จับตา พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล กฎหมายที่ข้อยกเว้นสำคัญกว่าหลักการ

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ถูกเลื่อนการบังคับใช้มา 3 ปี มีการตั้งกรรมการจากสภาความมั่นคงฯ เป็นกรรมการผู้ทรงคุณวุฒิด้านการรักษาผลประโยชน์ของชาติ เนื้อหามีข้อยกเว้นไม่ให้บังคับใช้กฎหมายหลายข้อ หรือหลักการต้องหลีกทางให้ข้อยกเว้น?

  • หลักการสำคัญของการคุ้มครองข้อมูลส่วนบุคคลคือหลักความยินยอม แต่กฎหมายมีข้อยกเว้นหลายประการให้สามารถเก็บข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลได้
  • รัฐบาลเลื่อนบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 มา 3 ปี ซึ่งถือว่าผิดปกติ ขณะที่ภาคเอกชนเปิดอบรมการใช้กฎหมายฉบับนี้มากขึ้นเพื่อหาทางเลี่ยงข้อกฎหมาย
  • คณะกรรมการส่วนใหญ่เป็นข้าราชการและอดีตข้าราชการทำให้ไม่มั่นใจว่าจะยึดหลักการคุ้มครองเสรีภาพของพลเมืองเป็นสำคัญ
  • กฎหมายให้ข้อยกเว้นไม่ต้องใช้บังคับในหลายกรณี ซึ่งอาจส่งผลกระทบต่อการคุ้มครองข้อมูลส่วนบุคคล
  • กฎหมายคุ้มครองข้อมูลส่วนบุคคลต้องวางบนฐานคิดด้านสิทธิมนุษยชน ไม่ใช่ด้านเทคโนโลยี ซึ่ง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 วางอยู่บนหลักการอย่างหลังมากกว่ามุ่งไปที่การคุ้มครองสิทธิ

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ถูกเลื่อนการบังคับใช้มา 3 ปีและจะมีผลบังคับใช้จริงในวันที่ 1 มิถุนายน 2565 ถ้าไม่ถูกเลื่อนออกไปอีก การเลื่อนครั้งล่าสุดรัฐบาลอ้างเรื่องผลกระทบจากโควิด-19 แล้วก็มีการตั้งอนุสิษฐ คุณากร อดีตเลขาธิการสภาความมั่นคงแห่งชาติ (สมช.) เป็นกรรมการผู้ทรงคุณวุฒิด้านการรักษาผลประโยชน์ของชาติ ซึ่งถูกตั้งข้อสังเกตจากหลายฝ่ายว่าหมายถึงอะไร

หลักการสำคัญของกฎหมายคุ้มครองข้อมูลส่วนบุคคลคือความยินยอมของเจ้าของข้อมูล ลำพังวัดจากหลักการนี้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ถือว่าตรงตามหลักการ เมื่อดูลงไปในรายละเอียดและการบังคับใช้ในอนาคตอาจจะเป็นหนังคนละม้วน เพราะกฎหมายเต็มไปด้วยช่องทางให้เกิดการยกเว้นการบังคับใช้กฎหมาย

นคร เสรีรักษ์

แนวคิดพื้นฐานตามตัวหนังสืออาจดูเหมือนวางอยู่บนหลักการสิทธิมนุษยชน แต่ นคร เสรีรักษ์ อาจารย์ประจำวิทยาลัยการปกครองท้องถิ่น มหาวิทยาลัยขอนแก่น และผู้อำนวยการ Privacy Thailand ชวนตั้งข้อสังเกตและจะชี้ให้เห็นว่าทำไมจึงน่ากังวล

ข้อมูลส่วนบุคคลหัวใจคือความยินยอม

ข้อมูลส่วนบุคคลหลักพื้นฐานคือเรื่อง Privacy หรือความเป็นส่วนตัว ซึ่งมีหลายมิติ เช่น ความเป็นส่วนตัวในที่อยู่อาศัย ความเป็นส่วนตัวในการติดต่อสื่อสาร หรือความเป็นส่วนตัวในเนื้อตัวชีวิตร่างกาย ข้อมูลส่วนบุคคลเป็นอีกมิติหนึ่งของความเป็นส่วนตัว เพราะฉะนั้นมันจะมาควบคู่กันเสมอกับหลักความยินยอมซึ่งถือเป็นหลักการพื้นฐาน นครอธิบายในรายละเอียดว่า

“ถามว่าข้อมูลส่วนบุคคลคืออะไร ก็คือข้อมูลที่สามารถระบุตัวตนของบุคคลได้ อย่างคำว่า นคร อาจจะไม่ใช่ข้อมูลส่วนบุคคล แต่พอเป็นนครที่บวกกับนามสกุลเสรีรักษ์เข้าไป แล้วก็มีวันเดือนปีเกิดด้วย นี่เป็นข้อมูลส่วนบุคคลแล้ว เพราะมันชี้ชัดถึงความว่าผมไม่ใช่คุณ”

กฎหมายคุ้มครองข้อมูลส่วนบุคคลของไทยตอบโจทย์แค่ไหน

“ถ้าหลักคือเรื่องหลักความยินยอม การเก็บการรักษา ดูแล ควบคุม กำกับ ก็ต้องอยู่ภายใต้หลักการนี้ กฎหมายไทยก็ถือว่าเป็นไปตามหลักการและมาตรฐานเพราะกฎหมายทั่วโลกก็จะอยู่บนพื้นฐานนี้ การก้าวล่วงเข้ามาในสิทธิความเป็นส่วนตัวในเชิงมิติข้อมูลต้องขอความยินยอมและต้องมีองค์กรกำกับดูแลไม่ให้มีการล่วงละเมิดข้อมูลส่วนบุคคล”

เนื้อหากฎหมายคุ้มครองข้อมูลส่วนบุคคลถือว่าเป็นไปตามหลักการ แต่ปัญหาอาจอยู่ที่รายละเอียด เช่น แม้กฎหมายจะระบุว่าการเก็บข้อมูลส่วนบุคคลต้องได้รับความยินยอม แต่กฎหมายก็กำหนดข้อยกเว้นไว้ นครอธิบายเพิ่มเติมว่าหากจะยึดหลักความยินยอม กฎหมายก็ต้องเดินตามหลักการนี้เป็นที่ตั้ง ในทางกลับกัน ถ้าแนวคิดของภาพรวมของกฎหมายคือจะเก็บข้อมูลส่วนบุคคลได้อย่างไรโดยไม่ผิดกฎหมาย ดังนั้น ให้เก็บได้ตามเงื่อนไขต่างๆ แล้วอธิบายหลักความยินยอมในข้อสุดท้าย แสดงว่าโทนหรือแนวคิดของกฎหมายเริ่มไม่ใช่หลักการสากล

“การบังคับใช้กฎหมายต้องยึดหลักความยินยอมเป็นหลัก แต่ถ้าเกิดโทนของกฎหมายบอกว่าความยินยอมเป็นความจำเป็นข้อสุดท้าย คุณอยากจะเก็บข้อมูลอะไรคุณเก็บได้โดยใช้เหตุผลนี้ๆ แล้วข้อสุดท้ายถ้าไม่มีเหตุผลอื่นให้คุณอ้างอีกแล้วให้ขอความยินยอม เห็นไหม มันกลับหัว 360 องศาเลย เพราะฉะนั้นจะเป็นปัญหาว่าหลักการเป็นอย่างนั้น แต่พอบังคับใช้มันเป็นอีกเรื่อง”

เลื่อนใช้ 3 ปี ผิดปกติ

นครเล่าความเป็นมาของแนวคิดกฎหมายคุ้มครองข้อมูลส่วนบุคคลว่าริเริ่มมาตั้งแต่ปี 2539 ที่มีมติคณะรัฐมนตรีว่าประเทศไทยควรมีกฎหมายคุ้มครองข้อมูลส่วนบุคคล กระทั่งมีการออก พ.ร.บ.ข้อมูลข่าวสารของราชการ พ.ศ.2540 แต่ในส่วนข้อมูลของภาคเอกชนยังไม่มีการพูดถึง

และเมื่อมีกฎหมายคุ้มครองข้อมูลส่วนบุคคลออกมาในปี 2562 ก็กลับถูกเลื่อนการบังคับใช้ออกไปถึง 3 ปี นครตั้งข้อสังเกตว่าเรื่องนี้ค่อนข้างแปลกประหลาด เพราะขณะที่กฎหมายถูกเลื่อนการบังคับใช้หลายครั้ง ซึ่งจะสิ้นสุดการเลื่อนในวันที่ 1 มิถุนายนนี้ แต่การแต่งตั้งคณะกรรมการและสำนักงานกลับดำเนินการทันที ทั้งที่ควรจะเริ่มบังคับใช้ให้เร็วที่สุด

“กฎหมายฉบับอื่นให้ใช้บังคับภายใน 60 วันหรือ 90 วันแล้วประกาศในราชกิจจานุเบกษา แต่กฎหมายฉบับนี้ตั้งไว้เป็น 2 ขยักคือเรื่องการบังคับใช้ให้ใช้เวลา 1 ปี เหตุผลคือหน่วยงานยังไม่พร้อม ต้องใช้เทคโนโลยีขั้นสูงในการดำเนินการ พอมาเหตุผลปีหลังสุดนี่อ้างโควิด บอกว่าสถานการ์ณแบบนี้ทำให้ต้นทุนการดำเนินการตามกฎหมายสูง คืออ้างแบบนี้ ผมจึงบอกว่ามันเป็นความทะแม่งๆ ผู้ประกอบการยังไม่พร้อม แล้วทำไมห่วงผู้ประกอบการ ทำไมไม่ห่วงพวกเราที่ข้อมูลถูกใช้ประโยชน์ ถูกล่วงละเมิดอยู่ทุกวัน

“2 ปีที่ผ่านมามีกูรู มีผู้เชี่ยวชาญข้อมูลส่วนบุคคลเยอะแยะมากในประเทศไทย คือพอบริษัท ก บอกว่าจะอบรม เรื่อง Privacy เรื่อง Personal Data โดยนาย ก ผู้เเชียวชาญกฎหมายข้อมูลส่วนบุคคล โทนใหญ่ๆ จะออกมาเหมือนกับพยายามบอกว่าจะเก็บข้อมูลส่วนบุคคลยังไงไม่ให้ถูกปรับ ถูกจับ หรือถูกดำเนินคดี ถ้าตีความแบบผมคือคุณกำลังสอนคนให้ละเมิด Privacy ยังไงโดยไม่ผิดกฎหมาย ทั้งที่เราควรจะอบรมว่าทำยังไงผู้ประกอบการจะไม่ไปละเมิด Privacy ของชาวบ้าน”

กฎหมายลักลั่น

ปัญหาอีกประการหนึ่งคือข้อมูลส่วนบุคคลบางลักษณะที่กฎหมายฉบับหนึ่งคุ้มครอง แต่อีกฉบับไม่คุ้มครอง นครยกตัวอย่างกรณีข้อมูลผู้เสียชีวิตว่าใน พ.ร.บ.ข้อมูลข่าวสารทางราชการ จะให้การคุ้มครองข้อมูลส่วนบุคคลของผู้เสียชีวิต แต่ใน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลไม่มีการคุ้มครองส่วนนี้

“ถ้ามันมีปัญหากรณีเกิดขึ้นหน่วยงานไหนของรัฐจะเป็นคนพิจารณา ข้อมูลของคนตายที่โรงพยาบาลเอกชน แน่นอน มันต้อง Approach ไปที่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลภายใต้กฎหมายใหม่ แล้วถ้าเป็นคนตายที่โรงพยาบาลศิริราช กฎหมายบอกว่าถ้ามีกฎหมายอื่นที่ใช้บังคับอยู่แล้วให้ใช้กฎหมายฉบับนั้น เว้นเสียแต่ว่าบทบังคับ บทลงโทษ บทเรื่องการร้องเรียน บทเรื่องการเยียวยาให้ใช้กฎหมายที่มีการคุ้มครองในมาตรฐานที่สูงกว่า  แต่ถามว่าในขั้นตอนการปฏิบัติจริงข้อมูลจะไปที่คณะกรรมการข้อมูลราชการที่สำนักนายกหรือจะไปที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลที่กระทรวงดิจิทัลฯ”

สมมติว่าข้อมูลผู้เสียชีวิตถูกละเมิด ถูกนำไปซื้อขายต่อ ผู้เสียหายใช้กลไกเยียวยาตาม พ.ร.บ.ข้อมูลข่าวสารทางราชการ พ.ศ.2540 ซึ่งไม่มีโทษทางอาญา ขณะที่ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 มีโทษทางอาญา แต่ก็ไม่คุ้มครองข้อมูลส่วนบุคคลของผู้เสียชีวิต

หรือกรณีข้อมูลอ่อนไหว (Sensitive Data) ซึ่งเป็นข้อมูลที่อาจนำมาซึ่งการเลือกปฏิบัติ เช่น ข้อมูลเกี่ยวกับศาสนา เชื้อชาติ ความคิดเห็นทางการเมือง หรือรสนิยมทางเพศ ซึ่งนครกล่าวว่าโดยหลักการแล้วห้ามเก็บเด็ดขาด ทว่า ในมาตรา 26 กลับเปิดข้อยกเว้นไว้จำนวนมาก

คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลส่วนใหญ่เป็นข้าราชการ

ในส่วนของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล 16 คน 6 คนมาจากหน่วยงานราชการ ประกอบด้วยปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ปลัดสำนักนายกรัฐมนตรี เลขาธิการคณะกรรมการกฤษฎีกา เลขาธิการคณะกรรมการคุ้มครองผู้บริโภค อธิบดีกรมคุ้มครองสิทธิและเสรีภาพ และอัยการสูงสุด

ประธานและกรรมการผู้ทรงคุณวุฒิใช้วิธีสรรหาและแต่งตั้งจากผู้มีความรู้ความเชี่ยวชาญในด้านต่างๆ ได้แก่ ด้านการคุ้มครองข้อมูลส่วนบุคคล ด้านการคุ้มครองผู้บริโภค ด้านเทคโนโลยีสารสนเทศและการสื่อสาร ด้านสังคมศาสตร์ ด้านกฎหมาย ด้านสุขภาพ ด้านการเงิน หรือด้านอื่น

คำว่า ‘ด้านอื่น’ เป็นอีกจุดที่นครเห็นว่าคือกฎหมายเปิดช่องรัฐสามารถแต่งตั้งกรรมการในด้านที่ตนต้องการได้ ซึ่งที่ผ่านมาพบว่ามีการแต่งตั้งอนุสิษฐ คุณากร อดีตเลขาธิการสภาความมั่นคงแห่งชาติ (สมช.) เข้าไปเป็นกรรมการผู้ทรงคุณวุฒิด้านการรักษาผลประโยชน์ของชาติ ซึ่งเขาเองก็ตอบไม่ได้ว่าหมายถึงอะไร

จากรายชื่อทั้งหมด นครแสดงทัศนะว่าทำให้คณะกรรมการคุ้มครองข้อมูลข่าวสารมีความเป็นข้าราชการและไม่มั่นใจว่าจะยึดหลักการคุ้มครองเสรีภาพของพลเมืองเป็นสำคัญ

เปิดช่องให้กฎหมายไม่ต้องบังคับใช้

นอกจากนี้ มาตรา 4 ยังกำหนดไม่ให้ใช้กฎหมายนี้กับ

1. การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบุคคลที่ทำการเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อประโยชน์ส่วนตนหรือเพื่อกิจกรรมในครอบครัวของบุคคลนั้นเท่านั้น

2. การดำเนินการของหน่วยงานของรัฐที่มีหน้าที่ในการรักษาความมั่นคงของรัฐ ซึ่งรวมถึงความมั่นคงทางการคลังของรัฐ หรือการรักษาความปลอดภัยของประชาชน รวมทั้งหน้าที่เกี่ยวกับการป้องกันและปราบปรามการฟอกเงิน นิติวิทยาศาสตร์ หรือการรักษาความมั่นคงปลอดภัยไซเบอร์

3. บุคคลหรือนิติบุคคลซึ่งใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่ทำการเก็บรวบรวมไว้เฉพาะเพื่อกิจการสื่อมวลชน งานศิลปกรรม หรืองานวรรณกรรมอันเป็นไปตามจริยธรรมแห่งการประกอบวิชาชีพหรือเป็นประโยชน์สาธารณะเท่านั้น

4. สภาผู้แทนราษฎร วุฒิสภา และรัฐสภา รวมถึงคณะกรรมาธิการที่แต่งตั้งโดยสภาดังกล่าว ซึ่งเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลในการพิจารณาตามหน้าที่และอำนาจของสภาผู้แทนราษฎร วุฒิสภา รัฐสภา หรือคณะกรรมาธิการ แล้วแต่กรณี

5. การพิจารณาพิพากษาคดีของศาลและการดำเนินงานของเจ้าหน้าที่ในกระบวนการพิจารณาคดี การบังคับคดี และการวางทรัพย์ รวมทั้งการดำเนินงานตามกระบวนการยุติธรรมทางอาญา

6. การดำเนินการกับข้อมูลของบริษัทข้อมูลเครดิตและสมาชิกตามกฎหมายว่าด้วยการประกอบธุรกิจข้อมูลเครดิต

ในวรรคต่อมาของมาตราเดียวกันยังเปิดช่องไว้อีกว่า ‘การยกเว้นไม่ให้นำบทบัญญัติแห่งพระราชบัญญัตินี้ทั้งหมดหรือแต่บางส่วนมาใช้บังคับแก่ผู้ควบคุมข้อมูลส่วนบุคคลในลักษณะใด กิจการใด หรือหน่วยงานใดทำนองเดียวกับผู้ควบคุมข้อมูลส่วนบุคคลตามวรรคหนึ่ง หรือเพื่อประโยชน์สาธารณะอื่นใด ให้ตราเป็นพระราชกฤษฎีกา’

“กฎหมายนี้ไม่ให้ใช้บังคับกับการดำเนินการข้อมูลของบริษัทข้อมูลเครดิตและสมาชิกตามกฎหมายว่าด้วยการประกอบธุรกิจข้อมูลเครดิต พอไปดูกฎหมายว่าด้วยการการประกอบข้อมูลธุรกิจ พบว่าสมาชิกมีธนาคารด้วย กฎหมายฉบับนี้ไม่บังคับกับธนาคารซึ่งตลกมาก

“เวลาผมไปบรรยายแล้วเจอเพื่อนอาจารย์นักกฎหมาย ผมก็จะเอาข้อนี้ไปถามว่ามาตรานี้อ่านแล้วเข้าใจว่าธนาคารได้รับการยกเว้นไหม ห้าสิบห้าสิบ นักกฎหมายครึ่งหนึ่งจะบอกว่ายกเว้น อีกครึ่งหนึ่งบอกไม่ยกเว้น แต่ปรากฏว่าธนาคารทุกวันนี้ถือปฏิบัติตามกฎหมายฉบับนี้ มีประกาศของธนาคารแห่งประเทศไทยกำหนดแนวทางการดำเนินการที่เกี่ยวข้องกับข้อมูลส่วนบุคคล มีประกาศธรรมาภิบาลในการประกอบการในการดูแลข้อมูลของลูกค้าซึ่งเป็นมาตรฐานที่ดีมาก แต่เมื่อไหร่ถ้ามีเคสที่มีคนฟ้องว่าธนาคารผิดกฎหมาย พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ผมว่าฝ่ายกฎหมายของธนาคารจะสู้ในมาตรา 4 วงเล็บ 6 ว่าเขาไม่อยู่ภายใต้กฎหมายนี้”

กฎหมายคุ้มครองข้อมูลส่วนบุคคลต้องยืนบนแนวคิดสิทธิมนุษยชน

ด้วยเนื้อหากฎหมายดังที่กล่าวมา ด้วยสภาพการเมืองที่พบการละเมิดสิทธิเสรีภาพของประชาชนจนชินตา น่ากังวลว่า พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 จะเป็นเครื่องมือของประชาชนในการปกป้องสิทธิหรือจะเป็นเครื่องมือของรัฐเพื่อใช้ละเมิดสิทธิ

คำถามมีอยู่ว่าวิธีคิดของกฎหมายฉบับนี้อยู่บนฐานของสิทธิมนุษยชนหรือเป็นเพียงเรื่องของเทคโนโลยี นครตอบว่า

“การที่เอาไปอยู่กับกระทรวงดิจิทัลก็เห็นชัดแล้วว่าเขามองเรื่องนี้เป็นเรื่องของเทคโนโลยี เป็น Data Technology ไม่ได้มองเป็นกฎหมายคุ้มครองสิทธิประชาชน ผมเคยเสนอไว้ตั้งแต่ในงานวิจัยของผมว่ามันต้องเป็นรูปแบบขององค์กรอิสระ ซึ่งอย่างของเยอรมันชัดเจนว่าขึ้นกับของรัฐสภาให้ไปเชื่อมโยงกับกลไกของการกำกับตรวจสอบโดยองค์กรที่ประชาชนเลือกมา

“ผมก็เสนอไว้หลายโมเดล เช่น ถ้าจะต้องอยู่เป็นองค์กรภายในภาครัฐก็ต้องไปอยู่กับสำนักงานคณะกรรมการสิทธิมนุษยชน พอเอาไปสังกัดกระทรวงดิจิทัลฯ มันก็จบ ถ้าองค์กรมันไม่อิสระที่จะดูแลประชาชนมันก็จะเอียง เอียงเข้าไปหาฝ่ายรัฐ”

 

 

ร่วมบริจาคเงิน สนับสนุน ประชาไท โอนเงิน กรุงไทย 091-0-10432-8 "มูลนิธิสื่อเพื่อการศึกษาของชุมชน FCEM" หรือ โอนผ่าน PayPal / บัตรเครดิต (รายงานยอดบริจาคสนับสนุน)

ติดตามประชาไทอัพเดท ได้ที่:
Facebook : https://www.facebook.com/prachatai
Twitter : https://twitter.com/prachatai
YouTube : https://www.youtube.com/prachatai
Prachatai Store Shop : https://prachataistore.net
ข่าวรอบวัน
สนับสนุนประชาไท 1,000 บาท รับร่มตาใส + เสื้อโปโล

ประชาไท