ธุรกิจอลหม่านหนัก “กฎหมายคุ้มครองข้อมูลส่วนบุคคล” ทำเอกชนกุมขมับ ทำงานยุ่งยาก-ต้นทุนพุ่ง คปภ.ผนึกสมาคมประกันชีวิต-วินาศภัย ศึกษาผลกระทบ ชงขอปรับแก้-ยกเว้นบางประเด็น ชี้กฎหมายยึดแนวทาง GDPR ของยุโรปเข้มงวดมาก
ผู้สื่อข่าวรายงานว่า หลังจากที่มีการเปิดประชาพิจารณ์ร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล และได้เข้าสู่กระบวนการพิจารณาสภานิติบัญญัติแห่งชาติ (สนช.) เมื่อวันที่ 8 ต.ค.ที่ผ่านมา ภาคธุรกิจต่าง ๆ เริ่มมีความกังวลต่อผลกระทบของร่างกฎหมายฉบับดังกล่าวมากขึ้น เนื่องจากกฎหมายมีเป้าหมายเพื่อเคารพสิทธิของ “เจ้าของข้อมูล” โดยหลักการคือ การเก็บข้อมูลส่วนบุคคลของผู้อื่นต้องได้รับความยินยอม และเก็บได้เท่าที่จำเป็น เท่าที่ขออนุญาตไว้ และนำไปใช้ได้เท่าที่มีการแจ้งไว้เท่านั้น รวมถึงเจ้าของข้อมูลมีสิทธิยกเลิกความยินยอมเมื่อใดก็ได้ และเมื่อยกเลิกความยินยอมแล้ว ต้องลบข้อมูลนั้นออก หากฝ่าฝืนกฎหมายมีบทลงโทษทั้งทางแพ่งและอาญา คือจำคุกตั้งแต่ 6 เดือน-1 ปี และโทษปรับทางปกครองตั้งแต่ 5 แสนบาท-5 ล้านบาท
เอฟเฟ็กต์ทุกวงการ
นายสมบูรณ์ วีระวุฒิวงศ์ หัวหน้าหุ้นส่วนอาวุโส และกรรมการบริหารสายงานภาษีและกฎหมาย บริษัท PwC ประเทศไทย กล่าวว่า ร่างกฎหมายคุ้มครองข้อมูลส่วนบุคคล เพื่อจำกัดการเผยแพร่ข้อมูลส่วนบุคคลออกไป โดยจะต้องได้รับความยินยอมจากเจ้าของข้อมูลก่อน ซึ่งก็เป็นการเดินไปในแนวทางเดียวกับสากล เช่น ในยุโรปที่มีกฎหมาย General Data Protection Regulation (GDPR) ที่มีผลบังคับใช้ไปแล้ว
ผลกระทบในมุมธุรกิจ ก็คือ การจะนำข้อมูลส่วนบุคคลไปใช้ จะต้องได้รับความยินยอมจากเจ้าของข้อมูลก่อน โดยธุรกิจที่จะได้รับผลกระทบจากกฎหมายนี้ คือ ธุรกิจที่มีการทำธุรกรรมดิจิทัลทั้งหมด โดยเฉพาะอีคอมเมิร์ซที่เติบโตขึ้นทุกวัน หากไม่ได้รับความยินยอมจากเจ้าของข้อมูลก็อาจทำให้การขยายฐานลูกค้าทำได้ยากขึ้น
“ภาคธุรกิจจะมองว่า ข้อมูลส่วนบุคคลเหล่านี้คือ บิ๊กดาต้า เพียงแต่ต้องดูว่าเป็นดาต้าของใคร สมัยก่อนอยู่ดี ๆ ก็มีคนโทร.มาหาเพื่อขายของ ไม่รู้ว่าเอาเบอร์เรามาจากไหน ตรงนี้ก็คือข้อมูลส่วนบุคคล หรือหน้าเฟซบุ๊กเราอาจจะมีโฆษณาขึ้นเต็มไปหมด เกิดจากการที่ไปคลิกไลก์ที่อื่นมา นี่ก็เป็นข้อมูลส่วนบุคคล ก็เลยต้องมีกฎเกณฑ์ออกมาว่า ผู้ที่จะถูกเอาข้อมูลไปใช้ ต้องมีการยินยอม ต้องได้รับความคุ้มครอง” นายสมบูรณ์กล่าว
ประกันชง สนช.แก้ไขร่าง
นายสุทธิพล ทวีชัยการ เลขาธิการสำนักงานคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย (คปภ.) กล่าวว่า คปภ.ได้หารือกับสมาคมประกันชีวิตไทย และสมาคมประกันวินาศภัยไทย และจัดตั้งคณะทำงานเพื่อศึกษาบทบัญญัติและข้อกำหนดภายใต้ร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล เพื่อเสนอให้มีการแก้ไขหรือเพิ่มข้อยกเว้นบางประการที่อาจก่อให้เกิดอุปสรรคต่อการเดินหน้าของธุรกิจประกันภัย โดยเฉพาะด้านเศรษฐกิจดิจิทัล ซึ่งจะเป็นประโยชน์ต่อภาคประชาชนและอุตสาหกรรมประกันภัย เนื่องจากร่าง พ.ร.บ.มีการอ้างอิงหลักการกฎหมาย GDPR ซึ่งเป็นกฎใหม่ที่คุ้มครองข้อมูลส่วนบุคคลพลเมืองของสหภาพยุโรปเพิ่มหลายจุด ซึ่งมีบางจุดที่ภาคเอกชนกังวล
“ตอนนี้ร่างกฎหมายยังอยู่ระหว่างการพิจารณาของ สนช. จึงยังแก้ไขปรับปรุงได้ ยุคนี้ถือเป็นยุคของบิ๊กดาต้า การที่เรามีร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ทำให้ต้องระมัดระวังในการใช้ข้อมูล เนื่องจากบริษัทประกันและ คปภ.เป็นผู้จัดเก็บข้อมูลผู้เอาประกัน ก็มีความจำเป็นที่ต้องใช้ข้อมูลและต้องมีการแชร์ข้อมูลเหล่านี้” นายสุทธิพลกล่าว
ต้นทุนธุรกิจเพิ่ม
แหล่งข่าวจาก คปภ.อีกรายกล่าวว่า ก่อนหน้านี้ คปภ.ได้เสนอความเห็นไปบ้างแล้วในประเด็นที่กระทบต่อธุรกิจประกันภัย อาทิ กรณีบริษัทประกันต้องส่งข้อมูลให้บริษัทรับประกันภัยต่อ (รีอินชัวเรอร์) เพื่อรับความเสี่ยงอีกทอด ซึ่งที่ผ่านมาธุรกิจประกันวินาศภัยไม่เคยมีแบบฟอร์มให้ผู้เอาประกันลงนามให้ความยินยอมในการเปิดเผยข้อมูล
“ที่ผ่านมาธุรกิจประกันไม่ได้มีการระบุวัตถุประสงค์ชัดเจนในการนำข้อมูลส่วนบุคคลไปใช้ ฉะนั้น ถ้ากฎหมายมีผลบังคับใช้ คงต้องมาปรับกัน ซึ่งต้องแจ้งให้ชัดและไม่สามารถนำข้อมูลส่วนบุคคลไปใช้ในวัตถุประสงค์อื่น ๆ ได้ บริษัทประกันภัยก็ควรเตรียมรับมือล่วงหน้า ในแง่การจัดระบบและดำเนินการขอความยินยอม แม้จะค่อนข้างยุ่งยากและเป็นต้นทุนของบริษัทประกันที่มีพอร์ตลูกค้าเป็นล้าน ๆ กรมธรรม์” แหล่งข่าวกล่าว
ธุรกิจประกันป่วน
นายกิตติ ปิณฑวิรุจน์ รองกรรมการผู้จัดการใหญ่ฝ่ายกฎหมาย บมจ.อลิอันซ์อยุธยา ประกันชีวิต ในฐานะเลขาธิการสมาคมประกันชีวิตไทย กล่าวกับ “ประชาชาติธุรกิจ” ว่า ที่ผ่านมาธุรกิจประกันไม่เคยพูดถึงนโยบายความเป็นส่วนตัวของข้อมูลในกรมธรรม์เลย ว่าเก็บข้อมูลอะไรบ้าง เก็บเพื่ออะไร เก็บไว้นานแค่ไหน เปิดเผยข้อมูลต่อบุคคลอื่นได้หรือไม่ หรือการที่เทคโนโลยีเข้ามามีบทบาทมากขึ้น สามารถนำข้อมูลลูกค้าไปไว้บนระบบคลาวด์ หรือส่งไปดำเนินการที่ต่างประเทศสามารถทำได้หรือไม่ ดังนั้น เมื่อมีกฎหมายขึ้นมา ก็กลายเป็นว่าธุรกิจประกันต้องปรับตัวแบบก้าวกระโดด
“ประสบการณ์ของคนในอุตสาหกรรมประกันภัย ยังไม่มีใครรู้ว่าจะจัดการกับเรื่องเหล่านี้อย่างไรเพื่อดำเนินการให้ถูกต้องตามกฎหมาย ขณะที่บทลงโทษครอบคลุมทั้งทางแพ่งและอาญาที่ค่อนข้างรุนแรง เรากังวลว่าหากบริษัทประกันเปิดเผยข้อมูลลูกค้าโดยไม่ขอความยินยอมจะผิดแบบต่างกรรมต่างวาระหรือไม่ เช่น ผิดกับคนหนึ่งถือว่าผิดกับหลาย ๆ คน ซึ่งถ้าเป็นอย่างนั้นอาจทำให้ผู้เอาประกันดำเนินการฟ้องกลุ่มได้ ซึ่งจะส่งผลกระทบหนักต่อบริษัทประกัน” นายกิตติกล่าว
นายปรัชญา กุลวณิชพิสิฐ ประธานเจ้าหน้าที่บริหาร บมจ.ฟิลลิปประกันชีวิต กล่าวว่า ค่อนข้างเป็นเรื่องใหญ่ที่ไทยอ้างอิงกับกฎหมาย GDPR เพราะตามกฎหมายนี้จะเข้มงวดมากในการคุ้มครองข้อมูลพลเมืองยุโรป ซึ่งไม่ว่าธุรกิจใดที่เก็บข้อมูลลูกค้าที่มาจากสหภาพยุโรป และไม่ได้เก็บรักษาอย่างดี ทำให้เกิดการรั่วไหลออกไป ไม่ว่าจะเป็นความผิดของใคร มีความเสี่ยงที่จะโดนปรับถึง 4% ของรายได้ทั่วโลก เช่น กลุ่มฟิลลิปแคปปิตอลมีเครือข่ายอยู่ 17 ประเทศทั่วโลก หากข้อมูลหลุดออกไปที่ไทย กฎหมายดังกล่าวสามารถคิดค่าปรับของรายได้ทั้งกลุ่ม ไม่ใช่เฉพาะรายได้ธุรกิจในไทยเท่านั้น
จี้เพิ่มความปลอดภัยข้อมูล
ม.ล.จิรเศรษฐ ศุขสวัสดิ์ กรรมการผู้จัดการใหญ่และประธานเจ้าหน้าที่บริหาร บมจ.กรุงเทพประกันชีวิต กล่าวเพิ่มเติมว่า สิ่งสำคัญที่ คปภ.ต้องหารือภาคธุรกิจ คือ การยกระดับระบบความปลอดภัย เพื่อให้แต่ละบริษัทรักษาข้อมูลของลูกค้าไม่ให้ถูกแฮก หรือเกิดรั่วไหลออกไป เพราะจะมีความผิดตามกฎหมาย
“บริษัทเองมีการขายประกันผ่านช่องทางออนไลน์ ซึ่งปัญหาหลักของช่องทางนี้คือ การพิสูจน์ตัวตน ที่จำเป็นต้องเปิดเผยข้อมูลระหว่างบริษัท จึงต้องระมัดระวังอย่างยิ่ง อย่างไรก็ตาม กรณีที่ต้องแชร์ข้อมูลระหว่างกันอาจมีข้อยกเว้นบางกรณี เช่น ข้อมูลลูกค้าบางรายที่บริษัทประกันปฏิเสธรับด้วยเหตุผลของการเป็นโรคบางโรค สามารถแชร์ให้บริษัทประกันรายอื่น ๆ ได้”
นายบัณฑิต เจียมอนุกูลกิจ ประธานเจ้าหน้าที่บริหาร กลุ่มบริษัท เจนเนอราลี่ ไทยแลนด์ กล่าวว่า เรื่องนี้เป็นผลกระทบที่ทุกองค์กรได้รับเหมือนกัน แต่ข้อกำหนดบางอย่างก็ทำให้ลูกค้าเสียสิทธิ์ และบางอย่างอาจทำให้เกิดการเปลี่ยนแปลงมากจนเกินไป
“กสทช.” รอความชัดเจน
นายก่อกิจ ด่านชัยวิจิตร รองเลขาธิการสำนักงานคณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติ (กสทช.) กล่าวว่า สำนักงาน กสทช.ก็กำลังรอความชัดเจนของกฎหมายฉบับดังกล่าวเช่นกัน เนื่องจากการออกประกาศต่าง ๆ ต้องมีความสอดคล้องกับกฎหมาย เช่น กรณีเทคโนโลยี IOT (อินเทอร์เน็ตออฟทิงส์) ที่มีเรื่องข้อมูลการใช้งานของผู้บริโภคจะเปิดเผยได้แค่ไหน เป็นต้น
“ไม่ว่าเรื่องไอโอที หรือการนำเทคโนโลยี 5G มาใช้ กสทช.ต้องดูในทุกมิติ ทั้งเรื่องคลื่น มาตรฐานอุปกรณ์ และการนำไปใช้ ซึ่งกฎระเบียบต่าง ๆ จะใช้เท่าที่จำเป็น เพื่อไม่ให้ขัดขวางการเปลี่ยนแปลงของเทคโนโลยี ขณะเดียวกัน ต้องคำนึงถึงการคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภคด้วย”