parallax background

วังเวงเหง่งหง่าง!! ไทยแลนด์ ‘Privacy’ นาทีนี้ยังลูกผีลูกคน

December 12, 2018
Binary Craft, Privacy
Data, Data Privacy, GDPR, Personalise

หลังจากบทความชิ้นที่แล้วได้พูดถึงภาพกว้างๆ ในหลักการเกี่ยวกับ ข้อมูลส่วนบุคคล” และ การปกป้องข้อมูลส่วนบุคคล” (Data Privacy) ไปแล้ว (อ่านรายละเอียด : ‘Data Privacy’ 101 สิทธิ์ที่ต้องรู้เกี่ยวกับข้อมูลส่วนบุคคล) วันนี้จึงขออนุญาตพาทุกท่านมาคุยต่อเกี่ยวกับประเด็นการปกป้องข้อมูลส่วนบุคคลในประเทศไทย

หากจะเปรียบเทียบกันแบบตรงไปตรงมา สถานะของคนไทยว่าด้วยประเด็นการคุ้มครองข้อมูลส่วนบุคคลของบ้านเราในเวลานี้ คงไม่ต่างไปจากผู้โดยสารที่อยู่ในกลุ่ม “Waiting List” สักเท่าใดนัก เพราะยังต้องคอยลุ้นอย่างหนักว่า จะได้ตั๋วเดินทางไปสู่ที่หมาย “การได้รับการคุ้มครองข้อมูลส่วนบุคคล” อย่างเต็มรูปแบบหรือไม่

เพราะแทบไม่มีใครคาดเดาได้เลยว่า กระบวนการยกร่างและผลักดัน ร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ….” ซึ่งถือเป็นกฎหมายแม่บทของการปกป้องข้อมูลส่วนบุคคลที่กำลังดำเนินอยู่ในเวลานี้ จะแล้วเสร็จและถูกนำมาบังคับใช้อย่างเป็นรูปธรรมได้เมื่อใด

ขณะที่เมื่อหันมาพิจารณากฎหมายฉบับอื่นๆ ที่พอจะฝากผีฝากไข้เอาไว้ชั่วคราว ก็แทบจะพูดได้ว่า “ทุกอย่างดูช่างวังเวง”เพราะแม้ในบ้านเราอาจจะมีกฎหมายที่มีเนื้อหาพูดถึงการคุ้มครองข้อมูลส่วนบุคคลอยู่บ้าง แต่ก็นับฉบับได้ และไม่ครอบคลุมทุกบริบทของปัญหา

สุดท้ายจึงแทบจะหวังพึ่งอะไรไม่ได้!

โดยกฎหมายของไทยในปัจจุบันที่พอจะนำมาอ้างอิงหรือเชื่อมโยงกับการคุ้มครองข้อมูลส่วนบุคคลได้ มีดังนี้

  • รัฐธรรมนูญแห่งราชอาณาจักรไทย

รัฐธรรมนูญซึ่งเป็นกฎหมายแม่บทของประเทศไทย ได้บัญญัติเนื้อหาเกี่ยวกับ “การปกป้องสิทธิส่วนบุคคล” อย่างเป็นทางการมาตั้งแต่ฉบับ พ.ศ.2540 และฉบับปัจจุบัน พ.ศ.2560 ก็ยังคงมีการบัญญัติเอาไว้อยู่ โดยปรากฏใน 2 มาตรา คือ

มาตรา 4 ศักดิ์ศรีความเป็นมนุษย์ สิทธิ เสรีภาพ และความเสมอภาคของบุคคลย่อมได้รับความคุ้มครอง ปวงชนชาวไทยย่อมได้รับความคุ้มครองตามรัฐธรรมนูญเสมอกัน

มาตรา 32 บุคคลย่อมมีสิทธิในความเป็นอยู่ส่วนตัว เกียรติยศ ชื่อเสียง และครอบครัวการกระทําอันเป็นการละเมิดหรือกระทบต่อสิทธิของบุคคลตามวรรคหนึ่ง หรือการนําข้อมูลส่วนบุคคลไปใช้ประโยชน์ไม่ว่าในทางใดๆ จะกระทํามิได้ เว้นแต่โดยอาศัยอํานาจตามบทบัญญัติแห่งกฎหมายที่ตราขึ้นเพียงเท่าที่จําเป็นเพื่อประโยชน์สาธารณะ

อย่างไรก็ดี การบัญญัติดังกล่าวเป็นเพียงการรับรองสิทธิให้กับประชาชนเท่านั้น ส่วนกฎหมายที่จะนำไปสู่การปฏิบัติให้เกิดผลอย่างเป็นรูปธรรมนั้น ยังไม่มีการยกร่างขึ้นมาแต่อย่างใด

 

  • พ.ร.บ.ข้อมูลข่าวสารของราชการ พ.ศ.2540

ในมาตรา 4 ของกฎหมายฉบับนี้ ได้ให้คำจำกัดความของ ข้อมูลข่าวสารส่วนบุคคล” ว่า เป็นข้อมูลข่าวสารเกี่ยวกับสิ่งเฉพาะตัวของบุคคล เช่น การศึกษา ฐานะการเงิน ประวัติสุขภาพ ประวัติอาชญากรรม หรือประวัติการทำงาน บรรดาที่มีชื่อของผู้นั้น หรือมีเลขหมาย รหัส หรือสิ่งบอกลักษณะอื่นที่ทำให้รู้ตัวผู้นั้นได้ เช่น ลายพิมพ์นิ้วมือ แผ่นบันทึกลักษณะเสียง ของคนหรือรูปถ่าย และให้หมายความรวมถึงข้อมูลข่าวสารเกี่ยวกับสิ่งเฉพาะตัวของผู้ที่ถึงแก่กรรมแล้วด้วย

อย่างไรก็ตาม เจตนารมณ์ของกฎหมายฉบับนี้ มีจุดมุ่งหมายเกี่ยวกับประเด็นเปิดเผยข้อมูลข่าวสารของราชการต่อสาธารณะมากกว่า เป็นการคุ้มครองข้อมูลส่วนบุคคลโดยตรง

 

  • พ.ร.บ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ.2544

ภายใต้กฎหมายฉบับนี้ “คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์” ได้ออกประกาศเรื่องแนวนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของหน่วยงานของรัฐ พ.ศ. 2553 ซึ่งอาจจะเรียกได้ว่าเป็น “กฎหมายน้อย” ที่เชื่อมโยงกับการคุ้มครองข้อมูลส่วนบุคคลในประเทศไทยได้ตรงที่สุดแล้วสำหรับประเทศไทยในเวลานี้

อย่างไรก็ตาม ประกาศฉบับนี้ ก็เป็นเพียง “ไกด์ไลน์” หรือกรอบนโยบายและแนวทางปฏิบัติเกี่ยวกับการจัดเก็บ ใช้ หรือเผยแพร่ข้อมูลส่วนบุคคลในระบบอิเล็กทรอนิกส์ เช่น การจัดทำทะเบียนราษฎร​ การขึ้นทะเบียนคนจน การขึ้นทะเบียนเกษตรกร หมายจับ ที่ใช้เฉพาะในหน่วยงานภาครัฐเท่านั้น

ดาวน์โหลดประกาศฉบับเต็มที่นี่

 

  • (ร่าง) พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล

ถ้าจะย้อนประวัติศาสตร์กลับไป ประเทศไทยมีความพยายามในการยกร่าง “กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล” มาตั้งแต่หลังการประกาศใช้รัฐธรรมนูญปี 2540 แล้ว แต่ตลอดระยะเวลากว่า 20ปีที่ผ่านมา การดำเนินการเรื่องนี้ไม่เคยเฉียดเข้าไปใกล้ความสำเร็จเลยแม้แต่น้อย การดำเนินการส่วนใหญ่จะอยู่ในลักษณะชักเข้า-ชักออก และยื้อกันไปมาอยู่ในรัฐสภามากกว่าจะดำเนินการกันอย่างจริงจัง

จนกระทั่งต้องมาเจอกับ “ไฟต์บังคับ” จากกรณีการเติบโตของเศรษฐกิจดิจิทัล ที่มีการใช้ประโยชน์จากข้อมูลส่วนบุคคลในโลกออนไลน์กันอย่างแพร่หลาย และสุ่มเสี่ยงต่อการละเมิดข้อมูลส่วนบุคคล รวมถึงผลพวงจากบังคับใช้ GDPR ของสหภาพยุโรป (อียู) ที่ได้วางกรอบ “กึ่งบังคับ” ให้ประเทศนอกกลุ่มสมาชิกที่มีการดำเนินการเกี่ยวกับข้อมูลส่วนบุคคลของพลเมืองอียู จะต้องมีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสม

ดังนั้นประเทศไทยโดย กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) จึงได้ดำเนินการยกร่าง พ.ร.บคุ้มครองข้อมูลส่วนบุคคล พ.ศ. … ขึ้น โดยคณะรัฐมนตรีมีมติเห็นชอบในหลักการเมื่อวันที่ 22 พฤษภาคมที่ผ่านมา และมีการนำเข้าสู่กระบวนการรับฟังความคิดเห็นของประชาชนไปเมื่อวันที่ 5-20 กันยายน พร้อมกับมีการปรับปรุงเนื้อหาให้สอดคล้องกับเงื่อนไขของ GDPR

โดย ณ ขณะนี้กระบวนการของกฎหมายได้มาสิ้นสุดตรงที่ขั้นตอนการนำเสนอเข้าสู่การพิจารณาของสภานิติบัญญัติแห่งชาติ (สนช.) โดยมีประเด็นสำคัญอยู่ 2-3 ประเด็นที่คนไทยจะต้องติดตามและจับตาให้ดี ประกอบด้วย

– การผลักดันกฎหมายจะทันวาระของ สนช. ที่จะหมดลงทันทีหลังการเลือกตั้งที่จะมีขึ้นประมาณต้นปีนี้หรือไม่

– ถ้าไม่ทัน รัฐบาลรวมถึงรัฐสภาชุดใหม่ที่เข้ามาทำหน้าที่ จะมีท่าทีอย่างไรต่อร่างกฎหมายฉบับนี้ กระบวนการพิจารณากฎหมายจะถูกยื้อออกไปหรือไม่ และถึงเมื่อใด

– ถ้าทัน หน้าตากฎหมายจะเป็นอย่างไร จะสามารถคุ้มครองข้อมูลส่วนบุคคลของเราได้อย่างสมเหตุผลหรือไม่ เนื่องจากยังมีข้อถกเถียงอย่างกว้างขวางถึงข้อบัญญัติของกฏหมาย เช่น การกำหนดกรอบการคุ้มครองข้อมูลส่วนบุคคลไว้กว้างเกินไป รวมถึงข้อยกเว้นความรับผิดชอบให้หน่วยงานความมั่นคง รัฐสภา ศาล สื่อมวลชน และอื่นๆ ซึ่งอาจส่งผลกระทบต่อประสิทธิภาพการบังคับใช้ และทำให้กลายเป็นกฎหมายที่พิกลพิการไปในที่สุด

สามารถดาวน์โหลดร่างกฎหมายได้ที่นี่

ร่างกฎหมายฉบับที่ ครม. เห็นชอบในหลักการ 22 พฤษภาคม 2018

ร่างกฎหมายฉบับรับฟังความคิดเห็นเมื่อเดือนกันยายน2018

 

จากข้อมูลข้างต้นทำให้เราเห็นได้อย่างชัดเจนว่า ภายใต้สถานการณ์ความแหลมคมของปัญหาการล่วงละเมิด “ข้อมูลส่วนบุคคล”ที่เกิดขึ้นอย่างไร้พรมแดนภายในโลกดิจิทัลเวลานี้ ประเทศไทยมีเพียง “เครื่องมือ” เพียงชิ้นเดียวเท่านั้นในการคุ้มครองข้อมูลของประชาชน นั่นคือ ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์เรื่องแนวนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของหน่วยงานของรัฐ พ.ศ. 2553เท่านั้น และยังครอบคลุมเฉพาะหน่วยงานภาครัฐ ไม่ได้ครอบคลุมถึงบริษัทเอกชน หรือหน่วยงานในภาคส่วนอื่นแต่อย่างใด

ขณะที่ระดับความเข้มข้น เช่น บทลงโทษ หรือความรับผิดชอบ ของหน่วยงานที่ทำให้เกิดการรั่วไหลของข้อมูลก็ยังถือว่า “เบาบาง” มาก หรืออาจเรียกได้ว่าแทบไม่มีเลย

ส่วนร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ที่หลายฝ่ายหมายมั่นว่าจะเป็นกฎหมาย “ตัวจริง เสียงจริง” ในการคุ้มครองสิทธิให้ประชาชน ก็ยังไม่รู้ว่าจะสามารถแจ้งเกิดได้เมื่อใด หรือเมื่อคลอดออกมาแล้วจะมีประสิทธิภาพดีจริงสมอย่างที่เราคาดหวังกันไว้หรือไม่

สถานการณ์การคุ้มครองข้อมูลส่วนบุคคลของประเทศไทยเวลานี้ จึงมีสภาพไม่ต่างไปจาก “ลูกผี ลูกคน” ที่จะเกิดก็ยังไม่รู้ว่าจะได้เกิดเมื่อไร หรือเกิดมาแล้วก็ยังไม่รู้ว่าอีกเช่นกันว่า จะไปได้ดีขนาดไหน

นี่จึงเป็นประเด็นที่เราทุกคนต้องช่วยกันติดตาม …และห้ามกระพริบอย่างเด็ดขาด!

บทความที่คุณอาจสนใจ

November 17, 2022

‘Gamification’ เปลี่ยนเกมเป็นกลยุทธ์ ปลุกความอยากซื้อสินค้า

อ่านเพิ่มเติม
November 8, 2022

เพิ่มประสิทธิภาพ Adobe Analytics ด้วย Customer Journey Analytics

อ่านเพิ่มเติม
November 3, 2022

ไม่ได้จบสาย IT แต่อยากทำงานด้านนี้ต้องทำอย่างไร

อ่านเพิ่มเติม