บริบทข้อมูลส่วนบุคคล ถึงเวลา “รุกคืบ” รับโลกเสมือนจริง

ข้อมูลส่วนบุคคล

อาจเพราะโลกของข้อมูลส่วนบุคคลเข้าไปเกี่ยวโยงกับการทำธุรกรรมทางอิเล็กทรอนิกส์ในหลายรูปแบบ จึงทำให้องค์กรต่าง ๆ รวมถึงประชาชนทั่วไปต่างให้ความสำคัญเกี่ยวกับการประกาศใช้ พ.ร.บ.คุ้มครองส่วนบุคคล พ.ศ. 2562 หรือในชื่อภาษาอังกฤษ คือ “PDPA” (Personal Data Protection Act) เป็นอย่างมาก

แม้ถึงตอนนี้จะยังไม่เรียบร้อยเท่าไรนัก แต่กระนั้นก็มีความคืบหน้าไปมาก ผลเช่นนี้จึงทำให้สถาบันเพิ่มผลผลิตแห่งชาติจัดงานสัมมนาในหัวข้อ “PDPA Executive Practices Sharing เผยกลยุทธ์ความสำเร็จการจัดการข้อมูลส่วนบุคคลขององค์กรชั้นนำ” เมื่อไม่นานผ่านมา

โดยมี “กำพล ศรธนะรัตน์” ผู้ช่วยเลขาธิการ สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (ก.ล.ต.) และ “ผศ.ดร.ปิยะบุตร บุญอร่ามเรือง” จากคณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัยมาร่วมพูดคุยผ่านรูปแบบ virtual seminar ยิ่งเฉพาะในประเด็น “PDPA ภายใต้สถานการณ์ที่เปลี่ยนไป : จะตั้งรับ หรือจะรุก” ที่ล้วนต่างมีประเด็นที่น่าสนใจหลายเรื่อง

เบื้องต้น “กำพล” เล่าให้ฟังว่า นับตั้งแต่กฎหมายออกมา และมีผลบังคับใช้ บางส่วนกำหนดมีผลตั้งแต่ปี 2563 และบางส่วนกำหนดบังคับใช้ 1 มิถุนายน 2564 ผ่านมา มีการดำเนินการหลาย ๆ อย่าง

จากเมื่อปี 2562 จนถึงตอนนี้มีความคืบหน้าในการเตรียมการ 96% ซึ่งยังไม่เต็มร้อย บางส่วนที่ยังขาดหายไปคือการออกกฎหมายลูกด้วย หากมองในเปอร์เซ็นต์ที่ยังขาดหายไปก็เหมือนการตอบคำถามกลาย ๆ ว่าองค์กรต่าง ๆ ควรดำเนินการเลยหรือไม่

“สิ่งที่ต้องดำเนินการทันทีตั้งแต่ร่างกฎหมายออกมา ก็มีการเตรียมการ ซึ่งอย่างที่บอกว่าตอนนี้ดำเนินการไป 96% ส่วนที่เหลือเปอร์เซ็นต์หลัง ๆ จะเป็นเปอร์เซ็นต์ที่เป็นงานรายละเอียดค่อนข้างเยอะ

เช่น เรื่องของการทำ data flow หรือการปรับไอทีแอปพลิเคชั่น และระบบที่เป็นเรื่องมรดก ซึ่งเป็นงานค่อนข้างยาก จากการศึกษากฎหมาย มีการทำงานร่วมกัน รวมถึงอาจารย์ปิยะบุตรเองก็เป็นหนึ่งในที่ปรึกษาของเราที่ช่วยในการเตรียมการ”

ดังนั้น สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (ก.ล.ต.) หรือหน่วยงานที่อยู่ในการกำกับดูแลจึงจัดกลุ่มงานออกเป็น 7 กลุ่ม ได้แก่

หนึ่ง งานจัดทำแผนผังข้อมูลส่วนบุคคล หรือ data flow ซึ่งจะแสดงรายละเอียดทุกอย่างว่าต้องใช้ข้อมูลอะไร และต้องตอบคำถามให้ได้ว่า 5W (who, what, when, where, why) 1H (how) ใครมีหน้าที่ทำอะไร ? เมื่อไหร่ ? และทำอย่างไร ซึ่ง data flow จะสะท้อนไปถึงการบันทึกประมวลด้วย

สอง งานกำหนดหน้าที่ของบุคคล และฐานกฎหมายที่ใช้ ซึ่งแต่ละหน่วยงานอาจมีความต่างกัน รวมถึงการกำหนดหน้าที่ของผู้ควบคุมข้อมูลเป็นส่วนใหญ่ ส่วนตัวประมวลผลข้อมูลอาจมีอีกส่วนหนึ่งที่เราต้องไปกำกับดูแล รวมไปถึงเรื่อง ก.ล.ต.เอง ก็เป็นหน่วยงานที่ต้องมีการเชื่อมต่อกับหน่วยงานภายนอก และหน่วยงานต่างประเทศด้วย

สาม เอกสารทุกสิ่งทุกอย่างที่จำเป็นต้องใช้การรวบรวมตามกฎหมาย ไม่ว่าจะเป็นนโยบายความเป็นส่วนตัว, ประกาศความเป็นส่วนตัว หรือพวกข้อตกลงการประมวลผลข้อมูลต่าง ๆ เรื่องแบบฟอร์มยินยอม ไปจนถึงเอกสารมาตรฐานข้อมูล มาตรฐานการใช้ข้อมูลต่าง ๆ

สี่ เรื่องของการบริหารจัดการข้อมูล ซึ่งเป็นวงจรชีวิต คือ ตั้งแต่เกิด แก่ เจ็บ ตาย เรามีการดูแลข้อมูลอย่างไร ซึ่งกฎหมายฉบับนี้ได้กำหนดเรื่องความปลอดภัยของข้อมูลอย่างชัดเจน รวมถึงข้อมูลอ่อนไหว ต้องมีวิธีบริหารจัดการที่พิเศษเพิ่มขึ้นไป

ห้า เรื่องของไอที ทั้งระบบที่กำลังไปข้างหน้า หรือระบบปัจจุบัน หรือจะเป็นระบบที่เป็นมรดก แต่ยังใช้งานอยู่ ซึ่งในส่วนนี้ต้องตามซ่อม ตามเก็บเพื่อให้ทุกอย่างสามารถรวบรวมได้ง่าย

หก เรื่องของเจ้าหน้าที่คุ้มครองข้อมูล (data protection officer-DPO) ซึ่งอันนี้กฎหมายระบุชัดเจนว่าต้องมี DPO ขึ้นมาทำหน้าที่ และเป็นจุดสัญญากับในส่วนที่เป็นเจ้าของข้อมูล เวลาที่มีเหตุการณ์เกิดขึ้น ซึ่งจะเลยไปถึงเรื่องการตอบสนองต่อเหตุการณ์

ซึ่งเวลาข้อมูลเกิดรั่วขึ้นมา มีทั้งส่วนที่ต้องทำการประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล (data protection impact assessment-DPIA) ก็ต้องมีการทำวิเคราะห์ว่าข้อมูลที่รั่วออกไปมีความเสี่ยงมากน้อยแค่ไหน ? อย่างไร ? เพราะจะมีผลกับการกำหนด action ต่อตัวเจ้าของข้อมูลอยู่พอสมควร

เจ็ด อบรม และสร้างความตระหนักรู้ ทั้ง 7 กลุ่มจะแสดงให้เห็นว่าเป็นงานที่เรารอไม่ได้ ต้องทำทันที แต่หลาย ๆ อย่างที่ทำ และมีกรณีประกาศเพิ่มเติม มีกฎหมายลูกออกมา ก็ต้องมารีวิวสิ่งที่เราทำไปแล้วว่าตอบโจทย์ตรงกันไหม ถ้ายังไม่ตอบโจทย์ต้องมีการปรับปรุงเพิ่ม แต่ตอนนี้เราพยายามเต็มที่เพื่อมุ่งสู่ best practices ดังนั้น อะไรที่อนุรักษนิยมได้ เราก็จะเตรียมมุ่งไปทางนั้น

ขณะที่ “ผศ.ดร.ปิยะบุตร” มองเสริมว่าจริง ๆ ก.ล.ต.เป็นเรือธงจริง ๆ และมีส่วนช่วยผลักดันสร้างปรากฏการณ์ เพราะจริง ๆ กฎหมายคุ้มครองข้อมูลส่วนบุคคลไม่ได้เพิ่งจะมีการนำเสนอมาในปี’62 เพราะความจริงมีการเสนอมา 20 กว่าปีแล้วในประเทศไทย แต่กลับไม่เคยได้รับการตอบรับ

แต่ปัจจุบันเริ่มมีการเป็นกระแส และประเด็นที่ทำให้เกิดความเข้าใจ โดยเฉพาะตอนปี’40 ถูกให้อยู่ในนโยบาย IT 2000 และมี พ.ร.บ.ออกมาด้วย ตอนนั้นคนยังไม่มีความรู้สึกว่าการใช้งานข้อมูลมันมาก และไม่ได้มองเห็นความจำเป็นว่าต้องมีการดูแลข้อมูลอะไร

“ประเด็นตอนนั้นจะเป็นเรื่องความเป็นส่วนตัว เรื่องขายประกัน ขายบัตรเครดิตเป็นหลัก แต่พอมาถึงวันนี้ที่มีการนำเสนออีกครั้งขึ้นมา และมีข้อบังคับในกฎหมายของสหภาพยุโรปว่าด้วยการคุ้มครองข้อมูล ความเป็นส่วนตัว และเขตเศรษฐกิจในยุโรป (general data protection regulation-GDPR) เข้ามาเยอะแยะ

คนจึงเริ่มยอมรับว่าถึงเวลาแล้วที่จำเป็นต้องทำ บวกกับตลาดทุนการเงินอย่าง ก.ล.ต. ซึ่งเป็นผู้นำที่ขับเคลื่อนเรื่องนี้ด้วย ทำให้การรับรู้ของคนในวันนี้เริ่มเห็นความจำเป็นที่จะต้องทำ ซึ่งต่างจากสมัยก่อนที่ไม่มีคนเห็นด้วย และมองว่าไม่จำเป็น

ซึ่งไม่ใช่แค่ประเทศไทย แต่ทั้งโลกที่เห็นความสำคัญในเรื่องนี้ และไปทางนี้กันหมด ที่สำคัญ องค์กรต่าง ๆ มีการใช้ข้อมูลมากขึ้น จึงเกิดคำถามว่าจะบริหารจัดการในเรื่องนี้อย่างไร”

“ยกตัวอย่างถ้าคิดว่าเราเป็นเจ้าของข้อมูล เราจะรู้เองแหละว่าอะไรควรทำ ไม่ควรทำ แล้วความเสี่ยงจะไม่มี ความเสี่ยงเกิดขึ้นเมื่อเราพยายามทำอะไรมากกว่าที่ควรจะเป็น อยากให้คิดตามนี้ เพราะจะช่วยได้ประมาณ 90%

แต่ถ้าพูดเป็นแบบภาษากฎหมายให้ดูมีหลักการเพิ่มขึ้นคือการยินยอมในอดีต มาจากเราชอบขอยินยอมในฐานการทำสัญญา เช่น ซื้อของออนไลน์ทุกท่านก็ต้องให้ชื่อ นามสกุล ที่อยู่ติดต่อ พอให้ไปแล้วบริษัทก็ขอยินยอมว่าคุณได้ให้การยินยอมแล้วนะ แต่ไม่ได้ให้ลูกค้าเลือกอะไรทั้งนั้น แต่การที่คุณกรอกข้อมูลมาคือคุณได้ให้การยินยอมแล้ว เรียกว่าการยินยอมโดยปริยาย”

“สมัยก่อนจะเป็นอย่างนี้ แต่หลักการของ GDPR และ PDPA นั้น ปัจจุบันไม่มีการยินยอมโดยปริยาย แสดงว่ามีฐานอื่นใช้แล้ว ดังนั้น ให้ไปลงฐานอื่น อย่ามาอธิบายว่าเป็นการยินยอมอีกต่อไป ดังนั้น การยินยอมตาม PDPA ของไทย จึงเปลี่ยนนิยามศัพท์ให้เรา จากที่คุ้นเคยในอดีตเวลาไปทำอะไรแล้ว

เราต้องยินยอมให้เขา ต่อไปจะไม่ยินยอมอีกต่อไป เพราะการยินยอมตาม PDPA แคบมากถ้านึกตัวอย่างไม่ออกให้นึกถึง sale marketing ที่ขายตรง เช่น ประกัน, บัตรเครดิต นี่คือสิ่งที่ต้องขอยินยอม เพราะไม่มีความสัมพันธ์อะไรที่จะไปอธิบายได้ อยู่ดี ๆ จะโทร.ไปหาเขา จะต้องได้รับการยินยอมเสียก่อน”

นอกจากนั้น “ผศ.ดร.ปิยะบุตร” ยังบอกอีกว่า ถ้าเทียบกับตัวอย่างนี้เป็นหลัก แล้วงานเราไม่ใช่ หรือดูไม่เหมือนเลย นั่นแสดงว่าน่าจะเป็นไปได้ว่าเราสามารถอธิบายได้ด้วยฐานอื่น ตรงนี้คือความเสี่ยง เพราะถ้าเราไม่จัดให้ลงถูกที่ถูกทางแล้ว

เราไปเรียกว่าการยินยอมตามความหมายใหม่ของ PDPA ซึ่งกฎหมายพยายามบอกว่าให้เจ้าของข้อมูลเข้าใจว่ากำลังทำอะไร แต่เรากลับไปพูดกับเขาที่ไม่ใช่มาตรา 19 นี่แหล่ะคือความเสี่ยง และเหตุร้องเรียนจะเกิดจากตรงนี้

“ดังนั้น ถ้าจะพูดว่ายินยอมก็ต้องแน่ใจว่าเป็นการยินยอมตามมาตรา 19 จริง ๆ ดังนั้น หลักการของ PDPA คือ ไม่ให้ทำเผื่อ แต่ให้ทำเท่าที่จำเป็น แต่ไม่ได้ห้ามอัพเดต หรือทำเพิ่ม แต่อย่าไปเผื่อแล้วจะไม่ได้ใช้”

ถึงตรงนี้ “กำพล” เสริมขึ้นว่าเมื่อไหร่ก็ตามที่เราใช้ฐานการยินยอม ก็จะมีภาระตามมา โดยเฉพาะสิทธิของเจ้าของข้อมูล ไม่ว่าจะเป็นการขอให้ลบ ซึ่งบางครั้งมันลบไม่ได้ เพราะเป็นข้อมูลที่ไปผูกกับอย่างอื่นที่ต้องใช้อยู่ แต่เกิดจากเราไปอ้างฐานผิด ซึ่งความเสี่ยงคือการหยุดชะงัก แล้วไปต่อไม่ได้ เพราะเป็นงานที่ต้องใช้เวลา

“เนื่องจาก ก.ล.ต. ฐานตามกฎหมายมีอะไรก็จะเข้าไปใช้ฐานนั้น และใช้การยินยอมให้น้อยที่สุด ซึ่ง web application ที่มีการให้บุคลากรในตลาดทุนจะมีฐานอื่นรองรับนอกเหนือจากฐานการยินยอม

ดังนั้น ก็เหมือนกับว่าเราทำตัวตามปกติ เพียงแต่ว่าตาม PDPA มีการกำหนดเพิ่มเติมว่าถ้าเราใช้ฐานอำนาจอะไร จะใช้ข้อมูลทำอะไรต้องมีการแจ้งในส่วนของนโยบายความเป็นส่วนตัว, ประกาศความเป็นส่วนตัว ซึ่งการแจ้งนี้จะทำละเอียดลงไปในฐานกิจกรรม

โดยเราพยายามจัดกลุ่มใหญ่ ๆ คือ ไม่ได้ไปอธิบายทุกกิจกรรมย่อย แต่ต้องมีการจัดกลุ่ม เช่น เรื่องการออกหุ้น, การขออนุญาตของผู้ประกอบธุรกิจ, การซื้อขายในตลาดรอง เป็นต้น”

“พูดง่าย ๆ ว่า เราพยายามจัดกลุ่มแล้วแจ้งให้ทราบความเป็นส่วนตัว และเมื่อมาดู web application จะเห็นข้อมูลประมาณนี้ ซึ่งการทำขึ้นมาก็เพื่อให้เกิดการเซอร์ไพรส์ว่าจะเอาข้อมูลไปทำอะไร อีกอย่างทำให้เกิดความมั่นใจว่าเมื่อเอาไปแล้ว จะนำไปใช้ตามอำนาจกฎหมายจริง ๆ ขอข้อมูลเท่าที่จำเป็นจริง ๆ จะดูแลข้อมูลเป็นอย่างดีจริง ๆ

รวมถึงการอนุญาตการส่งต่อ การแชร์จะต้องระบุให้ชัดเจน เพราะในแง่ของการแชร์เรามีหน่วยงานราชการด้วยกันที่อาจต้องมีการแชร์ข้อมูลกัน ซึ่งก็ต้องพูดให้ชัดเจนตั้งแต่ต้น”

“สำหรับระบบที่รองรับการใช้สิทธิของ ก.ล.ต. ในฐานการยินยอมจะเป็นเรื่องสมัครสมาชิก ซึ่งเจ้าของสิทธิสามารถดำเนินการลบได้ด้วยตนเองเลย ซึ่งเราทำระบบเพื่อให้เขาได้ออกแบบสิทธินั้นได้

เพราะเวลาเราทำ data flow จะทำให้เห็นรายละเอียดว่าเวลามีเจ้าของข้อมูลเข้ามาออกแบบสิทธิ ใน data flow หรือเปล่า และจาก data flow ต่อไปก็จะกำหนดสเป็ก ถ้ากรณีที่เราใช้ระบบ แต่กฎหมายไม่ได้บอกว่าเราต้องใช้ระบบเสมอไป”

“กำพล” กล่าวต่อว่า อย่างกิจกรรมที่ไม่ได้มีปริมาณเยอะ และไม่ได้แอ็กทีฟมาก ๆ การทำทะเบียนถ้าจะทำเป็นแบบปกติ ก็เชื่อว่ากฎหมายยังรับได้ เพราะบางทีไม่ได้ผ่าน web app แต่อาจจะผ่านการโทร. การส่งจดหมาย ที่เป็นจดหมายกระดาษจริง ๆ

ฉะนั้น ในแง่ของการทำทะเบียน ในเรื่องของการเก็บ log การใช้สิทธิของเจ้าของข้อมูล บางส่วนทำบนตัวระบบได้ บางส่วนต้องมีสมุด หรือคู่มืออะไรที่ช่วยในการบันทึก ซึ่งก็เป็นอีกบทหนึ่งของ DPO ในการเปลี่ยนแปลงองค์กรในการทำ และเตรียมการ ซึ่งการจะทำตรงนี้ได้ ต้องกลับไปดูที่ data flow ว่าละเอียดเพียงพอแค่ไหน และ DPO ควรอบรมเพิ่มเติมหรือไม่

“ผศ.ดร.ปิยะบุตร” กล่าวเสริมในประเด็นนี้ว่า ผมคิดว่า DPO ควรเข้ารับการอบรม เพื่อให้ตนเองสามารถไปตรวจสอบเขาได้ ซึ่งกฎหมายลูกแนวทางตอนนี้มีแนวคิดที่ค่อนข้างส่งเสริม DPO ให้อบรมความรู้ต่าง ๆ อยู่แล้ว

แต่ไม่ได้เป็นข้อบังคับว่าต้องมีต้องเป็นโดยเฉพาะ ในระยะแรก แต่ละองค์กรมีข้อจำกัดต่างกันในเรื่องความต้องการขั้นต่ำ อาจจะเป็นไปไม่ได้ในทางปฏิบัติ เพราะแต่ละอุตสาหกรรมมีความแตกต่างกัน ซึ่งผมคิดว่าถ้าองค์กรมีจรรยาบรรณ เราก็สามารถช่วยเขาได้ และจรรยาบรรณก็จะตอบสนองเขาเองว่าต้องทำอย่างไร

“ถ้าใครทำเกิน ทำเพิ่มก็อธิบายต่อไป แต่ถ้าทำตามนี้อยู่แล้ว ก็ไม่ต้องไปเสียเวลาอธิบาย ซึ่ง DPO ก็ในลักษณะเดียวกันคือถ้าองค์กรเขาเป็นองค์กรขนาดใหญ่มาก เขาต้องอบรมตัวเอง

และสร้างทักษะให้ตนเองให้มีทักษะเพียงพอที่จะดำเนินการ แต่บางองค์กรอาจไม่ได้เป็นในลักษณะแบบนั้นคืออยากให้มองไปที่อุตสาหกรรมของตนเองเป็นอย่างไร เพราะความรู้แต่ละอุตสาหกรรมอาจจะไม่ได้เป็นความรู้ชุดเดียวกัน”

“ผมจึงมองว่าถ้าทำได้ยิ่งดี ก่อนหน้านี้เราจะให้ดูหลายอย่างมาก แต่แนวของกฎหมายลูกที่เสนอไปล่าสุดคือให้ดูจำนวนเจ้าของข้อมูลที่ระดับ 5,000 รายเพียงอย่างเดียว ไม่ต้องดูอะไรซับซ้อน ถ้ามีการเก็บข้อมูลของเจ้าของข้อมูลจำนวน 5,000 ราย ก็ต้องมี DPO แบบภาคบังคับ แต่ถ้าไม่ถึงจะตั้ง DPO ก็ถือว่าเป็นสิ่งที่ดี”

“กำพล” กล่าวเสริมในประเด็นนี้อีกครั้งว่า DPO มีการกำหนดบทบาทชัดเจน ไม่ว่ากฎหมายจะบังคับหรือไม่บังคับ ซึ่งบทบาทนี้ในสภาพขององค์กรแบบนี้ยังจำเป็นต้องมี เพราะถ้าไม่มีการตั้ง DPO ก็ต้องให้ผู้ตรวจสอบภายในทำบทบาทนี้ ซึ่งเป็นบทบาทของงาน DPO เพื่อให้เกิดความมั่นใจว่าองค์กรมีการดำเนินการ และทำทุกอย่างตามที่ PDPA กำหนด ซึ่งก็เป็นหน้าที่ขององค์กรอยู่แล้ว


นับว่าน่าสนใจทีเดียว