ข้อสังเกตเบื้องต้นต่อร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล***

ข้อสังเกตเบื้องต้นต่อร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล***

การคุ้มครองข้อมูลส่วนบุคคลเป็นประเด็นทางกฎหมายที่มีความสำคัญมากขึ้นเรื่อย ๆ ในยุคดิจิทัลที่การรวบรวม การใช้และขนาดของข้อมูล

มีผลต่อการแข่งขันและความได้เปรียบทางธุรกิจ กรณีของ Facebook, Google หรือ True เป็นตัวอย่างสำคัญของปัญหาต่าง ๆ ที่เกิดขึ้นจากข้อมูลส่วนบุคคลทั้งในแง่ของการเก็บรวบรวม การใช้ การประมวลผล และความปลอดภัยของข้อมูล ดังนั้น เพื่อให้ประเทศไทยมีกฎหมายเฉพาะว่าด้วยเรื่องการคุ้มครองข้อมูลส่วนบุคคล กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมจึงได้ดำเนินการจัดทำร่างพระราชบัญญัติ(พ.ร.บ.)คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ....

ผู้เขียนขอนำร่างพ.ร.บ.ฉบับนี้มาวิเคราะห์เปรียบเทียบกับ Regulation (EU) 2016/679 General Data Protection Regulation (GDPR) ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป เพื่อเป็นข้อสังเกตต่อการปรับปรุงร่างพ.ร.บ.ฯ ให้สอดคล้องกับสถานการณ์ในอนาคตและความก้าวหน้าของเทคโนโลยี โดยจะกล่าวถึงหลักการสำคัญบางประการ ดังนี้

ประการแรก อะไรบ้างเป็น ข้อมูลส่วนบุคคล

ร่างพ.ร.บ.ฯ มาตรา 6 กำหนดว่า ข้อมูลส่วนบุคคลหมายความว่า ข้อมูลเกี่ยวกับบุคคล (บุคคลธรรมดาเท่านั้น) ซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงการระบุเฉพาะชื่อ ตำแหน่ง สถานที่ทางาน หรือที่อยู่ทางธุรกิจ และข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ

บทนิยามนี้สอดคล้องกับหลักการพื้นฐานของ GDPR บางส่วน กล่าวคือ ตาม GDPR ข้อมูลส่วนบุคคล คือ ข้อมูลของบุคคลธรรมดาที่ยังมีชีวิตอยู่และทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม อย่างไรก็ตามใน GDPR จะมีความหมายที่ชัดเจนกว่า เนื่องจากระบุเป็นตัวอย่างไว้ด้วยว่าหมายเลข ชื่อ หมายเลขประจำตัว ข้อมูลสถานที่อยู่ การระบุตัวตนทางออนไลน์หรือปัจจัยหนึ่งหรือหลายอย่างที่กล่าวถึ งอันทำให้สามารถระบุลักษณะทางกายภาพ ลักษณะทางพันธุกรรม สภาพทางจิต เศรษฐกิจ วัฒนธรรม หรือสังคมของบุคคลธรรมดานั้น ก็ล้วนถือว่าเป็นข้อมูลส่วนบุคคลทั้งสิ้น

ดังนั้น ตาม GDPR ข้อมูลส่วนบุคคลที่ถูกทำใหม่ (de-identified) ข้อมูลที่ถูกเข้ารหัส (encrypted) หรือการใช้นามแฝง (pseudonymised) แต่สามารถประมวลผลและระบุตัวเจ้าของข้อมูลส่วนบุคคลได้ ก็ยังถือว่าอยู่ในบทนิยามของคำว่าข้อมูลส่วนบุคคลที่สามารถระบุตัวบุคคลนั้นได้และต้องอยู่ภายใต้บังคับกฎหมาย

หากพิจารณาแนวทางปฏิบัติในสหภาพยุโรป กรณีต่อไปนี้ถือว่าเป็นข้อมูลส่วนบุคคล ได้แก่ (1) ชื่อ-สกุล (ร่างพรบ.ฯ ยกเว้น) (2) เลขที่บ้าน (3) email address อาทิ [email protected] (4) หมายเลขบัตรประจำตัวประชาชน (5) location data ที่ปรากฏในอุปกรณ์สื่อสารต่าง ๆ (6) IP address เป็นต้น

ประการที่สอง กรณีใดบ้างที่ถือเป็นการเก็บรวบรวม ใช้ หรือเปิดเผยซึ่งข้อมูลส่วนบุคคล

ร่างพ.ร.บ.ฯ ไม่ได้กำหนดบทนิยามของการเก็บรวบรวม ใช้ หรือเปิดเผยซึ่งข้อมูลส่วนบุคคล เพียงแต่กำหนดหลักการพื้นฐานว่า ผู้ควบคุมข้อมูลส่วนบุคคลจะกระทำการเก็บรวบรวม ใช้ หรือเปิดเผย ซึ่งข้อมูลส่วนบุคคลไม่ได้หากเจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอมไว้ก่อนหรือในขณะนั้น เว้นแต่…” ซึ่งผู้เขียนเห็นว่าการที่กฎหมายไม่มีบทนิยามดังกล่าวอาจก่อให้เกิดความยุ่งยากในการบังคับใช้และก่อให้เกิดอำนาจดุลพินิจอย่างกว้างขวางในการตีความ

ในขณะที่ GDPR จะกำหนดนิยามของ“การประมวลผล” (Processing) ว่าหมายถึง การดำเนินงานหรือการดำเนินการใด ๆ ที่ทำแก่ข้อมูลส่วนบุคคลหรือในชุดข้อมูลส่วนบุคคล ไม่ว่าจะกระทำโดยวิธีอัตโนมัติหรือไม่ (automated mean) เช่น การเก็บรวบรวม การบันทึก การจัดการ การจัดโครงสร้าง การจัดเก็บ การปรับปรุงหรือการเปลี่ยนแปลง การเรียกค้น การให้คำปรึกษา การใช้ การเปิดเผยข้อมูลโดยการส่งผ่าน การเผยแพร่ การจำกัด การทำลาย หรือการลบ เป็นต้น

 ซึ่งผลของการเก็บรวบรวม ใช้ หรือเปิดเผยซึ่งข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอม ร่างพรบ.ฯ กำหนดไว้ทั้งความรับผิดทางแพ่ง ทางปกครอง และทางอาญา ดังนั้นจึงมีความจำเป็นอย่างยิ่งที่ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องรู้ว่าอะไรบ้างคือข้อมูลส่วนบุคคลและอะไรคือการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ซึ่งหากพิจารณาตาม GDPR การกระทำดังต่อไปนี้ถือได้ว่าเป็นการประมวลผลข้อมูลส่วนบุคคล อาทิ การเข้าถึงบัญชีรายชื่อบุคคลที่มีข้อมูลส่วนบุคคล การทำลายเอกสารที่มีข้อมูลส่วนบุคคล การนำภาพของบุคคลขึ้นแสดงในเว็บไซต์ การเก็บ IP address หรือ MAC address และการบันทึกวิดีโอ (CCTV)

จะเห็นได้ว่าแนวทางการตีความของสหภาพยุโรปนั้นมีขอบเขตกว้างขวางมาก การดำเนินการหลาย ๆ อย่างในวิถีชีวิตปกติก็อาจถือว่าเป็นการประมวลผลข้อมูลส่วนบุคคลได้ เช่น การบันทึกวิดีโอ หรือการนำภาพของบุคคลขึ้นแสดงในเว็บไซต์ อย่างไรก็ตาม กฎหมายก็จะมีข้อยกเว้นไว้ในบางกรณี อาทิ การบันทึกวิดีโอหากเป็นไปเพื่อความปลอดภัยในชีวิตและทรัพย์สินและเฉพาะที่เป็นการกระทำเฉพาะในครัวเรือน GDPR จะไม่ใช้บังคับ แต่บริษัทรักษาความปลอดภัยที่ติดตั้งระบบและดำเนินการเกี่ยวกับ CCTV จะไม่ได้รับยกเว้นในส่วนนี้ เป็นต้น

ในส่วนร่างพรบ.ฯ ของไทยจะมีข้อยกเว้นที่กว้างกว่า GDPR โดยกำหนดว่า หากเป็นการกระทำเพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลสามารถทำการเก็บรวบรวมข้อมูลส่วนบุคคล โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลได้

ประการสุดท้าย ความยินยอมที่ชอบด้วยกฎหมายคืออะไร

ตาม GDPR “ความยินยอม” ถือเป็นประเด็นสำคัญอย่างมาก กล่าวคือการที่จะกระทำการใด ๆ ต่อข้อมูลส่วนบุคคลได้ จะต้องได้รับความยินยอมจากเจ้าของข้อมูลก่อน โดยกฎหมายกำหนดว่า ความยินยอมนั้นต้องกระทำโดยอิสระ เฉพาะเจาะจง โดยได้รับทราบข้อมูลที่เพียงพอและโดยปราศจากข้อสงสัยเกี่ยวกับการใช้ข้อมูลส่วนบุคคลดังกล่าว และต้องทำเป็นหนังสือ นอกจากนี้ ความยินยอมดังกล่าวอาจยกเลิกเพิกถอนเมื่อใดก็ได้ และในหลาย ๆ กรณีแม้จะได้รับความยินยอม ความยินยอมดังกล่าวก็อาจไม่สามารถใช้บังคับได้ เนื่องจากสถานะทางสังคมและเศรษฐกิจที่แตกต่างกัน อาทิ ความยินยอมที่นายจ้างได้จากลูกจ้างเพื่อกระทำต่อข้อมูลส่วนบุคคลของลูกจ้าง ซึ่งกรณีนี้ ร่างพรบ.ฯ ของไทยไม่ได้กำหนดไว้

รายละเอียดเกี่ยวกับร่างพรบ.ฯ ดังกล่าวยังมีอีกหลายประเด็นและอาจจะก่อให้เกิดผลกระทบอย่างมากต่อการดำเนินธุรกิจ และผู้เขียนมีความเห็นว่าอาจมีข้อที่ควรต้องเพิ่มเติมอีกหลายประการเพื่อมิให้การบังคับใช้กฎหมายก่อให้เกิดดุลพินิจอย่างมากและสร้างความไม่แน่นอนต่อการประกอบธุรกิจ

 

อ้างอิง

  • REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation, GDPR)
  • Voigt, Paul, and Axel von dem Bussche. The EU General Data Protection Regulation (GDPR) : A Practical Guide. Cham, Switzerland: Springer, 2017

*** ชื่อเต็ม: ข้อสังเกตเบื้องต้นต่อร่าง พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ...