ช่องโหว่กฎหมาย PDPA เมื่อ ‘Big Brother’ จ้องคุกคามความเป็นส่วนตัวของประชาชน

กรกฎาคม 26, 2022มีนาคม 29, 2025 เขมภัทร ทฤษฎิคุณ

เผยแพร่ครั้งแรกเมื่อวันที่ 26 กรกฎาคม 2565 บนเว็บไซต์ waymagazine.org

“Big brother is watching you”

ประโยคข้างต้นสะท้อนนัยของการคุกคามความเป็นส่วนตัวของประชาชนผ่านการสอดส่องโดยรัฐ การสอดส่องการกระทำของประชาชนนั้นไม่ได้เกิดขึ้นแค่ในโลกวรรณกรรม แต่สิ่งนี้เกิดขึ้นในโลกของความเป็นจริง ซึ่งล่าสุดในประเทศไทยก็เกิดกรณีที่นักกิจกรรมออกมาเผยแพร่ต่อสาธารณะถึงการได้รับคำเตือนทางโทรศัพท์ว่ากำลังถูกเจาะระบบ และนำมาสู่การเปิดเผยว่ามีการใช้สปายแวร์ ‘เพกาซัส’ ในประเทศไทย

การล่วงล้ำเข้าไปยังพื้นที่ส่วนตัวของประชาชน จากการใช้อำนาจรัฐหรือปฏิบัติการโดยเจ้าหน้าที่ของรัฐโดยการไม่คำนึงสิทธิและเสรีภาพของประชาชน โดยเฉพาะอย่างยิ่งเพื่อจุดประสงค์ในทางการเมือง ถือได้ว่าเป็นการก่ออาชญากรรมโดยรัฐที่ทำกับประชาชนรูปแบบหนึ่ง ซึ่งสถานการณ์ของประเทศไทยในปัจจุบันอาจจะเลวร้ายมากขึ้น เพราะเมื่อไม่นานมานี้คณะรัฐมนตรีได้มีความพยายามที่จะยกเว้นการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลในส่วนที่เกี่ยวกับความสัมพันธ์ของรัฐกับประชาชนด้วยข้อความที่คลุมเครือและเปิดช่องให้เกิดการตีความให้ได้เปรียบแก่รัฐในการคุกคามสิทธิและเสรีภาพของประชาชน

บทความชิ้นนี้เป็นบทวิเคราะห์ให้เห็นความสำคัญของการคุ้มครองสิทธิความเป็นส่วนตัวที่ถือเป็นสิทธิขั้นพื้นฐาน และอำนาจของประชาชนที่จะต่อสู้กับรัฐในสถานการณ์ที่รัฐไม่น่าไว้วางใจ โดยเฉพาะในช่วงเวลาปัจจุบันที่รัฐพยายามละเมิดสิทธิประชาชนโดยอาศัยช่องโหว่ของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือกฎหมาย PDPA (Personal Data Protection Act) ซึ่งมีผลบังคับใช้เมื่อวันที่ 1 มิถุนายน 2565

การสอดส่องประชาชนโดยรัฐ = การก่ออาชญากรรมโดยรัฐ

หลายคนอาจคุ้นหูและเคยเห็นข้อความว่า “Big brother is watching you” จากสื่อต่างๆ ซึ่งมีที่มาจากวรรณกรรมเรื่อง 1984 ของ จอร์จ ออร์เวลล์ (George Orwell) พื้นหลังของเรื่องเล่าถึงประเทศสหราชอาณาจักรที่ถูกปกครองโดยระบอบเผด็จการแบบเบ็ดเสร็จ โดยรัฐจะสอดส่องชีวิตของประชาชนผ่านระบบเทคโนโลยีที่เรียกว่า ‘telescreen’ ซึ่งใช้ในการสอดส่องการกระทำของประชาชน รวมถึงเพื่อให้แน่ใจว่า ประชาชนที่อยู่ภายใต้การปกครองจะประพฤติและปฏิบัติตัวเป็นไปตามที่ความต้องการที่ผู้ปกครองกำหนดหรือไม่

สถานการณ์ดังกล่าวนั้นไม่ได้เกิดเฉพาะในงานวรรณกรรมเท่านั้น ทว่าการสอดส่องประชาชนโดยรัฐนั้นได้เกิดขึ้นจริง โดยมีตัวอย่างหลายกรณีทั่วโลก เช่น การสร้างระบบคลาวด์ตำรวจ (police cloud) ของประเทศจีน ซึ่งระบบจะทำการรวบรวมข้อมูลจากแหล่งข้อมูลต่างๆ เช่น ประวัติการรักษาพยาบาล ข้อมูลสมาชิกซูเปอร์มาร์เก็ต และข้อมูลอื่นๆ ที่เชื่อมโยงกับหมายเลขประจำตัวประชาชน ทำให้ระบบสามารถติดตามประชาชนไม่ว่าจะอยู่ที่ใด และทราบได้ว่าเป้าหมายนั้นมีปฏิสัมพันธ์กับบุคคลใด รวมถึงการคาดการณ์กิจกรรมในอนาคตของบุคคลนั้น โดยวัตถุประสงค์ของระบบคลาวด์ตำรวจนำมาใช้เพื่อวิเคราะห์ความสัมพันธ์ระหว่างเหตุการณ์กับบุคคล เป็นต้น^[1]

ย้อนกลับมาในกรณีของประเทศไทยล่าสุดนี้ได้มีการเปิดเผยข้อมูลเกี่ยวกับสอดส่องประชาชนโดยอาศัยสปายแวร์ (spyware) ที่มีชื่อว่า ‘เพกาซัส’ (Pegasus) โดยกลุ่มเป้าหมายที่ถูกสอดส่องส่วนใหญ่เป็นกลุ่มนักกิจกรรม นักวิชาการ ทนายความ และนักเคลื่อนไหวต่อต้านรัฐบาลไทย

จากการสรุปของ Citizen Lab หรือห้องปฏิบัติการสหวิทยาการจาก Munk School of Global Affairs พบว่า ปัจจุบันมีนักกิจกรรมทางการเมืองกว่า 30 คน ถูกสอดส่องโดยเพกาซัสในช่วงปี พ.ศ. 2563-2564^[2] และจากการศึกษาของ iLaw พบว่า ช่วงเวลาส่วนใหญ่ที่มีการพยายามเจาะระบบโทรศัพท์นั้นจะเกิดขึ้นพร้อมๆ กับสถานการณ์ทางการเมืองที่มีการเรียกร้องให้รัฐบาลชุดปัจจุบันออกจากตำแหน่ง หรือการเคลื่อนไหวเพื่อเรียกร้องให้มีการปฏิรูปสถาบันกษัตริย์^[3]

เมื่อพิจารณาเกี่ยวกับภูมิหลังของสปายแวร์นี้แล้วจะพบว่า สปายแวร์ดังกล่าวเป็นของบริษัท NSO Group ซึ่งเป็นบริษัทสัญชาติอิสราเอลที่เป็นผู้พัฒนาและให้บริการด้านความมั่นคงไซเบอร์ โดยบริษัทดังกล่าวจะให้บริการเฉพาะกับหน่วยงานของรัฐ และเป็นหน่วยงานของรัฐที่ได้รับอนุญาตจากรัฐบาลของประเทศอิสราเอลแล้วเท่านั้น^[4]

รายชื่อบุคคลผู้ถูกคุกคามและช่วงเวลาที่มีการเจาะระบบ

นัยของการสอดส่องประชาชนโดยรัฐนั้น ไม่เพียงแสดงถึงลักษณะการกระทำที่เข้าข่ายอาชญากรรมโดยรัฐแล้ว การสอดส่องประชาชนโดยรัฐยังอาจก่อให้เกิดอาชญากรรมรูปแบบอื่นๆ ต่อไปได้อีก เช่น การใช้ข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ ศาสนา วรรณะ และลัทธิทางการเมือง เพื่อการสร้างความเกลียดชัง และเลือกปฏิบัติกับตัวบุคคลโดยไม่เป็นธรรม ซึ่งสถานการณ์ดังกล่าวเคยเกิดขึ้นแล้วในประวัติศาสตร์มนุษยชาติที่ผ่านมา ดังเช่นในสมัยนาซีเยอรมันที่มีการฆ่าล้างเผ่าพันธุ์ชาวยิว เป็นต้น หรือการจำกัดสิทธิและเสรีภาพในการแสดงความคิดเห็น โดยรัฐอาจใช้มาตรการดังกล่าวเพื่อดำเนินคดีในประเด็นสาธารณะ และเพื่อปิดปากผู้เห็นต่างทางการเมืองหรือคู่ขัดแย้งทางการเมือง^[5]

นอกจากนี้ การคุกคามสิทธิความเป็นส่วนตัวโดยรัฐนั้นอาจจะเกิดจากวิธีการที่เป็นทางการ ผ่านการใช้อำนาจรัฐตามกฎหมายหรือปฏิบัติการของเจ้าหน้าที่ที่มีกฎหมายรองรับ หรือวิธีการที่มีความเป็นทางการน้อยกว่า อย่างปฏิบัติการเชิงข้อมูลข่าวสาร (information operation: IO) โดยการนำข้อมูลส่วนบุคคลหรือเรื่องส่วนตัวของบุคคลดังกล่าวมาเปิดเผยต่อสาธารณะเพื่อสร้างความเกลียดชัง

แอมเนสตี้ อินเตอร์เนชั่นแนล ประเทศไทย (Amnesty international Thailand) ระบุว่า ปลายปี พ.ศ. 2561 รัฐบาลได้เปิดเผยแผนการผลักดัน ‘ศูนย์ไซเบอร์กองทัพบก’ ในลักษณะสงครามไซเบอร์ ซึ่งกองกำลังไซเบอร์ถูกใช้เป็นเครื่องมือในการสอดส่องสื่อสังคมออนไลน์และการสื่อสารออนไลน์ของคนทำงานภาคประชาสังคมเพื่อระบุตัวผู้ต่อต้านรัฐบาล และมีความเป็นไปได้ที่กองทัพไซเบอร์นั้นจงใจปล่อยข่าวปลอมเพื่อคุกคามนักสิทธิมนุษยชนทางโซเชียลมีเดีย หรือแม้กระทั่งดำเนินคดีกับประชาชนทั่วไปที่พยายามแสดงถึงเสรีภาพในการแสดงออก^[6]

การรุกล้ำข้อมูลส่วนบุคคลเพื่อความมั่นคงของรัฐ ในนามกฎหมาย PDPA

ดังจะเห็นได้ว่า นัยของสิทธิความเป็นส่วนตัวนั้นมีความสำคัญในฐานะส่วนหนึ่งของสิทธิมนุษยชนสมัยใหม่^[7] และได้รับการรับรองเอาไว้ในบทบัญญัติของรัฐธรรมนูญในหลายๆ ประเทศ รวมถึงประเทศไทยที่มีการบัญญัติรับรองสิทธิความเป็นส่วนตัวเอาไว้ในรัฐธรรมนูญ^[8] โดยในบางประเทศสิทธิความเป็นส่วนตัว และสิทธิในข้อมูลส่วนบุคคล อาจได้รับการคุ้มครองเป็นพิเศษจากกฎหมายเฉพาะ เนื่องจากในชีวิตของคนหนึ่งคนประกอบไปด้วยข้อมูลส่วนบุคคลจำนวนมาก อาทิ ชื่อ-นามสกุล เพศ อายุ อาชีพ ศาสนา ความเชื่อ ความคิดเห็น หรือความเชื่อทางการเมือง สถานะทางเศรษฐกิจ จนถึงรสนิยมการดำรงชีวิตหรือการบริโภค ซึ่งข้อมูลดังกล่าวผูกพันหรือยืนยันความเป็นมนุษย์ของบุคคลนั้นให้แตกต่างไปจากบุคคลอื่น^[9] ฉะนั้น การคุ้มครองข้อมูลส่วนบุคคลจึงเป็นสาระสำคัญของการรักษาสิทธิความเป็นส่วนตัว เพราะหากปราศจากการคุ้มครองข้อมูลส่วนบุคคล พลเมืองก็จะปราศจากวิธีการและเครื่องมือในการใช้สิทธิความเป็นส่วนตัว และปกป้องสิทธิและข้อมูลส่วนบุคคลของตนเองจากการล่วงละเมิด เพื่อบรรเทาการแทรกแซงสิทธิความเป็นส่วนตัว^[10]

วัตถุประสงค์ของการคุ้มครองข้อมูลส่วนบุคคล คือ การให้สิทธิกับประชาชนในฐานะเจ้าของข้อมูลส่วนบุคคล ในการควบคุมและปกป้องข้อมูลส่วนบุคคลของตนเองจากการถูกละเมิด กฎหมายคุ้มครองข้อมูลส่วนบุคคลจึงกำหนดกฎเกณฑ์และแนวทางเกี่ยวกับการใช้ข้อมูลส่วนบุคคล ไม่ว่าการใช้ข้อมูลส่วนบุคคลนั้นจะเกิดขึ้นโดยหน่วยงานของรัฐ บริษัทเอกชน หรือ NGO และไม่ว่าการประมวลผลข้อมูลส่วนบุคคลนั้นจะเกิดขึ้นในรูปแบบอิเล็กทรอนิกส์หรือกระดาษ^[11] ซึ่งในกรณีของประเทศไทยนั้นได้มีการตรา พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ขึ้นมาเพื่อเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคล^[12]

คำถามสำคัญก็คือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 สามารถที่จะคุ้มครองสิทธิในข้อมูลส่วนบุคคลและการคุกคามความเป็นส่วนตัวจากรัฐได้หรือไม่ ซึ่งหากในสถานการณ์ปกติอาจจะกล่าวได้ว่า พระราชบัญญัติฉบับนี้อาจช่วยบรรเทาการแทรกแซงสิทธิความเป็นส่วนตัว โดยการเรียกร้องให้การใช้ข้อมูลส่วนบุคคลจะต้องปฏิบัติตามหลักเกณฑ์ที่กฎหมายกำหนด

อย่างไรก็ดี เมื่อไม่นานมานี้คณะรัฐมนตรีได้อนุมัติหลักการของพระราชกฤษฎีกายกเว้นการบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลโดยหน่วยงานของรัฐเพื่อวัตถุประสงค์ในการป้องกันประเทศ การรักษาความมั่นคงของประเทศ ความปลอดภัยสาธารณะ การจัดเก็บภาษีของหน่วยงานรัฐ การดำเนินการเพื่อประโยชน์สาธารณะ การดำเนินการตามพันธกรณีระหว่างประเทศ การดำเนินการของหน่วยงาน ศาล อัยการ และผู้บังคับใช้กฎหมาย โดยมิให้นำบทบัญญัติในหมวดเรื่องของการคุ้มครองข้อมูลส่วนบุคคล สิทธิของเจ้าของข้อมูลส่วนบุคคล การร้องเรียน ความรับผิดทางแพ่ง และบทกำหนดโทษมาใช้บังคับหน่วยงานของรัฐในวัตถุประสงค์ดังกล่าว^[13] ซึ่งจะเห็นได้ว่า ข้อยกเว้นดังกล่าวนั้นกว้างกว่าข้อยกเว้นเดิมที่กฎหมายกำหนดไว้^[14] และอาจทำให้หน่วยงานของรัฐทั้งหลายตบเท้าเข้ามาเพื่อเข้าถึงข้อมูลส่วนบุคคลและแทรกแซงสิทธิความเป็นส่วนตัวของประชาชนได้ ไม่ว่าจะเป็นทหาร ตำรวจ สำนักงานคณะกรรมการป้องกันและปราบปรามยาเสพติด (ป.ป.ส.) หรือกองอำนวยการรักษาความมั่นคงภายในราชอาณาจักร (กอ.รมน.) โดยประชาชนปราศจากเครื่องมือในการต่อสู้

ปัญหาสำคัญของร่างพระราชกฤษฎีกาดังกล่าวก็คือ ขอบเขตของการยกเว้นการบังคับใช้กฎหมายที่ไม่ชัดเจน โดยเฉพาะอย่างยิ่งในกรณีของการรักษาความมั่นคงปลอดภัยของประเทศ ความปลอดภัยสาธารณะ หรือการดำเนินการเพื่อประโยชน์สาธารณะ ซึ่งบรรดาถ้อยคำเหล่านี้ไม่ได้มีความหมายเฉพาะเจาะจง สุดแต่ผู้มีอำนาจจะตีความ และที่ผ่านมาการตีถ้อยคำว่า ‘การรักษาความมั่นคงปลอดภัย’ ‘ความปลอดภัยสาธารณะ’ หรือ ‘ประโยชน์สาธารณะ’ ล้วนแต่มีปัญหาในการตีความที่นำมาสู่การตั้งคำถามของสังคมเกี่ยวกับความเสมอภาคในการบังคับใช้กฎหมาย รวมถึงข้อยกเว้นดังกล่าวยังตอกย้ำวัฒนธรรม ‘ลอยนวลพ้นผิด’ ตามวิถีนิติรัฐแบบไทยๆ ที่มอบอภิสิทธิ์อย่างล้นๆ เกินๆ แก่เจ้าหน้าที่ฝ่ายความมั่นคงที่จะละเมิดสิทธิและเสรีภาพของประชาชนได้ในนามของกฎหมาย

ท้ายที่สุดหากรัฐบาลมีความจริงใจ โปร่งใส และมุ่งหมายที่จะเคารพสิทธิความเป็นส่วนตัวและสิทธิในข้อมูลส่วนบุคคลแล้ว รัฐบาลควรที่จะระงับแผนการที่จะผ่านร่างพระราชกฤษฎีกาฉบับนี้ เพื่อให้การคุ้มครองสิทธิความเป็นส่วนตัวและสิทธิในข้อมูลส่วนบุคคลได้รับการคุ้มครองอย่างแท้จริง

เชิงอรรถ

[1] Human Right Watch, ‘China: Police ‘Big Data’ Systems Violate Privacy, Target Dissent Automated Systems Track People Authorities Claim Threatening’ (Human Right Watch, 19 November 2017). <https://www.hrw.org/news/2017/11/19/china-police-big-data-systems-violate-privacy-target-dissent> accessed 22 July 2022.

[2] John Scott-Railton, Bill Marczak and others, ‘GeckoSpy: Pegasus Spyware Used Against Thailand’s Pro-Democracy Movement’ (The Citizen Lab, 17 July 2022). <https://citizenlab.ca/2022/07/geckospy-pegasus-spyware-used-against-thailands-pro-democracy-movement/> accessed 22 July 2022.

[3] เพิ่งอ้าง.

[4] iLaw, ‘ปรสิตติดโทรศัพท์ : ข้อค้นพบเมื่อสปายแวร์เพกาซัสถูกใช้ต่อผู้เห็นต่างจากรัฐบาล’ (iLaw, 16 กรกฎาคม 2565). <https://freedom.ilaw.or.th/report-parasite-that-smiles-th> สืบค้นเมื่อ 22 กรกฎาคม 2565.

[5] See Privacy International, ‘The Keys to Data Protection: A Guide for Policy Engagement on Data Protection’ (5 September 2018). <https://www.privacyinternational.org/report/2255/data-protection-guide-complete> accessed 23 July 2022, 26.

[6] แอมเนสตี้, ‘สิทธิในเสรีภาพในการแสดงออกออนไลน์’ (Amnesty) <https://www.amnesty.or.th/our-work/onlinefreedom/> สืบค้นเมื่อ 23 กรกฎาคม 2565.

[7] ดู ปฏิญญาสากลว่าด้วยสิทธิมนุษยชน ข้อ 12.

[8] รัฐธรรมนูญแห่งราชอาณาจักรไทย พุทธศักราช 2560 มาตรา 32.

[9] นคร เสรีรักษ์, ความเป็นส่วนตัว: ความคิด ความรู้ ความจริง และพัฒนาการเรื่องการคุ้มครองข้อมูลส่วนบุคคลในประเทศไทย (พิมพ์ครั้งที่ 2, พี.เพรส 2563) 101.

[10] Privacy Internationaol (no 5) 12.

[11] Ibid; เขมภัทร ทฤษฎิคุณ, ‘PDPA101: มาเข้าใจกฎหมายคุ้มครองข้อมูลส่วนบุคคลแบบนับหนึ่งกันเถอะ’ (สถาบันปรีดี พนมยงค์, 1 มิถุนายน 2565). <https://pridi.or.th/th/content/2022/06/1121> สืบค้นเมื่อ 23 กรกฎาคม 2565.

[12] ดู พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หมายเหตุท้ายพระราชบัญญัติ.

[13] รัฐบาลไทย, ‘สรุปข่าวการประชุมคณะรัฐมนตรี 5 กรกฎาคม 2565’ (รัฐบาลไทย, 5 กรกฎาคม 2565) <https://www.thaigov.go.th/news/contents/details/56572?fbclid=IwAR3urkjQeTG60Xuu0gDYBT6rBmBityC30hJwHTtQncP8bEmGGPfCz30DdrA> สืบค้นเมื่อ 23 กรกฎาคม 2565.

[14] พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 4.

A Study of the Necessity of and Approaches to the Preparation of Personal Data Protection Guidelines

กรกฎาคม 20, 2022กุมภาพันธ์ 19, 2026 เขมภัทร ทฤษฎิคุณ

A Study of the Necessity of and Approaches to the Preparation of Personal Data Protection Guidelines

Published in TDRI Quarterly Review, Vol. 37 No.2 (June 2022)

Suggested Bibliographic Citation: Trisadikoon, K. (2022). “A Study of the Necessity of and Approaches to the Preparation of Personal Data Protection Guidelines.” TDRI Quarterly Review, 37(2). 23-44.

Summary

This article examines the necessity of developing personal data protection guidelines to support the effective enforcement of Thailand’s Personal Data Protection Act B.E. 2562 (2019). Although the Act establishes fundamental principles, data subject rights, obligations of data controllers and processors, and legal penalties, it lacks detailed practical instructions for real-world implementation. As a result, organizations with legal duties may face uncertainty in compliance, which could undermine the effectiveness of personal data protection. The study argues that practical guidelines are therefore essential as an instrument for translating legal principles into concrete procedures, standards, and operational practices tailored to organizational contexts.

The paper outlines key elements of the Thai legal framework, including the scope of application, rights of data subjects, relationships among data subjects, controllers, and processors, rules governing data processing throughout the data life cycle, and enforcement mechanisms. It then conducts a comparative analysis of personal data protection systems and guidelines in the European Union, the United Kingdom, Japan, Singapore, and the United States. The findings indicate that effective guidance typically exists at multiple levels, including general conceptual guidelines, sector-specific guidelines tailored to particular industries, and topic- or activity-specific guidelines addressing concrete situations. Such multi-layered guidance enables organizations to interpret and apply legal requirements in a manner consistent with actual operational realities.

Based on these insights, the article proposes an approach for developing personal data protection guidelines in Thailand that aligns with the characteristics of different sectors and the life cycle of personal data processing. The recommended structure includes general principles, practical examples of data processing activities, and frequently asked questions to facilitate usability. The study also suggests phased dissemination according to the readiness of each industry and continuous updates to reflect secondary regulations and evolving circumstances. In conclusion, the article emphasizes that clear, context-sensitive guidelines are a critical condition for enabling the Personal Data Protection Act to achieve its intended goal of effectively safeguarding individuals’ privacy rights in practice.

Download

เมื่อเราอยู่ในยุคที่ข้อมูลส่วนบุคคลมีค่าดั่งทองคำ

กุมภาพันธ์ 28, 2022มีนาคม 15, 2025 เขมภัทร ทฤษฎิคุณ

เผยแพร่ครั้งแรกเมื่อวันที่ 28 กุมภาพันธ์ 2565 บนเว็บไซต์ pridi.or.th

มื่อไม่นานมานี้มีข่าวว่ารัฐบาลได้ทำการแต่งตั้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลขึ้นมา ข่าวนี้เป็นสัญญาณสำคัญถึงการใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลในประเทศ โดยคณะกรรมการชุดนี้จะมีบทบาทสำคัญในการกำหนดนโยบายการคุ้มครองข้อมูลส่วนบุคคลของประเทศไทย ภายใต้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ท่ามกลางยุคสมัยที่ข้อมูลส่วนบุคคลมีค่าดั่งทองคำ

ข้อมูลส่วนบุคคลคืออะไร

ก่อนจะไปทำความเข้าใจว่าเพราะอะไรข้อมูลส่วนบุคคลจึงมีค่าดั่งทองคำ ในบทความนี้จะขอเริ่มต้นจากการอธิบายก่อนว่า ข้อมูลส่วนบุคคลคืออะไร?

หากพิจารณานิยามของข้อมูลส่วนบุคคลตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล จะเห็นได้ว่า “ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม (แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ)^[1]

กล่าวโดยสรุปง่ายๆ “ข้อมูลส่วนบุคคล” คือ ข้อมูลใดๆ ก็ตามที่สามารถระบุตัวตนของบุคคลนั้นได้ ตัวอย่างของสิ่งที่เราแน่ใจอย่างแน่นอนว่าเป็นข้อมูลส่วนบุคคล เช่น ชื่อนามสกุล เบอร์โทรศัพท์ เลขบัตรประจำตัวประชาชน ส่วนสูง และน้ำหนัก เป็นต้น

อย่างไรก็ตาม ความหมายของข้อมูลส่วนบุคคลนั้นกว้างกว่าที่เราคิด ข้อมูลส่วนบุคคลนั้นยังรวมไปถึงข้อมูลอื่นๆ เช่น เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา ข้อมูลพันธุกรรม และข้อมูลชีวภาพ เป็นต้น

ดังจะเห็นได้ว่าความหมายของข้อมูลส่วนบุคคลนั้นมีความหมายกว้างมากโดยเฉพาะในยุคสมัยที่เราทุกคนนั้นมีการเชื่อมต่อกันในยุคแห่ง internet of things (IoTs) หรือที่เรียกว่า “อินเทอร์เน็ตสำหรับทุกสรรพสิ่ง” ที่ผู้ใช้งานอินเทอร์เน็ตไม่ได้เพียงเชื่อมต่ออินเทอร์เน็ตจากคอมพิวเตอร์เท่านั้น แต่การเชื่อมต่อนั้นเกิดขึ้นกับอุปกรณ์ต่างๆ รอบตัว เช่น นาฬิกาข้อมือที่มีการเก็บข้อมูลอัตราการเต้นของหัวใจ และความดันของผู้สวมใส่ หรือโทรศัพท์มือถือที่มีการเก็บข้อมูลพิกัดการใช้งานแอปพลิเคชัน เป็นต้น

ทำไมข้อมูลส่วนบุคคลจึงกลายเป็นสิ่งมีค่า

ด้วยเหตุที่ชีวิตปัจจุบันของเราเข้าไปสัมพันธ์กับการเชื่อมต่ออินเทอร์เน็ตอยู่ตลอดเวลา ทำให้มีการเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลเพิ่มขึ้นแตกต่างจากยุคก่อนๆ ที่การเก็บรวบรวมข้อมูลส่วนบุคคลจะมีเฉพาะในเวลาที่มีการทำธุรกรรมบางอย่างเท่านั้น

ในปัจจุบันการเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลนั้นมีความจำเป็นมากในทางธุรกิจ เพราะการมีข้อมูลเป็นจำนวนมากนั้นทำให้เกิดความแม่นยำในการสร้างสรรค์ผลิตภัณฑ์ การโฆษณาเพื่อตอบสนองความต้องการของผู้บริโภค และปรับเปลี่ยนกลยุทธ์ทางธุรกิจให้เหมาะสมกับสถานการณ์ในปัจจุบัน ความต้องการข้อมูลเป็นจำนวนมากนี้ถึงขั้นทำให้มีผู้กล่าวว่า “ข้อมูล (ส่วนบุคคล) นั้นเปรียบเสมือนน้ำมันใหม่ของเศรษฐกิจดิจิทัล” เพราะหากยิ่งผู้ประกอบการมีข้อมูลมากเท่าไรและรู้จักผู้บริโภคมากเท่าไร ผู้ประกอบการก็ยิ่งจะสามารถตอบสนองความต้องการของผู้บริโภคได้ตรงจุดมากเท่านั้น

ตัวอย่างเช่น สถาบันการเงินประเภทธนาคารแห่งหนึ่งต้องการเสนอสินเชื่อให้กับลูกค้า กรณีเช่นนี้ธนาคารก็ต้องใช้ข้อมูลทางด้านรายได้ ภาระหนี้สิน พฤติกรรมการใช้จ่ายของลูกค้า และการชำระหนี้ของลูกค้ามาประกอบเพื่อตัดสินใจจะให้สินเชื่อแก่ลูกค้าหรือไม่ หรือแม้แต่กระทั่งหน่วยงานของรัฐก็จำเป็นต้องใช้ข้อมูลส่วนบุคคลของผู้ใช้บริการเพื่อทำความเข้าใจกลุ่มเป้าหมายที่ใช้งานบริการ และพยายามปรับเปลี่ยนนโยบายการทำงานให้มีประสิทธิภาพ (กรณีนี้เริ่มเกิดขึ้นบ้างแล้วในหน่วยงานของรัฐในประเทศไทย เช่น กรมสรรพากร ที่ช่วยอำนวยความสะดวกในการเก็บข้อมูลเพื่อการลดหย่อนภาษี เป็นต้น^[2]) หรือ การนำข้อมูลมาใช้ทำฐานข้อมูลเพื่อจัดทำระบบป้องกันอาชญากรรม

นอกจากนี้ ในทางการเมืองการใช้ข้อมูลส่วนบุคคลก็มีปัจจัยสำคัญในการสร้างความได้เปรียบทางการเมือง ดังเช่นในกรณีของ Cambridge Analytica ซึ่งหนังสือพิมพ์ New York Time และ The Guardian ในช่วงเดือนมีนาคม 2561 ได้ออกมาเปิดเผยรายงานข่าวการสอบสวนเชิงลึกว่า บัญชีผู้ใช้งาน Facebook ถูกนำข้อมูลส่วนบุคคลบางส่วนไปใช้ประโยชน์ในการวิเคราะห์ทางการเมือง โดยเจ้าของบัญชีผู้ใช้งานเหล่านั้นไม่รู้ถึงการนำข้อมูลส่วนบุคคลดังกล่าวไปใช้มาก่อน^[3]

ด้วยเหตุดังกล่าวนี้ ทั้งในภาคเอกชนและภาครัฐจึงมีความพยายามที่จะเก็บรวบรวมข้อมูลส่วนบุคคลให้ได้มากเพื่อที่จะนำข้อมูลส่วนบุคคลนั้นมาใช้ในการประกอบการตัดสินใจ และเพื่อสร้างความได้เปรียบในทางเศรษฐกิจหรือการเมือง

อย่างไรก็ดี การนำข้อมูลส่วนบุคคลมาใช้ในการวิเคราะห์หรือสร้างฐานข้อมูลบางอย่างนั้นก็เป็นเสมือนดาบสองคม ในแง่หนึ่ง การใช้ข้อมูลเพื่อวิเคราะห์ความต้องการของผู้ใช้บริการเพื่อปรับปรุงบริการ นำเสนอผลิตภัณฑ์ที่ตรงต่อความต้องการของผู้ใช้บริการนั้นก็เป็นสิ่งที่ดี หรือช่วยทำให้การตัดสินใจบางประการขององค์กรมีประสิทธิภาพ แต่ในอีกแง่หนึ่ง การใช้ข้อมูลส่วนบุคคลในลักษณะเกินความเหมาะสมหรือความพอดี โดยการเก็บรวบรวมหรือใช้ข้อมูลส่วนบุคคลโดยไม่คำนึงถึงสิทธิของเจ้าของข้อมูลส่วนบุคคล ทั้งในแง่ของสิทธิความเป็นส่วนตัวหรือสิทธิในข้อมูลส่วนบุคคลก็อาจจะกลายเป็นการคุกคามความเป็นส่วนตัวและสิทธิในข้อมูลส่วนบุคคลได้

กฎหมายคุ้มครองข้อมูลส่วนบุคคลกับการกำกับดูแลการใช้ข้อมูลส่วนบุคคล

ผลจากความต้องการรักษาสมดุลของการเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลกับการคุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคลในด้านความเป็นส่วนตัวและสิทธิในข้อมูลส่วนบุคคลนั้นทำให้เกิดกฎหมายคุ้มครองข้อมูลส่วนบุคคลขึ้นมา

กฎหมายคุ้มครองข้อมูลส่วนบุคคลในปัจจุบันที่มีอิทธิพลมากที่สุดในขณะนี้คงหนีไม่พ้น GDPR (General Data Protection Regulation) ของสหภาพยุโรป ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่ถูกเรียกว่ามีความทันสมัยที่สุดในขณะนี้ โดยมีวัตถุประสงค์เพื่อประมวลกฎเกณฑ์เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล และกำหนดแนวทางในการรักษาความเป็นธรรมระหว่างการใช้ข้อมูลส่วนบุคคลกับการคุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคลของพลเมืองสหภาพยุโรปไม่ว่าบุคคลนั้นจะอยู่ที่ใดในโลก (เพราะฉะนั้น GDPR สามารถบังคับได้กับทุกการเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลไม่ว่าจะอยู่ในสหภาพยุโรปหรือไม่)

จุดสำคัญของ GDPR ที่คนส่วนใหญ่มักจะพูดถึงคือ การกำหนดโทษปรับไว้เป็นจำนวนที่ค่อนข้างสูง โดยมีเจตนาเพื่อที่จะห้ามปรามการละเมิดข้อมูลส่วนบุคคลโดยเจตนาและการจงใจไม่ดำเนินการเพื่อบรรเทาความเสียหายที่อาจจะเกิดขึ้นได้กับข้อมูลส่วนบุคคล โดยบทลงโทษที่รุนแรงของ GDPR คือ การปรับเป็นเงินจำนวนสูงสุด 20 ล้านยูโร หรือคิดจากผลประโยชน์การดำเนินการมากถึงร้อยละ 4 ของมูลค่าการซื้อขายทั่วโลกในปีบัญชีก่อนหน้า^[4]

ผลของการตรา GDPR ของสหภาพยุโรปนั้นมีนัยสำคัญต่อสังคมเศรษฐกิจดิจิทัลของโลกมาก เนื่องจากปริมาณการบริโภคและส่วนแบ่งตลาดของสหภาพยุโรปนั้นค่อนข้างสูง อันเป็นผลมาจากการรวมตัวของประเทศต่างๆ ในทวีปยุโรป ทำให้กฎหมายคุ้มครองข้อมูลส่วนบุคคลทั่วโลกเกิดการปรับเปลี่ยนเนื้อหาของกฎหมายคุ้มครองข้อมูลส่วนบุคคลเพื่อให้สอดคล้องกับ GDPR ของสหภาพยุโรป ไม่เว้นแม้แต่ประเทศไทยซึ่งในช่วงปี พ.ศ. 2562 ประเทศได้ตรา พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลขึ้นมาเพื่อให้เป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศไทย

หลักการส่วนใหญ่ของ พ.ร.บ. นี้นั้นสอดคล้องกันกับ GDPR ในหลายๆ ส่วน มีหลักการสำคัญคือ การมุ่งสร้างความเป็นธรรมในการเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลระหว่างผู้ควบคุมข้อมูลส่วนบุคคล (ผู้เก็บรวบรวมและใช้ข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ของตนเอง) และเจ้าของข้อมูลส่วนบุคคล โดยมีหลักการสำคัญ ดังนี้

หลักความชอบด้วยกฎหมาย ความเป็นธรรม และความโปร่งใส กำหนดให้การประมวลผลข้อมูลส่วนบุคคลจะต้องเป็นไปโดยมีเหตุผลความจำเป็นที่สามารถอ้างอิงฐานการประมวลผลได้ และมีการประกาศ/แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบเหตุผลความจำเป็น

หลักการจำกัดวัตถุประสงค์ โดยกำหนดให้การประมวลผลข้อมูลส่วนบุคคลกระทำเท่าที่จำเป็นภายใต้ขอบเขตของวัตถุประสงค์ที่ได้แจ้งไว้กับเจ้าของข้อมูลส่วนบุคคล

หลักการรวบรวมข้อมูลเท่าที่จำเป็น การประมวลผลข้อมูลส่วนบุคคลภายใต้วัตถุประสงค์และรวบรวมข้อมูลเฉพาะเท่าที่จำเป็นและในสัดส่วนที่เหมาะสม

หลักความถูกต้องของข้อมูลส่วนบุคคล การประมวลผลข้อมูลส่วนบุคคลนั้น ผู้ควบคุมข้อมูลส่วนบุคคลจำเป็นต้องจัดให้มีมาตรการหรือวิธีการใดๆ เพื่อรับรองข้อมูลที่เก็บรวบรวมไว้ให้มีความถูกต้องและเป็นปัจจุบัน

หลักการเก็บข้อมูลส่วนบุคคลอย่างจำกัดระยะเวลา ภายใต้วัตถุประสงค์ที่กำหนดไว้ ผู้ควบคุมข้อมูลส่วนบุคคลจะเก็บรักษาข้อมูลไว้ในระยะเวลาเท่าที่จำเป็นตามวัตถุประสงค์

หลักความสมบูรณ์ของข้อมูลส่วนบุคคลและการเก็บรักษาเป็นความลับ ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องประมวลผลข้อมูลส่วนบุคคลด้วยความระมัดระวังและใช้มาตรการรักษาความปลอดภัยข้อมูลที่เหมาะสมเพื่อป้องกันการรั่วไหลของข้อมูลส่วนบุคคลหรือการสูญหาย

หลักความรับผิดชอบ ผู้ควบคุมข้อมูลส่วนบุคคลมีความรับผิดชอบในการดำเนินการเพื่อบรรลุวัตถุประสงค์หลักดังกล่าวข้างต้น และจะแสดงให้เห็นได้อย่างชัดเจนว่า ผู้ควบคุมข้อมูลส่วนบุคคลได้มีการปฏิบัติหน้าที่ตามที่กฎหมายกำหนดไว้อย่างครบถ้วน

นอกเหนือจากหลักการต่างๆ แล้วสิ่งที่เหมือนกันกับ GDPR ก็คือ การกำหนดโทษสำหรับผู้ที่ฝ่าฝืนไม่ปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ซึ่งทำให้ทั้งภาคเอกชนและหน่วยงานของรัฐต้องตระหนักในการคุ้มครองข้อมูลส่วนบุคคลให้มากขึ้น

ธุรกิจกับการคุ้มครองข้อมูลส่วนบุคคล

อย่างไรก็ดี ในเชิงธุรกิจนั้นการคุ้มครองข้อมูลส่วนบุคคลไม่ได้มีความสำคัญเพียงเฉพาะเรื่องของการถูกลงโทษตามกฎหมาย ทว่า การคุ้มครองข้อมูลส่วนบุคคลนั้นเป็นเรื่องของความน่าเชื่อถือในทางธุรกิจ เพราะเป็นที่แน่นอนว่าไม่อยากมีผู้ใช้บริการใด อยากใช้บริการของผู้ประกอบกิจการที่มีการปล่อยให้มีข้อมูลส่วนบุคคลรั่วไหล หรือไม่ได้ดำเนินการเพื่อคุ้มครองข้อมูลส่วนบุคคลให้อยู่ในความปลอดภัย ซึ่งหากบริษัทและองค์กรธุรกิจไม่มีความตระหนักในเรื่องดังกล่าวแล้ว เมื่อเกิดการรั่วไหลของข้อมูลส่วนบุคคล ผลกระทบที่ร้ายแรงกว่าการโดนปรับตามกฎหมายก็คือ การขาดความน่าเชื่อถือในทางธุรกิจ

ปัญหานี้จึงไม่ใช่เพียงแค่การลงโทษตามกฎหมายเท่านั้น แต่มันเป็นเรื่องของความน่าเชื่อถือทางธุรกิจ ซึ่งบริษัทและองค์กรธุรกิจควรตระหนักถึงความสำคัญในการคุ้มครองข้อมูลส่วนบุคคลให้มากกว่าแต่ก่อน และเริ่มต้นเตรียมตัวให้พร้อมกับการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่กำลังจะมีผลบังคับใช้ในอนาคต

การคุ้มครองข้อมูลส่วนบุคคลนั้นเป็นเรื่องที่ในสังคมประชาธิปไตยควรให้ความสำคัญ มิใช่เฉพาะกับในทางหน่วยงานของรัฐ แต่รวมถึงบริษัทและองค์กรธุรกิจ เพื่อคุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคล โดยเฉพาะ เมื่อเราอยู่ในยุคที่ข้อมูลส่วนบุคคลมีค่าดั่งทองคำ การตระหนักถึงการใช้ข้อมูลส่วนบุคคลจึงมีความสำคัญทั้งในทางกฎหมายและเศรษฐกิจ

เชิงอรรถ

^[1] พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 6.

^[2] กรมสรรพากร, ‘สรรพากรชู 9 ระบบ Easy Tax ช่วยผู้ประกอบการลดต้นทุน กระตุ้นการหมุนเวียนเศรษฐกิจ สร้างวิถีภาษีใหม่ให้ยิ่งง่ายและเป็นธรรม’ (กรมสนรรพากร, 24 สิงหาคม 2563) <https://www.rd.go.th/fileadmin/user_upload/news/news52_2563.pdf> สืบค้นเมื่อ 20 มกราคม 2565.

^[3] Nicholas Confessore, ‘Cambridge Analytica and Facebook: The Scandal and the Fallout So Far’ (NY Time, 4 April 2018) <https://www.nytimes.com/2018/04/04/us/politics/cambridge-analytica-scandal-fallout.html>; and Carole Cadwalladr and Emma Graham-Harrison accessed 20 January 2022, ‘Revealed: 50 million Facebook profiles harvested for Cambridge Analytica in major data breach’ (The Guardian, 17 Mar 2018) <https://www.theguardian.com/news/2018/mar/17/cambridge-analytica-facebook-influence-us-election> accessed 20 January 2022.

^[4] GDPR, Article 83 (5).