หลังจากคำทำนายในบทความ “รัฐเผด็จการ กับ การล้วงตับ” ชัดเจนขึ้นเรื่อยๆ (http://blogazine.in.th/blogs/streetlawyer/post/4833) จึงเป็นเวลาอันสมควรที่ประชาชนและสังคมไทยต้องร่วมกันต่อต้าน ชุดกฎหมายความมั่นคงโดยเฉพาะ พรบ.ความมั่นคงไซเบอร์ ที่มีเนื้อหาจำนวนมากขัดกับ หลักกฎหมายการคุ้มครองข้อมูลส่วนบุคคล ซึ่งเป็นพื้นฐานของรัฐสมัยใหม่
เนื่องจาก “ความเป็นส่วนตัว” ของปัจเจกชนโดยปราศจากการแทรกแซงเป็นรากฐานสำคัญ ของ “ความมั่นใจ” ในการเข้าไปมีส่วนร่วมทางการเมืองของประชาชนคนตัวเล็กๆ หากทำอะไรแล้วมีเจ้าหน้าที่รัฐจับจ้อง แถมสืบสาวข้อมูลต่อมาถึงชีวิตส่วนตัว ที่อยู่อาศัย การสื่อสารกับใครๆในที่ลับ หรือโดนตรวจสอบธุรกรรมทางเศรษฐกิจ เพราะไปแสดงความเห็นในเรื่องสาธารณะแล้วล่ะก็ คนจำนวนมากก็เลือกที่จะอยู่เฉยๆดีกว่า ซึ่งเป็นการทำลาย การมีส่วนร่วมจาก “ทุกภาคส่วน” ที่รัฐโฆษณาอยู่ไม่เว้นแต่ละวัน
การคุ้มครองมูลส่วนบุคคลจึงเป็นเรื่องสำคัญทั้งในแง่การส่งเสริมการมีส่วนร่วมของประชาชนในกิจกรรมสาธารณะ และยังช่วยกระตุ้นเศรษฐกิจดิจิตอลอีกด้วย เนื่องจากเมื่อผู้ใช้อินเตอร์เน็ตรู้สึกปลอดภัยไม่มีใครมาลักดักข้อมูลส่วนบุคลไม่ว่าจะเป็น รหัสเข้าใช้โซเชียลเน็ตเวิร์ค อีเมลล์ หรือบัญชีทางการเงิน รวมไปถึงพฤติกรรมในการบริโภคที่อยากเก็บเอาไว้เป็นความลับส่วนตัว
เราลองมาดูว่า สังคมที่มีความก้าวหน้าด้านเทคโนโลยีสารสนเทศและโทรคมนาคม มีมูลค่าเศรษฐกิจดิจิตอลมูลค่ามหาศาลอย่าง สหรัฐอเมริกาและสหภาพยุโรป มีแนวทางในการสร้าง “ความเชื่อมั่น” ให้กับประชาชน/ผู้บริโภค อย่างไร ด้วยการวิเคราะห์กฎหมายคุ้มครองข้อมูลส่วนบุคคล ของทั้งสองบล็อกใหญ่ที่มีอิทธิพลในการออกแบบกฎหมายในประเทศอื่นๆ (ถ้าไทยจะรับการลงทุนจากบรรษัทไอทีต่างชาติหรือผลักดันบรรษัทด้าน ICT ไทยให้ไปแข่งขันในต่างประเทศ เลี่ยงไม่ได้ที่ต้องปฏิบัติตามกฎหมายของสองบล็อกนี้ ดังที่สหรัฐต้องปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลของอียู เพราะต้องการตลาดผู้บริโภคในยุโรปนั่นเอง)
11 ประเด็นสำคัญของกฎหมายคุ้มครองข้อมูลส่วนบุคคล
1. การรับรองสิทธิในการคุ้มครองข้อมูลส่วนบุคคล (Legal Approval of Personal Data Protection or Data Privacy) หมายความว่า กฎหมายที่ออกมานั้น ต้องยืนยันสิทธิส่วนบุคคลก่อนที่จะบอกว่า รัฐหรือบรรษัทมีอำนาจในการเข้าไปกักเก็บ ดัก หรือประมวลผลข้อมูลส่วนบุคคล เช่น ในมาตราแรกๆ ต้อง รับรองสิทธินี้ของบุคคลว่าเป็นเจ้าของข้อมูล มีสิทธิในการอนุญาตหรือปัดป้องการใช้ของมูลส่วนบุคคลโดยบริษัทหรือรัฐ
2. การกำหนดนิยาม/องค์ประกอบว่าอะไร คือ ข้อมูลส่วนบุคคล (Definition and Elements of Personal Data Protection) คือ การให้รายละเอียดว่าข้อมูลใดบ้างที่ได้รับการคุ้มครอง หรือข้อมูลอ่อนไหวใดๆที่จะได้รับการคุ้มครองเป็นพิเศษ เช่น การกำหนดว่าธนาคารที่มีข้อมูลการใช้จ่ายผ่านระบบ E-Banking จะต้องรักษาข้อมูลอะไร และข้อมูลอ่อนไหวพิเศษ เช่น รหัส หรือธุรกรรมของลูกค้าไว้เป็นความลับห้ามทำให้รั่วไหลออกไปสู่บุคคลอื่น หรือบอกเงื่อนไขการใช้ประโยชน์ของข้อมูลบางประเภท ว่านำข้อมูลไปขายต่อให้บริษัทวิเคราะห์ข้อมูลทางการตลาดได้หรือไม่อย่างไร
3. การกำหนดหน้าที่ของผู้ควบคุมระบบและประมวลผลข้อมูล (Obligation of Data Controller and Processor) เนื่องจากผู้ที่จัดการข้อมูลทางเทคนิค คือ ผู้ประกอบการที่ได้ข้อมูลมา และอาจประมวลวิเคราะห์ผลจนได้รายงานต่างๆ แล้วส่งข้อมูลต่อ และขายต่อได้ เช่น กำหนดว่าผู้ให้บริการอินเตอร์เน็ตยี่ห้อต่างๆ ต้องรักษาข้อมูลการเข้าใช้เว็บไซต์ของประชาชน ไม่นำไปขายต่อให้บริษัทที่ปรึกษาทางธุรกิจโดยพลการ หรือไม่ส่งข้อมูลการใช้อินเตอร์เน็ตของประชาชนให้หน่วยงานความมั่นคงของรัฐ โดยไม่มีหมายศาลสั่งมา
4. การประกันสิทธิในข้อมูลส่วนบุคคลของประชาชน/ผู้บริโภค (Affirmation of Individual Rights or Rights of Data Subjects) โดยการลงลึกในสิทธิย่อยๆ เช่น เจ้าของข้อมูลส่วนบุคคลต้อง “ยินยอม” ก่อนที่ผู้ประกอบการจะเอาข้อมูลไปใช้ประโยชน์ หรือผู้ให้บริการต้องแจ้งเจ้าของข้อมูลว่าจะมีการเก็บข้อมูลส่วนบุคคล ดังกรณีที่ก่อนการติดตั้งแอพลิเคชั่น หรือเข้าใช้เว็บไซต์ต่างๆ จะมีการแจ้งเตือนเรื่องสิทธิส่วนบุคคลทั้งหลาย (Privacy Policy)
5. การกำหนดขอบเขตและเงื่อนไขในการจัดเก็บข้อมูลส่วนบุคคลและประมวลผล (Scope and Condition of Data Collection and Processing) โดยกำหนดหน้าที่ให้ผู้ควบคุมข้อมูลจัดการโดยเชื่อมโยงกับสิทธิของเจ้าของข้อมูลส่วนบุคคล เช่น การบอกวัตถุประสงค์ในการเก็บข้อมูล ระยะเวลาในการเก็บข้อมูล จะทำลายข้อมูลทิ้งเมื่อไหร่ และจัดเก็บข้อมูลไว้ที่ไหน ประชาชนจะเข้าตรวจสอบความถูกต้องของข้อมูลที่เกี่ยวข้องกับตัวเองได้หรือไม่
6. การกำหนดเงื่อนไขในการส่งข้อมูลไปให้บุคคลที่สามหรือข้ามพรมแดน (Transfer of Data/Information to Third Party or International) ครอบคลุมกรณีที่ผู้ที่จัดการข้อมูลรายแรกส่งต่อข้อมูลไปยังบริษัทแม่ของตนที่อยู่ต่างประเทศ หรือการส่งข้อมูลจากผู้ประกอบการรายหนึ่งไปผู้ประกอบการรายอื่น เช่น บริษัทกูเกิลในยุโรปต้องให้หลักประกันว่าการส่งข้อมูลไปยังกูเกิลสหรัฐจะมีการดูแลข้อมูลส่วนบุคคลตามมาตรฐานของอียู (Safe Harbor) หรือ บริษัทที่ทำเกมส์ออนไลน์จะต้องแจ้งผู้เล่นเกมส์ว่าจะขายข้อมูลอะไรของผู้เล่นให้บริษัทการตลาดบ้าง
7. มาตรการปกป้องข้อมูลส่วนบุคคลจากภัยพิบัติหรืออาชญากรรม (Security Measure for Protecting of the Personal Data) เนื่องจากหน่วยงานรัฐ/ผู้ประกอบการเก็บข้อมูลของผู้ใช้บริการไว้จึงมีหน้าที่ป้องกันภัยจาการโจรกรรมของข้อมูลโดยอาชญากร หรือแม้แต่การจารกรรมข้อมูลโดยผู้ก่อการร้าย หรือหน่วยงานรัฐ รวมไปถึงกรณีเกิดภัยพิบัติธรรมชาติด้วย เช่น ผู้ประกอบการมักแจ้งว่าระบบของตนได้ติดตั้งเทคโนโลยีป้องกันที่ได้มาตรฐาน ISO ด้านการป้องกันความเสี่ยงต่อข้อมูล เพื่อสร้างความมั่นใจว่าจะไม่ถูกลักหรือดัดแปลงข้อมูล
8. ข้อยกเว้น (Exception on National Security, Public order, health, morality or protect others’ right) ด้วยเหตุผลในการรักษาความมั่นคงแห่งบูรณภาพแห่งรัฐ หรือความสงบเรียบร้อยของสาธารณชน ความปลอดภัยสุขอนามัย ศีลธรรมอันดี หรือเพื่อปกป้องสิทธิของประชาชนคนอื่น รัฐอาจใช้อำนาจในการขอข้อมูลส่วนบุคคลที่เป็นภัยตามกระบวนการที่กฎหมายกำหนด เช่น ขอหมายศาลเพื่อขอให้ผู้บริการอินเตอร์เน็ตรวบรวมข้อมูลการแชทเพื่อล่อลวงเยาวชนของอาชญากร มาเพื่อติดตามตัวเด็กที่ล่อลวงกลับมา และดำเนินคดีกับผู้ล่อลวง เป็นต้น โดยข้อยกเว้นทั้งหลายจะต้องมีลักษณะเฉพาะเจาะจง กล่าวคือเป็นความผิดตามประมวลกฎหมายอาญา หมวดความมั่นคงแห่งรัฐ ความสงบสุข ชีวิต ทรัพย์สิน นั่นเอง มิใช่การใช้อำนาจตามอำเภอใจโดยปราศจากการตรวจสอบจากศาล หรือกลไกคุ้มครองสิทธิทั้งหลาย
9. การสร้างกลไกหรือองค์กรในการคุ้มครองข้อมูลส่วนบุคคล (Mechanism and Supervisory Authority for Personal Data Protection) การพูดปาวๆว่าจะคุ้มครองสิทธิของผู้ใช้อินเตอร์เน็ตโดยที่ไม่มีกลไกที่ใช้อำนาจบังคับ หรือแก้ไขปัญหา เท่ากับเป็นเพียงเสือกระดาษ จึงต้องตั้งองค์กรขึ้นตรวจตราหน่วยงาน/ผู้ประกอบการต่างๆ ให้ปฏิบัติตามกฎหมาย เช่น การปรับบทบาทของหน่วยงาน/องค์กรอิสระด้านเทคโนโลยีสารสนเทศโทรคมนาคมให้รับเรื่องร้องทุกข์จากประชาชนที่ถูกละเมิดสิทธิ และออกมาตรการต่างๆเพื่อบังคับผู้ประกอบการ/หน่วยงานให้แก้ไขปัญหา หรือเป็นตัวแทนประชาชนในการฟ้องบัคับคดีในศาล
10. การบังคับตามสิทธิโดยกำหนดมาตรการทางกฎหมายมหาชนและโทษทางอาญา (Enforcement by Criminal Punishment and Administrative Measure (Erase, Cease, Rectify)) เมื่อมีกรณีที่เจ้าของข้อมูลส่วนบุคคลนั้นสงสัยว่าผู้ควบคุมข้อมูลหรือผู้ประมวลผลทำการฝ่าฝืนกฎหมาย จะต้องออกแบบกลไกในการเข้าไปตรวจสอบ เพื่อระงับการละเมิดสิทธิ ปรับปรุงแก้ไขปัญหา หรือทำลายข้อมูลทิ้งที่เก็บหรือประมวลผลโดยขัดกับกฎหมายหรือผิดสัญญาที่ตกลงไว้กับผู้ใช้บริการทั้งหลาย เช่น กรณีมีผู้ร้องเรียนว่าสถาบันทางการเงินเอาข้อมูลของลุกค้าไปขายต่อให้บริษัทอื่นๆ จนมีการติดต่อมาขายสินค้าทางโทรศัพท์หรืออีเมลล์ที่ได้มาจากสถาบันการเงินเหล่านั้น โดยที่เจ้าของข้อมูลมิได้ยินยอม ก็ต้องมีการกำหนดบทลงโทษทางอาญาและมีมาตรการบังคับให้ยุติการส่งข้อมูลหรือทำลายข้อมูลทิ้งเสีย เพื่อป้องกันการนำข้อมูลไปใช้โดยไม่ได้รับอนุญาต
11. การสร้างช่องทางรับเรื่องร้องทุกข์และกลไกเยียวยาสิทธิให้ประชาชน (Individual’s Complaint and Remedy) เนื่องจากผู้ใช้บริการคนเดียวอาจมีอำนาจต่อรองน้อยกว่าบรรษัทหรือหน่วยงานรัฐที่เก็บข้อมูลของตนไว้ จึงต้องสร้างกลไกที่รับปัญหาของประชาชน เพื่อนำไปสู่การหามาตรการเยียวยาอย่างเป็นรูปธรรม เช่น ถ้าเจ้าของข้อมูลเห็นว่าเว็บไซต์จัดหางานแห่งหนึ่งมีชุดข้อมูลที่เกี่ยวข้องกับตัวเองซึ่งมีประวัติการทำงานผิดไป หรือมีเนื้อหาเท็จเกี่ยวกับชีวิตของตน ก็สามารถร้องขอให้ศาลหรือองค์กรคุ้มครองข้อมูลส่วนบุคคลบังคับให้เว็บไซต์เหล่านั้นลบข้อมูล หรือแก้ไขข้อมูลให้ถูกต้อง
หลักการทั้ง 11 นั้นมีผลบังคับตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลในรัฐชั้นนำด้านเทคโนโลยีสารสนเทศและเป็นผู้นำด้านเศรษฐกิจดิจิตอล อีกทั้งจะเป็นแบบกำหมายหลักที่จะสร้างมาตรฐานร่วมกันในระดับโลกในอนาคตอันใกล้ เนื่องจากการเชื่อมโยงกิจกรรมทางเศรษฐกิจผ่านอินเตอร์เน็ตมิอาจอ้างกฎหมายของรัฐใดรัฐหนึ่งเหนือรัฐอื่นได้อีกต่อไป ดังนั้นการออกกฎหมายในประเทศไทยจึงต้องคำนึงถึงหลักการข้างต้นด้วย
มิเช่นนั้น ไทยก็จะกลายเป็นหลุมดำที่ ผู้ประกอบการระดับโลกหลีกเลี่ยง และผู้ประกอบการและแบรนด์ไทย ก็จะเป็นที่หวาดกลัวของผู้บริโภคทั้งโลก (กรุณาอย่าเอาไทยไปเทียบกับจีนที่มีคนใช้อินเตอร์เน็ตหลายร้อยล้านคน เขาหากินกับตลาดภายในได้โดยไม่ต้องคำนึงตลาดโลกเพราะตลาดตัวเองใหญ่มาก)
สำหรับภาคประชาสังคมที่เคลื่อนไหวด้านสิทธิของพลเมืองในโลกออนไลน์ ก็มีหลัก 6 ประการของสิทธิในข้อมูลส่วนบุคคลของประชาชนอยู่ (หลัก 6 ประการของสหราชอาณาจักรนี้เป็นที่รับรู้ และสิงคโปร์ ฮ่องกง ฮับด้านไอทีในอาเซียน และเอเชีย ใช้เป็นพื้นฐานในการออกกฎหมายเพื่อสร้าง “ความเชื่อมั่น” ให้ผู้ใช้บริการและดึงดูดบรรษัทด้านไอทีชั้นนำของโลก)
หลักทั้ง 6 ประการ The rights of individuals (Principle 6) ได้แก่
- สิทธิในการเข้าถึงข้อมูลส่วนบุคคลของตนและทำสำเนาข้อมูลที่เกี่ยวข้องกับตนได้ a right of access to a copy of the information comprised in their personal data;
- สิทธิในการปฏิเสธกระบวนการประมวลผลข้อมูลที่จะสร้างความเสียหายเดือดร้อนให้ตน a right to object to processing that is likely to cause or is causing damage or distress;
- สิทธิในการป้องกันการประมวลผลข้อมูลเพื่อการตลาดทางตรง a right to prevent processing for direct marketing;
- สิทธิในการปฏิเสธการตัดสินโดยระบบประมวลผลอัตโนมัติ a right to object to decisions being taken by automated means;
- สิทธิในการเข้าไปแก้ไขข้อมูลที่ไม่ถูกต้อง หรือสกัดกั้นการเข้าถึง ลบล้าง หรือทำลายข้อมูลที่คลาดเคลื่อนเหล่านั้น a right in certain circumstances to have inaccurate personal data rectified, blocked, erased or destroyed; and
- สิทธิในการเรียกร้องการชดใช้เยียวยาสำหรับความเสียหายที่เกิดจากการละเมิดสิทธิในข้อมูลส่วนบุคคล a right to claim compensation for damages caused by a breach of Personal Data.
สิทธิทั้ง 6 ประการที่กล่าวไปนี้ เป็นเพียงสิทธิขั้นต่ำสุด ที่รัฐและผู้ให้บริการทั้งหลายพึงแสดงความโปร่งใสในการปกป้อง เพื่อคุ้มครองข้อมูลส่วนบุคคล อันเป็นพื้นฐานของ “ความมั่นใจ” ในการใช้อินเตอร์เน็ตที่จะเป็นตัวกำหนดความเจริญก้าวหน้าของดิจิตอลอีโคโนมี่สืบไป
เศรษฐกิจดิจิตอลจะโตอย่างต่อเนื่องก็เมื่อมีคนเข้าไปใช้งานเยอะ มีปริมาณข้อมูลให้ประมวลศึกษาแล้วคิดค้นบริการใหม่ๆ ขึ้นมาตอบสนองความต้องการของผู้ใช้อินเตอร์เน็ตอย่างหลากหลาย แต่ถ้าประชาชนรู้สึกว่ามีสายลับคอยจับตาพฤติกรรมของตนบนอินเตอร์เน็ตเสียแล้ว ก็คงไม่แคล้วต้องหลบซ่อนตัว ไม่แสดงตัวตนและพฤติกรรมที่แท้จริงออกมา เพราะว่าไม่อยากเสี่ยงต่อการ “จับแก้ผ้า” ในที่สาธารณะ โดยการเอาข้อมูลการใช้อินเตอร์เน็ตมาทำลายภาพลักษณ์ หรือถูกดักทางด้วยการสอดส่องโดยฝ่ายความมั่นคงตลอดเวลาเป็นแน่ นี่คือสิ่งที่ผู้มีอำนาจในการผลักดันกฎหมายต้องคิดให้หนัก
หาไม่แล้ว ก็เป็นเพียงการอ้างชื่อ “การรักษาความมั่นคงในโลกไซเบอร์” เพื่อสร้างความมั่นคงให้ผู้กุมอำนาจรัฐเท่านั้น