ในที่สุดเราก็กำลังจะมีกฎหมายที่มุ่งคุ้มครองข้อมูลส่วนบุคคลของพวกเราอย่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) ประกาศใช้ไปเมื่อเดือน พ.ค. 2562 และจะเริ่มมีผลบังคับใช้ตั้งแต่วันที่ 27 พ.ค. 63 นี้เป็นต้นไป แต่ทว่าล่าสุด ! ดันเกิดการชงเรื่องเข้าสู่ ครม. ที่มีมติไปแล้วเรียบร้อย ประกาศเลื่อนการบังคับปรับโทษสำหรับผู้ละเมิดกฎหมายนี้ออกไปก่อน หลังเชื่อว่าหน่วยงานจำนวนมากยังไม่พร้อมโดยเฉพาะจากสถานการณ์ Covid-19 งานนี้ไม่แน่ใจว่าใครได้ประโยชน์บ้าง แต่ที่ปฏิเสธไม่ได้เลยคือชาวเน็ตอย่างพวกเราอาจเสียประโยชน์จากการคุ้มครองสิทธิ์ไปเต็ม ๆ จนถึงเดือน พ.ค. ปี 64 เป็นอย่างน้อยเลยล่ะ
ทวนความจำชาวเน็ต… พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) สำคัญมากมั้ย ? สำหรับโลกยุค 5G | Thailand 4.0
อันดับแรกต้องทวนความเข้าใจที่อาจจะยังเข้าใจผิดกันอยู่ไม่น้อยว่ากฎหมายนี้อาจเป็นแค่อีก 1 เครื่องมือของรัฐบาลในยุคดิจิทัล ที่ใช้ควบคุมจัดการประชาชนกันไปตามระเบียบ แต่จริง ๆ แล้วไม่ใช่เลย กฎหมายฉบับนี้จะแตกต่างออกไปโดยสิ้นเชิงจากฉบับก่อน ๆ ไม่ว่าจะเป็น พ.ร.บ.คอมพิวเตอร์ ฯ หรือ พ.ร.บ.ความมั่นคงไซเบอร์ เพราะ 2 ฉบับนี้ เกี่ยวข้องโดยตรงในการควบคุมพฤติกรรมของชาวเน็ตให้เป็นระเบียบเรียบร้อยจริง แต่สำหรับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection Act B.E. 2562 เรียกสั้น ๆ ว่า PDPA) นั้น ถูกออกแบบมาด้วยหลักการและเหตุผลเช่นเดียวกับกฎหมายสากลหลายฉบับอย่าง General Data Protection Regulation (GDPR) ของยุโรป หรือ Privacy Shield | CCPA ของฝั่งสหรัฐอเมริกา ที่มุ่งคุ้มครองและรักษาสิทธิในความเป็นส่วนตัวทางข้อมูลของบุคคลอย่างแท้จริง
เราอยู่ในโลกที่การเคลื่อนไหวของข้อมูลนั้น เกิดขึ้นอย่างฉับพลันทันใดกว่าที่เคยมีมาโดยเฉพาะหากพิจารณาให้สัมพันธ์กันกับเทคโนโลยี 5G นั้น ยิ่งชัดเจนว่า 5G เป็นนวัตกรรมทางพลวัตรที่ทำให้เทคโนโลยีต่าง ๆ (รวมถึงการจัดเก็บและการเดินทางของข้อมูล) ย้ายจากจุดที่ 1 ไปยังจุดที่ 2 ได้แบบทันทีที่มันเกิดขึ้น ณ จุดที่ 1 หรือเรียกอีกแบบว่า Real-time Synchronization หากเพื่อน ๆ ลองนึกภาพการสื่อสารระหว่างหุ่นยนต์ตัวที่ 1 กับตัวที่ 2 เป็นตัวเปรียบเทียบล่ะก็ ในยุค 3G นั้นการสื่อสารเร็วขึ้นกว่าตลอด 50 ปีที่ผ่านมา แต่ปรากฎว่า 4G นั้นทำให้หุ่นยนต์ทั้ง 2 สามารถสื่อสารกันได้รวดเร็วเทียบเท่าหรือมากกว่ามนุษย์ ส่วน 5G น่ะหรอ มันคือการที่หุ่นยนต์ตัวที่ 2 รับรู้ความคิดของหุ่นยนต์ตัวที่ 1 ได้ทันที ณ จุดเวลาที่หุ่นยนต์ตัวที่ 1 รับสารมาเลยล่ะ 😯
ซึ่งแน่นอนว่าในยุค Thailand 4.0 แถวบ้านเราก็เช่นกัน ที่ข้อมูลปริมาณมหาศาลถูก จัดเก็บ-ประมวลผล-นำไปใช้ ได้อย่างอิสระเกินไปมาสักพักหนึ่งแล้ว ซึ่งแน่นอนว่าข้อดีอาจเป็นการที่พวกเราได้เข้าถึงสินค้าและบริการที่ต้องตรงตามความต้องการของเราได้มากขึ้น แต่บางทีก็แม่นยำเกินไป เหมือนรู้จักความต้องการของเราดีกว่าตัวเรา ชนิดที่ยังไม่ทันไปเสิร์จหาอะไรใน Google แต่ดันได้เห็นสิ่งที่คิดอยู่ในใจโผล่มาอีกทีเป็นโฆษณาบน Facebook | Instagram อะไรแบบนี้นี่แหละที่มันน่ากลัวล่ะ มันคือการละเมิดสิทธิส่วนบุคคลประเภทหนึ่งที่ชัดเจนมากขึ้นเรื่อย ๆ สิทธิส่วนบุคคลทางด้านข้อมูลของพวกเรายังไงล่ะ PDPA จึงถูกสรรค์สร้างขึ้นเพื่อคุ้มครองพื้นที่ส่วนตัวบนโลกดิจิทัลของคนไทยทุกคนนั่นเอง
ความยินยอม และ การคุ้มครองสิทธิ์ ฯ คือใจความสำคัญดูแลพื้นที่ส่วนบุคคลบนโลกดิจิทัล
สำหรับนิยามของข้อมูลส่วนบุคคลนั้น เพื่อให้เป็นประโยชน์ต่อการตีความในกระบวนการบังคับใช้กฎหมาย PDPA กำหนดนิยามเอาไว้กว้างมาก ๆ ว่า “ข้อมูลเกี่ยวกับบุคคลซึ่งทาให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม… “ สำหรับทางตรงนั้นชัดเจนอยู่แล้วว่าข้อมูลใด ๆ ที่ระบุตัวบุคคลได้ เช่น ชื่อ – นามสกุล | เบอร์โทรศัพท์ | Email | Line ID | เลขประจำตัวประชาชน และรวมไปถึงข้อมูลประเภทที่มีความอ่อนไหวอย่าง ความคิดเห็นทางการเมือง หรือ รสนิยมทางเพศ อีกด้วย
ส่วนข้อมูลประเภทที่อาจระบุตัวตนได้โดยทางอ้อม ก็เช่น Cookies ID | EMEI หรือ Device ID ใด ๆ ที่สามารถเชื่อมต่อ Server ได้เพื่อระบุตัวอุปกรณ์แม้ไม่เปิดเผยชื่อ – นามสกุลผู้ใช้เลยก็ตาม เพราะอุปกรณ์พวกนี้นี่แหละคือข้อมูลที่มากพอ สำหรับผู้ให้บริการการตลาดดิจิทัล ให้สามารถเรียนรู้รสนิยมความชอบหรือไม่ชอบอะไรของผู้ถืออุปกรณ์ได้อย่างชัดเจนโดยไม่ต้องสนใจชื่อของเขาเลยนั่นเอง 💡 ตรงนี้จึงเป็นที่มาให้ PDPA มุ่งบังคับให้หน่วยงานและธุรกิจ จัดการคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภคกันอย่างเคร่งครัดมากขึ้นโดยอาศัย 2 หลักการสำคัญคือ ความยินยอม และการจัดการคุ้มครองสิทธิของเจ้าของข้อมูลนั่นเอง
ไม่ใช่แค่ Facebook แต่ Google และ Apple ต่างก็เคยแอบฟังเรากันแบบลับๆ
- การขอความยินยอม (Consent) | กฎหมายฉบับนี้กำหนดหลักการเอาไว้สอดคล้องกับหลักสากลว่า “ผู้ควบคุมข้อมูลส่วนบุคคลจะกระทำการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไม่ได้ หากเจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอมไว้ก่อนหรือในขณะนั้น… ” หมายความว่า การจะจัดเก็บ และนำข้อมูลของผู้บริโภค | ลูกค้า | ผู้ใช้บริการ ไปใช้ต่อหรือเผยแพร่เพื่อประโยชน์ทางธุรกิจนั้น ต้องได้รับความยินยอม (Consent) เสมอ และความยินยอมนั้นต้องเกิดขึ้นโดยเจ้าของข้อมูลมีอิสระในการตัดสินใจโดยสมบูรณ์ คือไม่เป็นเงื่อนไขในการให้บริการ ห้ามบังคับหลอกกันนั่นเอง !
- การคุ้มครองสิทธิของเจ้าของข้อมูล (Data Subject Rights) | เจ้าของข้อมูล คือ ผู้บริโภค ผู้ใช้บริการ ลูกค้า หรือพวกเราทุกคนที่จะถูกเก็บข้อมูลไปใช้เนี่ยแหละ มีสิทธิ์ต่าง ๆ ตามกฎหมายนี้อย่างเช่น สิทธิในการคัดค้านการเก็บข้อมูล หรือสิทธิในการขอเพิกถอนความยินยอม (Opt-out) หรือก็คือการกด Unsubscribe หรือแม้แต่การบ่นกับ Call Center ที่โทรมาขายประกันว่าไม่ต้องการให้ติดต่อเราอีกต่อไป นี่แหละคือการคุ้มครองสิทธิ์ตามใจความเรื่องนี้อย่างเป็นทางการอีกรูปแบบหนึ่งที่ผู้ประกอบการจะต้องจัดการดูแลให้เหมาะสมยิ่งขึ้น
จะเห็นว่า PDPA นี่แหละ สำคัญต่อพวกเรามาก ๆ ในฐานะผู้บริโภค และผู้เป็นเจ้าของข้อมูลหรือรสนิยมทั้งหลายของเราเอง ทั้ง ๆ ที่อยู่ใน Big Data | Database ขนาดมหึมาของหน่วยงานหรือองค์กรธุรกิจทั้งหลายนั่นเอง ซึ่งตัวอย่างที่เข้าใจได้ชัดเจนที่สุดน่าจะเป็นจากกรณี ธนาคารพาณิชย์ของบ้านเราที่ DroidSans ได้ทำการ Preview App กับนโยบายการจัดการข้อมูลส่วนบุคคล เอาไว้ว่า
ต่อไปนี้ธนาคารจะไม่สามารถบังคับขอข้อมูลของเรา รวมถึงเรามีสิทธิ์ที่จะยกเลิกเพิกถอน ไม่ให้ใช้ข้อมูลส่วนตัวของเราได้อีกต่อไป หมดปัญหาการโดนโทรมาขายประกันซ้ำๆ และที่สำคัญถ้าโทรมา เรามีสิทธิ์ที่จะรับรู้ถึงที่มาและขอให้ลบข้อมูลของเราออกจากระบบได้ มิฉะนั้นทางธนาคารต้นทางจะมีความรับผิดตามกฎหมายทันที
ประกาศ พ.ค. 62 – จ่อบังคับใช้ พ.ค. 63 – สุดท้ายเลื่อนไป พ.ค. 64 | สาเหตุ “หน่วยงานและองค์กรปรับตัวไม่ทัน” ส่วนผู้บริโภครับกรรม ถูกละเลยสิทธิต่อไปอีก 1 ปีเต็ม
หากพิจารณาจากผลประโยชน์จากกฎหมายฉบับนี้ที่ผู้บริโภค หรือ ชาวเน็ตอย่างเรา ๆ ควรจะได้รับนั้น จะเห็นว่า PDPA เป็นกฎหมายที่ดีมาก ๆ ถูกออกแบบมาช่วยรักษาสิทธิและพื้นที่ส่วนบุคคลทางข้อมูลของทุก ๆ คน แต่เมื่อมองจากฝั่งของหน่วยงานและองค์กรธุรกิจต่าง ๆ นั้นแตกต่างออกไปมาก เพราะองค์กรเหล่านี้มองว่า ต้องปรับตัวทั้งในแง่ของนโยบายการจัดการข้อมูลรวมถึงคิดค้นระบบเพื่อรองรับการบริหารสิทธิต่าง ๆ ให้ได้อย่างสมบูรณ์ตาม PDPA ซึ่งแน่นอนว่าต้องใช้เวลาและต้นทุนประมาณหนึ่ง ซึ่งล่าสุดปรากฎว่ามีการชงเรื่องโดยกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ไปยังที่ประชุม ครม. ครั้งที่ผ่านมาให้ขยายเวลาการบังคับใช้กฎหมายนี้ในส่วนโทษออกไปก่อนเพราะสาเหตุหลัก ๆ คือ หน่วยงานและธุรกิจทั้งหลายนั้นปรับตัวกันไม่ทันโดยเฉพาะอย่างยิ่งเกิดสถานการณ์ Covid-19 ขึ้นมาอีก
พบข้อมูลผู้ใช้งาน Zoom กว่า 5 แสนบัญชี ถูกขายอยู่บน Dark Web ในราคาไม่ถึง 1 บาท
แน่นอนว่าชาวเน็ตอย่างพวกเราในฐานะเจ้าของข้อมูลย่อมเสียประโยชน์เต็ม ๆ การจากเลื่อนกฎหมายนี้ออกไปอีก ครั้นจะให้มองอย่างเห็นใจองค์กรธุรกิจสำหรับการเตรียมตัว กฎหมายนี้ก็ประกาศใช้ตั้งแต่ 27 พ.ค. 62 ก่อนจะมีผลบังคับใช้ 27 พ.ค. ปี 63 นี้เป็นต้นไป เท่ากับว่าทุกภาคส่วนไม่ว่าจะเป็นหน่วยงานหรือองค์กรไหน ๆ ก็มีเวลาเตรียมตัวให้สอดรับกับกฎหมายนี้มานานถึง 1 ปีเต็มแล้ว หรือหากมองจากสถานการณ์ Covid-19 ที่อาจเป็นสาเหตุเพิ่มเติมยิ่งแล้วไปใหญ่เพราะ Covid-19 ถูกมองเป็นเหมือนตัวเร่งระดับ 10 ที่ทำให้องค์กรทั้งหลายใช้ Digital Technology กับผู้บริโภคกันอย่างจุใจมากกว่าที่เคยเสียอีกซึ่งแปลว่า พื้นที่ส่วนบุคคลของเราทุกคนยิ่งสมควรได้รับการดูแล ลองคิดดูว่าถ้าเกิดกรณีแบบ Zoom ที่ทำข้อมูลผู้ใช้งานหลุดไปสู่ตลาดมืด ขึ้นมา นี่เป็นตัวอย่างที่ชัดเจนมากว่าถ้าเกิดในประเทศไทยก็คงไม่มีปัญหาอะไรมากนักไปอีกเป็นปีเลยล่ะ
อย่างไรก็ตามสุดท้ายได้มีประกาศขยายเวลาการบังคับใช้ PDPA ออกมาแล้วในรูปแบบของพระราชกฤษฎีกา (พ.ร.ฎ.) ซึ่งไม่ใช่เป็นการเลื่อนกฎหมายเสียทีเดียว แต่เป็นการกำหนดละเว้นโทษให้กับหน่วยงานและองค์กรทั้งหลายไปจนวันที่ 31 พ.ค. 2564 หรือเข้าใจง่าย ๆ ก็คือ PDPA กำลังจะมีผลบังคับใช้เพื่อคุ้มครองพวกเราแล้ว 🙂 แต่องค์กรธุรกิจทั้งหลายยังไม่ต้องรับโทษตามกฎหมายนี้แต่อย่างใด หากมีการกระทำผิดเกิดขึ้นในช่วงเวลานี้นั่นเอง 🙄 ซึ่งหากมองในแง่ดีก็อาจพอสรุปได้ว่า อย่างน้อยกฎหมายคุ้มครองข้อมูลส่วนบุคคลนั้นก็มีผลบังคับใช้แล้วทันที ในส่วนของหลักการและเจตนารมณ์ให้องค์กรปฏิบัติตามระเบียบและนโยบายตามกฎหมายนั่นเอง แต่ก็ไม่อาจปฏิเสธได้เลยว่า “สิทธิในข้อมูลส่วนบุคคลของพวกเรา อาจถูกละเลยไปอีก 1 ปีเป็นอย่างน้อย”
รายละเอียดของกฎหมายฉบับเต็มได้ที่: พระราชบัญญัติคุ้มครอข้อมูลส่วนบุคคล – พ.ศ. 2562
รายละเอียดของประกาศขยายเวลาบังคับใช้กฎหมาย: พระราชกฤษฎีกากำหนดหน่วยงานและกิจการที่ผู้ควบคุมข้อมูลส่วนบุคคลไม่อยู่ภายใต้บังคับแห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 – พ.ศ. 2563
กลัวอย่าใช้ ใช้อย่ากลัว
กฏหมายควรพุ่งตรงไปที่ผู้เอาข้อมูลไปใช้สร้างควรเสียหาย
อย่าไปบังคับกับคนที่ใช้บริการ