กฎหมายคุ้มครองข้อมูลส่วนบุคคลในสหรัฐมีพัฒนาการไปถึงไหน?
หนึ่งในประเด็นที่ได้รับความสนใจในต่างประเทศในช่วงนี้คือ ประเด็นเรื่องข้อตกลงการส่งต่อข้อมูล ระหว่างสหรัฐและสหภาพยุโรป และการส่งต่อข้อมูลระหว่างสหรัฐและสหราชอาณาจักร ซึ่งจะทำให้การส่งต่อข้อมูลของภาคธุรกิจข้ามมหาสมุทรแอตแลนติก เป็นเรื่องที่ง่ายขึ้น
โดยเฉพาะบริษัทเทคโนโลยีสัญชาติอเมริกา ก็จะสามารถทำธุรกิจในประเทศสหราชอาณาจักร และ ในสหภาพยุโรปได้ง่ายขึ้น โดยประเด็นที่เกี่ยวกับข้อตกลงการส่งข้อมูลดังกล่าวที่เป็นที่ถกเถียงกัน คือ
การที่ข้อมูลส่วนบุคคลที่ส่งไปสหรัฐจะต้องได้รับความคุ้มครองข้อมูลส่วนบุคคล ที่เหมาะสมเปรียบเสมือนกับกฎหมายการคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป และ สหราชอาณาจักร
หลายๆ ท่านก็คงคาดหมายว่า สหรัฐนั้นก็น่าจะมีความก้าวหน้าในส่วนของกฎหมายคุ้มครองข้อมูลส่วนบุคคลมากกว่าประเทศอื่นๆ ประเทศสหรัฐอเมริกา เป็นยักษ์ใหญ่ในประชาคมโลก และมีความก้าวล้ำในเรื่องของกฎหมายและเทคโนโลยี
แต่อย่างไรก็ดี ตามที่นำเสนอในบทความก่อนหน้านี้ ปัจจุบัน สหรัฐยังไม่มีกฎหมายระดับประเทศ (Federal law) ที่มากำกับเรื่องการใช้ข้อมูลส่วนบุคคลเป็นการทั่วไป ในขณะนี้ก็มีร่างกฎหมายระดับสหรัฐ (Federal law) ที่มากำกับเรื่องการใช้ข้อมูลส่วนบุคคลเป็นการทั่วไปที่กำลังอยู่ในระหว่างการนำเสนอและพิจารณา
เช่น American Data Privacy and Protection Act Data Privacy Act of 2023 และ Upholding Protections for Health and Online Location Data Privacy Act (UPHOLD)
ตามที่เคยนำเสนอ ไม่ใช่ว่าสหรัฐจะไม่มีร่างกฎหมายคุ้มครองข้อมูลส่วนบุคคลเลย แต่สหรัฐมีกฎหมายหลายฉบับที่กำกับการใช้ข้อมูลส่วนบุคคลในเฉพาะส่วน เช่น
The Privacy Act of 1974 ซึ่งเป็นกฎหมายที่คุ้มครองข้อมูลส่วนบุคคลที่ถูกจัดเก็บโดยหรืออยู่ภายใต้การครอบครองของรัฐบาล
Health Insurance Portability and Accountability Act of 1996 (HIPAA) ซึ่งเป็นกฎหมายที่คุ้มครองข้อมูลส่วนบุคคลประเภทข้อมูลสุขภาพของคนไข้ หรือผู้ใช้บริการสาธารณสุข
The Children’s Online Privacy Protection Act (COPPA) ซึ่งเป็นกฎหมายที่คุ้มครองข้อมูลของเด็กอายุต่ำกว่า 13 ปีโดยห้ามการเก็บข้อมูลของเด็กผ่านทางออนไลน์ หรืออุปกรณ์อื่นๆ และกำหนดให้ต้องมีการขอความยินยอมจากผู้ปกครองของเด็กในกรณีที่มีการเก็บข้อมูลของเด็ก
นอกจากนี้ The Federal Trade Commission Act หรือกฎหมายที่เทียบเคียงได้กับ พระราชบัญญัติการแข่งขันทางการค้า พ.ศ. 2560 ของประเทศไทย ก็ได้ให้อำนาจคณะกรรมการการค้าสหรัฐ (The U.S. Federal Trade Commission (FTC)) ไว้อย่างค่อนข้างกว้างขวาง ในการกำกับการประกอบธุรกิจในลักษณะต่างๆ โดยตีความครอบคลุมถึงการคุ้มครองข้อมูลส่วนบุคคลอีกด้วย
หากดูเฉพาะแค่กฎหมายระดับประเทศ กฎหมายของสหรัฐก็ถือว่าซับซ้อนมากแล้ว แต่อย่างไรก็ดี นอกจากกฎหมายระดับประเทศ ก็ยังมีกฎหมายระดับมลรัฐ (State law) ที่บังคับใช้ควบคู่กันไปอีกมิติหนึ่ง ซึ่งในแต่ละมลรัฐก็จะมีความแตกต่างกันออกไป
ในส่วนของกฎหมายระดับมลรัฐนั้น California Consumer Privacy Act of 2018 ของรัฐแคลิฟอร์เนีย หรือที่เรียกว่า CCPA ถือเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลเป็นการทั่วไปฉบับแรกของสหรัฐ และเป็นแม่แบบของกฎหมายระดับมลรัฐของรัฐอื่น ๆ
จากข้อมูลของ International Association of Privacy Professionals ปัจจุบันมี มี 12 รัฐที่ออกกฎหมายคุ้มครองข้อมูลส่วนบุคคลเป็นการทั่วไปและครอบคลุม คือ รัฐแคลิฟอร์เนีย รัฐคอนเนตทิคัต รัฐยูทาห์ รัฐเวอร์จิเนีย รัฐโคโลราโด รัฐอินดีแอนา รัฐเทกซัส รัฐมอนทาน่า รัฐไอโอวา รัฐเทนเนสซี่ รัฐออริกอน รัฐเดลาแวร์
แต่ถึงแม้รัฐส่วนใหญ่จะยังไม่มีการออกกฎหมายคุ้มครองข้อมูลส่วนบุคคลเป็นการทั่วไป รัฐต่างๆ ก็มีการควบคุมกำกับการเรื่องข้อมูลส่วนบุคคลหรือความเป็นส่วนตัวในบางส่วนหรือบางประเด็น ผ่านกฎหมายหลายๆ ฉบับ
แน่นอนว่าปัญหาที่ตามมาจากการที่แต่ละรัฐออกกฎหมายของตน คือ การที่ภาคเอกชนจะต้องปฏิบัติตามกฎหมายของหลายๆ รัฐพร้อมๆ กัน โดยที่กฎหมายของแต่ละรัฐนั้น อาจจะมีความแตกต่างกันในหลาย ๆ ด้าน โจทย์หนึ่งของรัฐบาลกลางของสหรัฐก็คือการแก้ไขภาระการปฏิบัติตามกฎหมายที่แตกต่างกันของแต่ละรัฐของภาคเอกชน
คงต้องติดตามกันต่อไปว่า กฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหรัฐจะพัฒนาต่อไปในทิศทางใด และจะมีอะไรที่เป็นประโยชน์หรือควรนำมาปรับใช้กับแนวทางการคุ้มครองข้อมูลส่วนบุคคลในประเทศไทยหรือไม่ อย่างไร
หากย้อนกลับมาดูในส่วนของไทย พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ของประเทศไทย มีผลใช้บังคับอย่างเต็มรูปแบบในวันที่ 1 มิ.ย. 2565 ซึ่งต้องยอมรับว่าภาคเอกชนหลาย ๆ บริษัทนั้นมีความตื่นตัวและเตรียมความพร้อมกันอย่างเต็มที่ในการดำเนินการให้เป็นไปตามที่กฎหมายดังกล่าวกำหนด
ในส่วนของประเทศเพื่อนบ้านของเรา ล่าสุดคงหนีไม่พ้นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศเวียดนาม หรือ ชื่อเต็มว่า Decree No. 13/2023/ND on the Protection of Personal Data ซึ่งเพิ่งประกาศใช้เมื่อวันที่ 17 เมษายน 2566 และมีผลบังคับใช้เมื่อวันที่ 1 กรกฎาคม 2566
ในส่วนของกฎหมายคุ้มครองข้อมูลส่วนบุคคลของอินโดนีเซีย หรือชื่อเต็มว่า Law No. 27 of 2022 on Personal Data Protection ก็พึ่งประกาศใช้เมื่อวันที่ 17 ตุลาคม 2565
กฎหมายคุ้มครองข้อมูลส่วนบุคคลก็ยังคงเป็นกฎหมายที่หลายประเทศให้ความสำคัญ และคงจะมีพัฒนาการต่อเนื่องต่อไปอย่างไม่สิ้นสุดเพื่อให้ก้าวทันความก้าวหน้าของเทคโนโลยี
บทความโดย..