ยกเว้น กฎหมายคุ้มครองข้อมูลส่วนบุคคล กับผลที่อาจตามมา | เขมภัทร ทฤษฎิคุณ 

ยกเว้น กฎหมายคุ้มครองข้อมูลส่วนบุคคล กับผลที่อาจตามมา | เขมภัทร ทฤษฎิคุณ 

กฎหมายคุ้มครองข้อมูลส่วนบุคคล มีความสำคัญทั้งในด้านของการคุ้มครองสิทธิและเสรีภาพของประชาชน และในด้านของการกำกับดูแลการใช้ข้อมูลส่วนบุคคล ซึ่งปัจจุบันมีความสำคัญทั้งกับภาคธุรกิจและการดำเนินภารกิจของหน่วยงานของรัฐ

เมื่อไม่นานมานี้หลังจาก พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ใช้บังคับมาได้เพียง 1 เดือน คณะรัฐมนตรีได้มีมติและเห็นชอบหลักการของพระราชกฤษฎีกายกเว้นการบังคับใช้ พ.ร.บ. ให้กับการใช้ข้อมูลส่วนบุคคลในหน่วยงานของรัฐ 

เพื่อวัตถุประสงค์ในการป้องกันประเทศ การรักษาความมั่นคงของประเทศ ความปลอดภัยสาธารณะ การจัดเก็บภาษีของหน่วยงานรัฐ การดำเนินการเพื่อประโยชน์สาธารณะ การดำเนินการตามพันธกรณีระหว่างประเทศ การดำเนินการของหน่วยงาน ศาล อัยการ และผู้บังคับใช้กฎหมาย

ซึ่งขอบเขตของการยกเว้นดังกล่าวค่อนข้างกว้าง และอาจกระทบต่อสิทธิและเสรีภาพของประชาชน รวมทั้งเศรษฐกิจของประเทศ

ในด้านสิทธิและเสรีภาพของประชาชน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ทำหน้าที่เสมือนผ้าเบรกช่วยลดการแทรกแซงสิทธิความเป็นส่วนตัว และคุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคล โดยการกำหนดมาตรฐานและวิธีการในการใช้ข้อมูลส่วนบุคคล 

การยกเว้นการบังคับใช้ พ.ร.บ. นั้นมีความน่ากังวลในประเด็นนี้ 2 เรื่อง เรื่องแรกคือ ขอบเขตของการยกเว้น ซึ่งตามร่างพระราชกฤษฎีกานี้มีการยกเว้นการนำกฎหมายมาใช้ในเรื่องสำคัญๆ

ได้แก่ การคุ้มครองข้อมูลส่วนบุคคล สิทธิของเจ้าของข้อมูลส่วนบุคคล การร้องเรียน ความรับผิดทางแพ่ง และบทกำหนดโทษ ซึ่งเปิดโอกาสให้หน่วยงานของรัฐลอยนวลพ้นผิดจากการละเมิดสิทธิของเจ้าของข้อมูลส่วนบุคคลในรูปแบบต่างๆ 

ยกเว้น กฎหมายคุ้มครองข้อมูลส่วนบุคคล กับผลที่อาจตามมา | เขมภัทร ทฤษฎิคุณ 

เรื่องที่สองคือ วัตถุประสงค์ของการยกเว้น อาทิ การรักษาความมั่นคงของประเทศ ความปลอดภัยสาธารณะ และการดำเนินการเพื่อประโยชน์สาธารณะนั้นมีความไม่เฉพาะเจาะจง และไม่อาจคาดหมายได้ว่าจะมีความหมายเช่นไรขึ้นกับดุลยพินิจและการตีความของหน่วยงานรัฐ ซึ่งข้อยกเว้นดังกล่าวนั้นขยายออกไปจากข้อยกเว้นเดิมที่กฎหมายกำหนดไว้

ที่ผ่านมาภาครัฐมีปัญหาในเรื่องการคุ้มครองข้อมูลส่วนบุคคลมาโดยตลอด ดังเช่นในปีที่ผ่านมา พบว่ามีการรั่วไหลของข้อมูลส่วนบุคคลจากหน่วยงานของรัฐ 5 ครั้ง ซึ่งข้อมูลที่รั่วไหลนั้นรวมถึงข้อมูลสุขภาพที่เป็นข้อมูลส่วนบุคคลอ่อนไหวที่กฎหมายมุ่งคุ้มครองเป็นพิเศษ  

นอกจากเรื่องรั่วไหลของข้อมูลส่วนบุคคลแล้ว ล่าสุดภาครัฐยังมีประเด็นเกี่ยวกับการคุกคามความเป็นส่วนตัวของประชาชนที่น่ากังวลและไม่ชัดเจน จากกรณีที่มีนักกิจกรรมหลายคนถูกติดตามด้วยซอฟต์แวร์สปายแวร์บนโทรศัพท์มือถือ และถูกเข้าถึงข้อมูลส่วนบุคคลรวมถึงข้อมูลพิกัดตำแหน่งบุคคลโดยผู้ใช้ไม่รู้ตัว ซึ่งบริษัทผู้ผลิตซอฟต์แวร์ดังกล่าวจะขายซอฟต์แวร์ให้กับภาครัฐเท่านั้น 

ยกเว้น กฎหมายคุ้มครองข้อมูลส่วนบุคคล กับผลที่อาจตามมา | เขมภัทร ทฤษฎิคุณ 

สิ่งที่เกิดขึ้นนำมาสู่การวิพากษ์วิจารณ์เกี่ยวกับความโปร่งใสและความรับผิดชอบของภาครัฐ ดังนั้น การยกเว้นการบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ยิ่งอาจจะทำให้มีปัญหาให้หน่วยงานของรัฐใช้หรือเข้าถึงข้อมูลส่วนบุคคลโดยปราศจากความรับผิดชอบ และกลายเป็นการซ้ำเติมปัญหาวัฒนธรรมการลอยนวลพ้นผิดเมื่อเกิดการละเมิดข้อมูลส่วนบุคคล

ในทางเศรษฐกิจของประเทศ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ทำหน้าที่สำคัญในฐานะเป็นส่วนหนึ่งของกฎหมายเศรษฐกิจดิจิทัลที่กำหนดหลักเกณฑ์และวิธีการเคลื่อนย้ายข้อมูลส่วนบุคคลข้ามพรมแดน ซึ่งเป็นหัวใจสำคัญของเศรษฐกิจสมัยใหม่ที่มีความจำเป็นต้องมีการเคลื่อนย้ายข้อมูลส่วนบุคคลข้ามพรมแดน

ดังจะเห็นได้จากกรอบความตกลงทางเศรษฐกิจต่างๆ เช่น RCEP หรือ CPTPP เป็นต้น ที่กำหนดให้ประเทศภาคีต้องรับรองหลักการดังกล่าว ซึ่งรวมถึงการทำให้ประเทศมหาอำนาจอย่างประเทศจีนต้องผ่านกฎหมายคุ้มครองข้อมูลส่วนบุคคลออกมาในปีที่ผ่านมา

หลักการสำคัญของการเคลื่อนย้ายข้อมูลส่วนบุคคลข้ามพรมแดนนั้นให้ความสำคัญกับการส่งข้อมูลส่วนบุคคลของประเทศผู้รับข้อมูลส่วนบุคคลนั้นจะต้องมีมาตรฐานในการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอไม่น้อยกว่าประเทศผู้ส่งข้อมูลส่วนบุคคล

ซึ่งตาม GDPR หรือ General Data Protection Regulation  ของสหภาพยุโรปกำหนดว่า มาตรฐานที่เพียงพอนี้รวมถึงการคุ้มครองข้อมูลส่วนบุคคลตามกฎหมายจะต้องไม่ถูกแทรกแซงโดยรัฐหรือหน่วยงานด้านความมั่นคงของรัฐ ซึ่งเป็นหลักการพื้นฐานของรัฐที่เป็นนิติรัฐที่มุ่งคุ้มครองสิทธิและเสรีภาพของประชาชน

ดังนั้น ผลของพระราชกฤษฎีกาฉบับนี้เปิดช่องให้สามารถตีความ รวมถึงไม่ได้มีการรับรองสิทธิของเจ้าของข้อมูลส่วนบุคคลเอาไว้ ก็อาจจะทำให้ประเทศไทยไม่ได้รับการยอมรับว่าเป็นประเทศที่มีกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่เท่าเทียมกันกับสหภาพยุโรป  

นอกจากนี้ อิทธิพลของ GDPR ได้สร้างมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลใหม่ทั่วโลก หากประเทศไทยไม่มีมาตรฐานเทียบเท่า GDPR ก็จะมีผลให้ประเทศไทยไม่มีมาตรฐานเทียบเท่ากับกฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศอื่น ซึ่งทำให้การเคลื่อนย้ายข้อมูลส่วนบุคคลเข้ามาในประเทศไทยทำได้ยาก และทำให้เอกชนของประเทศไทยอาจจะพลาดโอกาสในการเติบโตในยุคเศรษฐกิจดิจิทัล

หากคณะรัฐมนตรียังต้องการผลักดันพระราชกฤษฎีกาฉบับดังกล่าวต่อไป ต้องพิจารณาข้อน่ากังวลที่อาจจะเกิดขึ้นทั้งสองประการข้างต้น และควรตระหนักถึงสิทธิและเสรีภาพของประชาชนที่รัฐธรรมนูญรับรองไว้เป็นสำคัญ.

ยกเว้น กฎหมายคุ้มครองข้อมูลส่วนบุคคล กับผลที่อาจตามมา | เขมภัทร ทฤษฎิคุณ 

คอลัมน์ วาระทีดีอาร์ไอ 
เขมภัทร ทฤษฎิคุณ
นักวิจัยสถาบันวิจัยเพื่อการพัฒนาประเทศไทย (TDRI)
[email protected]