การคุ้มครองข้อมูลส่วนบุคคล ในฐานะที่เป็นมาตรฐานทางธุรกิจ

คอลัมน์ ช่วยกันคิด

โดย ปิยะบุตร บุญอร่ามเรือง คณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย

• ประกาศแล้ว! พระราชกฤษฎีกาเงินช่วยค่าครองชีพผู้รับเบี้ยหวัดบำนาญ รับ 11,000 บาทต่อเดือน
• พบรอยร้าวบ่อฝังกลบกากแคดเมียมของ เบาด์ แอนด์ บียอนด์
• หุ้นไทยดิ่งหนัก ตลาดหลักทรัพย์ออก Statement ชี้แจง

เมื่อวันที่ 11 ก.ย. 2561 กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) ได้จัดรับฟังความเห็นสาธารณะต่อร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล เพื่อรวบรวมข้อคิดเห็นเสนอประกอบการพิจารณาของสภานิติบัญญัติแห่งชาติ (สนช.) หลังพยายามยกร่าง พ.ร.บ.ฉบับนี้มากว่า 20 ปี และล่าสุดได้ปรับปรุงให้สอดรับกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลฉบับใหม่ของสหภาพยุโรป หรือ “GDPR” (EU General Data Protection Regulation)

ประเด็นที่สำคัญคือ ขอบเขตการบังคับใช้กฎหมายนั้นครอบคลุมการประมวลผลที่เกิดขึ้นใน EU แม้ว่าผู้ควบคุมข้อมูล (controller) หรือผู้ประมวลผลข้อมูล (processor) จะอยู่นอก EU รวมถึงกรณีส่งข้อมูลภายในประเทศสมาชิกออกนอก EU ด้วย

ผู้ประกอบการไทยหากจะติดต่อรับ-ส่งข้อมูลกับบุคคลประเทศสมาชิก EU ก็ต้องมีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสมเพียงพอเช่นเดียวกัน

คำถามที่มักพบบ่อยในระยะนี้ คือ ผู้ประกอบการไทยหากไม่ได้มีเป้าหมายจะให้บริการใน EU จำเป็นต้องปฏิบัติตาม GDPR หรือไม่ และสามารถแยกส่วนการจัดการข้อมูลคนชาติยุโรปออกจากส่วนอื่นได้หรือไม่นั้น ต้องพิจารณาบริบทแวดล้อม ดังนี้

(1) สถานการณ์ของไทยอยู่ในขั้นที่แทบเริ่มต้นจากศูนย์ ยังไม่เคยมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลใด ๆ มาก่อน ที่ผ่านมาประกาศของบางหน่วยงานที่ประกาศเฉพาะแก่บางภาคธุรกิจ แต่ก็เป็นเพียงกำหนดหลักการกว้าง ๆ และอยู่เป็นส่วนเล็ก ๆ ของมาตรการความปลอดภัยไซเบอร์ (network security) ยังไม่ถึงขนาดเป็นการวางแนวปฏิบัติหรือมาตรฐานในเรื่องการคุ้มครองข้อมูลส่วนบุคคลเต็มรูปแบบ

(2) GDPR ได้กำหนดให้การส่งผ่านข้อมูลข้ามพรมแดนจาก EU มายังประเทศในภูมิภาคอื่น ทำได้ต่อเมื่อเป็นประเทศที่ได้รับการยอมรับว่ามีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอจาก EU หรือต่อไปเราจะได้ยินชื่อเรียกนี้บ่อยขึ้นว่า “EU Adequacy Decision” แม้แต่ญี่ปุ่นที่มีกฎหมายที่ค่อนข้างดีในเรื่องนี้ก็ยอมรับหลักการบางประการของ EU เพื่อให้ได้การรับรองนี้เมื่อเดือน ก.ย. 2561

(3) รายงานของคณะทำงานด้านพาณิชย์อิเล็กทรอนิกส์ของ APEC ระบุว่า จากสมาชิก APEC จำนวน 21 เขตเศรษฐกิจ มี 5 เขตเศรษฐกิจที่ยังไม่มีกฎหมายคุ้มครองข้อมูลส่วนบุคคล ได้แก่ บรูไน, จีน, อินโดนีเซีย, ปาปัวนิวกินี และไทย รวมถึงไม่มีหน่วยงานกำกับดูแลการคุ้มครองข้อมูลส่วนบุคคลด้วย ทำให้ไม่สามารถเข้าร่วมโปรแกรมรับรองมาตรฐานต่าง ๆ ที่กำลังเกิดขึ้นทั่วโลก รวมถึงกรอบ APEC-CBPRs ที่เป็นกลไกให้หน่วยงานองค์กรทั้งหลายเข้าร่วมแบบสมัครใจเพื่อรับการรับรองว่าคุ้มครองข้อมูลส่วนบุคคลเป็นที่ยอมรับ

(4) เราเริ่มเห็นการดำเนินการในลักษณะการบังคับใช้มาตรฐานคุ้มครองข้อมูลส่วนบุคคลนี้ในธุรกิจต่าง ๆ มากขึ้นเรื่อย ๆ เช่น กรณีทีมฟุตบอล West Ham ได้แจ้งเหตุการณ์รั่วไหลของข้อมูลอีเมล์ส่วนบุคคลของแฟนบอลหลายร้อยรายการต่อ ICO ซึ่งเป็นหน่วยงานคุ้มครองข้อมูลส่วนบุคคลของ

สหราชอาณาจักร เพราะบังเอิญแชร์อีเมล์เหล่านั้นไประหว่างที่ส่งอีเมล์ยืนยันการสมัครเข้าชมรายการแข่งขัน Carabao Cup และมีแนวโน้มจะถูกปรับ หรือกรณีสายการบิน British Airway ที่ถูกแฮกเกอร์เจาะเอาข้อมูลส่วนบุคคลของลูกค้า 380,000 รายการ และจะถูกปรับจากเหตุการณ์ดังกล่าว

ประเด็นการส่งผ่านข้อมูลข้ามพรมแดนนี้มีนัยสำคัญมากจากนี้ไป เพราะปฏิเสธไม่ได้ว่าอินเทอร์เน็ตคือสื่อกลางในการส่งผ่านดังกล่าว และผู้ประกอบการก็ไม่อาจปิดกั้นตัวเองไม่ส่งผ่านข้อมูลทั้งไปและกลับได้ ประเด็นจึงไม่ใช่ว่าเราจะจัดการข้อมูลส่วนบุคคลของ EU อย่างไรอีกต่อไป หากแต่เป็นคำถามว่าเราจะยกระดับมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลให้เป็นที่ยอมรับได้อย่างไร

แนวทางที่น่าจะเป็นคำตอบมีอย่างน้อย 2 ประการในระยะเร่งด่วน (1) จำเป็นต้องตรา พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลให้มีผลบังคับใช้โดยเร็ว (2) จำเป็นต้องสร้างมาตรฐานและแนวปฏิบัติของผู้ประกอบการเพื่อสร้างความพร้อมและพัฒนาให้เป็นที่ยอมรับในระดับสากล

ซึ่งหลายบริษัทได้ดำเนินการไปเองแล้ว โดยไม่รอกฎหมายและนโยบายระดับประเทศ เช่น การบินไทย หรือบริษัทที่มีเครือข่ายสาขาหรือคู่ค้าใน EU หลายบริษัทก็ได้รับรองมาตรฐาน ISO/IEC 27001 หรือ ISO/IEC 29100 อยู่แล้ว

หากไทยไม่มีกฎหมายและมาตรฐานที่อยู่ในระดับที่เพียงพอ จะกลายเป็นว่าผู้ประกอบการเองต้องยอมรับเข้าทำสัญญา BCR เพื่อทำธุรกิจคล้ายกับเสียสิทธิสภาพนอกอาณาเขตไปเลยก็ได้

เรื่องการตรา พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลนั้นมีเจ้าภาพชัดเจน คือ กระทรวงดีอี และกำลังจะเสนอเข้าสู่ สนช. แต่ส่วนที่เกี่ยวกับการสร้างมาตรฐานและแนวปฏิบัติของผู้ประกอบการ ยังเป็นโจทย์ที่ควรต้องทำโดยภาคประชาสังคม ไม่ควรรอให้มีกฎหมายและมีการจัดตั้งหน่วยงาน ซึ่งกินเวลาหลายปี อย่างไรก็ดี ยังมีความกังวลว่าหากจำเป็นต้องคุ้มครองข้อมูลส่วนบุคคลจะสร้างภาระและผู้ประกอบการขนาดกลางและเล็กอาจไม่สามารถทำได้

คณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย ตระหนักถึงผลกระทบของ GDPR และความจำเป็นดังกล่าว จึงร่วมกันกับองค์กรภาครัฐและเอกชน จัดทำ “โครงการจัดทำคู่มือแนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล” เริ่มจากการจัดสัมมนาเชิงลึกเมื่อ 2 ก.ค. 2561 นำมาต่อยอด ศึกษา วิจัย และประชุมกลุ่มย่อยอีกหลายครั้ง จนได้ “แนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล” หรือ “Thailand Data Protection Guidelines 1.0”

ประกอบด้วยเนื้อหา 3 ส่วนหลักได้แก่ (1 ) แนวปฏิบัติการกำหนดและแยกแยะข้อมูลส่วนบุคคล (2) แนวปฏิบัติเกี่ยวกับฐานการประมวลผลข้อมูลส่วนบุคคล (3) แนวปฏิบัติเกี่ยวกับหน้าที่และความรับผิดชอบของผู้ควบคุมและผู้ประมวลผลข้อมูล ซึ่งถือเป็นจุดเริ่มต้นของการสร้างมาตรฐานและแนวปฏิบัติของผู้ประกอบการเพื่อสร้างความพร้อมและพัฒนาให้เป็นที่ยอมรับในระดับสากลต่อไปและมีความตั้งใจจะพัฒนาเวอร์ชั่นต่อไปออกมาให้เท่าทันระดับสากล และจะได้เผยแพร่แนวปฏิบัติดังกล่าวเป็นการสาธารณะให้ผู้ประกอบการและบุคคลทั่วไปสามารถนำไปใช้เป็นแนวปฏิบัติของตนเองได้ โดยจะเริ่มเผยแพร่ในงานสัมมนา “Data Protection for Business : Road to GDPR Standard” ณ ห้องประชุม ศ.สังเวียน อินทรวิชัย ชั้น 7 ตลาดหลักทรัพย์แห่งประเทศไทยวันที่ 25 ก.ย. 2561 นี้