แนวทางในการสร้างนโยบาย กฎหมาย และกลไกเพื่อคุ้มครองสิทธิประชาชนจากการสอดส่องโดยรัฐมาจาการทบทวนมาตรฐานและแนวทางตามมาตรฐานสากลเพื่อสร้างข้อเสนอแนะเชิงนโยบายครอบคลุม 2 ประเด็นหลัก คือ
1) เนื้อหาของนโยบายและกฎหมาย รวมถึงรูปแบบกลไกสนับสนุนการสื่อสารโดยปราศจากการแทรกแซงสอดส่องของรัฐในโลกไซเบอร์อย่างเหมาะสมและมีประสิทธิภาพ เพื่อเตรียมนำไปผลักดันเข้าสู่กระบวนการยกร่างกฎหมายในหลายระดับ
2) รูปแบบกลไกเยียวยาสิทธิ ที่จำเป็นเมื่อประประชาชนตกอยู่ในภาวะเสี่ยงที่จะถูกละเมิดสิทธิ โดยออกแบบกฎหมายและกลไกป้องกันการละเมิดสิทธิจากภาครัฐโดยใช้อำนาจโดยมิชอบจำกัดเสรีภาพในการรวมกลุ่มและแสดงออกของประชาชนภายใต้รัฐธรรมนูญและกฎหมายสิทธิมนุษยชนระหว่างประเทศที่ไทยเป็นภาคี อันเป็นการเสริมสร้างขีดความสามารถเพื่อพัฒนาสันติวิธีในยุคดิจิทัล
เพื่อเป็นแนวทางในการสร้างข้อเสนอแนะเชิงนโยบายสำหรับการพัฒนามาตรการคุ้มครองพลเมืองจากการสอดส่องการสื่อสารโดยรัฐ โดยในงานวิจัยนี้จะมุ่งเป้าไปที่การออกกฎหมายระดับพระราชบัญญัติ หรือกฎหมายระดับรอง เช่น การออกประกาศ มาตรฐานการคุ้มครองความมั่นคงปลอดภัยในความเป็นส่วนตัวและข้อมูลส่วนบุคคล ตามนัยแห่ง มาตรา 4 วรรคหนึ่ง อนุ 2 และวรรคสาม ที่ต้องสร้างมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลขึ้นมาปกป้องสิทธิของประชาชนแม้จะมีกฎหมายเกี่ยวกับความมั่นคงที่ให้อำนาจรัฐในการสอดส่องการสื่อสารของประชาชนในลักษณะที่เป็นการละเมิดสิทธิในความเป็นส่วนตัวของประชาชน
แนวทางในการกำกับดูแลปฏิบัติการสอดส่องและสร้างความโปร่งใสในระบบข่าวกรอง คือ แนวทางตามรายงานของสำนักงานข้าหลวงใหญ่เพื่อสิทธิมนุษยชนแห่งองค์กรสหประชาชาติ (Report of the Office of the United Nations High Commissioner for Human Rights) ซึ่งนำเสนอสถานการณ์ของสิทธิส่วนบุคคลในโลกยุคดิจิทัล (The right to privacy in the digital age) ว่าแม้หลักกฎหมายระหว่างประเทศที่ว่าด้วยสิทธิมนุษยชนจะได้กำหนดกรอบทางกฎหมายให้รัฐมีหน้าที่อันเกี่ยวกับการสนับสนุนและการปกป้องคุ้มครองสิทธิส่วนบุคคลของปัจเจกบุคคลไว้อย่างเป็นสากล (Universal) แต่ก็ยังปรากฏให้เห็นถึงกรณีที่มีการกระทำอันเป็นละเมิดสิทธิมนุษยชนให้เห็นอยู่ดาษดื่น เนื่องจากในทางปฏิบัติแล้ว หลายรัฐยังคงขาดบทบัญญัติ และ/หรือ การบังคับกฎหมายเพื่อควบคุมการทำงานของเจ้าหน้าที่รัฐที่เพียงพอ และอาจมีกระบวนการป้องกันหรือเฝ้าระวังที่อ่อนแอและไร้ประสิทธิภาพ รวมถึงบางรัฐก็ไม่อาจหยิบยื่นความรับผิดให้แก่เจ้าหน้าที่รัฐที่ปฏิบัติหน้าที่เกี่ยวกับการสอดส่องในลักษณะที่เป็นการละเมิดสิทธิส่วนบุคคล อันเนื่องมากจากการใช้อำนาจตามอำเภอใจหรือไม่ชอบด้วยกฎหมายได้
จึงมีความจำเป็นที่ต้องสร้างมาตรการคุ้มครองสิทธิประชาชนจากการสอดส่องโดยรัฐบนพื้นฐานของหลักการดังต่อไปนี้
1. โครงการสอดส่องการสื่อสารใด ๆ ต้องดำเนินไปบนพื้นฐานกฎหมายที่เข้าถึงได้อย่างเปิดเผย และย่อมสอดคล้องกับกรอบตามรัฐธรรมนูญของตนและกฎหมายสิทธิมนุษยชนระหว่างประเทศ เป็นไปตามกรอบกฎหมายที่ (ก) เข้าถึงได้อย่างเปิดเผย (ข) มีตัวบทซึ่งประกันให้มีการออกแบบการเก็บ เข้าถึง และใช้ประโยชน์จากข้อมูลการสื่อสารเพื่อตอบสนองเป้าประสงค์ที่ชอบด้วยกฎหมายอย่างชัดเจน (ค) มีเนื้อหาชัดเจนมากเพียงพอพร้อมกับกำหนดเงื่อนไขอย่างเฉพาะเจาะจงว่าการแทรกแซงดังกล่าวอาจเกิดขึ้นได้ในกรณีใด ต้องผ่านขั้นตอนการอนุมัติแบบใด บุคคลประเภทใดที่อาจตกเป็นเป้าหมายการสอดแนม ข้อจำกัดด้านระยะเวลาของการสอดแนม และการใช้และเก็บรักษาข้อมูลและ (ง) กำหนดมาตรการคุ้มครองที่เป็นผลเพื่อไม่ให้เกิดการปฏิบัติมิชอบ
2. คำสั่ง ประกาศ กฎลับและการตีความกฎหมายแบบปิดลับ หรือกระทั่งการตีความของศาลแบบลับหลังสาธารณชน ถือว่าขาดคุณสมบัติที่จำเป็นที่ชอบด้วย “กฎหมาย” ทั้งกฎหมายหรือคำสั่งทั้งหลายต้องไม่ให้อำนาจวินิจฉัยอย่างเกินขอบเขตกับหน่วยงานฝ่ายบริหาร ไม่ว่าจะเป็นหน่วยงานความมั่นคงหรือข่าวกรอง
3. บุคคลทุกคนมีสิทธิที่จะได้รับความคุ้มครองตามกฎหมายมิให้ถูกแทรกแซงหรือลบหลู่เช่นว่านั้น “ความคุ้มครองตามกฎหมาย” ต้องเป็นจริงขึ้นมาได้เมื่อมีขั้นตอนปฏิบัติเพื่อคุ้มครอง รวมทั้งมีโครงสร้างเชิงสถาบันที่เป็นผลและได้รับการอุดหนุนด้านทรัพยากรอย่างเพียงพอ แต่เป็นที่ชัดเจนว่า การขาดการกำกับดูแลอย่างเป็นผล ส่งผลให้เกิดความบกพร่องในการตรวจสอบการสอดส่องโดยรัฐที่ละเมิดสิทธิส่วนบุคคลของประชาชน นอกจากการตรวจสอบการสอดส่องโดยองค์กรภายนอกแล้วการมีส่วนร่วมของหน่วยงานทุกแห่งของรัฐบาลที่ทำหน้าที่กำกับดูแลโครงการสอดแนม รวมทั้งหน่วยงานฝ่ายพลเรือนที่เป็นอิสระและมีหน้าที่กำกับดูแล เป็นปัจจัยสำคัญเพื่อประกันให้มีการคุ้มครองตามกฎหมายอย่างเป็นผล
4. บทบาทด้านตุลาการที่สอดคล้องกับมาตรฐานระหว่างประเทศในแง่ความเป็นอิสระ ความไม่ลำเอียง และความโปร่งใส อาจมีส่วนสนับสนุนให้ระบบการกำกับดูแลตามกฎหมายทำหน้าที่ได้ตามมาตรฐานขั้นต่ำตามข้อกำหนดของกฎหมายสิทธิมนุษยชนระหว่างประเทศ รัฐจะต้องไม่อนุญาตให้มีระบบสอดแนมข้อมูลอย่างเป็นความลับที่ไม่ถูกตรวจสอบโดยหน่วยงานกำกับดูแลที่เป็นอิสระ และการแทรกแซงการสื่อสารใด ๆ ต้องได้รับอนุมัติจากหน่วยงานอิสระเสียก่อน
5. การเยียวยาที่เป็นผลสำหรับการละเมิดความเป็นส่วนตัวที่เกิดจากการสอดแนมข้อมูลดิจิทัล จึงอาจปรากฏในหลายรูปแบบทั้งที่ผ่านศาล ด้านนิติบัญญัติ หรือบริหาร โดยการเยียวยาที่เป็นผลมักจะมีลักษณะร่วมกันบางประการ โดยการเยียวยาเหล่านี้ต้องเป็นที่รับรู้และเข้าถึงได้โดยบุคคลทุกคนที่มีข้ออ้างว่าสิทธิของตนได้ถูกละเมิด การรับแจ้งข้อมูล (ทั้งกรณีที่มีระบบการสอดแนมข้อมูลโดยทั่วไปและมาตรการสอดแนมข้อมูลเป็นการเฉพาะ) และสิทธิการฟ้อง และอาจกำหนดให้มีการแจ้งข้อมูลในลักษณะนี้เป็นคดีอาญา
6. การเยียวยาที่เป็นผลต้องเกิดขึ้นพร้อมกับการสอบสวนโดยพลัน อย่างรอบด้านและอย่างไม่ลำเอียงต่อข้อกล่าวหาว่ามีการละเมิดเกิดขึ้น โดยจัดให้มี “หน่วยงานกำกับดูแลที่เป็นอิสระ” ใต้การกำกับดูแลของกระบวนการอันควรและอยู่ใต้การกำกับดูแลของศาลตามครรลองระบอบประชาธิปไตย โดยต้องทำให้การเยียวยาเป็นผลโดยสามารถยุติการละเมิดอย่างต่อเนื่องได้ เช่น สามารถสั่งการให้ลบข้อมูลหรือให้มีการชดใช้อย่างอื่น หากยังมีการละเมิดสิทธิมนุษยชนเพิ่มสูงขึ้นจนถึงระดับที่เป็นการละเมิดอย่างร้ายแรง การเยียวยาจากหน่วยงานอื่นยกเว้นศาลอาจไม่เพียงพอ โดยจำเป็นต้องมีการฟ้องคดีทางอาญาเสริมไปด้วย
7. จากแนวทางทีสหประชาชาติได้วางไว้ข้างต้นสามารถสังเคราะห์เป็นเนื้อหา บทบัญญัติทางกฎหมาย กลไกตรวจสอบสอบถ่วงดุล และการเยียวยาสิทธิประชาชน ได้ตามลักษณะกฎหมายที่จะประกาศซึ่งวางอยู่บนหลักการและบทบัญญัติดังต่อไปนี้
ข้อ 1. ควรเริ่มจากการให้ “นิยาม” โดยต้องกำหนดขอบเขตของ “ความมั่นคงปลอดภัย” บนพื้นฐานของสิทธิในการความเป็นส่วนตัวและการคุ้มครองข้อมูลส่วนบุคคลในการสื่อสารของประชาชน โดยให้หมายความว่า การธำรงไว้ซึ่งความลับ (confidentiality) ความถูกต้อง สมบูรณ์ (integrity) และสภาพพร้อมใช้งาน (availability) ของข้อมูลส่วนบุคคลและการสื่อสาร ทั้งนี้ เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข ดัก สอดแนม หรือเปิดเผยเนื้อหาของการสื่อสารและข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ
ข้อ 2. ผู้ควบคุมระบบสื่อสารต้องรักษาความเป็นส่วนตัวและคุ้มครองข้อมูลส่วนบุคคล โดยมีหน้าที่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข ดัก สอดแนม หรือเปิดเผยเนื้อหาของการสื่อสารและข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ โดยมาตรการรักษาความมั่นคงปลอดภัยดังกล่าว จะต้องได้มาตรฐานขั้นต่ำ ดังต่อไปนี้
(1) มาตรการรักษาความมั่นคงปลอดภัยในการสื่อสาร จะต้องครอบคลุมการเก็บรวบรวม ใช้ ดัก สอดแนม และเปิดเผยเนื้อหาของการสื่อสารและข้อมูลส่วนบุคคล ตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลและกฎหมายคุ้มครองความเป็นส่วนตัวในการสื่อสาร ไม่ว่าเนื้อหาของการสื่อสารและข้อมูลส่วนบุคคลดังกล่าวจะอยู่ในรูปแบบเอกสารหรือในรูปแบบอิเล็กทรอนิกส์ หรือรูปแบบอื่นใดก็ตาม
(2) มาตรการรักษาความมั่นคงปลอดภัยในการสื่อสาร มีองค์ประกอบครอบคลุม มาตรการเชิงสถาบัน (institutional measures) และมาตรการเชิงปฏิบัติการ (practical measures) ที่เพียงพอ โดยมีมาตรการทางกายภาพ (physical measures) ที่จำเป็นในการเสริมสร้างความมั่นคงปลอดภัยในการสื่อสารด้วย ทั้งยังต้องคำนึงถึงการประเมินระดับความเสี่ยงตามลักษณะและวัตถุประสงค์ของการเก็บรวบรวม ใช้ ดัก สอดแนม และเปิดเผยเนื้อหาของการสื่อสารและข้อมูลส่วนบุคคล ไปจนถึงความเปราะบางและผลกระทบจากสถานการณ์ละเมิดสิทธิความเป็นส่วนตัวและข้อมูลส่วนบุคคล
(3) มาตรการรักษาความมั่นคงปลอดภัยในการสื่อสาร จะต้องคำนึงถึงการดำเนินการตามกระบวนการคุ้มครองสิทธิความเป็นส่วนตัวและข้อมูลส่วนบุคคลที่เป็นสากล ตั้งแต่การบ่งชี้ความเสี่ยงที่สำคัญที่อาจจะเกิดขึ้นและแสดงให้เห็นทรัพย์สินสารสนเทศ (information assets) ที่สำคัญ (“Identify”) การป้องกันความเสี่ยงที่สำคัญที่อาจจะเกิดขึ้น (“Protect”) การสอบสวนและตรวจตราภัยคุกคามและเหตุการละเมิดความเป็นส่วนตัวและข้อมูลส่วนบุคคล (“Detect”) การบริหารสถานการณ์เพื่อตอบสนองได้อย่างเหมาะสมเมื่อมีการตรวจพบภัยคุกคามและเหตุการละเมิดความเป็นส่วนตัวและข้อมูลส่วนบุคคล (“Respond”) ไปจนถึงการเยียวยาและฟื้นฟูความเสียหายที่เกิดจากภัยคุกคามหรือเหตุการณ์ละเมิดความเป็นส่วนตัวและข้อมูลส่วนบุคคลให้กลับคืนสภาพ (“Recover”) ทั้งนี้ เท่าที่จำเป็น เหมาะสม และสามารถปฏิบัติได้ตามระดับความเสี่ยงของสถานการณ์
(4) มาตรการรักษาความมั่นคงปลอดภัยในการสื่อสาร จะต้องคำนึงถึงความสามารถในการรักษาความลับ (confidentiality) ความถูกต้องสมบูรณ์ (integrity) และอยู่ในสถานะพร้อมใช้งาน (availability) ในเนื้อหาของการสื่อสารและข้อมูลส่วนบุคคลไว้ได้อย่างสอดคล้องกับระดับความเสี่ยง โดยคำนึงถึงเงื่อนไขทางเทคโนโลยี บริบท สภาพแวดล้อม มาตรฐานที่เป็นสากลสำหรับหน่วยงานหรือกิจการในประเภทหรือลักษณะเดียวกันหรือใกล้เคียงกันอย่างยิ่ง ลักษณะและวัตถุประสงค์ของการเก็บรวบรวม ใช้ ดัก สอดแนม และเปิดเผยเนื้อหาการสื่อสารและข้อมูลส่วนบุคคล ทรัพยากรที่มีอยู่และความสามารถในการปฏิบัติตามมาตรฐานประกอบกัน
(5) สำหรับการเก็บรวบรวม ใช้ ดัก สอดแนม และเปิดเผยข้อมูลในการสื่อสารและส่วนบุคคลในรูปแบบอิเล็กทรอนิกส์ มาตรการรักษาความมั่นคงปลอดภัยดังกล่าว จะต้องครอบคลุมองค์ประกอบทั้งหลาย ของระบบสารสนเทศที่เกี่ยวข้องกับการเก็บรวบรวม ใช้ ดัก สอดแนม และเปิดเผยข้อมูลส่วนบุคคล เช่น ระบบและอุปกรณ์จัดเก็บข้อมูลการสื่อสารและส่วนบุคคล เครื่องมือสื่อสาร เครื่องมือเชื่อมต่อเครือข่ายสื่อสาร และอุปกรณ์ต่าง ๆ ที่ใช้ ระบบเครือข่าย ซอฟต์แวร์ และแอปพลิเคชัน อย่างสอดคล้องกับระดับความเสี่ยง โดยคำนึงถึงหลักการป้องกันเชิงลึกที่ประกอบด้วยการป้องกันหลายชั้น (defense in depth) ตามมาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสื่อสาร
(6) มาตรการรักษาความมั่นคงปลอดภัยในการสื่อสาร ส่วนที่เกี่ยวกับการเข้าถึง ใช้ เปลี่ยนแปลง แก้ไข ลบ ดักเก็บ หรือเปิดเผยข้อมูล ต้องประกอบด้วยการดำเนินการดังต่อไปนี้อย่างเหมาะสมตามระดับความเสี่ยงโดยคำนึงถึงความจำเป็นในการเข้าถึงและใช้งานตามลักษณะและวัตถุประสงค์ของการเก็บรวบรวม ใช้ ดัก สอดแนม และเปิดเผยข้อมูลส่วนบุคคล การรักษาความมั่นคงปลอดภัยตามระดับความเสี่ยง และความเป็นไปได้ในการดำเนินการประกอบกัน เป็นขั้นต่ำ ได้แก่
(ก) การควบคุมการเข้าถึงการสื่อสารและข้อมูลส่วนบุคคลและส่วนประกอบของระบบสารสนเทศที่สำคัญ (access control) ที่มีการพิสูจน์และยืนยันอัตลักษณ์ (identity proofing and authentication) และการอนุญาตหรือการกำหนดสิทธิในการเข้าถึงและใช้งาน (authorization) ที่เหมาะสม โดยคำนึงถึงหลักการให้สิทธิเท่าที่จำเป็น (principle of least privileges) ตามมาตรฐานการรักษาความมั่นคงปลอดภัยในการสื่อสาร
(ข) การบริหารจัดการบัญชีรายชื่อผู้ใช้งาน (user account management) ที่เพียงพอและทันสมัยและการบริหารมาตรการควบคุมการเข้าถึง อาทิ รหัสผ่าน (password) ที่ได้มาตรฐานความปลอดภัย
(ค) การกำหนดหน้าที่ความรับผิดชอบของผู้ใช้งาน (user responsibilities) เพื่อป้องกันการเข้าถึง ใช้ เปลี่ยนแปลง แก้ไข ลบ ดัก สอดแนม หรือเปิดเผยเนื้อหาการสื่อสารและข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ ซึ่งรวมถึงกรณีที่เป็นการกระทำนอกเหนือบทบาทหน้าที่ที่ได้รับมอบหมาย และการลักลอบทำสำเนาเนื้อหาการสื่อสารและข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ รวมถึงมีองค์กรตรวจตราการสอดส่องซึ่งสามารถใช้อำนาจตรวจสอบถ่วงดุลก่อนการสอดส่อง และวางมาตรการป้องกันการละเมดสิทธิในการสื่อสารได้
(ง) การจัดให้มีช่องทางและกลไกที่สามารถตรวจสอบย้อนหลังเกี่ยวกับการเข้าถึง เปลี่ยนแปลง แก้ไข ดัก สอดแนม หรือลบเนื้อหาการสื่อสารและข้อมูลส่วนบุคคล (audit trails) ที่เหมาะสมกับวิธีการและสื่อที่ใช้ในการเก็บรวบรวม ใช้ ดัก สอดแนม หรือเปิดเผยเนื้อหาการสื่อสารและข้อมูลส่วนบุคคล รวมถึงมีองค์กรรับเรื่องราวร้องทุกข์ที่มีผู้เชี่ยวชาญสามารถสืบสวนสอบสวนข้อเท็จจริงและทำข้อวินิจฉัยเพื่อกำหนดแนวทางในการชดใช้ค่าสินไหมทดแทนที่เหมาะกับความเสียหายได้
(7) มาตรการรักษาความมั่นคงปลอดภัยในการสื่อสารในเชิงป้องกัน ย่อหมายรวมถึงการสร้างเสริมความตระหนักรู้ด้านความสำคัญของการคุ้มครองสิทธิความเป็นส่วนตัวและการคุ้มครองข้อมูลส่วนบุคคลบนพื้นฐานของการรักษาความมั่นคงปลอดภัย (privacy and security awareness) โดยกำหนดให้มีแนวทางการแจ้งนโยบาย แนวปฏิบัติ และมาตรการด้านการคุ้มครองสิทธิความเป็นส่วนตัวและข้อมูลส่วนบุคคลและการรักษาความมั่นคงปลอดภัยของผู้ควบคุมระบบสื่อสารอย่างเหมาะสม ให้บุคลากร พนักงาน ลูกจ้าง หรือบุคคลอื่นที่เป็นผู้ใช้งานระบบสื่อสาร (user) หรือเกี่ยวข้องกับการเข้าถึง เก็บรวบรวม ใช้ เปลี่ยนแปลง แก้ไข ลบ ดัก สอดแนม หรือเปิดเผยข้อมูลส่วนบุคคล รับรู้และปฏิบัติตาม รวมทั้งกรณีที่มีการปรับปรุงแก้ไขนโยบาย แนวปฏิบัติ และมาตรการดังกล่าวด้วยโดยคำนึงถึงลักษณะและวัตถุประสงค์ของการเก็บรวบรวม ใช้ ดัก สอดแนม และเปิดเผยเนื้อหาการสื่อสารและข้อมูลส่วนบุคคล ระดับความเสี่ยง และความสามารถในการปฏิบัติตามมาตรฐานประกอบด้วย
ข้อ 3 ภายใต้บังคับของกฎหมายว่าด้วยการคุ้มครองความเป็นส่วนตัวและข้อมูลส่วนบุคคล ผู้ควบคุมระบบสื่อสารต้องทบทวนมาตรการรักษาความมั่นคงปลอดภัยในการสื่อสารตามข้อ 2 เมื่อมีเหตุจำเป็นหรือเมื่อพัฒนาการทางเทคโนโลยีสื่อสารเปลี่ยนแปลงไปเพื่อให้มีประสิทธิผลในการรักษาความมั่นคงปลอดภัยในการสื่อสารที่เหมาะสม โดยคำนึงถึงระดับความเสี่ยงตามเงื่อนไขทางเทคโนโลยี บริบท สภาพแวดล้อม มาตรฐานที่สากลสำหรับหน่วยงานหรือกิจการในประเภทหรือลักษณะเดียวกันหรือใกล้เคียงกันอย่างยิ่ง ลักษณะและวัตถุประสงค์ของการเก็บรวบรวม ใช้ ดัก สอดแนม และเปิดเผยเนื้อหาการสื่อสารและข้อมูลส่วนบุคคล ทรัพยากรที่ต้องใช้ และความเป็นไปได้ในการดำเนินการประกอบกันเมื่อมีสถานการณ์ละเมิดความเป็นส่วนตัวและข้อมูลส่วนบุคคล ให้ถือว่าผู้ควบคุมระบบสื่อสารมีความจำเป็นต้องทบทวนมาตรการรักษาความมั่นคงปลอดภัยเสียใหม่ เว้นแต่การละเมิดดังกล่าวไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคลอีกต่อไป ทั้งนี้ย่อมหมายรวมถึงการเตรียมความพร้อมของบุคลากรในกระบวนการยุติธรรมและตุลาการในการพิจารณาข้อเท็จจริงในมูลเหตุแห่งการละเมิดเพื่อเสริมความสามารถในการอำนวยความยุติธรรมแก่คดีความที่เกี่ยวข้อง
ข้อ 4 ภายใต้บังคับของกฎหมายว่าด้วยการคุ้มครองความเป็นส่วนตัวและข้อมูลส่วนบุคคล ผู้ควบคุมระบบสื่อสารและหน่วยงานรัฐภายนอกที่ประสานงานเพื่อให้ได้มาซึ่งเนื้อหาการสื่อสารและข้อมูลส่วนบุคคล จำต้องจัดให้มีข้อตกลงระหว่างผู้ควบคุมระบบสื่อสารและผู้ได้ไปซึ่งเนื้อหาการสื่อสารและข้อมูลส่วนบุคคล ที่รวมถึงการกำหนดให้ผู้ถือครองเนื้อหาการสื่อสารและข้อมูลส่วนบุคคลจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข ดัก สอดแนม หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ รวมทั้งแจ้งให้ผู้ควบคุมระบบสื่อสารทราบถึงเหตุการละเมิดความเป็นส่วนตัวและข้อมูลส่วนบุคคลที่เกิดขึ้น โดยมาตรการรักษาความมั่นคงปลอดภัยดังกล่าว จะต้องเป็นไปตามมาตรฐานขั้นต่ำตามข้อ 2 โดยคำนึงถึงระดับความเสี่ยงตามลักษณะและวัตถุประสงค์ของการเก็บรวบรวม ใช้ ดัก สอดแนม และเปิดเผยเนื้อหาการสื่อสารและข้อมูลส่วนบุคคล ตลอดจนความเปราะบางและผลกระทบจากสถานการณ์ละเมิดความเป็นส่วนตัวและข้อมูลส่วนบุคคล ทั้งนี้ผู้ควบคุมระบบสื่อสารและหน่วยงานรัฐที่ประสานงานการกันจะต้องมีการจัดทำบันทึกการประสานงาน กิจกรรมและลักษณะของการส่งต่อเนื้อหาการสื่อสารและข้อมูลส่วนบุคคล เพื่อเป็นหลักฐานในการตรวจสอบและดำเนินคดีในชั้นศาลด้วย
ข้อ 5 ในกรณีที่ผู้ควบคุมระบบสื่อสารและหน่วยงานของรัฐมีหน้าที่ตามกฎหมายอื่นในการจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยในการสื่อสาร เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข ดัก สอดแนมหรือเปิดเผยเนื้อหาการสื่อสารและข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ ซึ่งแตกต่างไปจากมาตรฐานของกฎหมายนี้ ให้ผู้ที่เกี่ยวข้องดำเนินการตามกฎหมายนั้น แต่มาตรการรักษาความมั่นคงปลอดภัยในการสื่อสารของผู้ควบคุมระบบสื่อสารและหน่วยงานของรัฐนั้น จะต้องเป็นไปตามมาตรฐานขั้นต่ำที่กำหนดในกฎหมายนี้ด้วย หาไม่แล้วจะต้องนำกฎหมายนี้มาบังคับใช้เพิ่มเติม
หากสถานการณ์ทางการเมืองและช่องทางนิติบัญญัติเปิดโอกาสก็สามารถนำหลักการและบทบัญญัตินี้ผลักดันเข้าสู่การร่างกฎหมายได้ทันที เพื่อสร้างมาตรการคุ้มครองประชาชานจากการสอดส่องการสื่อสาร โดยรัฐ
อ้างอิง
The United Nations, Report of the Office of the United Nations High Commissioner for Human Rights: The right to privacy in the digital age, High Commissioner for Human Rights, (New York: United Nations, 2014), https://www.ohchr.org/EN/HRBodies/HRC/ RegularSessions/Session27/Documents/A-HRC-27-37_en.doc
*บทสังเคราะห์แนวทางคุ้มครองพลเมืองจากการสอดส่องโดยรัฐของวิจัย การพัฒนามาตรการคุ้มครองพลเมืองจากการสอดส่องการสื่อสารโดยรัฐ, 2565. สนับสนุนทุนโดย มหาวิทยาลัยเชียงใหม่.