"ความเป็นส่วนตัวอย่าเพิ่งตาย" เมื่อโลกหมุนไปไกล กฎหมายไทยต้องรีบมา
โลกยุคปัจจุบันที่เทคโนโลยีเข้ามาเปลี่ยนแปลงวิถีชีวิตผู้คน สังคม วัฒนธรรม เศรษฐกิจ และการเมือง อินเทอร์เน็ตทำให้เราสามารถเชื่อมต่อสื่อสารกับผู้คนได้อย่างไร้พรมแดน “ข้อมูล” (data) กลายเป็นสิ่งที่มีมูลค่าและถูกนำไปใช้ประโยชน์ทั้งภาคธุรกิจและภาครัฐ แต่เพราะข้อมูลนั้นมีเจ้าของ และบางครั้งมักถูกฉวยใช้โดยไม่ได้รับอนุญาต ทำให้เกิดการพูดถึงแนวคิดเรื่อง “ความเป็นส่วนตัวของข้อมูล”
หลายประเทศในโลกตื่นตัวและให้ความสำคัญกับเรื่องข้อมูลส่วนบุคคล โดยเฉพาะสหภาพยุโรป (EU) ที่ออกกฎระเบียบ General Data Protection Regulation (GDPR) เพื่อคุ้มครองประชาชนในกลุ่มประเทศ EU จากการถูกเก็บข้อมูลส่วนตัวและถูกเอาข้อมูลไปใช้โดยเจ้าของไม่รู้เห็นยินยอม กฎระเบียบนี้สร้างความกังวลและสับสนให้กับภาคธุรกิจที่ต้องติดต่อสื่อสารข้ามแดนกับกลุ่มประเทศ EU เพราะการละเมิด GDPR มีค่าปรับสูงสุดถึง 20 ล้านยูโร และก็สร้างผลกระทบกับภาคธุรกิจของไทยด้วย เนื่องจากการค้าการลงทุนจากต่างประเทศมีมูลค่าสูง และ GDPR ก็คุ้มครองประชาชนของ EU โดยไม่ได้จำกัดพรมแดน
สำหรับการคุ้มครองความเป็นส่วนตัวในประเทศไทย คณะรักษาความสงบแห่งชาติ (คสช.) เคยประกาศว่าจะเร่งออกกฎหมายคุ้มครองข้อมูลส่วนบุคคล เนื่องจากมีความจำเป็นเร่งด่วนต่อการปฏิรูปประเทศ รัฐบาลจึงได้ส่งร่างกฎหมายไปยังสภานิติบัญญัติแห่งชาติ (สนช.) ครั้งแรกเมื่อตุลาคม 2557 หลังจากนั้นไม่ถึงสามเดือน สังคมถูกทำให้สับสนมากขึ้นด้วยการที่รัฐบาลเสนอร่างกฎหมายคุ้มครองข้อมูลส่วนบุคคลอีกฉบับ ในชุด "กฎหมายความมั่นคงดิจิทัล 10+3 ฉบับ" หลังผ่านไปเกือบสี่ปีร่างดังกล่าวผ่านการอนุมัติหลักการจากคณะรัฐมนตรี (ครม.) เมื่อวันที่ 22 พฤษภาคม 2561
ในงานเสวนา “การคุ้มครองความเป็นส่วนตัว Big data และ GDPR ในการพัฒนาเศรษฐกิจดิจิทัล” จัดขึ้นที่อาคารศูนย์การเรียนรู้ธนาคารแห่งประเทศไทย เมื่อวันที่ 22 สิงหาคม 2561 มีการพูดคุยว่า GDPR จะส่งผลกับธุรกิจในประเทศไทยอย่างไร และกฎหมายข้อมูลส่วนบุคคลของไทยควรจะวางหลักการอย่างไร เพื่อให้สามารถคุ้มครองการละเมิดสิทธิส่วนบุคคล ในยุคออนไลน์ที่ใครหลายคนต่างพากันบอกว่า "ความเป็นส่วนตัวตายแล้ว" (Privacy is dead)
ความเป็นส่วนตัวคืออะไร ทำไมคนจึงต้องหวงแหนความเป็นส่วนตัว
นคร เสรีรักษ์ อาจารย์ประจำวิทยาลัยการปกครองท้องถิ่น มหาวิทยาลัยขอนแก่น และกรรมการผู้ทรงคุณวุฒิในคณะกรรมการข้อมูลข่าวสารของราชการ ชวนย้อนกลับมาพูดในเรื่องที่พูดมาสิบกว่าปีแล้ว อย่างเรื่อง “ความเป็นส่วนตัว”
“แจ็ค หม่า” นักธุรกิจชาวจีน บอกว่า ทุกวันนี้ถ้าจะคาดหวังถึงความเป็นส่วนตัวในโลกออนไลน์หรือในโลกดิจิทัลคงเป็นไปไม่ได้แล้ว แล้วก็มีนักวิชาการจำนวนไม่น้อยที่บอกว่าทุกวันนี้ “ความเป็นส่วนตัวตายแล้ว” เพื่อนๆ หลายคนก็สงสัย ทำไมผมต้องเขียนหนังสือเรื่อง "ความเป็นส่วนตัว" ทั้งๆ ที่มันไม่มีอีกแล้วในโลกทุกวันนี้
มีนักวิชาการให้คำนิยาม "ความเป็นส่วนตัว" (Privacy) เอาไว้เยอะมาก ไม่ว่าจะเป็น สิทธิที่จะอยู่ตามลำพัง สิทธิที่จะไม่มีใครมาตรวจตาสอดส่อง คุกคาม ตรวจดู ระแวดระวัง ที่จะเข้ามายุ่งเกี่ยว พาดพิงถึง แต่พูดถึงสั้นๆ ความเป็นส่วนตัวมีอยู่ใน 4 มิติที่สำคัญ หนึ่ง ความเป็นส่วนตัวในชีวิตร่างกาย เลือดเนื้อของผม ร่างกายของผม เป็นของผม คนอื่นห้ามยุ่ง ใครจะมาเอาผิวหนัง เนื้อเยื่อ เอาเลือดผมไปตรวจไม่ได้ แต่จะทำได้ มีอยู่กรณีเดียว คือ ผมผู้เป็นเจ้าของข้อมูล “ต้องยินยอม”
สอง ความเป็นส่วนตัวในบ้านเรือนเคหะสถาน บ้านของผม ใส่กุญแจล็อคปิดประตู คนนอกห้ามเข้า เข้าได้เงื่อนไขเดียว เจ้าของบ้านอนุญาต แม้แต่ “รัฐ” ก็เข้าบ้านของพวกเราไม่ได้ ตำรวจก็เข้าไม่ได้ ตำรวจจะเข้าได้ต้องไปขอหมายศาล ต้องมีกระบวนการยุติธรรม (พูดถึงในภาวะที่บ้านเมืองปกติ ที่เรามีอำนาจตุลาการที่จะมาคานกับอำนาจของฝ่ายบริหาร) ตำรวจจะค้นได้ ต้องไม่ใช่ยามวิกาล หลักการเดียวเหมือนกัน ใครจะเข้าบ้านต้องได้รับความยินยอม หรือ มีอำนาจพิเศษ หรือกฎหมายที่ให้อำนาจไว้ในกรณีพิเศษ
สาม ความเป็นส่วนตัวในการติดต่อสื่อสาร ตัวอย่างที่ผมมักจะพูดอยู่เสมอ คือ จดหมายที่ใส่ซองปิดแสตมป์ เมื่อใส่ตู้ไปรษณีย์ไปแล้ว ไปรษณีย์เอาไปส่งปลายทาง หากไม่ใช่ผู้รับตามที่จ่าหน้า ใครก็เปิดจดหมายฉบับนี้ไม่ได้ Email, Line ก็เช่นเดียวกัน ถ้าไม่ใช่ผู้รับผู้ส่ง คนอื่นห้ามยุ่ง รัฐก็ยุ่งไม่ได้ จะเข้ามาดูของเราไม่ได้
สี่ ความเป็นส่วนตัวของข้อมูล ที่เรากำลังพูดถึงในวันนี้ ก็คือ ข้อมูลส่วนบุคคล ชื่อ–นามสกุล หมายเลขโทรศัพท์ กรุ๊ปเลือด สถานภาพสมรส รสนิยมทางเพศ ความเชื่อทางศาสนา อุดมการณ์ทางการเมือง สิ่งเหล่านี้ คือ ตัวอย่างของข้อมูลส่วนบุคคล ซึ่งเรื่องนี้จะสำคัญและอ่อนไหวมากขึ้นในสังคมดิจิทัล เพราะทุกวันนี้ข้อมูลมันเยอะแยะมากมายมหาศาล เราเอาข้อมูลมาแชร์อยู่ในระบบของการติดต่อสื่อสาร เราเอาข้อมูลส่วนตัวไปอยู่ในถังใหญ่มากของ cloud จึงต้องมีการจัดกฎจัดระเบียบ มาควบคุมดูแล ไม่ให้มีการล่วงละเมิด
ในโลกดิจิทัล ข้อมูลเป็นทรัพย์สิน และเป็นเรื่องศักดิ์ศรีความเป็นมนุษย์
อย่างไรก็ตาม นครกล่าวว่า ข้อมูลส่วนบุคคลเป็นทรัพย์สิน ในด้านนี้ ชื่อ–นามสกุล ของทุกคนเป็นทรัพย์สินของคนนั้น ยกตัวอย่าง คือ สมุดหน้าเหลือง เอาชื่อ ที่อยู่ เบอร์โทรศัพท์ ของแต่ละคนไปพิมพ์ แต่ไม่เคยจ่ายเงินให้เจ้าของของมูล โดยหลักการแล้วจะเอาชื่อใครไปใส่ต้องขออนุญาต ถ้าหากเจ้าของข้อมูลขาย ก็ต้องจ่ายเงิน ถึงจะเอาไปทำได้
สอง ข้อมูลส่วนบุคคลเป็นเรื่องของศักดิ์ศรีความเป็นมนุษย์ ตัวอย่างเช่น คนชื่อว่า นคร อาจจะมี 70,000 คนในประเทศนี้ แต่ "นคร เสรีรักษ์" อาจจะลดลงมาหลักร้อย แต่ "นคร เสรีรักษ์" ที่เป็นเป็นนักเรียนมัธยมโรงเรียนสวนกุหลาบ จบมหาวิทยาลัยธรรมศาสตร์ มาเป็นกรรมการผู้ทรงคุณวุฒิในกรรมการข้อมูลข่าวสาร จะเริ่มมีน้อยลงมาจนตอนนี้เหลือคนเดียว เพราะฉะนั้น นี่คือศักดิ์ศรีในความเป็นมนุษย์ของคนที่ชื่อนคร เสรีรักษ์ ซึ่งเป็นสิ่งที่ใครจะมายุ่งไม่ได้ อยู่ๆ จะมาบอกว่า นคร เสรีรักษ์มีรสนิยมในการบริโภคขนมกรุบกรอบแล้วจะมาเสนอโปรโมชั่น มาขายประกันสุขภาพอะไร ไม่ได้ทั้งนั้น
พอข้อมูลมันมีความสำคัญมากขึ้นในโลกปัจจุบัน ซึ่งมีเรื่องของเทคโนโลยีเข้ามาเกี่ยวข้อง จึงต้องจัดหลักเกณฑ์ว่าไม่ให้มีการล่วงละเมิด ในโลกนี้มีคนที่ใช้ข้อมูลเป็นตัวการใหญ่อยู่สองคน หนึ่ง คือ “รัฐ” สอง คือ “ภาคธุรกิจ” มีกฎเกณฑ์เกิดขึ้นมาแล้วมากมายในโลกนี้ ตั้งแต่หลักการขององค์การเพื่อความร่วมมือและการพัฒนาทางเศรษฐกิจ (OECD) ปฏิญญาสากลว่าด้วยสิทธิมนุษยชน หลักการของสหประชาชาติ มาใกล้ๆ ตัวเราก็คือกรอบความร่วมมือทางเศรษฐกิจในภูมิภาคเอเชีย–แปซิฟิก (APEC) แล้วสุดท้าย มาเป็นประเด็นที่เราเปิดเวทีพูดคุยกันในวันนี้ก็คือ GDPR ซึ่งเป็นพัฒนาการของแนวทางของสหภาพยุโรป
GDPR กับประเทศไทยที่ยังต้องพึ่งพาการส่งออก
การคุ้มครองข้อมูลส่วนบุคคลของประชาชนในประเทศ EU ส่งผลสะเทือนมาถึงประเทศไทย หลายคนกำลังกังวลถึงเรื่องที่ EU ประกาศใช้มาตรการ GDPR จะกระทบถึงการทำธุรกิจข้ามพรหมแดน นอกจากนี้ EU อาจใช้มาตรการแทรกแซงทางการค้า เช่นการให้ "ใบเหลือง" ก็ได้ วรรณวิทย์ อาขุบุตร ที่ปรึกษาปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ยกตัวอย่างเรื่องการแทรกแซงทางการค้าที่เคยเกิดขึ้นแล้ว เช่น กรณีอุตสาหกรรมประมงผิดกฎหมาย หรือที่รู้จักกันว่า IUU fishing ซึ่งไทยเคยโดนใบเหลืองจาก EU สั่งไม่ให้นำเข้าสินค้าจากเรือประมงไทย
วรรณวิทย์ ยังกล่าวว่า สำหรับ GDPR บริษัทจะทำอย่างไรกับลูกค้าก็ได้ แต่ถ้าหากข้ามพรมแดนเมื่อไหร่ นี่คือกฎที่ต้องทำตาม กลับมาถามว่าแล้วมีธุรกรรมอะไรที่เราทำคนเดียว อยู่โดดเดี่ยวบนโลกได้ ประเทศไทยได้รับผลกระทบมากที่สุด เพราะผลิตภัณฑ์มวลรวมในประเทศ (GDP) ของเรามาจากการส่งออกทั้งนั้น อุตสาหกรรมการท่องเที่ยว, ศูนย์กลางการบิน (Airline hub) เหล่านี้จะเห็นได้ว่า GDP ของเรามากมายมหาศาลพึ่งพาต่างประเทศ
กฎหมายคุ้มครองข้อมูลส่วนบุคคลในวันที่โลกหมุนไปไกล กฎหมายไทยยังไม่มา
ในขณะที่สถานการณ์โลกหมุนไปทุกวันและเทคโนโลยีถูกพัฒนาให้ก้าวหน้ามากขึ้น สถานการณ์เรื่องการคุ้มครองข้อมูลส่วนบุคคลของไทย ปัจจุบันยังไม่มีกฎหมายคุ้มครองความเป็นส่วนตัวของประชาชน แม้จะลงมือร่างกันมานานแล้วแต่ยังอยู่ระหว่างกระบวนการ
กิตติพงศ์ กมลธรรมวงศ์ ผู้ช่วยอธิการบดีฝ่ายบริหาร มหาวิทยาลัยธรรมศาสตร์ ศูนย์ลำปาง กล่าวถึงหลักการกฎหมายคุ้มครองข้อมูลส่วนบุคคลในไทยว่า รัฐธรรมนูญไทย มาตรา 32 เน้นเรื่องข้อมูลส่วนบุคคล ซึ่งตอบโจทย์กับเรื่องการคุ้มครอง การนำไปใช้เพื่อหาผลประโยชน์ต่างๆ จะทำไม่ได้ เว้นแต่มีอำนาจตามกฎหมายที่ตราขึ้น แต่ก็ทำได้เท่าที่จำเป็นเพื่อประโยชน์สาธารณะ ซึ่งก็จะมีกฎหมายต่างๆ เข้ามากำหนดกฎเกณฑ์ในเรื่องนี้
- มาตรา 32 ระบุว่า บุคคลย่อมมีสิทธิในความเป็นอยู่ส่วนตัว เกียรติยศ ชื่อเสียง และครอบครัว การกระทําอันเป็นการละเมิดหรือกระทบต่อสิทธิของบุคคลตามวรรคหนึ่ง หรือการนําข้อมูล ส่วนบุคคลไปใช้ประโยชน์ไม่ว่าในทางใด ๆ จะกระทํามิได้ เว้นแต่โดยอาศัยอํานาจตามบทบัญญัติแห่งกฎหมาย ที่ตราขึ้นเพียงเท่าที่จําเป็นเพื่อประโยชน์สาธารณะ
- มาตรา 36 ระบุว่า บุคคลย่อมมีเสรีภาพในการติดต่อสื่อสารถึงกันไม่ว่าในทางใด ๆ การตรวจ การกัก หรือการเปิดเผยข้อมูลที่บุคคลสื่อสารถึงกัน รวมทั้งการกระทําด้วยประการใด ๆ เพื่อให้ล่วงรู้หรือได้มาซึ่งข้อมูลที่บุคคลสื่อสารถึงกันจะกระทํามิได้ เว้นแต่มีคําสั่งหรือหมายของศาล หรือมีเหตุอย่างอื่นตามที่กฎหมายบัญญัติ
ส่วนมาตรา 36 ที่มีการพูดถึงการเปิดเผยข้อมูลที่มีการติดต่อสื่อสารถึงกัน หลักการ คือ ทำไม่ได้ เว้นแต่มีอำนาจตามกฎหมาย หรือมีหมายศาลกำหนดให้เปิดเผยจึงจะทำได้ ฉะนั้นโดยหลักการของกฎหมายไทยแล้ว ข้อมูลสื่อสารส่วนบุคคลจะได้รับความคุ้มครอง คุณจะไปละเมิด ไปกระทบสิทธิไม่ได้ เว้นแต่มีอำนาจจากกฎหมาย หรือได้รับความยินยอมจากเจ้าของข้อมูล
รัฐธรรมนูญไทยได้วางหลักการไว้แล้ว แต่รายละเอียดต่างๆ เป็นเรื่องของบทบัญญัติที่เกี่ยวข้องในแต่ละเรื่อง กฎหมายคุ้มครองข้อมูลส่วนบุคคลควรจะเกิดขึ้น เพราะหากไม่มีกฎหมายอยู่เราก็อาจจะได้รับความคุ้มครองได้ไม่ครบถ้วน ถ้าดูในปัจจุบัน พ.ร.บ.ข้อมูลข่าวสารของทางราชการ เป็นกฎหมายหลักฉบับเดียวของไทยที่มีการนิยามข้อมูลข่าวสารส่วนบุคคลเอาไว้ หากดูจากนิยามนี้จะเห็นว่า ข้อมูลส่วนบุคคล หมายถึง ข้อมูลมุ่งเน้นถึงสิ่งที่สามารถบอกตัวตนเฉพาะตัวบุคคลได้ เช่น เรื่องการศึกษา ฐานะทางการเงิน ประวัติสุขภาพ ลายนิ้วมือ เสียงบันทึก หรือรูปถ่าย ที่สามารถแสดงให้เห็นถึงเอกลักษณ์ของตัวบุคคลได้ นอกจากนี้ยังคุ้มครองถึงข้อมูลข่าวสารของผู้ที่ถึงแก่กรรมแล้วด้วย ซึ่งความหมายเช่นนี้ครอบคลุมไว้กว้างมาก
ด้านกษิติธร ภูภราดัย รองผู้อำนวยการสำนักงานส่งเสริมเศรษฐกิจดิจิทัล กล่าวถึง ร่างกฎหมายที่จะมีผลต่อการขับเคลื่อนเศรษฐกิจดิจิทัลว่า เราต้องส่งเสริมการลงทุนจากต่างชาติ การลงทุนทำศูนย์กลางข้อมูล (Data Center) ตอนนี้ยังไม่มีความชัดเจนเรื่อง การไหลเวียนของข้อมูลข้ามพรมแดน (Cross-Border Data Flows) ว่าข้อมูลอะไรส่งผ่านไปได้หรือไม่ ตราบใดที่เรายังไม่มีกฎหมายคุ้มครองข้อมูลส่วนบุคคล ก็ไม่มีความชัดเจน แต่ถ้ามีกฎหมายแล้ว เนื้อหาในกฎหมายจะเป็นตัวกำหนดว่า กฎหมายเอื้อหรือมีอุปสรรคต่อการลงทุนอย่างไร
กษิติธร กล่าวด้วยว่า เรื่องของการคุ้มครองข้อมูลส่วนบุคคล คงไม่ใช่เป็นหน้าที่ของภาครัฐอย่างเดียว มุมหนึ่งเป็นหน้าที่ของพลเมืองที่จะต้องรู้เท่าทันว่า เครื่องมือที่เราใช้งานอยู่ทุกวันนี้ทำอะไรได้บ้าง เรามักได้ยินอยู่บ่อยๆ เรื่อง facebook, google ที่ทำเงินจากข้อมูล แต่ในความตระหนัก เราก็อดไม่ได้ เมื่อมีเกมมาเราก็อยากเล่น ถ้าเขาอยากจะใช้ไฟล์รูปภาพทำอะไร เราก็ให้ เพราะเราก็อยากโหลดแอพลิเคชั่น