คอลัมนิสต์

ว่าด้วยเรื่อง “กฎหมายคุ้มครองข้อมูลส่วนบุคคล”

By ดร.สุมาพร (ศรีสุนทร)มานะสันต์05 มี.ค. 2019 เวลา 3:50 น.
ว่าด้วยเรื่อง “กฎหมายคุ้มครองข้อมูลส่วนบุคคล”

ในโลกยุคดิจิทัล“ข้อมูล”ได้เกิดขึ้นอย่างต่อเนื่อง รวดเร็ว และกระจัดกระจาย

อยู่ตามสื่อออนไลน์และช่องทางอิเล็กทรอนิกส์ในรูปแบบต่าง ๆ อย่างไม่มีที่สิ้นสุด ซึ่งข้อดีของข้อมูลปริมาณมาก คือ ธุรกิจสามารถนำมาใช้ประโยชน์ในการวิเคราะห์พฤติกรรมของผู้บริโภคในเชิงลึกได้โดยง่าย หรือ ที่เรียกกันว่า การทำBig Data Analytics

 อย่างไรก็ดี ในอีกด้าน คำถามที่ผู้บริโภคมักย้อนถามกลับไปจากการใช้ประโยชน์ในข้างต้น คือ ข้อมูลเหล่านั้นถูกเก็บ/ใช้/ประมวลผลโดยชอบแล้วหรือไม่ และจะทำอย่างไร หากข้อมูลบางประเภทเป็นข้อมูล“ส่วนตัว”ที่ผู้บริโภคไม่ได้ประสงค์ให้นำไปใช้

สำหรับประเทศไทย เรื่องดังกล่าวกำลังจะมีแนวทางที่ชัดเจนมากขึ้น เนื่องจากวันที่ 28 ก.พ. ที่ผ่านมา สนช. พึ่งมีมติเห็นชอบร่างพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (ร่างพ.ร.บ.ฯ) ให้ใช้เป็นกฎหมาย

อะไรคือข้อมูลส่วนบุคคล?

จากการศึกษากฎหมายข้อมูลส่วนบุคคลของประเทศต่าง ๆ พบว่า นิยามของข้อมูลส่วนบุคคล ได้ถูกกำหนดไปในทิศทางเดียวกันว่า “เป็นข้อมูลที่เกี่ยวข้องกับตัวบุคคล ในลักษณะที่สามารถทำให้ทราบหรือเชื่อมโยงได้ว่า ใครเป็นเจ้าของข้อมูล”ซึ่งตามร่างพ.ร.บ. ฯ ของไทยก็ได้กำหนดไว้ในทำนองเดียวกัน โดยให้หมายถึง“ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อมแต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรม”

จากนิยามข้างต้น ผู้เขียนขอยกตัวอย่าง ดังนี้ หากเป็นข้อมูลที่อยู่ (home address) แต่ไม่มีชื่อระบุว่าเป็นที่อยู่ของใครย่อมไม่ใช่ข้อมูลส่วนบุคคล แต่หากเป็นชื่อพร้อมที่อยู่ย่อมเป็นข้อมูลส่วนบุคคล หรือ ใบเสร็จรับเงินแม้ระบุจำนวนเงินที่ใช้ วัน เวลา และเลขท้ายสี่ตัวของบัตรที่ใช้ แต่ไม่ระบุชื่อผู้ใช้ย่อมไม่ใช่ข้อมูลส่วนบุคคล แต่หากใบเสร็จดังกล่าวแม้ไม่ได้ระบุชื่อผู้ใช้ แต่มีอีเมล์หรือเบอร์โทรศัพท์ที่สามารถทำให้ทราบได้ว่าเป็นของผู้ใด ใบเสร็จดังกล่าวจะกลายเป็นข้อมูลส่วนบุคคลทันที นอกจากนี้ ผู้เขียนเชื่อว่าข้อมูลที่เกิดจากกิจกรรมออนไลน์ต่าง ๆ ย่อมเป็นข้อมูล ส่วนบุคคลด้วยเช่นกัน ยกตัวอย่างเช่น การทำ Profiling ข้อมูลบนอินเทอร์เนท (Cookie, Java Script หรือ Location Tracking) ล้วนแต่เป็นการประมวลผลโดยระบบอัตโนมัติเพื่อให้ทราบถึงกิจกรรมออนไลน์ของผู้ใช้บริการอันอาจสามารถเชื่อมโยงไปยังเจ้าของข้อมูลได้โดยง่าย หรืออาจนำไปประกอบกับข้อมูลอื่นที่ผู้ใช้บริการได้เปิดเผยไว้เป็นสาธารณะ และนำไปประมวลผลเพื่อวัตถุประสงค์ทางการตลาด เช่น การประเมินพฤติกรรมของบุคคลผ่านการกด Like, share หรือ post ข้อความต่างๆ ในสื่อออนไลน์ เป็นต้น 

กฎหมายให้ความคุ้มครองที่แตกต่างตามประเภทข้อมูล

หลักสากลอีกประการของกฎหมายคุ้มครองข้อมูลส่วนบุคคลซึ่งปรากฎอยู่ในร่างพ.ร.บ.ฯของไทยด้วยเช่นกัน คือ การจัดชั้นข้อมูลเพื่อให้ความคุ้มครองในระดับที่แตกต่างซึ่งข้อมูลในกลุ่มแรก ได้แก่ข้อมูลส่วนบุคคลทั่วไป (Non-sensitive data)เช่น ชื่อ อีเมล์ เบอร์โทรศัพท์ ซึ่งกฎหมายกำหนดให้ผู้ที่ทำการเก็บรวบรวม ใช้ หรือเปิดเผยต้องได้รับความยินยอมจากเจ้าของข้อมูลตามหลักเกณฑ์ที่กฎหมายกำหนด เช่น หากผู้ให้บริการต้องการเก็บรวมรวบข้อมูลทั่วไปของผู้ใช้บริการ ผู้ให้บริการต้อง ยึดหลัก “เก็บเท่าที่จำเป็น” โดยก่อนหรือขณะที่ทำการจัดเก็บ ต้องขอความยินยอมพร้อมระบุวัตถุประสงค์ และต้องแจ้งผู้ใช้บริการทราบด้วยว่าจะเก็บข้อมูลดังกล่าวไว้นานเท่าใด ประกอบกับตลอดระยะเวลาในการจัดเก็บจะต้องมีมาตรฐานในการรักษาความปลอดภัยของข้อมูลเพื่อไม่ให้มีการเปลี่ยนแปลงแก้ไข หรือมีบุคคลอื่นใดเข้าถึงข้อมูลนั้นได้โดยมิชอบ   กลุ่มที่สอง ได้แก่ข้อมูลที่มีความอ่อนไหว(sensitive data)เหตุที่ต้องจัดว่ามีความอ่อนไหวเพราะเป็นข้อมูลที่มีความเฉพาะตัว และหากถูกเปิดเผยให้สาธารณชนทราบ อาจก่อให้เกิดความขัดแย้ง กระทบต่อความรู้สึก หรือเกิดความเสียหายรุนแรงต่อเจ้าของข้อมูล เช่น ความคิดเห็นทางการเมือง ความเชื่อในลัทธิหรือศาสนา พฤติกรรมทางเพศ และข้อมูลสุขภาพ เป็นต้น

 ดังนั้น หากเป็นข้อมูลที่มีความอ่อนไหว กฎหมายจะให้ความคุ้มครองในระดับเข้มข้นกว่าในกลุ่มแรก โดยกำหนดห้ามเก็บรวบรวมข้อมูลดังกล่าวหากปราศความยินยอมโดย “ชัดแจ้งจากเจ้าของข้อมูล อย่างไรก็ดี กฎหมายได้กำหนดข้อยกเว้นบางประการสำหรับการใช้ข้อมูลประเภทนี้ เช่น กรณีการนำข้อมูลไปใช้เพื่อทำวิจัยหรือสร้างข้อมูลในเชิงสถิติ ย่อมทำได้หากได้มีการใช้มาตรการ ที่เหมาะสมเพื่อคุ้มครองสิทธิขั้นพื้นฐานของเจ้าของข้อมูลอย่างเพียงพอ โดยกฎหมายกำหนดให้ใช้ “มาตรการทางเทคนิค” และ “มาตรการในองค์กร” เพื่อลดการใช้ข้อมูลส่วนบุคคลลงให้มากที่สุด เช่น เทคนิคการทำ Data Masking หรือ Data Anonymization ซึ่งคือ การปกปิดข้อมูลส่วนบุคคลบางประการที่ปรากฎอยู่ในฐานข้อมูล จนทำให้ไม่ทราบว่าผู้ใดเป็นเจ้าของข้อมูลที่แท้จริง โดยการสร้างกระบวนการทางเทคนิคในลักษณะนี้ ข้อมูลจะแสดงผลในรูปแบบนามแฝงเพื่อทำให้ผู้เข้าถึงข้อมูลไม่สามารถระบุตัวตนของเจ้าของข้อมูลได้ สิทธิของเจ้าของข้อมูล

ร่างพ.ร.บ.ฯ ได้กำหนดสิทธิของเจ้าของข้อมูลส่วนบุคคลไว้หลายประการ เช่น ประการแรก สิทธิในการเข้าถึงข้อมูล โดยเจ้าของข้อมูลสามารถขอรับสำเนาข้อมูลของตนที่อยู่ในความรับผิดชอบของผู้ควบคุมข้อมูลได้ และสามารถขอให้เปิดเผยการได้มาซึ่งข้อมูลส่วนบุคคลที่ตนไม่ได้ให้ความยินยอม ประการที่สอง สิทธิขอให้ลบหรือทำลายข้อมูล ระงับการใช้ชั่วคราว หรือทำให้ข้อมูลไม่สามารถระบุตัวตนได้ หากตรวจพบว่าผู้ควบคุมข้อมูลนำข้อมูลไปใช้โดยมิชอบและไม่สอดคล้องกับหลักการตามร่างพ.ร.บ.ฯ ประการที่สาม สิทธิในการคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยในกรณีต่าง ๆ เช่น เมื่อเจ้าของข้อมูลพบว่าข้อมูลของตนถูกนำไปใช้หรือเปิดเผยเพื่อวัตถุประสงค์เกี่ยวกับการตลาดแบบตรง เป็นต้น

ท้ายที่สุด สิ่งที่ผู้เขียนได้เล่ามาทั้งหมด เป็นเพียงเนื้อหาส่วนหนึ่งของร่างพ.ร.บ.ฯ ซึ่งผู้เขียนเชื่อว่า ด้วยการที่กฎหมายฉบับนี้ได้ถูกออกแบบมาให้เป็นกฎหมายกลางซึ่งจะใช้บังคับเป็นการทั่วไปกับทุก sectors ดังนั้น การให้ความคุ้มครองข้อมูลส่วนบุคคล จึงไม่ใช่เรื่องไกลตัวอีกต่อไป และเป็นเรื่องที่สังคมไทยต้องตระหนักถึงความสำคัญ และส่งเสริมให้ประชาชนมีความรู้ความเข้าใจในสิทธิส่วนบุคคลของตนอย่างจริงจัง

[บทความนี้เป็นความเห็นส่วนตัวของผู้เขียน]