วันที่ 27 พฤษภาคม 2563 เป็นวันที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Act B.E. 2562 (2019) หรือ PDPA) มีผลบังคับใช้ทั้งฉบับ หลังการประกาศในราชกิจจานุเบกษาในวันที่ 27 พฤษภาคม 2562 ท่ามกลางเสียงวิพากษ์วิจารณ์ว่าเนื้อหาสาระของกฎหมายฉบับนี้ไม่ได้คุ้มครองการใช้ข้อมูลส่วนบุคคลอย่างแท้จริง ซึ่งแตกต่างจากชื่อของกฎหมายอย่างสิ้นเชิง
อะไรคือ กฎหมายคุ้มครองข้อมูลส่วนบุคคล และทำไมต้องมีกฎหมายฉบับนี้!
ย้อนกลับไปเมื่อ 20 ปีที่ผ่านมา ที่เริ่มนำเทคโนโลยีเข้ามาใช้ทำงานในรูปแบบของ Information Technology คอมพิวเตอร์เข้ามามีบทบาทในการทำงานของผู้คนในสังคม และมีบทบาทในการจัดเก็บข้อมูลส่วนบุคคลมากขึ้น ทำให้มีการพูดถึงการคุ้มครองการใช้ข้อมูลส่วนบุคคลเพื่อคุ้มครองการใช้ข้อมูลส่วนบุคคลในธุรกรรมต่าง ๆ ที่เจ้าของข้อมูลไม่ต้องการให้ผู้อื่นนำไปใช้
จากวันนั้นถึงวันนี้ผ่านมา 23 ปี กฎหมายฉบับนี้คลอดออกมา และจะมีผลบังคับใช้อย่างเต็มรูปแบบในปี 2563
สาระสำคัญของกฎหมายฉบับนี้คือ การให้ความคุ้มครองข้อมูลข่าวสารส่วนบุคคล เช่น การศึกษา ฐานะการเงิน ประวัติสุขภาพ ประวัติอาชญากรรม ประวัติการทำงาน และข้อมูลส่วนบุคคล เช่น ลายพิมพ์นิ้วมือ แผ่นบันทึกลักษณะเสียง เลขบัตรประชาชน หรือเลขหมายเอกสารส่วนตัวอื่น ๆ โดยห้ามไม่ให้ผู้อื่นนำข้อมูลดังกล่าวไปใช้เพื่อประโยชน์ในด้านใดด้านหนึ่งที่เจ้าของข้อมูลไม่ยินยอมให้นำไปใช้ประโยชน์
เนื่องจากปัจจุบันเราต้องติดต่อกับหน่วยงานและองค์กรต่าง ๆ ทั้งภาครัฐและเอกชน โดยใช้ข้อมูลส่วนตัวในการติดต่อเพื่อทำธุรกรรมต่าง ๆ เช่น การเปิดบัญชีเงินฝากกับสถาบันการเงิน เราต้องให้ข้อมูลส่วนตัวทั้งสำเนาบัตรประชาชน ที่อยู่ เบอร์โทรศัพท์เพื่อการติดต่อ ข้อมูลที่เราให้เหล่านี้คือใช้เพื่อการเปิดบัญชีเงินฝากกับธนาคารและเราอนุญาตให้ใช้เพื่อเปิดบัญชีกับธนาคารเท่านั้น แต่สิ่งที่เราต้องเผชิญในปัจจุบันคือ ข้อมูลดังกล่าวถูกนำไปใช้ในเชิงพาณิชย์ โดยขายข้อมูลต่าง ๆ ของเราให้หน่วยงานหรือองค์กรอื่น ๆ เพื่อไปใช้ประโยชน์ในด้านอื่น ๆ เช่น เรามักจะได้รับโทรศัพท์ติดต่อเพื่อเสนอขายสินค้าต่าง ๆ ทางโทรศัพท์ ทั้ง ๆ ที่เราไม่เคยติดต่อกับองค์กรดังกล่าวเลย ซึ่งถือเป็นการละเมิดสิทธิส่วนบุคคลของเรา
กฎหมายคุ้มครองข้อมูลส่วนบุคคล จะเข้ามาแก้ไขปัญหานี้ โดยระบุให้องค์กรหรือหน่วยงานที่เกี่ยวข้องที่เก็บข้อมูลส่วนบุคคลของประชาชนไม่ว่าจะเป็นบริษัทเอกชน หรือหน่วยงานภาครัฐ ต้องไม่นำเอาข้อมูลส่วนตัวของเราไปใช้ในกิจกรรมอื่น ๆ ที่เราไม่ยินยอม
องค์ประกอบของกฎหมายได้กำหนดให้ ผู้เก็บข้อมูล ไม่ว่าจะเป็นหน่วยงานของรัฐ หรือผู้ประกอบการเอกชนที่มีข้อมูลส่วนบุคคลเป็นจำนวนมาก หรือผู้ประกอบการที่มีกิจกรรมหลัก คือ การเก็บข้อมูล การใช้ข้อมูล หรือการเปิดเผยข้อมูล ต้องจัดให้มี “เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล” เป็นของตัวเอง ซึ่งอาจเป็นพนักงานของผู้ประกอบการนั้น ๆ หรือเป็นผู้รับจ้างให้บริการ (Outsource) มีหน้าที่ในการจัดเก็บและคุ้มครองข้อมูลส่วนบุคคลไม่ให้รั่วไหลไปยังบุคคลภายนอก เพื่อนำไปใช้ในกิจกรรมที่เจ้าของข้อมูลไม่ได้ให้การยินยอมนำไปใช้
เนื้อหาและวัตถุประสงค์ของกฎหมายอ่านแล้วน่าจะดีสำหรับประชาชน เพราะเป้าหมายคือการคุ้มครองข้อมูลส่วนบุคคล ซึ่งเราไม่เคยได้รับการคุ้มครองมาก่อน แต่เมื่อเข้าไปดูไส้ในของกฎหมายโดยเฉพาะมาตรา 4 ของกฎหมายฉบับนี้ที่มีข้อยกเว้นไม่ให้กฎหมายฉบับนี้มีผลบังคับใช้กับกิจการ 6 ประเภทคือ
การเก็บข้อมูล การใช้ข้อมูล และการเปิดเผยข้อมูล เพื่อประโยชน์ของตัวเองหรือกิจกรรมในครอบครัว, การดำเนินงานของหน่วยงานของรัฐที่มีหน้าที่รักษาความมั่นคงของรัฐ ซึ่งรวมถึง ความมั่นคงทางการคลังของรัฐ หรือการรักษาความปลอดภัยของประชาชน รวมทั้งหน้าที่เกี่ยวกับ การป้องกันและปราบปรามการฟอกเงิน นิติวิทยาศาสตร์ หรือการรักษาความมั่นคงปลอดภัยไซเบอร์, การเปิดเผยข้อมูลส่วนบุคคลเพื่อกิจการสื่อมวลชน ศิลปกรรม หรือวรรณกรรม ตามจริยธรรมของวิชาชีพหรือเป็นประโยชน์สาธารณะ, การทำงานของสภาผู้แทนราษฎร วุฒิสภา และรัฐสภา ในการพิจารณาตามอำนาจหน้าที่, การพิจารณาคดีของศาล และเจ้าหน้าที่ในกระบวนการยุติธรรม,และ การดำเนินการกับข้อมูลของบริษัทข้อมูลเครดิตและสมาชิก
ข้อยกเว้นดังกล่าวทำให้เกิดการโจมตีจากนักวิชาการว่า แก่นแท้ของกฎหมายฉบับนี้ไม่ได้ให้ความคุ้มครองกับการล่วงละเมิดข้อมูลอย่างแท้จริงให้กับประชาชน
แล้วจริงๆ กฎหมายฉบับนี้คุ้มครองหรือไม่คุ้มครองข้อมูลส่วนบุคคลกันแน่!
ปัจจุบันมีการใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลอยู่ในหลายประเทศ โดยเฉพาะในอาเซียน ได้แก่ อินโดนีเซีย มาเลเซีย ฟิลิปปินส์ เวียดนาม ไทย ในขณะที่สหรัฐอเมริกาและสหภาพยุโรป ก็ประกาศใช้กฎหมายนี้เช่นกัน
สหภาพยุโรป (European Union: EU) ได้ออก GDPR ( General Data Protection Regulation) เป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคล บังคับใช้เมื่อ 25 พฤษภาคม ปี 2561 ใน Article 2 ของกฎหมายฉบับนี้ก็มีการกำหนดหลักการที่ไม่ให้บังคับใช้กฎหมาย GDPR กับการดำเนินงานเกี่ยวกับการรักษาความมั่นคง หรือความปลอดภัยด้วยเช่นกัน
เรียกว่าการยกเว้นการใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคล เป็นหลักการที่ใช้กันในกฎหมายรูปแบบเดียวกัน แต่อาจจะแตกต่างการในเนื้อหาสาระ จึงไม่น่าจะสรุปว่า กฎหมายคุ้มครองข้อมูลส่วนบุคคลของไทยเป็นกฎหมายที่ไม่ได้ให้ความคุ้มครองกับประชาชน แต่ก็ต้องยอมรับว่ากฎหมายฉบับนี้ยังไม่สมบูรณ์ เพราะยังต้องมีการออกกฎหมายลูกและกฎระเบียบต่างๆ เพื่อให้กฎหมายชัดเจนและสามารถใช้งานตอบโจทย์กับความต้องการที่แท้จริงของประชาชนได้
อย่างน้อยการที่ประเทศไทยมีกฎหมายคุ้มครองข้อมูลส่วนบุคคล ก็ถือเป็นก้าวแรกของการปกป้องและคุ้มครองสิทธิขั้นพื้นฐานของคนไทย จากที่ไม่เคยมีมาก่อน ส่วนการแก้ไขและปรับปรุงเป็นเรื่องที่ต้องเกิดขึ้นในอนาคตไปพร้อม ๆ กับการเรียนรู้ร่วมกันของคนไทย เมื่อประเทศไทยก้าวข้ามไปสู่ยุคของเศรษฐกิจดิจิทัล ที่ข้อมูลมีส่วนสำคัญต่อการขับเคลื่อนเศรษฐกิจ แต่จะออกแบบในการเลือกใช้และยินยอมให้ใช้ข้อมูลกันในรูปแบบใด เป็นเรื่องที่ต้องพัฒนาไปร่วมกันเพื่อให้กฎหมายสมบูรณ์และเหมาะสมกับสังคมไทยในอนาคต