แค่ไหนถึงจะพอดี? มาตรฐานต่ำสุด ‘การคุ้มครองข้อมูลส่วนบุคคล’ ที่ทุกประเทศพึงมี

คำถามสำคัญที่มักเกิดขึ้นตามมาทุกครั้ง เมื่อมีการพูดถึงประเด็นการคุ้มครองข้อมูลส่วนบุคคล (Data Privacy) นั่นคือ แล้วหน้าตาของหลักเกณฑ์ที่จะนำมาใช้คุ้มครองประชาชนในเรื่องนี้ ควรเป็นอย่างไร?

ขอบเขตความเหมาะสมควรอยูที่ไหน?

และแค่ไหนจึงจะพอดี?

ถ้าให้ตอบแบบกำปั้นทุบดิน ก็ต้องบอกว่า เรื่องแบบนี้ ถือเป็นสิทธิของแต่ละประเทศ ที่จะพิจารณาตามบริบทความเหมาะสมของตัวเอง

อย่างไรก็ตาม ที่ผ่านมามีหลายกลุ่มประเทศ หลายองค์กร ที่มีการประกาศหลักพื้นฐานว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลเอาไว้เพื่อเป็น “ไกด์ไลน์” ให้สมาชิกนำไปประกอบการพิจารณามาตรการสำหรับตนเอง โดยกรอบที่ค่อนข้างได้รับการยอมรับจากนานาประเทศรวมถึงประเทศไทย เช่น

กรอบการคุ้มครองข้อมูลส่วนบุคคลของ UN

สหประชาชาติ (UN) ได้ประกาศ Guidelines for the Regulation of Computerized Personal Data Files ซึ่งเป็นแนวทางการควบคุมข้อมูลส่วนบุคคลที่จัดเก็บด้วยคอมพิวเตอร์ โดยมีสาระสำคัญ 10 ข้อ คือ

1. หลักความชอบด้วยกฎหมายและเป็นธรรม: ข้อมูลส่วนบุคคลต้องไม่ถูกเก็บรวบรวมประมวลผลและนำไปใช้ด้วยวิธีการที่ไม่เป็นธรรม ไม่ชอบด้วยกฎหมายหรือขัดหลักการของกฎบัตรสหประชาชาติ
2. หลักความถูกต้อง: ในการเก็บรวบรวมข้อมูลส่วนบุคคล ต้องมีการตรวจสอบว่ากระทำด้วยความถูกต้อง ข้อมูลมีความสมบูรณ์ ทันสมัย และจัดเก็บภายในกรอบเวลาเท่าที่มีการใช้ข้อมูล
3. หลักการระบุวัตถุประสงค์โดยเฉพาะเจาะจง: ต้องระบุวัตถุประสงค์และเงื่อนไขการใช้ประโยชน์ข้อมูลที่ชัดเจน รวมถึงจัดเก็บเท่าที่เกี่ยวข้องและไม่เปิดเผยข้อมูลส่วนบุคคลนอกจากได้รับความยินยอมจากเจ้าของ
4. หลักการเข้าถึงข้อมูล: เจ้าของข้อมูลมีสิทธิจะรู้ว่ามีการประมวลข้อมูลที่เกี่ยวกับตนเองและสามารถขอให้แก้ไขหรือลบ ในกรณีมีการเก็บข้อมูลโดยไม่ชอบด้วยกฎหมาย
5. หลักการไม่เลือกปฏิบัติ: ห้ามเก็บรวบรวมข้อมูลที่อาจทำให้เกิดการเลือกปฏิบัติที่ขัดต่อกฎหมาย เช่น ข้อมูลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ สีผิว พฤติกรรมทางเพศ ความคิดเห็นทางการเมือง
6. การกำหนดข้อยกเว้น: ข้อยกเว้นจากหลักการข้อที่ 1-4 อาจกำหนดได้ในกรณีจำเป็นเพื่อความมั่นคงของชาติ ระเบียบสังคม สาธารณสุข หลักคุณธรรม และสิทธิเสรีภาพของบุคคลอื่น ส่วนข้อยกเว้นจากหลักการข้อ5 อาจเป็นกรณีเพื่อการป้องกันการเลือกปฏิบัติ
7. หลักการรักษาความปลอดภัย: จะต้องมีการรักษาความปลอดภัยข้อมูลที่จัดเก็บ เพื่อป้องกันอันตรายทั้งจากภัยธรรมชาติ การสูญหาย การถูกทำลาย การเข้าถึงโดยปราศจากอำนาจ การใช้ในทางที่ผิด
8. การกำกับดูแล: ทุกประเทศต้องระบุหน่วยงานที่รับผิดชอบในการกำกับดูแลการคุ้มครองข้อมูลส่วนบุคคล
9. การส่งข้อมูลข้ามพรมแดน: การส่งข้อมูลระหว่างประเทศจะทำได้ในกรณีที่แต่ละประเทศมีกลไกคุ้มครองสิทธิความเป็นส่วนตัวในระดับเดียวกัน
10. ขอบเขตการใช้ข้อปฏิบัติ: หลักปฏิบัตินี้ควรใช้อย่างทั่วถึงทั้งการจัดเก็บข้อมูลในภาครัฐและเอกชน

“EU Directive 95/46” ต้นแบบ GDPR

หากจะพูดถึงการคุ้มครองข้อมูลส่วนบุคคล ก็ละเลยไม่ได้ที่จะไม่พูดถึง “EU Directive 95/46” หรือ “กรอบการคุ้มครองข้อมูลส่วนบุคคล” ของสหภาพยุโรป (อียู) ที่ประกาศไว้ตั้งแต่ปี 1995 ซึ่งเป็นบทบัญญัติที่มีผลบังคับระหว่างประเทศฉบับแรกที่ให้ความคุ้มครองข้อมูลส่วนบุคคล รวมถึงเป็น “ต้นแบบ” ของกฎเหล็ก GDPR ที่อียูบังคับใช้อยู่ในปัจจุบัน โดยมีหลักการสำคัญดังนี้

1. การรักษาคุณภาพของข้อมูล
2. มาตรการของการประมวลผลข้อมูลที่ชอบด้วยกฎหมาย
3. ข้อกำหนดในการประมวลผลข้อมูลพิเศษ/ข้อมูลที่อ่อนไหว (sensitive data)
4. สิทธิในการได้รับแจ้งการเก็บข้อมูลต่างๆ
5. สิทธิในการเข้าถึงข้อมูล
6. สิทธิในการคัดค้านการประมวลผล
7. การรักษาความปลอดภัยในการประมวลผลข้อมูล
8. การส่งผ่านข้อมูลส่วนบุคคลไปยังประเทศที่สาม

โดนประเด็นสำคัญของ “EU Directive 95/46” นอกจากจะเป็นการควบคุมการส่งข้อมูลระหว่างประเทศสมาชิกอียูแล้ว ยังกำหนดให้บรรดาประเทศที่ไม่ใช้สมาชิก หากต้องการรับหรือส่งข้อมูลกับประเทศในอียู ก็ต้องมีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสมด้วยเช่นกัน

กรอบการคุ้มครองข้อมูลส่วนบุคคลOECD

ไกด์ไลน์อีกชุดหนึ่งที่ได้รับการยอมรับอย่างแพร่หลาย คือ Guidelines Governing The Protection of Privacy and Transborder Flows of Personal Data หรือ กรอบการคุ้มครองข้อมูลส่วนบุคคล ซึ่งออกโดย องค์การความร่วมมือและการพัฒนาทางเศรษฐกิจ (OECD: The Organization for Economic Co-operation and Development) โดยมีหลักการสำคัญ 8 ข้อ ประกอบด้วย

1. หลักข้อจำกัดในการเก็บรวบรวมข้อมูล: ข้อมูลส่วนบุคคลที่จัดเก็บต้องได้มาด้วยวิธีการที่ชอบด้วยกฎหมาย เป็นธรรม และเหมาะสม รวมทั้งต้องให้เจ้าของข้อมูลรับรู้หรือให้ความยินยอมก่อน
2. หลักคุณภาพของข้อมูล: ข้อมูลส่วนบุคคลที่จัดเก็บ ต้องมีความเกี่ยวข้องกับวัตถุประสงค์ในการใช้ รวมทั้งต้องถูกต้อง สมบูรณ์ ตรงตามความเป็นจริง และได้รับการปรับปรุงให้ทันสมัยอยู่เสมอ
3. หลักการกำหนดวัตถุประสงค์การจัดเก็บข้อมูล: ต้องกำหนดวัตถุประสงค์ก่อนการจัดเก็บข้อมูลว่า เป็นการดำเนินการไปเพื่ออะไร พร้อมทั้งกำหนดระยะเวลาการเก็บรวบรวมหรือรักษาข้อมูลนั้นไว้ให้ชัดเจน
4. หลักการจำกัดการใช้ข้อมูล: ข้อมูลส่วนบุคคล จะต้องไม่มีการเปิดเผย หรือปรากฏในลักษณะอื่นนอกเหนือประสงค์ใด เว้นแต่จะได้รับความยินยอมจากเจ้าของข้อมูล หรือดำเนินการตามเงื่อนไขกฎหมาย
5. หลักการรักษาความปลอดภัยข้อมูล: ต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันความเสี่ยงใด ๆ ที่อาจทำให้ข้อมูลสูญหาย เข้าถึง ทำลาย ใช้ ดัดแปลง แก้ไข หรือนำไปเปิดเผยโดยมิชอบ
6. หลักการเปิดเผยข้อมูล: ต้องกำหนดหลักเกณฑ์ วิธีการ และรูปแบบการเปิดเผยข้อมูลส่วนบุคคลให้ชัดเจน และจะต้องไม่ส่งผลกระทบต่อความเป็นส่วนตัวของเจ้าของข้อมูลเด็ดขาด
7. หลักการมีส่วนร่วมของบุคคล: เจ้าของข้อมูลมีสิทธิต่าง ๆ ประกอบด้วย การได้รับแจ้งว่ามีข้อมูลถูกจัดเก็บอยู่, มีสิทธิ์ตรวจสอบข้อมูลที่ถูกจัดเก็บ, มีสิทธิ์ขอให้แก้ไขข้อมูล และ​มีสิทธิปฏิเสธไม่ให้จัดเก็บข้อมูล
8. หลักความรับผิดชอบ: มีการกำหนดความรับผิดของหน่วยงานหรือผู้จัดเก็บข้อมูล

เปิด 6 กรอบคุ้มครองข้อมูลทุกประเทศต้องมี

ดังที่กล่าวไปแล้วว่า มีหลายกลุ่มประเทศ หลายองค์กร ที่พากันประกาศมาตรฐานด้านการคุ้มครองข้อมูลส่วนบุคคลออกมาเป็น “ไกด์ไลน์” ให้สมาชิกนำไปปฏิบัติ แต่จากตัวอย่าง 3กรอบมาตรฐานที่ยกขึ้นมา จะเห็นได้ว่า มีภาพรวมที่ไม่ต่างกัน

โดย ดร.นคร เสรีรักษ์​ นักวิชาการและผู้เชี่ยวชาญด้านการคุ้มครองข้อมูลส่วนบุคคล เคยให้ความเห็นผ่านบทความเรื่อง “GDPR: มาตรฐานข้อมูลส่วนตัวล่าสุดจากอียู” ในเว็บไซต์ประชาไทว่า แม้กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลของประเทศจะมีความแตกต่างหรือมีมาตรฐานที่ไม่เท่าเทียมกัน แต่ในภาพรวมล้วนกฎหมายทุกฉบับยังตั้งอยู่บนพื้นฐานเดียวกัน 6 ข้อ คือ

1. การจัดเก็บข้อมูล ต้องมีการบอกกล่าวหรือการแจ้งให้เจ้าของข้อมูลทราบ ซึ่งหมายถึงการกำหนดขอบเขตและวัตถุประสงค์ของการประมวลผลข้อมูลที่แน่นอนชัดเจน
2. การคุ้มครองข้อมูล โดยเฉพาะในส่วนที่เป็นข้อมูลส่วนตัวที่มีลักษณะเฉพาะ หรือมีความอ่อนไหวเป็นพิเศษ (Sensitive data) เป็นประเด็นที่ต้องให้ความคุ้มครองอย่างเคร่งครัด
3. ขอบเขตในการคุ้มครอง เช่น การเก็บข้อมูล ขอบเขตการประมวลผลข้อมูล ที่อาจมีได้ในระยะเวลาที่กำหนด รวมทั้งการมีมาตรการรักษาความปลอดภัยอย่างเพียงพอ ที่จะป้องกันการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต โดยเฉพาะอย่างยิ่งข้อมูลที่มีการส่งด้วยวิธีการทางอิเล็กทรอนิกส์
4. สิทธิของเจ้าของข้อมูล ซึ่งได้แก่ สิทธิในการอนุญาตให้ใช้ข้อมูล สิทธิในการเข้าถึงข้อมูลของตนเอง สิทธิในการได้รับการแจ้งการใช้ข้อมูล สิทธิในการแก้ไขข้อมูลเมื่อพบว่าข้อมูลของตนมีความผิดพลาด และสิทธิในการได้รับการเยียวยาเมื่อได้รับความเสียหาย
5. การกำหนดข้อห้าม เพื่อทำให้การคุ้มครองข้อมูลสำเร็จด้วยดี
6. การส่งข้อมูลระหว่างประเทศ ประเด็นนี้เป็นเรื่องที่สำคัญ โดยประเทศส่วนใหญ่จะไม่ยินยอมให้มีการเข้าถึงข้อมูลหรือส่งข้อมูลออกไปยังประเทศที่ไม่มีการคุ้มครองข้อมูลในระดับมาตรฐานที่น่าพอใจ เช่น กรณีการอนุญาตให้มีเสรีในการส่งข้อมูลภายในประเทศสมาชิกของอียู แต่ขณะเดียวกันได้มีการห้ามการส่งข้อมูลของประเทศสมาชิกไปยังประเทศที่ไม่ได้เป็นสมาชิก และประเทศที่ไม่มีมาตรการที่เพียงพอในการคุ้มครองข้อมูล