challenge involves the transfer of personal information. Since platforms may send data to companies and countries without data protection standards equivalent to Thailand, it raises legality questions. To resolve this issue, platforms have to bear the costs of ensuring proper handling and obtaining consumer consent.

The Personal Data Protection Act’s exemption of state agencies is the fourth problem. To safeguard “national security” and “public interests,” the Cabinet approved a draft royal decree in July 2022 that would exempt state agencies from adhering to the PDPA.

Although the Cabinet has amended the draft decree to narrow the scope of the exemption and provide data protection measures, citizen privacy is still at risk. The government needs to be more aware of the significance of protecting personal data in the digital era. It should not permit exemptions based on broad, ambiguous justifications like “national security” and “public interests” that compromise citizens’ rights to privacy protection.

It cannot be denied that state agencies are also collecting huge amounts of citizens’ personal data on their platforms. Excluding them from the PDPA then endangers citizens’ privacy. It is, therefore, essential to include measures to minimise the repercussions and provide compensation for privacy violations by state agencies. In short, the law should not allow state agencies to violate citizens’ privacy without being held accountable and responsible.

Moreover, international regulations demand equivalent privacy standards for cross-border data transfers. Making exceptions for state agencies regarding personal data protection suggests that Thailand’s standards do not meet global benchmarks. As a result, Thailand’s digital economy may face negative consequences.

On the other hand, the European Union (EU) and the United Kingdom (UK) are taking significant steps to strike a balance between personal data protection and using data for business purposes. The EU, for example, has provided clear guidelines for communication between service providers and platforms, with specific dos and don’ts. These well-defined guidelines lead to better understanding among service and platform providers, going beyond mere enforcement of rules.

In addition, the UK’s Information Commissioner’s Office (ICO), which is in charge of protecting personal data, is urging the private sector to participate in the development of a “business code of conduct” for use in the industry.

Since the government may not fully understand the practices of the business sector, allowing the private sector to contribute to the development of standards and having the government certify their quality is an efficient way to deal with rapid changes in the digital world that the government cannot keep up with.

Realising that state support is essential for the development of the digital economy, ICO also provides consultation and collaboration with businesses in a sandbox environment to foster innovation with ICO’s legal guidance.

Furthermore, the European Union has released a whitelist of nations with sufficient data protection standards for the transfer of personal data which boosts confidence in businesses when they transfer personal data for processing in these countries.

Such collaboration between the government and private sector to protect consumers’ personal data and promote innovation offers valuable strategies for Thailand to address the challenges at home.

To strike a balance between citizens’ privacy and business interests, the government and the Personal Data Protection Committee (PDPC) must expedite the following three measures and immediately stop one damaging move.

First and foremost, release personal data protection guidelines for businesses as soon as possible. The guidelines should include concrete examples of clear and transparent communication with consumers and the need to inform them regularly what practices they should or should not engage in. The use of personal data by the “super apps” should also be closely monitored to prevent privacy violations.

Secondly, expedite collaborations with businesses to formulate a privacy protection code of conduct as well as establish consultations and dialogues on legal aspects of personal data protection between the government and the industry.

Thirdly, speed up the issuance of government directives for cross-border personal data transfers. Also, publish a list of countries with personal data protection standards on par with Thailand’s.

It is the responsibility of the Personal Data Protection Committee (PDPC) to implement these crucial measures, which it must prioritise as its immediate goals.

Finally, the government must stop the efforts to exempt state entities from personal data regulations. If not, Thailand’s standard for personal data protection will fall below international guidelines. As a result, Thailand will miss out on the chance to fully participate in the global platform economy.

Amid the digital revolution, Thailand faces a pivotal choice: act fast to embrace strong personal data protection or succumb to the officialdom’s resistance to change and lag behind. The path chosen today will shape Thailand’s digital future and determine where it will stand in the global digital arena.

Personal Data at Risk in Govt Hands

สิงหาคม 31, 2022มีนาคม 29, 2025 เขมภัทร ทฤษฎิคุณ

First Published in Bangkok Post on Wednesday, August 31, 2022

Only one month after enforcing the law to protect the Thai people’s personal data security and privacy, the government had a change of heart.

Instead of imposing the PDPA law on all organisations that handle data, the government has helped some government agencies to bypass the Personal Data Protection Act (PDPA) in the name of “national security” and “public service”. As a result, government, national security agencies, the courts, public attorneys, police and tax authorities will be permitted to collect, access, and transfer our data with impunity.

In addition, the government can access citizens’ personal data to fulfil those obligations.

A scary scenario indeed.

The Personal Data Protection Act (PDPA) took effect on June 1 this year after a two-year delay. The long-overdue law sets rules and standards for the private and public sectors to follow on collecting and using personal data to protect privacy and security.

While the business community is busy setting up new security mechanisms to comply with the PDPA’s complex rules and avoid legal punishment, the government has hatched a plan to bypass the PDPA altogether.

On July 5, 2022, the cabinet approved the draft of the royal decree by the Ministry of Digital Economy and Society to exempt government agencies from the PDPA law if the data is to be used for public service, national security protection or the inspection of crimes such as narcotics offences, human trafficking and money laundering.

Following cabinet approval, the royal decree can bypass parliament as an urgent piece of law. The legislation will be effective after it is signed by His Majesty the King.

This royal decree will affect citizens’ rights and freedoms for many reasons.

Firstly, the areas of exemption are too broad. Under the drafted royal decree, the PDPA’s stipulations on data protection rights, petition procedures, financial compensation and the punishment for violators will not apply to those state authorities which are exempted by the royal decree.

In short, the officials will freely enjoy legal immunity from prosecution under data protection laws.

Secondly, the exemptions granted to protect “national security” and allow operations of “public service” are too wide-ranging and unclear. This ambiguity allows officials to interpret “national security” and “public service” as they see fit, making it easy for them to abuse power. Allowing all levels of the judiciary — from police and attorneys to the courts — and tax collectors to freely access and transfer the citizens’ personal data creates similar worries.

Public concern over data safety is valid when trust is already so low and power abuse is so widespread.

The public sector has repeatedly failed to protect the personal data of those it should be serving. Government agencies experienced at least five data breaches last year alone. The hacked data involved users’ health records and other sensitive information.

Apart from data breaches from external violators, the government also faces allegations of breaching public privacy and freedom by using spyware to track and record activists’ and journalists’ mobile phone use. Only governments can buy this spyware to hack people’s cell phones.

The government’s alleged violations have raised questions about state responsibility and accountability. Exempting the state from the PDPA further intensifies public concern about abuse of power and political persecution. It also perpetuates a culture of impunity, which aggravates state violence against the citizens.

The exemption may also affect the economy. The PDPA is an important part of a host of digital economic laws to set standards and regulations on the cross-border transfer of personal data, which is essential for digital economic transactions.

Public trust in a secure cross-border transfer of personal data is crucial for the growth of the digital economy. As a result, most international trade agreements, such as the Regional Comprehensive Economic Partnership or Comprehensive and Progressive Agreement for Trans-Pacific Partnership, require members to honour personal data protection. Even China, an economic powerhouse, agreed to pass the law on personal data protection last year.

The core principle of data protection and privacy in international trade is that the data senders’ and receivers’ countries must share similar data protection standards. To safeguard citizens’ rights and freedoms, the General Data Protection Regulation of the European Union, the gold standard on data protection and privacy, prohibits intervention by the government or security agencies.

The government’s attempt to free itself from the PDPA’s legal obligations violates EU standards on data protection. It will backfire economically.

Data transfer to Thailand will become problematic from failure to meet international standards. The local businesses will be hit hard. The private sector will therefore miss the opportunities to grow in the era of the digital economy.

The government must realise the risks of allowing officials to tamper with people’s privacy and threaten people’s safety. The economic loss will be huge. So will the impact on the citizens’ rights and freedoms.

This royal decree effort violates citizens’ rights enshrined in the constitution. It protects the officialdom, not the people. It perpetuates state oppression and a culture of impunity. It risks seeing Thailand slide into becoming a pariah state. It must be stopped before it is too late.

ยกเว้น กฎหมายคุ้มครองข้อมูลส่วนบุคคล กับผลที่อาจตามมา

สิงหาคม 10, 2022มีนาคม 30, 2025 เขมภัทร ทฤษฎิคุณใส่ความเห็น

เผยแพร่ครั้งแรกเมื่อวันที่ 10 สิงหาคม 2565 บนหนังสือพิมพ์และเว็บไซต์ กรุงเทพธุรกิจ ในคอลัมน์วาระทีดีอาร์ไอ

กฎหมายคุ้มครองข้อมูลส่วนบุคคล มีความสำคัญทั้งในด้านของการคุ้มครองสิทธิและเสรีภาพของประชาชน และในด้านของการกำกับดูแลการใช้ข้อมูลส่วนบุคคล ซึ่งปัจจุบันมีความสำคัญทั้งกับภาคธุรกิจและการดำเนินภารกิจของหน่วยงานของรัฐ

เมื่อไม่นานมานี้หลังจาก พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ใช้บังคับมาได้เพียง 1 เดือน คณะรัฐมนตรีได้มีมติและเห็นชอบหลักการของพระราชกฤษฎีกายกเว้นการบังคับใช้ พ.ร.บ. ให้กับการใช้ข้อมูลส่วนบุคคลในหน่วยงานของรัฐ

เพื่อวัตถุประสงค์ในการป้องกันประเทศ การรักษาความมั่นคงของประเทศ ความปลอดภัยสาธารณะ การจัดเก็บภาษีของหน่วยงานรัฐ การดำเนินการเพื่อประโยชน์สาธารณะ การดำเนินการตามพันธกรณีระหว่างประเทศ การดำเนินการของหน่วยงาน ศาล อัยการ และผู้บังคับใช้กฎหมาย ซึ่งขอบเขตของการยกเว้นดังกล่าวค่อนข้างกว้าง และอาจกระทบต่อสิทธิและเสรีภาพของประชาชน รวมทั้งเศรษฐกิจของประเทศ

ในด้านสิทธิและเสรีภาพของประชาชน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ทำหน้าที่เสมือนผ้าเบรกช่วยลดการแทรกแซงสิทธิความเป็นส่วนตัว และคุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคล โดยการกำหนดมาตรฐานและวิธีการในการใช้ข้อมูลส่วนบุคคล

การยกเว้นการบังคับใช้ พ.ร.บ. นั้นมีความน่ากังวลในประเด็นนี้ 2 เรื่อง เรื่องแรกคือ ขอบเขตของการยกเว้น ซึ่งตามร่างพระราชกฤษฎีกานี้มีการยกเว้นการนำกฎหมายมาใช้ในเรื่องสำคัญๆ ได้แก่ การคุ้มครองข้อมูลส่วนบุคคล สิทธิของเจ้าของข้อมูลส่วนบุคคล การร้องเรียน ความรับผิดทางแพ่ง และบทกำหนดโทษ ซึ่งเปิดโอกาสให้หน่วยงานของรัฐลอยนวลพ้นผิดจากการละเมิดสิทธิของเจ้าของข้อมูลส่วนบุคคลในรูปแบบต่างๆ

เรื่องที่สองคือ วัตถุประสงค์ของการยกเว้น อาทิ การรักษาความมั่นคงของประเทศ ความปลอดภัยสาธารณะ และการดำเนินการเพื่อประโยชน์สาธารณะนั้นมีความไม่เฉพาะเจาะจง และไม่อาจคาดหมายได้ว่าจะมีความหมายเช่นไรขึ้นกับดุลยพินิจและการตีความของหน่วยงานรัฐ ซึ่งข้อยกเว้นดังกล่าวนั้นขยายออกไปจากข้อยกเว้นเดิมที่กฎหมายกำหนดไว้

ที่ผ่านมาภาครัฐมีปัญหาในเรื่องการคุ้มครองข้อมูลส่วนบุคคลมาโดยตลอด ดังเช่นในปีที่ผ่านมา พบว่ามีการรั่วไหลของข้อมูลส่วนบุคคลจากหน่วยงานของรัฐ 5 ครั้ง ซึ่งข้อมูลที่รั่วไหลนั้นรวมถึงข้อมูลสุขภาพที่เป็นข้อมูลส่วนบุคคลอ่อนไหวที่กฎหมายมุ่งคุ้มครองเป็นพิเศษ

นอกจากเรื่องรั่วไหลของข้อมูลส่วนบุคคลแล้ว ล่าสุดภาครัฐยังมีประเด็นเกี่ยวกับการคุกคามความเป็นส่วนตัวของประชาชนที่น่ากังวลและไม่ชัดเจน จากกรณีที่มีนักกิจกรรมหลายคนถูกติดตามด้วยซอฟต์แวร์สปายแวร์บนโทรศัพท์มือถือ และถูกเข้าถึงข้อมูลส่วนบุคคลรวมถึงข้อมูลพิกัดตำแหน่งบุคคลโดยผู้ใช้ไม่รู้ตัว ซึ่งบริษัทผู้ผลิตซอฟต์แวร์ดังกล่าวจะขายซอฟต์แวร์ให้กับภาครัฐเท่านั้น

สิ่งที่เกิดขึ้นนำมาสู่การวิพากษ์วิจารณ์เกี่ยวกับความโปร่งใสและความรับผิดชอบของภาครัฐ ดังนั้น การยกเว้นการบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ยิ่งอาจจะทำให้มีปัญหาให้หน่วยงานของรัฐใช้หรือเข้าถึงข้อมูลส่วนบุคคลโดยปราศจากความรับผิดชอบ และกลายเป็นการซ้ำเติมปัญหาวัฒนธรรมการลอยนวลพ้นผิดเมื่อเกิดการละเมิดข้อมูลส่วนบุคคล

ในทางเศรษฐกิจของประเทศ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ทำหน้าที่สำคัญในฐานะเป็นส่วนหนึ่งของกฎหมายเศรษฐกิจดิจิทัลที่กำหนดหลักเกณฑ์และวิธีการเคลื่อนย้ายข้อมูลส่วนบุคคลข้ามพรมแดน ซึ่งเป็นหัวใจสำคัญของเศรษฐกิจสมัยใหม่ที่มีความจำเป็นต้องมีการเคลื่อนย้ายข้อมูลส่วนบุคคลข้ามพรมแดน

ดังจะเห็นได้จากกรอบความตกลงทางเศรษฐกิจต่างๆ เช่น RCEP หรือ CPTPP เป็นต้น ที่กำหนดให้ประเทศภาคีต้องรับรองหลักการดังกล่าว ซึ่งรวมถึงการทำให้ประเทศมหาอำนาจอย่างประเทศจีนต้องผ่านกฎหมายคุ้มครองข้อมูลส่วนบุคคลออกมาในปีที่ผ่านมา

หลักการสำคัญของการเคลื่อนย้ายข้อมูลส่วนบุคคลข้ามพรมแดนนั้นให้ความสำคัญกับการส่งข้อมูลส่วนบุคคลของประเทศผู้รับข้อมูลส่วนบุคคลนั้นจะต้องมีมาตรฐานในการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอไม่น้อยกว่าประเทศผู้ส่งข้อมูลส่วนบุคคล

ซึ่งตาม GDPR หรือ General Data Protection Regulation ของสหภาพยุโรปกำหนดว่า มาตรฐานที่เพียงพอนี้รวมถึงการคุ้มครองข้อมูลส่วนบุคคลตามกฎหมายจะต้องไม่ถูกแทรกแซงโดยรัฐหรือหน่วยงานด้านความมั่นคงของรัฐ ซึ่งเป็นหลักการพื้นฐานของรัฐที่เป็นนิติรัฐที่มุ่งคุ้มครองสิทธิและเสรีภาพของประชาชน

ดังนั้น ผลของพระราชกฤษฎีกาฉบับนี้เปิดช่องให้สามารถตีความ รวมถึงไม่ได้มีการรับรองสิทธิของเจ้าของข้อมูลส่วนบุคคลเอาไว้ ก็อาจจะทำให้ประเทศไทยไม่ได้รับการยอมรับว่าเป็นประเทศที่มีกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่เท่าเทียมกันกับสหภาพยุโรป

นอกจากนี้ อิทธิพลของ GDPR ได้สร้างมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลใหม่ทั่วโลก หากประเทศไทยไม่มีมาตรฐานเทียบเท่า GDPR ก็จะมีผลให้ประเทศไทยไม่มีมาตรฐานเทียบเท่ากับกฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศอื่น ซึ่งทำให้การเคลื่อนย้ายข้อมูลส่วนบุคคลเข้ามาในประเทศไทยทำได้ยาก และทำให้เอกชนของประเทศไทยอาจจะพลาดโอกาสในการเติบโตในยุคเศรษฐกิจดิจิทัล

หากคณะรัฐมนตรียังต้องการผลักดันพระราชกฤษฎีกาฉบับดังกล่าวต่อไป ต้องพิจารณาข้อน่ากังวลที่อาจจะเกิดขึ้นทั้งสองประการข้างต้น และควรตระหนักถึงสิทธิและเสรีภาพของประชาชนที่รัฐธรรมนูญรับรองไว้เป็นสำคัญ

ช่องโหว่กฎหมาย PDPA เมื่อ ‘Big Brother’ จ้องคุกคามความเป็นส่วนตัวของประชาชน

กรกฎาคม 26, 2022มีนาคม 29, 2025 เขมภัทร ทฤษฎิคุณ

เผยแพร่ครั้งแรกเมื่อวันที่ 26 กรกฎาคม 2565 บนเว็บไซต์ waymagazine.org

“Big brother is watching you”

ประโยคข้างต้นสะท้อนนัยของการคุกคามความเป็นส่วนตัวของประชาชนผ่านการสอดส่องโดยรัฐ การสอดส่องการกระทำของประชาชนนั้นไม่ได้เกิดขึ้นแค่ในโลกวรรณกรรม แต่สิ่งนี้เกิดขึ้นในโลกของความเป็นจริง ซึ่งล่าสุดในประเทศไทยก็เกิดกรณีที่นักกิจกรรมออกมาเผยแพร่ต่อสาธารณะถึงการได้รับคำเตือนทางโทรศัพท์ว่ากำลังถูกเจาะระบบ และนำมาสู่การเปิดเผยว่ามีการใช้สปายแวร์ ‘เพกาซัส’ ในประเทศไทย

การล่วงล้ำเข้าไปยังพื้นที่ส่วนตัวของประชาชน จากการใช้อำนาจรัฐหรือปฏิบัติการโดยเจ้าหน้าที่ของรัฐโดยการไม่คำนึงสิทธิและเสรีภาพของประชาชน โดยเฉพาะอย่างยิ่งเพื่อจุดประสงค์ในทางการเมือง ถือได้ว่าเป็นการก่ออาชญากรรมโดยรัฐที่ทำกับประชาชนรูปแบบหนึ่ง ซึ่งสถานการณ์ของประเทศไทยในปัจจุบันอาจจะเลวร้ายมากขึ้น เพราะเมื่อไม่นานมานี้คณะรัฐมนตรีได้มีความพยายามที่จะยกเว้นการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลในส่วนที่เกี่ยวกับความสัมพันธ์ของรัฐกับประชาชนด้วยข้อความที่คลุมเครือและเปิดช่องให้เกิดการตีความให้ได้เปรียบแก่รัฐในการคุกคามสิทธิและเสรีภาพของประชาชน

บทความชิ้นนี้เป็นบทวิเคราะห์ให้เห็นความสำคัญของการคุ้มครองสิทธิความเป็นส่วนตัวที่ถือเป็นสิทธิขั้นพื้นฐาน และอำนาจของประชาชนที่จะต่อสู้กับรัฐในสถานการณ์ที่รัฐไม่น่าไว้วางใจ โดยเฉพาะในช่วงเวลาปัจจุบันที่รัฐพยายามละเมิดสิทธิประชาชนโดยอาศัยช่องโหว่ของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือกฎหมาย PDPA (Personal Data Protection Act) ซึ่งมีผลบังคับใช้เมื่อวันที่ 1 มิถุนายน 2565

การสอดส่องประชาชนโดยรัฐ = การก่ออาชญากรรมโดยรัฐ

หลายคนอาจคุ้นหูและเคยเห็นข้อความว่า “Big brother is watching you” จากสื่อต่างๆ ซึ่งมีที่มาจากวรรณกรรมเรื่อง 1984 ของ จอร์จ ออร์เวลล์ (George Orwell) พื้นหลังของเรื่องเล่าถึงประเทศสหราชอาณาจักรที่ถูกปกครองโดยระบอบเผด็จการแบบเบ็ดเสร็จ โดยรัฐจะสอดส่องชีวิตของประชาชนผ่านระบบเทคโนโลยีที่เรียกว่า ‘telescreen’ ซึ่งใช้ในการสอดส่องการกระทำของประชาชน รวมถึงเพื่อให้แน่ใจว่า ประชาชนที่อยู่ภายใต้การปกครองจะประพฤติและปฏิบัติตัวเป็นไปตามที่ความต้องการที่ผู้ปกครองกำหนดหรือไม่

สถานการณ์ดังกล่าวนั้นไม่ได้เกิดเฉพาะในงานวรรณกรรมเท่านั้น ทว่าการสอดส่องประชาชนโดยรัฐนั้นได้เกิดขึ้นจริง โดยมีตัวอย่างหลายกรณีทั่วโลก เช่น การสร้างระบบคลาวด์ตำรวจ (police cloud) ของประเทศจีน ซึ่งระบบจะทำการรวบรวมข้อมูลจากแหล่งข้อมูลต่างๆ เช่น ประวัติการรักษาพยาบาล ข้อมูลสมาชิกซูเปอร์มาร์เก็ต และข้อมูลอื่นๆ ที่เชื่อมโยงกับหมายเลขประจำตัวประชาชน ทำให้ระบบสามารถติดตามประชาชนไม่ว่าจะอยู่ที่ใด และทราบได้ว่าเป้าหมายนั้นมีปฏิสัมพันธ์กับบุคคลใด รวมถึงการคาดการณ์กิจกรรมในอนาคตของบุคคลนั้น โดยวัตถุประสงค์ของระบบคลาวด์ตำรวจนำมาใช้เพื่อวิเคราะห์ความสัมพันธ์ระหว่างเหตุการณ์กับบุคคล เป็นต้น^[1]

ย้อนกลับมาในกรณีของประเทศไทยล่าสุดนี้ได้มีการเปิดเผยข้อมูลเกี่ยวกับสอดส่องประชาชนโดยอาศัยสปายแวร์ (spyware) ที่มีชื่อว่า ‘เพกาซัส’ (Pegasus) โดยกลุ่มเป้าหมายที่ถูกสอดส่องส่วนใหญ่เป็นกลุ่มนักกิจกรรม นักวิชาการ ทนายความ และนักเคลื่อนไหวต่อต้านรัฐบาลไทย

จากการสรุปของ Citizen Lab หรือห้องปฏิบัติการสหวิทยาการจาก Munk School of Global Affairs พบว่า ปัจจุบันมีนักกิจกรรมทางการเมืองกว่า 30 คน ถูกสอดส่องโดยเพกาซัสในช่วงปี พ.ศ. 2563-2564^[2] และจากการศึกษาของ iLaw พบว่า ช่วงเวลาส่วนใหญ่ที่มีการพยายามเจาะระบบโทรศัพท์นั้นจะเกิดขึ้นพร้อมๆ กับสถานการณ์ทางการเมืองที่มีการเรียกร้องให้รัฐบาลชุดปัจจุบันออกจากตำแหน่ง หรือการเคลื่อนไหวเพื่อเรียกร้องให้มีการปฏิรูปสถาบันกษัตริย์^[3]

เมื่อพิจารณาเกี่ยวกับภูมิหลังของสปายแวร์นี้แล้วจะพบว่า สปายแวร์ดังกล่าวเป็นของบริษัท NSO Group ซึ่งเป็นบริษัทสัญชาติอิสราเอลที่เป็นผู้พัฒนาและให้บริการด้านความมั่นคงไซเบอร์ โดยบริษัทดังกล่าวจะให้บริการเฉพาะกับหน่วยงานของรัฐ และเป็นหน่วยงานของรัฐที่ได้รับอนุญาตจากรัฐบาลของประเทศอิสราเอลแล้วเท่านั้น^[4]

รายชื่อบุคคลผู้ถูกคุกคามและช่วงเวลาที่มีการเจาะระบบ

นัยของการสอดส่องประชาชนโดยรัฐนั้น ไม่เพียงแสดงถึงลักษณะการกระทำที่เข้าข่ายอาชญากรรมโดยรัฐแล้ว การสอดส่องประชาชนโดยรัฐยังอาจก่อให้เกิดอาชญากรรมรูปแบบอื่นๆ ต่อไปได้อีก เช่น การใช้ข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ ศาสนา วรรณะ และลัทธิทางการเมือง เพื่อการสร้างความเกลียดชัง และเลือกปฏิบัติกับตัวบุคคลโดยไม่เป็นธรรม ซึ่งสถานการณ์ดังกล่าวเคยเกิดขึ้นแล้วในประวัติศาสตร์มนุษยชาติที่ผ่านมา ดังเช่นในสมัยนาซีเยอรมันที่มีการฆ่าล้างเผ่าพันธุ์ชาวยิว เป็นต้น หรือการจำกัดสิทธิและเสรีภาพในการแสดงความคิดเห็น โดยรัฐอาจใช้มาตรการดังกล่าวเพื่อดำเนินคดีในประเด็นสาธารณะ และเพื่อปิดปากผู้เห็นต่างทางการเมืองหรือคู่ขัดแย้งทางการเมือง^[5]

นอกจากนี้ การคุกคามสิทธิความเป็นส่วนตัวโดยรัฐนั้นอาจจะเกิดจากวิธีการที่เป็นทางการ ผ่านการใช้อำนาจรัฐตามกฎหมายหรือปฏิบัติการของเจ้าหน้าที่ที่มีกฎหมายรองรับ หรือวิธีการที่มีความเป็นทางการน้อยกว่า อย่างปฏิบัติการเชิงข้อมูลข่าวสาร (information operation: IO) โดยการนำข้อมูลส่วนบุคคลหรือเรื่องส่วนตัวของบุคคลดังกล่าวมาเปิดเผยต่อสาธารณะเพื่อสร้างความเกลียดชัง

แอมเนสตี้ อินเตอร์เนชั่นแนล ประเทศไทย (Amnesty international Thailand) ระบุว่า ปลายปี พ.ศ. 2561 รัฐบาลได้เปิดเผยแผนการผลักดัน ‘ศูนย์ไซเบอร์กองทัพบก’ ในลักษณะสงครามไซเบอร์ ซึ่งกองกำลังไซเบอร์ถูกใช้เป็นเครื่องมือในการสอดส่องสื่อสังคมออนไลน์และการสื่อสารออนไลน์ของคนทำงานภาคประชาสังคมเพื่อระบุตัวผู้ต่อต้านรัฐบาล และมีความเป็นไปได้ที่กองทัพไซเบอร์นั้นจงใจปล่อยข่าวปลอมเพื่อคุกคามนักสิทธิมนุษยชนทางโซเชียลมีเดีย หรือแม้กระทั่งดำเนินคดีกับประชาชนทั่วไปที่พยายามแสดงถึงเสรีภาพในการแสดงออก^[6]

การรุกล้ำข้อมูลส่วนบุคคลเพื่อความมั่นคงของรัฐ ในนามกฎหมาย PDPA

ดังจะเห็นได้ว่า นัยของสิทธิความเป็นส่วนตัวนั้นมีความสำคัญในฐานะส่วนหนึ่งของสิทธิมนุษยชนสมัยใหม่^[7] และได้รับการรับรองเอาไว้ในบทบัญญัติของรัฐธรรมนูญในหลายๆ ประเทศ รวมถึงประเทศไทยที่มีการบัญญัติรับรองสิทธิความเป็นส่วนตัวเอาไว้ในรัฐธรรมนูญ^[8] โดยในบางประเทศสิทธิความเป็นส่วนตัว และสิทธิในข้อมูลส่วนบุคคล อาจได้รับการคุ้มครองเป็นพิเศษจากกฎหมายเฉพาะ เนื่องจากในชีวิตของคนหนึ่งคนประกอบไปด้วยข้อมูลส่วนบุคคลจำนวนมาก อาทิ ชื่อ-นามสกุล เพศ อายุ อาชีพ ศาสนา ความเชื่อ ความคิดเห็น หรือความเชื่อทางการเมือง สถานะทางเศรษฐกิจ จนถึงรสนิยมการดำรงชีวิตหรือการบริโภค ซึ่งข้อมูลดังกล่าวผูกพันหรือยืนยันความเป็นมนุษย์ของบุคคลนั้นให้แตกต่างไปจากบุคคลอื่น^[9] ฉะนั้น การคุ้มครองข้อมูลส่วนบุคคลจึงเป็นสาระสำคัญของการรักษาสิทธิความเป็นส่วนตัว เพราะหากปราศจากการคุ้มครองข้อมูลส่วนบุคคล พลเมืองก็จะปราศจากวิธีการและเครื่องมือในการใช้สิทธิความเป็นส่วนตัว และปกป้องสิทธิและข้อมูลส่วนบุคคลของตนเองจากการล่วงละเมิด เพื่อบรรเทาการแทรกแซงสิทธิความเป็นส่วนตัว^[10]

วัตถุประสงค์ของการคุ้มครองข้อมูลส่วนบุคคล คือ การให้สิทธิกับประชาชนในฐานะเจ้าของข้อมูลส่วนบุคคล ในการควบคุมและปกป้องข้อมูลส่วนบุคคลของตนเองจากการถูกละเมิด กฎหมายคุ้มครองข้อมูลส่วนบุคคลจึงกำหนดกฎเกณฑ์และแนวทางเกี่ยวกับการใช้ข้อมูลส่วนบุคคล ไม่ว่าการใช้ข้อมูลส่วนบุคคลนั้นจะเกิดขึ้นโดยหน่วยงานของรัฐ บริษัทเอกชน หรือ NGO และไม่ว่าการประมวลผลข้อมูลส่วนบุคคลนั้นจะเกิดขึ้นในรูปแบบอิเล็กทรอนิกส์หรือกระดาษ^[11] ซึ่งในกรณีของประเทศไทยนั้นได้มีการตรา พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ขึ้นมาเพื่อเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคล^[12]

คำถามสำคัญก็คือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 สามารถที่จะคุ้มครองสิทธิในข้อมูลส่วนบุคคลและการคุกคามความเป็นส่วนตัวจากรัฐได้หรือไม่ ซึ่งหากในสถานการณ์ปกติอาจจะกล่าวได้ว่า พระราชบัญญัติฉบับนี้อาจช่วยบรรเทาการแทรกแซงสิทธิความเป็นส่วนตัว โดยการเรียกร้องให้การใช้ข้อมูลส่วนบุคคลจะต้องปฏิบัติตามหลักเกณฑ์ที่กฎหมายกำหนด

อย่างไรก็ดี เมื่อไม่นานมานี้คณะรัฐมนตรีได้อนุมัติหลักการของพระราชกฤษฎีกายกเว้นการบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลโดยหน่วยงานของรัฐเพื่อวัตถุประสงค์ในการป้องกันประเทศ การรักษาความมั่นคงของประเทศ ความปลอดภัยสาธารณะ การจัดเก็บภาษีของหน่วยงานรัฐ การดำเนินการเพื่อประโยชน์สาธารณะ การดำเนินการตามพันธกรณีระหว่างประเทศ การดำเนินการของหน่วยงาน ศาล อัยการ และผู้บังคับใช้กฎหมาย โดยมิให้นำบทบัญญัติในหมวดเรื่องของการคุ้มครองข้อมูลส่วนบุคคล สิทธิของเจ้าของข้อมูลส่วนบุคคล การร้องเรียน ความรับผิดทางแพ่ง และบทกำหนดโทษมาใช้บังคับหน่วยงานของรัฐในวัตถุประสงค์ดังกล่าว^[13] ซึ่งจะเห็นได้ว่า ข้อยกเว้นดังกล่าวนั้นกว้างกว่าข้อยกเว้นเดิมที่กฎหมายกำหนดไว้^[14] และอาจทำให้หน่วยงานของรัฐทั้งหลายตบเท้าเข้ามาเพื่อเข้าถึงข้อมูลส่วนบุคคลและแทรกแซงสิทธิความเป็นส่วนตัวของประชาชนได้ ไม่ว่าจะเป็นทหาร ตำรวจ สำนักงานคณะกรรมการป้องกันและปราบปรามยาเสพติด (ป.ป.ส.) หรือกองอำนวยการรักษาความมั่นคงภายในราชอาณาจักร (กอ.รมน.) โดยประชาชนปราศจากเครื่องมือในการต่อสู้

ปัญหาสำคัญของร่างพระราชกฤษฎีกาดังกล่าวก็คือ ขอบเขตของการยกเว้นการบังคับใช้กฎหมายที่ไม่ชัดเจน โดยเฉพาะอย่างยิ่งในกรณีของการรักษาความมั่นคงปลอดภัยของประเทศ ความปลอดภัยสาธารณะ หรือการดำเนินการเพื่อประโยชน์สาธารณะ ซึ่งบรรดาถ้อยคำเหล่านี้ไม่ได้มีความหมายเฉพาะเจาะจง สุดแต่ผู้มีอำนาจจะตีความ และที่ผ่านมาการตีถ้อยคำว่า ‘การรักษาความมั่นคงปลอดภัย’ ‘ความปลอดภัยสาธารณะ’ หรือ ‘ประโยชน์สาธารณะ’ ล้วนแต่มีปัญหาในการตีความที่นำมาสู่การตั้งคำถามของสังคมเกี่ยวกับความเสมอภาคในการบังคับใช้กฎหมาย รวมถึงข้อยกเว้นดังกล่าวยังตอกย้ำวัฒนธรรม ‘ลอยนวลพ้นผิด’ ตามวิถีนิติรัฐแบบไทยๆ ที่มอบอภิสิทธิ์อย่างล้นๆ เกินๆ แก่เจ้าหน้าที่ฝ่ายความมั่นคงที่จะละเมิดสิทธิและเสรีภาพของประชาชนได้ในนามของกฎหมาย

ท้ายที่สุดหากรัฐบาลมีความจริงใจ โปร่งใส และมุ่งหมายที่จะเคารพสิทธิความเป็นส่วนตัวและสิทธิในข้อมูลส่วนบุคคลแล้ว รัฐบาลควรที่จะระงับแผนการที่จะผ่านร่างพระราชกฤษฎีกาฉบับนี้ เพื่อให้การคุ้มครองสิทธิความเป็นส่วนตัวและสิทธิในข้อมูลส่วนบุคคลได้รับการคุ้มครองอย่างแท้จริง

เชิงอรรถ

[1] Human Right Watch, ‘China: Police ‘Big Data’ Systems Violate Privacy, Target Dissent Automated Systems Track People Authorities Claim Threatening’ (Human Right Watch, 19 November 2017). <https://www.hrw.org/news/2017/11/19/china-police-big-data-systems-violate-privacy-target-dissent> accessed 22 July 2022.

[2] John Scott-Railton, Bill Marczak and others, ‘GeckoSpy: Pegasus Spyware Used Against Thailand’s Pro-Democracy Movement’ (The Citizen Lab, 17 July 2022). <https://citizenlab.ca/2022/07/geckospy-pegasus-spyware-used-against-thailands-pro-democracy-movement/> accessed 22 July 2022.

[3] เพิ่งอ้าง.

[4] iLaw, ‘ปรสิตติดโทรศัพท์ : ข้อค้นพบเมื่อสปายแวร์เพกาซัสถูกใช้ต่อผู้เห็นต่างจากรัฐบาล’ (iLaw, 16 กรกฎาคม 2565). <https://freedom.ilaw.or.th/report-parasite-that-smiles-th> สืบค้นเมื่อ 22 กรกฎาคม 2565.

[5] See Privacy International, ‘The Keys to Data Protection: A Guide for Policy Engagement on Data Protection’ (5 September 2018). <https://www.privacyinternational.org/report/2255/data-protection-guide-complete> accessed 23 July 2022, 26.

[6] แอมเนสตี้, ‘สิทธิในเสรีภาพในการแสดงออกออนไลน์’ (Amnesty) <https://www.amnesty.or.th/our-work/onlinefreedom/> สืบค้นเมื่อ 23 กรกฎาคม 2565.

[7] ดู ปฏิญญาสากลว่าด้วยสิทธิมนุษยชน ข้อ 12.

[8] รัฐธรรมนูญแห่งราชอาณาจักรไทย พุทธศักราช 2560 มาตรา 32.

[9] นคร เสรีรักษ์, ความเป็นส่วนตัว: ความคิด ความรู้ ความจริง และพัฒนาการเรื่องการคุ้มครองข้อมูลส่วนบุคคลในประเทศไทย (พิมพ์ครั้งที่ 2, พี.เพรส 2563) 101.

[10] Privacy Internationaol (no 5) 12.

[11] Ibid; เขมภัทร ทฤษฎิคุณ, ‘PDPA101: มาเข้าใจกฎหมายคุ้มครองข้อมูลส่วนบุคคลแบบนับหนึ่งกันเถอะ’ (สถาบันปรีดี พนมยงค์, 1 มิถุนายน 2565). <https://pridi.or.th/th/content/2022/06/1121> สืบค้นเมื่อ 23 กรกฎาคม 2565.

[12] ดู พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หมายเหตุท้ายพระราชบัญญัติ.

[13] รัฐบาลไทย, ‘สรุปข่าวการประชุมคณะรัฐมนตรี 5 กรกฎาคม 2565’ (รัฐบาลไทย, 5 กรกฎาคม 2565) <https://www.thaigov.go.th/news/contents/details/56572?fbclid=IwAR3urkjQeTG60Xuu0gDYBT6rBmBityC30hJwHTtQncP8bEmGGPfCz30DdrA> สืบค้นเมื่อ 23 กรกฎาคม 2565.

[14] พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 4.