กม.คุ้มครองข้อมูลส่วนบุคคลและทิศทางการพัฒนา Smart City
ในยุคที่เทคโนโลยีอินเทอร์เน็ตและปัญญาประดิษฐ์(AI)พัฒนาอย่างก้าวกระโดด เราคงได้ยินการพูดถึงเรื่องของเมืองอัจฉริยะหรือ “Smart City” บ่อยขึ้น
สืบเนื่องมาจากปัญหาความหนาแน่นและการบริหารจัดการทรัพยากรของเมืองต่างๆ ซึ่งต้องมีระบบและแนวทางแก้ปัญหาที่แม่นยำเพื่อให้เมืองนั้นๆ สามารถเติบโตได้อย่างยั่งยืน (Sustainable)
The Institution of Engineering and Technology ของประเทศอังกฤษได้ให้ความหมายของ Smart City ไว้ว่า เป็นเมืองที่มีการนำเทคโนโลยีดิจิทัลและข้อมูลมหัต (Big Data) มาใช้ในการเพิ่มประสิทธิภาพและความรวดเร็วในการแก้ปัญหาและพัฒนาระบบเศรษฐกิจ การเมือง สังคมและสิ่งแวดล้อม ทั้งนี้ เพื่อเป็นการยกมาตรฐานคุณภาพชีวิตประชากรในทุกมิติ (Standard ofliving) บริษัทชั้นนำทางเทคโนโลยีอย่าง IBM ได้อธิบายภาพการขับเคลื่อน Smart City อย่างชัดเจนว่า Smart City ประกอบด้วยหลักสามประการ กล่าวคือ 1) การติดตั้งระบบอุปกรณ์(Instrumentation) 2) การเชื่อมโยงและแลกเปลี่ยนข้อมูล (Interconnection) และ 3) การประมวลผลอย่างอัจฉริยะ (Intelligence)
การทำงานของ 3 หลักการนี้เริ่มต้นที่การติดตั้งอุปกรณ์เพื่อจัดเก็บข้อมูลแบบทันที(Real time) เช่น ระบบเซ็นเซอร์หรือระบบกล้องวงจรปิด เมื่อได้ข้อมูลจากอุปกรณ์ข้างต้นแล้วระบบจะทำการส่งข้อมูลที่ได้ไปยังซอฟต์แวร์ที่เกี่ยวข้องของแต่ละปัญหาหรือสถานการณ์เพื่อทำการประมวลผลข้อมูล (Data processing) 2 หลักการข้างต้นนี้ทำหน้าที่สังเคราะห์ข้อมูลให้เข้ากับระบบของเมืองและนำไปสู่การวิเคราะห์ปัญหาและวางแผนพัฒนาเมืองอย่างมีประสิทธิภาพ (Intelligence)
จากแนวทางข้างต้น จะเห็นได้ว่าการเก็บรวบรวมและประมวลผลข้อมูลถือเป็นตัวแปรสำคัญในการวางแผนการแก้ปัญหาให้ตรงจุดของแต่ละเมือง อย่างไรก็ดี หลังจากมีการตราพระราชบัญญัติ(พ.ร.บ.)คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ขึ้นใช้บังคับ การพัฒนาเมืองไปสู่ความเป็นอัจฉริยะจึงมีประเด็นด้านการจัดการข้อมูลส่วนบุคคลที่น่าสนใจว่า กฎหมายฉบับนี้จะมีผลกระทบกับการพัฒนาของ Smart City อย่างไร
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ มุ่งคุ้มครอง “ข้อมูลส่วนบุคคล” (Personal data) จากการเก็บรวมรวบ ใช้ และประมวลผลของผู้อื่น เช่น จากผู้ให้บริการทางเว็บไซต์และแอพพลิเคชั่น เป็นต้น พ.ร.บ.ดังกล่าวให้ความหมายของข้อมูลส่วนบุคคลไว้ว่า “ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม” โดยกฎหมายฉบับนี้มีแนวคิดว่าข้อมูลส่วนบุคคลเป็นทรัพย์สินหรือสิทธิอย่างหนึ่ง ดังนั้น เจ้าของข้อมูลจึงควรมีสิทธิในการอนุญาตหรือไม่ให้ผู้อื่นนำข้อมูลส่วนบุคคลไปใช้ และการเก็บรวบรวมข้อมูลควรทำได้เพียงเท่าที่จำเป็นเท่านั้น
อนึ่ง มาตรา 19 แห่ง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ยังบัญญัติไว้ว่า ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) จะทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไม่ได้หากเจ้าของข้อมูลไม่ให้ความยินยอมไว้ เว้นแต่มีกฎหมายอนุญาตให้ทำได้ และมาตรา 22 กำหนดว่าการเก็บรวมรวมข้อมูลส่วนบุคคลให้เก็บรวบรวมได้เท่าที่จำเป็นภายใต้วัตถุประสงค์ที่เจ้าของข้อมูลหรือกฎหมายอนุญาตไว้เท่านั้น
ในระยะเบื้องต้นที่มีการประกาศใช้ พ.ร.บ.ดังกล่าวอาจทำให้หน่วยงานต่างๆ มองว่าการบริหารจัดการข้อมูลเพื่อให้เป็นไปตามกฎหมายนี้มีความยุ่งยากและอาจเป็นอุปสรรคแก่การนำข้อมูลไปประมวลผลเพื่อใช้เพื่อดำเนินกิจการต่างๆ อย่างไรก็ตาม ในทัศนะของผู้เขียนเห็นว่าการบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ จะเป็นการสร้างมาตรฐานให้ประชาชนได้มีความตระหนักถึงความเป็นส่วนตัวของข้อมูลส่วนบุคคลยิ่งขึ้น และในขณะเดียวกันก็เป็นการบังคับให้ทั้งภาครัฐและเอกชนซึ่งเป็นผู้มีส่วนเกี่ยวข้องกับการเก็บรวบรวม ใช้ และประมวลผลข้อมูลส่วนบุคคลให้มีการจัดทำมาตรการการจัดเก็บ รักษา บริหารความเสี่ยงกรณีข้อมูลรั่ว (Data breach) และมีแผนการเยียวยาแก่เจ้าของข้อมูล (Data subject) ในกรณีที่ข้อมูลในครอบครองรั่วและถูกนำไปใช้ในทางที่ขัดต่อวัตถุประสงค์ของเจ้าของข้อมูลและก่อให้เกิดความเสียหายหรือกระทบสิทธิของเจ้าของข้อมูล
ในขณะเดียวกัน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ได้กำหนดข้อยกเว้นให้ผู้ควบคุมข้อมูลส่วนบุคคลสามารถเก็บรวบรวมข้อมูลส่วนบุคคลโดยไม่ต้องได้รับความยินยอมจากเจ้าของข้อมูลฯ ได้ หากการกระทำดังกล่าวเป็นไปเพื่อประโยชน์สาธารณะ อาทิ เพื่อการศึกษาวิจัย เพื่อระงับอันตรายต่อชีวิตและสุขภาพของประชาชน ฯลฯ ข้อยกเว้นดังกล่าวทำให้เห็นได้ว่าการนำข้อมูลส่วนบุคคลไปใช้ในอนาคตนั้นจะถูกจำกัดอยู่เพียงเพื่อวัตถุประสงค์ที่เป็นการส่งเสริมคุณภาพชีวิตของประชาชนและประโยชน์สาธารณะ ส่วนการนำข้อมูลส่วนบุคคลไปใช้ในวัตถุประสงค์อื่น ๆ ย่อมถูกจำกัดให้นำไปใช้ได้เพียงเท่าที่เจ้าของข้อมูลได้ให้ความยินยอมไว้ (Data consent) เท่านั้น
ข้อสังเกตอีกประการหนึ่ง ข้อมูลส่วนบุคคลเป็นเพียงส่วนหนึ่งของข้อมูลที่ถูกนำไปใช้และประมวลผลในการพัฒนาของ Smart City เท่านั้น แต่ Smart City ยังประกอบด้วยการบริหารจัดการในอีกหลายมิติ อาทิ ด้านทรัพยากร สิ่งแวดล้อม การเกษตร และภัยพิบัติ ฯลฯ การเก็บรวบรวมและวิเคราะห์ข้อมูลหลายส่วนในมิติเหล่านี้ก็ไม่ได้อยู่ภายใต้การควบคุมของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ เนื่องจากข้อมูลที่เกี่ยวข้องไม่จัดว่าเป็นข้อมูลส่วนบุคคล อาทิ การเก็บสถิติปริมาณรถที่วิ่งบนท้องถนนของแต่ละวันเพื่อแก้ปัญญาการจราจรติดขัด หรือการเก็บข้อมูลของสารอาหารในดินของแปลงเกษตร เป็นต้น โดยนัยนี้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ จึงไม่น่าจะเป็นอุปสรรคต่อการสร้าง Smart City
ในทางตรงกันข้าม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ จะเป็นตัวแปรสำคัญในการสร้างความตระหนักในเรื่องข้อมูลส่วนบุคคลแก่เจ้าของข้อมูล อีกทั้งเป็นการวางพื้นฐานการกำกับดูแลการจัดการ การใช้ และการประมวลผลข้อมูลอย่างมีเหตุมีผลในทางกฎหมาย เคารพต่อสิทธิของปัจเจกบุคคล และไปในทิศทางเพื่อการพัฒนาอย่างยั่งยืน ทำให้ Smart City เป็นเมืองที่พัฒนาอย่างยั่งยืนในทุกๆ มิติทั้งด้านสิ่งแวดล้อม เศรษฐกิจ และสังคม
โดย...
ศุภวัชร์ มาลานนท์
คณะนิติศาสตร์ มหาวิทยาลัยสงขลานครินทร์
ชิโนภาส อุดมผล
Optimum Solution Defined (O S D Co., Ltd.)