IT & gadget

เร่งดันกม.ข้อมูลส่วนบุคคล ยกระดับปลอดภัยไซเบอร์

20 มี.ค. 2017 เวลา 13:11 น.
เร่งดันกม.ข้อมูลส่วนบุคคล ยกระดับปลอดภัยไซเบอร์

หนึ่งในพันธกิจสำคัญของสำนักงานธุรกรรมทางอิเล็กทรอนิกส์ หรือเอ็ตด้า คือ การจัดทำกฏหมายที่เกี่ยวข้องกับความปลอดภัยบนโลกไซเบอร์

ล่าสุด ผู้สื่อข่าวรายงานว่า ความคืบหน้าในการออก ‘กฎหมายคุ้มครองข้อมูลส่วนบุคคล’ ของประเทศไทย ขณะนี้สถานะการผลักดันกฎหมาย มีร่างประกอบการพิจารณาของสภานิติบัญญัติแห่งชาติ 2 ร่าง คือ ร่างของสำนักงานคณะกรรมการกฤษฏีกา และร่างที่จัดทำโดยเอ็ตด้า ที่ผ่านมาการเสนอกฎหมายคุ้มครองข้อมูลส่วนบุคคลมีการเสนอทุกรัฐบาล แต่ยังไม่เคยผ่านร่างกฎหมายออกมาบังคับใช้ได้

สำหรับร่างที่เสนอในรัฐบาลนี้ในส่วนของเอ็ตด้า ได้นำหลักเกณฑ์คุ้มครองข้อมูลส่วนบุคคลของ OECD Guidelines 8 ประการ รวมทั้งหลักเกณฑ์คุ้มครองข้อมูลส่วนบุคคลของ APEC Privacy Framework ทั้ง 9 ประการมาบัญญัติไว้ในร่างกฎหมาย ให้สอดคล้องกับหลักสากลที่นานาประเทศยึดถือ ร่างกฎหมายฉบับนี้ยังได้บัญญัติให้สอดคล้องหลัก Cross-Border Privacy Rules (CBPRs) ของ APEC ส่งเสริมให้รัฐสมาชิกเห็นความสำคัญแนวทางคุ้มครองการโอนข้อมูลส่วนบุคคลข้ามแดน เพื่อให้ผู้บริโภคมีความไว้วางใจ

ร่างกฎหมายฉบับนี้ ผ่านการร่างโดยศึกษากฎหมายหลากหลายประเทศ ไม่ว่าจะเป็นกฎหมายประเทศออสเตรเลีย ฮ่องกง นิวซีแลนด์ แคนาดา เยอรมัน สิงคโปร์ สหราชอาณาจักร ญี่ปุ่น และอื่นๆ เพื่อให้มีสาระสำคัญคุ้มครองข้อมูลส่วนบุคคลที่ครบถ้วน ซึ่งสาระสำคัญมีดังนี้

1.กำหนดหลักเกณฑ์คุ้มครองข้อมูลส่วนบุคคล การเก็บรวมรวมข้อมูลบุคคลต้องได้รับความยินยอมจากเจ้าของข้อมูล เว้นแต่เป็นกรณียกเว้นตามร่างกฎหมายนี้กำหนดให้ไม่ต้องดำเนินการขอความยินยอมจากเจ้าของข้อมูล การเก็บรวบรวมต้องทำเท่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมาย ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งวัตถุประสงค์การเก็บรวบรวม และรายละเอียดที่เกี่ยวข้องตามที่กฎหมายกำหนด

2.กำหนดหลักเกณฑ์คุ้มครองข้อมูลส่วนบุคคลเรื่องการใช้และเปิดเผย ผู้ควบคุมข้อมูลส่วนบุคคลต้องได้รับความยินยอมจากเจ้าของข้อมูล ต้องใช้และเปิดเผยข้อมูลส่วนบุคคลภายใต้วัตถุประสงค์ที่ได้แจ้งขณะเก็บรวบรวม อาจมีกรณีที่ผู้ควบควบคุมข้อมูลส่วนบุคคลไม่ต้องได้รับความยินยอมจากเจ้าของข้อมูลก่อนการใช้และเปิดเผยข้อมูลส่วนบุคคล หากมีบทบัญญัติของกฎหมายกำหนดให้กระทำได้

3.กำหนดหลักเกณฑ์ส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ ต้องปฏิบัติตามหลักเกณฑ์ที่คณะกรรมการประกาศกำหนด เว้นแต่เป็นกรณียกเว้นตามร่างกฎหมายฉบับนี้ ตัวอย่างเช่น เป็นกรณีที่กฎหมายกำหนดให้โอนได้ หรือโอนไปยังบุคคลที่ได้รับเครื่องหมายรับรองมาตรฐานการคุ้มครองข้อมูลส่วนบุคคล เป็นต้น

4.กำหนดหลักเกณฑ์คุ้มครองข้อมูลส่วนบุคคลเรื่องสิทธิของเจ้าของข้อมูล เช่น กำหนดให้เจ้าของข้อมูลมีสิทธิขอเข้าถึงบันทึกข้อมูลส่วนบุคคลที่เกี่ยวข้องกับตน ซึ่งอยู่ในความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคล สิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการลบ หรือระงับใช้ชั่วคราว หรือแปลงข้อมูลส่วนบุคคลให้อยู่ในรูปแบบข้อมูลที่ไม่ระบุชื่อ สิทธิขอให้ดำเนินการให้ข้อมูลนั้นถูกต้องสมบูรณ์ไม่ก่อให้เกิดความเข้าใจผิด สิทธิเพิกถอนความยินยอม และสิทธิเรียกค่าเสียหายทางแพ่ง

5.กำหนดหน้าที่ผู้ควบคุมข้อมูลส่วนบุคคล เช่น กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการเพื่อให้ข้อมูลส่วนบุคคลถูกต้อง ทันสมัย สมบูรณ์ ไม่ก่อให้เกิดความเข้าใจผิด และกำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลมีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม

6.กำหนดให้มีคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลแห่งชาติทำหน้าที่กำหนดแผนยุทธศาสตร์ดำเนินงานด้านการส่งเสริมและการคุ้มครองข้อมูลส่วนบุคคล และมีอำนาจออกประกาศหรือระเบียบเพื่อให้การดำเนินการเป็นไปตามพระราชบัญญัติ มีคณะกรรมการผู้เชี่ยวชาญพิจารณาคำร้องทุกข์ต่างๆ ของบุคคลที่เกี่ยวข้องตามพระราชบัญญัตินี้ รวมทั้งวินิจฉัยข้อพิพาทระหว่างบุคคลฝ่ายต่าง ๆ ที่เกี่ยวข้อง

ทั้งนี้ การกำหนดร่างกฎหมายดังกล่าว มีสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติทำหน้าที่เป็นหน่วยงานเลขานุการของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลแห่งชาติ เนื่องจากเป็นหน่วยงานที่มีความรู้ความเชี่ยวชาญเฉพาะด้านในการรักษาความมั่นคงปลอดภัยไซเบอร์

เหตุใดไทยต้องมีกฎหมายฉบับนี้
ผู้สื่อข่าวรายงานว่า เหตุผลที่ไทยต้องผลักดันให้มีกฎหมายคุ้มครองข้อมูลส่วนบุคคล เพื่อให้ได้รับการยอมรับจากประเทศคู่ค้าที่วางกลไกทางกฎหมายคุ้มครองข้อมูลส่วนบุคคล อาทิ ประเทศในสหภาพยุโรปถึงขั้นกำหนดหลักเกณฑ์ห้ามมิให้มีการโอนข้อมูลส่วนบุคคลไปยังประเทศที่ไม่มีหลักเกณฑ์ เพื่อคุ้มครองข้อมูลส่วนบุคคลเทียบเท่าหลักเกณฑ์ตามกฎหมายของตน

ทั้งนี้ไทยยังไม่มีกฎหมายกลางเพื่อดูแลคุ้มครองข้อมูลส่วนบุคคลเป็นการทั่วไป จนต้องบังคับใช้กฎหมายที่มีเนื้อหาใกล้เคียง อาทิ การคุ้มครองข้อมูลส่วนบุคคลที่อยู่ในความครอบครองของหน่วยงานของรัฐตามพระราชบัญญัติข้อมูลข่าวสารของทางราชการ พ.ศ. 2540 การคุ้มครองข้อมูลข้อมูลเครดิตตามพระราชบัญญัติการประกอบธุรกิจข้อมูลเครดิต พ.ศ. 2545 เป็นต้น

จึงจำเป็นที่ไทยจะต้องเร่งผลักดันให้มีกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลของประเทศเพื่อใช้บังคับกับหน่วยงานของรัฐและเอกชน ครอบคลุมข้อมูลส่วนบุคคลประเภทต่าง ๆ เป็นการทั่วไป สร้างกลไกการให้ความคุ้มครองข้อมูลส่วนบุคคลที่เป็นมาตรฐานเดียวกันและสอดคล้องมาตรฐานสากล  

เนื้อหาที่เกี่ยวข้อง