กฎหมายไซเบอร์ (1): พ.ร.บ.ข้อมูลส่วนบุคคลฯ ไทยก็มี แต่ข้อยกเว้นเพียบ!

รัฐธรรมนูญไทยรับรองสิทธิความเป็นส่วนตัวและให้การคุ้มครองข้อมูลส่วนบุคคลไว้ใน มาตรา 32 ที่บัญญัติว่า "บุคคลย่อมมีสิทธิในความเป็นอยู่ส่วนตัวเกียรติยศชื่อเสียงและครอบครัวการกระทําอันเป็นการละเมิดหรือกระทบต่อสิทธิของบุคคลตามวรรคหนึ่งหรือการนําข้อมูลส่วนบุคคลไปใช้ประโยชน์ไม่ว่าในทางใดๆจะกระทํามิได้"
โดยในประโยคสุดท้ายของบทบัญญัตินี้ได้เปิดช่องให้รัฐจำกัดสิทธินี้ได้ "เว้นแต่โดยอาศัยอํานาจตามบทบัญญัติแห่งกฎหมายที่ตราขึ้นเพียงเท่าที่จําเป็นเพื่อประโยชน์สาธารณะ"
ด้วยเหตุนี้ จึงเป็นที่มาของบทความนี้ซึ่งทำการศึกษาชุดกฎหมายเกี่ยวข้องกับโลกออนไลน์ที่ให้อำนาจรัฐในการสอดส่องหรือตรวจสอบกิจกรรมของพลเมืองบนพื้นที่ไซเบอร์ในรูปแบบต่างๆ เริ่มต้นจากกฎหมายที่มีความสำคัญพื้นฐานในการรับรองสิทธิความเป็นส่วนตัว การคุ้มครองข้อมูลส่วนบุคคล อย่าง "พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล"
กฎหมายครอบคลุมทั้งในและนอกราชอาณาจักร
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล มาตรา 5 ระบุว่า กฎหมายให้ใช้บังคับแก่การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลซึ่งอยู่ในราชอาณาจักร ไม่ว่าการเก็บรวบรวม ใช้ หรือเปิดเผยนั้นได้กระทำในหรือนอกราชอาณาจักรก็ตาม อีกทั้ง ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลอยู่นอกราชอาณาจักร แต่เป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลซึ่งอยู่ในราชอาณาจักร และเป็นการเฝ้าติดตามพฤติกรรมของเจ้าของข้อมูลส่วนบุคคลที่เกิดขึ้นในราชอาณาจักร ก็ให้กฎหมายคุ้มครองข้อมูลส่วนบุคคลมีผลบังคับใช้ร่วมด้วย 
กฎหมายเปิดช่องให้รัฐเก็บข้อมูลได้ไม่ต้องขอความยินยอม  
แม้ว่า พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล จะมีหลักการคุ้มครองความเป็นส่วนตัว แต่ในขณะเดียวกัน กฎหมายก็เปิดช่องโหว่ผ่านข้อยกเว้นในการคุ้มครองตามกฎหมาย หรือ การกระทำบางอย่างเกี่ยวกับข้อมูลส่วนบุคคลได้ ดังนี้
มาตรา 4 (2) ได้กำหนดขอบเขตการบังคับตามบทบัญญัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลที่เป็นหลักประกันสิทธิส่วนบุคคลในยุคดิจิทัลของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลนี้ จะไม่ใช้บังคับแก่ การดำเนินการของหน่วยงานของรัฐที่มีหน้าที่ในการรักษาความมั่นคงของรัฐ  ซึ่งรวมถึง ความมั่นคงทางการคลังของรัฐ  หรือการรักษาความปลอดภัยของประชาชน  รวมทั้งหน้าที่เกี่ยวกับ การป้องกันและปราบปรามการฟอกเงิน  นิติวิทยาศาสตร์  หรือการรักษาความมั่นคงปลอดภัยไซเบอร์
มาตรา 24 (4) และ (6) ที่ระบุว่า ผู้ควบคุมข้อมูลส่วนบุคคลทำการเก็บรวบรวมข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลไม่ได้ ยกเว้น เป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูลส่วนบุคคล  หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้มอบให้แก่ผู้ควบคุมข้อมูลส่วนบุคคล หรือเป็นการปฏิบัติตามกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล
ดังนั้นมาตรการของหน่วยงานภาครัฐที่มีกฎหมายอื่นรองรับ เช่น พระราชบัญญัติข่าวกรอง พระราชบัญญัติสภาความมั่นคงแห่งชาติ หรือชุดกฎหมายความมั่นคง 3 ฉบับ (กฎอัยการศึก พระราชกำหนดการบริหารราชการในยามฉุกเฉิน พระราชบัญญัติการรักษาความมั่นคงภายใน) ก็เข้าตามลักษณะอนุ (4) หรือ (6) ทำให้หน่วยงานรัฐสามารถสั่งให้ผู้ควบคุมระบบรวบรวมข้อมูลมาให้โดยไม่ต้องมีความยินยอมจากเจ้าของข้อมูล
ถัดมาคือ มาตรา 25 ยังได้ห้ามมิให้ผู้ควบคุมข้อมูลส่วนบุคคลทำการเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ใช่จากเจ้าของข้อมูลส่วนบุคคลโดยตรง  เว้นแต่ 
(1) ได้แจ้งถึงการเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นให้แก่เจ้าของข้อมูลส่วนบุคคลทราบ โดยไม่ชักช้า  แต่ต้องไม่เกินสามสิบวันนับแต่วันที่เก็บรวบรวมและได้รับความยินยอมจากเจ้าของข้อมูล ส่วนบุคคล  
(2) เป็นการเก็บรวบรวมข้อมูลส่วนบุคคลที่ได้รับยกเว้นไม่ต้องขอความยินยอมตามมาตรา  24  หรือมาตรา  26
ความเสี่ยงที่เกิดขึ้นกับเจ้าของข้อมูลผู้ถูกรวบรวมข้อมูลมาสร้างเป็นเหมืองข้อมูลก็ยังคงเป็นไปในลักษณะเดียวกับข้อกังวลที่เกิดจากนัยแห่งมาตรา 24 และยังเพิ่มความไม่มั่นคงให้กับบุคคลผู้ตกเป็นเป้าหมายในการรวบรวมข้อมูลอ่อนไหวจากข้อยกเว้นที่จะกล่าวถึงในมาตรา 26
ถัดมา มาตรา 26 (3) และ (5) ยังระบุด้วยว่า ห้ามมิให้เก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ  ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ  ข้อมูลสหภาพแรงงาน  ข้อมูลพันธุกรรม  ข้อมูลชีวภาพ  หรือข้อมูลอื่นใด ซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการประกาศกำหนดโดยไม่ได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล  
เว้นแต่ เป็นข้อมูลที่เปิดเผยต่อสาธารณะด้วยความยินยอมโดยชัดแจ้งของเจ้าของข้อมูลส่วนบุคคล หรือเป็นการจำเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับ ประโยชน์สาธารณะที่สำคัญ  โดยได้จัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิขั้นพื้นฐานและประโยชน์ของเจ้าของข้อมูลส่วนบุคคล ซึ่งบทบัญญัติดังกล่าวเปิดโอกาสให้รวบรวมข้อมูลอ่อนไหวของเป้าหมายในการสอดส่องได้หากเป็นไปตามเงื่อนไขที่กำหนดไว้
กฎหมายอนุญาตให้เจ้าหน้าที่รัฐไม่ต้องรับผิด
ใน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล มีบทนิรโทษกรรมความรับผิดในทางแพ่งให้กับผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลที่ละเมิดสิทธิเจ้าของข้อมูลส่วนบุคคลไว้ในมาตรา 77 หากผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลนั้นจะพิสูจน์ได้ว่า
(2) เป็นการปฏิบัติตามคำสั่งของเจ้าหน้าที่ซึ่งปฏิบัติการตามหน้าที่และอำนาจตามกฎหมาย
แต่ถ้าผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลดำเนินการใด ๆ  เกี่ยวกับข้อมูลส่วนบุคคลอันเป็นการฝ่าฝืนหรือไม่ปฏิบัติตามบทบัญญัติแห่งพระราชบัญญัตินี้ทำให้เกิดความเสียหายต่อเจ้าของข้อมูลส่วนบุคคล  ต้องชดใช้ค่าสินไหมทดแทนเพื่อการนั้นแก่เจ้าของข้อมูลส่วนบุคคล  ไม่ว่าการดำเนินการนั้นจะเกิดจากการกระทำโดยจงใจหรือประมาทเลินเล่อหรือไม่ก็ตาม  
นอกจากนี้ ในมาตรา 80 ได้กำหนดความรับผิดทางอาญาไว้หากผู้ใดล่วงรู้ข้อมูลส่วนบุคคลของผู้อื่นเนื่องจากการปฏิบัติหน้าที่ตามพระราชบัญญัตินี้แล้วผู้นั้นนำไปเปิดเผยแก่ผู้อื่น ต้องระวางโทษจำคุกไม่เกินหกเดือน  หรือปรับไม่เกินห้าแสนบาท  หรือทั้งจำทั้งปรับ อย่างไรก็ตามมาตรานี้ได้สร้างข้อยกเว้นความรับผิดจากการเปิดเผยในกรณีดังต่อไปนี้  
(1) การเปิดเผยตามหน้าที่  
(2) การเปิดเผยเพื่อประโยชน์แก่การสอบสวน  หรือการพิจารณาคดี 
(3) การเปิดเผยแก่หน่วยงานของรัฐในประเทศหรือต่างประเทศที่มีอำนาจหน้าที่ตามกฎหมาย 
(4) การเปิดเผยที่ได้รับความยินยอมเป็นหนังสือเฉพาะครั้งจากเจ้าของข้อมูลส่วนบุคคล 
(5) การเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับการฟ้องร้องคดีต่าง ๆ  ที่เปิดเผยต่อสาธารณะ
หรือหมายว่า ข้อมูลส่วนบุคคลของตนอาจเป็นเป้าหมายในการเก็บรวบรวมเพื่อประโยชน์ในการบังคับใช้กฎหมายทั้งในกระบวนการยุติธรรมและการกระทำทางปกครองที่เข้าตามลักษณะของมาตรา 80
สุดท้ายนี้ การศึกษาเพียงรัฐธรรมนูญที่ให้หลักประกันสิทธิในความเป็นส่วนตัวและการคุ้มครองข้อมูลส่วนบุคคลจึงไม่เป็นการเพียงพอที่จะเข้าใจอำนาจรัฐในการสอดส่องและรวบรวมข้อมูลของประชาชนในประเทศไทย แต่ต้องศึกษากฎหมายอื่นๆที่ให้อำนาจรัฐเป็นการเฉพาะด้วย ซึ่งจะได้กล่าวถึงในบทความถัดไป