คอลัมนิสต์

รัฐบาลดิจิทัล กับข้อยกเว้นการคุ้มครองข้อมูลส่วนบุคคล***

By กฎหมายกับการพัฒนา04 ต.ค. 2018 เวลา 3:40 น.
รัฐบาลดิจิทัล กับข้อยกเว้นการคุ้มครองข้อมูลส่วนบุคคล***

เมื่อ 2 ต.ค.ที่ผ่านมา คณะรัฐมนตรี(ครม.)อนุมัติหลักการร่างพระราชบัญญัติ(พ.ร.บ.)ว่าด้วยรัฐบาลดิจิทัล พ.ศ. …. ตามที่สำนักงานพัฒนารัฐบาลดิจิทัล

 เสนอและให้ส่งสำนักงานคณะกรรมการกฤษฎีกาตรวจพิจารณาต่อไป โดยกฎหมายฉบับนี้ตราขึ้นเพื่อให้มีการบูรณาการฐานข้อมูลของหน่วยงานของรัฐทุกหน่วยงานเข้าด้วยกัน เพื่อยกระดับการดำเนินงานภาครัฐไปสู่การเป็นรัฐบาลดิจิทัล

อย่างไรก็ตามร่างพ.ร.บ.ว่าด้วยรัฐบาลดิจิทัลฯ อาจมีความย้อนแย้งอย่างมีนัยสำคัญต่อหลักการพื้นฐานของการคุ้มครองข้อมูลส่วนบุคคล ตามที่ ครม.ได้มีมติอนุมัติในหลักการร่างพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. … ตามที่กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เสนอไปแล้วเมื่อวันที่ 22 พ.ค.2561 ซึ่งขณะนี้อยู่ระหว่างการพิจารณาของคณะกรรมการกฤษฎีกาเช่นเดียวกัน และประเด็นสำคัญอีกประการหนึ่ง คือ ความเชื่อมโยงของ ร่างพ.ร.บ.ว่าด้วยรัฐบาลดิจิทัลฯ และ พ.ร.บ.ข้อมูลข่าวสารของราชการ พ.ศ. 2540 ว่ามีอยู่อย่างไร เนื่องจากกฎหมายทั้ง 2 ฉบับเกี่ยวข้องกับข้อมูลภาครัฐและการเข้าถึงข้อมูลเหล่านั้นโดยเอกชนทั้งสิ้น

ในส่วนของความสัมพันธ์ระหว่างร่างพ.ร.บ.ว่าด้วยรัฐบาลดิจิทัลฯ และการคุ้มครองข้อมูลส่วนบุคคลนั้น ร่างพ.ร.บ.ว่าด้วยรัฐบาลดิจิทัลฯ มีหลายมาตราที่อาจกระทบต่อหลักการสำคัญของการคุ้มครองส่วนบุคคล ดังนี้

1) กรณีหน่วยงานของรัฐได้มาซึ่งข้อมูลส่วนบุคคลหรือมีข้อมูลส่วนบุคคลอยู่ในความครอบครอง ให้หน่วยงานของรัฐอื่นสามารถขอเชื่อมโยงหรือแลกเปลี่ยนข้อมูลเพื่อนำมาวิเคราะห์หรือประมวลผลเพื่อประโยชน์ในการบริหารราชการแผ่นดินได้ แต่ห้ามเปิดเผยต่อสาธารณชน (ร่างมาตรา 21)

2) ข้อมูลส่วนบุคคลหรือข้อมูลใดที่อยู่ในความครอบครองของหน่วยงานของรัฐ ซึ่งมีกฎหมายอื่นกำหนดห้ามมิให้เปิดเผยนั้น หากเป็นการเปิดเผยโดยสุจริตเพื่อให้เกิดการแลกเปลี่ยนและเชื่อมโยงข้อมูลระหว่างหน่วยงานของรัฐตามวัตถุประสงค์ของ พ.ร.บ.นี้ และเป็นการเปิดเผยข้อมูลเท่าที่จำเป็นที่หน่วยงานของรัฐอีกแห่งหนึ่งต้องใช้ข้อมูลดังกล่าว ในการดำเนินการตามอำนาจ หน้าที่ ภารกิจของหน่วยงาน ให้เจ้าหน้าที่ของรัฐและหน่วยงานของรัฐที่เปิดเผยข้อมูลไม่ต้องรับผิดตามกฎหมายนั้น (ร่างมาตรา 22)

ท่านผู้อ่านจะเห็นได้ว่า ตามร่างพ.ร.บ.ว่าด้วยรัฐบาลดิจิทัลฯ หน่วยงานของรัฐสามารถโอนและอนุญาตให้หน่วยงานของรัฐอื่นใช้ข้อมูลส่วนบุคลได้โดยที่ไม่ต้องได้รับ “ความยินยอม” จากเจ้าของข้อมูลส่วนบุคล และได้กำหนดบทยกเว้นความรับผิดใดๆ ไว้ล่วงหน้าอีกด้วย

ในขณะที่หลัการสำคัญอันเป็นหัวใจของกฎหมายคุ้มครองข้อมูลส่วนบุคคล คือ “ความยินยอม” และการกระทำต่อข้อมูลส่วนบุคคลต้องทำเพียงเท่าที่จำเป็นจริงๆ เท่านั้น ซึ่งร่างพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ มาตรา 19 กำหนดไว้ดังนี้

“ผู้ควบคุมข้อมูลส่วนบุคคลจะกระทำการเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคลไม่ได้หากเจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอมไว้ก่อนหรือในขณะนั้น เว้นแต่บทบัญญัติแห่ง พ.ร.บ.นี้ หรือกฎหมายอื่นบัญญัติให้กระทำได้... ในการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคล ต้องแจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไปด้วย และการขอ ความยินยอมนั้นต้องชัดเจน และไม่เป็นการหลอกลวงหรือทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์ดังกล่าว…”

และร่างพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ มาตรา 27 กำหนดว่า “ห้ามมิให้ผู้ควบคุมข้อมูลส่วนบุคคลใช้หรือเปิดเผยข้อมูลส่วนบุคคล โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่เป็นข้อมูลส่วนบุคคลที่เก็บรวบรวมได้โดยได้รับยกเว้นไม่ต้องขอความยินยอม...”

ในความเห็นของผู้เขียน การที่รัฐตรากฎหมายคุ้มครองข้อมูลส่วนบุคคลขึ้น แต่ให้ยกเว้นหลักการขอความยินยอมและมาตรการต่างๆ เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคลโดยไม่มีการกำหนดมาตรการขั้นต่ำใดๆ ในการคุ้มครองข้อมูลส่วนบุคคลเลย ย่อมทำให้สิทธิของบุคคลไม่มีโอกาสได้รับความคุ้มครองอย่างแน่แท้

เมื่อพิจารณาแนวคิดระบบกฎหมายไทยเปรียบเทียบกับ GDPR ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรปจะพบว่า GDPR จะบัญญัติหลักการเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลที่เกี่ยวกับการดำเนินการของเจ้าหน้าที่รัฐไว้อย่างชัดเจน ดังนี้

1) หากเป็นการดำเนินการตามกระบวนการยุติธรรมทางอาญาต้องเป็นไปตาม Directive 2016/680 ซึ่งเป็นกฎหมายที่ตราขึ้นเพื่อคุ้มครองสิทธิของเจ้าของข้อมูลในกระบวนการยุติธรรมทางอาญา

2) GDPR มาตรา 86 กำหนดหลักการพื้นฐานในการเปิดเผยข้อมูลส่วนบุคคลที่อยู่ในความครอบครองของหน่วยงานรัฐไว้ด้วยว่าต้องคำนึงถึงสิทธิของบุคคลตาม GDPR ด้วย และในส่วนของ Directive 2003/98 ซึ่งเป็นกรอบนโยบายทางกฎหมายเกี่ยวกับการเปิดเผยและใช้ประโยชน์ในข้อมูลภาครัฐของสหภาพยุโรปก็กำหนดหลักการไว้ว่าการกระทำใด ๆ ต่อข้อมูลส่วนบุคคลต้องเป็นไปตามกฎหมายว่าด้วยข้อมูลส่วนบุคคลด้วย

 จากตัวอย่างของ GDPR ผู้เขียนเห็นว่าร่างพ.ร.บ.ว่าด้วยรัฐบาลดิจิทัลฯ มีความจำเป็นที่จะต้องสร้างความชัดเจนในแง่การดำเนินการภาครัฐให้สอดคล้องกับบริบทของการคุ้มครองสิทธิและเสรีภาพของประชาชนในส่วนของข้อมูลส่วนบุคคลด้วย.

*** ชื่อเต็ม: ร่างพ.ร.บ.ว่าด้วยรัฐบาลดิจิทัล พ.ศ. …. ข้อยกเว้นการคุ้มครองข้อมูลส่วนบุคคล

โดย: 

ศุภวัชร์ มาลานนท์

คณะนิติศาสตร์ มหาวิทยาลัยสงขลานครินทร์