สถาบันนโยบายศึกษา : Institute of Public Policy Studies (IPPS)

ข้อแนะนำเชิงนโนบายด้านข้อมูลส่วนบุคคล (Data Privacy Guideline) (ตอนที่ 1)

นคร เสรีรักษ์

1. บทนำ: ข้อมูลส่วนบุคคล
      ข้อมูลมีความสำคัญอย่างยิ่ง โดยเฉพาะในโลกปัจจุบัน เนื่องจากสังคมสมัยใหม่ เป็นสังคมแห่งการติดต่อสื่อสาร ข้อมูลข่าวสารจึงมีความสำคัญต่อการวางแผน ระบบการทำงานและการบริหารจัดการ การดำเนินกิจกรรมต่างๆ ไม่ว่าจะเป็นภาครัฐหรือเอกชน มีความจำเป็นต้องมีข้อมูลไว้ในครอบครองไว้ให้ได้มากที่สุด ซึ่งในข้อมูลข่าวสารจำนวนมากมายมหาศาลที่มีการครอบครอง หรือมีการแลกเปลี่ยนหรือแย่งชิงแข่งขันกันครอบครองนี้ มีข้อมูลข่าวสารส่วนหนึ่งเป็นข้อมูลส่วนบุคคล ปัญหาที่เกิดขึ้นในเรื่องการคุ้มครองข้อมูลส่วนบุคคลนี้เกิดขึ้นเนื่องจากการเข้าถึงข้อมูลข่าวสารที่ทำได้สะดวกและรวดเร็วมาก โดยเฉพาะความสามารถในการจัดเก็บด้วยคอมพิวเตอร์ การสืบค้นข้อมูล การเข้าถึงข้อมูล การรับ-ส่งข้อมูล การแลกเปลี่ยนข้อมูลข่าวสารนั้นเกิดขึ้นตลอดเวลาและมีอยู่ทั่วไป การสะสมข้อมูลไว้ในครอบครองเพื่อหาประโยชน์จากข้อมูลนั้นมีมากขึ้นและมีอยู่ในทุกๆ วงการธุรกิจ ทั้งนี้ เพื่อเพิ่มโอกาสในการดำเนินธุรกิจ แต่ผลกระทบต่อบุคคลที่เกิดขึ้นคือการนำข้อมูลส่วนบุคคลไปใช้ ประมวลผล หรือเปิดเผย ทำให้บุคคลผู้เป็นเจ้าของข้อมูลอาจได้รับความเสียหาย เช่น อาจมีผลต่อความปลอดภัยต่อชีวิต ร่างกาย สิทธิ และเสรีภาพของบุคคล หรือการนำข้อมูลข่าวสารไปใช้ประโยชน์ในทางพาณิชย์โดยปราศจากการได้รับอนุญาตจากผู้เป็นเจ้าของข้อมูล ทำให้เกิดความเสียหายหรือความเดือดร้อนรำคาญ

      เป็นที่ยอมรับกันทั่วไปว่า ข้อมูลส่วนบุคคลเป็นส่วนหนึ่งของสิทธิในความเป็นอยู่ส่วนตัว (Right of Privacy) การคุ้มครองข้อมูลส่วนบุคคลเป็นพัฒนาการในเรื่องการคุ้มครองชีวิต ร่างกาย และทรัพย์สินของบุคคล ซึ่งได้ขยายขอบเขตการคุ้มครองไปถึงการคุ้มครองความคิด ความรู้สึกที่แสดงออกมาของบุคคล สิทธิดังกล่าวนี้จึงเป็นส่วนหนึ่งของสิทธิส่วนบุคคล ในการที่จะอยู่ลำพังปราศจากการรบกวนหรือขัดขวาง และครอบคลุมถึงสิทธิขั้นพื้นฐานของบุคคลไว้ทั้งหมด เช่น ความเป็นส่วนตัวในร่างกาย สิทธิในการเดินทางติดต่อสื่อสาร สิทธิในการรับรู้ข้อมูลข่าวสาร และยังเกี่ยวโยงถึงรากฐานของสิทธิมนุษยชน เช่น สิทธิและเสรีภาพในตัวของบุคคลอีกด้วย

      ประเด็นของการก้าวก่ายข้อมูลส่วนบุคคลซึ่งถือว่าเป็นการละเมิดสิทธิความเป็นส่วนตัวนั้น เนื่องจากสิทธิส่วนบุคคลนี้เป็นสิทธิตามกฎหมายของบุคคลอันมีสถานะที่ต่างจากสิทธิอื่นๆ และการล่วงเกินสิทธิประเภทนี้ถือว่าเป็นการกระทำละเมิด (Tort) ซึ่งถือว่า บุคคลใดโดยปราศจากเหตุอันควรเข้าสอดแทรกอย่างร้ายแรงต่อประโยชน์ของผู้อื่น โดยทำให้กิจกรรมของบุคคลนั้นเป็นที่รู้ถึงบุคคลที่สาม หรือทำให้รูปภาพของบุคคลอื่นดังกล่าวปรากฏต่อสาธารณะ จะต้องรับผิดต่อบุคคลอื่นเช่นว่านั้น

      กฎหมายการคุ้มครองข้อมูลส่วนบุคคลส่วนใหญ่ให้ความสำคัญแก่กระบวนการจัดเก็บข้อมูลเป็นอย่างมาก การจัดเก็บข้อมูลต้องดำเนินการอย่างมีประสิทธิภาพ มีความเป็นธรรมและถูกต้องตามกฎหมาย ซึ่งกระบวนการต่างๆ ในการจัดเก็บข้อมูลส่วนบุคคลต้องเป็นไปในแนวทางที่กฎหมายกำหนดไว้อย่างเคร่งครัด ซึ่งได้แก่วิธีการจัดเก็บรวบรวมข้อมูลส่วนบุคคล การเปิดเผยข้อมูลส่วนบุคคล การเข้าถึงข้อมูลส่วนบุคคล การตรวจสอบความถูกต้องของการเก็บรวบรวมข้อมูลและการประมวลผลข้อมูล และการรักษาความปลอดภัยแก่ข้อมูล ซึ่งหลักการดังกล่าวนี้ ถือเป็นพื้นฐานในบทบัญญัติเนื้อหาของกฎหมายคุ้มครองข้อมูลส่วนบุคคล

2. การคุ้มครองข้อมูลในต่างประเทศ
      การคุ้มครองข้อมูลตามกฎหมายคุ้มครองข้อมูลในต่างประเทศส่วนใหญ่ จะครอบคลุมประเด็นเกี่ยวกับอำนาจควบคุมเหนือข้อมูลในการรวบรวม และการนำข้อมูลไปใช้ประโยชน์ มากกว่าที่จะมองว่าข้อมูลอยู่ที่ใด หรืออยู่ในการครอบครองของใคร เพราะโดยลักษณะและความสามารถอันแทบไร้ข้อจำกัดของระบบคอมพิวเตอร์ ที่สามารถครอบครองและควบคุมการเคลื่อนไหวของข้อมูลจากที่หนึ่งไปยังอีกที่หนึ่งได้อย่างง่ายดายและรวดเร็ว ซึ่งในกฎหมายการคุ้มครองของนานาประเทศอาจมีมาตรฐานการคุ้มครองข้อมูลที่ไม่เท่าเทียมกัน แต่ถึงแม้ว่าจะไม่สามารถกำหนดรูปแบบของขอบเขตการคุ้มครองให้ได้มาตรฐานเดียวกันในทุกประเทศ ในภาพรวมของบทบัญญัติกฎหมายทั้งหลายนี้ ตั้งอยู่บนพื้นฐานเดียวกัน ดังนี้

      1. ในการจัดเก็บข้อมูล ต้องมีการบอกกล่าว หรือการแจ้ง ซึ่งในบางครั้งอาจหมายถึง การจดทะเบียน หรือการทำเป็นเอกสาร หรือ การได้ใบอนุญาต ซึ่งหมายถึงการได้รับอำนาจในการดำเนินการจัดเก็บข้อมูล ซึ่งผู้ดำเนินการ (Data controller) ต้องยื่นเอกสารต่อเจ้าพนักงานเกี่ยวกับการดำเนินการเกี่ยวกับข้อมูลที่ถูกต้อง ซึ่งหมายถึงการกำหนดขอบเขตและวัตถุประสงค์ และการประมวลผลที่แน่นอนชัดเจน
      2. การคุ้มครองข้อมูลที่เป็นข้อมูลส่วนตัวโดยเฉพาะ (Sensitive data) เป็นประเด็นที่แต่ละประเทศต้องให้ความคุ้มครองอย่างเคร่งครัด แม้ว่าในคำจำกัดความของข้อมูลส่วนตัวโดยเฉพาะจะไม่สามารถกำหนดได้อย่างชัดเจนก็ตาม เช่น ในเรื่องเกี่ยวกับการเมือง ลัทธิทางศาสนา แนวทางในการดำเนินชีวิต การเป็นสมาชิกสหพันธ์ ข้อมูลเกี่ยวกับสุขภาพ พฤติกรรมทางเพศและประวัติอาชญากรรม เป็นต้น ซึ่งการเก็บหรือการประมวลผลอาจมีได้โดยการให้ความยินยอมของเจ้าของข้อมูลอย่างชัดเจน หรืออาจกำหนดว่าไม่สามารถที่จะส่งข้อมูลเหล่านี้ออกนอกประเทศได้ หรืออาจให้ความคุ้มครองที่มากกว่านี้ คือห้ามมิให้มีการดำเนินการใดๆ เกี่ยวกับข้อมูลเหล่านี้เลย เว้นแต่กฎหมายให้อำนาจ ซึ่งข้อมูลเหล่านี้ อาจไม่ได้อยู่ในความคุ้มครองของ data controller แต่อาจอยู่ในความครอบครองของนายจ้าง ซึ่งได้เก็บข้อมูลข่าวสารของลูกจ้างไว้ เช่น ประวัติการรักษาสุขภาพ หรือข้อมูลเกี่ยวกับความสัมพันธ์ในการทำสัญญา

      3. การส่งข้อมูลระหว่างประเทศ (International data transfers or Transborder data flows) เป็นเรื่องที่นานาประเทศให้ความสำคัญ โดยส่วนมากจะไม่ยินยอมให้มีการเข้าถึงข้อมูลหรือส่งข้อมูลออกไปยังประเทศที่ไม่มีการคุ้มครองข้อมูลในระดับมาตรฐานที่น่าพอใจ เช่น ในกรณีการอนุญาตให้มีเสรีในการส่งข้อมูลภายในประเทศสมาชิกของสหภาพยุโรป และในขณะเดียวกันได้มีการห้ามการส่งข้อมูลของประเทศสมาชิกสหภาพยุโรปไปยังประเทศที่ไม่ได้เป็นสมาชิก และประเทศซึ่งไม่มีมาตรการที่เพียงพอในการคุ้มครองข้อมูล

      4. ส่วนมากของบทบัญญัติคุ้มครองข้อมูลจะเริ่มต้นด้วยขอบเขตในการคุ้มครอง เช่น การเก็บข้อมูล ขอบเขตการประมวลผลข้อมูล ที่อาจมีได้ในระยะเวลาที่กำหนด ความชอบธรรม ซึ่งอยู่บนพื้นฐานของการให้ความยินยอม ในการเก็บ ประมวลผล และเปิดเผยข้อมูลของเจ้าของข้อมูล (Data subject) ภาระหน้าที่ในการให้การรับรองว่าข้อมูลดังกล่าว จะได้รับการแก้ไขปรับปรุงให้ทันสมัยอยู่เสมอ ซึ่งต้องทำให้เพียงพอแก่การยอมรับโดยการกำหนดเป็นนโยบาย และกระบวนการ รวมทั้งการมีมาตรการรักษาความปลอดภัยอย่างเพียงพอ ที่จะป้องกันการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต โดยเฉพาะอย่างยิ่งข้อมูลที่มีการส่งด้วยวิธีการทางอิเล็กทรอนิกส์

      5. สิทธิของเจ้าของข้อมูล ซึ่งได้แก่ สิทธิในการอนุญาตให้ใช้ข้อมูล สิทธิในการเข้าถึงข้อมูลของตนเอง สิทธิในการได้รับการแจ้งการใช้ข้อมูล สิทธิในการแก้ไขข้อมูลเมื่อพบว่าข้อมูลของตนมีความผิดพลาด และสิทธิในการได้รับการเยียวยาเมื่อได้รับความเสียหาย

      6. การห้ามการกระทำบางอย่างในกิจกรรมบางอย่างบางประเภท เพื่อทำให้การคุ้มครองข้อมูลสำเร็จด้วยดี

(อ่านต่อฉบับหน้า)

---------------------------------------------------------------------------------------
¹ กงจักร โพธิ์พร้อม, “ปัญหาทางกฎหมายมหาชนบางประการเกี่ยวด้วยการควบคุมการใช้ข่าวสารโดยเครื่องคอมพิวเตอร์,” (วิทยานิพนธ์นิติศาสตรมหาบัณฑิต จุฬาลงกรณ์มหาวิทยาลัย, 2529).

From : http://www.fpps.or.th