PDPA พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล บรรทัดฐานใหม่ของชีวิตดิจิทัล

โดย อรพิณ ยิ่งยงพัฒนา

ถ้าไม่มีอะไร ‘ผิดปกติ’ วันที่ 27 พฤษภาคม 2563 นี้ ประเทศไทยจะเริ่มบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลได้เสียที

แม้เรื่องข้อมูลส่วนบุคคลจะใกล้ตัวเรามากขึ้นเรื่อยๆ แต่กว่าที่กฎหมายฉบับนี้จะออกมาได้ก็เจอโรคเลื่อนมาหลายครั้ง ทั้งที่เป็นกฎหมายในชุดเดียวกับ พ.ร.บ. ธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 และ พ.ร.บ.คอมพิวเตอร์ พ.ศ. 2550 แต่ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2560 เป็นน้องเล็กคนสุดท้องที่ได้เป็นแค่วุ้นในรัฐบาลหลายชุด ส่วนหนึ่งคงเพราะมันเป็นกฎหมายที่เน้นหลักการว่าด้วยการคุ้มครองประชาชน ต่างกับกฎหมายอื่นในชุดเดียวกันที่มีเนื้อหาให้อำนาจรัฐมาควบคุมคน ที่อาจเป็นแรงจูงใจให้ผลักดันกฎหมายฉบับอื่นอย่างรวดเร็ว กลับกัน กฎหมายฉบับนี้ไม่ค่อยได้รับการให้ความสำคัญสักเท่าไร

แต่โลกเปลี่ยนไปเยอะมาก หากเป็น 20 ปีที่แล้วอาจบอกว่า เรื่องนี้ไม่ต้องรีบมากก็ได้ พอมายุคสมัยนี้ที่ผู้คนแลกเปลี่ยนข้อมูลกันตลอดเวลา ยิ่งในระยะการรักษาระยะห่างทางสังคม (Social Distancing) ที่โควิด-19 ต้อนให้เราใช้บริการเทคโนโลยีมากและหลากหลายขึ้น ก็ยิ่งชี้ว่า การจัดการข้อมูลอย่างมีมาตรฐานเป็นเรื่องสำคัญมากกว่าเดิม

แม้ในทางกฎหมาย ประเทศไทยจะขยับเรื่องนี้ช้า เข้าข่ายกฎหมยออกมาไม่ทันการใช้งาน หน่วยงานขนาดกลางและขนาดใหญ่จำนวนหนึ่งที่ต้องข้องเกี่ยวกับข้อมูลของคน จึงชิงนำหน้าออกแบบนโยบายข้อมูลส่วนบุคคลกันเองไปก่อน โดยอ้างอิงจาก หลักเกณฑ์ของธนาคารแห่งประเทศไทย (เรื่อง การกำกับดูแลผู้ให้บริการระบบการชำระเงินที่มีความสำคัญ) ประกอบกับเมื่อสองปีที่แล้วที่สหภาพยุโรปเองก็เริ่มบังคับใช้มาตรฐาน GDPR (ข้อกำหนดของสหภาพยุโรปว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล) ออกมา ที่ทำให้ธุรกิจต่างๆ ที่อยากจะคบค้าสมาคมกับคนในยุโรป ก็ต้องรักษามาตรฐานการคุ้มครองข้อมูลส่วนบุคคลให้อยู่ในเกณฑ์ที่ GDPR กำหนด จึงมีการเขียนนโยบายของตัวธุรกิจเองนำหน้ากฎหมายไทยไปแล้ว

อย่างไรก็ดี ท่ามกลางข่าวไม่สู้ดีนักว่า กฎหมายอาจจะเลื่อนการบังคับใช้ออกไปก่อน (กฎหมายออกเมื่อพฤษภาคม 2562 และให้เวลาหน่วยงานต่างๆ เตรียมตัว 1 ปีแล้วจะเริ่มบังคับใช้ในพฤษภาคม 2563) บนความกังวลว่า หน่วยงานจำนวนมากอาจจะยังไม่พร้อม

เรามาดูกันว่า กฎหมายคุ้มครองข้อมูลส่วนบุคคลของไทย ที่ตอนนี้เรียกชื่อย่อกันว่า PDPA (Personal Data Protection Act)  มันมีเนื้อหาอย่างไร และมันเรียกร้องให้ภาคธุรกิจต้องทำอะไรซับซ้อน หรือมันเหลือบ่ากว่าแรงจนต้องเลื่อนการบังคับใช้ไปจริงไหม

อะไรคือ ข้อมูลส่วนบุคคล

ข้อมูลส่วนบุคคลคืออะไร มันคือข้อมูลที่ทำให้ระบุตัวบุคคลได้ ทั้งทางตรงและทางอ้อม

ทางตรงก็คือข้อมูลตรงไปตรงมา เช่น ชื่อ สกุล อายุ เลขบัตรประชาชนสิบสามหลัก ที่อยู่ เบอร์โทรศัพท์ ฯลฯ

ความหมายทางอ้อม คือ ข้อมูลที่จะนำไปแยกแยะได้ว่าเราคือใคร และเอาไปใช้ติดตามบุคคลได้ และมันมีความสามารถในการเชื่อมโยงกับข้อมูลอื่นๆ ข้างนอก แล้วบอกได้ว่าใครเป็นใคร

ตัวอย่างเช่น บัญชีออนไลน์นี้ เคยซื้อของออนไลน์หมวดหมู่ของใช้ในบ้าน และมีรูปแบบการซื้อของใหม่ซ้ำทุกๆ สองเดือน คนเดียวกันนี้อาจโดยสารรถไฟฟ้าแล้วขึ้นลงที่สถานีหนึ่งๆ เป็นประจำ หรือเติมน้ำมันที่ปั๊มใด ละแวกใด สิ่งเหล่านี้สามารถนำมาระบุตัวตนคนคนหนึ่งและลักษณะการใช้ชีวิตของเขาได้

กฎหมายเกี่ยวกับข้อมูลจึงเป็นกฎหมายที่เกี่ยวข้องกับทุกคนในสังคมเรา เรามีสถานะเป็น ‘เจ้าของข้อมูล’ ที่ไปใช้บริการต่างๆ หัวใจหลักของกฎหมายบอกว่า ข้อมูลส่วนบุคคลของเรา เมื่อให้ใครไปแล้ว เขาจะต้องเอาไปใช้ตามวัตถุประสงค์และความจำเป็น คือ นำไปใช้เท่าที่บอกว่าจะใช้ ไม่เอาไปใช้งานอื่นเกินเลย

นอกจากนี้ เมื่อมีข้อมูลส่วนบุคคลแล้ว ก็ต้องเก็บรักษาและใช้มันอย่างปลอดภัย จะเผยแพร่ต่อให้คนอื่นไม่ได้ถ้าไม่ได้ถามเราก่อน และเราในฐานะเจ้าของข้อมูล สามารถบอกเลิกการครอบครองข้อมูลนั้นได้

อย่างไรก็ดี ทั้งเรื่องการเอาข้อมูลไปใช้เท่าที่บอกว่าจะใช้ และทำข้อมูลให้ปลอดภัย จริงๆ ก็เป็นเรื่องคอมมอนเซนส์ และถือเป็นสองเงื่อนไขที่องค์กรต่างๆ ปฏิบัตินำหน้ากฎหมายไปก่อนแล้ว เพียงแต่ถ้าไทยประกาศใช้กฎหมาย มันจะช่วยสร้างความเชื่อมั่นเพราะมีมาตรฐานทางกฎหมายรองรับ ไม่ใช่แค่นโยบายที่อาจแตกต่างไปตามแต่ละหน่วยงาน

องค์กรต่างๆ ต้องทำอะไรตามหน้าที่ทางกฎหมาย

ในทางรูปธรรม สิ่งที่องค์กรเล็กใหญ่จะต้องทำ คือ ทำ privacy policy และ บันทึกกิจกรรมประมวลผล ซึ่งสิ่งนี้ไม่ได้แปลว่าต้องทำอะไรซับซ้อน ไม่ได้ต้องซื้อซอฟต์แวร์ราคาแพง แค่ลงบันทึกไว้เพื่อบอกรายละเอียดว่า เราเก็บข้อมูลอะไร จะเอาไปทำอะไร เก็บมาเมื่อไร และจะเก็บนานเท่าไร

อีกเรื่องที่ต้องฉุกคิดคือ กิจกรรมต่างๆ นั้น ขอข้อมูลส่วนบุคคลเกินความจำเป็นหรือเปล่า เช่น กิจกรรมไหนไม่มีความจำเป็นต้องเก็บเลข 13 หลักก็ไม่ต้องทำ

อย่างไรก็ดี คนอาจจะเข้าใจว่า กฎหมายนี้เน้นไปที่เรื่อง ‘เอกสารขอความยินยอม’ หรือ consent form ในความเป็นจริง การนำข้อมูลไปใช้ตามที่มีความจำเป็น เช่น การทำหน้าที่ตามสัญญา การปฏิบัติตามกฎหมาย การใช้อำนาจรัฐของเจ้าหน้าที่ เหล่านี้ ไม่ใช่ว่าจะต้องมีแบบฟอร์มให้ติ๊กถูกในกล่องยอมรับเงื่อนไขทุกครั้งไป กล่าวคือ หากเป็นคอมมอนเซนส์ที่รู้กันว่าเอาไปเพื่อธุระอะไร เช่น จะให้จัดส่งของไปที่ตึกใดก็ต้องขอที่อยู่ตึกนั้น ลักษณะนี้ไม่ต้องใช้เอกสารขอความยินยอม เว้นก็แต่กรณีที่จะมีบริการเสริม และต้องขอข้อมูลใหม่

เช่น ลงทะเบียนอีเมลและเบอร์โทรศัพท์เพื่อแลกรับไอศกรีมฟรี ผู้ให้ข้อมูลก็ต้องสันนิษฐานได้ว่า ไอศกรีมนี้แลกมากับการให้ข้อมูลไปใช้งานในกิจกรรมส่งเสริมการขายในหมวดหมู่ใกล้เคียงกันโดยผู้ให้บริการนั้นๆ ถือว่าเป็นไปตามสัญญาการให้บริการ และอยู่ในฐานความคาดหมายของคนที่ให้ข้อมูล ที่สามารถนำข้อมูลไปใช้ได้ แต่เพื่อให้เกิดความชัดเจนและความที่เข้าใจตรงกัน ก็อาจใส่รายละเอียดไปในหน้ากรอกข้อมูลไปเลยว่า จะส่งจดหมายข่าวประชาสัมพันธ์งานอื่นๆ ที่เกี่ยวข้องให้ ซึ่งเปิดทางเลือกให้คนเลือกรับหรือไม่รับ หรือบอกทีหลังว่า ขอไม่รับจดหมายข่าวได้ตามปกติ

เรื่องที่จะเป็นไป และค่านิยมที่อาจเปลี่ยนไป

ลองคิดคร่าวๆ ว่าจะมีการเปลี่ยนแปลงอะไรบ้าง หลังบังคับใช้กฎหมาย บางอย่างก็เปลี่ยนแปลงไปแล้ว

  • คุณรับสายโทรศัพท์ มีพนักงานมาเสนอขายประกัน หากเป็นแต่ก่อนคุณอาจสงสัยว่าเขาเอาเบอร์คุณมาจากไหน แต่มาตรการใหม่จะทำให้พนักงานบอกตั้งแต่แนะนำตัว เช่น ได้รายละเอียดของคุณมาจากบัตรเครดิต xxx และมีโปรโมชันพิเศษสำหรับคุณเนื่องจากคุณเคยได้ให้แจ้งบอกรับเอาไว้ เป็นต้น
  • คุณไปร้านสะดวกซื้อ พนักงานถามหาบัตรสมาชิก คุณยื่นบัตรให้พนักงานสแกน การเปลี่ยนแปลงเล็กๆ น้อยๆ คือ ร้านค้าอาจจะระวังมากขึ้นไม่ให้หน้าจอแสดงผลหันหน้าออกมีข้อมูลส่วนบุคคลปรากฏจนอาจทำให้บุคคลที่สามเห็นรายละเอียดส่วนตัวของเรา หรือแสดงเพียงบางส่วนให้เราพอจะยืนยันความถูกต้องได้ แต่ไม่แสดงข้อมูลทั้งหมดจนคนอื่นอาจนำไปใช้ได้
  • คุณซื้อสินค้าโดยเพิ่มเป็นเพื่อนกับผู้ค้าในไลน์ แล้วแชตคุยซื้อขายของกัน เป็นธุรกรรมที่ทำได้ตามเดิม ไม่ได้ต้องทำอะไรเพิ่ม ไม่ต้องมีเอกสารยินยอม เนื่องจากการสนทนาจะเกิดขึ้นได้ก็ต่อเมื่อลูกค้าเริ่มทักไปหาร้านค้า ซึ่งเป็นการบ่งบอกถึงความต้องการให้มีการติดต่อกันในเรื่องสินค้าที่เกี่ยวข้อง ผู้ขายอาจส่งโปรโมชันมาให้คุณดูได้ในอนาคต และถ้าคุณไม่ต้องการรับข่าวสารอีกต่อไป ระบบของไลน์เองก็มีกลไกหยุดรับข่าวสาร เพียงแค่กดเลิกเป็นเพื่อน
  • ถ้าไปเที่ยวแล้วถ่ายรูปเล่น แล้วดันติดภาพคนอื่นมา จะเอามาเผยแพร่ได้ไหม วิธีคิดของเรื่องนี้คือ ถ้ามันเป็นพื้นที่สาธารณะ ไม่ได้ไปซูมถ่ายระยะใกล้ และคนนั้นจะไม่ได้รับความเดือดร้อนหรือเสียหาย ก็สามารถเผยแพร่ได้
  • สำหรับคนที่ไม่อยากให้ตัวเองไปติดอยู่ในภาพของคนอื่น เรื่องนี้อาจเป็นเรื่องสุดวิสัยสำหรับสถานการณ์ทั่วไป แต่ในบางกิจกรรมที่อยู่ในพื้นที่ที่พอจัดการได้ เช่น การวิ่งมาราธอนที่มักมีการถ่ายภาพนักวิ่ง ผู้จัดงานอาจอำนวยความสะดวก ด้วยการประกาศข้อเสนอว่า สำหรับคนที่ไม่ต้องการให้ภาพตัวเองปรากฏออกไปสู่สายตาสาธารณะ ก็ให้ใช้วิธีติดปลอกแขนเป็นสัญลักษณ์ หรือการจัดงานสัมมนาที่มีการถ่ายทอดสดหรือบันทึกภาพก็อาจแจ้งผู้ร่วมงานว่า ได้จัดที่นั่งซึ่งอยู่นอกแนวการบันทึกภาพของกล้อง เพื่อให้ผู้ร่วมงานที่ไม่ต้องการปรากฏอยู่ในภาพสามารถเลือกนั่งได้
  • ร่วมอีเวนท์ กิจกรรมสาธารณะ ที่ต้องลงทะเบียนเข้าร่วมกิจกรรมเสวนา ผู้จัดงานจะสามารถนำข้อมูลนั้นมาส่งต่อข่าวสารประชาสัมพันธ์ในอนาคตได้ไหม กรณีนี้ ผู้จัดอาจระบุในใบลงทะเบียน ว่าอาจมีการส่งข่าวประชาสัมพันธ์ที่เกี่ยวข้องให้ และอาจมีทางเลือกให้กดรับหรือไม่รับ หรือบอกภายหลังได้ว่าขอไม่รับจดหมายข่าว หลักคิดของเรื่องนี้คือ ให้ดูว่า หากการใช้ข้อมูลนั้นเป็นการทำตามสัญญาการให้บริการ ทำตามกฎหมาย เป็นการใช้อำนาจเพื่อผลประโยชน์โดยชอบธรรมของคนให้ข้อมูล ในแบบที่ไม่เกินความคาดหมายของเจ้าของข้อมูล ถือว่าสามารถทำได้

ความเข้าใจผิดยอดฮิต กับคำว่า Privacy

หนึ่งความเข้าใจผิดต่อเรื่องหลักการเรื่องการคุ้มครองข้อมูลส่วนบุคคลคือ คิดว่าจะเป็นมาตรการที่ห้ามใช้ ห้ามบันทึก ข้อมูลของคน ซึ่งผิดไปจากข้อเท็จจริง เพราะที่จริงแล้ว เนื้อหาหลักคือ ให้นำไปใช้เท่าที่จำเป็น ปลอดภัย และโปร่งใส

บนความเข้าใจผิดนี้ คำว่า privacy หรือ ความเป็นส่วนตัว มักถูกจับมาวางเป็นขั้วตรงข้ามกับคำว่า security หรือความมั่นคง และ safety หรือความปลอดภัย โดยคนมักนึกถึงตัวอย่างเช่น คุ้มครองข้อมูลส่วนบุคคลแปลว่าไม่ควรติดกล้องวงจรปิด เมื่อไม่ติดกล้องวงจรปิดแล้วถ้าโจรมาจะทำอย่างไร ในความเป็นจริง หลักการคุ้มครองข้อมูลส่วนบุคคลไม่ได้มีปัญหากับมีกล้องวงจรปิดเพื่อความปลอดภัย แต่มุ่งคุ้มครองไม่ให้นำเนื้อหาจากกล้องไปใช้งานนอกเหนือจากเรื่องความปลอดภัยดังที่ได้แจ้งวัตถุประสงค์

ยิ่งในสถานการณ์โควิด ก็ยิ่งทำให้เห็นเหรียญสองด้านอย่างชัดเจนว่า เราต้องการเอาข้อมูลมาทำงานเพื่อพัฒนาระบบสุขภาพ ขณะเดียวกัน จะทำอย่างไรให้ไม่ไปละเมิดคน ทำอย่างไรให้ใช้ข้อมูลอย่างปลอดภัยและสมเหตุสมผล เช่น เมื่อมีข้อมูลผู้ติดเชื้อโควิดแล้ว จะทำอย่างไรให้สามารถติดตามจำกัดขอบเขตโรค แต่ไม่ทำให้ข้อมูลผู้ติดเชื้อหลุดรอดไปในลักษณะที่ระบุตัวตนและอาจทำให้คนผู้นั้นโดนแสดงความรังเกียจได้ ซึ่งถ้ารับประกันได้ว่าข้อมูลจะอยู่เฉพาะในมือของคนที่จำเป็นต้องใช้งานได้ คนก็จะสบายใจที่ให้ความร่วมมือได้มากขึ้น ทำให้ข้อมูลถูกนำไปใช้เพื่อเป็นทางออกใหม่ๆ ได้ง่ายขึ้น

กล่าวคือ ไพรเวซี่ไม่ได้เป็นปฏิปักษ์ต่อเซฟตี้ นี่ไม่ใช่เรื่องที่ต้องเลือก และเราจะเลือกทำไมในเมื่อเราสามารถมีได้ทั้งสองอย่างพร้อมกัน

เวลานี้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลถูกประกาศใช้มาเกือบครบหนึ่งปีแล้ว คือประกาศมาตั้งแต่วันที่ 27 พฤษภาคม 2562 แต่กำหนดว่าบางหมวดนั้นจะยังไม่บังคับใช้ทันที จะให้เวลาหนึ่งปีเพื่อให้เตรียมตัว ก่อนจะบังคับใช้กฎหมายทั้งฉบับในวันที่ 27 พฤษภาคม 2563 ความกังวลที่หลายฝ่ายอาจรู้สึกว่ายังไม่พร้อม ก็คือกลัวว่า หากหน่วยงานจำนวนหนึ่งทำอะไรผิดพลาดไปแล้วจะทำให้โดนจับหรือไม่ ซึ่งดูเหมือนจะไม่เป็นเช่นนั้น เพราะเนื้อหาใจความหลักของกฎหมาย เน้นเป็นกฎหมายที่เอาไว้ใช้ระบุมาตรฐานการทำงาน ไม่ใช่กฎหมายแบบแมวจับหนู และหากมีอะไรไม่เข้ามาตรฐานก็ยังมีมาตรการแจ้งบอกและตักเตือน

ทั้งนี้ กฎหมายนี้มีรายละเอียดที่พูดถึงทั้งด้านการละเมิด ปกครอง และอาญา แต่คนที่จะเขียนรายละเอียดของข้อบังคับ ที่เป็นกฎหมายลำดับรอง ที่จะนำไปสู่การลงโทษทางปกครองและอาญาได้ คือคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลที่ขณะนี้อยู่ในระหว่างการสรรหา ดังนั้น มาตรการเหล่านี้จะเกิดขึ้นภายหลัง

ดังนั้น ความกังวลจนนำไปสู่การเสนอให้เลื่อนกำหนดกฎหมายนี้ออกไป ด้วยการอ้างเหตุผลว่าถ้าผู้ประกอบการไม่พร้อมแล้วอาจสุ่มเสี่ยงทำผิดไปจนทำให้ถูกดำเนินคดี จึงไม่เป็นความจริง เพราะมาตรการเหล่านั้นยังไม่ได้ประกาศออกมา และจะเริ่มดำเนินการได้ก็ภายหลังจากมีคณะกรรมการและคณะกรรมการออกประกาศต่างๆ แล้ว

กฎหมายคุ้มครองข้อมูลส่วนบุคคล เป็นกฎหมายสำคัญที่จะทำให้ธุรกิจไทยมีมาตรการด้านการคุ้มครองข้อมูลส่วนบุคคลที่ชัดเจน และยังกระตุ้นให้หน่วยงานองค์กรต่างๆ หันมาทุ่มเทรับมือกับเรื่องนี้อย่างเท่าเทียม ไม่ใช่ปล่อยให้เป็นสำนึกรับผิดชอบต่อเฉพาะบางหน่วยงาน เพราะเมื่อบังคับใช้กฎหมายในระดับประเทศ ก็จะทำให้หน่วยงานทุกหน่วยในไทยต้องพยายามรักษามาตรฐานด้านการคุ้มครองข้อมูลส่วนบุคคลให้ยึดถือได้และอยู่ในระดับเดียวกัน และทำให้ภาพรวมต่อความเชื่อมั่นของประเทศไทยดีขึ้นไปด้วย

อ้างอิง:

ติดตามข่าวสารจาก Brand Inside ได้จาก Facebook ของเรา