กลายเป็น Talk of the town เมื่อคณะรัฐมนตรีอนุมัติหลักการ “ชุดกฎหมายความมั่นคงดิจิทัล 10+3 ฉบับ” ทำให้ภาคประชาชนหลายกลุ่มตื่นตัวและออกมาเคลื่อนไหวต่อต้านชุดกฎหมายดังกล่าว เพราะเกรงจะกระทบต่อสิทธิเสรีภาพของประชาชน และละเมิดความเป็นส่วนตัว
ทั้งที่ก่อนหน้านี้สำนักงานคณะกรรมการข้อมูลข่าวสารของราชการ (สขร.) เคยเสนอร่างพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล เข้าสู่การพิจารณาของ สนช. ไปแล้ว แต่ในชุดกฎหมายความมั่นคงดิจิทัล ยังมีการเสนอร่างพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลขึ้นมาใหม่อีกครั้ง ซึ่งเป็นร่างที่แตกต่างจากเดิมและมีประเด็นข้อถกเถียงมากมายรวมอยู่ด้วย ไอลอว์จึงตามหาผู้เชี่ยวชาญมาเจาะลึกความรู้และสิ่งที่น่ากังวลเกี่ยวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล (ฉบับความมั่นคงดิจิทัล)
รศ.ดร.คณาธิป ทองรวีวงศ์ คณบดีคณะนิติศาสตร์ มหาวิทยาลัยเซนต์จอห์น นักวิชาการที่ศึกษาวิจัยกฎหมายคุ้มครองความเป็นส่วนตัวมากว่า 12 ปี กล่าวว่า เรื่องความเป็นส่วนตัวเป็นสิ่งสำคัญแต่ปัจจุบันกฎหมายไทยยังคุ้มครองไม่เพียงพอ ยังไม่มีกฎหมายเฉพาะในเรื่องนี้เลย เรายังไม่มีความรู้ที่ชัดเจนว่าสิทธิส่วนบุคคลคืออะไรกันแน่
ร่างกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่พูดถึงกันอยู่นั้น ต้องพิจารณาเป็นสามระดับ คือ การเก็บรวบรวมข้อมูล การใช้หรือประมวลผลข้อมูล และการเผยแพร่ข้อมูล
ในประเด็นเรื่องการเก็บข้อมูล คนมักจะสนใจเมื่อรัฐล่วงเข้ามาเก็บข้อมูล แต่ผู้เล่นที่สำคัญมีภาคเอกชนเข้ามาร่วมด้วย และการเก็บข้อมูลโดยภาคเอกชนนั้นแทบจะเกิดขึ้นอยู่ตลอดเวลา เมื่อเราไปร้านสะดวกซื้อ หรือ ศูนย์การค้าต่างๆ บริษัทห้างร้านทั้งหลายมักจะเรียกร้องข้อมูลจากเราเพื่อแลกกับสิทธิส่วนลดหรือของแถม ลูกค้าจะถูกถามชื่อ ที่อยู่ เลขบัตรประชาชน อาชีพ อายุ เราก็มักให้ไปหมด ซึ่งเขาจะนำไปประมวลผลเป็นข้อมูลที่ระบุความต้องการของผู้บริโภคได้ ประเทศไทยอยู่ในสภาพแบบนี้โดยไม่มีกฎหมายควบคุมมานานกว่า 10 ปีแล้ว
รศ.ดร.คณาธิป ยกตัวอย่างให้เห็นภาพว่า มีกรณีในต่างประเทศ ที่ห้างสรรพสินค้าส่งบัตรส่วนลดสำหรับซื้อเสื้อผ้าเด็กและเตียงนอนเด็กมาที่บ้านของเด็กสาวคนหนึ่ง ซึ่งกำลังเรียนอยู่ชั้นมัธยมปลาย ทำให้ครอบครัวของเด็กสาวนคนนั้นแตกตื่นว่า ห้างกำลังสนับสนุนให้เธอมีลูก แต่ความจริงปรากฏว่า เด็กคนนั้นท้องแต่ไม่บอกกับครอบครัว ซึ่งห้างสรรพสินค้าทราบว่าเธอท้องจากการประมวลผลข้อมูลสินค้าที่เธอจับจ่ายใช้สอยในห้าง เหมือนกับการต่อจิ๊กซอว์ซึ่งให้ผลได้ค่อนข้างแม่นยำ
หมายความว่าข้อมูลเพียงเล็กน้อยที่ถูกเก็บไปจะนำไปสู่ข้อมูลอื่นๆ ที่จะบอกเรื่องราวเกี่ยวกับตัวเรา แม้ว่าเราอาจจะไม่ได้ต้องการเปิดเผยมันเลยเสียด้วยซ้ำ
หลักความยินยอมหายไปจาก ร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล
รศ.ดร.คณาธิป อธิบายว่า โดยหลักการแล้ว การคุ้มครองข้อมูลส่วนบุคคลมีสามขั้นตอน คือ การเก็บรวบรวม การใช้หรือประมวลผล และการเผยแพร่ ซึ่ง ในร่างฉบับ สขร. กำหนดว่าต้องขอความยินยอมจากเจ้าของข้อมูลทั้งสามขั้น แต่ในร่างใหม่หลักการนี้ขาดหายไป การเก็บข้อมูลเพียงแค่ต้องแจ้งให้ทราบ ดังนั้นสิทธิที่ประชาชนจะสิทธิปฎิเสธจึงหายไปด้วย
รศ.ดร.คณาธิป กล่าวว่า ความยินยอมก่อนการเก็บข้อมูลเป็นหลักพื้นฐานของกฎหมายนี้ เป็นหัวใจของทั้งหมด ถ้าขั้นตอนแรกไม่ได้รับความคุ้มครองแล้ว ขั้นตอนอื่นก็ไม่มีประโยชน์ คนร่างกฎหมายอาจกลัวว่าขั้นตอนที่มากขึ้นจะกระทบต่อความรวดร็วในการค้าขาย แต่เราก็สามารถออกกฎกระทรวงกำหนดวิธีให้ความยินยอมให้ยังสะดวกต่อการค้าขายได้อยู่
“ร่างฉบับปัจจุบันมีปัญหา คือ หลักความยินยอมหายไปในขั้นตอนแรก ซึ่งเป็นขั้นตอนที่สำคัญที่สุด แต่กลับให้ไปขอความยินยอมตอนจะใช้และจะเปิดเผย สำหรับผมอันนี้เป็นปัญหาใหญ่ที่สุด อยากให้มีหลักความยินยอมอยู่ในทั้งสามขั้นตอน กฎหมายจะต้องสนับสนุนอำนาจการตัดสินใจของเจ้าของข้อมูล” รศ.ดร.คณาธิป ย้ำ
รศ.ดร.คณาธิป กล่าวต่อว่า การตีความว่าความยินยอมหมายถึงอะไร และมีวิธีการอย่างไร ยังไม่มีมีคำตอบที่ตายตัวและยังต้องถกเถียงกัน ตัวอย่างเช่น กรณีที่เจ้าของข้อมูลเป็นเด็กจึงต้องขอความยินยอมผ่านผู้ปกครองก่อน แล้วถ้าใช้วิธีการขอความยินยอมทางอีเมล์จะน่าเชื่อถือพอหรือไม่ หรือต้องส่งเอกสารให้เซ็นเป็นลายลักษณ์อักษร หรือใช้วิธีการส่งพาสเวิร์ดให้ผู้ปกครอง สิ่งเหล่านี้ยังต้องมาคิดกันอีกมาก
มีข้อยกเว้นให้ดักรับข้อมูลได้ตามกฎหมายอื่น แต่ไม่มีข้อยกเว้นสำหรับสื่อมวลชน
เนื่องจากร่างพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ฉบับ สขร. มีข้อยกเว้นให้การทำงานของสื่อมวลชนไม่ต้องอยู่ภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคล เมื่อข้อยกเว้นนี้หายไปจากร่างฉบับใหม่ จึงน่ากังวลว่ากฎหมายคุ้มครองข้อมูลส่วนบุคคลจะไปขัดขวางการทำงานของสื่อหรือไม่
รศ.ดร.คณาธิป ตั้งข้อสังเกตว่า ข้อยกเว้นสำหรับการทำงานของสื่อมวลชนนั้นหายไปจากร่างฉบับความมั่นคงดิจิทัล ขณะเดียวกันการนิยามความหมายของสื่อมวลชนก็เป็นเรื่องยาก เพราะทุกวันนี้สื่อมีความหลากหลาย สังคมออนไลน์ทำให้ประชาชนสามารถกลายเป็นสื่อได้หมด หากกำหนดนิยามคำว่าสื่อ เฉพาะสื่อมืออาชีพ ก็จะทำให้มีปัญหากับประชาชนที่คอยรายงานเรื่องที่เกิดขึ้นผ่านสังคมออนไลน์ ดังนั้นทางแก้ก็คือ อย่านิยามตามตำแหน่งที่สังกัด แต่ให้นิยามคำว่า "สื่อมวลชน" โดยดูจากพฤติกรรมการรายงานข้อมูลข่าวสารเพื่อประโยชน์สาธารณะ
“ผมมองว่า กฎหมายคุ้มครองข้อมูลส่วนบุคคลควรมีข้อยกเว้นให้สื่อมวลชน แต่มุ่งเน้นในแง่พฤติกรรม ส่วนกลไกอื่นผมเสนอให้มีกฎหมายอีกฉบับแยกออกไปสำหรับสื่อที่ล่วงล้ำเข้ามาละเมิดสิทธิส่วนบุคคล เรื่องนั้นให้ไปอยู่ในกฎหมายสื่อเป็นเรื่องเฉพาะ” รศ.ดร.คณาธิป กล่าวสรุป
ประเด็นเกี่ยวกับข้อยกเว้นอีกประการหนึ่งที่ รศ.ดร.คณาธิป กังวล อยู่ในมาตรา 23(5) ที่กำหนดว่า การปฏิบัติตามที่กฎหมายอื่นกำหนดไว้ให้ได้รับยกเว้นไม่ต้องอยู่ภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคล
“ถ้าอย่างนั้น พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลอาจจะช่วยอะไรไม่ได้เลย เพราะว่าอาจมีกฎหมายอื่นออกมาให้ดักรับข้อมูลได้เต็มไปหมด ก็เก็บข้อมูลกันได้ตามกฎหมายอื่น ผมกังวลว่าแล้วกฎหมายอื่นจะมีมากเกินไปหรือเปล่า” นักกฎหมายจากมหาวิทยาลัยเซนต์จอห์น กล่าว
ต้องกำหนดระยะเวลาในการเก็บข้อมูลให้ชัด มนุษย์ต้องมีสิทธิที่จะถูกลืม
เนื่องจากร่างพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ฉบับความมั่นคงดิจิทัลไม่ได้กำหนดระยะเวลาสูงสุดที่สามารถเก็บหรือถือครองข้อมูล ในประเด็นนี้รศ.ดร.คณาธิป เห็นว่าเป็นอีกหนึ่งเรื่องที่น่ากังวลใจ เพราะโดยหลักการแล้วระยะเวลาในการเก็บข้อมูลต้องกำหนดไว้ ประเด็นนี้จะเกี่ยวข้องกับกับสิทธิที่จะถูกลืม (Right to be forgetten) แม้ตามร่างพ.ร.บ.ฉบับนี้จะให้สิทธิเจ้าของข้อมูลไปขอให้ทำลายข้อมูลได้ แต่บางคนก็ไม่ได้ใส่ใจจะดำเนินการ ทำให้ข้อมูลจะอยู่ตลอดไป
“อาหารมีวันหมดอายุ ข้อมูลที่เก็บไว้ก็มีวันหมดอายุเหมือนกัน ไม่ใช่เก็บข้อมูลแล้วอยู่ตลอดไป โดยกฎหมายต้องบอกเลยว่าข้อมูลมีอายุเท่าไร เหมือนนมที่วางอยู่ในชั้น เมื่อหมดอายุแล้วก็ต้องทำลายไป” รศ.ดร.คณาธิป เปรียบเทียบ
ควรจะมีหน่วยงานมาเพื่อไกล่เกลี่ยข้อพิพาทระหว่างเอกชนกับเอกชน
รศ.ดร.คณาธิป กล่าวอย่างเสียดายว่า สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิค (สพธอ.) ผู้ร่างกฎหมาย ไม่เห็นความสำคัญของกระบวนการไกล่เกลี่ยข้อพิพาท ทั้งที่เอกชนมีข้อพิพาทกันเองอยู่บ่อยครั้ง เช่น ดำเนินการกับข้อมูลโดยไม่ชอบด้วยกฎหมาย ซึ่งตามโมเดลของเกาหลีใต้จะมีหน่วยงานรับเรื่องโดยเฉพาะและจะเรียกผู้เกี่ยวข้องมาเพื่อพูดคุยกัน ไกล่เกลี่ยกัน หากพบว่ามีการเก็บข้อมูลส่วนบุคคลไม่ชอบด้วยกฎหมายจริงก็สั่งปรับ หรือถ้าไม่พอใจก็ยังสามารถฟ้องร้องต่อได้
หากไม่มีกระบวนการเช่นนี้ เมื่อมีเรื่องพิพาทกันก็ต้องไปสู่ศาล กว่าการพิจารณาคดีจะเสร็จสิ้นก็จะนาน เพราะคดีในชั้นศาลมีมาก และมาตราการคุ้มครองสิทธิมส่วนบุคคลจะไม่ทันเวลา
ต้องแยกความมั่นคงไซเบอร์ กับ ความมั่นคงของรัฐ ออกจากกันให้ชัดเจน
สำหรับประเด็นเกี่ยวกับร่างพ.ร.บ.ความมั่นคงไซเบอร์ ที่สั่งคมกำลังให้ความสนใจอยู่นั้น รศ.ดร.คณาธิป เห็นว่าประเทศไทยยังสับสนอยู่เกี่ยวกับเรื่องความมั่นคงไซเบอร์ฯ (Cyber Security) และความเข้าใจผิดเหล่านี้ ส่งผลต่อการคุ้มครองข้อมูลส่วนบุคคลเช่นกัน เพราะความมั่นคงไซเบอร์ แบ่งออกเป็น 3 อย่างคือ หนึ่ง ความปลอดภัยของข้อมูล ไม่มีใครเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต สอง ความมั่นคงปลอดภัยของชาติ (National Security) ความมั่นคงปลอดภัยในทางทหาร สาม ความมั่นคงส่วนบุคคล (Personal Security) ซึ่งก็คือ สิทธิความเป็นส่วนตัวไม่สามารถเข้าถึงข้อมูลส่วนบุคคลได้
สำหรับโมเดลของเกาหลีใต้ ซึ่งผู้ร่างกฎหมายอ้างว่าใช้เป็นแบบอย่างนั้น ใช้คำว่า Cyber Security ในความหมายที่หนึ่งอย่างเดียว หมายถึงเรื่องความมั่นคงของระบบเท่านั้น ซึ่งเกาหลีใต้จะไม่มีกฎหมายอย่าง มาตรา 35 ของ ร่าง พ.ร.บ.ความมั่นคงปลอดภัยไซเบอร์ ที่ให้อำนาจรัฐมาดักรับข้อมูลเพราะประชาชน เพราะนั่นเป็นความหมายอย่างที่สอง เป็นเรื่อง National Security ซึ่งเป็นการลอกแบบ NSA ซึ่งเป็นอำนาของกระทรวงกลาโหม สหรัฐอเมริกา
รศ.ดร.คณาธิป เห็นว่า สำหรับการโจมตีทางไซเบอร์ตามปกตินั้น พ.ร.บ.คอมพิวเตอร์ฯ ที่มีอยู่ก็สามารถใช้รับมือกับปัญหาได้ ซึ่งเจ้าหน้าที่ก็มีอำนาจดักรับข้อมูลของประชาชนอยู่แล้ว หากจะมีชุดกฎหมายออกมาให้มีหน่วยงานทำหน้าที่ศึกษาวิจัยหรือทำนโยบายสำหรับการป้องกันก็ดี แต่ไม่ต้องให้อำนาจเจ้าหน้าที่ในการดักรับข้อมูลของประชาชน
คนร่างกฎหมายอาจมุ่งพัฒนาเศรษฐกิจ จนขาดน้ำหนักเรื่องการคุ้มครองข้อมูลส่วนบุคคล
รศ.ดร.คณาธิป เห็นว่า ข้อบกพร่องที่เกิดขึ้นในร่างกฎหมายคุ้มครองข้อมูลส่วนบุคคล ฉบับความมั่นคงดิจิทัล เกิดจากการที่ สพธอ. ให้น้ำหนักกับเรื่องเศรษฐกิจ ต้องการให้เกิดการไหลเวียนของข้อมูล การคุ้มครองข้อมูลส่วนบุคคลนั้นทำให้การส่งถ่ายข้อมูลลำบาก เลยทำให้ร่างกฎหมายที่ออกมาขาดน้ำหนักเรื่องการคุ้มครองข้อมูลส่วนบุคคล โดยแนวคิดยังคงมีส่วนที่ดีอยู่ แต่ต้องปรับปรุงเรื่องที่ยังขาดให้ดีมากขึ้น
“ส่วนตัวคิดว่าทีมร่างกฎหมายมีความรู้ความเข้าใจดีอยู่แล้ว แต่เนื่องจากเขาเป็นสำนักงานพัฒนา “ธุรกรรม” หน้าที่จีงเป็นการส่งเสริมให้มีธุรกรรมได้เยอะๆ ผมก็เสนอว่าถ้าเขาให้น้ำหนักไปทางเศรษฐกิจก็ไม่เป็นไร เราก็ขอเสนอเรื่องการคุ้มครองความเป็นส่วนตัวเข้าไปด้วย ถ้าเขารับฟังก็เป็นสิ่งที่ดี” รศ.ดร.คณาธิป แสดงความเห็น
กฎหมายคุ้มครองข้อมูลส่วนบุคคลจำเป็นต้องมี แต่ขอให้ดี อย่าเพียงแค่ “ขอให้มี”
ในฐานะที่ทำงานศึกษาวิจัยด้านกฎหมายมากว่า 10 ปี และงานวิจัยเกือบทุกชิ้นมีข้อเสนอให้ประเทศไทยมีกฎหมายคุ้มครองข้อมูลส่วนบุคคล รศ.ดร.คณาธิป กล่าวว่า เห็นด้วยที่ประเทศไทยจำเป็นจะต้องมีกฎหมายนี้และสนับสนุนมาตลอด แต่ถ้ามันจะเกิดขึ้นก็ต้องให้ดี สามารถคุ้มครองความเป็นส่วนตัวได้จริงๆ ไม่ใช่ขอแค่มีก็พอ ถ้าหากร่างฉบับนี้ยังยอมรับฟังความคิดเห็น และแก้ไขปรับปรุง ก็ยังเห็นด้วยว่าควรจะมีออกมา แต่ถ้าจะมีเท่าที่เห็นในร่างตอนนี้ก็ไม่สนับสนุนให้มีกฎหมายนี้เหมือนกัน
“ขึ้นอยู่กับ สพธอ. ว่าจะยอมปรับปรุงหรือไม่ ถ้ายอมให้น้ำหนักมาทางความเป็นส่วนตัวมากหน่อย จนอยู่ในจุดที่พอจะสมดุลได้ ก็ควรมีออกไป ถ้าหากว่ายังมุ่งเน้นแต่เศรษฐกิจก็อย่ามีเลยดีกว่า” รศ.ดร.คณาธิปกล่าว
นอกจากนี้ รศ.ดร.คณาธิป ยังทำนายว่า ต่อให้มีกฎหมายฉบับนี้ออกมาในวันนี้ก็ไม่สามารถใช้บังคับได้ เพราะหลักการของเรื่องความเป็นส่วนตัวขึ้นอยู่กับความยินยอม แต่คนไทยยังไม่ใส่ใจกับเรื่องความเป็นส่วนตัว ไม่มีใครตั้งใจอ่านข้อตกลงยาวๆ ก่อนเริ่มใช้บริการ เมื่อเราต้องการส่วนลดราคาสินค้าเราก็จะให้ความยินยอมอยู่ดี ดังนั้น ควรส่งเสริมให้คนตระหนักรู้ถึงความเป็นส่วนตัว หรือ ภัยคุกคามทางไซเบอร์ก่อน ว่าถ้าคุณสูญเสียความเป็นส่วนตัวไปจะเกิดผลเสียอย่างไร เสี่ยงต่ออาชญากรรมทางไซเบอร์อย่างไร
รศ.ดร.คณาธิป ให้ความเห็นเกี่ยวกับกระบวนการออกกฎหมายว่า ในหลายประเทศมีกฎหมายออกมา แต่ประชาชนยังใช้ไม่เป็น เพราะไม่ได้ออกมาในลักษณะที่สังคมสุกงอมจากการเรียกร้องของประชาชน แต่รัฐบาลเร่งให้ออกมาเพราะเหตุผลทางเศรษฐกิจ กฎหมายควรต้องมาจากประชาชนเรียกร้องความเป็นส่วนตัว มันถึงจะสวยงามที่สุด แต่ถ้ารอไม่ไหว ก็ให้มีออกมา แต่ต้องสอดคล้องตามหลักสากล
“ไม่ว่าสภามาจากอะไรก็ตาม ถ้ามีหลักคุ้มครองสิทธิเสรีภาพของประชาชนอย่างครบถ้วน ก็เป็นกฎหมายที่ใช้คุ้มครองได้ โดยหลักก็อยากให้ออกมาในบรรยากาศปกติ เพราะเป็นเรื่องสิทธิเสรีภาพส่วนบุคคล ในรัฐสภาชุดที่แล้วก่อนจะมีการเปลี่ยนแปลงทางการเมือง ก็มีร่างกฎหมายนี้เข้าไป แต่รัฐบาลก็ไม่ใช่สนใจเพราะจะคุ้มครองความเป็นส่วนตัว แต่สนใจเพราะอยากจะค้าขายกับต่างประเทศ กฎหมายที่จะออกมาในบริบทแบบนี้เหมาะสมหรือไม่ ประชาชนตระหนักดีหรือยัง” รศ.ดร.คณาธิป กล่าวทิ้งท้าย
ไฟล์แนบ