อลหม่านร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล สับเละ “นิยาม-แนวปฏิบัติ” ไม่ชัดเจน อิง GDPR ของ EUแต่ไม่เข้าใจบริบทถ่องแท้ ติดดาบสำนักงานใหม่ให้โทษอาญาธุรกิจพ่วงใช้ดุลพินิจคิดค่าปรับแต่เงินยังไม่เข้าเป็นรายได้แผ่นดิน
นางอัจฉรินทร์ พัฒนพันธ์ชัย ปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) เปิดเผยว่า กระทรวงดีอีได้เปิดเวทีประชาพิจารณ์ร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล เพื่อรับฟังความเห็นจากหน่วยงานที่เกี่ยวข้อง รวบรวมเสนอประกอบการพิจารณาของสภานิติบัญญัติแห่งชาติ (สนช.) ก่อนประกาศบังคับใช้ หลังจากพยายามยกร่าง พ.ร.บ.ฉบับนี้มาเกือบ 20 ปี ล่าสุดได้ปรับปรุงให้สอดรับกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล GDPR ของสหภาพยุโรป (EU) โดยร่างฉบับล่าสุดสำนักงานคณะกรรมการกฤษฎีกาให้ความเห็นชอบเมื่อ ก.ย. 2561
สาระสำคัญของกฎหมายนี้คือ การเก็บการใช้หรือการเปิดเผยข้อมูลต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล โดยมีการแจ้งวัตถุประสงค์ในการเก็บ-ใช้-เปิดเผยอย่างชัดเจน และต้องทำเท่าที่จำเป็นเท่าที่ยินยอมไว้ โดยมีการกำหนดหน้าที่ของผู้ควบคุมข้อมูลและประมวลผลในการจัดมาตรการรักษาความปลอดภัยและบันทึกข้อมูล กำหนดมาตรฐานในการโอนย้ายข้อมูลไปต่างประเทศ รวมถึงการเพิ่มสิทธิ์ของเจ้าของข้อมูลในการโต้แย้ง-ระงับการใช้ข้อมูล หากฝ่าฝืนจะมีโทษทางปกครองและทางอาญา
ในเวทีประชาพิจารณ์เมื่อวันที่ 11 ก.ย. 2561 นายสิทธินัย จันทรานนท์ ตัวแทนจาก บมจ.การบินไทย กล่าวว่า โลกปัจจุบันมีการไหลเวียนของข้อมูลอยู่ตลอด หากไทยยังทำไม่ได้ตามเกณฑ์มาตรฐาน GDPR อาจกระทบต่อธุรกิจที่ต้องมีการแลกเปลี่ยนข้อมูลกับ EU แต่ละบริษัทต้องไปทำสัญญาแยกต่างหากเอง เนื่องจากไทยยังไม่มีกฎหมาย ตามกฎของ GDPR จึงไม่สามารถโอนข้อมูลจาก EU มาไทยได้
“แต่การดึง GDPR มาใช้ ดึงมาครบถ้วนถูกต้องหรือไม่ นิยามและแนวทางเกี่ยวกับความยินยอมที่กำหนดในกฎหมายสอดคล้องกับ GDPR จริง ๆ หรือไม่ ขณะที่สิทธิ์ในการลบข้อมูลของเจ้าของข้อมูลซึ่งเป็นสิทธิพื้นฐานของ GDPR ในร่างกฎหมายนี้กลับมีเงื่อนไขกำหนดไว้”
“ที่สำคัญคือ GDPR กำหนดโทษทางปกครองและโทษปรับเท่านั้น แต่ใน พ.ร.บ.มีการกำหนดโทษทางอาญาและจำคุก ทั้งที่เป็นเรื่องใหม่ และเป็นการผลักให้การทำธุรกิจต้องตกอยู่ในความเสี่ยงที่จะมีโทษอาญา”
ด้านนายสุธี ทุวิรัตน์ กรรมการสมาคมความมั่นคงปลอดภัยระบบสารสนเทศ (TISA) กล่าวว่า แนวคิดในการตั้งสำนักงานคุ้มครองข้อมูลส่วนบุคคล ต้องการให้เป็นหน่วยงานธุรการ ตาม พ.ร.บ.นี้ แต่มีการเปิดช่องให้ทั้งสำนักงาน และเลขาธิการ มีอำนาจในการใช้ดุลพินิจในการสั่งปรับ ประเมินค่าปรับ จึงกลายเป็นองค์กรที่มีหน้าที่กำกับดูแล แต่ในมาตรา 44(4) ระบุให้เข้าไปถือหุ้นในเอกชนได้ จึงสุ่มเสี่ยงมีผลประโยชน์ทับซ้อน และผิดหลักของหน่วยงานทางปกครอง
“ที่รับไม่ได้เลยคือ ค่าปรับที่เอกชนต้องจ่าย กลายเป็นเงินรายได้ของหน่วยงานใหม่ ไม่ต้องนำส่งเข้าเป็นรายได้แผ่นดิน”
ขณะที่ตัวแทนจากสมาคมธนาคารนานาชาติกล่าวว่า น่าจะมีปัญหาในทางปฏิบัติจริง อาทิ ระบบธนาคารต้องมีข้อมูลประวัติอาชญากรรมก่อนเปิดบัญชีทำธุรกรรมให้ลูกค้าได้ ตามกฎหมายฟอกเงิน แต่ตามร่างกฎหมายนี้จัดเก็บได้ต้องได้รับความยินยอม ซึ่งในความเป็นจริงยากที่ใครจะยินยอมให้จัดเก็บ ทั้งมีข้อกำหนดเกี่ยวกับ “ปริมาณ” การจัดเก็บข้อมูลไว้ในต่างประเทศ ซึ่งบริษัทโดยเฉพาะธนาคารต่างประเทศต้องเก็บข้อมูลไว้ในเซิร์ฟเวอร์ต่างประเทศอยู่แล้ว
ตัวแทนจากสำนักงาน กสทช.กล่าวว่า นิยามของ “ข้อมูลส่วนบุคคล” ที่เข้าข่ายตาม พ.ร.บ. ยังไม่มีความชัดเจนว่าจะครอบคลุมถึงข้อมูลที่เกิดจากความก้าวหน้าของเทคโนโลยี อย่าง IOT, big data จึงเปิดช่องให้มีการตีความ เช่นเดียวกับคำว่า “การให้ความยินยอมโดยสภาพ” ซึ่งเกิดปัญหาได้ว่า ใครจะตีความ ที่สำคัญคือเมื่อทุกอย่างยังไม่ชัดเจน และระบุว่าต้องรอให้มีกฎหมายลูกกำหนดแนวทางปฏิบัติออกมาก่อน แต่ใน พ.ร.บ.หลัก ให้เวลาทุกหน่วยงานเพียง 180 วัน ปรับปรุงระบบตามที่กฎหมายกำหนด ซึ่งยากที่จะดำเนินการได้ทัน
ขณะที่นางสาวภูมิจิต ศิระวงศ์ประเสริฐ ประธานชมรมผู้ประกอบการธุรกิจโฮสติ้ง กล่าวว่า พ.ร.บ.ความผิดเกี่ยวกับคอมพิวเตอร์ ประกาศใช้มา 10 กว่าปี แต่ยังเห็นการจงใจใช้อย่างผิด ๆ ขณะที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลเป็นเรื่องใหม่ทั้งกับประชาชน ธุรกิจและภาครัฐ แม้แต่ GDPR ในยุโรปก็ยังมีปัญหา ทั้งที่มีการรณรงค์ให้ความรู้และให้เวลาทุกส่วนที่เกี่ยวข้องเตรียมตัวถึง 2 ปี แต่รัฐบาลไทยเร่งประกาศใช้ในทันที จึงมีคำถามว่าภาครัฐที่มีหน้าที่กำกับดูแลมีความพร้อมแค่ไหนที่จะบังคับใช้และรับมือกับปัญหาต่าง ๆ ที่จะเกิดขึ้น