ผ่านไปใหม่หมาดสำหรับกฎหมายที่ได้รับการกล่าวถึงมาตั้งแต่ต้นปี 2563 จนกระทั่งถึงวันนี้ PDPA (Personal Data Protection Act) หรือ ‘พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562’ มีผลบังคับใช้บางมาตราเป็นที่เรียบร้อยเมื่อวันที่ 27 พฤษภาคม ที่ผ่านมา พร้อมๆ กับคำถามตามมาไม่น้อยที่อาจจะรวบยอดได้ว่า “เราจะทบทวนเส้นแบ่งของความเป็นส่วนตัวกันใหม่อย่างไร”
ในยุคที่ข้อมูลส่วนบุคคลมีมูลค่ามหาศาล แต่ก็พ่วงสถานะแขวนอยู่บนเส้นด้ายด้วย คำอธิบายถัดจากนี้ของ ฐิติรัตน์ ทิพย์สัมฤทธิ์กุล อาจารย์ประจำคณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์ จึงแม่นยำและจับความได้คมชัดว่า ภายใต้ขอบฟ้าของข้อมูลส่วนบุคคลที่ไหลเวียนอยู่มหาศาลนี้ เราจะปฏิบัติต่อกันอย่างไร
หากเปรียบ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ เป็นผลิตภัณฑ์ชิ้นหนึ่งที่ส่งจากผู้ผลิตไปยังผู้รับ บทสัมภาษณ์นี้ทำหน้าที่พิจารณาตั้งแต่ความตั้งใจของผู้ส่ง พลิกดูหีบห่อจนรอบด้านแล้วค่อยๆ แกะส่วนประกอบสินค้านั้นออกดูให้ครบถ้วนมากที่สุด แน่นอนคงหลงเหลือคำถามอยู่บ้าง รวมไปถึงอาจจะกระตุ้นให้เกิดคำถามใหม่ๆ ตามมาเช่นกัน
เรียนเชิญทุกท่านอ่านทัศนะตรงไปตรงมานี้จาก ฐิติรัตน์ ทิพย์สัมฤทธิ์กุล
ที่มาที่ไปของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาจากอะไร
ร่างกฎหมายเดิมมีมาตั้งแต่ปี 2540 ปีเดียวกับที่มีการตรา พ.ร.บ.ข้อมูลข่าวสารทางราชการ พ.ศ. 2540 ไล่เลี่ยกับการประกาศใช้รัฐธรรมนูญ พ.ศ. 2540 ที่ให้มีการเปิดเผยข้อมูลของทางราชการ หากนักข่าว เอ็นจีโอ หรือประชาชนต้องการเข้าถึงข้อมูล หลักการของกฎหมายคือการเปิดเผยข้อมูลที่ราชการถืออยู่ให้โปร่งใส แต่ก็ต้องมีการปกปิดข้อมูลในส่วนที่เป็นข้อมูลส่วนบุคคลด้วย ในแง่นี้ก็มีไอเดียกันตั้งแต่ตอนนั้นแล้วว่าต้องมีกฎหมายคุ้มครองข้อมูลส่วนบุคคลด้วย จึงเกิดการร่างกฎหมายนี้ตั้งแต่ช่วงนั้น กว่า 20 ปีแล้วที่ร่างกฎหมายฉบับนี้เข้าสภาอยู่หลายรอบ แต่ไม่ได้ออกมาเป็นพระราชบัญญัติเสียที นับว่าเป็นร่างฯ อาถรรพ์พอสมควร
สาเหตุที่ทำให้ร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ไม่ผ่านการพิจารณาเสียทีคืออะไร มีปัจจัยอะไรผลักดันให้กฎหมายที่ค้างอยู่กว่า 20 ปีนี้ออกมาได้
ในเวลานั้นเรื่องการคุ้มครองข้อมูลส่วนบุคคลยังไม่ใช่ความสำคัญลำดับแรกๆ ของสังคม ผู้คนยังไม่สนใจและไม่ได้ใช้สมาร์ทโฟนกันมากเท่าทุกวันนี้ แต่หากพูดในระดับสากลแล้ว ในเวลาเดียวกันนั้นเริ่มมีการรณรงค์ให้มีกฎหมายคุ้มครองสิทธิของบุคคลที่กำหนดว่า “เมื่อข้อมูลเราไปอยู่ที่ใคร เราต้องได้รู้”
เดิมทีเจ้าภาพของการร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล คือสำนักงานข้อมูลข่าวสารทางราชการ (สขร.) ซึ่งเป็นเจ้าภาพของ พ.ร.บ.ข้อมูลข่าวสารทางราชการด้วย ตอนหลังมีหลายฝ่ายเข้ามาร่วม หน่วยงานหนึ่งคือ ETDA (สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์) ที่เข้ามาดูกฎหมายฉบับนี้ในช่วงที่มีนโยบายเกี่ยวกับเศรษฐกิจดิจิทัล หรือแนวคิดไทยแลนด์ 4.0 หลังรัฐประหาร 2557 ไม่นาน พร้อมกับมีกฎหมายที่เรียกว่า ‘ชุดกฎหมายดิจิทัล’ ซึ่งมีทั้งร่างกฎหมายใหม่และร่างแก้ไขกฎหมายเดิม ที่พยายามจะจัดการสิ่งแวดล้อมให้พร้อมกับการมุ่งหน้าไปยังเศรษฐกิจดิจิทัล เช่น กฎหมายลิขสิทธิ์ฯ กฎหมายเกี่ยวกับธุรกรรมอิเล็กทรอนิกส์ กฎหมายเกี่ยวกับความมั่นคงไซเบอร์ มาจนถึง พ.ร.บ.คอมพิวเตอร์ฯ ฯลฯ ซึ่งตัวหลังนี้มีการรณรงค์กันเยอะเกี่ยวกับเนื้อหาที่ถูกแก้ และอันที่จริง พ.ร.บ.คอมพิวเตอร์ ก็มีปัญหามาตั้งแต่ปี 2550 อย่างไรก็ตามในชุดกฎหมายนี้ก็มีร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลอยู่ด้วย
อีกหนึ่งตัวเร่งที่สำคัญ คือ GDPR (General Data Protection Regulation – กฎหมายของสหภาพยุโรป ว่าด้วยมาตรการคุ้มครองความเป็นส่วนตัวของข้อมูลส่วนบุคคล) เป็นกฎหมายใหม่ของยุโรปที่พูดถึงการคุ้มครองข้อมูลส่วนบุคคล เดิมทียุโรปมีกฎหมายในส่วนนี้จริง แต่มีอยู่ในระดับ ‘directive’ บอกเป็นแนวทางไว้กว้างๆ เท่านั้นว่าตรงนี้จะเป็นเป้าหมายที่เราจะไปร่วมกันนะ ให้แต่ละประเทศไปออกกฎหมายของตัวเอง จะไม่ได้วางแนวทางไว้ชัดเจนเท่ากับกฎหมายในระดับ ‘regulation’
แต่แม้จะมี directive อยู่แล้วก็ยังมีอุปสรรคในการใช้งานข้อมูลหลายอย่าง เช่น ความยากลำบากในการส่งข้อมูลข้ามประเทศของแต่ละบริษัท ยังไม่สอดคล้องเต็มที่กับความต้องการของ EU ที่ส่งเสริมแนวทางตลาดเดียว (single market) เพื่อให้ตลาด EU ใหญ่ขึ้น สามารถไปต่อรองการค้ากับสหรัฐกับจีนได้ จึงมีความจำเป็นมากขึ้นที่จะต้องมีมาตรฐานเดียวกันที่ชัดเจนมากขึ้น เพราะตลาดดิจิทัลก็เป็นตลาดเดียวกัน ผู้บริโภคที่ใช้บริการบนโลกดิจิทัลไม่ได้สนใจว่าเป็นบริษัทของประเทศอะไร
จนถึงปี 2016 จึงมีการออกกฎหมาย GDPR ที่มีลักษณะ regulation แทนแบบ directive เพื่อสร้างมาตรฐานกลางที่ชัดเจนและเข้มงวดมากขึ้น และแต่ละประเทศสามารถนำกฎหมายฉบับใหม่นี้ไปใช้ได้เลย โดยให้มีระยะรอการบังคับใช้ 2 ปี แก่ 27 ประเทศสมาชิก และบังคับใช้ในปี 2018 เพื่อให้แต่ละประเทศมีเวลาไปปรับกฎหมายอื่นๆ ภายในประเทศให้มีความสอดคล้องและมีเวลายกเครื่องระบบภายในใหม่
หลังจากบังคับใช้ในปี 2018 คราวนี้กลายเป็นคลื่นใหญ่ที่ทั้งโลกต้องหันมาสนใจ เวลานั้นถ้าเราใช้บริการอีเมลของเมืองนอกจะพบว่า เริ่มมีข้อความส่งมาแจ้งการปรับปรุงนโยบายความเป็นส่วนตัว บางเจ้าระบุว่าจำเป็นต้องขอความยินยอมของคุณใหม่ เพื่อให้เป็นไปตามกฎหมายใหม่ของ EU อันนี้เป็นส่วนสำคัญที่เร่งให้ร่างกฎหมายไทยซึ่งค้างอยู่ในหน่วยงานราชการกว่า 20 ปี ได้รับการพิจารณาและผลักดันออกมาเป็นพระราชบัญญัติ
อีกประเด็นคือมีการหารือกันว่าถ้าไทยไม่มีกฎหมายคุ้มครองข้อมูลส่วนบุคคล มาตรฐานของไทยจะไม่เท่ากับประเทศอื่น ซึ่งถ้ามาตรฐานไม่เท่ากัน บริษัทที่ทำงานในระดับสากลจะทำงานยากขึ้น เช่น หากบริษัทที่ให้บริการด้านสุขภาพของ EU อยากจะทำการท่องเที่ยวเชิงสุขภาพ โดยพาผู้สูงอายุจากยุโรปมาเที่ยวพร้อมๆ กับพาไปตรวจสภาพร่างกาย หรือทำกายภาพบำบัดในเมืองไทยด้วย การที่จะส่งผู้สูงอายุมา บริษัทก็ต้องส่งข้อมูลของลูกค้ามาด้วย
กรณีนี้กฎหมาย EU บอกว่า “ถ้าส่งข้อมูลไป คุณต้องส่งไปยังประเทศที่มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลในระดับที่เพียงพอหรือใกล้เคียงกับ EU” แน่นอนว่ามีผลทำให้บริษัทเหล่านี้ตัดสินใจเลือกคู่ค้าด้วย ถ้าเมืองไทยมีกฎหมายคุ้มครองข้อมูลส่วนบุคคลก็อาจจะเป็นปัจจัยบวก แต่ถ้าไทยไม่มี แต่กลับเป็นมาเลเซียมี สิงคโปร์มี เลือกบริษัทในประเทศเหล่านั้นเป็นคู่ค้าก็จะง่ายกว่า
หากถามว่าอะไรเป็นตัวผลักให้กฎหมายฉบับนี้ออกมา ปัจจัยหลักคือต้องการอำนวยความสะดวกให้กับภาคธุรกิจ เพื่อที่ว่าข้อมูลจะได้ไหลเวียนง่ายขึ้น สามารถแข่งขันกับต่างประเทศได้ และหากเราติดตามความเห็นของรัฐมนตรีคนก่อน (พิเชฐ ดุรงคเวโรจน์-อดีตรัฐมนตรีว่าการกระทรวงวิทยาศาสตร์และเทคโนโลยี) หรือหน่วยงานที่เกี่ยวข้องต่างๆ จะพูดว่า “ทำอย่างไรให้กฎหมายไทยสามารถเทียบเคียงกับต่างประเทศได้” “ทำอย่างไรให้ธุรกิจบ้านเราแข่งขันกับต่างประเทศได้”
แต่ไอเดียเบื้องหลังของการไหลเวียนอย่างสะดวกของข้อมูลจริงๆ นั้นคือ ความไว้วางใจกันของคนในสังคม ถ้าผู้บริโภคไม่มีความเชื่อใจในสินค้าหรือบริการว่าข้อมูลของเขาจะถูกนำไปใช้อย่างปลอดภัย หรือไม่เชื่อในการคุ้มครองข้อมูลส่วนบุคคล เขาก็จะไม่ใช้ และเมื่อไม่มีใครใช้ การไหลเวียนของข้อมูลก็จะสะดุดลง
กฎหมายฉบับนี้อนุญาตให้ใครมีสิทธิเข้าถึงข้อมูลได้บ้าง และสามารถนำข้อมูลไปใช้ทำอะไรบ้าง
หลักการคือหน่วยงานต่างๆ ที่ต้องการนำข้อมูลส่วนบุคคลไปใช้จะต้องมีเหตุผลที่จำเป็น อธิบายได้ว่าจะนำไปใช้ทำไม ยกตัวอย่าง หากต้องการขายสินค้าออนไลน์ ก็ต้องใช้ที่อยู่ผู้รับ ไม่เช่นนั้นจะส่งสินค้าให้ลูกค้าไม่ได้ แต่ถามต่ออีกว่า แล้วต้องรู้เลขบัตรประจำตัวประชาชนของผู้รับด้วยไหม ตรงนี้อาจจะไม่จำเป็นที่จะต้องยืนยันตัวตน แต่ถ้าหากต้องการซื้อประกัน อาจจะต้องมีเลขประจำตัวประชาชน เพื่อให้ยืนยันตัวตนได้หรือให้คนซื้อสามารถนำไปลดหย่อนภาษีได้
หลักการสำคัญของกฎหมายนี้ คือหลักความจำเป็น ว่ามีความจำเป็นอะไรในการใช้ข้อมูล เอาไปทำอะไร และเปิดเผยให้ใครต่ออีกบ้าง ซึ่งถ้าจะเก็บข้อมูลเอาไปใช้ เอาไปเปิดเผยมากกว่าที่จำเป็นตามลักษณะการทำงานปกติ ก็จะต้องขอความยินยอมให้ชัดเจน
ในยุคที่ข้อมูลเป็นทรัพยากรที่จำเป็นมากในการพัฒนาเทคโนโลยีปัญญาประดิษฐ์ (AI) กฎหมายนี้เอื้อประโยชน์หรือเป็นอุปสรรคในด้าน R&D ไหม และต้องมีมาตรฐานแค่ไหนจึงจะพอเหมาะ
ในมุมของการพัฒนา AI หรือการนำข้อมูลไปใช้ในรูปแบบ Big Data ข้อมูลจะมีประโยชน์ก็ต่อเมื่อข้อมูลนั้นมีจำนวนมาก ถ้าเราดูแค่ทีละคนอาจจะไม่เห็นอะไร แต่ถ้ารวมกันจะเห็นเทรนด์บางอย่างได้ ดังนั้นการที่จะได้มาซึ่งข้อมูลในระดับนั้น ต้องทำให้คนใช้เทคโนโลยีไปถึงระดับนั้นด้วยจึงจะวิเคราะห์ข้อมูลได้ ถ้าคนไม่ใช้ผลิตภัณฑ์นั้นข้อมูลก็จะไม่มากพอที่จะมีประโยชน์
มองว่ากฎหมายคุ้มครองข้อมูลส่วนบุคคลนี้ จะช่วยคนทำงานวิจัยหรือคนที่อยากพัฒนาเทคโนโลยีมากกว่าด้วยซ้ำ ในแง่ที่จะทำให้คนเชื่อใจมากขึ้น แน่ใจได้ว่า “หากฉันใช้ผลิตภัณฑ์นี้ ใช้บริการนี้ ฉันรู้ว่าข้อมูลของฉันอาจถูกนำไปใช้ประโยชน์เพื่อพัฒนาผลิตภัณฑ์ที่ฉันชอบนี้ได้ แต่ไม่ใช่ใช้ประโยชน์ในทางที่เป็นอันตรายต่อฉัน”
แต่หากถามว่าเป็นภาระกับคนทำธุรกิจ คนที่ทำงานวิจัยหรือพัฒนาเทคโนโลยีหรือไม่ ก็ต้องตอบว่าเป็นภาระ เพราะจากเดิมที่เคยนำข้อมูลมาใช้ได้เลยโดยไม่ต้องระมัดระวังมาก ตอนนี้ต้องมานั่งคิดแล้วว่าจะนำข้อมูลเหล่านี้ไปใช้ได้โดยการอ้างฐานอะไรตามกฎหมายไหม ต้องแจ้งเจ้าของก่อนไหม ต้องไปเข้ารหัส ต้องทำให้ข้อมูลนิรนาม หรือตัดทอนข้อมูลส่วนที่ไม่จำเป็นออกไหม ต้องให้มีการระบุตัวตนหรือไม่ ฯลฯ
ขั้นตอนจึงยุ่งยากขึ้น แต่ว่าในด้านกลับจะทำให้ข้อมูลนั้นๆ ปลอดภัยมากขึ้นและก่อความเสี่ยงให้กับคนอื่นน้อยลง
เรื่องนี้เราอาจไม่จำเป็นต้องเลือกอย่างใดอย่างหนึ่ง ว่าเราจะเอานวัตกรรมหรือเอาความสบายใจของคน เราไปทั้งคู่ก็ได้
กรณีแอพพลิเคชั่นเรียกรถโดยสารเป็นตัวอย่างที่ดี ถ้าอยากรู้ว่า ‘ช่วงเวลาประมาณนี้ คนมีแนวโน้มจะเรียกรถอย่างไร’ ‘ได้ราคาเท่านี้คนจะเรียกรถไหม’ ถ้าเอาข้อมูลมาใช้งานได้ก็ไม่ต้องไปทำการสำรวจตลาด แต่ดึงข้อมูลจากพฤติกรรมของคนที่ใช้แอพฯ มาวิเคราะห์ได้เลย หรืออาจจะทำการทดลองบางอย่างกับการใช้แอพฯ เพื่อทราบแนวโน้มการใช้งาน แต่ถ้าคุณเป็นคนทำงานกับข้อมูลแล้วเห็นข้อมูลแบบนี้ คุณก็จะมองว่า ถ้าข้อมูลไม่ถูกใช้ มันก็ดูเสียเปล่า ทำยังไงที่จะเอามาใช้ได้
ฝั่งผู้ใช้บริการก็อาจจะมองว่า เราเป็นผู้ใช้แอพพลิเคชั่น จำเป็นต้องกลายเป็นหนูทดลองด้วยไหม มีความชอบธรรมอะไรมาใช้ประโยชน์จากข้อมูลทางพฤติกรรมของเรา ในกรณีแบบนี้ ทางผู้ประกอบการอาจจะหาทางออกด้วยการดึงข้อมูลมาใช้แบบที่เป็นข้อมูลสถิติที่ไม่ระบุตัวผู้ใช้อย่างเฉพาะเจาะจงเกินไป หรืออาจจะนำเสนอเป็นโปรโมชั่นสำหรับผู้ใช้แอพพลิเคชั่น เช่นว่า “ถ้าคุณอยู่ในกลุ่มทดลองของเรา คุณจะได้ส่วนลด แล้วเราจะขอดูพฤติกรรมการใช้ข้อมูลของคุณ”
แบบนี้ก็ไม่ต่างกับกรณีที่นักวิจัยสายสาธารณสุขต้องการจะทดลองวิธีการรักษาใหม่ๆ ก็อาจเปิดรับอาสาสมัครให้มาทดลองโดยแลกกับประโยชน์บางอย่าง ซึ่งคนที่เข้าร่วมก็ได้รับแจ้งว่าการตอบสนองทางร่างกายของเขาจะถูกนำไปวิเคราะห์ ก็เป็นการนำข้อมูลไปใช้ประโยชน์นะ แต่บอกกันให้ชัดเจนแบบแฟร์ๆ ไปเลย
ในอนาคตจะต้องเกิดเรื่องนี้แน่นอน?
ทุกวันนี้มีอยู่แล้ว และใช้ข้อมูลไปอย่างมหาศาลแล้วด้วย ซึ่งบางครั้งไม่ได้ขอความยินยอมจากผู้ใช้ด้วย หรือไม่ถ้าขอก็อาจจะเป็นการเขียนเบลอๆ กระทั่งอ่านเงื่อนไขขอความยินยอมของผู้ให้บริการจนจบแล้ว ยังรู้สึกไม่อยากใช้เลย แต่ทำยังไงได้ มันต้องใช้ เพราะไม่มีบริการอื่นให้เลือกใช้ ในแง่นั้นผู้บริโภคไม่ได้มีทางเลือกเท่าไหร่
แต่ทีนี้หลักการของกฎหมายคุ้มครองส่วนบุคคลทั้งของไทยและต่างประเทศบอกว่า ถ้าคุณจะใช้บริการ แล้วบริษัทขอใช้ข้อมูลคุณ ต้องมีเหตุผลและความจำเป็นจริงๆ
สมมุติเกิดสัญญาณโทรศัพท์ไม่ดี แล้วคุณโทรไปแจ้งคอลเซ็นเตอร์ คอลเซ็นเตอร์ก็จะขอข้อมูลคุณเพื่อดูว่าตอนนี้คุณใช้เสาสัญญาณตรงไหน ที่อยู่ของคุณนับเป็นข้อมูลส่วนบุคคลด้วยก็จริง แต่จำเป็นต้องทราบเพื่อปรับปรุงการให้บริการ อันนี้ถือว่าเป็นข้อมูลที่จำเป็นแก่การบริการ
แต่ถ้าเป็นข้อมูลนอกเหนือจากนั้น ต้องขอความยินยอมจากเจ้าของข้อมูลว่าคุณจะเอาไปใช้อะไร เช่น พิกัดของผู้ใช้โทรศัพท์ เมื่อผู้ให้บริการรู้ว่าคุณอยู่ตรงนั้น อยากจะมอบโปรโมชั่นร้านค้าบางร้านให้กับคุณ เพราะว่าผู้ให้บริการเป็นพันธมิตรกับธุรกิจในท้องถิ่นที่คุณอยู่ อันนี้ถือว่าเกินจากความจำเป็น
กฎหมายใหม่จึงไม่ให้คิดไปเองว่าลูกค้าอยากได้อะไร ถ้านอกเหนือจากความจำเป็นให้ขอความยินยอมจากเจ้าของข้อมูลก่อน เรียกว่า ให้ถามกันตรงๆ บอกกันตรงๆ
อะไรคือตาชั่งระหว่างหลักการสิทธิส่วนบุคคล กับความปลอดภัยของส่วนรวม
ต้องตั้งต้นก่อนว่า ความเป็นส่วนตัวกับความปลอดภัยสาธารณะ ไม่ใช่เรื่องขัดกันเสมอไป โดยทั่วไปมันไปกันได้ด้วยซ้ำ มีบางกรณีที่ต้องให้มีจุดสมดุลระหว่างกัน คุณลองนึกถึงการบังคับไม่ให้มีการติดฟิล์มรถยนต์มืดจนเกินไป โดยเฉพาะด้านข้างคนขับ เพื่อที่ว่าคนข้างนอกหรือเจ้าหน้าที่ตำรวจจะได้มองเห็นว่าเกิดอะไรขึ้นในรถ ข้อกำหนดเรื่องการติดฟิล์มจึงเป็นเรื่องความปลอดภัยสาธารณะ
แต่ในขณะเดียวกัน เวลาเราอยู่ในรถ เราก็ไม่อยากถูกจ้องมองตลอดเวลา บางทีเราก็อยากแต่งหน้า หรือแม่ต้องให้นมลูกอยู่หลังรถ นี่คือการพยายามหาจุดสมดุล ระหว่างสิทธิส่วนบุคคลกับความปลอดภัยสาธารณะ สองอย่างนี้เป็นหลักการที่ต้องทำทั้งคู่ และถ้าหากขัดกันขึ้นมาก็ต้องไปหาวิธีการที่ทำให้ไปด้วยกันได้ ถ้าไม่ได้จึงค่อยมาดูว่าจะเลือกอะไร
การเลือกจึงมาทีหลังมากๆ และถ้าถึงจุดที่ต้องเลือกความปลอดภัยสาธารณะมากกว่าสิทธิส่วนบุคคล ก็จะต้องมีเครื่องมือหรือองค์กรที่มาช่วยตรวจสอบได้ว่า ไม่ใช่เป็นการเลือกตามอำเภอใจ อย่างกรณีตำรวจจะเข้าไปค้นบ้านใครก็ต้องมีหมายศาลก่อน คือมีองค์กรตุลาการเข้ามาตรวจสอบด้วยอีกชั้นหนึ่ง
การพิจารณาเรื่องนี้ไม่ใช่แค่เรื่องความมั่นคงเท่านั้น อย่างกระทรวงการพัฒนาสังคมฯ อยากรู้ว่าบ้านนี้มีลูกกี่คน พ่อแม่เลี้ยงดูดีไหม แต่ไม่จำเป็นต้องส่งคนไปนับในบ้าน แค่ถามก็พอ แต่พอได้ข่าวมาว่าบ้านหลังนี้มีการทำร้ายร่างกายเด็ก หรือสงสัยว่ามีการทำร้ายร่างกายเด็ก ก็ต้องไปขออำนาจพิเศษตามกฎหมายเพื่อเข้าไปดูในบ้าน
แต่ปัญหาในบ้านเราคือ เรามักจะถามกันแค่ว่ามีความจำเป็นด้านความมั่นคงหรือความปลอดภัยหรือไม่ ไม่ค่อยถามกันต่อว่า “จำเป็นแค่ไหน”
แต่ละประเทศมีแนวทางการบังคับใช้กฎหมายเหมือนหรือต่างกันอย่างไร และในประเทศไทยเองมีลักษณะเฉพาะของกฎหมายนี้อย่างไร
ใน EU เมื่อมี GDPR ออกมา สิ่งที่เกิดขึ้นอย่างแรกกับบริษัทต่างๆ คือการจัดการข้อมูลหลังบ้านของตัวเอง จัดการว่าข้อมูลของบริษัทมีส่วนใดบ้าง ใครเข้าถึงได้บ้าง วิธีการหนึ่งในการรักษาความปลอดภัยคือ ให้คนที่เกี่ยวข้องเข้าถึงข้อมูลได้เท่านั้น ไม่ใช่ทุกคนเข้าถึงได้ ถ้าเป็นธนาคาร ฝ่ายสินเชื่อจะสามารถดูก้อนข้อมูลหนึ่ง ฝ่ายการตลาดดูก้อนหนึ่ง ข้อมูลสองก้อนจะไม่เชื่อมกัน แต่ถ้าจะเชื่อมกันต้องได้รับอำนาจหน้าที่ในการถือกุญแจ นี่คือภาพของการจัดการข้อมูลหลังบ้าน
ส่วนฝั่งที่ต้องสื่อสารกับเจ้าของข้อมูลผู้ที่จะถูกเอาข้อมูลไปใช้ หรือ ‘data subject’ หมายถึงคนที่ข้อมูลนั้นชี้ไปถึง สิ่งที่จะเห็นความเปลี่ยนแปลงคือ การปรับปรุงนโยบายความเป็นส่วนตัวใหม่ เช่น เมื่อก่อนเรากด subscribe ไปแล้วอยากจะ unsubscribe ก็ยาก บางทีต้องโทรไปอีกประเทศเพื่อขอยกเลิก แต่พอมี GDPR จะง่ายขึ้นในปุ่มเดียว จะมีเบอร์โทรและที่อยู่เจ้าหน้าที่ของบริษัทนั้นๆ หากเราอยากจะใช้สิทธิยกเลิก รวมถึงขอให้บริษัทนั้นลบข้อมูลของเราออกไปถ้าไม่จำเป็นแล้ว
ในช่วงหลัง Google และ Facebook จะมีปุ่มต่างๆ เพิ่มขึ้นเรื่อยๆ รวมถึงโหมดตั้งค่าเริ่มต้นก็เปลี่ยนไป ในเพจ Facebook เราจะไม่เห็นแล้วว่าใครมาคลิกไลค์โพสต์ไหนบ้าง แต่จะเห็นได้เฉพาะคนที่เป็นเพื่อนกันและเห็นแค่ยอดรวม การออกแบบผลิตภัณฑ์พวกนี้จะค่อนข้างสนับสนุนสิทธิส่วนบุคคลมากขึ้น
ในแง่ของการบังคับใช้กฎหมายฉบับนี้ มีเคสที่น่าสนใจพอเป็นตัวอย่างได้ไหม
ใหญ่จะเป็นเคสใหญ่ๆ เช่น กรณีบริษัทที่ทำงานให้ Cambridge Analytica เข้าไปดึงข้อมูลผู้ใช้ Facebook เพื่อปั่นป่วนการเลือกตั้งประธานาธิบดีสหรัฐในปี 2016 ก่อนที่ GDPR จะมีผลบังคับใช้ แต่จนถึงปี 2018 บริษัท AggregateIQ ที่ทำงานให้ Cambridge Analytica ยังคงนำข้อมูลไปใช้อยู่ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลของอังกฤษ (Information Commissioner’s Office: ICO) จึงออกจดหมายแจ้งไปยังบริษัทนี้ว่า “คุณไม่มีสิทธิเอาข้อมูลส่วนบุคคลไปใช้งานแบบนี้” และ “ขอให้หยุดการประมวลผล”
สิ่งที่บริษัทนี้สู้คือบอกว่า บริษัทเขาไม่ได้อยู่ภายใต้การกำกับดูแลของคณะกรรมการฯ ประเทศอังกฤษ เนื่องจากมีสำนักงานอยู่ที่ประเทศแคนาดา ดังนั้นหน่วยงานของอังกฤษจึงไม่มีสิทธิมาสั่ง
สิ่งที่คณะกรรมการฯ ของอังกฤษทำคือ ประสานไปยังคณะกรรมการของแคนาดา ซึ่งมีกฎหมายคุ้มครองข้อมูลส่วนบุคคลเช่นกัน มีความร่วมมือกันระหว่างคณะกรรมการอังกฤษกับแคนาดาเพื่อบังคับใช้กฎหมาย จนสุดท้ายบริษัทก็ยอมลบและยกเลิกการประมวลผลข้อมูลนี้
มีบางกรณีที่ธุรกิจโรงแรมควบรวมกับธุรกิจสายการบิน ทรัพย์สินมีมูลค่าอย่างหนึ่งที่นำมารวมด้วยคือข้อมูลส่วนบุคคล แต่ก็เป็นการรวมโดยไม่ได้ตรวจสอบดูว่าบริษัทต้นทางดูแลข้อมูลมาแบบไหน จนถึงตอนนี้ ICO ของอังกฤษก็ยังไม่รู้จะลงโทษอย่างไรในรายละเอียด เพราะธุรกิจสายการบินกับโรงแรมก็กำลังประสบปัญหาอย่างหนักจากวิกฤติ COVID-19 แต่ก็มีหลายฝ่ายวิจารณ์ว่า ยิ่งในช่วงสถานการณ์ที่มีการใช้ข้อมูลสุขภาพหรือใช้เครื่องมือดิจิทัลอย่างมาก ICO เองยิ่งต้องทำงานให้หนักขึ้นหรือเปล่า เพราะปริมาณข้อมูลสูงขึ้นมากจากภาวะปกติ ดังเราจะเห็นว่าบริษัทใหญ่ๆ ต้องเพิ่มความจุของ Cloud กันมากขึ้น
ในบริบทของไทยมีความกังวลกันว่า ฝ่ายที่ได้รับประโยชน์สูงจากกฎหมายนี้อาจจะเป็นบรรษัทใหญ่ที่มีอำนาจเหนือประชาชนคนเล็กคนน้อย หรือ users ทั่วไป เจตนารมณ์ของกฎหมายและการบังคับใช้ จะรักษาประโยชน์ประชาชนได้แค่ไหน
ในระยะสั้นคนที่ได้ประโยชน์จะเป็นผู้บริโภคด้วยซ้ำ แต่ในระยะยาวบริษัทใหญ่รวมถึงหน่วยงานรัฐจะได้ประโยชน์ด้วย เพราะก่อนที่จะมีกฎหมายนี้ เวลาบริษัทเอาข้อมูลไปใช้ ผู้บริโภคมักจะไม่ค่อยทราบ วันดีคืนดีบริษัทบัตรเครดิตก็อาจจะโทรมาหาเพื่อชวนสมัครสมาชิก โดยไม่รู้เลยว่าได้ข้อมูลมาจากไหน เมื่อถามไปก็ไม่บอก แต่พอมีกฎหมายนี้บริษัทต้องถามเราตั้งแต่ต้นว่าเรายินยอมหรือไม่ และเอาไปข้อมูลไปเปิดเผยต่อที่ไหนบ้าง และเมื่อเรายินยอมไปแล้ว ในเวลาต่อมาเราก็สามารถถอนคำยินยอมได้
ในระยะยาว เมื่อกฎหมายและพฤติกรรมของบริษัททำให้คนเชื่อได้ว่า การใช้บริการดิจิทัลต่างๆ นั้นปลอดภัยมากพอ คนก็จะไว้ใจการใช้งานมากขึ้น แล้วบริษัทต่างๆ ก็จะได้ประโยชน์ อันนี้พูดในทางทฤษฎีมากๆ นะ
ถ้าเราลองจินตนาการกลับไปถึงคนรุ่นคุณทวดในวันที่ไม่กล้าเอาเงินไปฝากธนาคารแต่เอาเงินไปฝังตุ่มแทน ต่อมาผู้คนก็ไว้ใจธนาคารมากขึ้น เพราะรู้ว่าอยู่ภายใต้การกำกับของธนาคารแห่งประเทศไทย ถ้าหากเงินหายไปก็มีคนค้ำประกันให้
ในยุคนี้ที่เรามาโฟกัสกันที่ข้อมูลส่วนบุคคลกันมาก เพราะช่วงหลังบริการส่วนใหญ่เป็นการให้ใช้ฟรี แต่จริงๆ แล้วมักจะไม่ฟรี เพราะบริษัทเอาข้อมูลเราไปใช้ เราก็เริ่มรู้ตัวกันเพราะเราเริ่มเห็นโฆษณาที่เกี่ยวข้องกับเราอย่างเฉพาะเจาะจงส่งเข้ามาให้เราเห็นมากขึ้น เวลาที่ผู้บริโภคไม่พอใจสิ่งที่พอทำได้ก็คือการย้ายไปใช้บริการเจ้าอื่น
แต่ทั้งนี้เราจะย้ายได้ก็ต้องเมื่อมีเจ้าอื่นที่ให้บริการแบบคุ้มครองความเป็นส่วนตัวที่ดีกว่า อย่างที่มีกระแสคนใช้ Facebook ย้ายไปอีกที่หนึ่ง และล่าสุดคนจะย้ายจาก Twitter ไปอีกที่ ซึ่งอีกที่ก็ไม่อาจรับประกันอีกว่าจะรักษาข้อมูลส่วนบุคคลดีขนาดนั้น สุดท้าย ผู้บริโภคก็ไม่ได้มีทางเลือกมากไปกว่าการแก้การตั้งค่าความเป็นส่วนตัวของตัวเองมากนัก ในระยะยาวจึงต้องมีการสร้างสังคมดิจิทัลที่ไว้ใจกันได้มากขึ้น
เวลาที่เราจะบอกว่าไว้ใจ เราก็ไม่ได้ไร้เดียงสาจนกระทั่งว่าจะไว้ใจบริษัทขนาดนั้น มันจึงต้องมีเครื่องมือกลางที่มารับประกันหรือบอกหน่วยงานต่างๆ ว่านี่คือมาตรฐานขั้นต่ำของการคุ้มครองข้อมูล ซึ่งเครื่องมือนั้นก็คือกฎหมาย
ภายหลังการบังคับใช้กฎหมายนี้ในบางมาตรา ที่เกิดขึ้นไปแล้วเมื่อวันที่ 27 พฤษภาคม 2563 และยังอนุญาตเลื่อนให้หลายหน่วยงานไม่ต้องปฏิบัติตามอีก อยากให้อาจารย์ช่วยอธิบายว่ามีผลกระทบมากน้อยแค่ไหนต่อสิทธิส่วนบุคคลและเสรีภาพในการแสดงออกของประชาชน
เวลาจะบอกว่ากฎหมายฉบับใดจะผ่านหรือไม่ผ่านสภา ก็ต้องไปดูว่าใครเป็นคนผลักดัน กระทรวงไหนเป็นเจ้าภาพ ซึ่งหลักการออกกฎหมายกว้างๆ มีสองหลักใหญ่ คือกฎหมายที่ทำให้การทำงานของกระทรวงง่ายขึ้น กับกฎหมายประเภทที่ให้สิทธิแก่บุคคลในการคุ้มครองตัวเองได้มากขึ้น พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลนี้ ออกแบบให้หน่วยงานรัฐ องค์กรธุรกิจ มีภาระในการปฏิบัติงานมากขึ้นแน่นอน ทำให้ออกเป็นกฎหมายยากอยู่แล้วในสถานการณ์การเมืองปกติ และยิ่งเป็นการต่อรองระหว่างฝั่งที่ต้องการใช้ข้อมูล กับฝั่งที่ไม่อยากให้ข้อมูลของตัวเองถูกใช้
มองในแง่ความเป็นจริง การที่คนธรรมดาทั่วไปจะรวมตัวกันเพื่อผลักดันกฎหมายจึงไม่ง่าย แต่ถ้าผ่านจริงก็มักจะเกิดขึ้นในบริบทที่กระบวนการประชาธิปไตยเข้มแข็ง กระบวนการรัฐสภาทำงานได้จริง มีพรรคการเมืองที่รวบรวมเสียงข้างมากและสะท้อนความต้องการของประชาชน จนโน้มน้าวอีกฝ่ายให้เห็นด้วยได้
ต้องยอมรับว่าพอกฎหมายฉบับนี้ไม่ได้ออกมาในสภาปกติ คือออกจากสภานิติบัญญัติแห่งชาติ (สนช.) ซึ่งในทางประวัติศาสตร์สภาที่ไม่ได้มาจากการเลือกตั้งแบบนี้มักจะสามารถตรากฎหมายที่ไม่สามารถออกได้ในช่วงสภาปกติทำงานได้ค่อนข้างเยอะ เนื่องจากหลีกเลี่ยงข้อโต้แย้งของคนในสังคมไปได้ง่ายกว่า
แรงจูงใจในการผลักดันกฎหมายฉบับนี้รัฐจะไปโฟกัสในเรื่องธุรกิจค่อนข้างมาก แต่จริงๆ แล้วตัวกฎหมายเองมันคุ้มครองสิทธิกับประชาชนคนทั่วไปมากขึ้นด้วย อาจจะเรียกได้ว่าเป็นกฎหมายที่พยายามจะประสานการคุ้มครองสิทธิของคนกับผลประโยชน์ระยะยาวของภาคธุรกิจไปด้วยกัน
ลองจินตนาการว่าถ้ามันถูกผลักดันขึ้นมาในยุคที่มีการใช้สภาปกติ ก็คงจะต้องผ่านการโต้เถียงกันอย่างดุเดือดกว่านี้ แต่คนน่าจะรู้สึกเป็นเจ้าข้าวเจ้าของตัวกฎหมายมากกว่านี้เช่นกัน
มาถึงเรื่องการเลื่อนบังคับใช้ แม้ว่า พ.ร.บ.ฉบับนี้จะบังคับใช้ตั้งแต่พฤษภาคม 2562 แต่มาตราที่พูดถึงหน้าที่ในการคุ้มครองข้อมูลส่วนบุคคลจะยังไม่มีผลบังคับใช้ มีการถกเถียงกันตั้งแต่ฉบับร่างฯ แล้วว่ามีระยะรอการบังคับใช้ให้หน่วยงานต่างๆ ปรับตัวเพียงพอหรือเปล่า เหตุผลของฝ่ายที่บอกว่าไม่พอ จะบอกว่าคนต้องปรับตัวเยอะ และหน่วยงานของไทยยังไม่เข้าใจเรื่องข้อมูลส่วนบุคคล
อีกฝั่งก็บอกว่าร่างกฎหมายนี้อยู่มา 20 ปีแล้ว เอกชนก็ตื่นตัวเรื่องนี้มาตลอด ปรับตัวมาโดยตลอด เอกชนหลายเจ้าที่ทำงานกับ EU ปรับตัวไปตั้งนานแล้ว แม้กระทั่งกลุ่มนักวิชาการก็พูดถึงเรื่องนี้กันมาตลอด รวมไปถึงมีการพยายามออกคู่มือการปฏิบัติออกมาเพื่อให้มีแนวทางในการปรับตัวตั้งแต่ก่อนจะมีกฎหมาย แต่เมื่อประเมินศักยภาพขององค์กรที่ต้องปรับตัวเยอะ จึงมาเคาะกันที่ 1 ปี
ถ้าตามข่าวตั้งแต่ต้นปี 2563 จะเห็นว่ามีเอกชนบอกว่าลำพังเผชิญปัญหา COVID-19 ก็หนักหนาอยู่แล้ว อีกทั้งไม่มีกำลังคนที่จะมาจัดการข้อมูลเพื่อปรับตามกฎหมายได้ และ COVID-19 มาเกิดพอดีกับช่วง 3 เดือนสุดท้ายก่อนที่กฎหมายจะมีผลบังคับใช้ หลายหน่วยงานก็ตั้งเป้าเอาไว้ว่า 3 เดือนสุดท้ายนี่แหละจะมาจัดการให้เรียบร้อย ซึ่งก็อาจจะไม่ทัน บางหน่วยงานต้องจัดการกับข้อมูลจำนวนมากแต่ไม่มีกำลังคนมาทำด้วยสาเหตุหลายๆ อย่าง ตัวอย่างของหน่วยงานที่เป็นเช่นนั้นก็คือโรงพยาบาลในช่วง 3 เดือนที่ผ่านมาว่าต้องรับภาระด้านอื่นหนักมากแค่ไหน
มีวิธีการอื่นในการผ่อนปรนการบังคับใช้บ้างไหม เพราะดูเหมือนว่าไม่ใช่ทุกหน่วยงานจะได้รับการยกเว้นด้วย
การยกเว้นการบังคับใช้สำหรับบางหน่วยงานที่เจอสภาวะแบบนี้ เป็นเรื่องที่เข้าใจได้ แต่ไม่ใช่ทุกหน่วยงานที่มีปัญหานี้ ถ้าอ่านเหตุผลว่าทำไมต้องออกพระราชกฤษฎีกาเมื่อวันที่ 21 พฤษภาคมที่ผ่านมา จะพูดรวมๆ ว่า “กฎหมายนี้มีรายละเอียด ต้องปรับตัวค่อนข้างมากในการปฏิบัติตาม เพื่อให้หน่วยงานต่างๆ มีระยะเวลามากขึ้น จึงเลื่อนไปอีก 1 ปี” แต่ไม่ได้เจาะจงไปที่ปัญหาจาก COVID-19 เสียทีเดียว
ประเด็นต่อมา ก็มีคนที่พร้อมมาก ถึงขั้นที่ว่ามีธนาคารเจ้าหนึ่งประกาศเลยว่าตั้งแต่ 23 พฤษภาคม 2563 ธนาคารจะบังคับใช้กฎหมายนี้ รวมถึง chat application เจ้าหนึ่งก็ประกาศนโยบายใหม่เพื่อให้สอดคล้องกับกฎหมายใหม่ไปแล้วตั้งแต่เดือนเมษายน
ช่วงก่อนมีมติเคาะว่าเลื่อนหรือไม่เลื่อน มีการคุยกันในหมู่นักวิชาการว่า ในแง่หนึ่งข้อมูลส่วนบุคคลของคนต้องได้รับการคุ้มครอง และยิ่งในยุคนี้ต้องได้รับการคุ้มครองมากกว่าปกติเช่นนี้ หน่วยงานและองค์กรต่างๆ ต้องปฏิบัติ คำถามคือมีแนวทางอะไรที่คุ้มครองทั้งสองฝ่ายนี้
อย่างแรกอาจจะบอกว่ายกเว้นเฉพาะหน่วยงานที่เดือดร้อนจริงๆ หรือกลุ่ม SMEs ที่ได้รับผลกระทบ หรืออีกอย่าง ไม่ต้องยกเว้น แต่ก็ไม่ต้องบังคับโทษ เพราะกฎหมายนี้มีแนวทางให้คนค่อยๆ ปรับตัวอยู่แล้ว และหากไปดูอำนาจของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ให้อำนาจในการแนะนำ เรียกมาชี้แจง ว่ากล่าวตักเตือน หรือออกคำสั่งให้ปฏิบัติตามได้ ดังนั้นยังมีแนวทางอื่นที่ให้เขาทำตามกฎหมายโดยแทนการลงโทษหรือจ่ายค่าปรับซึ่งอาจจะส่งผลกระทบทางลบต่อหน่วยงานต่างๆ ที่ค่อนข้างอยู่ในสภาวะตึงเครียดทางเศรษฐกิจอยู่แล้ว
เช่น สิงคโปร์ ซึ่งมีโทษอาญาอยู่บ้างเหมือนกัน ก็ใช้วิธีให้ทางอัยการออกเป็นนโยบายไปเลยว่า ช่วงแรกของการที่กฎหมายมีผลบังคับใช้ จะไม่ฟ้อง และให้คณะกรรมการฯ ใช้วิธีการอื่นในการจัดการ ซึ่งการใช้ข้อมูลในลักษณะที่ขัดต่อกฎหมายนั้นในบางกรณีก็ยังไม่ได้มีความเสียหายที่เป็นรูปธรรมเกิดขึ้น เช่น การเก็บข้อมูลไปโดยไม่มีความจำเป็นและไม่ได้ขอความยินยอมก่อน เมื่อเจ้าตัวมาทราบทีหลังและต้องการคัดค้านการใช้ผลข้อมูล วิธีการที่ง่ายที่สุดก็คือการลบหรือระงับการใช้ข้อมูลนั้นเสีย
ถ้ากฎหมายนี้คุ้มครองข้อมูลส่วนบุคคลขององค์กรต่างชาติด้วย เมื่อเขามาอยู่ที่ไทย กฎหมายนี้จะบังคับอย่างไร
ในลักษณะเดียวกันกับ GDPR คือมีผลบังคับกับใครก็ตามที่บริษัทหรือองค์กรใดมีสาขาอยู่ใน EU ถึงแม้บริษัทแม่จะเป็นบริษัทที่ตั้งอยู่ที่อื่น หรือคนที่ติดตามบันทึกการใช้งานของคน EU หรือต้องการจะพุ่งเป้าไปที่คน EU
เนื่องจากธรรมชาติของข้อมูลมันไหลเวียนไปทั่วโลก ฉะนั้นเมื่อเขาจะคุ้มครองคน EU จึงขยายอำนาจไปยังทุกคนที่จัดการข้อมูลของคน EU ด้วย เพราะถ้าบอกว่าจะคุ้มครองข้อมูลส่วนบุคคลของคน EU เฉพาะในบริษัท EU มันก็ไม่มีประโยชน์ใช่ไหม บริษัท EU ก็อาจจะเพียงส่งข้อมูลของคน EU ไปให้บริษัทอเมริกันจัดการก็ได้
กฎหมายไทยก็เขียนประมาณนี้ ถ้าคุณเอาข้อมูลของคนไทยไปจัดการไปดูแล คุณก็ต้องมาพร้อมกับความรับผิดชอบ อันนี้คือในแง่กฎหมาย แต่การบังคับใช้เป็นอีกเรื่อง เวลารัฐจะบังคับใช้กฎหมายกับใคร คนคนนั้นต้องอยู่ในประเทศ หรือต้องมีทรัพย์สินของเขาอยู่ในประเทศ จึงจะสามารถลงโทษเขาได้ ก็เป็นตรรกะของกฎหมายปกติ แนวทางหนึ่งที่ทำได้คือวิธีการที่คณะกรรมการฯ อังกฤษจัดการกับกรณีบริษัท AggregateIQ ที่ทำงานให้ Cambridge Analytica โดยขอความร่วมมือกับหน่วยงานกำกับดูแลในประเทศอื่นตามที่ยกตัวอย่างไป
อย่างไรก็ตาม ในแง่ของการบังคับใช้เป็นเรื่องของการใช้อำนาจรัฐ ในโลกของความเป็นจริงขึ้นอยู่กับว่ารัฐมีอำนาจในการบังคับใช้แค่ไหน ถ้าคุณเป็นรัฐเล็กๆ ตลาดไม่ใหญ่ บริษัทก็อาจจะไม่แคร์ “ถ้ามายุ่งกับฉันมาก ฉันก็ไปทำธุรกิจที่อื่น” นี่จึงเป็นเหตุผลที่กฎหมายแรงงานเรามีมาตรฐานไม่สูงมากด้วย เพราะรัฐอาจจะมองว่าบริษัทใหญ่ๆ จะหนีเราไป วิธีการอย่างหนึ่งในการแก้ปัญหาของกฎหมายแรงงานหรือกฎหมายสิ่งแวดล้อมคือ ต่อให้หนีไปไหนก็ต้องทำให้เจอกฎหมายมาตรฐานเหมือนกัน
ในบริบทของกฎหมายดิจิทัลก็จะมีลักษณะนี้ คือมีแนวทางที่คล้ายคลึงกัน เป็นมาตรฐานเดียวกันมากขึ้น รวมถึงแนวทางการคุ้มครองข้อมูลส่วนบุคคล
แล้วอย่างตลาดประเทศจีน จะต้องใช้มาตรฐานที่ต่างออกไปหรือเปล่า
(หัวเราะ) ถ้าทำงานในสายดิจิทัลจะเข้าใจตรงกันว่า โลกนี้เป็นโลกอินเทอร์เน็ตและอื่นๆ ซึ่งหมายถึงจีน และในโลกอินเทอร์เน็ตเองจะแบ่งลงไปอีกว่า มีโลกอินเทอร์เน็ตของ EU กับโลกของอเมริกาอีกนะ คือ EU จะมีลักษณะคุ้มครองข้อมูลส่วนบุคคลมากกว่า แต่ด้วยความที่ EU เป็นตลาดของบริษัทอเมริกาด้วย EU ก็ขยายอำนาจออกไปเรื่อยๆ ทำให้อเมริกาต้องพยายามปรับตัวตาม
พวกบริการใหญ่ๆ ที่เราใช้ทุกวันนี้มีสำนักงานใหญ่อยู่ที่อเมริกา แต่จะมีสำนักงานใหญ่อีกอยู่ที่ไอร์แลนด์ รวมถึงข้อมูลคนใช้ facebook ถ้าเป็นพลเมืองอเมริกันจะไปประมวลผลที่อเมริกา ถ้าข้อมูลของคน EU และคนในประเทศอื่นๆ ก็จะไปประมวลผลที่ไอร์แลนด์ เพราะไอร์แลนด์อยู่ใน EU ซึ่งเหมือนเป็นสองโลก แต่ก็จะมีโลกที่ Facebook เข้าไม่ถึงคือจีน
อย่างไรก็ตาม จีนเป็นตลาดใหญ่ ก็มีความพยายามเข้าไปทำการตลาดในจีน ด้วยความที่หลักการคุ้มครองข้อมูลส่วนบุคคล เสรีภาพในการแสดงออกของจีนต่างจากที่อื่น ถ้าเข้าไปหลายบริษัทต้องบิดหลักการมากๆ หลายๆ บริษัทก็เลยยังไม่ได้เข้าไปขนาดนั้น
แต่อย่างหนึ่งคือจีนมีกฎหมายค่อนข้างชัดนะว่า เอกชนทำอะไรได้หรือไม่ได้ เขามีมาตรฐานอยู่ในระดับหนึ่ง เพียงแต่ว่าข้อมูลที่วิ่งเข้าภาครัฐ เขาจะทำอะไรกับมันก็ได้ และเขาพูดชัดเจนนะว่าเขาจะทำ ปัญหาของความเป็นส่วนตัวในประเทศจีนจึงมีลักษณะเฉพาะ เป็นคนละแบบกับในประเทศอื่นๆ
มีการคาดการณ์ว่า หลังจากมีการบังคับใช้กฎหมายนี้ไปแล้ว การฟ้องร้องกันเองของบุคคลจะมากขึ้น โดยเฉพาะคนที่ทำงานด้านสายศิลปะ ภาพถ่าย สื่อมวลชน ฯลฯ อยากให้อาจารย์ไขความกระจ่าง
(เน้นเสียง) มีเรื่องหนึ่งที่อยากแก้ความเข้าใจผิดของคนมากคือ ความเข้าใจว่ากฎหมายนี้ ‘ห้าม’ การใช้ข้อมูลส่วนบุคคล จริงๆ แล้วกฎหมายนี้บอกว่า ‘ใช้ได้’ ถ้ามีความจำเป็นและความชอบธรรมในการใช้งานข้อมูลส่วนบุคคลได้
ตัวอย่างที่ยกไปแล้วคือ บริการซื้อขายสินค้าออนไลน์ ถ้าหากมีสินค้าตัวใหม่จะให้ลูกค้าทดลอง อยู่ดีๆ ก็เอาไปหย่อนที่ตู้ไปรษณีย์เขาเลย อันนี้ถือว่าเกินขอบเขตความจำเป็นของสัญญาการให้บริการขายสินค้าออนไลน์ ลูกค้าเขาไม่ได้ให้ที่อยู่มาเพื่อให้เราใช้งานเพื่อวัตถุประสงค์นี้ ดังนั้น ก็ต้องถามความยินยอมก่อน หรือบางทีเราจองโรงแรมไว้ เว็บไซต์อาจจะบอกเราว่า “คุณอยากให้เราเก็บข้อมูลบัตรเครดิตคุณไว้ไหม” เพื่อที่จะได้ซื้อบริการครั้งต่อไปได้ง่ายขึ้น เราก็อาจจะยินยอมได้เพราะบริการของเว็บนี้ อยากได้ความสะดวกเมื่อมาใช้บริการอีก แต่ถ้าวันหนึ่งเราไม่อยากให้เขาเก็บข้อมูลไว้แล้ว ก็ถอนความยินยอมได้
ภาษากฎหมายเรียกว่า ‘ฐานในการใช้ข้อมูล’ (lawful basis) ฐานที่สำคัญสำหรับองค์กรธุรกิจคือฐานสัญญา ซึ่งผู้ให้บริการมักจะจำเป็นต้องเอาข้อมูลมาใช้ อย่างธนาคารที่ต้องรู้การเคลื่อนไหวของบัญชีเรา ส่วนฝ่ายรัฐก็มักจะไปใช้ฐานตามอำนาจของกฎหมาย เช่น สรรพากรที่ต้องเข้าถึงข้อมูลส่วนบุคคล เพื่อนำไปประมวลข้อมูลเกี่ยวกับภาษีเงินได้ เพื่อจัดการรายรับของประเทศ หรือบางทีองค์กรอาจจะต้องส่งข้อมูลให้กับหน่วยงานราชการเพื่อให้เป็นไปตามกฎหมาย เช่น ธนาคารส่งข้อมูลการเคลื่อนไหวทางบัญชีที่ผิดปกติให้หน่วยงานป้องกันและปราบปรามการฟอกเงิน
อีกฐานคือ ‘ฐานผลประโยชน์โดยชอบ’ มักจะใช้เมื่อการประมวลผลข้อมูลไม่ได้อยู่ในภารกิจหลัก ไม่ได้เป็นอำนาจรัฐ ไม่ได้เป็นหน้าที่ตามกฎหมาย และไม่ได้อยู่ในสัญญา แต่จะไปขอความยินยอมเป็นรายบุคคลก็ยากเหลือเกิน
ตัวอย่างชัดๆ คือ CCTV ที่ต้องมีข้อมูลเอาไว้เพื่อความปลอดภัยของอาคาร ในแง่นี้จะต้องบาลานซ์ระหว่างฝั่งผู้เอาข้อมูลมาใช้เพื่อรักษาความปลอดภัย กับฝ่ายที่เดินเข้ามาในกล้องว่าเขาเสียประโยชน์อะไร นี่จึงเป็นเหตุผลว่าทำไมต้องติดกล้องตรงโถงทางเข้า แต่จะไม่ไปติดกล้องในห้องน้ำ กฎหมายนี้จึงไม่ได้พูดเรื่องที่เกินสามัญสำนึก
มาถึงกรณีการถ่ายภาพ กฎหมายนี้มีข้อยกเว้นสำหรับคนที่ใช้งานเป็นการส่วนตัวหรือใช้ในครอบครัว ดังนั้นคนธรรมดาสามารถถ่ายรูปคนอื่น หรือเอาภาพที่มีหน้าคนอื่นไปใช้งานได้ แต่ถ้าถ่ายรูปคนอื่นแล้วเอาไปสร้างความเสียหายจนเกิดขึ้นกับเจ้าตัว กฎหมายแพ่งธรรมดาก็จัดการได้
ส่วนช่างภาพอาชีพที่ทำงานด้านสื่อสารมวลชน จะได้รับการยกเว้นตามมาตรา 4 การทำงานเพื่อสื่อสารมวลชน วรรณกรรม ศิลปกรรม จะไม่บังคับ แต่กำหนดให้ทำตามจรรยาบรรณวิชาชีพ ซึ่งอาจจะละเอียดอ่อนกว่ากฎหมายอีก เพราะคุณมีเสรีภาพมากกว่า ก็อาจจะต้องมาพร้อมกับความรับผิดชอบที่มากกว่า เหตุผลที่กฎหมายไทยและกฎหมายหลายๆ ประเทศมีข้อยกเว้นให้กับกิจการเหล่านี้ก็เพราะไม่ต้องการแทรกแซงเสรีภาพ และตั้งอยู่บนความเชื่อสำคัญที่ว่าสื่อก็ต้องมีหลักการของตัวเอง กำกับกันเองได้
(คำถามจากช่างภาพ) แล้วถ้าผมเป็นช่างภาพสายสตรีทล่ะครับ ถ่ายภาพเก็บไว้แล้วอยากจะนำภาพไปจัดแสดง เผอิญมีลุงคนหนึ่งอยู่ในภาพ อาจจะไม่เสียหาย แล้วเขาอยากจะเอาเรื่องเรา แบบนี้จะเป็นยังไงครับ
ตอบเร็วๆ คือถ้าลุงไม่มีความเสียหายที่เป็นรูปธรรมก็ฟ้องเราไม่ได้ ก็ต้องมาดูว่า พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล บังคับกับกรณีนี้ไหม เพราะว่ามันเป็นการทำงานศิลปกรรมตามจรรยาบรรณวิชาชีพ เราก็ต้องพิสูจน์ว่าเราทำงานตามหลักนั้น ข้อเสนอคือต้องทำให้สิ่งเหล่านี้ออกมาเป็นหลักการเขียนอยู่กระดาษให้มันชัด จะได้เอาตัวนี้ไปยืนยันได้ ซึ่งการเรียนการสอนถ่ายภาพหรือการฝึกฝนวิชาชีพพวกนี้ มันมีหลักการของ professional อยู่แล้ว
อีกกลุ่มคือช่างภาพที่ทำงานให้บริษัท ถ่ายภาพตามอีเวนท์ กลุ่มนี้จะไม่เข้าข้อยกเว้นมาตรา 4 แต่จะมาเข้าฐานผลประโยชน์โดยชอบ อย่างงานวิ่งมาราธอน ไม่สามารถไปขอความยินยอมคนเป็นหมื่นได้ วิธีการคือชั่งผลประโยชน์ว่าถ่ายไปทำไม อีกฝ่ายเสียผลประโยชน์อะไร กรณีนี้คนถ่ายภาพต้องการประชาสัมพันธ์ คนวิ่งก็เพียงมาร่วมกิจกรรมสาธารณะ ก็แจ้งให้ผู้เข้าร่วมงานทราบไปว่าจะมีการถ่ายรูปเกิดขึ้นในงาน ถ้าจะให้ดีก็แจ้งไปด้วยว่ามีช่างภาพจากไหนมาถ่ายบ้าง หรือเดี๋ยวนี้อาจจะมีการติดสติกเกอร์สำหรับคนที่ไม่อยากถ่ายภาพ ช่างภาพก็จะรู้ว่าคนนี้ไม่ต้องถ่ายหรือถ่ายไปแล้วไม่นำไปใช้ แต่การถ่ายภาพในกิจกรรมสาธารณะก็ต้องดูบริบทอีกว่าวิ่งมาราธอนกับงานเสวนาเรื่องโรคซึมเศร้าก็ไม่เหมือนกันนะ ความระมัดระวังก็อาจจะแตกต่างกันไปด้วย
เวลานี้มีห้างสรรพสินค้าหรือสถานบริการหลายแห่งถูกกำหนดให้ต้องใช้ QR Code ‘ไทยชนะ’ ซึ่งอาจจะขัดแย้งกับประกาศของรัฐบาลที่บอกว่าไม่ได้บังคับ อาจารย์มองเรื่องนี้ยังไง
อันนี้เป็นตัวอย่างที่ดีมากว่า เมื่อคนเราไม่มั่นใจว่าระบบจะดูแลข้อมูลเราให้ดีได้ ปฏิกิริยาที่เกิดขึ้นแสดงให้เห็นผ่านการใช้เทคนิคต่างๆ เพื่อที่จะเข้าห้างโดยไม่ต้องสแกนบ้าง หรือคนก็เริ่มคิดว่าทำยังไงจะไม่ต้องให้ข้อมูล ไม่ใช่ว่าคนไทยเป็นคนไม่มีวินัยหรือคนไทยไม่ทำตามกฎหมาย แต่มันแสดงความหวาดระแวงของคน หลายกรณีก็พบว่ามีเบอร์แปลกแอดไลน์มา หรือมีโฆษณาต่างๆ โผล่ขึ้นมา คำถามคือนั่นเป็นเพียงเคสเล็กๆ ที่ข้อมูลหลุดไปอยู่ในมือของคนที่ไม่ควรจะมี แต่มีเคสอื่นที่เราไม่รู้หรือเปล่า
ความต้องการเก็บข้อมูลว่าประชาชนเดินทางไปไหน อาจจะจำเป็นก็ได้ในช่วงเวลานี้ กรมควบคุมโรคก็คงอยากได้ข้อมูลส่วนนี้ไปทำงาน แต่การได้มาซึ่งข้อมูลนี้จะต้องอาศัยความสมัครใจของคน รัฐบาลที่บอกว่าไม่ได้บังคับ ก็เพราะเขาบังคับไม่ได้จริงๆ รัฐไม่ได้มีความสามารถเข้ามาควบคุมการใช้ชีวิตของคนเบ็ดเสร็จขนาดนั้น ถ้าต้องการให้คนมอบข้อมูลให้ ก็ต้องทำให้คนเชื่อว่ามันเป็นประโยชน์กับทั้งสังคม
(นิ่งคิด) เมื่อไม่สามารถสร้างความเชื่อใจได้ว่า ข้อมูลนี้จะไม่ถูกนำไปใช้งานเพื่อวัตถุประสงค์อื่น คนก็ไม่ใช้ พอไม่ใช้ รัฐก็ไม่ได้ข้อมูล แล้วอาจยังเป็นกำแพงให้คนไม่ไปใช้งานร้านค้าต่างๆ เศรษฐกิจก็ไม่ถูกกระตุ้น แต่ก็จะมีคนอีกจำนวนมากใช้งานอยู่ แต่ก็เป็นการใช้งานแบบจำใจ เราจะอยู่กันแบบจำใจให้ข้อมูลส่วนบุคคลเพราะไม่มีทางเลือกอื่นไหม มันไม่ควรเป็นแบบนั้นหรือเปล่า
เราต้องยอมรับความจริงไหมว่า ต้องมาทบทวนเรื่องความเป็นส่วนตัวกันใหม่ในสถานการณ์แบบนี้
ฝั่งคนที่ใช้ข้อมูล ต้องยอมรับว่าวิธีใช้แบบที่ทำกันมาแต่ดั้งเดิมไม่โอเค เป็นการใช้ข้อมูลที่อันตราย เพราะง่ายมากเลยที่จะเข้าถึงข้อมูลส่วนบุคคลของคนอื่น พฤติกรรมพวกนี้ต้องเปลี่ยน และเปลี่ยนได้ถ้ามีการวางระบบการจัดการข้อมูลที่ดี อีกด้านหนึ่งจะทำให้เกิดประสิทธิภาพด้วย เมื่อก่อนเรามองว่าข้อมูลส่วนบุคคลคือผลประโยชน์ ต่อไปนี้จะเป็นความเสี่ยงด้วย การใช้ประโยชน์จากข้อมูลเป็นประโยชน์จริงแต่ต้องรับผิดชอบ
ฝั่งเจ้าของข้อมูล อาจจะต้องระมัดระวังตัวมากขึ้น เราทำธุรกรรมบนโลกออนไลน์มากขึ้น หรือทุกวันนี้เราต้องให้เบอร์โทรศัพท์กับคนมาก คำแนะนำหนึ่งคือ ไม่ควรเปิดให้มีการแอดไลน์ผ่านหมายเลขโทรศัพท์อัตโนมัติ เข้าใจว่าตอนนี้ค่าตั้งต้นจะปิดไปแล้ว ถ้าเราอยากจะแอดไลน์ใครค่อยเปิดเฉพาะครั้ง แต่คำแนะนำแบบนี้ก็ไม่ใช่สิ่งที่เหมาะกับทุกคน เพราะแต่ละคนมี preference หรือความต้องการเกี่ยวกับความเป็นส่วนตัวไม่เหมือนกัน บางคนอาจจะบอกว่าไม่เป็นไร เปิดไว้ ใครจะแอดก็ได้ แต่ถ้าคนที่ฉันไม่ชอบ เขาแอดมา ค่อยบล็อกก็ได้
คนเรามีความแตกต่างหลากหลายในเรื่องนี้ แต่สิ่งสำคัญคือผู้ให้บริการจะต้องมีทางเลือกที่คุ้มครองความเป็นส่วนตัวมากกว่าให้เราเสมอ ค่าตั้งต้นของข้อมูลส่วนบุคคล ควรจะเป็นค่าแบบ ‘ปิด’ ไม่ใช่ ‘เปิด’ ถ้าคุณอยากให้ลูกค้าเปิดก็ต้องพยายามโน้มน้าวหรือชี้ให้เขาเห็นว่าเปิดแล้วมันสะดวกยังไง ดียังไง พอลูกค้ามั่นใจและเข้าใจว่าเปิดแล้วก็ยังปลอดภัยจริงๆ เขาก็จะ ‘เลือก’ เปิดได้เอง แบบนี้เรียกว่า Privacy by Default
Author
Photographer
