นักวิชาการจุฬาฯ เคลียร์ข้อสงสัยพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล เผยข้อมูลบนอินเทอร์เน็ตไม่ได้เป็นสาธารณะเสมอไป

เมื่อวันที่ 27 พฤษภาคมที่ผ่านมา เว็บไซต์ราชกิจจานุเบกษา ได้เผยแพร่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เพื่อให้การคุ้มครองข้อมูลส่วนบุคคลมีประสิทธิภาพและเพื่อให้มีมาตรการเยียวยาเจ้าของข้อมูลส่วนบุคคลจากการถูกละเมิดสิทธิในข้อมูลส่วนบุคคลที่มีประสิทธิภาพ

ความเคลื่อนไหวดังกล่าวมีขึ้นเนื่องจากปัจจุบันมีการล่วงละเมิดสิทธิความเป็นส่วนตัวของข้อมูลส่วนบุคคลเป็นจำนวนมาก จนสร้างความเดือดร้อนรำคาญหรือความเสียหายให้แก่เจ้าของข้อมูลส่วนบุคคล ประกอบกับความก้าวหน้าของเทคโนโลยีทำให้การเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคลอันเป็นการล่วงละเมิดดังกล่าว ทำได้โดยง่าย สะดวก และรวดเร็ว สมควรกำหนดให้มีกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลเป็นการทั่วไปขึ้น เพื่อกำหนดหลักเกณฑ์ กลไก หรือมาตรการกำกับดูแลเกี่ยวกับการให้ความคุ้มครองข้อมูลส่วนบุคคลที่เป็นหลักการทั่วไป

อย่างไรก็ดี การประกาศพระราชบัญญัติดังกล่าวได้ก่อให้เกิดความกังวลมากมายทั้งในมุมของบุคคลทั่วไปที่กังวลว่าการกระทำใดบ้างที่เป็นการละเมิดข้อมูลส่วนบุคคลของผู้อื่น และในมุมของผู้ประกอบการและองค์กรต่าง ๆ ที่กังวลว่าตนสามารถเก็บ ใช้ และเปิดเผยข้อมูลใดได้บ้าง

สองนักวิชาการจุฬาฯ เคลียร์ข้อสงสัยพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล

ดร.ปิยะบุตร บุญอร่ามเรือง อาจารย์ประจำคณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย ได้เปิดเผยระหว่างงานสัมมนาเรื่อง "พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562" ที่คณะนิเทศศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย ว่า พ.ร.บ.นี้ไม่ได้มีขึ้นเพื่อคุ้มครองผู้บริโภค เพราะผู้บริโภคมีกฎหมายคุ้มครองอยู่แล้ว แต่มีหลักการอยู่ที่การกำหนดมาตรฐานในการคุ้มครองข้อมูลของผู้บริโภคในฝั่งองค์กร และกำหนดความรับผิดหากองค์กรเหล่านี้ไม่ปฏิบัติตามมาตรฐาน โดยองค์กรต่าง ๆ จำเป็นต้องมีนโยบายคุ้มครองข้อมูลส่วนบุคคล เพื่อแสดงให้เห็นว่า องค์กรเหล่านี้ได้ใช้ความระมัดระวังเพียงพอแล้วในการคุ้มครองข้อมูลส่วนบุคคลนี้

ดร.ปิยะบุตร เปิดเผยว่า หนึ่งในสาเหตุที่ทำให้เกิดพ.ร.บ.นี้คือกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (General Data Protection Regulation หรือ GDPR) ซึ่งมีขึ้นเพื่อคุ้มครองข้อมูลส่วนบุคคลของพลเมืองในยุโรป แต่ขณะเดียวกันก็อาจส่งผลกระทบทางลบต่อไทยด้วย แม้องค์กรในไทยอาจจะไม่ถูกดำเนินคดีจากการไม่ปฏิบัติตามกฎหมายดังกล่าว เพราะโดยทั่วไปแล้ว การติดต่อธุรกิจระหว่างไทยกับยุโรปต้องมีการแลกเปลี่ยนข้อมูล และหากฝั่งยุโรปมองว่าไทยไม่ปฏิบัติตาม GDPR แล้ว ทางฝั่งยุโรปก็จะแลกเปลี่ยนข้อมูลกับไทยไม่ได้ จนเป็นเหตุให้ทำธุรกิจร่วมกันไม่ได้ในท้ายที่สุด ซึ่งการถือกำเนิดของพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลในไทย จะทำให้ไทยมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่ได้รับการยอมรับในระดับสากล

ด้านศาสตราจารย์ ดร.ปาริชาต สถาปิตานนท์ คณบดีคณะนิเทศศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย ยังได้เปิดเผยในงานเดียวกันนี้ว่า พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลนี้ จะเข้ามายกระดับมาตรฐานการดูแลข้อมูลส่วนบุคคลขององค์กรต่าง ๆ และทำให้ธุรกิจไทยทำการค้าได้ทั่วโลก ทั้งยังเปิดโอกาสให้องค์กรเหล่านี้ได้ลองมองย้อนกลับไปยังฐานข้อมูลส่วนบุคคลที่มีอยู่เดิม เพื่อทวนสอบและทำให้ถูกต้อง นอกจากนี้ เมื่อองค์กรต่าง ๆ ได้ยกระดับการคุ้มครองข้อมูลส่วนบุคคลแล้ว องค์กรเหล่านี้ยังสามารถทำข่าวประชาสัมพันธ์ เพื่อประกาศให้รู้ว่าองค์กรของเรามีมาตรฐานและเป็นการโปรโมทบริษัทไปในตัว

เตือนข้อมูลในอินเทอร์เน็ตไม่ได้เป็นสาธารณะ 100% เช็คให้ดีเจ้าของข้อมูลยินยอมหรือไม่

ปัจจุบันหลายคนอาจมองว่า ข้อมูลที่ปรากฏให้เห็นตามเว็บไซต์ต่าง ๆ นั้นเป็นสาธารณะและนำไปเผยแพร่ต่อได้ ซึ่งแท้จริงแล้วไม่ได้เป็นเช่นนั้นทั้งหมด จึงต้องดูที่ความยินยอมของเจ้าของข้อมูลเป็นหลัก โดยดร.ปิยะบุตร เปิดเผยว่า ข้อมูลนั้นจะเป็นสาธารณะได้ก็ต่อเมื่อเจ้าของข้อมูลมีการประกาศอย่างชัดแจ้งว่าเป็นสาธารณะ หรือภาษาอังกฤษว่า "manifestly made public" เช่น ถ้าเป็นโพสต์บนเฟซบุ๊ก ควรเช็คให้ดีว่าเจ้าของข้อมูลได้คลิก "เปิด public" ให้โพสต์นั้นหรือไม่ หรือถ้าเป็นข้อความในเว็บไซต์ ก็ควรเช็คให้ดีว่าเจ้าของข้อมูลได้ระบุไว้หรือไม่ว่าเป็นสาธารณะ สำหรับข้อมูลในราชกิจจานุเบกษานั้นนำไปเผยแพร่ต่อได้เลย เพราะราชกิจจาฯ ถือเป็นสาธารณะตามกฎหมายอยู่แล้ว

สำหรับธุรกิจที่ต้องเก็บข้อมูลส่วนบุคคลของลูกค้าเพื่อให้บริการนั้น ถ้าต้องให้ลูกค้าระบุข้อมูลของตนเองในสัญญาเพื่อให้บริการ ข้อมูลที่ลูกค้าต้องกรอกควรเป็นข้อมูลที่จำเป็นเท่านั้น เช่น ถ้าขายของออนไลน์ ข้อมูลที่ลูกค้าจำเป็นต้องกรอกคือชื่อ ที่อยู่ และเบอร์โทรศัพท์ แต่ถ้าเป็นข้อมูลที่ไม่จำเป็น เช่น สีที่ชอบ หรือรายได้ ธุรกิจนั้นควรต้องขอความยินยอมจากลูกค้าแยกกัน จะบังคับให้ลูกค้ากรอกโดยให้เหตุผลว่าเป็นเงื่อนไขบริการไม่ได้ และถ้าต้องขอความยินยอมแล้ว สิ่งที่สำคัญที่สุดคือธุรกิจนั้นต้องแจ้งวัตถุประสงค์ให้ชัดเจนและครบถ้วน เพื่อให้ลูกค้าเข้าใจว่าบริษัทนั้นจะนำข้อมูลของตนไปใช้ทำอย่างไรบ้าง เมื่อลูกค้าพิจารณาวัตถุประสงค์เหล่านั้นแล้ว ก็ขึ้นอยู่กับลูกค้าว่าจะยินยอมให้ข้อมูลส่วนบุคคลหรือไม่ และเมื่อบริษัทได้รับการยินยอมจากลูกค้าแล้ว บริษัทนั้นก็จะสามารถนำข้อมูลส่วนบุคคลนี้ไปประมวลผลได้ตามที่ได้แจ้งไว้ในวัตถุประสงค์เท่านั้น

ภาคธุรกิจต้องตื่นตัวและปรับตัวให้สอดคล้องกับพ.ร.บ.ใหม่

ดร.ปิยะบุตร เปิดเผยว่า การที่พ.ร.บ.ใหม่นี้เน้นเรื่องการกำหนดมาตรฐานคุ้มครองข้อมูลส่วนบุคคลในฝั่งขององค์กรเป็นหลักนั้น หมายความว่าองค์กรต่าง ๆ จำเป็นต้องตั้งนโยบายคุ้มครองข้อมูลดังกล่าว โดยต้องรู้จักประเมินระดับความเสี่ยงของข้อมูลตามเกณฑ์วัดต่าง ๆ เช่น ข้อมูลนั้นสามารถระบุตัวเจ้าของข้อมูลส่วนบุคคล (data subject) ได้ทันทีหรือไม่ ข้อมูลดังกล่าวให้สิทธิในการเข้าถึงแก่บุคคลใดบ้าง และข้อมูลดังกล่าวสร้างความเสียหายให้เจ้าของข้อมูลหรือไม่ นอกจากนี้ พ.ร.บ.ดังกล่าวอาจทำให้เกิดอาชีพใหม่ในไทยอย่าง Data Protection Officer หรือ DPO เพื่อควบคุมดูแลส่วนงานต่าง ๆ ภายในองค์กรว่าเป็นไปตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลหรือไม่ โดย DPO จะจ้างให้คนใดคนหนึ่งให้ทำหน้าที่นี้โดยเฉพาะก็ได้ หรือจะมอบหมายหน้าที่ดังกล่าวให้พนักงานตำแหน่งอื่น เช่น พนักงานฝ่ายไอทีก็ได้

คุณภารุจ ดาวราย กรรมการสมาคมโฆษณาดิจิทัล (ประเทศไทย) และกรรมการผู้จัดการบริษัท ดิจิทาซ มาร์เกตติ้งเอเจนซี่ชื่อดังของไทย เปิดเผยระหว่างการอภิปรายในงานเดียวกันนี้ว่า สำหรับองค์กรของตนแล้ว ผู้ที่ต้องศึกษาแนวทางในการคุ้มครองข้อมูลส่วนบุคคลให้สอดคล้องกับกฎหมายนั้น นอกเหนือจากทีมกฎหมายแล้ว ยังรวมถึงแผนกบริหารความสัมพันธ์ลูกค้า (CRM) ทีมนักวิเคราะห์ข้อมูล และผู้ดูแลทะเบียนลูกค้า

คุณภารุจ เปิดเผยว่า ขณะนี้มีบริษัทในไทยที่เริ่มปรับตัวให้สอดคล้องกับพ.ร.บ.ใหม่นี้แล้ว เช่น ธนาคารต่าง ๆ ที่ตื่นตัวในเรื่องการคุ้มครองข้อมูลส่วนบุคคลตั้งแต่ที่มีกฎหมาย GDPR ในยุโรป ซึ่งถ้อยแถลงดังกล่าว สอดคล้องกับสิ่งที่ดร.ปิยะบุตร ได้พูดไว้เช่นกันว่าภาคธนาคารมีความตื่นตัวในเรื่องนี้มาก ขณะที่โรงพยาบาลต่าง ๆ ก็เอาจริงกับการคุ้มครองข้อมูลส่วนบุคคล ส่วนภาคสถาบันการศึกษานั้น ดร.ปิยะบุตร เปิดเผยว่าทางจุฬาฯ ได้เริ่มทบทวนแบบฟอร์มการเก็บข้อมูลส่วนบุคคลของนิสิตแล้ว เพื่อประเมินว่าข้อมูลใดจำเป็นต้องเก็บ และข้อมูลใดไม่จำเป็นต้องเก็บ เช่น ข้อมูลอาชีพและเงินเดือนของพ่อแม่ ขณะที่มหาวิทยาลัยเกษตรศาสตร์ก็ตื่นตัวในเรื่องนี้เช่นกัน

หวังภาคเอกชนเป็นผู้กำหนดแนวปฏิบัติ

หนึ่งในสาระสำคัญของพ.ร.บ.ใหม่นี้ คือ การจัดตั้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ซึ่งนอกเหนือจากสมาชิกที่มาจากภาครัฐแล้ว จะมีกรรมการผู้ทรงคุณวุฒิเข้ามาดำรงตำแหน่งถึง 9 คน เพื่อเปิดโอกาสให้เอกชนเข้ามามีส่วนในการกำหนดมาตรฐานการคุ้มครองข้อมูลส่วนบุคคล โดยขณะนี้ยังไม่ได้มีการจัดตั้งคณะกรรมการดังกล่าวอย่างเป็นทางการ และยังไม่มีแนวปฏิบัติชัดเจน

วิทยากรทั้งสามท่านต่างเห็นตรงกันว่า ภาคเอกชนไม่ควรรอถึงวันที่คณะกรรมการชุดนี้จะจัดตั้งขึ้นจริง และควรจะเคลื่อนไหวเสียตั้งแต่วันนี้ เพื่อร่วมกันกำหนดแนวปฏิบัติด้านการคุ้มครองข้อมูลส่วนบุคคลที่จะเป็นตัวกำหนดการดำเนินงานขององค์กรต่อไป และนำเสนอแนวปฏิบัติที่คิดขึ้นมานี้ไว้ให้คณะกรรมการชุดนี้พิจารณาเมื่อจัดตั้งแล้วเสร็จ เช่น ในรูปแบบของความร่วมมือจากสมาคมต่าง ๆ ในอุตสาหกรรม ซึ่งบริษัทที่เป็นสมาชิกเหล่านี้ร่วมกันกำหนดแนวปฏิบัติและยื่นให้คณะกรรมการพิจารณาในนามของสมาคม ซึ่งมีความเป็นไปได้สูงมากที่ทางคณะกรรมการจะนำแนวปฏิบัติที่เอกชนคิดขึ้นนี้ไปบังคับใช้เป็นมาตรฐานต่อไป