2015-03-24 11:44:47

ETDA กางหลักการ ร่าง กม.คุ้มครองข้อมูลส่วนบุคคล ที่แก้ไข เพิ่มเติม ปรับปรุง ตอบโจทย์แล้วหรือไม่?

ETDA กางหลักการ ร่าง กม.คุ้มครองข้อมูลส่วนบุคคล ที่แก้ไข เพิ่มเติม ปรับปรุง
ตอบโจทย์แล้วหรือไม่?

เมื่อวันที่ 14 มีนาคม 2558 สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) (สพธอ.) หรือ ETDA (เอ็ตด้า) กระทรวงไอซีที โดย ICT Law Center เปิดประเด็นเสวนา “หลักการคุ้มครองข้อมูลส่วนบุคคลที่มีการปรับเปลี่ยน - หลังรับฟังเสียงสะท้อน...ใช่...หรือ...ไม่ใช่?” ภายหลังการเปิดเผยสาระสำคัญของร่างกฎหมายคุ้มครองข้อมูลส่วนบุคคลของคณะกรรมการกฤษฎีกา เมื่อวันที่ 11 มีนาคมที่ผ่านมา นำมาสู่การร่วมแสดงความคิดเห็นต่อร่าง กม.ที่ปรับแก้ไปแล้วบางส่วน วงเสวนาเห็นด้วยกับการปรับให้มีการขอความยินยอมก่อนในกระบวนการเก็บข้อมูลส่วนบุคคล แต่ยังกังวลถึงความชัดเจนในการบังคับใช้ว่าจะปรับใช้ร่วมกับกฎหมายอื่นอย่างไร ที่สำคัญกรณียกเว้นการบังคับใช้กับสื่อมวลชนยังไม่ชัดเจน

นับเป็นความจำเป็นอย่างยิ่งที่ประเทศไทยควรต้องมีกลไกการดูแลข้อมูลส่วนบุคคลที่ทันสมัยและเป็นปัจจุบัน สอดคล้องกับหลักการสากล ไม่ว่าจะเป็น APEC Framework และ OECD ซึ่งการไม่มีกฎหมายคุ้มครองข้อมูลส่วนบุคคล ทำให้ไทยขาดความเชื่อมั่นจากนานาประเทศ จึงนำมาสู่การเร่งรัดผลักดันร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ... ซึ่งมีความเป็นมากว่า 17 ปีในการร่าง ให้เป็นหนึ่งในชุดกฎหมายเกี่ยวกับเศรษฐกิจดิจิทัล ซึ่งปัจจุบันอยู่ระหว่างการพิจารณาของคณะกรรมการกฤษฎีกา โดย ETDA ได้มีการสรุปประเด็นสำคัญที่คณะกรรมการกฤษฎีกาแก้ไข เพิ่มเติม ปรับปรุง จากเอกสารโครงการสัมมนาเชิงปฏิบัติการเรื่อง “การมีส่วนร่วมในการจัดทำร่างกฎหมายเร่งด่วนตามนโยบายรัฐบาล (กฎหมายเกี่ยวกับเศรษฐกิจดิจิทัล)” โดยสำนักงานคณะกรรมการกฤษฏีกา เมื่อวันพุธที่ 11 มีนาคม 2558 ที่ผ่านมา

 

ในวงผู้ร่วมเสวนาวันนี้ มีทั้งอาจารย์ แพทย์ นักกฎหมาย ทนายความ และตัวแทนภาคประชาสังคม ได้แก่
รศ. คณาธิป ทองรวีวงศ์ คณบดีคณะนิติศาสตร์ มหาวิทยาลัยเซนต์จอห์น ดร.นพ.บดินทร์ ทรัพย์สมบูรณ์ อาจารย์ประจำภาควิชาสรีรวิทยา คณะแพทยศาสตร์ศิริราชพยาบาล มหาวิทยาลัยมหิดล นายอาทิตย์ สุริยะวงศ์กุล เครือข่ายพลเมืองเน็ต (Thai Netizen Network) นายธฤต ศรีอรุโณทัย ผู้ช่วยผู้จัดการใหญ่ สายงานกฎหมายและกำกับการปฏิบัติงาน บริษัท ข้อมูลเครดิตแห่งชาติจำกัด (เครดิตบูโร) โดยมีนางสาวกฤติยาณี บูรณตรีเวทย์ ทนายความ Baker & McKenzie Co., Ltd เป็นผู้ดำเนินรายการ โดยได้แสดงความเห็นในประเด็นต่าง ๆ อย่างกว้างขวาง

ด้านหลักการในการบังคับใช้กฎหมาย ยังมีความกังวลถึงความชัดเจนในการบังคับใช้ว่าจะปรับใช้ร่วมกับกฎหมายอื่นอย่างไร เพราะบางเรื่องมีกระบวนการในบางส่วนที่แตกต่างออกไป เช่น กฎหมายบางฉบับกำหนดว่าไม่ต้องขอความยินยอมในชั้นการเก็บข้อมูลส่วนบุคคล ดังนั้น จะมีกระบวนการในการพิจารณาอย่างไรว่าจะปรับใช้ร่วมกับกฎหมายฉบับอื่น ๆ ที่มีความแตกต่างกันอย่างไร

 

ด้านข้อยกเว้นการบังคับใช้กฎหมาย ควรกำหนดให้เฉพาะเจาะจงว่าเป็นการดำเนินกิจกรรมประเภทใด ไม่ควรเป็นการยกเว้นในลักษณะของตัวองค์กร กรณีการยกเว้นสื่อมวลชนกับองค์กรทางศาสนายังกังวลว่าจำเป็นหรือไม่ ถ้าสื่อมวลชนเอาข้อมูลส่วนบุคคลมาใช้แล้วและเผยแพร่ต่อสาธารณะ คนอื่นจะสามารถเอาไปใช้ต่อได้เลยหรือไม่ ซึ่งเห็นว่าข้อยกเว้นยังกว้างและไม่ชัดเจนในทางปฏิบัติ ยากจะพิสูจน์ว่าได้มีการดำเนินการเพื่อเรื่องใด จึงควรเป็นการยกเว้นเฉพาะเรื่อง หรือประเภทของกิจกรรม ดังนั้น ควรต้องกำหนดรายละเอียดของข้อยกเว้นให้ชัดเจนและละเอียด เช่น กฎหมายอังกฤษ ที่แยกเขียนการบังคับใช้กฎหมายข้อมูลส่วนบุคคลในเเต่ละเรื่องเพื่อให้การดำเนินการชัดเจน หรือในส่วนของ EU ได้กำหนดข้อยกเว้นเฉพาะเพื่อวัตถุประสงค์เรื่องใด และเป็นเรื่องที่จำเป็นต่อสิทธิในการแสดงความคิดเห็น เพื่อให้เกิดการชั่งน้ำหนักความสำคัญของข้อยกเว้น ซึ่งในการกำหนดรายละเอียดก็ต้องไม่ทำให้เกิดข้อจำกัดในการบังคับใช้ในทางปฏิบัติ และไม่ใหญ่กว่าหลักการของกฎหมายที่มีขึ้นเพื่อการคุ้มครองข้อมูลส่วนบุคคล ซึ่งจะกลายเป็นการทำลายหลักการของกฎหมายไป

 

ด้านอำนาจหน้าที่ของคณะกรรมการ วงเสวนายกตัวอย่างคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลอังกฤษ ซึ่งทำหน้าที่ในการส่งเสริมและออกข้อแนะนำ เพื่อให้เหมาะกับแต่ละภาคอุตสาหกรรม รวมถึงการมีอำนาจในการพิจารณาออกกฎ ระเบียบต่าง ๆ เพื่อสนับสนุนการดำเนินงานของหน่วยงานภาครัฐ หรือทางฝั่งกฎหมายอเมริกาได้กำหนดหน้าที่สำคัญในเชิงส่งเสริม เช่น เมื่อมีปัญหาในการบังคับใช้กฎหมายจะมีการออกแนวปฏิบัติ ในการดำเนินการเพื่อให้เกิดความชัดเจน ซึ่งจะช่วยผู้ประกอบการในการปฏิบัติตามกฎหมายนั้น

 

ด้านการเก็บรวบรวมข้อมูลส่วนบุคคล เห็นด้วยกับการปรับให้มีการขอความยินยอมก่อนในกระบวนการเก็บรวบรวมข้อมูลส่วนบุคคล อย่างไรก็ตาม ก็มีอีกหนึ่งมุมมองที่เห็นว่า บริการบางเรื่อง ข้อมูลส่วนบุคคลจำเป็นต่อการให้บริการและเป็นข้อมูลพื้นฐานที่จำเป็นต้องให้เพื่อให้บริการได้ ดังนั้น ข้อมูลประเภทนี้น่าจะต้องใช้เพียงการแจ้งให้ทราบเท่านั้น เฉพาะข้อมูลที่นอกเหนือจากความจำเป็นในการให้บริการเท่านั้นที่จะต้องขอความยินยอมในการจัดเก็บ นอกจากนี้ มีประเด็นเรื่องการจัดเก็บความยินยอมที่ขณะนี้มีประเด็นเรื่องการพิสูจน์ว่า ความยินยอมที่เก็บรวบรวมนั้นเป็นความยินยอมที่ได้มาจริง ๆ หรือไม่ ซึ่งตรงนี้ก็จะเป็นปัญหาในทางปฏิบัติต่อมาอันเกี่ยวข้องกับการพิสูจน์

 

ในกระบวนการขอความยินยอม สิ่งที่ยังเป็นข้อกังวลคือ อะไรที่เรียกว่าความยินยอมตามที่กฎหมายกำหนด เพราะในตัวร่างกฎหมายเองยังไม่มีการกำหนดไว้ชัดเจน ซึ่งเมื่อเปรียบเทียบกฎหมายแคนาดา และ EU จะมีการกำหนดเรื่องแนวทางของความยินยอมเหล่านี้ไว้ จึงเสนอให้มีการกำหนดว่าความยินยอมตามกฎหมายนี้ต้องเป็นความยินยอมชัดแจ้ง

 

ส่วนเรื่องการปฏิเสธบริการเมื่อไม่ให้ความยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล แนวทางในการแก้ไขปัญหาในเรื่องนี้ คือ ใช้กลไกของกฎหมายคุ้มครองผู้บริโภค เพื่อกำหนดให้ข้อสัญญาเกี่ยวกับข้อมูลส่วนบุคคลต้องมีการควบคุม ใช้กลไกของกฎหมายสัญญาไม่เป็นธรรม ซึ่งในทางปฏิบัติยังไม่เคยมีการกำหนดไว้ กำหนดในกฎหมายคุ้มครองข้อมูลส่วนบุคคล เช่นเกาหลีใต้ ได้กำหนดชัดเจนว่าจะปฏิเสธการให้บริการเพียงเพราะไม่ให้ข้อมูลส่วนบุคคลไม่ได้ และกำหนดหลักของการให้ความยินยอมแบบที่ EU กำหนด เพื่อให้เห็นว่าเป็นความยินยอมที่สมบูรณ์ คือ มีหลักความยินยอมต้องเป็นอิสระ (Freely Given) และ ความยินยอมนั้นต้องเจาะจง (Specific) อย่างไรก็ตาม การกำหนดห้ามไม่ให้ปฏิเสธการให้บริการเมื่อไม่ให้ข้อมูลส่วนบุคคลนั้น ควรกำหนดเฉพาะเกี่ยวกับบริการหรือสาธารณูปโภคขั้นพื้นฐาน เช่น น้ำ ไฟ คมนาคม ฯลฯ

 

ในเรื่องข้อมูลส่วนบุคคลเด็ก ควรต้องกำหนดไว้ด้วยเป็นหมวดเฉพาะ เนื่องจากเด็กขาดความระมัดระวัง โดยกฎหมายอเมริกาไม่ได้ห้ามเด็กที่อายุต่ำกว่า 13 ปีใช้โซเชียลมีเดีย เพียงแต่กำหนดกระบวนการที่ผู้ปกครองของเด็กที่อายุต่ำกว่า 13 ปีจะต้องให้ความยินยอมในการที่เด็กจะเข้าใช้โซเชียลมีเดียด้วย แต่อย่างไรก็ตาม ทางผู้ให้บริการโซเชียลมีเดียก็ได้กำหนดเงื่อนไขห้ามเด็กเข้าใช้งานซึ่งเป็นมาตรฐานที่สูงกว่าที่กฎหมายกำหนด ทั้งนี้ เพื่อคุ้มครองข้อมูลส่วนบุคคลของเด็ก

 

การจัดเก็บข้อมูลและการโอนข้อมูลไปนอกราชอาณาจักร กรณีผู้ประมวลผลข้อมูล (Data Processer) หรือผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ตามกฎหมายเครดิตบูโรห้ามจัดเก็บที่ต่างประเทศ เนื่องจากเป็นข้อมูลที่มีความสำคัญและเกี่ยวข้องความมั่นคงทางเศรษฐกิจ  จึงจำเป็นต้องเก็บข้อมูลเหล่านี้ไว้ในประเทศไทยและห้ามมีการโอนข้อมูลเครดิตไปต่างประเทศ อย่างไรก็ตาม เมื่อความร่วมมือประชาคมอาเซียนได้ดำเนินการอย่างเต็มรูปแบบก็จำเป็นต้องมีการทบทวนว่ามาตรานี้อาจจำเป็นต้องมีการแก้ไข อีกทั้งเทคโนโลยี ณ ปัจจุบัน การจัดเก็บข้อมูลสามารถทำได้โดยไม่ต้องจัดเก็บไว้ที่ใดที่หนึ่งเพียงที่เดียว เพราะมิฉะนั้นจะติดขัดว่าต้องลงทุน Server เองทั้งหมดเพื่อให้อยู่ในประเทศไทย อย่างไรก็ตาม สิ่งเหล่านี้จะต้องคำนึงถึงการดูแลข้อมูลส่วนบุคคลให้มีความปลอดภัยด้วย 

 

ประเด็นสุดท้ายคือ ไม่ควรวางโทษอาญาเป็นหลัก ควรกำหนดมาตรการในเชิงทางแพ่งหรือทางปกครองที่เป็นค่าปรับ เนื่องจากเป็นเรื่องของการนำข้อมูลมาใช้เพื่อประโยชน์ทางธุรกิจ อย่างไรก็ตาม ควรเปิดโอกาสให้แต่ละภาคส่วนช่วยกำหนดบทลงโทษทางอาญาในกฎหมายเฉพาะของตน เพื่อให้มีโทษทางอาญาหากการกระทำผิดนั้นเป็นเรื่องที่มีความสำคัญต่อภาคธุรกิจนั้น ๆ แทน นอกจากนี้ ควรนำกระบวนการไกล่เกลี่ย หรือระงับข้อพิพาทมาช่วยในการดำเนินการ โดยไม่ควรต้องอาศัยกลไกในทางอาญามาดำเนินการเพียงอย่างเดียว

 

สำหรับ ICT Law Center Open Forum ในวันเสาร์ที่ 21 มีนาคม 2558 นี้จะพูดคุยเกี่ยวกับเรื่องผลกระทบของโฆษณา (ไม่ดี) บนอินเทอร์เน็ตต่อเยาวชนในยุคดิจิทัล ซึ่งจัดร่วมกับ MPA (Motion Picture Association) ติดตามความเคลื่อนไหวและรายละเอียดได้ทาง http://www.etda.or.th และ http://ictlawcenter.etda.or.th/

ข่าวที่เกี่ยวข้อง

ICT LAW CENTER  ขอเชิญร่วมทำแบบประเมินความพึงพอใจในการเข้าถึงข้อมูล ของ สพธอ.

    * ท่านมีความพึงพอใจในช่องทางการเข้าถึงข้อมูลเกี่ยวกับร่างกฎหมาย/คู่มือ/แนวปฏิบัติ ที่ สพธอ. จัดเตรียมไว้ มากน้อยเพียงใด