การคุ้มครองข้อมูลในเมืองอัจฉริยะ

เมืองอัจฉริยะ หรือ Smart City ไม่ใช่เพียงคำแฟชั่นในยุคดิจิทัล แต่คือแนวคิดในการจัดการเมืองโดยใช้เทคโนโลยีเพื่อยกระดับคุณภาพชีวิตของประชาชน ไม่ว่าจะเป็นการใช้กล้องอัจฉริยะจัดการจราจร

ระบบปัญญาประดิษฐ์ในการวิเคราะห์อาชญากรรมหรือการใช้ข้อมูลขนาดใหญ่ (Big Data) เพื่อบริหารจัดการเมืองอย่างมีประสิทธิภาพ ทว่าความก้าวหน้าทางเทคโนโลยีเหล่านี้ได้ก่อให้เกิดคำถามสำคัญที่ยังไร้คำตอบในหลายประเทศ โดยเฉพาะในแง่ของสิทธิความเป็นส่วนตัวและการคุ้มครองข้อมูลส่วนบุคคล ซึ่งกลายเป็นประเด็นร้อนที่ทั่วหลายประเทศต้องเร่งออกกฎหมายเพื่อกำกับดูแล

ในบริบทของภูมิภาคเอเชียตะวันออกเฉียงใต้ มาเลเซียถือเป็นหนึ่งในประเทศที่ขับเคลื่อนแนวคิดเมืองอัจฉริยะอย่างจริงจัง ผ่านการประกาศใช้ Malaysia Smart City Framework (MSCF) ตั้งแต่ปี 2561 กรอบดังกล่าวมีเป้าหมายชัดเจนที่จะใช้เทคโนโลยีดิจิทัลและปัญญาประดิษฐ์ (AI) เพื่อเพิ่มประสิทธิภาพการบริหารจัดการเมือง

แต่ในขณะที่เทคโนโลยีเติบโตอย่างรวดเร็ว กฎหมายกลับเดินตามไม่ทัน โดยเฉพาะเรื่องการคุ้มครองข้อมูลส่วนบุคคลภายใต้ Personal Data Protection Act 2010 (PDPA) ซึ่งถูกออกแบบมาเพื่อควบคุมข้อมูลในธุรกรรมเชิงพาณิชย์เท่านั้น ไม่ได้ครอบคลุมการใช้ข้อมูลโดยภาครัฐ ซึ่งเป็นหัวใจสำคัญของโครงการ Smart City

บทความวิชาการล่าสุดของ Hesam Nourooz Pour (2025) ได้ชี้ให้เห็นถึงช่องว่างทางกฎหมายที่สำคัญในกรอบการคุ้มครองข้อมูลของมาเลเซีย แม้ PDPA จะกำหนดหลักการทั่วไปด้านความยินยอม (consent) และการใช้ข้อมูลอย่างจำเป็น (necessity) แต่ขาดนิยามและแนวทางที่ชัดเจนในการประยุกต์ใช้กับเทคโนโลยีใหม่

เช่น ระบบจดจำใบหน้า การวิเคราะห์พฤติกรรม หรือการตัดสินใจอัตโนมัติด้วย AI สิ่งเหล่านี้ทำให้เกิดขอบเขตเงามืดทางกฎหมายซึ่งเปิดช่องให้ข้อมูลของประชาชนถูกนำไปใช้เกินกว่าขอบเขตที่ควร โดยไม่มีมาตรการตรวจสอบที่เพียงพอ

ประเด็นที่น่ากังวลที่สุด คือการเก็บข้อมูลในพื้นที่สาธารณะ เช่น กล้องวงจรปิด (CCTV) และอุปกรณ์ IoT ที่ติดตั้งอยู่ตามท้องถนนหรืออาคารสาธารณะ ซึ่งทำงานโดยอัตโนมัติและต่อเนื่อง การขอความยินยอมจากเจ้าของข้อมูลจึงแทบเป็นไปไม่ได้ ในทางกลับกัน ระบบดังกล่าวกลับสามารถบันทึกภาพ พฤติกรรม และข้อมูลชีวมิติของคนจำนวนมากโดยที่พวกเขาไม่รู้ตัว

กฎหมาย PDPA ของมาเลเซียไม่ได้ให้อำนาจประชาชนฟ้องร้องในกรณีเช่นนี้ และยิ่งไปกว่านั้น PDPA ยังไม่ครอบคลุมหน่วยงานรัฐซึ่งมักเป็นผู้ติดตั้งระบบเหล่านี้ เพื่อวัตถุประสงค์ด้านความมั่นคง ความปลอดภัย หรือการบริหารจัดการเมือง

ประเทศมาเลเซียในปัจจุบันยังขาดแนวคิดสำคัญอย่าง Privacy by Design and Default ซึ่งเป็นหลักการที่กำหนดให้ระบบเทคโนโลยีต้องออกแบบโดยคำนึงถึงการคุ้มครองข้อมูลตั้งแต่ต้น

เช่น การเข้ารหัส การจำกัดสิทธิ์เข้าถึง และการแจ้งเตือนเมื่อเกิดการละเมิดข้อมูล นอกจากนี้ ยังไม่มีข้อกำหนดให้รายงานเหตุข้อมูลรั่วไหลภายใน 72 ชั่วโมงเหมือนที่ GDPR บังคับใช้ หรือสิทธิในการลบข้อมูล (Right to be Forgotten) ที่เปิดโอกาสให้ประชาชนเรียกร้องให้ลบข้อมูลส่วนตัวที่ไม่จำเป็นออกจากระบบ

ทั้งหมดนี้สะท้อนว่ากฎหมายของมาเลเซียยังอยู่ในยุคก่อนการปฏิวัติดิจิทัล ขณะที่โครงสร้างเมืองกำลังเดินหน้าเข้าสู่โลกของปัญญาประดิษฐ์

บทเรียนจากมาเลเซียจึงเป็นสัญญาณเตือนสำหรับประเทศไทยซึ่งกำลังเดินหน้าโครงการเมืองอัจฉริยะในหลายจังหวัด แม้ว่าพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือที่รู้จักกันทั่วไปว่า PDPA จะมีผลบังคับใช้เต็มรูปแบบแล้ว

หน่วยงานทั้งภาครัฐและเอกชนของไทยต่างต้องเร่งปรับตัวเพื่อให้สอดคล้องกับข้อกำหนดของกฎหมายฉบับนี้ ไม่ว่าจะเป็น การจัดทำประกาศความเป็นส่วนตัว (Privacy Notice) การขอความยินยอมจากเจ้าของข้อมูล (Consent Form) หรือการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer – DPO)

สิ่งที่น่าสนใจคือ PDPA ไม่ได้บังคับใช้เฉพาะกับภาคเอกชนเท่านั้น แต่ยังครอบคลุมถึงหน่วยงานของรัฐด้วย ซึ่งนับเป็นการปฏิรูปแนวคิดเรื่องข้อมูลจากเดิมที่รัฐเป็นเจ้าของข้อมูลของประชาชน มาเป็นยุคที่ข้อมูลส่วนบุคคลเป็นสิทธิของประชาชนที่รัฐต้องเคารพและคุ้มครอง

อย่างไรก็ตาม กฎหมายไทยก็ยังยกเว้นการบังคับใช้บางส่วนสำหรับหน่วยงานที่มีหน้าที่เกี่ยวข้องกับความมั่นคงของประเทศ เช่น หน่วยงานด้านความมั่นคงทางทหาร การคลัง การป้องกันและปราบปรามอาชญากรรม การฟอกเงิน นิติวิทยาศาสตร์ หรือความมั่นคงทางไซเบอร์ ซึ่งล้วนมีเหตุผลในด้านผลประโยชน์สาธารณะและความปลอดภัยของรัฐ

แต่สำหรับหน่วยงานราชการทั่วไป เช่น กระทรวง ทบวง กรม มหาวิทยาลัย หรือองค์กรปกครองส่วนท้องถิ่น ต่างต้องอยู่ภายใต้ PDPA โดยตรง ซึ่งหมายความว่าการดำเนินงานของหน่วยงานเหล่านี้ ตั้งแต่การเก็บข้อมูลบุคลากร ข้อมูลนักศึกษา ไปจนถึงการเปิดเผยรายชื่อผู้ได้รับสิทธิ์ต่างๆ ล้วนต้องเป็นไปตามหลักเกณฑ์ที่ PDPA กำหนด ทั้งในเรื่องการเก็บ ใช้ เปิดเผย และสิทธิของเจ้าของข้อมูลส่วนบุคคล

หากประเทศไทยต้องการก้าวสู่การเป็นเมืองอัจฉริยะที่คำนึงถึงสิทธิส่วนบุคคล จำเป็นต้องปรับปรุงกรอบกฎหมายอย่างเร่งด่วน เริ่มจากการขยายขอบเขต PDPA ให้ครอบคลุมหน่วยงานรัฐทั้งหมด สร้างกลไกอิสระในการกำกับดูแล และกำหนดแนวปฏิบัติสำหรับเทคโนโลยีที่มีความเสี่ยงสูง เช่น การจดจำใบหน้าและระบบ AI ในพื้นที่สาธารณะ

ที่สำคัญคือ ต้องมีระบบประเมินผลกระทบด้านข้อมูลส่วนบุคคล (Data Protection Impact Assessment – DPIA) สำหรับทุกโครงการที่ใช้ข้อมูลขนาดใหญ่ เพื่อให้การพัฒนาเมืองอัจฉริยะเป็นไปอย่างโปร่งใสและมีความรับผิดชอบ การคุ้มครองข้อมูลไม่ควรถูกมองว่าเป็นอุปสรรคต่อการพัฒนา แต่ควรเป็นเงื่อนไขของความยั่งยืน

เมืองอัจฉริยะที่แท้จริงไม่ใช่เพียงเมืองที่มีเทคโนโลยีล้ำสมัย แต่ต้องเป็นเมืองที่ประชาชนรู้สึกปลอดภัย ไว้วางใจและมีสิทธิควบคุมข้อมูลของตนเองอย่างแท้จริง เพราะในยุคที่ข้อมูลคืออำนาจ เมืองที่ฉลาดที่สุดจึงไม่ใช่เมืองที่รู้ทุกอย่างเกี่ยวกับประชาชน แต่คือเมืองที่รู้ว่าเมื่อใดควรหยุดรู้เพื่อเคารพความเป็นส่วนตัวของมนุษย์ทุกคน

การคุ้มครองข้อมูลในเมืองอัจฉริยะ | กฎหมาย 4.0

PDPC สั่งชะลอสแกนม่านตา ชูบททดสอบใหญ่ตัวกฎหมายคุ้มครองข้อมูลส่วนบุคคล

หลุมดำ PDPA ถึงเวลาธุรกิจไทยต้องสร้าง 'อธิปไตยข้อมูล'

ถอดโมเดล 'แม่เหียะ' เมืองอัจฉริยะ ต้นแบบ Smart City เชียงใหม่