กฎหมายคู่แฝดที่ผ่าน สนช. ในวันที่ 28 กุมภาพันธ์ 2562 ที่ไม่ค่อยมีใครพูดถึงกัน เพราะถูกกลบด้วยกระแสความกังวลจากประเด็นการสอดแนมตาม พ.ร.บ. ความมั่นคงไซเบอร์ (คลิกอ่าน: ตอบทุกข้อสงสัย พ.ร.บ. มั่นคงไซเบอร์ นิยามความมั่นคงคืออะไร คุกคามเสรีภาพจริงหรือไม่ แล้วทำไมคนมากมายถึงต้องกังวล) ก็คือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล

 

ในระยะต่อไปความกังวลต่อ ‘การสอดแนม’ ตาม พ.ร.บ. ความมั่นคงไซเบอร์ น่าจะลดลง เพราะการดำเนินการส่วนมากเป็นการ ‘ช่วย’ ตรวจสอบ สอดส่อง หามัลแวร์ หรือการโจมตีระบบอยู่เบื้องหลัง เราอาจไม่รู้ว่ามีการใช้อำนาจตาม พ.ร.บ. มั่นคงไซเบอร์ จนกว่าจะถูกคำสั่งศาลให้ทำอะไรบางอย่าง แต่ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล จะส่งผลกระทบอย่างเห็นได้ชัดทั่วไปโดยเฉพาะกับผู้ประกอบธุรกิจ

 

Q: หลักสำคัญของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล คืออะไร

กฎหมายนี้เกี่ยวข้องกับ ‘ข้อมูลส่วนบุคคล’ ซึ่งหมายความว่า ‘ข้อมูลใดก็ตามที่ระบุตัวบุคคลได้ไม่ว่าทางตรงหรือทางอ้อม’ เช่น ภาพถ่าย เลขบัตรประชาชน วันเดือนปีเกิด ลายนิ้วมือ ม่านตา ฯลฯ โดยมีหลักการแบ่งเป็น 2 กลุ่ม คือ

 

 

1. กำหนดหน้าที่แก่ผู้ที่ เก็บ ใช้ เปิดเผยข้อมูลส่วนบุคคลของผู้อื่น ที่จะต้องขอความยินยอมก่อน ซึ่งกฎหมายเรียกว่า ผู้ควบคุมข้อมูล นอกจากนี้ยังกำหนดหน้าที่อื่นๆ ของผู้ควบคุมข้อมูล เช่น แจ้งให้เจ้าของข้อมูลทราบว่าจะเก็บไปใช้ทำอะไร เพื่ออะไร (โดยเขียนเป็นรายละเอียดที่เรียกว่า นโยบายความเป็นส่วนตัว หรือ Privacy Policy) หน้าที่ต้องเก็บรักษาให้ปลอดภัย ห้ามเปิดเผยหรือส่งต่อให้ผู้อื่นโดยไม่ได้รับอนุญาต

 

2. ให้สิทธิ์ ‘เจ้าของข้อมูล’ เช่น ขอตรวจดูว่าเก็บข้อมูลอะไรของเราไปบ้าง ขอให้ลบหรือทำลาย ขอให้ระงับการใช้ ขอให้แก้ไขให้ถูกต้อง ฯลฯ

 

หลักการและชื่อของกฎหมายที่มีคำว่า ‘คุ้มครอง’ ฟังดูเป็นมิตรกว่า ‘ความมั่นคง’ ตาม พ.ร.บ. ไซเบอร์ อีกทั้งยังอ้างอิงหรือเกือบคัดลอกหลักการสำคัญต่างๆ มาจากกฎหมายต่างประเทศ โดยเฉพาะกฎหมายยุโรป (GDPR) ทำให้ดูเหมือนไม่น่ากังวลหรือส่งผลกระทบอะไรมากนัก

 

เทียบกฎหมายคู่แฝดที่แตกต่างและย้อนแย้ง

• พ.ร.บ. ไซเบอร์ ให้อำนาจเกี่ยวกับการ ‘ตรวจสอบ เข้าถึง ทำสำเนา’ ซึ่งก็คือการ ‘เก็บข้อมูล’ ที่อาจจะเกี่ยวข้องกับภัยคุกคามไซเบอร์ จึงรวมถึงข้อมูลส่วนบุคคลที่อยู่ในระบบได้
• พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ห้ามเก็บ เว้นแต่ขอความยินยอมก่อน

 

กฎหมายทั้งสองฉบับดูจะย้อนแย้งกันในเชิงหลักการหรือไม่

 

คำตอบคือ ใช่ แต่ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล บอกว่า ถ้ามี ‘กฎหมายอื่น’ ให้อำนาจ ก็สามารถเก็บ ใช้ เปิดเผย โดยไม่ต้องขอความยินยอมได้ (มาตรา 19)

 

ส่วนมาตรา 41/5 ก็บอกว่า หลักการคุ้มครองข้อมูลและสิทธิเจ้าของข้อมูลสามารถถูกจำกัดได้หลายกรณี ซึ่งรวมถึง ‘การรักษาความมั่นคงปลอดภัยไซเบอร์’ และยังมีข้อยกเว้นยิบย่อยในส่วนการเก็บและเปิดเผยอีก ดังนั้น กฎหมายที่แตกต่างและย้อนแย้งในเชิงหลักการจึงถือกำเนิดเป็นฝาแฝดคู่กันได้ด้วยวิธีกำหนด ‘ข้อยกเว้น’ ให้กันและกันในลักษณะนี้เอง

 

Q: พ.ร.บ. ข้อมูลส่วนบุคคล ช่วยแก้ข้อกังวล จาก พ.ร.บ. ไซเบอร์ ได้หรือไม่

พ.ร.บ. มั่นคงไซเบอร์มีข้อกังวลที่ผู้เขียนตั้งไว้อย่างน้อย 9 ข้อ บทความนี้ชี้ให้เห็น 2 ข้อที่เชื่อมโยงกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล

 

1. ข้อกังวลเกี่ยวกับอำนาจในการ สอดส่อง สอดแนม เข้าถึงข้อมูล ฯลฯ

การกระทำเหล่านี้ก็คือการ เก็บข้อมูล ซึ่งรวมถึง ‘ข้อมูลส่วนบุคคล’ ในระบบคอมพิวเตอร์ เช่น เข้าถึงเพื่อระงับการทำงานของมัลแวร์ในระบบของผู้ให้บริการรายหนึ่ง แต่ ‘บังเอิญ’ เจอข้อมูลระบุตัวลูกค้า เช่น บัญชี ภาพส่วนตัว ประวัติธุรกรรมซื้อขาย ฯลฯ คำถามจึงตามมาว่า ถ้าอย่างนั้นคณะกรรมการมั่นคงไซเบอร์ก็ต้องขอความยินยอมเราก่อนตามหลักกฎหมายคุ้มครองข้อมูลหรือไม่

 

กฎหมายที่มีหลักต่างกัน แต่ออกมาพร้อมกันเหมือนฝาแฝดได้ จึงต้องไม่ขัดแย้งกัน ดังนั้น พ.ร.บ. ข้อมูลส่วนบุคคล แม้บอกว่าจะ ‘เก็บ’ ต้องขอความยินยอมก่อนก็จริง (มาตรา 19) แต่มีข้อยกเว้น กรณีที่ ‘กฎหมายอื่น’ ให้กระทำได้ และกรณีการเก็บข้อมูลเป็นการ ‘ปฏิบัติตามกฎหมาย’ (มาตรา 24) คณะกรรมการมั่นคงไซเบอร์ไม่ต้องขอความยินยอมตามกฎหมายคุ้มครองข้อมูลฯ

 

2. ข้อกังวล เกี่ยวกับ การโพสต์ แชร์เนื้อหา

ทำไมยังกังวลอีก ก็ในเมื่อ พ.ร.บ. มั่นคงไซเบอร์ จำกัดเฉพาะการโจมตีทางเทคนิค เช่น DDOS (ทำให้ระบบปฏิเสธบริการหรือล่ม) มัลแวร์ชนิดต่างๆ ฯลฯ ไม่ได้ลงโทษคนโพสต์ คนแชร์ คนไลก์ ข้อมูลเนื้อหา จึงฟันธงไปแล้วว่า โพสต์ แชร์ แม้ว่าเท็จ บิดเบือน ฯลฯ ไม่ผิด พ.ร.บ. ไซเบอร์แน่นอน (แต่จะผิด พ.ร.บ. คอมฯ หรือไม่เป็นอีกเรื่อง)

 

แต่ก็ยังมีคนกังวลว่า การใช้อำนาจ เข้าถึง ตรวจสอบข้อมูล เพื่อระงับภัยไซเบอร์ อาจ ‘บังเอิญ’ เจอข้อมูลหลักฐานความผิด ‘กฎหมายอื่น’ แล้วจะเอาไปส่งต่อเพื่อดำเนินคดี เช่น เจอข้อมูลหลักฐานการโพสต์ข้อมูลที่ผิด พ.ร.บ. คอมฯ มาตรา 14 ฯลฯ

 

ซึ่งตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล การนำข้อมูลหลักฐานความผิดอื่นที่เกี่ยวข้องกับข้อมูลระบุตัวคนไปใช้ดำเนินคดี ก็คือการ ‘เปิดเผย’ ข้อมูลส่วนบุคคล ซึ่งต้องขอความยินยอมก่อน แต่มาตรา 69 พ.ร.บ. มั่นคงไซเบอร์ ไม่ได้ห้ามเจ้าหน้าที่ที่พบข้อมูลหลักฐานความผิดอื่นแล้วนำไปเปิดเผยเพื่อดำเนินคดี ประกอบกับ พ.ร.บ. ข้อมูลส่วนบุคคลยกเว้นสำหรับการเปิดเผยที่ ‘กฎหมายอื่น’ ให้อำนาจ (มาตรา 19) และ ‘เปิดเผยข้อมูลเพื่อการปฏิบัติตามกฎหมาย’ (มาตรา 27) รวมกันแล้วสรุปว่า คณะกรรมการมั่นคงไซเบอร์ ไม่ต้องขอความยินยอมในการเปิดเผยหรือส่งต่อข้อมูลระบุตัวคนที่ได้มา หากจะนำไปใช้เป็นหลักฐานดำเนินคดีอื่น

 

จากบทความชิ้นที่แล้ว น้องผักกาดมีข้อมูลวิพากษ์วิจารณ์การเมืองอันสุ่มเสี่ยงต่อความผิด พ.ร.บ. คอมฯ อยู่ในอุปกรณ์ของตน ต่อมา ‘บังเอิญ’ มีมัลแวร์ระบาด เจ้าหน้าที่กฎหมายมั่นคงไซเบอร์จึงตรวจสอบหามัลแวร์ แต่ ‘บังเอิญ’ เจอข้อมูลเหล่านี้ น้องผักกาดไม่สามารถจะอ้าง พ.ร.บ. ข้อมูล เพื่อห้ามเจ้าหน้าที่ เปิดเผยหรือส่งต่อข้อมูลหลักฐานนั้นไปดำเนินคดีตาม พ.ร.บ. คอมฯ

 

สรุป พ.ร.บ. คุ้มครองข้อมูลไม่ได้ช่วยให้คลายข้อกังวลอันเกิดจาก พ.ร.บ. ไซเบอร์ เหล่านี้ แต่อย่างน้อยก็ไม่ได้ทำให้อะไรแย่ลง ถ้าท่องคาถาตามที่ภาครัฐมักจะบอกเราว่า ‘ถ้าไม่ทำผิด (ตามกฎหมายใดๆ ไม่ว่ากฎหมายนั้นจะกว้างดังเช่น พ.ร.บ.คอมฯ) ก็ไม่ต้องกลัวอะไร’

 

ผลกระทบของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ต่อฝ่ายต่างๆ

พ.ร.บ. นี้มีความซับซ้อน ส่งผลกระทบทั้งเชิงบวกและลบต่อหลายฝ่าย ซึ่งวิเคราะห์แยกแยะได้ดังนี้

 

ฝ่ายโจร

ประเด็นปัญหาของข้อมูลส่วนบุคคลที่สำคัญเรื่องหนึ่งคือ ข้อมูลรั่วไหล (Data leak) ซึ่งเกิดขึ้นได้หลายสาเหตุ หนึ่งในนั้นก็คือ แฮกเกอร์ ซึ่งอาจเจาะเอาข้อมูลไปใช้ประโยชน์หรือเพียงแค่แสดงฝีมือว่าเจาะเข้าระบบได้แล้ว เอาข้อมูลมาแปะประจานเป็นหลักฐาน แต่ทั้งนี้ก็ส่งผลให้ข้อมูลส่วนบุคคลที่อยู่ในระบบตกอยู่ในความเสี่ยงทั้งสิ้น

 

พ.ร.บ. ข้อมูลส่วนบุคคล ส่งผลกระทบต่อโจรหรือแฮกเกอร์อย่างไรบ้าง

 

หลักกฎหมายข้อมูลส่วนบุคคลของหลายประเทศสะท้อนแนวคิดว่า เมื่อข้อมูลรั่วไหล แม้ว่าจะเกิดจากการเจาะจากแฮกเกอร์ที่มีเจตนาร้าย ผู้ที่ควรต้องรับผิดคือคนที่เอาข้อมูลคนอื่นมาเก็บไว้ ซึ่งก็คือ ‘ผู้ควบคุมข้อมูล’

 

ตัวอย่างเหตุการณ์ที่อาจเกิดขึ้นได้: ผู้ใช้บริการมือถือต้องให้เลขบัตรประชาชนพร้อมข้อมูลอื่นกับผู้ให้บริการเมื่อขอเปิดใช้งาน ซึ่งผู้ให้บริการนำไปเก็บไว้ในระบบของตน หรือไม่ก็ไปฝากไว้ในระบบคลาวด์ของผู้ให้บริการรับฝากข้อมูลอีกรายหนึ่ง จะเป็นกรณีใดก็ตาม สุดท้ายถูกแฮกเกอร์เข้าถึงและนำมาเผยแพร่แสดงฝีมือ แบบนี้ ถือว่าเกิดข้อมูลรั่วไหลแล้ว ตามกฎหมายคุ้มครองข้อมูลไม่ได้ลงโทษแฮกเกอร์ (และโดยทั่วไป กรณีแบบนี้ก็มักจะจบลงด้วยการจับแฮกเกอร์ไม่ได้ หรือไม่รู้ว่าเป็นใคร)

 

ในทางตรงข้าม กฎหมายนี้ได้กำหนดความผิดสำหรับ ‘ผู้ควบคุมข้อมูล’ ซึ่งก็คือ ผู้ประกอบการที่อาจถูกปรับ ซึ่งต้องมาพิสูจน์ว่าปฏิบัติตามมาตรฐานรักษาข้อมูลอย่างเพียงพอแล้วหรือไม่

 

ยิ่งไปกว่านั้น แฮกเกอร์บางคน บางกลุ่ม ชอบกฎหมายนี้ เช่นพวกที่ใช้ ‘แรนซอมแวร์’ หรือการเข้ารหัสข้อมูลเพื่อประกอบธุรกิจเรียกค่าไถ่ เพราะเป็นปัจจัยหนึ่งที่ทำให้เรียกค่าไถ่เพิ่มขึ้นได้ ด้วยเหตุที่มี ‘ราคาอ้างอิง’ ให้เปรียบเทียบ ซึ่งก็คือ ค่าปรับ ตามกฎหมายข้อมูลส่วนบุคคลที่ผู้ประกอบการจะต้องจ่ายหากเกิดข้อมูลรั่วไหล เช่น กฎหมายยุโรปกำหนดสูงสุดถึง 20 ล้านยูโร ตามกฎหมายไทย ถ้าผู้ควบคุมข้อมูลไม่จัดให้มีมาตรการรักษาความปลอดภัยที่เหมาะสม อาจถูกปรับสูงสุดถึง 3 ล้าน (มาตรา 81) ดังนั้น ‘ค่าไถ่’ ที่โจรจะขู่เรียกเงินเพื่อแลกกับการไม่โจมตี หรือแลกกับการ ‘ถอดรหัส’ ก็อาจแปรผันสูงขึ้น โดยมีค่าปรับเป็นอัตราอ้างอิง

 

แล้วจะทำอย่างไรกับโจรพวกนี้

 

ไม่เกี่ยวกับ พ.ร.บ. มั่นคงไซเบอร์ และ พ.ร.บ.คุ้มครองข้อมูล อาจต้องไปดูว่าผิด พ.ร.บ. คอมฯ หรือไม่

 

 

ฝ่ายผู้ควบคุมข้อมูล

เป็น ‘จำเลย’ หรือเป้าหมายหลักของกฎหมายนี้ ต้องรับภาระหลายด้าน เช่น

จัดทำนโยบายความเป็นส่วนตัว (Privacy Policy) ที่เราเห็นกันตามเว็บต่างๆ อยู่แล้ว เป็นรายละเอียดเพื่อแจ้งให้ทราบว่าจะเก็บข้อมูลไปทำอะไร แค่ไหน ฯลฯ นอกจากนี้ยังต้องตรวจประเมิน ส่งรายงาน ฯลฯ

 

หน้าที่จัดทำระบบให้ปลอดภัย ไม่ให้ข้อมูลรั่วไหล หน้าที่นี้ดูคุ้นๆ ถ้าอ่านควบคู่กับ พ.ร.บ. มั่นคงไซเบอร์ จะพบว่าเป็นหน้าที่คล้ายคลึงกัน แต่ต้องทำตามกฎหมาย 2 ฉบับ ที่มีรายละเอียดมาตรฐานต่างกัน ส่งรายงานต่อหน่วยงานรัฐถึง 2 หน่วย โดยเฉพาะหากผู้ ‘ควบคุมข้อมูล’ อยู่ในธุรกิจที่เป็น ‘โครงสร้างพื้นฐาน’ ตามกฎหมายมั่นคงไซเบอร์ด้วย เช่น ผู้ประกอบธุรกิจโทรคมนาคม ขนส่ง โลจิสติกส์ ฯลฯ เหล่านี้ เป็นทั้งผู้ควบคุมข้อมูลและโครงสร้างพื้นฐาน

 

กฎหมายคุ้มครองข้อมูลส่วนบุคคลมีหลักการเชิง ‘อนาคต’ เช่นเดียวกับ กฎหมายมั่นคงไซเบอร์ ซึ่งให้อำนาจ ‘สอดส่อง’ ตั้งแต่ตอนที่ยังไม่เกิดภัยคุกคาม กล่าวคือ แม้ว่ายังไม่มีโจรมาเจาะข้อมูล แต่ผู้ควบคุมข้อมูลก็ต้องมีหน้าที่ป้องกันไว้ก่อน ถ้าไม่จัดทำตามหน้าที่ที่กฎหมายนี้กำหนด ก็อาจถูกปรับได้เลย โดยไม่ต้องรอให้โจรมาเจาะ

 

ผู้ควบคุมข้อมูล สำหรับผู้ประกอบการรายใหญ่หลายรายก็เตรียมพร้อมจะรับภาระพวกนี้ ส่วนใหญ่ก็ทำอยู่แล้ว เพราะต้องติดต่อค้าขายกับต่างประเทศเช่นกลุ่มยุโรป ที่มีหลักการแบบนี้เหมือนกัน จึงลงทุนทั้งระบบและที่ปรึกษาเทคนิคพร้อม ถึงจะมีต้นทุนสูงขึ้น พ.ร.บ. นี้ก็ไม่ได้ห้ามขึ้นราคาสินค้าหรือบริการเพราะเหตุที่ต้องทำตามมาตรฐานต่างๆ

 

กลุ่มที่น่ากังวลคือ ‘ผู้ควบคุมข้อมูล’ รายยิบย่อย อย่าง SME พ่อค้า-แม่ค้า โดยเฉพาะในโลกออนไลน์ที่ ‘ผู้ประกอบธุรกิจ’ กับ ‘ผู้บริโภค’ มีความทับซ้อนกันเสมอ

 

ตัวอย่างเหตุการณ์ที่อาจเกิดขึ้นได้: น้องปุ๊กกี้ พนักงานบริษัทคนหนึ่ง ที่สวมหมวกอีกใบเป็นเจ้าแม่ขายเครื่องสำอางออนไลน์ จากรายย่อยเป็นตัวแทนรายใหญ่ วิตกกับกฎหมายภาษีออนไลน์ที่ออกมาแล้วว่าจะต้องถูกตรวจสอบธุรกรรมรายงานการโอนเงิน ตอนนี้มากังวลกับตำแหน่งใหม่คือ ‘ผู้ควบคุมข้อมูล’ เพราะเธอจัดเก็บชื่อ เบอร์โทรศัพท์ ที่อยู่ส่งของของลูกค้าต่างๆ ไว้ในโทรศัพท์ของเธอจำนวนมาก ตามกฎหมายนี้ เธอต้องปฏิบัติหน้าที่ ทั้งขอความยินยอมลูกค้า นั่งร่าง ‘นโยบายความเป็นส่วนตัว’ บรรยายว่าฉันจะเก็บข้อมูลเอาไปใช้เพื่อขายครีมนี้เท่านั้น ไม่นำไปส่งต่อให้ร้านขายยาฆ่าแมลงหรอกนะ ฯลฯ ไหนจะต้องขอความยินยอมลูกค้าที่เอาหน้ามารีวิวครีมเธออีก ภาระของเธอดูเยอะเหลือเกิน จะผลักภาระออกไปโดยขึ้นราคาสินค้าก็ไม่ได้ การแข่งขันก็สูง ถูกกว่ากัน 2 บาทลูกค้าก็ไปซื้อรายอื่นแล้ว อย่างน้อยก็ยังดีที่เธอไม่เข้าข่ายผู้ประกอบธุรกิจโครงสร้างพื้นฐานที่จะต้องจ้างนักไอทีมาตรวจสอบประเมินตามกฎหมายไซเบอร์อีกฉบับหนึ่ง

 

ทำอย่างไรให้การค้าขายออนไลน์ไม่ต้องอยู่ภายใต้ พ.ร.บ. คุ้มครองข้อมูล

 

ถ้าจะบอกให้พ่อค้าแม่ค้าออนไลน์ไม่ต้องเก็บข้อมูลส่วนบุคคลลูกค้าจะทำได้หรือไม่

 

ย้อนไปก่อนยุคโซเชียลมีเดียหรือแอปฯ สนทนาต่างๆ เราซื้อสินค้าบริการโดยไม่ต้อง ‘รู้จักกัน’ แต่ปัจจุบันคงจะทำได้ยาก เพราะต้องเอาลูกค้ามาเป็น ‘เพื่อน’ ในไลน์ ในเฟซบุ๊ก และขอข้อมูลกัน จริงๆ แล้วแค่เอาชื่อและที่อยู่ลูกค้ามาจัดส่งพัสดุให้ก็เป็น ‘ผู้ควบคุมข้อมูล’ แล้ว ยิ่งไปกว่านั้น ผู้ประกอบธุรกิจบางประเภท แม้ว่าไม่อยากจะเก็บข้อมูลคนอื่น แต่ก็ถูกกฎหมายสั่งให้เก็บ ดังจะกล่าวต่อไป

 

 

ฝ่ายธุรกิจ ‘สตาร์ทอัพ’ / ที่ปรึกษาไอที (Computer Security)

ตามกฎหมายนี้ แบ่งพวก ‘สตาร์ทอัพ’ เป็น 2 กลุ่มคือ 1. ผู้พัฒนา ขายระบบ โปรแกรม แอปฯ ให้คนอื่นใช้ กลุ่มนี้ไม่ใช่ผู้ควบคุมข้อมูล 2. ผู้ที่นำระบบ โปรแกรม แอปฯ ไปใช้ทำธุรกิจออนไลน์โดยเก็บข้อมูลลูกค้าจะเป็นผู้ควบคุมข้อมูล

 

สำหรับที่ปรึกษาไอที ความปลอดภัยระบบ ได้รับผลกระทบเชิงบวกจากกฎหมายนี้ เพราะผู้ประกอบธุรกิจที่เก็บข้อมูลลูกค้าต้องจัดให้มีมาตรการรักษาความปลอดภัย จัดให้มีนโยบายความเป็นส่วนตัว ตรวจประเมิน ฯลฯ ถ้าทำเองไม่ได้ก็ต้องจ้าง จริงๆ แล้ว กลุ่มนี้ยังมีโอกาสในการเป็นผู้ตรวจประเมิน จัดทำมาตรการรักษาความปลอดภัยสำหรับผู้ประกอบธุรกิจที่เป็น ‘โครงสร้างพื้นฐาน’ ตามกฎหมายมั่นคงไซเบอร์ด้วย เรียกว่ารับโชคถึงสองชั้นจากกฎหมายฝาแฝดนี้

 

ฝ่ายเจ้าของข้อมูล

ภาพที่จะเกิดขึ้นหลังกฎหมายนี้มีผลบังคับ ผลกระทบต่อผู้เป็นเจ้าของข้อมูลก็คือประชาชนทั่วไป เป็นสิ่งที่เราไม่ต้องคาดหมายเพราะพบเห็นในปัจจุบันอยู่แล้ว เช่น โหลดแอปฯ อะไรสักอย่างมาใช้ จะมีเงื่อนไขรายละเอียดต่างๆ ให้อ่าน ถ้าได้อ่านจะพบรายละเอียดว่า เข้าถึงข้อมูลในอุปกรณ์อะไรของเราบ้าง จะเอาไปทำอะไร ส่งให้ใครต่อบ้าง ฯลฯ สุดท้ายเราก็กดปุ่ม ‘ยอมรับ’ เพื่อให้ใช้ต่อไปได้ หรือเข้าเว็บไซต์แล้วมีให้กดยอมรับ ‘คุกกี้’ (ซึ่งก็จัดเป็นโปรแกรมสอดแนมติดตามพฤติกรรมออนไลน์อย่างหนึ่ง)

 

พิธีกรรมเหล่านี้ทำไมถึงเกิดขึ้นอยู่แล้ว

 

คำตอบคือ ผู้ให้บริการ โดยเฉพาะต่างประเทศ ต้องทำตามกฎหมายลักษณะนี้ของประเทศอื่นอยู่แล้ว ดังนั้น ‘เจ้าของข้อมูล’ ที่หลักการของกฎหมายนี้มุ่ง ‘คุ้มครอง’ อาจมีคำถามหรือความ ‘คาดหมาย’ ที่มากกว่าเดิม

 

Q: โทรขายประกัน สินเชื่อ บริการน่ารำคาญที่ไม่อยากได้จะหายไปหรือไม่

สมมติว่าน้องผักชีซื้อรถกับบริษัท A ทำเรื่องกู้กับธนาคาร B ทำประกันกับบริษัท C ต่อมามีบริษัทชื่อแปลกๆ อีก 5 แห่งโทรมาขายประกันรถ ทั้งที่เพิ่งซื้อผ่านไป 3 เดือน

กรณีมีผู้แปลกหน้าติดต่อนำเสนอสิ่งดีๆ ให้โดยเราไม่รู้จักเขามาก่อน อาจเกิดจากการซื้อ-ขายหรือส่งต่อข้อมูลส่วนบุคคลจากผู้ให้บริการรายหนึ่งไปยังอีกรายหนึ่ง หรือหลายๆ ราย

 

ซึ่งกฎหมายนี้ห้ามขายข้อมูลไปให้ผู้อื่น เพราะเป็นการนำไปใช้หรือเปิดเผย แต่ยกเว้น ถ้าเจ้าของข้อมูลยินยอม โดยต้องแจ้งวัตถุประสงค์ด้วย

 

และนี่ก็เป็นเหตุผลที่คาดการณ์ว่า เมื่อกฎหมายนี้ใช้บังคับ หากน้องผักชีซื้อรถใหม่ก็ยังจะได้รับการติดต่ออยู่เหมือนเดิม เว้นแต่ตอนทำสัญญากับผู้เกี่ยวข้องต่างๆ ระบุ ‘ไม่ยินยอม’ ในทุกๆ ข้อตกลงที่เกี่ยวข้อง คำถามคือ แล้วน้องผักชีจะทำเช่นนั้นหรือไม่

 

ในความเป็นจริงต้องยอมรับว่า ผู้บริโภคจำนวนหนึ่งไม่ได้แคร์กับการที่ใครจะเอาข้อมูลไปใช้ พวกเขายินดีถ่ายรูปหน้าตัวเองคู่กับจานอาหารหรือขนมในร้านนั้นแล้วแชร์ต่อไปโดยตั้งค่า ‘สาธารณะ’ เพื่อ ‘ช่วย’ ผู้ขายสินค้าหรือบริการ ‘โฆษณา’ โดยได้ค่าตอบแทนเล็กๆ น้อยๆ เช่น ส่วนลดหรือกาแฟฟรีสักแก้ว กลุ่มนี้อาจจะ ‘รำคาญ’ ที่ต้องมา ‘ตกลงยินยอม’ แต่ก็ต้องยอมรับสภาพ เพราะกฎหมายมีความปรารถนาจะ ‘คุ้มครอง’

 

 

Q: มีหลักห้ามเก็บข้อมูล ‘อ่อนไหว’ ใครจะมาเก็บ หน้า นิ้ว ม่านตาเราไม่ได้จริงหรือไม่

คนเรามีความอ่อนไหวต่อเรื่องข้อมูลต่างๆ ไม่เหมือนกัน บางคนอ่อนไหวกับเค้าโครงหน้า รูปร่าง บางคนอ่อนไหวกับความคิดความเชื่อ แต่กฎหมายนี้กำหนดว่า ข้อมูลบางอย่างเป็นข้อมูลที่ต้องได้รับการคุ้มครองพิเศษ เช่น ลายนิ้วมือ ม่านตา ความคิดเห็นทางการเมือง ความเชื่อลัทธิ พฤติกรรมทางเพศ ฯลฯ เหล่านี้อยู่ภายใต้หลัก ‘ห้ามจัดเก็บ’

 

แต่กฎหมายยกเว้นในกรณีที่เจ้าของข้อมูล ‘ยินยอมอย่างชัดแจ้ง’ ซึ่งอาจจะเป็นกดปุ่ม ตกลงยอมรับ เซ็นชื่อ ฯลฯ

 

ถามว่าลูกจ้างจะยอมให้นายจ้างจัดเก็บลายนิ้วมือหรือสแกนหน้าเพื่อเข้างานหรือไม่ ผู้ใช้โทรศัพท์จะยอมให้ใช้ใบหน้าสแกนเพื่อเข้าใช้เครื่องหรือไม่ ถ้าเมาแล้วขับถูกตำรวจจับดำเนินคดีและให้เก็บลายนิ้วมือ จะอ้างหลักไม่ยินยอม เพราะเป็นข้อมูลพิเศษได้หรือไม่ ลองดูในฝ่ายภาครัฐที่จะกล่าวต่อไป

 

ฝ่ายรัฐ / หน่วยงานรัฐ

ภาครัฐทำอะไรกับข้อมูลส่วนบุคคลของประชาชนบ้าง ผู้เขียนแบ่งเป็น 2 กรณี ดังนี้

 

1. หน่วยงานรัฐเป็นผู้เก็บหรือใช้ข้อมูลส่วนบุคคลของประชาชน

ในร่างกฎหมายข้อมูลส่วนบุคคลฉบับก่อนๆ มีการกำหนดยกเว้นไม่ใช้กับหน่วยงานรัฐ แต่สุดท้าย พ.ร.บ. นี้ก็ไม่ยกเว้น โดยหลักจึงพูดได้ว่า หน่วยงานรัฐที่เก็บข้อมูลส่วนบุคคล ก็เป็น ‘ผู้ควบคุมข้อมูล’ ที่ต้องทำหน้าที่ต่างๆ ตามกฎหมายนี้ด้วย เช่น ขอความยินยอมก่อนจะเก็บหรือนำไปใช้ ต้องให้สิทธิ์เราขอลบ ฯลฯ

 

คำถามจึงตามมาว่า เราสามารถปฏิเสธสรรพากรที่จะเก็บข้อมูลเสียภาษี ปฏิเสธฝ่ายปกครองในการเก็บข้อมูลทะเบียนราษฎร์ หรือแม้แต่ปฏิเสธตำรวจที่จะให้พิมพ์ลายนิ้วมือเมื่อเมาแล้วขับโดยอ้างว่า ‘ไม่ยินยอม’ ตามกฎหมายนี้ได้หรือไม่

 

แม้ พ.ร.บ. นี้ไม่ยกเว้นหน่วยงานรัฐออกไปจากกฎหมายโดยสิ้นเชิง แต่มีหมวด 3 เกี่ยวกับ ‘ข้อจำกัดการคุ้มครองข้อมูลและข้อจำกัดสิทธิเจ้าของข้อมูล’ สำหรับ ‘หน่วยงานที่มีอำนาจ’ ซึ่งหมายถึงหน่วยงานรัฐที่มีอำนาจตามกฎหมายอื่นๆ เช่น ภาษี ตำรวจ ฯลฯ ดังนั้น หลักการคุ้มครอง เช่น ห้ามจัดเก็บ เปิดเผย ฯลฯ ก็มีข้อจำกัดได้ ในขอบเขตอำนาจหน่วยงานนั้น (มาตรา 41/4)

 

สำหรับ สิทธิ์ของเจ้าของข้อมูล เช่น สิทธิ์คัดค้านการเก็บ การประมวลผลข้อมูล ก็ไม่สามารถอ้างกับหน่วยงานเหล่านี้เช่นกัน (มาตรา 41/3) แม้แต่จะเป็นข้อมูลพิเศษ เช่น ลายนิ้วมือ ม่านตา ฯลฯ ก็มีข้อยกเว้น เช่น การเก็บประวัติอาชญากรรม สามารถทำได้ภายใต้ ‘หน่วยงานที่มีอำนาจ’

 

สรุป สรรพากรสามารถจัดเก็บข้อมูลแม่ค้าออนไลน์เพื่อประมวลผลที่เกี่ยวกับภาษีได้ต่อไป ตำรวจสามารถเก็บข้อมูลภาพถ่ายทะเบียนรถหรือใบขับขี่อิเล็กทรอนิกส์เพื่อตัดแต้มได้ต่อไป หรือจัดเก็บลายนิ้วมือคนเมาแล้วขับได้ ฯลฯ โดยเจ้าของข้อมูลไม่สามารถใช้กฎหมายนี้มาปฏิเสธหรือคัดค้านได้

 

2. หน่วยงานรัฐใช้กฎหมายสั่งให้ผู้ประกอบธุรกิจเป็นผู้เก็บข้อมูลส่วนบุคคล

กรณีนี้มักเป็นไปเพื่อวัตถุประสงค์ ‘นำมาใช้ระบุตัวตน’ บนสมมติฐานว่า คนสามารถทำผิดกฎหมายได้ทุกเมื่อ จึงต้องทำให้เกิดความพร้อมไว้ เพื่อสามารถติดตามจับกุมได้ตลอดเวลาหากมีการกระทำอะไรที่ผิดกฎหมายขึ้น

 

เราจะพบแนวคิดนี้ในกฎหมายต่างๆ เช่น การกำหนดให้ต้องใช้เลขหมายประชาชนเพื่อลงทะเบียนซิมมือถือ ซึ่งสะท้อนแนวคิดว่าเมื่อมีใครโพสต์อะไรผิด พ.ร.บ. คอมฯ จะได้ระบุตัวได้ หรือการกำหนดให้ผู้ส่งพัสดุสิ่งของต้องใช้เลขบัตรประชาชนแสดงตัวตน ฯลฯ ซึ่งสะท้อนเหตุผลว่า ถ้าส่งของผิดกฎหมายจะได้ตามตัวได้

 

การดำเนินการลักษณะนี้ อาจส่งผลย้อนกลับไปกระทบเจ้าของข้อมูล เพราะโจรอาชีพสักกี่รายที่จะเอาบัตรตัวเองไปส่งระเบิดทางไปรษณีย์ ไหนยังจะมีโจรที่เอาข้อมูลระบุตัวผู้อื่นไปสมัครทำธุรกรรมต่างๆ พอมีข่าวแบบนี้ก็นำไปสู่ข้อเสนอเชิงนโยบายที่ยกระดับการระบุตัว เช่น ให้นำข้อมูลชีวภาพ พวกลายนิ้วมือหรือใบหน้าไปลงทะเบียน เช่น ข้อเสนอเชิงนโยบายบางฉบับ ที่ให้นำข้อมูลลายนิ้วมือหรือใบหน้าไประบุตัวเพื่อเปิดใช้งานโทรศัพท์เคลื่อนที่ แต่ในทางกลับกัน ปรากฏข้อเท็จจริงทั่วไปว่าแฮกเกอร์สามารถ ‘โจรกรรม’ ข้อมูลชีวภาพได้เช่นกัน นำไปสู่ความเสี่ยงที่เจ้าของข้อมูลไม่สามารถ ‘รีเซต’ ได้เลย

 

นอกจากวัตถุประสงค์ในการระบุหาตัวโจรแล้ว การระบุตัวยังนำมาใช้ประโยชน์ในการ ‘หารายได้เข้ารัฐ’ ลองพิจารณาประกอบกับสภาพ ‘ไร้เงินสด’ การจ่ายเงินผ่านทางอิเล็กทรอนิกส์ สามารถติดตามได้ว่าใครได้เงินจากไหน จ่ายไปทางไหน และแล้ว กฎหมายภาษีก็ออกมากำหนดให้ผู้เกี่ยวข้องกับธุรกรรมโอนเงินเข้าออกออนไลน์ต้องรายงานส่งข้อมูลให้ภาครัฐ

 

ในแง่ พ.ร.บ. คุ้มครองข้อมูล ผู้เก็บข้อมูลคือ ผู้ประกอบการ ถึงไม่อยากจะเก็บ ก็ถูกกฎหมายฉบับต่างๆ สั่งให้มีหน้าที่เก็บ พอเก็บไปแล้วก็กลายเป็น ‘ผู้ควบคุมข้อมูล’ ตาม พ.ร.บ. คุ้มครองข้อมูลอีก ในแง่ผู้บริโภคก็จะมีคำถามว่า สามารถปฏิเสธไม่ยินยอมให้เก็บข้อมูลได้หรือไม่ เพราะพวกนี้เป็นผู้ประกอบการเอกชน คำตอบก็คือ ไม่ได้ เพราะผู้ประกอบการเหล่านั้นปฏิบัติหน้าที่ตามกฎหมาย (มาตรา 24 (7))

 

บททิ้งท้าย

การออกกฎหมายนี้ อ้างอิง หรือ ‘อิมพอร์ต’ หลักกฎหมายยุโรป (GDPR) เข้ามา โดยให้เหตุผลว่า ต้องทำให้สอดคล้องกับมาตรฐานยุโรป เพื่อให้สามารถโอนข้อมูลระหว่างไทยกับยุโรปได้

 

จริงอยู่ว่ากฎหมายยุโรปห้ามโอนข้อมูลของพลเมืองยุโรปไปยังประเทศที่มีมาตรฐานการคุ้มครองข้อมูลที่ต่ำกว่า แต่ว่าไม่ใช่แค่ ‘มี’ กฎหมายคุ้มครองข้อมูลแล้วจะถือว่าได้มาตรฐาน

 

ลองย้อนดูตัวอย่าง สหรัฐฯ ตกลงกับยุโรปในโครงการชื่อ ‘Safe Harbor’ ให้ผู้ประกอบการที่เข้าร่วมโครงการนี้ยอมปฏิบัติตามหลักที่คล้ายคลึงกับกฎหมายยุโรป แต่ต่อมามีการฟ้องศาลยุโรปอ้างข้อมูลว่า รัฐบาลสหรัฐฯ มีพฤติกรรมไม่น่าวางใจในการสอดส่องข้อมูลผู้ใช้โทรคมนาคมอย่างกว้าง (ข้อมูลส่วนหนึ่งมาจากการแฉของ เอ็ดเวิร์ด สโนว์เดน) ศาลยุโรปจึงตัดสินในปี ค.ศ. 2015 ว่า ความตกลงโอนข้อมูลระหว่างยุโรปกับสหรัฐฯ ไม่ชอบด้วยกฎหมาย เพราะหน่วยงานรัฐของสหรัฐฯ ไม่น่าวางใจ อาจมา ‘สอดแนม’ ข้อมูลได้ (Case C-362/14)

 

เปรียบเทียบกับสถานการณ์ของไทยตอนนี้ เรียกได้ว่า ‘ล้ำหน้า’ กว่าสหรัฐฯ หนึ่งขั้น เพราะไม่ได้มีการทำโครงการลับ ‘สอดแนม’ จนกระทั่งมีเจ้าหน้าที่คนหนึ่งที่เคยทำงานให้ภาครัฐออกมาแฉต่อสื่อมวลชน แต่ออกกฎหมายให้อำนาจ ‘สอดแนม’ อย่างถูกต้อง ในกรณีที่มี ‘ภัยคุกคามไซเบอร์’ แถมยังออกควบคู่มากับกฎหมายคุ้มครองข้อมูลส่วนบุคคลเสียด้วย

 

พิสูจน์อักษร: พรนภัส ชำนาญค้า