อัยการแนะดันกฎหมายคุ้มครองข้อมูลฯ หลัง 'ทรู' ปล่อยข้อมูลปชช.รั่ว
"อัยการจังหวัดฯ" แนะดันกฎหมายคุ้มครองข้อมูลฯ หลังกลุ่มเครือข่ายแสนล้าน "ทรู" ปล่อยข้อมูลปชช.รั่ว
นายธนกฤต วรธนัชชากุล อัยการจังหวัดประจำสำนักงานอัยการสูงสุด ได้โพสต์เฟซบุ๊ก เเสดงความเห็นข้อกฎหมายกรณีข้อมูลส่วนบุคคลของลูกค้า "ทรูมูฟ เอช" รั่วไหล กับกฎหมายคุ้มครองข้อมูลส่วนบุคคล ว่า ตามที่ปรากฏเป็นข่าวตามสื่อมวลชนกรณีข้อมูลส่วนบุคคลที่เป็นหน้าบัตรประชาชนของลูกค้าที่ใช้บริการ "ทรูมูฟ เอช" รั่วไหลนั้น ผมขอให้ความเห็นทางกฎหมายในฐานะส่วนตัวในประเด็นเรื่องกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่คิดว่าน่าจะเป็นประโยชน์ต่อผู้ใช้บริการโทรศัพท์มือและประชาชนทั่วไปที่ได้ให้ข้อมูลหน้าบัตรประชาชนและข้อมูลส่วนบุคคลอื่นๆ แก่ผู้ให้บริการโครงข่ายสัญญาณโทรศัพท์มือถือค่ายต่างๆ รวมทั้งแก่ผู้ให้บริการและผู้ประกอบธุรกิจด้านต่างๆ ดังนี้
ในเรื่องที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลของผู้ใช้โทรศัพท์มือถือนั้น ในปัจจุบัน พ.ร.บ.การประกอบกิจการโทรคมนาคม พ.ศ. 2544 มาตรา 50 บัญญัติให้คณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติ (กสทช.) กำหนดมาตรการเพื่อคุ้มครองผู้ใช้บริการเกี่ยวกับข้อมูลส่วนบุคคล และหากมีการละเมิดสิทธิของผู้ใช้บริการ ผู้รับใบอนุญาตประกอบกิจการโทรคมนาคมซึ่งเป็นผู้ให้บริการโครงข่ายสัญญาณโทรศัพท์มือถือ หรือ กสทช. จะต้องดำเนินการเพื่อระงับการกระทำดังกล่าว และแจ้งให้ผู้ใช้บริการทราบโดยเร็ว
ซึ่งได้มีการออกประกาศคณะกรรมการกิจการโทรคมนาคมแห่งชาติ เรื่อง มาตรการคุ้มครองสิทธิของผู้ใช้บริการโทรคมนาคมเกี่ยวกับข้อมูลส่วนบุคคลสิทธิในความเป็นส่วนตัว และเสรีภาพในการสื่อสารถึงกันโดยทางโทรคมนาคม ลงวันที่ 18 พ.ค.49 ข้อ 10 กำหนดให้ผู้รับใบอนุญาตต้องจัดให้มีมาตรการป้องกันและรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล โดยอย่างน้อยต้องดำเนินการปรับเปลี่ยนระบบการเข้าและการถอดรหัสที่ใช้เพื่อการรักษาความปลอดภัยของข้อมูลส่วนบุคคล อย่างน้อยทุก 3 เดือน และต้องปรับระดับความปลอดภัยให้เหมาะสมกับความเสี่ยงที่เกิดขึ้นตามการพัฒนาทางเทคโนโลยี หากผู้รับใบอนุญาตฝ่าฝืนหรือไม่ปฏิบัติตามมาตรการคุ้มครองผู้ใช้บริการเกี่ยวกับข้อมูลส่วนบุคคลตามมาตรา 50 ดังกล่าว พ.ร.บ.การประกอบกิจการโทรคมนาคม พ.ศ. 2544 มาตรา 64 ให้อำนาจเลขาธิการ กสทช. สั่งให้ผู้รับใบอนุญาตระงับการกระทำที่ฝ่าฝืน หรือให้แก้ไขปรับปรุง หรือปฏิบัติให้ถูกต้องเหมาะสมภายในเวลาที่กำหนดได้ และตามมาตรา 66 กำหนดว่า ในกรณีที่ผู้รับใบอนุญาตไม่ปฏิบัติตามคำสั่งของเลขาธิการ กสทช. และเลขาธิการ กสทช.ได้มีหนังสือเตือนแล้วยังไม่มีการปฏิบัติตามคำสั่งนั้น เลขาธิการ กสทช. มีอำนาจกำหนดค่าปรับทางปกครอง ซึ่งต้องไม่ต่ำกว่า 20,000 บาทต่อวันได้
ซึ่งในกรณีที่ข้อมูลส่วนบุคคลของผู้ใช้บริการทรูมูฟ เอช รั่วไหลนั้น เลขาธิการ กสทช. ได้ออกคำสั่งตาม พ.ร.บ.การประกอบกิจการโทรคมนาคม พ.ศ. 2544 มาตรา 64 ดังกล่าว ให้บริษัท เรียล มูฟ จำกัด (ทรูมูฟ เอช) ระงับการกระทำที่ฝ่าฝืน แก้ไขปรับปรุง และปฏิบัติให้ถูกต้องเหมาะสมแล้ว ซึ่งบริษัทก็คงปฏิบัติตามคำสั่งเลขาธิการ กสทช.ด้วยดี ดังนั้น ภายใต้กฎหมายที่ใช้บังคับอยู่ในปัจจุบันนี้ หากผู้ให้บริการโครงข่ายสัญญาณโทรศัพท์มือถือฝ่าฝืนมาตรการคุ้มครองผู้ใช้บริการเกี่ยวกับข้อมูลส่วนบุคคล โอกาสที่ผู้ให้บริการโครงข่ายสัญญาณโทรศัพท์มือถือค่ายต่าง ๆ จะถูกลงโทษตามกฎหมายเป็นไปได้น้อยมาก เพราะหากยอมปฏิบัติตามคำสั่งของเลขาธิการ กสทช.ดังกล่าวก็ไม่ต้องถูกลงโทษปรับแต่อย่างใด นอกจากนี้ กฎหมายเหล่านี้ไม่ได้มีบทบัญญัติที่กำหนดให้ผู้ให้บริการโครงข่ายสัญญาณโทรศัพท์มือถือชดใช้ค่าเสียหายที่เกิดขึ้นอย่างชัดเจนด้วย
อย่างไรก็ตาม ภายใต้ข้อจำกัดของการคุ้มครองข้อมูลส่วนบุคคลตามกฎหมายที่ใช้บังคับอยู่ ทำให้มีการเสนอร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลพ.ศ. ....ซึ่งมีบทบัญญัติที่ให้ความคุ้มครองข้อมูลส่วนบุคคลที่ดีกว่า เข้มงวดกว่า และมีบทลงโทษผู้ฝ่าฝืนที่รุนแรงกว่าเดิม และให้ความคุ้มครองข้อมูลส่วนบุคคลไม่ใช่เฉพาะแต่ผู้ใช้บริการเครือข่ายโทรศัพท์มือถือเท่านั้น แต่ให้ความคุ้มครองข้อมูลส่วนบุคคลเป็นการทั่วไปแก่ประชาชนทุกคนซึ่งได้ให้ข้อมูลส่วนบุคคลของตนแก่ผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งหมายความว่า บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคล อันได้แก่ บรรดาผู้ประกอบธุรกิจทั้งหลายซึ่งประชาชนผู้ใช้บริการได้ให้ข้อมูลส่วนบุคคลในการติดต่อและประกอบธุรกรรมต่าง ๆ เป็นต้น
ร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลนี้สำนักงานคณะกรรมการกฤษฎีกาได้ตรวจพิจารณาเสร็จแล้วและส่งกลับมายังครม.เมื่อวันที่ 10 ก.ค.58 และได้เสนอไปยังคณะกรรมการประสานงานสภานิติบัญญัติแห่งชาติ เมื่อวันที่ 29 ก.ค.58 แต่ ครม.ได้มีมติเมื่อวันที่ 8 ก.ย.58 ให้ถอนร่างกฎหมายออกจากสภานิติบัญญัติแห่งชาติ (สนช.) เพื่อให้กระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร (ปัจจุบันคือกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม) รับไปพิจารณาทบทวนร่วมกับสำนักงานคณะกรรมการกฤษฎีกาให้สอดคล้องกับนโยบายของรัฐบาล
ซึ่งในปัจจุบันนี้กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมได้พิจารณาร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลดังกล่าวร่วมกับสำนักงานคณะกรรมการกฤษฎีกาเสร็จแล้ว และได้นำร่างกฎหมายนี้เสนอ ครม.เพื่อพิจารณาเมื่อวันที่ 17 เม.ย.61 ก่อนที่จะมีการเสนอ สนช. พิจารณาต่อไป โดยร่างกฎหมายฉบับล่าสุดนี้มีความสมบูรณ์ครบถ้วนมากกว่าร่างเดิม โดยมีเนื้อหาทั้งสิ้น 84 มาตรา ขณะที่ร่างเดิมที่สำนักงานคณะกรรมการกฤษฎีกาตรวจพิจารณาเสร็จแล้วเมื่อปี 2558 มีเนื้อหาเพียง 53 มาตรา
ตามร่างกฎหมายฉบับล่าสุดนี้ ข้อมูลส่วนบุคคล หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงการระบุเฉพาะชื่อ ตำแหน่ง สถานที่ทำงาน หรือที่อยู่ทางธุรกิจ และข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ และร่างมาตรา 24 วรรคหนึ่งบัญญัติห้ามไม่ให้ผู้ควบคุมข้อมูลส่วนบุคคลใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล หากฝ่าฝืนจนทำให้ผู้อื่นเสียหายต้องระวางโทษจำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 500,000 บาท หรือทั้งจำทั้งปรับตามมาตรา 65 หรือต้องระวางโทษปรับทางปกครองไม่เกิน 300,000 บาท ตามมาตรา 70 และร่างมาตรา 29 บัญญัติให้ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ต้องประเมินผลกระทบต่อความเป็นส่วนตัวของข้อมูลส่วนบุคคลเป็นประจำอย่างสม่ำเสมอ และต้องจัดให้มีมาตรการรักษาความปลอดภัยที่เหมาะสม หากฝ่าฝืนต้องระวางโทษปรับทางปกครองไม่เกิน 300,000 บาท ตามมาตรา 70
ดังนั้นตามร่างกฎหมายนี้ หากผู้ควบคุมข้อมูลส่วนบุคคล เช่น ผู้ประกอบธุรกิจที่เป็นผู้ให้บริการ ได้ใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล หรือไม่จัดให้มีมาตรการรักษาความปลอดภัยที่เหมาะสมจนทำให้ข้อมูลส่วนบุคคลรั่วไหล ก็จะต้องถูกลงโทษตามกฎหมายโดยทันทีซึ่งมีทั้งโทษปรับและโทษจำคุก
ซึ่งแตกต่างจากกฎหมายปัจจุบันดังกล่าวข้างต้นที่ให้โอกาสผู้ให้บริการที่ฝ่าฝืนกฎหมายไปปรับปรุงแก้ไขให้ถูกต้องเสียก่อน ถ้าไม่ทำตามถึงจะถูกลงโทษปรับ อย่างไรก็ตาม ความผิดที่มีอัตราโทษจำคุกตามร่างกฎหมายนี้ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลมีอำนาจเปรียบเทียบปรับได้และเมื่อเสียค่าปรับแล้วคดีเป็นอันเลิกกัน
นอกจากนี้ ร่างมาตรา 64 ยังบัญญัติความรับผิดทางแพ่งในการชดใช้ค่าเสียหายไว้ โดยกำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลที่ดำเนินการเกี่ยวกับข้อมูลส่วนบุคคลจนทำให้เกิดความเสียหายต่อเจ้าของข้อมูลส่วนบุคคลไม่ว่าจะจงใจหรือประมาทเลินเล่อ ต้องชดใช้ค่าสินไหมทดแทนแก่เจ้าของข้อมูลส่วนบุคคลด้วย
ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคล หรือลูกจ้าง หรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคลฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญตามกฎหมายได้ และกำหนดให้มีสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลมีอำนาจหน้าที่สำคัญในการคุ้มครองข้อมูลส่วนบุคคล ส่งเสริมและสนับสนุนให้เกิดการพัฒนาด้านการคุ้มครองข้อมูลส่วนบุคคลของประเทศ
ด้วยร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฉบับนี้เป็นบทบัญญัติที่ให้ความคุ้มครองข้อมูลส่วนบุคคลแก่ประชาชนเป็นการทั่วไปไม่เจาะจงเฉพาะกรณีใดกรณีหนึ่ง ประกอบกับปัจจุบันมีการล่วงละเมิดสิทธิความเป็นส่วนตัวของข้อมูลส่วนบุคคลเป็นจำนวนมาก จึงหวังว่าหน่วยงานที่เกี่ยวข้องและ สนช.จะเร่งรีบผลักดันให้กฎหมายฉบับนี้ออกมาใช้บังคับโดยเร็ว นอกจากนี้ กฎเกณฑ์ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (General Data Protection Regulation (GDPR) (EU)) จะมีผลใช้บังคับในวันที่ 25 พ.ค.61 ซึ่งหากประเทศไทยไม่มีกฎหมายในการคุ้มครองข้อมูลส่วนบุคคลที่มีมาตรฐานเหมาะสม อาจจะส่งผลกระทบต่อการทำธุรกิจการค้ากับสหภาพยุโรปได้ด้วย.
