IPPS in last year
Contact us
Site Map 		Homepage
หน้าแรกHomepageAbout IPPSAbout IPPSPublicationPublicationArticleDemocracy MonitoringDemocracy MonitoringSocial ReformActivities
 
ปฏิรูปการเมือง
แนวทางปฏิบัติเกี่ยวกับการปกป้องข้อมูลส่วนบุคคล

      สถาบันนโยบายศึกษา โดยการสนับสนุนของมูลนิธิคอนราด อาเดนาวร์ ร่วมกับสำนักงานคณะกรรมการสิทธิมนุษยชนแห่งชาติ วิทยาลัยการปกครองท้องถิ่น ม.ขอนแก่น และ Privacy Thailand ได้มีการจัดเวทีเสวนา ภายใต้โครงการ “การคุ้มครองข้อมูลส่วนบุคคลของพลเมือง” เป็นการจัดเสวนาครั้งที่ 6 เรื่อง “แนวทางปฏิบัติเกี่ยวกับการปกป้องข้อมูลส่วนบุคคล” เมื่อวันพุธที่ 25 กันยายน 2562 ที่โรงแรมหัวช้างเฮอริเทจ เขตปทุมวัน กรุงเทพฯ

      การจัดเสวนาครั้งที่ 6 “แนวทางปฏิบัติเกี่ยวกับการปกป้องข้อมูลส่วนบุคคล” นี้ จะไม่เป็นเพียงการสร้างความตระหนักให้กับภาครัฐ ภาคเอกชน และภาคประชาชน ให้เห็นความสำคัญของ “ข้อมูลส่วนบุคคล” และ “ความเป็นส่วนตัว” เท่านั้น แต่ยังจะต้องหามาตรการและวางแนวทางปฏิบัติให้การคุ้มครองข้อมูลส่วนตัวของพลเมือง มีผลในทางปฏิบัติทั้งสังคม เพื่อไม่ให้การล่วงละเมิดใช้ข้อมูลโดยที่เจ้าของข้อมูลไม่รับรู้

      การวางแนวทางการปฏิบัติจึงต้องการการถกเถียงและออกแบบจากผู้ที่มีบทบาทโดยตรง คือหน่วยงานภาครัฐ ภาคเอกชน และประชาชนเอง การเสวนาครั้งนี้จึงต้องการข้อสรุปเพื่อเป็นข้อเสนอแนะให้กับสังคมโดยรวม แม้กฎหมายคุ้มครองข้อมูลส่วนบุคคลของไทยจะได้ประกาศใช้บังคับแล้ว แต่สำนักงานยังตั้งไม่เรียบร้อยและแนววิธีการปฏิบัติเพื่อให้สอดรับกับตัวกฎหมายดังกล่าว ก็ยังไม่ชัดเจน สถาบันฯ จึงหวังว่าการจัดเสวนาครั้งนี้จะได้แนวทางเพื่อการปฏิบัติให้ถูกต้องให้กับทุกหน่วยงานที่เกี่ยวข้อง รวมทั้งประชาชนด้วย

      วิทยากรมาจาก 2 หน่วยงาน คือ จากภาครัฐ และภาคเอกชน โดยจากภาครัฐเป็นหน่วยงานการปราบปรามการกระทำความผิดเกี่ยวกับอาชญากรรมทางเทคโนโลยี และภาคเอกชน สมาคมประกันชีวิตไทย ซึ่งมีบทบาทในด้านการจัดเก็บข้อมูลและการตรวจสอบการใช้ข้อมูลที่ผิดกฎหมาย หรือกระทำการละเมิดทางเทคโนโลยี

      วิทยากร 2 ท่าน คือ พ.ต.อ. ดร.นิติพัฒน์ วุฒิบุณยสิทธิ์ ผกก.(สอบสวน) กลุ่มงานสอบสวน ปอท. และ ร.ต.อ.เอนก โชติพรหม รองสารวัตร กองกำกับการ 1 ปอท. ได้ให้ข้อมูลการกระทำความผิดด้านข้อมูลว่า เรื่องระบบข้อมูลข่าวสารมีความสำคัญมาก มีการสร้างข่าวปลอมทำร้ายกัน ทำให้ตื่นตระหนก ซึ่งเป็นข้อมูลคอมพิวเตอร์ที่บิดเบือน หรือข้อมูลคอมพิวเตอร์อันเป็นเท็จ ข้อมูลส่วนบุคคลที่ปรากฏใน social media ต่างๆ ฝ่ายสืบสวนสามารถตรวจสอบได้ ไม่ว่าจะเป็น Line ID, Facebook ID, Twitter ID ทุกอย่างมีอัตลักษณ์บุคคล และ ID ไม่สามารถเปลี่ยนแปลงได้ ซึ่งจะมีรายละเอียดข้อมูลส่วนบุคคลอยู่เหมือนบัตรประชาชน รวมถึงมีเบอร์โทรศัพท์ e-mail ประวัติ ตำแหน่ง อาชีพ ดังนั้น การมี Account Social Media มากแค่ไหน ข้อมูลส่วนบุคคลก็จะหลุดไปมากเท่านั้น นี่จึงเป็นสิ่งที่สังคมจะต้องรู้และตระหนักถึงเมื่อจะใช้ social media ว่าเราให้ข้อมูลส่วนตัวเราไปด้วยความยินยอมด้วยตัวเองแล้วทั้งสิ้น การป้องกันตนเองจึงต้องขอให้แต่ละคนกลับไปดู Facebook ของตนเองว่า Password ง่ายไปหรือไม่ และมีการระบบุข้อมูลใน Facebook มากเกินไปหรือไม่ และกล่าวว่า หากถามถึงความรับผิดชอบ ก็เห็นว่าทุกคนต้องดูแลตนเอง ไม่ยินยอมให้ข้อมูลส่วนตัวไปโดยง่าย ที่สำคัญคือ ต้องให้ความรู้ ให้การศึกษาแก่ประชาชน ก็จะเป็นการแก้ปัญหาที่ต้นเหตุ เพราะการแก้ปัญหาโดยให้เจ้าหน้าที่ตามจับนั้น เป็นการแก้ปัญหาที่ปลายเหตุ เป็นการลงทุนที่สูงแต่ได้ประโยชน์น้อย พ.ต.อ.ดร.นิติพัฒน์ ยังเน้นย้ำว่า “ระบบข้อมูลข่าวสารมีความสำคัญมาก คอมพิวเตอร์สามารถฆ่าคนได้ เช่น การสร้างข่าวปลอมต่างๆ ทำให้คนตื่นตระหนกจนนำไปสู่การเสียชีวิตขึ้นได้”


      วิทยากรอีก 1 ท่านที่มาจากภาคเอกชน คือ คุณจรุง เชื้อจินดา จากสมาคมประกันชีวิตไทย กล่าวว่า ธุรกิจประกันชีวิตให้ความสำคัญกับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลมาก เพราะมีผลกระทบโดยตรง และยังไม่มีแนวทางปฏิบัติที่ชัดเจนจากหน่วยงานรัฐที่เพิ่งประกาศ พ.ร.บ.ออกมา ขณะเดียวกัน สมาคมฯ ก็ได้มีการตั้งคณะทำงานเพื่อการจัดทำ Guideline การคุ้มครองข้อมูลส่วนบุคคลของธุรกิจประกันไว้ทั้งในเรื่องการจัดเก็บ และเรื่องการให้ความยินยอม การใช้ข้อมูล และการเปิดเผยข้อมูล ว่าจะมีหลักเกณฑ์และการปฏิบัติอย่างไร เพื่อเป็นข้อมูลในการประชุมร่วมกับกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ซึ่งเป็นผู้ดูแล พ.ร.บ.นี้โดยตรง อย่างไรก็ดี สมาคมติดตามเรื่องนี้มาอย่างต่อเนื่องนับตั้งแต่เริ่มร่างกฎหมายคุ้มครองข้อมูลส่วนบุคคลเมื่อปี 2542 จนถึงปัจจุบัน และสมาคมฯ มองกฎหมายฉบับนี้ใน 2 มุมมอง คือ มุมมองของผู้ประกอบการ และมุมมองของผู้เป็นเจ้าของข้อมูล ทั้งนี้ ธุรกิจประกันชีวิต มีการเก็บข้อมูลที่เป็นข้อมูลทั่วไป เช่น ชื่อ ที่อยู่ อาชีพ สถานที่ทำงาน เป็นต้น และยังเก็บข้อมูลอ่อนไหว (sensitive data) อาทิ ข้อมูลเกี่ยวกับสุขภาพ เป็นต้น ส่วนการใช้ข้อมูล จะมีการใช้เพื่อการให้บริการตามสัญญาประกันชีวิต ทั้งนี้ บริษัทประกันชีวิตมีการเก็บข้อมูลประกันชีวิตมาแล้วกว่า 80 ปี และมีข้อมูลมากกว่า 10 ล้านกรมธรรม์ เมื่อกฎหมายนี้ประกาศใช้ จึงต้องการแนวทางปฏิบัติที่ชัดเจน สมาคมฯ มีแนวทางการแก้ปัญหาต่อการละเมิดข้อมูลส่วนบุคคลดังนี้

      1. การจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer) ซึ่งขาดแคลนมาก และมีค่าตอบแทนสูง แต่ในขณะเดียวกันก็ต้องมีความรับผิดชอบที่สูงตามไปด้วย

      2. การมีมาตรการคุ้มครองข้อมูลส่วนบุคคล การตรวจสอบการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล และการแจ้งเหตุการละเมิดต่อต่อเจ้าของข้อมูลทราบ

      3. การมีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย หรือการเข้าถึง ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ ซึ่งบริษัทประกันชีวิตต้องไปจัดทำนโยบายอีกจำนวนมาก

      4. การทำสัญญากับตัวแทนประกันชีวิต นายหน้าประกันชีวิต หรือองค์กรต่าง ๆ บริษัทประกันชีวิตต้องมีข้อกำหนดในสัญญาเกี่ยวกับการรักษาความลับข้อมูลส่วนบุคคลของลูกค้า และกระบวนการลงโทษ หากเกิดการละเมิดข้อมูลส่วนบุคคลของลูกค้า

      5. สำนักงาน คปภ. กำหนดให้บริษัทต้องมีระบบในการบริหารจัดการการได้มาของข้อมูล การเก็บรักษา และการปกป้องข้อมูลส่วนบุคคลของลูกค้า ซึ่งบริษัทประกันชีวิตจะถูกตรวจสอบจาก คปภ. ตลอด อย่างน้อยปีละหนึ่งครั้ง

      6. สมาคมฯ จัดตั้งคณะทำงานเพื่อศึกษาแนวทางการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล และเตรียมจัดทำคู่มือการปฏิบัติเพื่อให้บริษัทสมาชิกใช้เป็นแนวทางในการปฏิบัติตามกฎหมาย ซึ่งต้องรอความชัดเจนของกฎหมายก่อน

      อย่างไรก็ดี มีข้อควรพิจารณาว่าประเทศไทยยังขาดเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer) ปัจจุบันมีเพียงบางหน่วยงานที่มีเจ้าหน้าที่ดังกล่าว อาทิ บริษัทการบินไทย บริษัทโทรคมนาคมต่างๆ เป็นต้น เมื่อ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลใช้บังคับ จะทำให้ประสบกับความยากลำบากในการหาเจ้าหน้าที่ดังกล่าวมาทำงาน

      การเสวนาได้มีข้อสรุปที่น่าสนใจเพื่อให้การคุ้มครองข้อมูลส่วนบุคคลเป็นประโยชน์กับทุกฝ่ายที่เกี่ยวข้อง และตระหนักถึงความสำคัญในการดูแลข้อมูลตั้งแต่ต้นทาง คือผู้ให้ความยินยอมในการนำข้อมูลไปใช้ ซึ่งคือประชาชน และการนำข้อมูลไปใช้ซึ่งอยู่ในภาครัฐและเอกชน โดย
  1. แนวทางต่างๆ ที่ออกมาต้องสื่อสารกับสังคมในทุกช่องทาง ด้วยการให้การศึกษากับประชาชนถึงความจำเป็น และความสำคัญในการให้ข้อมูลและการใช้ข้อมูล การให้การศึกษาเรื่องดังกล่าวแก่สังคม เป็นหัวใจและจำเป็นต้องลงทุน เพื่อที่จะไม่ไปแก้ปัญหาภายหลัง
  2. ผู้ให้ข้อมูลต้องตระหนักในการปกป้องข้อมูลของตนเองทั้งทาง online และ offline โดยเฉพาะการมี Account Social Media มาก ก็จะทำให้ข้อมูลส่วนตัวหลุดออกไปได้มาก จำเป็นที่ประชาชนจะต้องรู้เท่าทันการใช้เทคโนโลยีสมัยใหม่
  3. แนวทาง Guideline เพื่อการปฏิบัติให้เป็นหลักการที่ชัดเจน ควรประกอบด้วย
    • ต้องแจ้งเจ้าของข้อมูลอย่างชัดเจนในการเก็บข้อมูลส่วนบุคคล ถึงวัตถุประสงค์ขององค์การที่จัดเก็บ และต้องแจ้งสิทธิในการเข้าถึงการเปิดเผยและการแก้ไข ทั้งแจ้งก่อน หรือขณะจัดเก็บให้เร็วที่สุด
    • การจัดเก็บต้องได้รับความยินยอม เป็นไปโดยถูกต้องตามกฎหมาย
    • การนำข้อมูลไปใช้ต้องเป็นไปตามวัตถุประสงค์ของการจัดเก็บเท่านั้น
    • มีมาตรการการคุ้มครองข้อมูลเพื่อป้องกันการถูกนำไปใช้โดยผิดวัตถุประสงค์ หรือการปรับเปลี่ยน แก้ไขโดยมิชอบ
    • ผู้เก็บข้อมูลต้องรับผิดชอบการจัดเก็บตามมาตรการต่างๆ ที่เป็นไปตามหลักเกณฑ์ที่เหมาะสมที่ประกันการจัดเก็บข้อมูลขององค์กร และมีระบบการคุ้มครองที่มีมาตรฐานเป็นที่ยอมรับของทุกฝ่าย
    • เจ้าของข้อมูลมีสิทธิในข้อมูลที่จะแก้ไขเปลี่ยนแปลง หรือลบข้อมูลข่าวสารของตนได้ ซึ่งหน่วยงานรัฐที่จัดเก็บจะต้องพิจารณาคำขอเมื่อมีการร้องขอให้เปลี่ยนแปลง
  4. เมื่อกฎหมายออกมาบังคับใช้เต็มรูปแล้ว ใครจะเป็นหน่วยงานรับผิดชอบในการให้ข้อมูลกับประชาชน เพราะที่ผ่านมาต่างคนต่างให้ข้อมูล เป็นการให้ข้อมูลคนละมุม หน่วยงานที่ดูแลด้านไซเบอร์ก็มุมหนึ่ง ทำให้ประชาชนไม่ได้เข้าใจบนพื้นฐานเดียวกัน จึงต้องการให้แต่ละหน่วยงานมาคุยกัน เพื่อที่จะสื่อสารกับประชาชนให้เข้าใจบนพื้นฐานเดียวกัน

  


Print Version