แคลิฟอร์เนีย : กฎหมายคุ้มครอง 'ข้อมูลส่วนบุคคล' ฉบับใหม่ ที่น่าจับตา

แคลิฟอร์เนีย : กฎหมายคุ้มครอง 'ข้อมูลส่วนบุคคล' ฉบับใหม่ ที่น่าจับตา

หลังจาก ครม.ได้มีคำสั่งให้เลื่อนการบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ไปเมื่อเร็วๆ นี้ วันนี้ทางฝั่งของ "แคลิฟอร์เนีย" ก็มีกฎหมายคุ้มครองข้อมูลส่วนบุคคลฉบับใหม่ ที่น่าจับตาเช่นกัน รายละเอียดจะเป็นอย่างไร ติดตามอ่านได้ที่นี่

เมื่อวันที่ 12 พ.ค.ที่ผ่านมา คณะรัฐมนตรี (ครม.) ได้มีคำสั่งให้เลื่อนการบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ในส่วนของหมวดที่เกี่ยวกับภาคธุรกิจ (หมวด 2 การคุ้มครองข้อมูลส่วนบุคคล หมวด 3 สิทธิเจ้าของข้อมูลส่วนบุคคล หมวด 5 การร้องเรียน หมวด 6 ความรับผิดทางแพ่ง หมวด 7 บทกำหนดโทษ และมาตรา 95 และ 96) ออกไปอีกเป็นระยะเวลา 1 ปี จากเดิมที่จะมีผลบังคับใช้ในวันที่ 27 พฤษภาคม พ.ศ. 2563 เนื่องจากสถานการณ์ COVID 19 ที่กำลังเป็นปัญหาระดับโลก

โดย ครม.เห็นว่า ในกรอบเวลาเดิมนั้นภาคธุรกิจได้รับผลกระทบจากสถานการณ์ COVID 19 ทั้งในแง่ของการเงิน การปรับปรุงระบบ รวมถึงการอบรมให้ความรู้ทางด้านการคุ้มครองข้อมูลส่วนบุคคลให้แก่บุคคลในองค์กร ในขณะเดียวกัน ในกรอบเวลาที่ใกล้เคียงกันนี้ มลรัฐแคลิฟอร์เนีย ประเทศสหรัฐอเมริกา หนึ่งในรัฐต้นแบบของประเทศสหรัฐอเมริกาในเรื่องการคุ้มครองข้อมูลส่วนบุคคล ก็ได้มีกฎหมายคุ้มครองข้อมูลส่วนบุคคลฉบับใหม่ออกมามีผลบังคับใช้เช่นกัน แต่ไม่มีการเลื่อนการบังคับใช้ออกไปเฉกเช่นประเทศไทย

ในอดีตก่อนที่จะมีพระราชบัญญัติว่าด้วยความเป็นส่วนตัวของผู้บริโภคแห่งมลรัฐแคลิฟอร์เนีย ค.ศ.2018 (California Consumer Privacy Act of 2018) หรือ CCPA การคุ้มครองข้อมูลส่วนบุคคลในภาคธุรกิจของมลรัฐแคลิฟอร์เนีย ตกอยู่ภายใต้บังคับกฎหมายหลายฉบับทั้งระดับประเทศ (Federal Laws) และระดับมลรัฐ (State Laws)

โดยเริ่มแรกนั้นในส่วนของข้อความทางอิเล็กทรอนิกส์ภาคธุรกิจ (Electronic Commercial Messages) อยู่ภายใต้พระราชบัญญัติว่าด้วยการควบคุมการคุกคามของสื่ออนาจารและการตลาด ค.ศ.2003 (Controlling the Assault of Non-Solicited Pornography and Marketing Act of 2003) หรือ CAN-SPAM ซึ่งกฎหมายฉบับนี้ได้รับการลงนามจากประธานาธิบดี จอร์จ ดับเบิลยู บุช ในปี พ.ศ.2546 เพื่อตอบโต้การคุกคามของจดหมายขยะจากภาคธุรกิจ

โดยวางหลักการให้ผู้ประกอบการต้องมีขั้นตอน และกระบวนการที่ชัดเจนในการแจ้งให้ผู้บริโภคทราบถึงวิธีการเลิกติดตาม และเอาอีเมลออกจากรายชื่ออีเมลของธุรกิจนั้น (unsubscribing and removing email from email list) ผู้ประกอบการที่ไม่ปฏิบัติตามจะต้องระวางโทษปรับจำนวน $16,000 (ประมาณ 500,000 บาท) ต่ออีเมล

นอกจาก CAN-SCAM แล้ว ยังมีพระราชบัญญัติคุ้มครองความเป็นส่วนตัวออนไลน์ของเยาวชน ค.ศ. 1998 (Children’s Online Privacy Protection Act of 1998) หรือ COPPA ที่ผ่านร่างในปี พ.ศ. 2541 และมีผลบังคับใช้ทั่วประเทศสหรัฐอเมริกาในปี พ.ศ.2543

โดยกฎหมายฉบับนี้มุ่งเน้นความคุ้มครองต่อเยาวชนอายุต่ำกว่า 13 ปี โดยมีผลบังคับใช้ต่อผู้ประกอบการในสหรัฐอเมริกา หรือมีเซิร์ฟเวอร์ข้อมูลอยู่ในประเทศสหรัฐอเมริกา หรือมีสำนักงานใหญ่อยู่ในเขตปกครองของสหรัฐอเมริกา เช่น กวม เปอร์โตริโก เป็นต้น นอกจากนี้ยังบังคับใช้แก่ผู้ประกอบการต่างชาติใดๆ ที่เก็บข้อมูลส่วนบุคคลของเยาวชนอายุต่ำกว่า 13 ปีที่อยู่อาศัยในประเทศสหรัฐอเมริกา

สำหรับในมลรัฐแคลิฟอร์เนียนั้น การคุ้มครองข้อมูลส่วนบุคคลออนไลน์ได้รับความคุ้มครองเพิ่มเติมจากระดับประเทศผ่านพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลออนไลน์แห่งแคลิฟอร์เนีย ค.ศ.2003 (California Online Privacy Protection Act of 2003) หรือ CalOPPA ที่มีผลบังคับใช้มาตั้งแต่วันที่ 1 กรกฎาคม พ.ศ.2547 ครอบคลุมถึงเว็บไซต์และแอพพลิเคชั่นต่างๆ ของผู้ประกอบการที่ทำการเก็บรวบรวมข้อมูลส่วนบุคคลของผู้อยู่อาศัยในมลรัฐแคลิฟอร์เนีย โดย CalOPPA วางหลักการให้ผู้ประกอบการจะต้องจัดทำลิงค์ไปสู่นโยบายความเป็นส่วนตัวบนเว็บไซต์ที่สามารถมองเห็นได้ชัดเจน

นอกจากนี้นโยบายความเป็นส่วนตัวนั้น จะต้องประกอบไปด้วยเนื้อหาเกี่ยวกับชนิดของข้อมูลส่วนบุคคลที่เว็บไซต์เก็บรวบรวม วิธีการที่ผู้ใช้จะสามารถเรียกร้องให้ผู้ประกอบการเปลี่ยนแปลงข้อมูลส่วนตัวที่จัดเก็บไปแล้ว วิธีการที่ผู้ประกอบการจะแจ้งให้ผู้บริโภคทราบถึงการแก้ไขเปลี่ยนแปลงนโยบายความเป็นส่วนตัว วันที่นโยบายดังกล่าวมีผลบังคับ รวมถึงการอนุญาตให้บุคคลที่สามสามารถเข้ามาจัดเก็บและใช้ข้อมูลผ่านผู้ประกอบการ

ซึ่งข้อกำหนดของ CalOPPA นั้นวางหลักการไว้เพียงกว้างๆ ไม่มีข้อกำหนดในเรื่องของรายได้ของผู้ประกอบการ ไม่มีข้อกำหนดว่าผู้ประกอบการต้องเป็นบริษัทจดทะเบียนที่ไหน ตราบใดที่มีการเก็บรวบรวมข้อมูลของผู้อยู่อาศัยในมลรัฐแคลิฟอร์เนียก็ต้องปฏิบัติตาม

ทั้งนี้ CalOPPA ไม่ครอบคลุมถึงผู้ให้บริการอินเตอร์เน็ตหรือผู้ประกอบที่เป็นผู้วิเคราะห์และจัดการข้อมูลให้บุคคลที่สามเท่านั้น โดยผู้ฝ่าฝืนจะถูกระวางโทษปรับไม่เกิน $2,500 ต่อข้อกล่าวหา ทั้งนี้ผู้บริโภคไม่สามารถฟ้องร้องผู้ประกอบการได้โดยตรง หากแต่ทำได้เพียงร้องเรียนต่อสำนักอัยการสูงสุดแห่งมลรัฐแคลิฟอร์เนียเท่านั้น และให้ทางสำนักงานอัยการสูงสุดเป็นผู้นำคดีเข้าสู่ศาล

สำหรับ CCPA นั้นได้ผ่านร่างในปี พ.ศ.2561 ออกเป็นกฎหมายในวันที่ 1 มกราคม พ.ศ. 2563 และจะมีผลบังคับใช้ในวันที่ 1 กรกฎาคม พ.ศ.2563 นี้ โดยกฎหมายฉบับนี้มีผลบังคับใช้ต่อผู้ประกอบการที่จัดเก็บข้อมูลของผู้ที่อาศัยในมลรัฐแคลิฟอร์เนีย ที่เป็นธุรกิจแสวงผลกำไรที่เข้าข่ายข้อใดข้อนึงต่อไปนี้

1) มีรายได้สุทธิต่อมีมากกว่า $25,000,000 (ประมาณ 800,000,000 บาท)

2) ซื้อ ขาย ได้รับ หรือแลกเปลี่ยน ข้อมูลส่วนบุคคลมากกว่า 50,000 คน 50,000 ครัวเรือน หรือ 50,000 ไอดีอุปกรณ์อิเล็กทรอนิกส์ต่อปี

3) มีรายได้จากการขายข้อมูลส่วนบุคคลคิดเป็นมากกว่ากึ่งหนึ่งของรายได้ทั้งหมดต่อปี

โดยกฎหมายฉบับนี้วางหลักให้ผู้บริโภคมีสิทธิที่ทราบ (Know) ว่าผู้ประกอบการนั้นเก็บรวบรวมข้อมูลส่วนบุคคลอะไรไปบ้าง มีสิทธิที่จะปฏิเสธ (Say No) ที่จะให้ข้อมูลส่วนบุคคลแก่ผู้ประกอบการมีสิทธิที่จะลบ (Delete) ข้อมูลส่วนบุคคลที่ผู้ประกอบการได้เก็บรวบรวมไป และมีสิทธิที่จะได้รับการปฏิบัติอย่างเท่าเทียม (Non-Discrimination) แม้ผู้บริโภคจะเลือกที่จะไม่ให้ข้อมูลส่วนบุคคลของตนเองแก่ผู้ประกอบการก็ตาม

นอกจากนี้ ผู้ประกอบการจำเป็นต้องมีลิงค์สำหรับ “ห้ามมิให้ขายข้อมูลส่วนบุคคลของฉัน” (“DO Not Sell My Personal Information”) บนหน้าเว็บไซต์อย่างชัดเจน เพื่ออำนวยความสะดวกให้ผู้บริโภคในการแจ้งผู้ประกอบการไม่ให้ขายข้อมูลส่วนบุคคล

ทั้งนี้ การขายข้อมูลส่วนบุคคลตามกฎหมายฉบับนี้ ไม่จำเป็นต้องมีเงินเข้ามาเกี่ยวข้อง แต่รวมถึงการแลกเปลี่ยนข้อมูลส่วนบุคคลของผู้บริโภค โดยมีการแลกเปลี่ยนในเชิงธุรกิจต่างตอบแทนด้วย สำหรับผู้ฝ่าฝืนข้อกำหนดในกฎหมายฉบับนี้จะถูกระวางโทษปรับไม่เกิน $2,500 ต่อข้อกล่าวหา ถ้าพิสูจน์ได้ว่าผู้ประกอบการนั้นกระทำความผิดโดยเจตนา จะถูกระวางโทษปรับไม่เกิน $7,500 ต่อข้อกล่าวหา

นอกจากนี้ กฎหมายฉบับนี้ยังอนุญาตให้ผู้บริโภคสามารถฟ้องร้องผู้ประกอบการได้ด้วยตัวเองในกรณีที่ผู้ประกอบการละเลยที่จะรักษาความปลอดภัยให้แก่ข้อมูลส่วนบุคคลของผู้บริโภค

จะเห็นได้ว่าสำหรับมลรัฐแคลิฟอร์เนียที่มีผู้ติดเชื้อ COVID-19 มากกว่าเจ็ดหมื่นรายต่อประชากรทั้งหมดกว่าสี่สิบล้านคนนั้น การบังคับใช้กฎหมายฉบับใหม่ไม่จำเป็นต้องเลื่อนออกไปเพียงเพราะสถานการณ์ COVID-19 ในขณะที่การคุ้มครองข้อมูลส่วนบุคคลในภาคธุรกิจของประเทศไทยคงต้องจับตามองกันต่อไป ว่าเป็นการเลื่อนการบังคับใช้ เนื่องจากสถานการณ์ COVID-19 บีบบังคับหรือเป็นไปเพื่อการประวิงเวลาเนื่องด้วยเหตุผลอื่น