หลังจากบทความชิ้นที่แล้วได้พูดถึงภาพกว้างๆ ในหลักการเกี่ยวกับ “ข้อมูลส่วนบุคคล” และ “การปกป้องข้อมูลส่วนบุคคล” (Data Privacy) ไปแล้ว (อ่านรายละเอียด : ‘Data Privacy’ 101 สิทธิ์ที่ต้องรู้เกี่ยวกับข้อมูลส่วนบุคคล) วันนี้จึงขออนุญาตพาทุกท่านมาคุยต่อเกี่ยวกับประเด็นการปกป้องข้อมูลส่วนบุคคลในประเทศไทย
หากจะเปรียบเทียบกันแบบตรงไปตรงมา สถานะของคนไทยว่าด้วยประเด็นการคุ้มครองข้อมูลส่วนบุคคลของบ้านเราในเวลานี้ คงไม่ต่างไปจากผู้โดยสารที่อยู่ในกลุ่ม “Waiting List” สักเท่าใดนัก เพราะยังต้องคอยลุ้นอย่างหนักว่า จะได้ตั๋วเดินทางไปสู่ที่หมาย “การได้รับการคุ้มครองข้อมูลส่วนบุคคล” อย่างเต็มรูปแบบหรือไม่
เพราะแทบไม่มีใครคาดเดาได้เลยว่า กระบวนการยกร่างและผลักดัน “ร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ….” ซึ่งถือเป็นกฎหมายแม่บทของการปกป้องข้อมูลส่วนบุคคลที่กำลังดำเนินอยู่ในเวลานี้ จะแล้วเสร็จและถูกนำมาบังคับใช้อย่างเป็นรูปธรรมได้เมื่อใด
ขณะที่เมื่อหันมาพิจารณากฎหมายฉบับอื่นๆ ที่พอจะฝากผีฝากไข้เอาไว้ชั่วคราว ก็แทบจะพูดได้ว่า “ทุกอย่างดูช่างวังเวง”เพราะแม้ในบ้านเราอาจจะมีกฎหมายที่มีเนื้อหาพูดถึงการคุ้มครองข้อมูลส่วนบุคคลอยู่บ้าง แต่ก็นับฉบับได้ และไม่ครอบคลุมทุกบริบทของปัญหา
สุดท้ายจึงแทบจะหวังพึ่งอะไรไม่ได้!
โดยกฎหมายของไทยในปัจจุบันที่พอจะนำมาอ้างอิงหรือเชื่อมโยงกับการคุ้มครองข้อมูลส่วนบุคคลได้ มีดังนี้
- รัฐธรรมนูญแห่งราชอาณาจักรไทย
รัฐธรรมนูญซึ่งเป็นกฎหมายแม่บทของประเทศไทย ได้บัญญัติเนื้อหาเกี่ยวกับ “การปกป้องสิทธิส่วนบุคคล” อย่างเป็นทางการมาตั้งแต่ฉบับ พ.ศ.2540 และฉบับปัจจุบัน พ.ศ.2560 ก็ยังคงมีการบัญญัติเอาไว้อยู่ โดยปรากฏใน 2 มาตรา คือ
มาตรา 4 ศักดิ์ศรีความเป็นมนุษย์ สิทธิ เสรีภาพ และความเสมอภาคของบุคคลย่อมได้รับความคุ้มครอง ปวงชนชาวไทยย่อมได้รับความคุ้มครองตามรัฐธรรมนูญเสมอกัน
มาตรา 32 บุคคลย่อมมีสิทธิในความเป็นอยู่ส่วนตัว เกียรติยศ ชื่อเสียง และครอบครัวการกระทําอันเป็นการละเมิดหรือกระทบต่อสิทธิของบุคคลตามวรรคหนึ่ง หรือการนําข้อมูลส่วนบุคคลไปใช้ประโยชน์ไม่ว่าในทางใดๆ จะกระทํามิได้ เว้นแต่โดยอาศัยอํานาจตามบทบัญญัติแห่งกฎหมายที่ตราขึ้นเพียงเท่าที่จําเป็นเพื่อประโยชน์สาธารณะ
อย่างไรก็ดี การบัญญัติดังกล่าวเป็นเพียงการรับรองสิทธิให้กับประชาชนเท่านั้น ส่วนกฎหมายที่จะนำไปสู่การปฏิบัติให้เกิดผลอย่างเป็นรูปธรรมนั้น ยังไม่มีการยกร่างขึ้นมาแต่อย่างใด
- พ.ร.บ.ข้อมูลข่าวสารของราชการ พ.ศ.2540
ในมาตรา 4 ของกฎหมายฉบับนี้ ได้ให้คำจำกัดความของ “ข้อมูลข่าวสารส่วนบุคคล” ว่า เป็นข้อมูลข่าวสารเกี่ยวกับสิ่งเฉพาะตัวของบุคคล เช่น การศึกษา ฐานะการเงิน ประวัติสุขภาพ ประวัติอาชญากรรม หรือประวัติการทำงาน บรรดาที่มีชื่อของผู้นั้น หรือมีเลขหมาย รหัส หรือสิ่งบอกลักษณะอื่นที่ทำให้รู้ตัวผู้นั้นได้ เช่น ลายพิมพ์นิ้วมือ แผ่นบันทึกลักษณะเสียง ของคนหรือรูปถ่าย และให้หมายความรวมถึงข้อมูลข่าวสารเกี่ยวกับสิ่งเฉพาะตัวของผู้ที่ถึงแก่กรรมแล้วด้วย
อย่างไรก็ตาม เจตนารมณ์ของกฎหมายฉบับนี้ มีจุดมุ่งหมายเกี่ยวกับประเด็นเปิดเผยข้อมูลข่าวสารของราชการต่อสาธารณะมากกว่า เป็นการคุ้มครองข้อมูลส่วนบุคคลโดยตรง
- พ.ร.บ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ.2544
ภายใต้กฎหมายฉบับนี้ “คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์” ได้ออกประกาศเรื่องแนวนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของหน่วยงานของรัฐ พ.ศ. 2553 ซึ่งอาจจะเรียกได้ว่าเป็น “กฎหมายน้อย” ที่เชื่อมโยงกับการคุ้มครองข้อมูลส่วนบุคคลในประเทศไทยได้ตรงที่สุดแล้วสำหรับประเทศไทยในเวลานี้
อย่างไรก็ตาม ประกาศฉบับนี้ ก็เป็นเพียง “ไกด์ไลน์” หรือกรอบนโยบายและแนวทางปฏิบัติเกี่ยวกับการจัดเก็บ ใช้ หรือเผยแพร่ข้อมูลส่วนบุคคลในระบบอิเล็กทรอนิกส์ เช่น การจัดทำทะเบียนราษฎร การขึ้นทะเบียนคนจน การขึ้นทะเบียนเกษตรกร หมายจับ ที่ใช้เฉพาะในหน่วยงานภาครัฐเท่านั้น
- (ร่าง) พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล
ถ้าจะย้อนประวัติศาสตร์กลับไป ประเทศไทยมีความพยายามในการยกร่าง “กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล” มาตั้งแต่หลังการประกาศใช้รัฐธรรมนูญปี 2540 แล้ว แต่ตลอดระยะเวลากว่า 20ปีที่ผ่านมา การดำเนินการเรื่องนี้ไม่เคยเฉียดเข้าไปใกล้ความสำเร็จเลยแม้แต่น้อย การดำเนินการส่วนใหญ่จะอยู่ในลักษณะชักเข้า-ชักออก และยื้อกันไปมาอยู่ในรัฐสภามากกว่าจะดำเนินการกันอย่างจริงจัง
จนกระทั่งต้องมาเจอกับ “ไฟต์บังคับ” จากกรณีการเติบโตของเศรษฐกิจดิจิทัล ที่มีการใช้ประโยชน์จากข้อมูลส่วนบุคคลในโลกออนไลน์กันอย่างแพร่หลาย และสุ่มเสี่ยงต่อการละเมิดข้อมูลส่วนบุคคล รวมถึงผลพวงจากบังคับใช้ GDPR ของสหภาพยุโรป (อียู) ที่ได้วางกรอบ “กึ่งบังคับ” ให้ประเทศนอกกลุ่มสมาชิกที่มีการดำเนินการเกี่ยวกับข้อมูลส่วนบุคคลของพลเมืองอียู จะต้องมีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสม
ดังนั้นประเทศไทยโดย กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) จึงได้ดำเนินการยกร่าง พ.ร.บคุ้มครองข้อมูลส่วนบุคคล พ.ศ. … ขึ้น โดยคณะรัฐมนตรีมีมติเห็นชอบในหลักการเมื่อวันที่ 22 พฤษภาคมที่ผ่านมา และมีการนำเข้าสู่กระบวนการรับฟังความคิดเห็นของประชาชนไปเมื่อวันที่ 5-20 กันยายน พร้อมกับมีการปรับปรุงเนื้อหาให้สอดคล้องกับเงื่อนไขของ GDPR
โดย ณ ขณะนี้กระบวนการของกฎหมายได้มาสิ้นสุดตรงที่ขั้นตอนการนำเสนอเข้าสู่การพิจารณาของสภานิติบัญญัติแห่งชาติ (สนช.) โดยมีประเด็นสำคัญอยู่ 2-3 ประเด็นที่คนไทยจะต้องติดตามและจับตาให้ดี ประกอบด้วย
– การผลักดันกฎหมายจะทันวาระของ สนช. ที่จะหมดลงทันทีหลังการเลือกตั้งที่จะมีขึ้นประมาณต้นปีนี้หรือไม่
– ถ้าไม่ทัน รัฐบาลรวมถึงรัฐสภาชุดใหม่ที่เข้ามาทำหน้าที่ จะมีท่าทีอย่างไรต่อร่างกฎหมายฉบับนี้ กระบวนการพิจารณากฎหมายจะถูกยื้อออกไปหรือไม่ และถึงเมื่อใด
– ถ้าทัน หน้าตากฎหมายจะเป็นอย่างไร จะสามารถคุ้มครองข้อมูลส่วนบุคคลของเราได้อย่างสมเหตุผลหรือไม่ เนื่องจากยังมีข้อถกเถียงอย่างกว้างขวางถึงข้อบัญญัติของกฏหมาย เช่น การกำหนดกรอบการคุ้มครองข้อมูลส่วนบุคคลไว้กว้างเกินไป รวมถึงข้อยกเว้นความรับผิดชอบให้หน่วยงานความมั่นคง รัฐสภา ศาล สื่อมวลชน และอื่นๆ ซึ่งอาจส่งผลกระทบต่อประสิทธิภาพการบังคับใช้ และทำให้กลายเป็นกฎหมายที่พิกลพิการไปในที่สุด
สามารถดาวน์โหลดร่างกฎหมายได้ที่นี่
– ร่างกฎหมายฉบับที่ ครม. เห็นชอบในหลักการ 22 พฤษภาคม 2018
– ร่างกฎหมายฉบับรับฟังความคิดเห็นเมื่อเดือนกันยายน2018
จากข้อมูลข้างต้นทำให้เราเห็นได้อย่างชัดเจนว่า ภายใต้สถานการณ์ความแหลมคมของปัญหาการล่วงละเมิด “ข้อมูลส่วนบุคคล”ที่เกิดขึ้นอย่างไร้พรมแดนภายในโลกดิจิทัลเวลานี้ ประเทศไทยมีเพียง “เครื่องมือ” เพียงชิ้นเดียวเท่านั้นในการคุ้มครองข้อมูลของประชาชน นั่นคือ ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์เรื่องแนวนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของหน่วยงานของรัฐ พ.ศ. 2553เท่านั้น และยังครอบคลุมเฉพาะหน่วยงานภาครัฐ ไม่ได้ครอบคลุมถึงบริษัทเอกชน หรือหน่วยงานในภาคส่วนอื่นแต่อย่างใด
ขณะที่ระดับความเข้มข้น เช่น บทลงโทษ หรือความรับผิดชอบ ของหน่วยงานที่ทำให้เกิดการรั่วไหลของข้อมูลก็ยังถือว่า “เบาบาง” มาก หรืออาจเรียกได้ว่าแทบไม่มีเลย
ส่วนร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ที่หลายฝ่ายหมายมั่นว่าจะเป็นกฎหมาย “ตัวจริง เสียงจริง” ในการคุ้มครองสิทธิให้ประชาชน ก็ยังไม่รู้ว่าจะสามารถแจ้งเกิดได้เมื่อใด หรือเมื่อคลอดออกมาแล้วจะมีประสิทธิภาพดีจริงสมอย่างที่เราคาดหวังกันไว้หรือไม่
สถานการณ์การคุ้มครองข้อมูลส่วนบุคคลของประเทศไทยเวลานี้ จึงมีสภาพไม่ต่างไปจาก “ลูกผี ลูกคน” ที่จะเกิดก็ยังไม่รู้ว่าจะได้เกิดเมื่อไร หรือเกิดมาแล้วก็ยังไม่รู้ว่าอีกเช่นกันว่า จะไปได้ดีขนาดไหน
นี่จึงเป็นประเด็นที่เราทุกคนต้องช่วยกันติดตาม …และห้ามกระพริบอย่างเด็ดขาด!