Privacy มีจริงหรือเปล่า? เช็คกลไกคุ้มครองคนไทย ในวันที่ความมั่นคงยังเป็นใหญ่
“ฉันเชื่อว่า รัฐบาลแต่ละประเทศมีนโยบายของตัวเองที่จะทำให้ประชาชนปลอดภัย และรัฐบาลไม่ควรก้าวล่วงสิทธิความเป็นส่วนตัว เพราะเรามีสิทธิที่จะปกป้องความเป็นส่วนตัว แต่ความมั่นคงก็เป็นเรื่องสำคัญ ดังนั้นเพื่อให้สังคมของเราดีขึ้น รัฐบาลควรจะหาจุดสมดุลในการเข้ามาดูแลความปลอดภัย เพื่อให้เราอยู่ร่วมกันได้ในสังคม”
— ฟ้าใส – ปวีณสุดา ดรูอิ้น
Miss Thailand Universe 2019
แทบจะเรียกได้ว่าเป็นดรามาข้ามประเทศกันเลยทีเดียว สำหรับ “คำถาม” และ “คำตอบ” บนเวทีการประกวด Miss Universe 2019 รอบ 5 คนสุดท้ายที่ประเทศสหรัฐอเมริกา ซึ่ง “ฟ้าใส-ปวีณสุดา ดรูอิ้น” นางงามชาวไทยถูกตั้งคำถามว่า เธอจะให้ความสำคัญในเรื่องใดมากกว่ากันระหว่าง “Security” (ความมั่นคง) กับ “Privacy” (ความเป็นส่วนตัว) จากการที่รัฐบาลหลายประเทศมักใช้ข้ออ้างเรื่องความมั่นคงทำการสอดแนมประชาชน จนกระทบต่อสิทธิและความเป็นส่วนตัว
เหตุการณ์นี้แม้ประเด็นการถกเถียงจะพุ่งเป้าไปที่ความเหมาะสมของการตั้ง “คำถาม” ลักษณะนี้บนเวทีนางงาม รวมถึงความรู้สึกที่มีต่อคำตอบของ “ฟ้าใส” แต่จริง ๆ ก็ปฏิเสธไม่ได้เช่นกันว่า ประเด็นที่ถูกหยิบมาถกเถียงกันนั้น ได้ทำให้เกิดคำถามที่น่าสนใจไม่น้อยว่า ตกลงทุกวันนี้บ้านเรามีกลไกในการสร้างความสมดุลระหว่างการจัดการปัญหา “ความมั่นคง” กับสิทธิความเป็นส่วนตัวของประชาชนหรือไม่?
แล้วกลไกเหล่านั้นคืออะไร?
และมันทำงานได้ดีแค่ไหน?
…………
เพราะสิ่งเหล่านี้ เป็นสิ่งที่สามารถบอกเราได้ว่า แท้ที่จริงแล้ว “สิทธิ” ความเป็นส่วนตัวของพวกเราทุกวันนี้ ยังมีจริงหรือไม่
… และถูกแทรกแซงได้ง่ายดายกันขนาดไหน …
SECURITY กับ PRIVACY: ทางขนานที่ไม่เคยบรรจบ
ความจริงปมปัญหาระหว่างความมั่นคงของรัฐกับความเป็นส่วนตัวของประชาชนนั้นมีมานานแล้ว และไม่ได้มีเฉพาะในประเทศไทยเท่านั้น แต่มีทั่วโลกไม่เว้นแม้แต่ในประเทศ “เสรี” อย่างสหรัฐอเมริกาและในยุโรป
โดยปัญหาได้เริ่มเด่นชัดขึ้นหลังเหตุการณ์โจมตีสหรัฐฯ “9-11” โดยฝีมือกลุ่ม “อัลกออิดะฮ์” เมื่อปี 2001 ซึ่งเป็นชนวนเหตุให้ลัทธิก่อการร้ายแพร่ลามไปทั่วโลก ทำให้รัฐบาลสหรัฐและอีกหลายประเทศออกกฎหมายให้อำนาจรัฐ “สอดส่อง” หรือ “ดักฟัง” การสื่อสารของประชาชนในทุกช่องทางทั้งออนไลน์และออฟไลน์ หากมีเหตุสงสัยว่าพฤติกรรมของเราอาจมีความเชื่อมโยงหรือมีความเสี่ยงเป็นภัยคุกคามต่อ “ความมั่นคง”
ขณะที่ปัจจุบันประเด็นความมั่นคงของรัฐ ยังถูกนำมารวมกับ “ความมั่นคงไซเบอร์” (Cyber Security) ซึ่งเป็นปัญหาที่มีหลายมิติตั้งแต่ระดับปัจเจกบุคคล จนถึงภาคธุรกิจ และรัฐ เช่น การขโมยข้อมูลส่วนบุคคล การฉ้อโกงออนไลน์ การแฮกระบบการเงิน การธนาคาร ไปจนถึงระบบสาธารณูปโภค
สิ่งเหล่านี้ยิ่งทำให้ผลกระทบที่เกิดต่อความเป็นส่วนตัวของประชาชนในบริบทที่ซับซ้อนมากขึ้น
กลไกคุ้มครองความเป็นส่วนตัวคนไทย
สำหรับท่านที่ติดตามสถานการณ์เรื่องนี้มาโดยตลอดคงทราบดีว่า กลไกที่หลายคนเชื่อว่าจะเป็นเครื่องมือป้องกันการถูกละเมิดความเป็นส่วนตัว คือ การบังคับใช้ “กฎหมายคุ้มครองข้อมูลส่วนบุคคล” ซึ่งมีหลักการสำคัญ คือ มุ่งให้ความคุ้มครองสิทธิที่สำคัญของเจ้าของข้อมูลส่วนบุคคล (Data Subject) เช่น
- สิทธิในการได้รับแจ้ง (Rights to be informed) เมื่อจะมีการนำข้อมูลส่วนตัวของบุคคลไปใช้
- สิทธิในการเข้าถึงข้อมูล (Rights to access)
- สิทธิในการแก้ไขหรือลบข้อมูลของบุคคลออกจากระบบ (Rights to rectify or erase)
(อ่านเพิ่มเติมได้ที่: มาตรฐานต่ำสุด ‘การคุ้มครองข้อมูลส่วนบุคคล’ ที่ทุกประเทศพึงมี)
โดยกฎหมายที่ได้รับการยอมรับให้เป็น “ต้นแบบ” การคุ้มครองสิทธิในเรื่องนี้ คือ General Data Protection Regulation หรือ GDPR ของสหภาพยุโรป (EU)
ขณะที่ประเทศไทยก็มีการตรา “พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล” โดยอาศัยหลักการข้างต้นและ GDPR เป็นต้นแบบยกร่างเนื้อหา โดยเพิ่งมีการประกาศใช้ไปเมื่อวันที่ 27 พฤษภาคม 2562 ที่ผ่านมา แต่ขณะนี้อยู่ในช่วงเวลา “ผ่อนผัน” และจะมีการยังคับใช้อย่างเต็มรูปแบบในเดือนพฤษภาคม 2563 ต่อไป
ดังนั้นในเวลานี้ จึงอนุมานได้ว่ากลไกที่จะถูกวางไว้เป็นเครื่องมือปกป้องความเป็นส่วนตัวของคนไทยก็คือ “พรบ.คุ้มครองข้อมูลส่วนบุคคล” ฉบับนี้นั่นเอง
เปิดเนื้อหากฎหมาย GDPR
อย่างไรก็ตาม ยังมีคำถามข้อต่อมาว่า “แล้วกลไกชิ้นนี้ของเรา จะทำงานได้ดีขนาดไหน?”เพราะแม้จะมี GDPR เป็นต้นแบบ แต่ก็ไม่ได้หมายความว่าเนื้อหาจะเหมือนกันทุกกระเบียดนิ้ว โดยเฉพาะในส่วน “ข้อยกเว้น” การให้ความคุ้มครองสิทธิในข้อมูลส่วนบุคคลของกฎหมายทั้ง 2 ฉบับที่ยังมีความเหมือนและความต่างกันอยู่พอสมควร ซึ่งจุดนี้ถือเป็นปมเงื่อนสำคัญที่เปิดช่องให้รัฐมีอำนาจเข้ามาแทรกแซงสิทธิของประชาชนได้อย่างถูกกฎหมาย
ทั้งนี้ GDPR ได้กำหนดข้อยกเว้นไว้โดยสรุปว่า “รัฐจะได้รับการสงวนสิทธิในข้อยกเว้นการคุ้มครองข้อมูลส่วนบุคคล เพื่อวัตถุประสงค์ในด้านความมั่นคงของชาติ ความปลอดภัยสาธารณะ การป้องกัน สืบสวน และดำเนินคดีอาชญากรรม การคุ้มครองกระบวนการยุติธรรม รวมถึงเพื่อการคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคลอื่น ๆ”
อย่างไรก็ตาม การดำเนินการใด ๆ ตามเงื่อนไขการยกเว้น รัฐต้องกระทำภายใต้การเคารพสิทธิเสรีภาพขั้นพื้นฐาน รวมถึงการใช้ประโยชน์ข้อมูลส่วนบุคคลตามหลักความจำเป็น ในสัดส่วนที่จำเป็น
นอกจากนี้ ในการใช้สิทธิดังกล่าว รัฐยังต้องออกเป็นบัญญัติหรือคำสั่งที่มีผลทาง “กฎหมาย” และระบุรายละเอียดการเก็บรวบรวมและใช้ข้อมูลเอาไว้ให้ชัดเจน อาทิ
- วัตถุประสงค์หรือรูปแบบของการประมวลผลข้อมูล
- ประเภทของข้อมูลส่วนบุคคล
- กรอบการใช้ประโยชน์ในข้อยกเว้น
- มาตรการคุ้มครองและป้องกันการละเมิดข้อมูล
- รายละเอียดของผู้ควบคุมข้อมูล
- กรอบเวลาและมาตรการอันเหมาะสมสำหรับการประมวลผลข้อมูล
- ผลประเมินความเสี่ยงต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล
- สิทธิของเจ้าของข้อมูลในการได้รับแจ้งถึงการใช้ข้อมูลดังกล่าว เว้นแต่การบอกกล่าวจะส่งผลเสียต่
- วัตถุประสงค์หลักของการใช้ข้อมูลนั้น
แกะรอยกลไกคุ้มครองคนไทย
ขณะที่ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล มีบัญญัติเกี่ยวกับข้อยกเว้นการคุ้มครองไว้ในหลายมาตรา โดยจะขอยกมาเป็นตัวอย่างที่น่าสนใจ เช่น
มาตรา 4 : กฎหมายฉบับนี้จะไม่บังคับใช้ในกิจกรรม 6 ประเภท คือ
การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลเพื่อประโยชน์ตัวเองหรือครอบครัว
- ความมั่นคงรัฐ ที่รวมถึงการเงินการคลังของรัฐ ความปลอดภัยประชาชน ปราบปรามป้องกันการฟอกเงิน
- นิติวิทยาศาสตร์ หรือความมั่นคงไซเบอร์
- เพื่อกิจการสื่อมวลชน ศิลปกรรม วรรณกรรม หรือวิชาชีพเพื่อประโยชน์สาธารณะ
- สภาผู้แทนฯ วุฒิสภา และรัฐสภา ที่มีการเก็บรวบรวม ใช้ และเปิดเผยข้อมูล เพื่อพิจารณาตามอำนาจหน้าที่
- การพิจารณาคดีของศาล การบังคับคดี และกระบวนการยุติธรรมทางอาญา
- การดำเนินการของเครดิตบูโรและสมาชิก
มาตรา 24 และ 27 : ห้ามมิให้มีการเก็บรวบรวมและเปิดเผยข้อมูลโดยไม่รับความยินยอมจากเจ้าของข้อมูล เว้นแต่
- เพื่อประโยชน์สาธารณะที่สำคัญ โดยจัดให้มีมาตรการคุ้มครองข้อมูลที่เหมาะสม
- การปฏิบัติหน้าที่ในการใช้อำนาจรัฐซึ่งมอบให้แก่ผู้ควบคุมข้อมูล
ช่องโหว่“พรบ.คุ้มครองข้อมูลส่วนบุคคล”
จากตัวอย่างที่ยกมา ทำให้สามารถมองเห็นความต่างในการกำหนด “ข้อยกเว้น” การคุ้มครองข้อมูลส่วนบุคคลของกฎหมายทั้ง 2 ฉบับได้อย่างน่าสนใจ เช่น
GDPR มีการกำหนดกรอบและวัตถุประสงค์การยกเว้นเอาไว้อย่างชัดเจน และจำเพาะเจาะจง ขณะที่ “พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล” วางกรอบเอาไว้แบบ “ครอบจักรวาล” เช่น เงื่อนไข “เพื่อประโยชน์สาธารณะที่สำคัญ” ซึ่งเป็นหัวข้อที่ถูกนำมาถกเถียงกันอย่างกว้างขวาง เพราะในแง่การตีความสำหรับ “กิจการของรัฐ” ทั้งหมดย่อมมีจุดประสงค์เพื่อประโยชน์สาธารณะได้อยู่แล้ว
GDPR เน้นย้ำให้การยกเว้นใด ๆ ต้องเคารพสิทธิเสรีภาพขั้นพื้นฐานของประชาชนเป็นลำดับแรก และอาศัยหลักความจำเป็นในการเก็บข้อมูลและใช้ประโยชน์ ขณะที่ “พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล” ระบุไว้เพียงว่าต้องจัดให้มีมาตรการคุ้มครองที่เหมาะสมด้วย เท่านั้น
GDPR กำหนดให้การใช้สิทธิยกเว้นของรัฐ ต้องทำเป็นคำสั่งหรือประกาศที่มีลักษณะเป็นกฎหมายที่ระบุรายละเอียดต่าง ๆ เอาไว้ให้ชัดเจน ขณะที่ “พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล” ไม่มีการบังคับให้จัดทำขอบเขตและวัตถุประสงค์เช่นนี้เอาไว้ โดยให้เพียงอำนาจใช้สิทธิ์และกำหนดแค่ให้มีมาตรการที่เหมาะสม ซึ่งเป็นกรอบที่กว้างเกินไป
GDPR ยังคงพยายามกำหนดให้รัฐต้องคุ้มครองสิทธิในการได้รับแจ้งถึงการใช้ข้อมูล (Rights to be informed) เว้นแต่ว่าจะส่งผลเสียต่อวัตถุประสงค์ของข้อยกเว้นเป็นกรณีไป แต่ “พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล” ยังไม่มีกำหนดรายละเอียดในเรื่องนี้ ทำให้อาจตีความได้ว่าหากเข้าข้อยกเว้น สามารถใช้ประโยชน์จากข้อมูลของประชาชนได้เลยโดยไม่ต้องแจ้งให้ทราบทุกกรณี
หรือพูดง่าย ๆ คือ ตราบเท่าที่เข้าข่ายข้อยกเว้น รัฐก็จะสามารถใช้ประโยชน์ในการสอดส่องข้อมูลส่วนบุคคลได้ทันที โดยอาศัยเพียงการตีความของ “คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล” เท่านั้น
การใช้อำนาจเช่นนี้จึงเท่ากับ “อำนาจเต็ม” ในการพิจารณา “ข้อยกเว้น” ไปอยู่ในมือของ “บุคคล” หรือ “คณะบุคคล” ไม่ใช่อยู่ในข้อบัญญัติของกฎหมาย ซึ่งถือเป็นประเด็นที่ “เสี่ยง” ยิ่งกว่า “เสี่ยง” ต่อการใช้อำนาจตามอำเภอใจ เข้าไปละเมิดความเป็นส่วนตัวของประชาชน
เช่น วันดีคืนดีรัฐอาจใช้อำนาจโดยอ้าง “ความมั่นคง” สั่งให้ผู้ให้บริการ Application เปิดเผยข้อมูลส่วนบุคคล หรือ Chat History ของเรา โดยไม่ต้องขออนุญาตกันก่อนแต่อย่างใด
การให้อำนาจไปอยู่ในมือของ “บุคคล” แทนการกำหนดไว้ให้ชัดเจนในกฎหมาย จึงแทบไม่ต่างไปจากการไม่ได้สร้างหลักประกันใด ๆ ให้กับประชาชนเอาไว้เลยนั่นเอง
Referance
