ปฏิรูปการเมือง
การคุ้มครองข้อมูลส่วนบุคคลของพลเมือง “การปกป้องข้อมูลส่วนบุคคล : ความตระหนักต่อการละเมิดทางอิเล็กทรอนิกส์”

      สถาบันนโยบายศึกษา โดยการสนับสนุนของมูลนิธิคอนราด อาเดนาวร์ ร่วมกับสำนักงานคณะกรรมการสิทธิมนุษยชนแห่งชาติ วิทยาลัยการปกครองท้องถิ่น ม.ขอนแก่น และ Privacy Thailand ได้มีการจัดเวทีเสวนา ภายใต้โครงการ “การคุ้มครองข้อมูลส่วนบุคคลของพลเมือง” เรื่อง “การปกป้องข้อมูลส่วนบุคคล : ความตระหนักต่อการละเมิดทางอิเล็กทรอนิกส์” เมื่อวันที่ 28 สิงหาคม 2562 ที่โรงแรมเมอร์เคียว ไอบีส กรุงเทพ สยาม เขตปทุมวัน กรุงเทพฯ

      คุณทิพย์พาพร ตันติสุนทร ผู้อำนวยการ สถาบันนโยบายศึกษา กล่าวต้อนรับ และเปิดการเสวนาว่า การจัดการเสวนาที่ผ่านมา 4 ครั้ง 4 หัวข้อ คือ 1. สิทธิความเป็นส่วนตัว : แนวคิด และการปกป้องโดยกฎหมาย 2. ข้อมูลส่วนบุคคล : กฎหมาย ระเบียบ และแนวทางปฏิบัติ 3. สิทธิความเป็นส่วนตัว : บทบาทของสื่อและความรับผิดชอบในการสร้างความตระหนักต่อสังคม และ 4. ข้อมูลส่วนบุคคล กับความมั่นคงสาธารณะ มีข้อค้นพบโดยสรุปเป็นข้อสังเกต คือ (1) ลักษณะปรัชญา/กฎหมายต่าง ๆ ที่เกิดขึ้นในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เป็นการใช้รูปแบบกฎหมายในยุโรปเป็นสำคัญ (2) ลักษณะของสื่อมวลชน มีการเลือกใช้ข้อมูลส่วนบุคคลในเชิงปัจเจก ไม่ได้เก็บเชิงระบบ ทำให้อาจจะมีลักษณะเบี่ยงเบน หรือเป็นการใช้ข้อมูลตามเป้าหมาย หรือวัตถุประสงค์ และ (3) การแสวงหาแนวทางปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสม จะต้องสร้างสมดุลระหว่างประโยชน์ส่วนตนและสาธารณะ ในการใช้หรือลิดรอนสิทธิส่วนบุคคล เป็นสำคัญ และวันนี้ เป็นครั้งที่ 5 จะได้มีการทำความเข้าใจถึงการปกป้องข้อมูลส่วนบุคคล และความตระหนักต่อการละเมิดทางอิเล็กทรอนิกส์ ที่ทุกคนก็เป็นเจ้าของสื่อเองได้ แต่ก็ยังไม่ตระหนักในการดูแลข้อมูลของตนเอง และอาจทำการละเมิดผู้อื่นอีกด้วย

      คุณสมชาติ เจศรีชัย ผู้อำนวยการฝ่ายแผนงาน สถาบันนโยบายศึกษา ซึ่งเป็นผู้ดำเนินรายการ กล่าวว่า เนื่องจากปัจจุบันมีการล่วงละเมิดสิทธิความเป็นส่วนตัวของข้อมูลส่วนบุคคลจำนวนมาก จนสร้างความเดือดร้อนรำคาญ หรือความเสียหายให้แก่เจ้าของข้อมูลส่วนบุคคล ประกอบกับความก้าวหน้าของเทคโนโลยีทำให้การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล อันเป็นการละเมิดดังกล่าว

      ประเด็นที่ต้องหาความชัดเจนร่วมกัน คือ (1) การกำหนดขอบเขตและความเชื่อมโยงระหว่างความเป็นส่วนตัวของบุคคล หรือสิทธิความเป็นส่วนตัว (right to privacy) กับลักษณะของข้อมูลส่วนบุคคล (personal data) ที่ควรจำแนกและกำหนดขอบเขตที่เหมาะสมในการจัดเก็บอัตลักษณ์/เอกลักษณ์บุคคลเพื่อประโยชน์ต่าง ๆ อาทิ การเก็บลายพิมพ์นิ้วมือ ภาพถ่ายบุคคล และอื่น ๆ ซึ่งจะใช้กับการสืบค้น (tracking) ในกรณีที่มีความจำเป็น และ (2) การจัดการกับข้อมูลที่นำเข้าระบบสังคมออนไลน์ หรืออิเล็กทรอนิกส์

      คุณโสพล จริงจิตร เลขาธิการคณะกรรมการสิทธิมนุษยชนแห่งชาติ วิทยากรนำเสวนาท่านแรก ได้กล่าวว่า เรื่องข้อมูลส่วนบุคคล (personal data) ถือเป็นส่วนหนึ่งของสิทธิส่วนบุคคล(privacy rights) เป็นประเด็นร่วมของสังคมโลก สำนักงานคณะกรรมการสิทธิมนุษยชนแห่งชาติ (กสม.) ให้ความสำคัญและทำ MOU กับสถาบันนโยบายศึกษาเพื่อขับเคลื่อนร่วมกัน ภายใต้อำนาจหน้าที่การตรวจสอบของคณะกรรมการสิทธิมนุษยชนแห่งชาติ ตามพระราชบัญญัติประกอบรัฐธรรมนูญว่าด้วยคณะกรรมการสิทธิมนุษยชนแห่งชาติ พ.ศ. 2542 และพระราชบัญญัติคณะกรรมการสิทธิมนุษยชนแห่งชาติ พ.ศ. 2560 เมื่อมีเรื่องร้องเรียนต่อคณะกรรมการสิทธิมนุษยชนแห่งชาติ ตรวจสอบแล้วพบว่ามีการละเมิดการใช้ข้อมูลส่วนบุคคลในหลายกรณี จากประสบการณ์มีกรณีที่สำคัญๆ ได้แก่ ข้อมูลลูกค้าในระบบบัตรเครดิตของธนาคารถูกละเมิด/ขายเพื่อนำไปใช้หาลูกค้าประกันภัย ข้อมูลการออกหมายจับอาชญากรเมื่อพ้นโทษแล้วยังค้างอยู่ในระบบ ข้อมูลทะเบียนราษฎร์ของกระทรวงมหาดไทยที่ส่งให้หน่วยรัฐอื่นแล้วมีการรั่วไหล ข้อมูลคนพิการผู้ใช้บริการโรงพยาบาลในระบบสาธารณสุขขาดความน่าเชื่อถือทำให้ยังต้องใช้บัตรประชาชนแสดงตัวตน ข้อมูลการซื้อตั๋วเครื่องบินของบริษัทสายการบินมีการรั่วไหลไปที่บริษัทสายการบินอื่นหรือบริษัทรับจองที่พัก ข้อมูลการซื้อขายสินค้าทางออนไลน์ที่มีการโพสต์บัญชีลูกค้า ข้อมูลภาพจากกล้องวงจรปิดในสถานที่สาธารณะเมื่อจะนำมาใช้ตรวจสอบเหตุการณ์แล้วปรากฏว่าเครื่องบันทึกภาพเสียหรือการบันทึกภาพในสถานที่ที่ละเมิดสิทธิส่วนบุคคลเช่นในห้องน้ำ กล่าวโดยสรุป เรื่องการเก็บ การใช้และการเปิดเผยข้อมูลส่วนบุคคลเหล่านี้มีประเด็นที่ต้องตระหนัก คือ 1. การให้ความยินยอมจากเจ้าของข้อมูลส่วนบุคคล 2. รัฐควรเข้าถึงข้อมูลส่วนบุคคลได้เฉพาะที่จำเป็นหรือมีข้อจำกัดเท่านั้น 3. การใช้และเปิดเผยข้อมูลส่วนบุคคลเพื่อประโยชน์สาธารณะต้องควบคุมได้ ในยุคปัจจุบันที่มีการพัฒนาเทคโนโลยีวิศวกรรมการเขียนโปรแกรมควบคุมการทำงาน(software engineering) และนำเทคโนโลยีปัญญาประดิษฐ์ (AI : Artificial Intelligence) มาใช้งานต่างๆ ต้องวางหลักว่าการพัฒนาเทคโนโลยีเหล่านี้ไม่ควรใช้เพื่อคุกคามชีวิตมนุษย์และสิทธิส่วนบุคคล ตัวอย่างเช่น การใช้อากาศยานไร้คนขับ (drone) หากมีการใส่ข้อมูลส่วนบุคคลเข้าไปอาจใช้เป็นอาวุธสังหารได้ เป็นต้น

      คุณชวน หวังสุนทรชัย นักวิจัย สถาบันวิจัยเพื่อการพัฒนาประเทศไทย (TDRI) ได้นำเสนอว่า เรื่องการปกป้องข้อมูลส่วนบุคคล : ความตระหนักต่อการละเมิดทางอิเล็กทรอนิกส์ เป็นคนละเรื่องกับความมั่นคงทางไซเบอร์ (cyber security) ขอจำแนกการเสวนาเป็น 4 หัวข้อ ดังนี้

1.) การเข้าถึงข้อมูลส่วนบุคคลในระบบออนไลน์ นโยบายส่วนบุคคล (privacy policy) ของผู้ให้บริการระบบออนไลน์ (provider) ที่ผู้ให้บริการสามารถใช้โปรแกรมบันทึกข้อมูลส่วนบุคคลบางส่วนของผู้ใช้ (user) ที่เรียกว่า “เศษข้อมูล” (cookies) เพื่อนำไปใช้เสนอให้บริการอื่นๆ ได้ แม้จะไม่รู้ชื่อนามสกุลของผู้ใช้ การสร้างโปรแกรมติดตาม (Anti-Tracker) เมื่อผู้ใช้โพสต์ข้อมูล digital foot print เข้ามาในระบบทำให้เรียนรู้พฤติกรรมได้ การที่ผู้ใช้ขอติดตั้งใช้งานบาง application ที่ผู้ให้บริการมีเงื่อนไขก่อนติดตั้ง เช่น ขออนุญาตในการจัดการโทรศัพท์ (make and manage phone calls) ของผู้ใช้ เป็นต้น หากผู้ใช้ไม่ยินยอมก็จะติดตั้งไม่ได้ นโยบายนี้ทำให้ผู้ใช้ต้องยินยอมหรือยินยอมเชิงบังคับ

2.) กลไกของกฎหมายคุ้มครองข้อมูลส่วนบุคคล ประเด็นแรกหลักการสำคัญคือ เรื่อง “ความชอบด้วยกฎหมายในการประมวลผลข้อมูล” (legitimacy of data processing) ว่าด้วยการเก็บการใช้และการเปิดเผย ถ้ามีเหตุโดยชอบด้วยกฎหมายไม่จำเป็นต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ตามมาตรา 24 พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ระบุถึงกรณีไม่จำเป็นต้องได้รับความยินยอม อาทิ เป็นการกระทำเพื่อการทำเอกสารประวัติศาสตร์หรือจดหมายเหตุ เพื่อป้องกันหรือระงับอันตรายต่อชีวิตร่างกาย เพื่อการปฏิบัติตามสัญญา เพื่อประโยชน์สาธารณะ ฯลฯ แต่ถ้าเป็นกรณีการกระทำไม่ชอบด้วยกฎหมายแล้วมีคำถามว่าต้องให้ความยินยอมหรือไม่ ถ้าให้ความยินยอมถือว่าเป็นการปฏิบัติตามสัญญา ซึ่งไม่เป็นการละเมิด ประเด็นที่สอง เรื่องนโยบายความเป็นส่วนตัว (privacy policy) ของผู้ให้บริการรายต่างๆ โดยทั่วไปผู้ให้บริการจะกำหนดให้ผู้ใช้ต้องอ่านนโยบายการขอใช้บริการก่อน คำถามคือ ผู้ใช้ได้อ่านนโยบายหรือไม่ เนื่องจากนโยบายของแต่ละ application มีเนื้อหาความยาวของถ้อยคำมากน้อยแตกต่างกัน เช่น นโยบายการขอใช้ google มีถ้อยคำประมาณ 12,900 คำ, Facebook มี 5,300 คำ, Line มี 6,900 คำ เป็นต้น บุคคลปกติจะอ่านหนังสือเฉลี่ย 200 คำต่อนาที มูลนิธิคุ้มครองผู้บริโภคในประเทศนอร์เวย์ได้ศึกษาพบว่าบุคคลจะต้องอ่านนโยบายดังกล่าวโดยเฉลี่ย 25,000 คำ และจากการทำวิจัยพบว่า ร้อยละ 74 ของผู้ใช้งานไม่อ่านนโยบายความเป็นส่วนตัว และร้อยละ 98 ของผู้ใช้งานที่อ่านนโยบายความเป็นส่วนตัวแต่พลาดเนื้อหาสำคัญ กล่าวโดยสรุปคือผู้ใช้บริการไม่มีใครอ่านนโยบายเหล่านี้ และถ้าผู้ใช้บริการอ่านแล้วสามารถจะทำอะไรต่อได้หรือไม่

      3.) แนวทางเบื้องต้นในการดูแลรักษาข้อมูลส่วนบุคคล ข้อควรปฏิบัติคือ ประการที่หนึ่งควรติดตั้ง anti-tracker เช่น anti-virus ซึ่งอาจมีค่าใช้จ่ายเพิ่ม ประการที่สองควรใช้ private browser (incognito) ซึ่งป้องกันการถูกติดตาม (track) และการถูกบันทึก cookies ได้ระดับหนึ่ง ประการที่สามใช้บริการเท่าที่จำเป็น และประการที่สี่ควรตั้งค่า permission ในอุปกรณ์เพื่อใช้ข้อมูลเท่าที่จำเป็น ในหัวข้อนี้ยังรวมถึงเรื่องสิทธิในการขอให้ลบข้อมูลส่วนบุคคลในระบบออนไลน์ (Right to be forgotten) ซึ่งดูเหมือนเป็นสิทธิพิเศษ แต่มันไม่ใช่สิทธิเด็ดขาด ยังต้องชั่งน้ำหนักประโยชน์(จากการลบข้อมูล)กับคุณค่าอื่นๆ อาทิ เสรีภาพของสื่อในการนำเสนอข่าว ความมั่นคงปลอดภัยสาธารณะ กฎหมายข้อบังคับในแต่ละธุรกิจ ตัวอย่างเช่น การลบข้อมูลในเครดิตบูโร การลบข้อมูลคนต่างชาติที่เดินทางเข้าออกประเทศ สิ่งเหล่านี้ลบข้อมูลได้จริงหรือไม่ ในปัจจุบันการลบข้อมูลที่ทำได้ผลเป็นเพียงการลบข้อมูลการค้นหาตัวบุคคลใน Search Directory จาก Search Engine เท่านั้น แต่ข้อมูลส่วนบุคคลไม่ได้ถูกลบ โดยสรุปแล้วการลบข้อมูลในหัวข้อนี้ต้องดูเป็นกรณีๆ ไป (case-by-case basis)

      4.) ประเด็นชวนคิด (Upside of Post-Privacy) มีข้อคิดว่าผู้ให้บริการสามารถปฏิบัติตามนโยบายอย่างมีประสิทธิภาพมากยิ่งขึ้น ผู้ใช้ก็จะได้รับบริการที่ดีขึ้น เช่น โปรแกรมการเรียกใช้บริการรถแท็กซี่ที่เรียนรู้ถึงวันเกิดของผู้ใช้ การจองตั๋วเครื่องบินที่เรียนรู้ว่าผู้ใช้ชอบทานอะไร การใช้ google map ที่บอกว่าสถานที่ใดมีการจราจรหนาแน่นหรือไม่ สิ่งเหล่านี้ผู้ใช้เป็นผู้ให้ข้อมูลส่วนบุคคล ทั้งนั้น รวมถึง Facebook ที่มีโปรแกรมคัดกรอง (specialize edition) เนื้อหา/ข้อความ/รูปภาพที่ไม่มีคุณภาพหรือความเหมาะสมออกไป การออกกฎหมายข้อมูลส่วนบุคคล (privacy law) ในบางประเทศ (รัฐแคลิฟอร์เนีย สหรัฐอเมริกา) มีความพยายามกำหนดมูลค่าของข้อมูลส่วนบุคคลเพื่อให้บุคคลมีสิทธิได้รับประโยชน์จากการใช้ข้อมูลส่วนบุคคลของเขา ซึ่งในหลักการดูดี แต่ในโลกความจริงยังมีปัญหา จากหัวข้อทั้งสี่ดังกล่าวแล้ว โดยสรุปพบว่า 1. ไม่ใช่การเก็บข้อมูลทุกกรณีที่เป็นการละเมิดความเป็นส่วนตัว 2. กฎหมายมีเพื่อหยิบยื่นสิทธิให้กับบุคคล แต่ในทางปฏิบัติยังคงมีปัญหา 3. มีหลายมาตรการที่เราสามารถทำได้ด้วยตนเอง แต่นั่นอาจไม่ใช่ทางออกที่ดีที่สุดสำหรับทุกคน 4. สิทธิที่จะถูกลืมมีอยู่ในกฎหมายไทย แต่การบังคับใช้ยังต้องรอความชัดเจนต่อไป

      ดังนั้น สังคมไทยอาจต้องการมีหน่วยงานกลาง (agency) เพื่อทำหน้าที่ตรวจสอบการคุ้มครองข้อมูลส่วนบุคคลและการบังคับใช้กฎหมายเพื่อรักษาประโยชน์ของประชาชนในลักษณะ privacy watchdog นอกจากนั้นเมื่อมีการใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และมีกฎหมายอื่นที่เกี่ยวข้องที่อาจขัดแย้งกัน ปัญหาใหญ่คือจะบังคับใช้กฎหมายอย่างไรให้เกิดความสมดุลระหว่างสิทธิข้อมูลส่วนบุคคลกับการดำเนินธุรกิจและกับความมั่นคงสาธารณะ

      คุณกษิต ภิรมย์ ได้ให้ความเห็นว่า 1. ผู้ใช้บริการไม่สามารถต่อสู้กับกฎเกณฑ์เชิงบังคับของผู้ให้บริการได้ ต้องจัดให้เป็นหน้าที่ของหน่วยงานรัฐ เป็นผู้ดำเนินการควบคุมดูแล อาทิ กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม สำนักข่าวกรองแห่งชาติ สำนักงานตำรวจสันติบาล สภาความมั่นคงแห่งชาติ 2. ต้องส่งเสริมสร้างจริยธรรมและธรรมาภิบาลให้ผู้ให้บริการรับผิดชอบกำกับการทำงานของตนเอง 3. ส่งเสริมสมาคม/บริษัทให้ดำเนินงานตามหลัก Global Compact (ซึ่งครอบคลุมเรื่องสิทธิมนุษยชน) 4. ส่งเสริมให้องค์กรเอกชนเพื่อสาธารณประโยชน์ (Non-governmental Organization : NGO) สำนักงานคณะกรรมการคุ้มครองผู้บริโภค ให้เข้ามาช่วยเหลือประชาชนในเรื่องการปกป้องคุ้มครองข้อมูลส่วนบุคคล 5. ส่งเสริมบทบาทของมหาวิทยาลัย/สถาบันการศึกษาต่างๆ เพื่อให้ความรู้ความเข้าใจแก่บุคคลทุกระดับอายุ 6. ส่งเสริมให้องค์กรหรือหน่วยงานรัฐทำหน้าที่เจรจากับผู้ให้บริการแทนประชาชน 7. กรมสอบสวนคดีพิเศษ และธนาคารแห่งประเทศไทย ต้องยึดหลักสิทธิมนุษยชนเป็นพื้นฐานในการทำเรื่องข้อมูลส่วนบุคคล โดยควรทำงานร่วมกับคณะกรรมการสิทธิมนุษยชนแห่งชาติ 8. การจำแนกประเภทข้อมูลลูกค้าในระบบธนาคาร ธนาคารแห่งประเทศไทยและธนาคารพาณิชย์ต่างๆ ควรกำหนดให้เป็นสิ่งที่ไม่ละเมิดสิทธิส่วนบุคคล เช่น กำหนดประเภทลูกค้าเป็นนักการเมือง เป็นต้น

      ดร.อุทิศ ขาวเธียร มูลนิธิต่อต้านการทุจริต ได้ให้ความเห็นว่า หน่วยงานของรัฐ (state body) ต้องมีความรับผิดชอบ มีความรู้เท่าทัน และมีจุดสนใจหรือเจตนาที่ชัดเจนในการดำเนินงานเรื่องการปกป้องคุ้มครองข้อมูลส่วนบุคคลให้เกิดการปฏิบัติ (apply) ได้จริง เพื่อผลประโยชน์ของสังคมหรือผลประโยชน์สาธารณะ อันไม่ใช่ผลประโยชน์ของกลุ่ม กล่าวโดยสรุปคือทำอย่างไรให้เกิดความรับผิดชอบความรู้เท่าทันและมีเจตนาทำเพื่อผลประโยชน์สังคม ส่วนในเรื่องทุจริตในต่างประเทศมีการใช้เทคโนโลยีสมัยใหม่เพื่อป้องกันและตรวจสอบการทุจริตได้ แต่ประเทศไทยยังไม่นำมาใช้เพราะติดกับเรื่องการกระทบต่อความมั่นคงของรัฐ

      ผศ.ดร. สารดา จารุพันธ์ คณะวิศวกรรมศาสตร์ มหาวิทยาลัยเทคโนโลยีราชมงคลตะวันออก ได้ให้ความเห็นว่า สังคมไทยยังขาดความตระหนักในการใช้ระบบอิเล็กทรอนิกส์ทั้งคนรุ่นใหม่และรุ่นเก่า (ผู้สูงวัย) ซึ่งคนรุ่นเก่าไม่ค่อยตระหนักและพร้อมที่จะยอมให้ถูกละเมิดจากผู้ให้บริการระบบอิเล็กทรอนิกส์ได้ง่าย จึงเห็นด้วยกับข้อเสนอของคุณกษิต ที่รัฐต้องจัดให้มีการให้ความรู้และการศึกษาเรื่องข้อมูลส่วนบุคคลให้แก่บุคคลทุกระดับทุกวัย เพื่อสร้างความตระหนักรู้เท่าทัน

      ดร. เมธินี รัตรสาร กรมสอบสวนคดีพิเศษ (DSI) กระทรวงยุติธรรม ได้ให้ความเห็นว่า เรื่องการป้องกันข้อมูลส่วนบุคคลทางอิเล็กทรอนิกส์ ถ้าปลอดภัยมากความสะดวกก็น้อยลง หลักสิทธิในการลบข้อมูล (right to be forgotten) ทำให้ DSI ทำงานได้ลำบาก การใช้ข้อมูลบนกระดาษมีการเปิดเผยได้ง่าย เช่น ประวัติบุคคลที่นำมาใช้สอบสวนไม่ได้ใส่ซองปิดผนึก เป็นต้น ดังนั้น จึงเป็นเรื่องความระมัดระวังของหน่วยงานทั้งภาคราชการและภาคเอกชนที่ต้องรับผิดชอบและขึ้นอยู่กับปัจจัยดังนี้ 1. จริยธรรมของผู้ปฏิบัติงาน 2. อำนาจหน้าที่ 3. ความตระหนัก (awareness)ของผู้ใช้ที่ยินยอมหรือถูกบังคับให้ยินยอม อาทิ การให้ผู้ป่วยลงนามยินยอมก่อนผ่าตัด การตรวจหา DNA จาก stem cell ที่ดัดแปลงนำไปทำอาญาชกรรมทางการแพทย์ได้

      คุณสมศจี ศิกาษมัต ธนาคารแห่งประเทศไทย ได้ให้ความเห็นว่า การสร้างความตระหนักต่อการละเมิดข้อมูลส่วนบุคคลทางอิเล็กทรอนิกส์เป็นเรื่องสำคัญ นอกจากเจ้าของข้อมูล (data owner) ต้องมีความตระหนักในการให้ข้อมูล การเก็บการใช้และการเปิดเผยข้อมูลของผู้ให้บริการระบบอิเล็กทรอนิกส์ (provider) และผู้ขอใช้ข้อมูลจะต้องมีความตระหนักด้วย ซึ่งการสร้างความตระหนักอย่างเดียวอาจยังไม่เพียงพอ ต้องทำเรื่องอื่นๆ ด้วย อาทิ การสร้างหลักเกณฑ์การปฏิบัติ (code of practice/code of conduct) ที่ใช้เป็นมาตรฐานการทำงาน

      ดร.ประพันธ์พงษ์ ขำอ่อน ที่ปรึกษาคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ได้ให้ความเห็นว่า กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมเป็นผู้รับผิดชอบในการจัดทำวิธีปฏิบัติหรือแนวทางปฏิบัติ (guideline) เรื่องข้อมูลส่วนบุคคลตามระยะเวลาที่ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนดไว้ ส่วนเรื่องการปกป้องข้อมูลส่วนบุคคลทางอิเล็กทรอนิกส์มีประเด็นข้อคิดคือ 1. การแชร์ (share) ข้อมูลส่วนบุคคล ตัวอย่างเช่น ที่ประเทศเยอรมนี มีคดีของ Facebook ที่มีเงื่อนไขข้อตกลงการใช้บริการว่าผู้ใช้ต้องอนุญาตให้นำข้อมูลส่วนบุคคลไปแชร์ต่อบริษัทลูกหรือบุคคลที่สาม (third party) ได้ ซึ่งขัดกับกฎหมายแข่งขันทางการค้าของยุโรปและของเยอรมนีที่คณะกรรมการฯ กำลังขอให้เพิกถอนเงื่อนไขนี้ 2. การจัดทำวิธีปฏิบัติหรือแนวทาง (guideline) เรื่องข้อมูลส่วนบุคคล กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมเป็นผู้รับผิดชอบในการจัดทำ โดยต้องทำงานร่วมกับทุกภาคส่วน ควรศึกษาจากหลักคุ้มครองข้อมูลส่วนบุคคลแบบใหม่ยุโรป (General Data Protection Regulation : GDPR) และแบบอย่าง guideline ของประเทศที่มีการใช้ พ.ร.บ.ลักษณะนี้แล้ว อาทิ มาเลเซีย สิงค์โปร์ 3. การดำเนินการคุ้มครองข้อมูลส่วนบุคคลของหน่วยงานรัฐ/เอกชนให้มีประสิทธิภาพมากขึ้น ต้องยกระดับการทำงานจากลักษณะกำกับ (compliance) ไปเป็นลักษณะความรับผิดชอบ (accountability) คือ หน่วยงานต่างๆ จะหลีกเลี่ยงความรับผิดชอบไม่ได้ แม้จะทำถูกต้องตามวิธีปฏิบัติหรือแนวทาง (guideline)

      ดร.นคร เสรีรักษ์ วิทยาลัยปกครองท้องถิ่น มหาวิทยาลัยขอนแก่น ได้ให้ความเห็นว่า 1. ตามที่กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมรับผิดชอบไปจัดทำวิธีปฏิบัติหรือแนวทางปฏิบัติ (guideline) เรื่องข้อมูลส่วนบุคคลนั้น ปัจจุบันคณะกรรมการข้อมูลข่าวสารของราชการได้จัดทำแนวทางปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลเฉพาะภาครัฐไว้แล้ว 2. การสร้างความตระหนักหรือจิตสำนึกเรื่องการคุ้มครองข้อมูลส่วนบุคคลเป็นเรื่องที่หน่วยงานรัฐและผู้ประกอบการต้องให้ความสำคัญมากขึ้น อาทิ สำนักงานเลขาธิการคณะรัฐมนตรีออกโปสเตอร์คุ้มครองข้อมูลส่วนบุคคล กสม. มีการติดประกาศ (cut-out) คุ้มครองข้อมูลส่วนบุคคลของผู้ให้เบาะแส กทม. ประกาศรายชื่อผู้ได้รับเงินสงเคราะห์ทางเว็ปไซด์ซึ่งมีเลขที่บัตรประชาชนและเลขบัญชี รวมถึงการสร้างจริยธรรมของผู้ประกอบการ อาทิ ผู้ขายซอฟต์แวร์ (software) แข่งขันกันว่าซอฟต์แวร์ของตนมีการคุ้มครองข้อมูลส่วนบุคคลได้ดีกว่า 3. ใครจะเป็นผู้กำกับดูแลเรื่องคุ้มครองข้อมูลส่วนบุคคลและการบังคับใช้กฎหมาย นอกจากคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลแล้ว มีหน่วยงานอื่นหรือไม่ เช่น กลไกทางรัฐสภา มีข้อเสนอว่าให้คณะกรรมการข้อมูลข่าวสารทางราชการและคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเป็นผู้กำกับดูแล ปัญหาคือคณะกรรมการเหล่านี้อยู่ภายใต้รัฐ แล้วจะมีความเป็นอิสระหรือไม่ ตัวอย่างเช่น หากมีการเรียกขอดูข้อมูลในเรื่องที่อ่อนไหวจากสำนักงานเลขาธิการคณะรัฐมนตรี สำนักงานเลขาฯ จะยอมให้ข้อมูลหรือไม่ หรือคณะกรรมการเองจะกล้าเรียกขอดูข้อมูลหรือไม่ จึงเห็นว่าควรให้เป็น “องค์กรอิสระ” ซึ่งในทางวิชาการจะต้องพิจารณาเรื่องนี้ต่อไป ดังนั้น จึงเสนอว่าการจัดองค์กรของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ควรมีตัวแทนจากคณะกรรมการสิทธิมนุษยชนแห่งชาติ (กสม.) และตัวแทนจากคณะกรรมการข้อมูลข่าวสารของราชการด้วย 4. ประเด็นหลักการให้ความยินยอมเป็นประเด็นใหญ่ มีข้อสังเกตในเรื่องการถอนความยินยอมตาม พ.ร.บ.ฉบับนี้ ที่มีเงื่อนไขกำหนดว่าสิ่งที่จะถอนความยินยอมมีอะไรบ้าง ซึ่งบางข้อขัดกับหลักการให้ความยินยอม และประเด็นการขอความยินยอมต้องทำอย่างชัดแจ้ง แต่ไม่พูดถึงการให้ความยินยอมว่าต้องทำอย่างชัดแจ้งด้วยหรือไม่อย่างไร ที่เป็นประเด็นข้อปลีกย่อยที่ต้องพิจารณากัน

      คุณวรวุฒิ เปรมประภา นักวิชาการอิสระ ได้ฝากกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมในเรื่องการจัดทำวิธีปฏิบัติหรือแนวทาง (guideline) และการบังคับใช้กฎหมายที่ต้องมีหน่วยงานกำกับ (regulator) ตามที่ดร.นครเสนอให้มีองค์กรอิสระ คำถามคือจำเป็นหรือไม่ที่ต้องมีหน่วยงานกำกับ (regulator) เหล่านี้แยกตามภาคธุรกิจ เช่น ธนาคารแห่งประเทศไทยทำหน้าที่กำกับการคุ้มครองข้อมูลส่วนบุคคลของภาคธนาคาร อุตสาหกรรมธุรกิจยางมีองค์กรอิสระกำกับของตนเอง เป็นต้น

      คุณณัฐศักดิ์ ศรีญาณลักษณ์ สำนักงานคณะกรรมการป้องกันและปราบปรามการทุจริตแห่งชาติ (ป.ป.ช.) ได้ให้ความเห็นว่า ป.ป.ช. มีการเชื่อมโยงข้อมูลและใช้ข้อมูลร่วมกันกับหน่วยงานด้านยุติธรรมอื่นๆ อาทิ ป.ป.ท. หรือ DSI ซึ่งแต่ละหน่วยงานมีกฎหมายเฉพาะของตนเอง ซึ่งอาจมีข้อขัดแย้งในระดับของกฎหมายว่าการเชื่อมโยงข้อมูลดังกล่าว จะใช้อำนาจตามกฎหมายฉบับใดและใครเป็นผู้มีอำนาจ รวมถึงการเปิดเผยข้อมูลว่า ข้อมูลนี้หน่วยงานนี้เปิดเผยได้ แต่ข้อมูลเดียวกันนี้อีกหน่วยงานหนึ่งเปิดเผยไม่ได้ ดังนั้น จึงต้องพิจารณาว่าการบังคับใช้กฎหมาย ควรจะใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เป็นหลักหรือใช้ พ.ร.บ.เฉพาะหน่วยงานรัฐฉบับอื่น

      คุณประเสริฐ ศรีเกตุ สำนักงานคณะกรรมการป้องกันและปราบปรามการทุจริตในภาครัฐ (ป.ป.ท.) ได้ให้ความเห็นว่า 1. สำนักงานคณะกรรมการป้องกันและปราบปรามการทุจริตแห่งชาติ (ป.ป.ช.) มีการส่งข้อมูลเรื่องการป้องกันและปราบปรามการทุจริตให้กับ ป.ป.ท. การปฏิบัติงานของเจ้าหน้าที่ของ ป.ป.ท. จะถูกควบคุมภายใต้มาตรา 64 ตามพระราชบัญญัติมาตรการของฝ่ายบริหารในการป้องกันและปราบปรามการทุจริต พ.ศ. 2551 และที่แก้ไขเพิ่มเติม (ฉบับที่ 2) พ.ศ. 2559 ในเรื่องการเปิดเผยข้อมูลโดยมิชอบก็จะมีบทลงโทษ เช่น ต้องไม่เปิดเผยข้อมูลชื่อของผู้ร้องเรียนให้กับผู้ถูกกล่าวหาระหว่างการไต่สวน เป็นต้น 2. การให้ความยินยอมที่ไม่เป็นธรรม จะถูกควบคุมภายใต้ข้อ 8 ตามพระราชบัญญัติว่าด้วยข้อสัญญาที่ไม่เป็นธรรม พ.ศ. 2540 เช่น กรณีผู้ป่วยต้องลงนามยินยอมก่อนผ่าตัด เป็นเรื่องที่แพทย์ทำข้อตกลงยกเว้นความผิดของตนเองล่วงหน้า ข้อตกลงนี้ถือว่าใช้ไม่ได้

      การแลกเปลี่ยนความคิดเห็นทั้งหมดที่กล่าวมา จะเห็นได้ชัดเจนถึงข้อกังวลหลายเรื่อง และมีข้อเสนอแนะที่น่าสนใจ ดังนี้คือ
  1. เรื่องความเข้าใจเรื่องการใช้เทคโนโลยีทางอิเล็กทรอนิกส์ ที่จะไม่ไปละเมิดความเป็นส่วนตัวของบุคคลและการนำข้อมูลไปเผยแพร่
  2. เรื่องความสำคัญของข้อมูลส่วนบุคคล เป็นเรื่องของสิทธิมนุษยชน ซึ่งสังคมไทยยังขาดความรู้และความเข้าใจ การนำหลักสิทธิมนุษยชนมาใช้ในกระบวนการทั้งระบบ เจ้าหน้าที่รัฐต้องชัดเจน
  3. การสร้างความชัดเจนถึงลักษณะการกระทำที่เป็นภัยต่อความมั่นคงและสาธารณะ
  4. เสนอให้มีการกำหนดให้มีหน่วยงานกลางทำหน้าที่กำกับและติดตามอย่างมีประสิทธิภาพ
  5. เสนอให้โครงสร้างของหน่วยงานกลางมีองค์ประกอบและกรอบการปฏิบัติที่ชัดเจน เชื่อมโยงระหว่างกลไกตามข้อมูลข่าวสารราชการ (สำนักงานคณะกรรมการข้อมูลข่าวสารของราชการ) กลไกส่งเสริมและคุ้มครองสิทธิมนุษยชน (สำนักงานสิทธิมนุษยชนแห่งชาติ) และอื่นๆ โดยพิจารณาให้ความสมดุลกับระบบของการพัฒนาสิทธิ (และหน้าที่) ส่วนบุคคล – ผลประโยชน์สาธารณะ – ความมั่นคงของชาติ – เศรษฐกิจ



From : http://www.fpps.or.th