นิติศาสตร์ มธ.ยื่นคำร้อง คกก.คุ้มครองข้อมูลส่วนบุคคล ยกเหตุผล 3 ข้อ เสนอให้ยึด-ทำลายต้นขั้ว 'บัตรเลือกตั้ง' 69 เหตุเชื่อมโยงปม 'บาร์โค้ด' หวั่นข้อมูลอ่อนไหวรั่วไหล
เมื่อวันที่ 2 เม.ย. 2569 เฟซบุ๊กแฟนเพจคณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์ เปิดเผยว่า ศูนย์นิติศาสตร์ คณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์ ได้ยื่นคำร้องต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เพื่อขอให้ตรวจสอบการดำเนินการของคณะกรรมการการเลือกตั้งและสำนักงานคณะกรรมการการเลือกตั้ง กรณีการจัดทำบัตรเลือกตั้งสมาชิกสภาผู้แทนราษฎร พ.ศ. 2569 ซึ่งปรากฏเครื่องหมายบาร์โค้ด Barcode บนบัตรเลือกตั้งสมาชิกสภาผู้แทนราษฎรแบบบัญชีรายชื่อ (บัตรสีชมพู) และ QR Code (Quick Response Code) บนบัตรเลือกตั้งสมาชิกสภาผู้แทนราษฎรแบบแบ่งเขตเลือกตั้ง (บัตรสีเขียว) โดยกำหนดรหัสเฉพาะสำหรับบัตรแต่ละใบที่สามารถเชื่อมโยงกับต้นขั้วบัตรเลือกตั้งได้
โดยระบุว่า ต้นขั้วบัตรเลือกตั้งดังกล่าวมีข้อมูลสำคัญที่สามารถระบุตัวบุคคลได้ ได้แก่ ลายมือชื่อของกรรมการประจำหน่วยเลือกตั้ง ลายมือชื่อหรือรอยพิมพ์นิ้วมือของผู้ใช้สิทธิเลือกตั้ง และลำดับรายชื่อผู้มีสิทธิเลือกตั้ง เมื่อเชื่อมโยงกับรหัสบนบัตรเลือกตั้ง จึงอาจทำให้สามารถสืบย้อนกลับไปยังตัวบุคคล และทราบได้ว่าบุคคลดังกล่าวลงคะแนนเลือกผู้สมัครหรือพรรคการเมืองใด อันเป็นการกระทบต่อหลักการสำคัญของการเลือกตั้งที่ต้องเป็นความลับและไม่สามารถตรวจสอบย้อนกลับได้
ในทางกฎหมาย การดำเนินการดังกล่าวเกี่ยวข้องกับข้อมูลเกี่ยวกับความคิดเห็นทางการเมืองซึ่งเป็นข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Personal Data) ซึ่งได้รับความคุ้มครองเป็นพิเศษตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 26 การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลลักษณะดังกล่าวต้องอยู่ภายใต้เงื่อนไขที่เข้มงวด ทั้งในด้านความจำเป็น ความได้สัดส่วน และการมีมาตรการคุ้มครองข้อมูลที่เหมาะสม
แม้ระเบียบคณะกรรมการการเลือกตั้งว่าด้วยการเลือกตั้งสมาชิกสภาผู้แทนราษฎร พ.ศ. 2566 ข้อ 129 จะให้อำนาจคณะกรรมการการเลือกตั้งและสำนักงานคณะกรรมการการเลือกตั้งทำเครื่องหมายบนบัตรเลือกตั้งเพื่อป้องกันการปลอมแปลงบัตรเลือกตั้งได้ และพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 26 (5)(จ) จะเปิดช่องให้สามารถเก็บรวบรวมข้อมูลอ่อนไหวได้เพื่อประโยชน์สาธารณะที่สำคัญโดยไม่ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก็ตาม แต่การดำเนินการในกรณีนี้ยังไม่เป็นไปตามหลักเกณฑ์ตามกฎหมายที่จะทำให้มีอำนาจตามมาตรา 26 (5) (จ) ด้วยเหตุผล 3 ประการ ได้แก่
ประการแรก การดำเนินการดังกล่าวไม่เป็นไปตามหลักความจำเป็นและความได้สัดส่วน เนื่องจากแม้การทำเครื่องหมายบาร์โค้ด (Barcode) และหรือ QR Code (Quick Response Code) บนบัตรเลือกตั้งโดยมีวัตถุประสงค์เพื่อป้องกันการปลอมแปลงบัตรเลือกตั้งจะสามารถกระทำได้ แต่การดำเนินการดังกล่าวกลับก่อให้เกิดผลกระทบต่อสิทธิและเสรีภาพของประชาชนอย่างมีนัยสำคัญ เช่น การเลือกปฏิบัติ การถูกกดดันทางการเมือง หรือการถูกคุกคาม อีกทั้ง ยังมีมาตรการทางเลือกอื่นที่สามารถป้องกันการปลอมแปลงบัตรเลือกตั้งได้โดยไม่ต้องแทรกแซงข้อมูลส่วนบุคคลที่มีความอ่อนไหว เช่น การใช้เทคโนโลยีความปลอดภัยเฉพาะทางหรือสัญลักษณ์พิเศษที่ไม่สามารถเชื่อมโยงถึงตัวบุคคลได้
ประการที่สอง ไม่ปรากฏว่ามีการแสดงให้เห็นถึงประโยชน์สาธารณะอย่างชัดเจนและเป็นรูปธรรม กล่าวคือ คณะกรรมการการเลือกตั้งและสำนักงานคณะกรรมการการเลือกตั้งไม่สามารถชี้แจงว่าการทำเครื่องหมายบาร์โค้ด (Barcode) และหรือ QR Code (Quick Response Code) บนบัตรเลือกตั้ง ก่อให้เกิดประโยชน์ต่อส่วนรวมเพียงใด มีผู้ได้รับประโยชน์จากการกระทำที่ทำให้ล่วงรู้ถึงข้อมูลส่วนบุคคลที่มีความอ่อนไหวมากเพียงใด และมีความจำเป็นในระดับใดเมื่อเปรียบเทียบกับผลกระทบต่อสิทธิของประชาชน
ประการที่สาม ไม่ปรากฏว่ามีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสมเพียงพอ ทั้งในด้านการป้องกันการเข้าถึงข้อมูล การจัดเก็บรักษา และการควบคุมความเสี่ยงจากการนำข้อมูลไปใช้ในทางมิชอบ แม้จะมีการอ้างว่ามีการแยกเก็บบัตรเลือกตั้งและต้นขั้วของบัตรออกจากกันก็ตาม แต่ยังไม่อาจตรวจสอบได้ถึงประสิทธิภาพของมาตรการดังกล่าว จึงไม่อาจเชื่อได้ว่าคณะกรรมการการเลือกตั้งและสำนักงานคณะกรรมการการเลือกตั้ง ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลจะมีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสมแล้ว ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 4 วรรคสาม มาตรา 37 (1) มาตรา 40 (2)
กล่าวโดยสรุป การดำเนินการของคณะกรรมการการเลือกตั้งและสำนักงานคณะกรรมการการเลือกตั้งไม่เป็นไปตามบทบัญญัติของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หลายประการ ได้แก่ การไม่แจ้งวัตถุประสงค์ในการเก็บรวบรวมข้อมูล (มาตรา 19 และมาตรา 23) การเก็บรวบรวมข้อมูลส่วนบุคคลที่มีความอ่อนไหวโดยไม่ชอบ (มาตรา 26) และการไม่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลที่เหมาะสม (มาตรา 37 และมาตรา 40)
ศูนย์นิติศาสตร์ฯ จึงได้ขอให้คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลใช้อำนาจตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 76 ในการตรวจสอบข้อเท็จจริงและดำเนินการตามกฎหมายต่อคณะกรรมการการเลือกตั้งและสำนักงานคณะกรรมการการเลือกตั้ง และใช้มาตรการคุ้มครองข้อมูลส่วนบุคคลเหล่านั้นให้เหมาะสม ซึ่งอาจหมายถึงยึดหรืออายัดบัตรเลือกตั้งหรือเอกสารหลักฐานที่เกี่ยวข้อง และให้ลบทำลายต้นขั้วของบัตรเลือกตั้ง เพื่อป้องกันการนำข้อมูลไปใช้ในทางมิชอบ และคุ้มครองสิทธิในความเป็นส่วนตัวและเสรีภาพของประชาชนอย่างเหมาะสม