กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (MDES) ได้จัดประชุมชี้แจงและรับฟังความคิดเห็นต่างๆ เพิ่มเติมขึ้นจากประชาชนต่อร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. …. (กันยายน 2561) ระบุว่า ซึ่งในครั้งนี้ผู้ที่ได้แสดงความคิดเห็นต่อกฎหมายนั้นมาจากทั้งหน่วยงานรัฐ เอกชน ภาคการธนาคาร สายการบิน คมนาคม โทรคมนาคม เอเจนซี่ ผู้ให้บริการด้านการจัดเก็บข้อมูล และหน่วยงานวิจัย เป็นต้น
ร่างกฎหมายข้อมูลส่วนบุคคล ได้รับการปรับปรุงมาจาก General Data Protection Regulation (GDPR) ของสหภาพยุโรป (EU) ที่เคยสร้างความสั่นสะเทือนไปทั่วมาแล้ว เนื่องจากบทลงโทษนั้นสามารถทำให้บริษัทเอกชน องค์กร องค์การ ภาครัฐ และหน่วยงานความมั่นคง โดนปรับชนิดที่ไม่ได้ลืมตาอ้าปากกันเลยทีเดียว
อย่างไรก็ตามกระทรวงดิจิทัลฯ ได้มีการจาก GDPR มา แต่ในส่วนที่เป็นต้นแบบและสร้างการถกเถียงตลอดการแสดงความคิดเห็นก็คือ 3 สิ่งที่เรียกว่า
- ข้อมูลส่วนบุคคล (Data Owner)
- ผู้ควบคุมข้อมูล (Data controller)
- ผู้ประมวลผลข้อมูล (Data processor)
ตามมาตรา ๖ ของร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. …. (กันยายน 2561) ระบุว่า
ข้อมูลส่วนบุคคล (Data Owner) หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุ ตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ
ผู้ควบคุมข้อมูล (Data controller) หมายความว่า บุคคลหรือนิติบุคคลซึ่งมีอานาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
ผู้ประมวลผลข้อมูล (Data processor) หมายความว่า บุคคลหรือนิติบุคคล ซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล (Data controller) ทั้งนี้ บุคคลหรือนิติบุคคล ซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล
ซึ่งการตีความคำว่า ข้อมูลส่วนบุคคล (Data Owner) หากแปลตามคำอังกฤษอาจจะมีหมายความว่า เจ้าของข้อมูลส่วนบุคคล เพราะว่าการเขียนนิยามแบบอาจส่งผลต่อตัวของบุคคลที่ถูกระบุถึงได้ เนื่องจากข้อมูลบางอย่างตัวบุคคลไม่ได้สร้างขึ้นเองและไม่ได้เป็นเจ้าของข้อมูล เช่น นาย A ถ่ายรูปนาย A และ B ด้วยกัน ในรูป 1 รูปจะมี A และ B ในรูปเดียวกัน ซึ่งรูปนั้นเป็นข้อมูลส่วนบุคคลของ A และ B แต่คนที่สร้างข้อมูลนั้นเป็นนายเอง A
ถ้าเป็นแบบนั้นใครจะเป็นเจ้าของข้อมูล เพราะถ้ารูปถูกอัปโหลดลงไปใน Google Cloud หรือ Facebook ตกลง Google Cloud และ Facebook จะต้องขออนุญาตใคร กลับมาดูที่กฎหมายต้นแบบอย่าง General Data Protection Regulation (GDPR) ของสหภาพยุโรป (EU) ซึ่งได้นิยาม ข้อมูลส่วนบุคคล (Data Subject) หมายความว่าเขาต้องการปกป้องข้อมูลส่วนบุคคลโดยไม่สนว่าใครเป็นเจ้าของ ทางกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (MDES) อาจจะดีกว่าหรือไม่ หากจะเปลี่ยนคำนิยาม เจ้าของข้อมูลส่วนบุคคล เป็นคำว่า ผู้มีสิทธิในข้อมูลส่วนบุคคล หรือผู้มีส่วนเกี่ยวข้องกับข้อมูลส่วนบุคคลโดยมิจำเป็นต้องเป็นเจ้าของข้อมูลหรือผู้ให้ข้อมูลนั้นๆ
“มาตรา ๒ พระราชบัญญัติฯ นี้ให้ใช้บังคับเมื่อพ้นกำหนดหนึ่งร้อยแปดสิบวันนับแต่ วันประกาศในราชกิจจานุเบกษาเป็นต้นไป เว้นแต่บทบัญญัติในหมวด ๑ บทบัญญัติในหมวด ๔ และบทบัญญัติมาตรา ๘๙ มาตรา ๙๐ มาตรา ๙๑ มาตรา ๙๒ และมาตรา ๙๓ ให้ใช้บังคับตั้งแต่ วันถัดจากวันประกาศในราชกิจจานุเบกษาเป็นต้นไป “
ซึ่งตัวแทนจากสำนักงานคณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์และกิจการโทรคมนาคมแห่งชาติ (กสทช.) ได้เสนอเพิ่มเติมว่า อาจจะต้องนิยาม ข้อมูลส่วนบุคคล (Data Owner) ใหม่ว่าครอบคลุมทันกับเทคโนโลยีบางอย่างหรือไม่ หากเป็นเรื่อง Bigdata ที่กสทช. กำลังมี Internet of things ซึ่งเชื่อมโยงกับอุตสาหกรรมโทรคมนาคมทั้งหมด การนิยามดังกล่าวอาจต้องใช้กลไกการตีความ ส่งผลให้สร้างความไม่มั่นใจต่อผู้ประกอบการได้ จำเป็นต้องสร้างกฎหมายลูกออกมาเพิ่มเติม
ส่วนรูปแบบการยินยอม ซึ่งผู้ประกอบการเองมีความจำเป็นอาจใช้เวลาและความชัดเจนเพื่อปรับระบบให้รองรับกฎหมายนาน การแก้ไขมีขั้นตอนเกี่ยวกับ Code เข้ามาเกี่ยวข้องด้วยมากมาย กรณีที่ระบุบังคับใชภายใน 180 วัน น่าจะเป็นระยะเวลาที่กระชั้นชิดเกินไป
*ขณะที่มาตรา ๔ ตามพระราชบัญญัติฯ เหมือนจะมีปัญหาเหมือนกัน โดยเฉพาะวงเล็บ ๖ ระบุว่า “การดำเนินการกับข้อมูลของบริษัทข้อมูลเครดิตและสมาชิกตามกฎหมายว่าด้วยการประกอบธุรกิจข้อมูลเครดิต
การยกเว้นไม่ให้นำบทบัญญัติแห่งพระราชบัญญัตินี้ทั้งหมดหรือแต่บางส่วนมาใช้บังคับแก่ผู้ควบคุมข้อมูลส่วนบุคคลในลักษณะใด กิจการใด หรือหน่วยงานใดทำนองเดียวกับผู้ควบคุมข้อมูลส่วนบุคคลตามวรรคหนึ่ง หรือเพื่อประโยชน์สาธารณะอื่นใด ให้ตราเป็นพระราชกฤษฎีกา”
หมายความว่า กฎหมายนี้ ไม่คุ้มครองข้อมูลส่วนบุคคลในส่วนของภาคการเงิน ที่เป็นการยกเว้นทั้งกิจการ (Industry) ของบริษัทข้อมูลเครดิต ตรงนี้ต้องระวังเพราะการยกเว้นทั้งกิจการ ถ้าเป็นกฎหมายอื่นๆ จะใช้คำว่า ‘กิจกรรม’ เท่ากับว่าข้อมูลส่วนบุคคลจะถูกยกเว้นและนำไปใช้ได้ทั้งอุตสาหกรรมการเงินได้ทั้งหมด จะไม่มีใครเข้าไปกำกับดูแลการข้อมูลส่วนบุคคลในอุตสาหกรรมธนาคาร ซึ่งพระราชบัญญัติข้อมูลเครดิตเองก็กำลังแก้ไขที่จะเพิ่มกิจการเข้าไปอีก 1 หมวดด้วย
นอกจากนี้ หากครอบคลุมไปถึงธนาคารที่มีแบงก์ชาติออกกฎหมายออกมาบ้างเกี่ยวกับการดูแลข้อมูล แต่ไม่ได้คุ้มครองข้อมูลส่วนบุคคลเป็นเรื่องของ Data Security มากกว่า หากตีความว่ายกเว้นทั้งกิจการ (Industry) ไปถึงแบงก์ด้วย เท่ากับว่าไม่มีกฎหมายใดคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภคจากภาคการเงินเลย
ที่สำคัญยังมีประเด็นเรื่องของ ผู้ควบคุมข้อมูล (Data controller) และผู้ประมวลผลข้อมูล (Data processor) เกี่ยวกับบทบัญญัติลงโทษ จุดต่างระหว่างผู้ควบคุมข้อมูล (Data controller) และผู้ประมวลผลข้อมูล (Data processor) อยู่ตรงที่ถ้าผู้ประมวลผลข้อมูล ไม่ทำงานจะทำตามคำสั่งของผู้ควบคุมข้อมูล มีการฝ่าฝืนผู้ประมวลผลข้อมูลจะกลายเป็นผู้ควบคุมข้อมูลทันที ปกติหากเกิดความเสียหายขึ้นผู้ควบคุมข้อมูลจะต้องได้รับโทษ แต่กฎหมายดังกล่าวหากผู้ประมวลผลข้อมูลฝ่าฝืนเกินหน้าที่จากที่ได้รับมอบหมายจากผู้ควบคุมข้อมูลจนเกิดความเสียหายขึ้น จะถูกทำให้เป็นผู้ควบคุมข้อมูลทันทีและรับโทษในฐานะ ผู้ควบคุมข้อมูล (Data controller) เพราะตัวผู้ประมวลผลข้อมูล (Data processor) ถือข้อมูลส่วนบุคคลเช่นกัน แม้โดยปกติจะไม่มีกฎหมายใดในโลกที่ให้ผู้ประมวลผลข้อมูลมารับโทษเป็นผู้ควบคุมข้อมูล
*ร่างกฎหมายข้อมูลส่วนบุคคล ที่กระทรวงเสนอเป็นกฎหมายกลางสำหรับการใช้คุ้มครองคนไทยและหน่วยงานทุกระดับ การเป็นกฎหมายกลาง ถ้ามีกฎหมายที่เกี่ยวข้องอยู่แล้วให้ยึดที่กฎหมายเดิม กฎหมายกลางมีไว้เพื่อกรณีที่ยังไม่มีกฎหมายที่มารองรับให้มาดูที่กฎหมายนี้ หรือหากมีอยู่แล้ว แต่บทบัญญัตินิยามมีความไม่ชัดเจนให้กลับมาดูที่กฎหมายนี้
กฎหมายนี้จึงเกิดขึ้นมาเพื่อเอื้อยประโยชน์มากกว่า การเข้ามาควบคุมกำกับดูแลใดๆ หลายฝ่ายไม่ต้องเป็นกังวล เพราะเรายังมีเวลาให้ทุกฝ่ายแสดงความคิดเห็นและเปิดเวทีเพื่อรับคำแนะนำ เพื่อประกอบเมื่อยื่นไปยังสภานิติบัญญัติแห่งชาติ (สนช.)
อย่างไรก็ตาม ในอนาคตตามร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. …. (กันยายน 2561) จะมีหน่วยงานและเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลขึ้นมา เพื่ออำนวยความสะดวกกับประชาชน เป็นสำนักงานที่จะตั้งขึ้นใหม่
อ่านร่างกฎหมายเพิ่มเติมได้ที่
