นคร เสรีรักษ์
วิทยาลัยการปกครองท้องถิ่น มหาวิทยาลัยขอนแก่น
ผู้ก่อตั้ง PrivacyThailand
ปัจจุบันคนไทยนิยมใช้โซเซียลมีเดียกันจนติดอันดับต้นๆของโลก เรามีทั้งการโพสต์และแชร์เรื่องราวส่วนตัว รวมถึงการเปิดเผยข้อมูลส่วนบุคคลบนโลกออนไลน์มากมายในทุกๆ วัน แต่สิ่งที่สวนทางกันคือ ความสนใจหรือความตระหนักรู้เรื่องความเป็นส่วนตัวและการคุ้มครองข้อมูลส่วนบุคคลในประเทศไทยยังมีอยู่ค่อนข้างน้อย และที่น่าห่วงกว่านั้นก็คือ การไม่ตระหนักถึงอันตรายหรือความเสียหายที่จะเกิดจากการนำข้อมูลของเราไปใช้ประโยชน์ในทางไม่ชอบ หลายคนมองว่าความคิดเรื่องความเป็นส่วนตัวเป็นเรื่องใหม่ ในขณะที่คนไม่น้อยกลับมองว่าไม่มีความเป็นส่วนตัวอีกแล้วบนโลกดิจิทัลในวันนี้
แต่ถ้าหากเราลองมองดูในต่างประเทศ จะพบว่า เรื่องการคุ้มครองข้อมูลส่วนบุคคลในระดับนานาชาติไม่ใช่เรื่องใหม่ เพราะมีพัฒนาการมากมายทั้งในกฎหมายต่างประเทศและในระดับกฎหมายหรือข้อตกลงระหว่างประเทศ
กฎหมายคุ้มครองข้อมูลในนานาประเทศอาจแตกต่างหรือมีมาตรฐานที่ไม่เท่าเทียมกัน แต่ในภาพรวมบทบัญญัติกฎหมายทั้งหลายนี้ตั้งอยู่บนพื้นฐานเดียวกัน คือ
1. ในการจัดเก็บข้อมูล ต้องมีการบอกกล่าวหรือการแจ้งให้เจ้าของข้อมูลทราบ ซึ่งหมายถึงการกำหนดขอบเขตและวัตถุประสงค์ของการประมวลผลข้อมูลที่แน่นอนชัดเจน
2. การคุ้มครองข้อมูลที่เป็นข้อมูลส่วนตัวที่มีลักษณะเฉพาะหรือมีความอ่อนไหวเป็นพิเศษ (Sensitive data) เป็นประเด็นที่ต้องให้ความคุ้มครองอย่างเคร่งครัด
3. การส่งข้อมูลระหว่างประเทศ (Transborder data flows) เป็นเรื่องที่ต้องให้ความสำคัญ โดยส่วนมากจะไม่ยินยอมให้มีการเข้าถึงข้อมูลหรือส่งข้อมูลออกไปยังประเทศที่ไม่มีการคุ้มครองข้อมูลในระดับมาตรฐานที่น่าพอใจ เช่นในกรณีการอนุญาตให้มีเสรีในการส่งข้อมูลภายในประเทศสมาชิกของสหภาพยุโรป และในขณะเดียวกันได้มีการห้ามการส่งข้อมูลไปยังประเทศที่ไม่ได้เป็นสมาชิก และประเทศซึ่งไม่มีมาตรการที่เพียงพอในการคุ้มครองข้อมูล
4. ส่วนมากบทบัญญัติคุ้มครองข้อมูลจะเริ่มต้นด้วยขอบเขตในการคุ้มครอง เช่น การเก็บข้อมูล ขอบเขตการประมวลผลข้อมูล ที่อาจมีได้ในระยะเวลาที่จำกัด รวมทั้งการมีมาตรการรักษาความปลอดภัยอย่างเพียงพอ ที่จะป้องกันการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต โดยเฉพาะอย่างยิ่งข้อมูลที่มีการส่งด้วยวิธีการทางอิเล็กทรอนิกส์
5. สิทธิของเจ้าของข้อมูล ได้แก่ สิทธิในการอนุญาตให้ใช้ข้อมูล สิทธิในการเข้าถึงข้อมูลของตนเอง สิทธิในการได้รับการแจ้งการใช้ข้อมูล สิทธิในการแก้ไขข้อมูลเมื่อพบว่าข้อมูลของตนมีความผิดพลาด และสิทธิในการได้รับการเยียวยาเมื่อได้รับความเสียหาย
6. การห้ามการกระทำบางอย่างในกิจกรรมบางประเภท เพื่อทำให้การคุ้มครองข้อมูลสำเร็จด้วยดี
ทั้งนี้ ตัวอย่างของกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่สำคัญก็อย่างเช่น การคุ้มครองข้อมูลส่วนบุคคลตามปฏิญญาสากลว่าด้วยสิทธิมนุษยชน, แนวทางขององค์การเพื่อความร่วมมือทางเศรษฐกิจและการพัฒนา (OECD), ข้อตกลงของรัฐสภาแห่งยุโรป, ข้อบังคับสหภาพยุโรป, แนวทางของสหประชาชาติ, แนวทางตามกรอบความร่วมมือของ APEC, แนวทางของอาเซียน และ TPP
ในยุโรปมีกฎหมายคุ้มครองความเป็นส่วนตัวตั้งแต่ปี 1995 ซึ่งถือว่า EU Directive 95/46 เป็นบทบัญญัติที่มีผลบังคับระหว่างประเทศฉบับแรกๆ ที่ให้ความคุ้มครองข้อมูลส่วนบุคคล สำหรับพลเมืองในประเทศสมาชิกสหภาพยุโรป
ข้อบังคับนี้ให้การคุ้มครองข้อมูลส่วนบุคคลและเสรีภาพในการเคลื่อนไหวของข้อมูล ทั้งยังให้การรับรองว่าข้อมูลจะได้รับการคุ้มครองอย่างเท่าเทียมกันตลอดทั้งตลาดร่วมยุโรป โดยมีหลักการที่เป็นสาระสำคัญดังนี้
1. การรักษาคุณภาพของข้อมูล
2. มาตรการของการประมวลผลข้อมูลที่ชอบด้วยกฎหมาย
3. ข้อกำหนดในการประมวลผลข้อมูลพิเศษ/ข้อมูลที่อ่อนไหว (sensitive data)
4. สิทธิในการได้รับแจ้งการเก็บข้อมูลต่างๆ
5. สิทธิในการเข้าถึงข้อมูล
6. สิทธิในการคัดค้านการประมวลผล
7. การรักษาความปลอดภัยในการประมวลผลข้อมูล
8. การส่งข้อมูลส่วนบุคคลไปยังประเทศที่สาม
นอกจากการควบคุมการส่งข้อมูลภายในประเทศสมาชิกแล้ว สำหรับประเทศที่ไม่ได้เป็นสมาชิกสหภาพยุโรป หากจะทำการติดต่อรับ-ส่งข้อมูลกับประเทศสมาชิก ก็ต้องมีมาตรการการคุ้มครองข้อมูลที่เหมาะสมเป็นที่พอใจแก่ทางอียูด้วยเช่นกัน ซึ่งมาตรการที่เหมาะสมที่อียูตั้งไว้ แม้กระทั่งประเทศสหรัฐอเมริกา ที่มีการค้าและการลงทุนกับทางยุโรปมากที่สุด และมีการเคลื่อนไหวแลกเปลี่ยนข้อมูลมากที่สุด ก็ยังต้องพยายามหาวิธีการประนีประนอมเพื่อเป็นทางออกและแก้ไขปัญหาความขัดแย้งของทั้งสองฝ่าย
อย่างไรก็ดี EU Directive 95/46 ก็ใช้บังคับมานานกว่า 20 ปี ในขณะที่โลกมีการเปลี่ยนแปลงอย่างมากในปัจจุบัน โดยเฉพาะบริบทการสื่อสารผ่านทางอิเล็กทรอนิกส์ มีการเติบโตพัฒนาอย่างรวดเร็วมาก จึงได้มีการปรับปรุงแก้ไข Directive ดังกล่าว ซึ่งในที่สุดรัฐสภาแห่งยุโรปก็ได้เห็นชอบ General Data Protection Regulation (GDPR) เมื่อ 14 เมษายน 2559 และจะมีผลบังคับใช้ในวันที่ 25 พฤษภาคม 2561 โดยมีบทลงโทษที่ค่อนข้างรุนแรง เพราะผู้ที่ไม่ปฎิบัติตามหลักเกณฑ์ GDPR จะถูกปรับสูงถึง 20 ล้านยูโร