20 ปี กว่าจะคลอด กม.คุ้มครองข้อมูล

หลังจากบรรจุเป็นวาระการประชุมสภานิติบัญญัติแห่งชาติ (สนช.) มาตั้งแต่ 22 ก.พ. 2562 และถูกเลื่อนการพิจารณาแล้วเลื่อนอีก สำหรับ 2 ร่างกฎหมายสำคัญที่กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) ผลักดัน ได้แก่ ร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล และร่าง พ.ร.บ.ความมั่นคงปลอดภัยทางไซเบอร์

ในที่สุดเมื่อ 28 ก.พ. 2562 สนช.ลงมติ 161 เสียง ผ่านร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล และ 133 เสียง เห็นชอบร่างกฎหมายไซเบอร์ซีเคียวริตี้ให้ประกาศใช้เป็นกฎหมาย หลังพยายามยกร่างกันมาหลายยุคหลายรัฐบาล โดยเฉพาะกฎหมายคุ้มครองข้อมูลส่วนบุคคลนั้น ยกร่างครั้งแรกเมื่อ 20 ปีก่อน เฉพาะรัฐบาลนี้ก็เปลี่ยนคณะทำงานยกร่างมาแล้วหลายครั้ง เผชิญกับเสียงคัดค้านมาตลอด จนได้ปรับแก้อีกครั้ง

แม้ว่าเมื่อฟังความเห็นจากหลายเสียงที่คัดค้านก่อนนี้ ส่วนใหญ่จะพอใจการแก้ไขร่าง พ.ร.บ.ไซเบอร์ในระดับหนึ่ง แต่เกือบทั้งหมดพร้อมใจกันเป็นห่วงกฎหมายคุ้มครองข้อมูลส่วนบุคคล ซึ่งถือเป็นเรื่องใหม่มากในสังคมไทย

ไซเบอร์ซีเคียวริตี้

สาระสำคัญของกฎหมายไซเบอร์ซีเคียวริตี้คือ จะตั้ง “กมช.” คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ มีนายกรัฐมนตรีเป็นประธาน แต่การดำเนินงานจะมี “กกม.” คณะกรรมการกำกับดูแลด้านความมั่นคงปลอดภัยไซเบอร์ ซึ่งรัฐมนตรีดีอีเป็นประธาน ดำเนินการโดยจะกำหนดให้หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (CII) ซึ่งเป็นหน่วยงานที่มีภารกิจหรือบริการใน 8 ด้าน ได้แก่ ความมั่นคงของรัฐ บริการภาครัฐที่สำคัญ การเงินการธนาคาร ด้านเทคโนโลยีสารสนเทศและโทรคมนาคม การขนส่งและโลจิสติกส์ พลังงานและสาธารณูปโภค สาธารณสุข และอื่น ๆ ตามที่บอร์ดระบุเพิ่ม ต้องมีมาตรฐานความมั่นคงปลอดภัยตามที่กำหนดทั้งยังแบ่งภัยคุกคามทางไซเบอร์เป็น 3 ระดับ คือ “ไม่ร้ายแรง” ซึ่งหมายถึงระบบถูกโจมตีให้ด้อยประสิทธิภาพลง “ร้ายแรง” หมายถึง การโจมตีที่มุ่งระบบของ CII ทำให้ไม่สามารถใช้งานได้

Advertisment

และ “วิกฤต” คือ การโจมตีที่ส่งผลกระทบรุนแรงในวงกว้าง ทำให้ระบบล้มเหลวจนรัฐควบคุมไม่ได้ และอาจลามไปถึงระบบอื่น

โดยภัยระดับ “ร้ายแรง” อาจมอบอำนาจให้รัฐมนตรีดีอี ผู้บัญชาการทหารสูงสุด หรือ กกม. จะออกคำสั่งเพื่อรับมือ โดยมีหนังสือขอความร่วมมือบุคคลมาให้ข้อมูล ขอเอกสาร เข้าไปในอสังหาริมทรัพย์หรือสถานประกอบการที่เกี่ยวข้อง หรือคาดว่ามีส่วนเกี่ยวข้องกับภัยคุกคาม โดยได้รับความยินยอมจากผู้ครอบครองสถานที่นั้น กรณีจำเป็นต้องเข้าถึงข้อมูลคอมพิวเตอร์และระบบ รวมถึงการยึด-อายัดอุปกรณ์ ให้ยื่นคำร้องต่อศาล

หากเป็นระดับ “วิกฤต” ให้เป็นหน้าที่ของสภาความมั่นคงแห่งชาติ ซึ่งดำเนินการได้โดยไม่ต้องยื่นคำร้องต่อศาลในกรณีจำเป็นเร่งด่วน

คุ้มครองข้อมูลส่วนบุคคล

Advertisment

ขณะที่ร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล จะตั้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล โดยประธานจะได้มาจากการสรรหาผู้เชี่ยวชาญ ซึ่งนายกรัฐมนตรีและประธานรัฐสภา ผู้ตรวจการแผ่นดิน คณะกรรมการสิทธิมนุษยชนแห่งชาติเป็นผู้แต่งตั้งกรรมการสรรหา

หลักสำคัญคือ การเก็บรวบรวม การใช้ การเปิดเผยข้อมูลส่วนบุคคล ต้องได้รับความยินยอมจากเจ้าของข้อมูลอย่างชัดเจน และสามารถถอนความยินยอมได้ รวมถึงมีสิทธิขอให้ลบหรือทำลายได้เมื่อการเก็บ ใช้ เปิดเผย ไม่ชอบด้วยกฎหมายหรือถอนความยินยอม

โดยในหมวดของการคุ้มครองข้อมูลได้ให้เวลาทุกหน่วยงานที่เกี่ยวข้องเตรียมตัว 1 ปีหลังประกาศลงราชกิจจานุเบกษา เนื่องจากคณะกรรมการจะต้องมีการออกประกาศขั้นตอนระเบียบปฏิบัติต่าง ๆ อีกราว 30 ฉบับ เพื่อเป็นแนวปฏิบัติ ซึ่งหากฝ่าฝืนจะมีทั้งโทษจำคุกตั้งแต่ 6 เดือนถึง 1 ปี และโทษปรับตั้งแต่ 5 แสนบาท จนถึงระดับ 5 ล้านบาท แล้วแต่ประเภทของข้อมูล

เมื่อโลกเข้าสู่ยุคของไซเบอร์และดาต้า “ทุกคน” ล้วนมีสิทธิเข้าข่ายทั้งได้รับความคุ้มครองและทั้งต้องปฏิบัติตามกฎหมายทั้ง 2 ฉบับ จึงควร “อ่าน” และศึกษารายละเอียดต่าง ๆ อย่างรอบคอบ