2015-05-15 11:24:12

สคก. เปิดร่างล่าสุด กม.คุ้มครองข้อมูลส่วนบุคคล สายโทรคมนาคมและการแพทย์พอใจ ด้านธนาคารยังกังวล ETDA ชี้ต้องมีคู่มือการใช้

สคก. เปิดร่างล่าสุด กม.คุ้มครองข้อมูลส่วนบุคคล สายโทรคมนาคมและการแพทย์พอใจ ด้านธนาคารยังกังวล ETDA ชี้ต้องมีคู่มือการใช้

เมื่อวันที่ 9 พฤษภาคม 2558 สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) (สพธอ.) หรือ ETDA (เอ็ตด้า) กระทรวงไอซีที โดย ICT Law Center ร่วมกับสำนักงานคณะกรรมการกฤษฎีกา (สคก.) กางร่าง กม.คุ้มครองข้อมูลส่วนบุคคล ฉบับล่าสุด เชิญบรรดา Regulator และผู้ที่เกี่ยวข้อง ร่วมพูดคุยในหัวข้อ “กฎหมายคุ้มครองข้อมูลส่วนบุคคล หากเป็นกฎหมายกลางจะมีผลกระทบกับกฎหมายที่ใช้บังคับไปแล้วอย่างไรบ้าง” ตัวแทน กสทช. พอใจที่ร่าง กม.นี้จะไปอุดช่องโหว่ ซึ่ง กม.ที่มีอยู่ไม่ครอบคลุม ด้านแพทย์ยอมรับมีการปรับร่าง กม.ให้ดีขึ้น ภาคธนาคารยังกังวลถึงความสับสนและซ้ำซ้อนหากบังคับใช้จริง ผู้เข้าร่วมฝากแก้ไขเพิ่มเติมให้สอดคล้องมาตรฐานสากลและเกิดประโยชน์มากที่สุด

เวทีแลกเปลี่ยนความคิดเห็นเกี่ยวกับร่าง กม. คุ้มครองข้อมูลส่วนบุคคลฯ วันนี้ เกิดขึ้นภายหลังการปรับร่างมาแล้วในระดับหนึ่ง โดยกำลังจะเสนอให้คณะกรรมการกฤษฎีกาพิจารณาเป็นรอบที่ 3  ก่อนที่จะเสนอ สนช. โดย สคก. คาดหวังที่จะให้ร่าง กม. นี้ออกมาเป็นมาตรฐานสากลและไม่เป็นภาระแก่ภาคเอกชนจนเกินสมควร ซึ่งตลอดระยะเวลาที่ผ่านมา ทั้งภาครัฐ ภาคเอกชน ภาคประชาชนและประชาสังคมต่างได้ให้ความสนใจเกี่ยวกับร่าง กม. นี้เป็นอันมาก โดยได้ร่วมแสดงความคิดเห็นที่เป็นประโยชน์ต่อการจัดทำและปรับปรุงร่าง กม.ในเวทีและโอกาสต่าง ๆ 

 

นางสาวกนกอร ฉวาง จากสำนักงานคณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์  และกิจการโทรคมนาคมแห่งชาติ (กสทช.) ให้ความเห็นว่า กม. ที่เกี่ยวข้องกับ กสทช.นั้น ครอบคลุมเฉพาะเรื่องบริการโทรคมนาคมเป็นหลัก จึงทำให้ไม่สามารถคุ้มครองผู้บริโภคได้อย่างรอบด้าน จึงสนับสนุนในเรื่องการมี กม. กลางคุ้มครองข้อมูลส่วนบุคคล เพื่อดูแลปัญหาเช่นบริการ SMS ที่มีเรื่องร้องเรียนมากว่าไม่ได้สมัครใช้แต่มีการส่งข้อความเข้ามา โดยทาง กสทช.เอง ก็ไม่มีอำนาจเข้าไปดูแล และบริษัทเองบอกว่าอยู่นอกเหนือการบริการ เพราะไม่ใช่คู่ค้า

 

รศ. คณาธิป ทองรวีวงศ์ คณบดีคณะนิติศาสตร์ มหาวิทยาลัยเซนต์จอห์น เสริมว่า จากตัวอย่างของ กสทช. เป็นเรื่อง spam ซึ่งเป็นหนึ่งในสาเหตุที่มาของร่าง กม. ฉบับนี้ เพราะประชาชนถูกรบกวนในแง่ความเป็นส่วนตัว การออก กม. นี้จะเป็นการแก้ปัญหาที่ต้นเหตุ แม้ประเทศไทยจะมีการกำหนดความผิดไว้ใน กม. การกระทำความผิดเกี่ยวกับคอมพิวเตอร์ฯ แต่ยังไม่ชัดเจนและไม่สามารถปรับใช้ได้กับความเป็นจริง

 

ดร.นพ.บดินทร์  ทรัพย์สมบูรณ์ จากคณะแพทยศาสตร์ศิริราชพยาบาล มหาวิทยาลัยมหิดล กล่าวว่า ร่างที่ผ่านการปรับแก้ในชั้นคณะกรรมการกฤษฎีกามาแล้วระดับหนึ่งนี้ได้กำหนดหลักเกณฑ์โดยละเอียดและชัดเจนซึ่งง่ายต่อการนำไปปรับใช้ เช่น นิยามต่าง ๆ การให้ความยินยอม คณะกรรมการ ซึ่งเข้ามาเติมเต็มช่องว่างในปัญหาของคนทำงานด้านสุขภาพที่ไม่มีความชัดเจน ฯลฯ ซึ่งจะทำให้คนทำงานด้านสุขภาพไม่ต้องกังวลว่าการกระทำต่าง ๆ ที่ได้กระทำนั้นจะผิด กม. หรือไม่อีกต่อไป อีกทั้ง กม. มีการเปิดช่องให้ Sector ต่าง ๆ สามารถกำหนด Guideline เพื่อให้สอดคล้องกับโครงสร้างการทำงานและความต้องการคุ้มครองที่ต่างกัน และคณะกรรมการเองก็มีอำนาจออก Guideline เช่นเดียวกัน

 

ส่วน นางสาววารุณี รัตพัฒนากุล จากกลุ่มพันธมิตรธุรกิจซอฟต์แวร์ (Business Software. Alliance – BSA) พูดในฐานะตัวแทนของกลุ่มอุตสาหกรรมซอฟต์แวร์ว่า ร่างเดิมได้นำคำนิยาม “ข้อมูลส่วนบุคคล” มาจาก APEC ซึ่งเห็นว่ากว้างเกินไป เพราะข้อมูลบางอย่าง แม้ไม่อาจชี้ถึงตัวบุคคลได้ แต่ก็ถือว่าเป็นข้อมูลส่วนบุคคลตามคำนิยามมาตรานี้ ซึ่งจะก่อให้เกิดผลเสียต่อการทำงานวิจัย ส่วนประเด็น “ผู้ควบคุมข้อมูล” กับ “ผู้ให้บริการคลาวด์” ร่างเดิมไม่มีการแบ่งชัดเจน แต่สำหรับร่างใหม่มีการแบ่งแยกและมีความชัดเจนมากขึ้น และประเด็นการโอนข้อมูลข้ามประเทศ ควรนำหลัก ให้ผู้ให้บริการและผู้ใช้บริการกำกับดูแลกันเองมาใช้ ซึ่งเรื่องความรับผิดของผู้ให้บริการนั้นเป็นไปตามข้อสัญญาที่ทั้งสองฝ่ายตกลงกัน เพราะหากเอามาตรการหรือมาตรฐานมาจับอาจทำให้เกิดข้อติดขัดในการประกอบธุรกิจได้

 

คุณโกมล จิรชัยสุทธิกุล จาก สคก. ชี้แจงว่า เรื่องการโอนข้อมูลระหว่างประเทศมีการกำหนดยกเว้นไว้ในกรณีที่เป็นไปตามสัญญาระหว่างผู้ใช้บริการกับผู้ควบคุมข้อมูล และสำหรับเรื่องการศึกษาวิจัยได้รับการยกเว้นโดยมีเงื่อนไขคือ ตัวข้อมูลผลงานการศึกษาวิจัยสามารถตีพิมพ์ เผยแพร่ได้ แต่ข้อมูลที่ใช้ในการวิจัยต้องเก็บเป็นความลับ

 

นอกจากนี้ ผู้เข้าร่วมวงเสวนา ยังนำประเด็นที่น่าสนใจมาสอบถามผู้แทน สคก. เช่น

 

  1. ตัวแทนจากธนาคารแห่งประเทศไทย (ธปท.) ในมุมของผู้กำกับดูแล เห็นว่า ผู้ที่ได้รับผลกระทบโดยตรงคือ ธนาคาร หรือบริษัทข้อมูลเครดิต ซึ่ง ธปท. เห็นด้วยว่าควรที่จะต้องมีกม.กลาง แต่เนื่องจากในบางภาคส่วนมี กม.เฉพาะออกใช้บังคับไปก่อนร่าง กม. มีข้อกังวลในประเด็นต่าง ๆ เช่น “การใช้ กม.คู่กัน” ทำให้ต้องคอยเปรียบเทียบทุกมาตราหรือไม่ “คณะกรรมการผู้เชี่ยวชาญ” ใน กม.ข้อมูลเครดิต มีคณะกรรมการคุ้มครองข้อมูลเครดิตที่จะเป็นผู้เยียวยา ซึ่งมีข้อสงสัยเรื่องคณะกรรมการและระยะเวลาดำเนินการของ กม.ทั้งสองฉบับที่ไม่สอดคล้องกัน “เรื่องโทษ” ซึ่งร่าง กม. นี้และ กม.คุ้มครองข้อมูลเครดิต ยังมีส่วนที่ไม่สอดคล้องกัน โดยทาง ETDA ได้ชี้แจงว่า สิ่งที่จะช่วยแก้ไขความสับสนของการนำ กม.มาใช้บังคับได้นั้นคือ ต้องมีการจัดทำคู่มือหรือแนวทาง (Guideline) ต่าง ๆ ด้วย
  2. ประเด็นผู้ควบคุมข้อมูล ในต่างประเทศมี 2 คำที่ใกล้เคียงกัน คือ “Data Processor” กับ “Data Controller” ซึ่งผู้ควบคุมข้อมูลส่วนบุคคล หรือ Data Controller ที่ต้องอยู่ภายใต้ กม.ฉบับนี้ คือ ผู้ที่ต้องมีอำนาจตัดสินใจเกี่ยวกับข้อมูลส่วนบุคคล 2 ระดับคือ การตัดสินใจเชิงนโยบาย และการตัดสินใจเชิงเทคนิค ยกตัวอย่างกรณีการวิจัยทางการตลาด เช่น การวิจัยทำขนมปัง ทำไมคนต้องเข้าคิวซื้อ เลยให้บริษัทที่ทำแผนการตลาดไปเก็บข้อมูลลูกค้า เช่นนี้ถือว่า บริษัทการตลาดเป็นผู้รับจ้าง ทำให้ไม่เป็น Data Controller ที่จะต้องอยู่ภายใต้ กม.นี้ แต่หลายประเทศลงลึกไปกว่านี้ว่า หากเขามีอำนาจตัดสินใจอะไรบางอย่าง เช่น เปลี่ยนกลุ่มเป้าหมายทางการตลาด เช่นนี้ ก็จะกลายเป็น “Data Controller” ทันที
  3. ในส่วนความรับผิดหากข้อมูลส่วนบุคคลที่เก็บรวบรวมรั่วไหล คนที่ถือข้อมูลส่วนบุคคลต้องรับผิดหรือไม่นั้น คนที่เอาข้อมูลส่วนบุคคลไปเปิดเผยต้องรับผิดเพราะเอาไปใช้โดยไม่ชอบ ส่วนผู้ที่ถือข้อมูลส่วนบุคคลหรือผู้ควบคุมข้อมูลส่วนบุคคล ก็คงต้องรับผิดตามกฎหมายอื่น ๆ ที่มีอยู่เช่น ละเมิด เป็นต้น ซึ่งผู้เข้าร่วมสัมมนาให้ข้อมูลว่าในต่างประเทศหากผู้ควบคุมข้อมูลส่วนบุคคลดูแลไม่ดี เช่น ไม่ได้มาตรฐาน ก็ต้องรับผิดตามกฎหมายเช่นกัน
  4. ประเด็นระบบคลาวด์ ที่ปรากฏในข้อยกเว้น หากพิจารณาในเชิงลึกแล้วการประกอบกิจการคลาวด์บางประเภทอาจไม่ใช่กลุ่มที่อยู่ในข้อยกเว้นก็เป็นได้ เพราะมีคลาวด์บางประเภทมีข้อกำหนดในสัญญาว่า เขามีอำนาจตัดสินใจเกี่ยวกับข้อมูลได้ ซึ่งบางประเทศเอาพฤติกรรมเหล่านั้นในเรื่องการตัดสินใจมาประกอบการพิจารณา เพื่อจัดว่าเป็นผู้ควบคุมข้อมูลหรือไม่ ทาง สคก. เห็นว่า หากเป็นการทำสัญญาเช่นนี้ ถือว่าเป็นเรื่องที่เป็นไปตามสัญญา เพียงแต่ว่าจะต้องกำหนดให้ชัดเจนในเรื่องของการจัดการข้อมูล

 

 

นางสุรางคณา วายุภาพ ผอ.ETDA ได้ร่วมแลกเปลี่ยนข้อมูลการคุ้มครองข้อมูลส่วนบุคคลที่กำหนดใน กม. อื่นที่เกี่ยวข้องด้วย ได้แก่ “กม.สุขภาพแห่งชาติ” มีการหารือล่วงหน้าและหารือไปกับวงการแพทย์เพื่อเตรียมความพร้อมสำหรับการปฏิบัติตาม กม.คุ้มครองข้อมูลส่วนบุคคล “กม.ข้อมูลเครดิต” ซึ่งต้องพิจารณาเช่นกันว่า ไปในทิศทางเดียวกันกับร่าง กม.คุ้มครองข้อมูลส่วนบุคคลนี้หรือไม่ ส่วน“กม.ธุรกรรมทางอิเล็กทรอนิกส์” ที่บัญญัติเรื่องการทำธุรกรรมทางอิเล็กทรอนิกส์ของภาครัฐที่ให้ภาครัฐต้องมีการกำหนดวิธีการคุ้มครองข้อมูลส่วนบุคคลในกรณีที่มีการใช้เทคโนโลยีสารสนเทศเข้ามาประกอบการในการดำเนินงานของภาครัฐด้วยนั้น แม้ กม.นี้มี กม.ลูกที่ดูแลเรื่องการคุ้มครองข้อมูลส่วนบุคคลด้วย แต่ก็เป็นการออก กม.มาเพื่อรอ กม.กลางฉบับนี้ และเมื่อ กม.ฉบับนี้ใช้บังคับก็จะไม่เกิดความขัดแย้งแต่อย่างใด

 

นอกจากนี้ นางสุรางคณาฯ ยังได้อัปเดตร่าง กม. ชุดเศรษฐกิจดิจิทัล โดยร่าง กม.ปรับปรุง กระทรวง ทบวง กรมฯ ได้เข้าสู่การพิจารณาของ สนช. เพื่อรับหลักการวาระ 1 แล้วเมื่ออาทิตย์ที่ผ่านมา ส่วน กม. อื่น ๆ ก็มีทั้งที่คณะกรรมการกฤษฎีกาเพิ่งพิจารณาเสร็จ และที่อยู่ระหว่างการพิจารณาคือ ร่าง กม.คุ้มครองข้อมูลส่วนบุคคล และร่าง กม.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ ส่วนร่าง กม.ความมั่นคงปลอดภัยไซเบอร์ จะพิจารณาในลำดับถัดไป

     

ติดตามความคืบหน้าของชุดร่างกฎหมายเศรษฐกิจดิจิทัล และการพูดคุยในประเด็นอื่น ๆ ที่น่าสนใจของเวที ICT Law Center Open Forum ซึ่งในวันเสาร์ที่ 16 พฤษภาคม 2558 จะจัดในหัวข้อ “การใช้ซอฟต์แวร์อย่างถูกต้อง วิธีง่าย ๆ สำหรับคุ้มครองข้อมูลส่วนบุคคล” ได้ทาง https://www.etda.or.th และ http://ictlawcenter.etda.or.th

 

ข่าวที่เกี่ยวข้อง

ICT LAW CENTER  ขอเชิญร่วมทำแบบประเมินความพึงพอใจในการเข้าถึงข้อมูล ของ สพธอ.

    * ท่านมีความพึงพอใจในช่องทางการเข้าถึงข้อมูลเกี่ยวกับร่างกฎหมาย/คู่มือ/แนวปฏิบัติ ที่ สพธอ. จัดเตรียมไว้ มากน้อยเพียงใด