สิทธิในข้อมูลส่วนบุคคล
ของพลเมืองถูกเลื่อนการคุ้มครองหนึ่งปี : โดย นคร เสรีรักษ์
เป็นที่แน่นอนแล้วว่าพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ซึ่งเดิมจะมีผลบังคับใช้ครบทุกมาตราในวันที่ 27 พฤษภาคม 2563 ได้ถูกเลื่อนการบังคับใช้ออกไปอีกหนึ่งปี โดยล่าสุดคณะรัฐมนตรีมีมติอนุมัติร่างพระราชกฤษฎีกาตามที่กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมเสนอ ในการประชุมเมื่อ 19 พฤษภาคม 2563 โดยให้เหตุผลว่าผู้ควบคุมข้อมูลส่วนบุคคลซึ่งเป็นหน่วยงานและกิจการต่างๆ ทั้งภาครัฐและเอกชนจำนวนมากทั่วประเทศยังไม่พร้อมที่จะปฏิบัติตามกฎหมาย
กฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศไทยนับว่ามีการพัฒนาที่ยาวนานมาก ถ้าจะนับตั้งแต่การริเริ่มออกกฎหมายภายใต้นโยบายด้านเทคโนโลยีสารสนเทศของรัฐบาลเมื่อปี 2539 จนมีการตั้งกรรมการขึ้นมาร่างกฎหมายครั้งแรกในช่วงปี 2540 เราใช้เวลาถึง 23 ปี จึงได้มี พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลออกมาใช้กันในวันนี้
ตลอดเวลายี่สิบกว่าปีที่ผ่านมา มีการจัดทำร่างกฎหมายถึง 5 ฉบับ ผ่านรัฐบาลหลายคณะ รัฐบาลชุดนายอภิสิทธิ์ เวชชาชีวะ ส่งร่างกฎหมายเป็นครั้งแรกไปยังรัฐสภาเมื่อเดือนตุลาคม 2552 รัฐบาลในสมัยนางสาวยิ่งลักษณ์ ชินวัตร ได้เสนอร่างนี้อีกครั้งเมื่อเดือนกุมภาพันธ์ 2556 รัฐบาลทหารได้ยืนยันร่างฉบับนี้ไปยังสภานิติบัญญัติแห่งชาติที่แต่งตั้งโดยคณะรัฐประหาร อีกครั้งเมื่อวันที่ 7 ตุลาคม 2557
ต่อมากระทรวงเทคโนโลยีสารสนเทศและการสื่อสารได้เสนอร่างกฎหมายคุ้มครองข้อมูลส่วนบุคคลอีกฉบับ ในชุดกฎหมายขับเคลื่อนนโยบายเศรษฐกิจดิจิทัล โดยคณะรัฐมนตรีมีมติอนุมัติหลักการเมื่อวันที่ 6 มกราคม 2558 ร่างฉบับนี้มีการปรับแก้หลายครั้ง จนในที่สุดรัฐบาลได้ส่งให้ สนช.พิจารณา และ สนช.ได้ให้ความเห็นชอบเมื่อวันที่ 28 กุมภาพันธ์ 2562 และประกาศในราชกิจจานุเบกษาเมื่อ 27 พฤษภาคม 2562
ปรากฏการณ์นี้สะท้อนถึงความล่าช้าและสับสนของกระบวนการออกกฎหมายคุ้มครองข้อมูลส่วนบุคคลในประเทศไทยอย่างชัดเจน ด้านหนึ่งเป็นผลของการที่ผู้มีอำนาจรัฐไม่เคยให้ความสำคัญและไม่สนใจเรื่องสิทธิความเป็นส่วนตัวของพลเมืองอย่างจริงจัง ประกอบกับความไม่มีเสถียรภาพของระบอบการเมือง ที่ทำให้กระบวนการนิติบัญญัติไม่สามารถทำหน้าที่ได้อย่างต่อเนื่อง
ขณะเดียวกันก็สะท้อนความไม่เข้าใจของหลายฝ่ายที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล ไม่ว่าจะเป็นการมองการคุ้มครองข้อมูลเป็นเรื่องเทคโนโลยี ระบบฐานข้อมูลคอมพิวเตอร์ หรือไอซีทีล้วนๆ การมองเรื่องการคุ้มครองข้อมูลเป็นเรื่องของการพัฒนาเศรษฐกิจดิจิทัลเพียงส่วนเดียว ทรรศนะที่มองเห็นแต่ด้านความปลอดภัยทางกายภาพของข้อมูลหรือระบบไซเบอร์เท่านั้น หรือแม้แต่การมองการจัดการความปลอดภัยของข้อมูลด้วยข้ออ้างด้านความมั่นคงของชาติ
ทั้งๆ ที่การคุ้มครองข้อมูลส่วนบุคคลเป็นเรื่องของการคุ้มครองสิทธิเสรีภาพของพลเมือง เป็นเรื่องการปกป้องคุ้มครองศักดิ์ศรีความเป็นมนุษย์ และเป็นประเด็นการคุ้มครองสิทธิมนุษยชนในเรื่องความเป็นส่วนตัวในมิติข้อมูล ซึ่งข้อมูลโดยเฉพาะข้อมูลส่วนบุคคลกำลังมีความสำคัญอย่างยิ่งในโลกดิจิทัลในปัจจุบันซึ่งว่ากันว่าข้อมูลมีมูลค่าสูงกว่าน้ำมัน
กฎหมายประกาศในราชกิจจานุเบกษาเมื่อวันที่ 27 พฤษภาคม 2562 จึงมีผลบังคับตั้งแต่วันที่ 28 พฤษภาคม 2562 เป็นต้นมา โดยบังคับทันทีสำหรับหมวด 1 และหมวด 4 แต่โดยที่มาตรา 2 กำหนดไว้ว่า บทบัญญัติในหมวด 2,3,5,6 และ 7 และมาตรา 95 และ 96 ให้ใช้บังคับเมื่อครบหนึ่งปีนับแต่วันประกาศในราชกิจจานุเบกษา ดังนั้นกฎหมายฉบับนี้จะใช้บังคับเต็มฉบับครบทุกมาตรานับแต่วันที่ 27 พฤษภาคม 2563 เป็นต้นไป และล่าสุดบทบัญญัติเหล่านี้ถูกเลื่อนการบังคับใช้ออกไปจนถึงวันที่ 31 พฤษภาคม 2564 ตามมติคณะรัฐมนตรีเมื่อ 19 พฤษภาคม 2563 ที่อนุมัติร่างพระราชกฤษฎีกาที่กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมเสนอ
สาระสำคัญของกฎหมายฉบับนี้ คือ หลักความยินยอมซึ่งถือเป็นหัวใจของการคุ้มครองข้อมูลส่วนบุคคล การเก็บรวบรวม ใช้หรือเปิดเผย จะต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่ได้แจ้งไว้ตั้งแต่แรก (มาตรา 19) แม้จะให้ความยินยอมแล้ว เจ้าของข้อมูลส่วนบุคคลก็ยังมีสิทธิคัดค้านการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับตนเมื่อใดก็ได้ (มาตรา 32) มีสิทธิขอให้ลบ/ทำลาย/ทำให้ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ (มาตรา 33) มีสิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคลได้ (มาตรา 34) ตลอดจนมีสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการให้ข้อมูลส่วนบุคคลถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด (มาตรา 35)
หากเจ้าของข้อมูลส่วนบุคคลถูกละเมิดสิทธิดังกล่าว เจ้าของข้อมูลส่วนบุคคลยังสามารถร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญได้ (มาตรา 73-74) ซึ่งในปัจจุบันก็ยังพบว่ามีเจ้าของข้อมูลส่วนบุคคลจำนวนมากยังถูกละเมิดข้อมูลส่วนบุคคลอยู่เสมอ ดังเช่นกรณีมีผู้โทรศัพท์มาขายหรือโฆษณาขายสินค้าหรือบริการโดยใช้หมายเลขโทรศัพท์ที่เจ้าของข้อมูลไม่ได้ให้ไว้หรือไม่เคยให้ความยินยอมไว้ หรือการขอเก็บข้อมูลส่วนบุคคลที่เกินความจำเป็นเพื่อแลกกับการลดแลกแจกแถมในการแจกโปรโมชั่นต่างๆ แล้วนำข้อมูลนั้นไปใช้ในวัตถุประสงค์อื่นๆ หรือส่งต่อ หรือซื้อขายข้อมูลนั้นไปยังบุคคลที่สาม และการเปิดเผยข้อมูลส่วนบุคคลของผู้ป่วยหรือผู้ต้องสงสัยว่าจะติดเชื้อโควิด-19 เมื่อเร็วๆ นี้
เหล่านี้ล้วนเป็นการละเมิดสิทธิส่วนบุคคล สร้างความเสียหายและความเดือดร้อนรำคาญแก่เจ้าของข้อมูลเป็นอย่างมาก
ในส่วนของหน่วยงานหรือองค์กรที่มีกิจกรรมเกี่ยวข้องกับการเก็บรวบรวมและการใช้ข้อมูลส่วนบุคคลมีหน้าที่ตามกฎหมายกำหนด ประกอบด้วย “ผู้ควบคุมข้อมูลส่วนบุคคล” ซึ่งมีหน้าที่หลักในการรักษาความมั่นคงปลอดภัยของข้อมูล ดำเนินการเพื่อป้องกันการสูญหาย การเข้าถึง การใช้ การเปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ และแจ้งเหตุการณ์ละเมิดข้อมูลส่วนบุคคลให้สำนักงานคุ้มครองข้อมูลส่วนบุคคลทราบภายใน 72 ชั่วโมงนับแต่ทราบเหตุ (มาตรา 37) โดยมี “ผู้ประมวลผลข้อมูลส่วนบุคคล” ทำหน้าที่ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล (มาตรา 40) และให้มีการแต่งตั้ง “เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล” (มาตรา 41) หากผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลฝ่าฝืนกฎหมายในการให้ความคุ้มครองข้อมูลส่วนบุคคล ก็จะมีบทลงโทษทั้งทางแพ่ง (มาตรา 77-78) ทางอาญา (มาตรา 79-81) และทางปกครอง (มาตรา 82-90)
ในส่วนของการบริหารการบังคับใช้กฎหมาย กฎหมายนี้ได้กำหนดให้มีคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ทำหน้าที่จัดทำแผนแม่บทในการส่งเสริมและคุ้มครองข้อมูลส่วนบุคคล กำหนดมาตรการหรือแนวทางการดำเนินการ ตลอดจนออกประกาศหรือระเบียบต่างๆ เพื่อให้การดำเนินการเป็นไปตามเจตนารมณ์ในการคุ้มครองข้อมูลส่วนบุคคล พร้อมให้ความรู้แก่ภาครัฐ เอกชนและประชาชนทั่วไป (มาตรา 16) โดยมีคณะกรรมการผู้เชี่ยวชาญ เป็นผู้พิจารณาเรื่องร้องเรียน ตรวจสอบ และไกล่เกลี่ยข้อพิพาท (มาตรา 72)
ในช่วงแรกของดำเนินการตามกฎหมายนี้ กฎหมายกำหนดให้มีแต่กรรมการโดยตำแหน่ง ประกอบด้วยปลัดสำนักนายกรัฐมนตรี เลขาธิการคณะกรรมการกฤษฎีกา เลขาธิการกรรมการคุ้มครองผู้บริโภค อธิบดีกรมคุ้มครองสิทธิและเสรีภาพ และอัยการสูงสุด โดยมีปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมทำหน้าที่ประธานชั่วคราว (มาตรา 91)
จากนั้นกำหนดให้ตั้งประธานและผู้ทรงคุณวุฒิภายใน 90 วัน ตั้งประธานและผู้ทรงคุณวุฒิแล้ว ก็ให้ตั้งคณะกรรมการกำกับสำนักงานภายใน 90 วัน (มาตรา 92) และให้ตั้งสำนักงานเพื่อปฏิบัติหน้าที่ตามกฎหมายนี้ภายใน 1 ปี ระหว่างตั้งสำนักงานไม่เสร็จ สำนักงานปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมจะทำหน้าที่สำนักงานโดยมีรองปลัดกระทรวงทำหน้าที่เลขาธิการ (มาตรา 93) กิจการงานธุรการเรื่องการตั้งสำนักงาน การสรรหากรรมการ และการออกมาตรการกฎหมายลำดับรอง จึงควรดำเนินการให้แล้วเสร็จในปีแรกนี้
นับจากวันที่กฎหมายเริ่มมีผลบังคับใช้ ดูเหมือนจะมีเพียงความเคลื่อนไหวของการสรรหาบุคคลเพื่อแต่งตั้งเป็นประธานและกรรมการผู้ทรงคุณวุฒิในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล มีการกำหนดหลักเกณฑ์การสรรหาและการรับสมัครตลอดจนกำหนดคุณสมบัติผู้สมัคร โดยประกาศรับสมัครระหว่าง 4-24 มีนาคม 2563 และเพิ่งมีการแต่งตั้งประธานและกรรมการผู้ทรงคุณวุฒิกันเมื่อ 19 พฤษภาคม 2563
เกือบหนึ่งปีที่ผ่านมาสำหรับการเตรียมการด้านธุรการว่าด้วยการตั้งกรรมการและการตั้งสำนักงาน น่าจะเอามาเป็นเกณฑ์ตัวชี้วัดประสิทธิภาพของเจ้าหน้าที่กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ตั้งแต่ระดับรัฐมนตรีผู้รักษาการตามกฎหมาย ปลัดกระทรวงในฐานะประธานกรรมการข้อมูลส่วนบุคคลในปีแรก และรองปลัดกระทรวงในฐานะเลขาธิการคณะกรรมการระหว่างที่ยังไม่มีสำนักงาน
โลกปัจจุบันมีพัฒนาการในเรื่องเทคโนโลยีข้อมูลและการติดต่อสื่อสารที่รวดเร็วมาก การเก็บรวบรวมและการประมวลผลข้อมูล สามารถทำได้ง่ายและรวดเร็วด้วยความสามารถของคอมพิวเตอร์และอินเตอร์เน็ต ซึ่งพัฒนาเข้าสู่ยุคสมัยที่การประมวลผลมีประสิทธิภาพสูงจนไร้ขีดจำกัด ทำให้การสืบค้น การเข้าถึง การเก็บ-รวบรวม-ประมวลผล การรับ-ส่ง และการแลกเปลี่ยนข้อมูล เกิดขึ้นอย่างรวดเร็ว เกิดขึ้นในขอบเขตที่กว้างขวาง เกิดขึ้นตลอดเวลา และเกิดขึ้นทั่วไปโดยไร้พรมแดน โดยเฉพาะในโลกธุรกิจที่เป็นที่ยอมรับกันว่าข้อมูลคือหัวใจของธุรกิจออนไลน์ในปัจจุบัน การละเมิดล่วงล้ำความเป็นส่วนตัวและการนำข้อมูลส่วนบุคคลไปใช้หรือเปิดเผย ทำให้เจ้าของข้อมูลได้รับความเสียหายจึงเกิดขึ้นอย่างรวดเร็วในปริมาณมากมายมหาศาล กฎหมายคุ้มครองข้อมูลส่วนบุคคลจึงมีความสำคัญอย่างยิ่งในบริบทสังคมดิจิทัลวันนี้
ประเทศไทยใช้เวลาในการออกกฎหมายนี้ถึง 23 ปี จึงมีกฎหมายคุ้มครองสิทธิในข้อมูลส่วนบุคคลของพลเมืองเป็นครั้งแรก ซึ่งมีบทบัญญัติที่กำหนดวิธีในการควบคุมการดำเนินการที่เกี่ยวข้องกับข้อมูลส่วนบุคคล ตลอดจนการปกป้องสิทธิและเยียวยาความเสียหายที่จะมีต่อประชาชน และรออีก 1 ปีเต็มมาแล้ว ด้วยความหวังว่าสิทธิพลเมืองจะได้รับการคุ้มครองครบถ้วนตามบทบัญญัติเหล่านี้ หลังจากที่ทั้งรัฐและภาคธุรกิจเอกชนได้ใช้ประโยชน์มากมายจากข้อมูลส่วนบุคคลของประชาชนกันด้วยความสะดวกสบายตลอดหลายปีที่ผ่านมา และกำลังจะได้ใช้ต่อไปอีกหนึ่งปีโดยไม่มีการควบคุม
คนไทยทุกคนที่รอกฎหมายนี้มา 24 ปี จึงต้องเริ่มนับถอยหลังกันใหม่ไปสู่วันที่กฎหมายนี้จะได้เริ่มทำหน้าที่คุ้มครองสิทธิในข้อมูลส่วนบุคคลของพลเมืองอย่างแท้จริงในอีกหนึ่งปีข้างหน้า
นคร เสรีรักษ์
ผู้ก่อตั้งและผู้อำนวยการ Privacy Thailand
ผู้ช่วยศาสตราจารย์ประจำวิทยาลัยการปกครองท้องถิ่น มหาวิทยาลัยขอนแก่น
