โอ้ยยย...กฎหมาย ง่ายๆหน่อยได้ไหมนะ 18: ความมั่นคงไซเบอร์ สายลับ กับ ข้อมูลส่วนบุคคล:

หลังจากคำทำนายในบทความ “รัฐเผด็จการ กับ การล้วงตับ” ชัดเจนขึ้นเรื่อยๆ (http://blogazine.in.th/blogs/streetlawyer/post/4833) จึงเป็นเวลาอันสมควรที่ประชาชนและสังคมไทยต้องร่วมกันต่อต้าน ชุดกฎหมายความมั่นคงโดยเฉพาะ พรบ.ความมั่นคงไซเบอร์ ที่มีเนื้อหาจำนวนมากขัดกับ หลักกฎหมายการคุ้มครองข้อมูลส่วนบุคคล ซึ่งเป็นพื้นฐานของรัฐสมัยใหม่  

เนื่องจาก “ความเป็นส่วนตัว” ของปัจเจกชนโดยปราศจากการแทรกแซงเป็นรากฐานสำคัญ ของ “ความมั่นใจ” ในการเข้าไปมีส่วนร่วมทางการเมืองของประชาชนคนตัวเล็กๆ   หากทำอะไรแล้วมีเจ้าหน้าที่รัฐจับจ้อง แถมสืบสาวข้อมูลต่อมาถึงชีวิตส่วนตัว ที่อยู่อาศัย การสื่อสารกับใครๆในที่ลับ หรือโดนตรวจสอบธุรกรรมทางเศรษฐกิจ เพราะไปแสดงความเห็นในเรื่องสาธารณะแล้วล่ะก็   คนจำนวนมากก็เลือกที่จะอยู่เฉยๆดีกว่า  ซึ่งเป็นการทำลาย การมีส่วนร่วมจาก “ทุกภาคส่วน” ที่รัฐโฆษณาอยู่ไม่เว้นแต่ละวัน

การคุ้มครองมูลส่วนบุคคลจึงเป็นเรื่องสำคัญทั้งในแง่การส่งเสริมการมีส่วนร่วมของประชาชนในกิจกรรมสาธารณะ และยังช่วยกระตุ้นเศรษฐกิจดิจิตอลอีกด้วย   เนื่องจากเมื่อผู้ใช้อินเตอร์เน็ตรู้สึกปลอดภัยไม่มีใครมาลักดักข้อมูลส่วนบุคลไม่ว่าจะเป็น รหัสเข้าใช้โซเชียลเน็ตเวิร์ค อีเมลล์ หรือบัญชีทางการเงิน  รวมไปถึงพฤติกรรมในการบริโภคที่อยากเก็บเอาไว้เป็นความลับส่วนตัว

เราลองมาดูว่า สังคมที่มีความก้าวหน้าด้านเทคโนโลยีสารสนเทศและโทรคมนาคม มีมูลค่าเศรษฐกิจดิจิตอลมูลค่ามหาศาลอย่าง สหรัฐอเมริกาและสหภาพยุโรป มีแนวทางในการสร้าง “ความเชื่อมั่น” ให้กับประชาชน/ผู้บริโภค อย่างไร ด้วยการวิเคราะห์กฎหมายคุ้มครองข้อมูลส่วนบุคคล ของทั้งสองบล็อกใหญ่ที่มีอิทธิพลในการออกแบบกฎหมายในประเทศอื่นๆ (ถ้าไทยจะรับการลงทุนจากบรรษัทไอทีต่างชาติหรือผลักดันบรรษัทด้าน ICT ไทยให้ไปแข่งขันในต่างประเทศ เลี่ยงไม่ได้ที่ต้องปฏิบัติตามกฎหมายของสองบล็อกนี้   ดังที่สหรัฐต้องปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลของอียู เพราะต้องการตลาดผู้บริโภคในยุโรปนั่นเอง)

11 ประเด็นสำคัญของกฎหมายคุ้มครองข้อมูลส่วนบุคคล

1.       การรับรองสิทธิในการคุ้มครองข้อมูลส่วนบุคคล (Legal Approval of Personal Data Protection or Data Privacy) หมายความว่า กฎหมายที่ออกมานั้น ต้องยืนยันสิทธิส่วนบุคคลก่อนที่จะบอกว่า รัฐหรือบรรษัทมีอำนาจในการเข้าไปกักเก็บ ดัก หรือประมวลผลข้อมูลส่วนบุคคล  เช่น ในมาตราแรกๆ ต้อง รับรองสิทธินี้ของบุคคลว่าเป็นเจ้าของข้อมูล มีสิทธิในการอนุญาตหรือปัดป้องการใช้ของมูลส่วนบุคคลโดยบริษัทหรือรัฐ

2.       การกำหนดนิยาม/องค์ประกอบว่าอะไร คือ ข้อมูลส่วนบุคคล (Definition and Elements of Personal Data Protection) คือ การให้รายละเอียดว่าข้อมูลใดบ้างที่ได้รับการคุ้มครอง หรือข้อมูลอ่อนไหวใดๆที่จะได้รับการคุ้มครองเป็นพิเศษ เช่น การกำหนดว่าธนาคารที่มีข้อมูลการใช้จ่ายผ่านระบบ E-Banking จะต้องรักษาข้อมูลอะไร และข้อมูลอ่อนไหวพิเศษ เช่น รหัส หรือธุรกรรมของลูกค้าไว้เป็นความลับห้ามทำให้รั่วไหลออกไปสู่บุคคลอื่น   หรือบอกเงื่อนไขการใช้ประโยชน์ของข้อมูลบางประเภท ว่านำข้อมูลไปขายต่อให้บริษัทวิเคราะห์ข้อมูลทางการตลาดได้หรือไม่อย่างไร

3.       การกำหนดหน้าที่ของผู้ควบคุมระบบและประมวลผลข้อมูล (Obligation of Data Controller and Processor) เนื่องจากผู้ที่จัดการข้อมูลทางเทคนิค คือ ผู้ประกอบการที่ได้ข้อมูลมา และอาจประมวลวิเคราะห์ผลจนได้รายงานต่างๆ แล้วส่งข้อมูลต่อ และขายต่อได้  เช่น กำหนดว่าผู้ให้บริการอินเตอร์เน็ตยี่ห้อต่างๆ ต้องรักษาข้อมูลการเข้าใช้เว็บไซต์ของประชาชน ไม่นำไปขายต่อให้บริษัทที่ปรึกษาทางธุรกิจโดยพลการ   หรือไม่ส่งข้อมูลการใช้อินเตอร์เน็ตของประชาชนให้หน่วยงานความมั่นคงของรัฐ โดยไม่มีหมายศาลสั่งมา

4.       การประกันสิทธิในข้อมูลส่วนบุคคลของประชาชน/ผู้บริโภค (Affirmation of Individual Rights or Rights of Data Subjects) โดยการลงลึกในสิทธิย่อยๆ เช่น เจ้าของข้อมูลส่วนบุคคลต้อง “ยินยอม” ก่อนที่ผู้ประกอบการจะเอาข้อมูลไปใช้ประโยชน์ หรือผู้ให้บริการต้องแจ้งเจ้าของข้อมูลว่าจะมีการเก็บข้อมูลส่วนบุคคล   ดังกรณีที่ก่อนการติดตั้งแอพลิเคชั่น หรือเข้าใช้เว็บไซต์ต่างๆ จะมีการแจ้งเตือนเรื่องสิทธิส่วนบุคคลทั้งหลาย (Privacy Policy)

5.       การกำหนดขอบเขตและเงื่อนไขในการจัดเก็บข้อมูลส่วนบุคคลและประมวลผล (Scope and Condition of Data Collection and Processing) โดยกำหนดหน้าที่ให้ผู้ควบคุมข้อมูลจัดการโดยเชื่อมโยงกับสิทธิของเจ้าของข้อมูลส่วนบุคคล เช่น การบอกวัตถุประสงค์ในการเก็บข้อมูล ระยะเวลาในการเก็บข้อมูล จะทำลายข้อมูลทิ้งเมื่อไหร่ และจัดเก็บข้อมูลไว้ที่ไหน ประชาชนจะเข้าตรวจสอบความถูกต้องของข้อมูลที่เกี่ยวข้องกับตัวเองได้หรือไม่

6.       การกำหนดเงื่อนไขในการส่งข้อมูลไปให้บุคคลที่สามหรือข้ามพรมแดน (Transfer of Data/Information to Third Party or International) ครอบคลุมกรณีที่ผู้ที่จัดการข้อมูลรายแรกส่งต่อข้อมูลไปยังบริษัทแม่ของตนที่อยู่ต่างประเทศ หรือการส่งข้อมูลจากผู้ประกอบการรายหนึ่งไปผู้ประกอบการรายอื่น   เช่น   บริษัทกูเกิลในยุโรปต้องให้หลักประกันว่าการส่งข้อมูลไปยังกูเกิลสหรัฐจะมีการดูแลข้อมูลส่วนบุคคลตามมาตรฐานของอียู (Safe Harbor)  หรือ บริษัทที่ทำเกมส์ออนไลน์จะต้องแจ้งผู้เล่นเกมส์ว่าจะขายข้อมูลอะไรของผู้เล่นให้บริษัทการตลาดบ้าง

7.       มาตรการปกป้องข้อมูลส่วนบุคคลจากภัยพิบัติหรืออาชญากรรม (Security Measure for Protecting of the Personal Data) เนื่องจากหน่วยงานรัฐ/ผู้ประกอบการเก็บข้อมูลของผู้ใช้บริการไว้จึงมีหน้าที่ป้องกันภัยจาการโจรกรรมของข้อมูลโดยอาชญากร หรือแม้แต่การจารกรรมข้อมูลโดยผู้ก่อการร้าย หรือหน่วยงานรัฐ  รวมไปถึงกรณีเกิดภัยพิบัติธรรมชาติด้วย   เช่น   ผู้ประกอบการมักแจ้งว่าระบบของตนได้ติดตั้งเทคโนโลยีป้องกันที่ได้มาตรฐาน ISO ด้านการป้องกันความเสี่ยงต่อข้อมูล เพื่อสร้างความมั่นใจว่าจะไม่ถูกลักหรือดัดแปลงข้อมูล

8.       ข้อยกเว้น (Exception on National Security, Public order, health, morality or protect others’ right) ด้วยเหตุผลในการรักษาความมั่นคงแห่งบูรณภาพแห่งรัฐ หรือความสงบเรียบร้อยของสาธารณชน ความปลอดภัยสุขอนามัย ศีลธรรมอันดี หรือเพื่อปกป้องสิทธิของประชาชนคนอื่น   รัฐอาจใช้อำนาจในการขอข้อมูลส่วนบุคคลที่เป็นภัยตามกระบวนการที่กฎหมายกำหนด เช่น ขอหมายศาลเพื่อขอให้ผู้บริการอินเตอร์เน็ตรวบรวมข้อมูลการแชทเพื่อล่อลวงเยาวชนของอาชญากร มาเพื่อติดตามตัวเด็กที่ล่อลวงกลับมา และดำเนินคดีกับผู้ล่อลวง เป็นต้น โดยข้อยกเว้นทั้งหลายจะต้องมีลักษณะเฉพาะเจาะจง กล่าวคือเป็นความผิดตามประมวลกฎหมายอาญา หมวดความมั่นคงแห่งรัฐ ความสงบสุข ชีวิต ทรัพย์สิน นั่นเอง มิใช่การใช้อำนาจตามอำเภอใจโดยปราศจากการตรวจสอบจากศาล หรือกลไกคุ้มครองสิทธิทั้งหลาย

9.       การสร้างกลไกหรือองค์กรในการคุ้มครองข้อมูลส่วนบุคคล (Mechanism and Supervisory Authority for Personal Data Protection) การพูดปาวๆว่าจะคุ้มครองสิทธิของผู้ใช้อินเตอร์เน็ตโดยที่ไม่มีกลไกที่ใช้อำนาจบังคับ หรือแก้ไขปัญหา เท่ากับเป็นเพียงเสือกระดาษ จึงต้องตั้งองค์กรขึ้นตรวจตราหน่วยงาน/ผู้ประกอบการต่างๆ ให้ปฏิบัติตามกฎหมาย เช่น การปรับบทบาทของหน่วยงาน/องค์กรอิสระด้านเทคโนโลยีสารสนเทศโทรคมนาคมให้รับเรื่องร้องทุกข์จากประชาชนที่ถูกละเมิดสิทธิ และออกมาตรการต่างๆเพื่อบังคับผู้ประกอบการ/หน่วยงานให้แก้ไขปัญหา หรือเป็นตัวแทนประชาชนในการฟ้องบัคับคดีในศาล

10.    การบังคับตามสิทธิโดยกำหนดมาตรการทางกฎหมายมหาชนและโทษทางอาญา (Enforcement by Criminal Punishment and Administrative Measure (Erase, Cease, Rectify)) เมื่อมีกรณีที่เจ้าของข้อมูลส่วนบุคคลนั้นสงสัยว่าผู้ควบคุมข้อมูลหรือผู้ประมวลผลทำการฝ่าฝืนกฎหมาย จะต้องออกแบบกลไกในการเข้าไปตรวจสอบ เพื่อระงับการละเมิดสิทธิ ปรับปรุงแก้ไขปัญหา หรือทำลายข้อมูลทิ้งที่เก็บหรือประมวลผลโดยขัดกับกฎหมายหรือผิดสัญญาที่ตกลงไว้กับผู้ใช้บริการทั้งหลาย   เช่น   กรณีมีผู้ร้องเรียนว่าสถาบันทางการเงินเอาข้อมูลของลุกค้าไปขายต่อให้บริษัทอื่นๆ จนมีการติดต่อมาขายสินค้าทางโทรศัพท์หรืออีเมลล์ที่ได้มาจากสถาบันการเงินเหล่านั้น โดยที่เจ้าของข้อมูลมิได้ยินยอม  ก็ต้องมีการกำหนดบทลงโทษทางอาญาและมีมาตรการบังคับให้ยุติการส่งข้อมูลหรือทำลายข้อมูลทิ้งเสีย เพื่อป้องกันการนำข้อมูลไปใช้โดยไม่ได้รับอนุญาต

11.    การสร้างช่องทางรับเรื่องร้องทุกข์และกลไกเยียวยาสิทธิให้ประชาชน (Individual’s Complaint and Remedy) เนื่องจากผู้ใช้บริการคนเดียวอาจมีอำนาจต่อรองน้อยกว่าบรรษัทหรือหน่วยงานรัฐที่เก็บข้อมูลของตนไว้ จึงต้องสร้างกลไกที่รับปัญหาของประชาชน เพื่อนำไปสู่การหามาตรการเยียวยาอย่างเป็นรูปธรรม เช่น ถ้าเจ้าของข้อมูลเห็นว่าเว็บไซต์จัดหางานแห่งหนึ่งมีชุดข้อมูลที่เกี่ยวข้องกับตัวเองซึ่งมีประวัติการทำงานผิดไป หรือมีเนื้อหาเท็จเกี่ยวกับชีวิตของตน ก็สามารถร้องขอให้ศาลหรือองค์กรคุ้มครองข้อมูลส่วนบุคคลบังคับให้เว็บไซต์เหล่านั้นลบข้อมูล หรือแก้ไขข้อมูลให้ถูกต้อง

หลักการทั้ง 11 นั้นมีผลบังคับตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลในรัฐชั้นนำด้านเทคโนโลยีสารสนเทศและเป็นผู้นำด้านเศรษฐกิจดิจิตอล   อีกทั้งจะเป็นแบบกำหมายหลักที่จะสร้างมาตรฐานร่วมกันในระดับโลกในอนาคตอันใกล้ เนื่องจากการเชื่อมโยงกิจกรรมทางเศรษฐกิจผ่านอินเตอร์เน็ตมิอาจอ้างกฎหมายของรัฐใดรัฐหนึ่งเหนือรัฐอื่นได้อีกต่อไป   ดังนั้นการออกกฎหมายในประเทศไทยจึงต้องคำนึงถึงหลักการข้างต้นด้วย

มิเช่นนั้น ไทยก็จะกลายเป็นหลุมดำที่ ผู้ประกอบการระดับโลกหลีกเลี่ยง และผู้ประกอบการและแบรนด์ไทย ก็จะเป็นที่หวาดกลัวของผู้บริโภคทั้งโลก   (กรุณาอย่าเอาไทยไปเทียบกับจีนที่มีคนใช้อินเตอร์เน็ตหลายร้อยล้านคน เขาหากินกับตลาดภายในได้โดยไม่ต้องคำนึงตลาดโลกเพราะตลาดตัวเองใหญ่มาก)

สำหรับภาคประชาสังคมที่เคลื่อนไหวด้านสิทธิของพลเมืองในโลกออนไลน์ ก็มีหลัก 6 ประการของสิทธิในข้อมูลส่วนบุคคลของประชาชนอยู่ (หลัก 6 ประการของสหราชอาณาจักรนี้เป็นที่รับรู้ และสิงคโปร์ ฮ่องกง ฮับด้านไอทีในอาเซียน และเอเชีย ใช้เป็นพื้นฐานในการออกกฎหมายเพื่อสร้าง “ความเชื่อมั่น” ให้ผู้ใช้บริการและดึงดูดบรรษัทด้านไอทีชั้นนำของโลก)

 

หลักทั้ง 6 ประการ The rights of individuals (Principle 6) ได้แก่

  1. สิทธิในการเข้าถึงข้อมูลส่วนบุคคลของตนและทำสำเนาข้อมูลที่เกี่ยวข้องกับตนได้ a right of access to a copy of the information comprised in their personal data;
  2. สิทธิในการปฏิเสธกระบวนการประมวลผลข้อมูลที่จะสร้างความเสียหายเดือดร้อนให้ตน a right to object to processing that is likely to cause or is causing damage or distress;
  3. สิทธิในการป้องกันการประมวลผลข้อมูลเพื่อการตลาดทางตรง a right to prevent processing for direct marketing;
  4. สิทธิในการปฏิเสธการตัดสินโดยระบบประมวลผลอัตโนมัติ a right to object to decisions being taken by automated means;
  5. สิทธิในการเข้าไปแก้ไขข้อมูลที่ไม่ถูกต้อง หรือสกัดกั้นการเข้าถึง ลบล้าง หรือทำลายข้อมูลที่คลาดเคลื่อนเหล่านั้น a right in certain circumstances to have inaccurate personal data rectified, blocked, erased or destroyed; and
  6. สิทธิในการเรียกร้องการชดใช้เยียวยาสำหรับความเสียหายที่เกิดจากการละเมิดสิทธิในข้อมูลส่วนบุคคล a right to claim compensation for damages caused by a breach of Personal Data.

สิทธิทั้ง 6 ประการที่กล่าวไปนี้ เป็นเพียงสิทธิขั้นต่ำสุด ที่รัฐและผู้ให้บริการทั้งหลายพึงแสดงความโปร่งใสในการปกป้อง เพื่อคุ้มครองข้อมูลส่วนบุคคล อันเป็นพื้นฐานของ “ความมั่นใจ” ในการใช้อินเตอร์เน็ตที่จะเป็นตัวกำหนดความเจริญก้าวหน้าของดิจิตอลอีโคโนมี่สืบไป

เศรษฐกิจดิจิตอลจะโตอย่างต่อเนื่องก็เมื่อมีคนเข้าไปใช้งานเยอะ มีปริมาณข้อมูลให้ประมวลศึกษาแล้วคิดค้นบริการใหม่ๆ ขึ้นมาตอบสนองความต้องการของผู้ใช้อินเตอร์เน็ตอย่างหลากหลาย   แต่ถ้าประชาชนรู้สึกว่ามีสายลับคอยจับตาพฤติกรรมของตนบนอินเตอร์เน็ตเสียแล้ว ก็คงไม่แคล้วต้องหลบซ่อนตัว ไม่แสดงตัวตนและพฤติกรรมที่แท้จริงออกมา เพราะว่าไม่อยากเสี่ยงต่อการ “จับแก้ผ้า” ในที่สาธารณะ   โดยการเอาข้อมูลการใช้อินเตอร์เน็ตมาทำลายภาพลักษณ์ หรือถูกดักทางด้วยการสอดส่องโดยฝ่ายความมั่นคงตลอดเวลาเป็นแน่   นี่คือสิ่งที่ผู้มีอำนาจในการผลักดันกฎหมายต้องคิดให้หนัก

หาไม่แล้ว ก็เป็นเพียงการอ้างชื่อ “การรักษาความมั่นคงในโลกไซเบอร์”   เพื่อสร้างความมั่นคงให้ผู้กุมอำนาจรัฐเท่านั้น

การเมืองของกฎหมาย 59 : อาเซียน กับ หลักการไม่แทรกแซงกิจการภายในรัฐ

การรวมกลุ่มประเทศในระดับภูมิภาคเพื่อสร้างนโยบาย หรือกฎหมายร่วมกันของรัฐสมาชิก ตั้งอยู่บนหลักความสมัครใจเข้าร่วมของรัฐ โดยส่วนใหญ่ยึดถือเจตจำนงของรัฐเป็นสำคัญเหนือสิ่งอื่นใด   เนื่องจากรัฐทั้งหลายที่เข้ารวมกลุ่มนั้นย่อมีความหวังที่จะบรรลุเป้าหมายความเจริญก้าวหน้า และประโยชน์ของรัฐตนเป็นที่ตั้ง  หล

การเมืองของกฎหมาย 58 : การเมืองในชีวิตทางเศรษฐกิจของแรงงานสร้างสรรค์

แรงงานสร้างสรรค์ในบทความนี้ที่จะพูดถึง คือ ผู้คนที่ทำงานในอุตสาหกรรมภาคสร้างสรรค์ เช่น คนทำสื่อสาระ บันเทิง ละคร นักเขียน ไปจนถึง นักแปล ดารา นักแสดง ศิลปิน ที่กลายเป็นอาชีพที่ปัญญาชน หรือผู้มีการศึกษายึดเป็นวิถีทางในการประกอบสัมมาอาชีพ หารายได้เลี้ยงดูตนเองและครอบครัว กันเป็นจำนวนมาก

การเมืองของกฎหมาย 57 : การเมืองเรื่องนางงาม

การประกวดความงามในช่วงหลังได้กลายเป็นเวทีแสดงพลังของความงดงามที่หลากหลาย และใช้ประเด็นการสร้างความเข้มแข็งให้สตรีเป็นแกนหลักส่งเสริมความงาม “อย่างมีคุณค่า”