นักกฎหมายชี้ ร่างพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลไม่ได้มาตรฐาน EU เพราะ “ขาดหัวใจหลัก” คือการขอความยินยอมในขั้นเก็บข้อมูล สร้างอุปสรรคการค้ากับต่างประเทศ ร่างกฎหมายยังเขียนไว้กว้าง เปิดช่อง “กฎกระทรวง” และ “ประกาศคณะกรรมการ” เนื้อหาในร่างฯ เต็มไปด้วยข้อยกเว้น จนไม่รู้ว่าจะมีกฎหมายนี้ไปทำไม
เสวนา “วิเคราะห์ร่างพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. …” (17 ก.พ. 2558)
เมื่อวันที่ 17 กุมภาพันธ์ 2558 ได้มีสัมมนาหัวข้อ “วิเคราะห์ร่างพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. …” ณ มหาวิทยาลัยเซนต์จอห์น มีผู้ร่วมสัมมนาได้แก่ กฤษฎา แสงเจริญทรัพย์ อาจารย์คณะนิติศาสตร์ มหาวิทยาลัยกรุงเทพธนบุรี, จอมพล พิทักษ์สันตโยธิน อาจารย์คณะนิติศาสตร์ มหาวิทยาลัยหอการค้าไทย, คณาธิป ทองรวีวงศ์ คณบดีคณะนิติศาสตร์ มหาวิทยาลัยเซนต์จอห์น และอรวิภา พึ่งเงิน นักวิชาการอิสระด้านสื่อสารมวลชน
ทั้งนี้ การสัมมนาเวทีย่อยดังกล่าวเป็นส่วนหนึ่งของ “เวทีว่าด้วยการอภิบาลอินเทอร์เน็ตและการเตรียมตัวขององค์กรประชาสังคมในประเทศไทย” ซึ่งจัดโดยมูลนิธิเอเชีย, สภาคนพิการทุกประเภทแห่งประเทศไทย, คณะนิติศาสตร์ มหาวิทยาลัยเซนต์จอห์น, โครงการจัดการความรู้เพื่อขับเคลื่อนสังคมปลอดพนันภายใต้มูลนิธิสดศรี-สฤษดิ์วงศ์, มูลนิธิสาธารณสุขแห่งชาติ, มหาวิทยาลัยกรุงเทพธนบุรี, มหาวิทยาลัยหอการค้าไทย และองค์กรเครือข่าย
“หัวใจหลัก” ของกฎหมายคุ้มครองข้อมูลส่วนบุคคล: ต้องขอความยินยอมทั้งตอน เก็บ ใช้ เผยแพร่
คณาธิปกล่าวว่า ปัจจุบันเราถูกเก็บข้อมูลจากทั้งรัฐและเอกชน และการเก็บข้อมูลบางอย่าง เช่น รถของกูเกิลที่วิ่งถ่ายภาพท้องถนนและอาคารต่างๆ เพื่อไปทำบริการกูเกิลสตรีทวิว (Google Street View) นั้น ไม่ได้เก็บแค่ข้อมูลภาพ แต่รถยังสามารถเก็บข้อมูลไวไฟ (Wi-Fi) ระหว่างที่รถวิ่งผ่านได้ด้วย นี่เป็นตัวอย่างที่แสดงให้เห็นว่า ทุกวันนี้ เราไม่รู้ตัวเลยว่าเรากำลังถูกเก็บข้อมูลอะไรอยู่บ้าง
ซึ่งในอนาคตอันใกล้ การละเมิดข้อมูลส่วนบุคคลจะรุนแรงขึ้นอีก เมื่อมาถึงยุคของ Internet of Things (IoT) ที่อุปกรณ์เครื่องใช้ต่างๆ จะสามารถเชื่อมต่อกับอินเทอร์เน็ตได้
คณาธิปกล่าวว่า ด้วยเหตุผลดังกล่าว จึงจำเป็นอย่างยิ่งที่ประเทศไทยต้องมีกฎหมายคุ้มครองข้อมูลส่วนบุคคลเช่นเดียวกับประเทศในสหภาพยุโรปและประเทศอื่นๆ อีกหลายประเทศ ที่มีกฎหมายนี้มานานแล้ว
โดยหัวใจหลักของการคุ้มครองข้อมูลส่วนบุคคล คือต้องขอความยินยอมจากเจ้าของข้อมูลใน 3 ขั้นตอนด้วยกัน คือ 1. ขั้นตอนการเก็บข้อมูล 2. ขั้นตอนการนำข้อมูลไปประมวลผล 3. ขั้นตอนการเผยแพร่ข้อมูล นอกจากนี้ การขอความยินยอมต้องเป็นแบบชัดแจ้ง ไม่ใช่การขอข้อมูลโดยปริยาย และหน่วยงานที่ดูแลเรื่องการคุ้มครองข้อมูลส่วนบุคคลต้องมีความเป็นอิสระ
ทว่าในร่างกฎหมายคุ้มครองข้อมูลส่วนบุคคลฉบับปัจจุบัน ซึ่งเป็นหนึ่งในกฎหมายว่าด้วยเศรษฐกิจดิจิทัลที่คณะรัฐมนตรีได้เห็นชอบไปเมื่อเดือนมกราคมที่ผ่านมานั้น ขาดหลักการขอความยินยอมในขั้นการเก็บข้อมูล ซึ่งเป็นขั้นแรกและเป็นขั้นตอนที่สำคัญที่สุด แม้ว่าจะมีการขอความยินยอมในขั้นการประมวลผลหรือนำข้อมูลไปเผยแพร่ก็ตาม ซึ่งจุดนี้เป็นหนึ่งในปัญหาสำคัญของร่างกฎหมายฉบับดังกล่าว
กฎหมายคุ้มครองข้อมูลส่วนบุคคลได้มาตรฐาน = ได้เปรียบทางเศรษฐกิจ
คณาธิปกล่าวต่อว่า ที่มากฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศไทย ส่วนหนึ่งมาจากเหตุผลทางเศรษฐกิจ เพราะประเทศไทยต้องติดต่อค้าขายกับต่างประเทศ ซึ่งย่อมต้องเกี่ยวพันกับการไหลเวียนของข้อมูล ประเทศไทยจึงมีความจำเป็นที่จะต้องทำให้กฎหมายนี้มีความเป็นสากล
“เห็นได้จากแนวปฏิบัติของอียูในมาตรา 25 ที่บอกว่า หากประเทศไหนไม่มีกฎหมายคุ้มครองข้อมูลส่วนบุคคล หรือมีแต่ไม่ได้มาตรฐานทัดเทียมอียู ประเทศในอียูก็ไม่สามารถส่งออกข้อมูลไปยังประเทศเหล่านั้นได้”
นี่จึงเป็นอุปสรรคต่อการดำเนินธุรกิจสำหรับประเทศที่ไม่มีกฎหมายคุ้มครองข้อมูลส่วนบุคคล หรือมีแต่ไม่ได้มาตรฐาน
ข้อได้เปรียบอีกอย่างหนึ่งของการที่ประเทศมีกฎหมายคุ้มครองข้อมูลส่วนบุคคลคือ ตามความตกลงทั่วไปว่าด้วยภาษีศุลกากรและการค้า (General Agreement on Tariffs and Trade-GATT) มาตรา 14 ที่ระบุให้ประเทศสามารถกีดกันทางการค้าได้หากประเทศคู่ค้าไม่มีกฎหมายคุ้มครองข้อมูลส่วนบุคคล คณาธิปกล่าวว่า หากประเทศไทยมีกฎหมายนี้ ก็สามารถใช้เป็นเหตุผลในการกีดกันทางการค้าเพื่อปกป้องผู้ผลิตสินค้าบางประเภทในประเทศได้
จากที่กล่าววมา จะเห็นว่าการมีกฎหมายคุ้มครองข้อมูลส่วนบุคคล “ที่ได้มาตรฐาน” จะเป็นผลดีต่อเศรษฐกิจ นอกเหนือไปจากเรื่องของสิทธิส่วนบุคคล
อ่าน สรุปข้อคิดเห็นของคณาธิป ทองรวีวงศ์
ชี้ปัญหาในร่างกฎหมายคุ้มครองข้อมูลส่วนบุคคล
ทางด้านกฤษฎากล่าวว่า ในหลักการและเหตุผลของร่างกฎหมายคุ้มครองข้อมูลส่วนบุคคล ระบุไว้ว่า เพื่อให้มีกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่เป็นการทั่วไป และเพื่อขจัดอุปสรรคในการติดต่อค้าขายกับต่างประเทศ ทว่าเมื่อดูจากเนื้อหาในร่างกฎหมายคุ้มครองข้อมูลส่วนบุคคลฉบับปัจจุบันจะพบว่า ร่างกฎหมายดังกล่าวไม่สอดคล้องหรือ “ไม่ตอบโจทย์” หลักการที่กล่าวมาข้างต้น
กฤษฎาได้ตั้งข้อสังเกตดังนี้
ร่างมาตรา 17 ที่ระบุให้คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลต้องให้โอกาสผู้ถูกกล่าวหาได้มีโอกาสชี้แจงข้อเท็จจริง โต้แย้ง และแสดงพยานหลักฐานของตน เว้นแต่ในกรณีจำเป็นและเร่งด่วน
กฤษฎากล่าวว่า ร่างมาตราดังกล่าวมีปัญหาตรงที่วลี “กรณีจำเป็นและเร่งด่วน” ซึ่งเป็นการเขียนกฎหมายที่ไม่ชัดเจน ทั้งๆ ที่กฎหมายฉบับนี้เป็นกฎหมายอาญาซึ่งกระทบกับสิทธิของบุคคล คณะกรรมการฯ จึงต้องให้ผู้ถูกกล่าวหาโต้แย้งได้อย่างเต็มที่ การเขียนกฎหมายเช่นนี้จึงผิดหลักการพิจารณาความอาญา
เช่นเดียวกันกับวรรคสองในร่างมาตราเดียวกัน ที่ระบุให้ผู้ถูกกล่าวหาไม่มีสิทธิชี้แจงหรือโต้แย้ง เมื่อมีเหตุผลเป็นไปตามกรณีต่างๆ ตามความใน (1) ถึง (5) โดยเฉพาะใน (5) ที่กฎหมายเขียนว่าเป็น “กรณีอื่นตามที่คณะกรรมการประกาศกำหนด”
วลีดังกล่าวเป็นการเขียนกฎหมายที่ไม่มีความชัดเจน “เกิดวันดีคืนดีคณะกรรมการอยากเพิ่มกรณีใหม่อะไรเข้ามาก็ได้อย่างนั้นหรือ” กฤษฎากล่าว
ถัดมา ในร่างมาตรา 18 ที่ระบุให้เจ้าหน้าที่เป็นเจ้าหน้าที่ตามประมวลกฎหมายอาญา ทว่ากลับไม่ต้องรับโทษทั้งทางแพ่งและทางกฎหมาย เมื่อทำหน้าที่โดยสุจริต ซึ่งมีปัญหาสองประการ หนึ่งคือ ประชาชนจะทราบได้อย่างไรว่าเจ้าหน้าที่ได้ทำหน้าที่ “โดยสุจริต” และสอง การที่เจ้าหน้าที่มีสิทธิใช้อำนาจตามกฎหมายอาญา แต่กลับไม่ต้องรับผิดใดๆ เป็นเรื่องที่ไม่ถูกต้อง
ร่างมาตรา 25 และ 26 ที่กำหนดไม่ให้เก็บรวบรวมข้อมูล ใช้ หรือเปิดเผยโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล เว้นแต่จะเป็น กรณีอื่นตามที่กำหนดในกฎกระทรวง นั้น
อีกเช่นกัน ที่การเขียนกฎหมายด้วยถ้อยคำเช่นนี้เป็นการเขียนกฎหมายที่เปิดช่องไว้กว้างเกินไป กฤษฎากล่าวว่า กฎกระทรวงเป็นกฎที่รัฐมนตรีประจำกระทรวงเพียงคนเดียวก็สามารถออกได้โดยไม่ต้องผ่านการเห็นชอบจากผู้ใด ทั้งๆ ที่การเขียนกฎหมายเช่นนี้จะเป็นการจำกัดตัดสิทธิของประชาชน ซึ่งต้องเขียนให้ชัดเจนที่สุดเท่าที่จะเป็นไปได้ และไม่ควรมีการกำหนดข้อยกเว้น แต่หากหลีกเลี่ยงไม่ได้ และเห็นว่ายังไงก็ต้องมีควรยกเว้น ตนก็เห็นว่าจะใช้กฎกระทรวงเพียงอย่างเดียวนั้นไม่พอ
“กฎหมายที่จะกระทบสิทธิของประชาชน หากจะให้คนๆ เดียวมาตัดสิน ผมไม่เห็นด้วย” -กฤษฎา แสงเจริญทรัพย์
กฤษฎาเสนอว่า หากจำเป็นจริงๆ อาจเขียนโดยการเปิดช่องให้มีการกำหนดเพิ่มได้ในพระราชกฤษฎีกา เพราะอย่างน้อย พระราชกฤษฎีกาก็เป็นกฎหมายที่ออกโดยคณะรัฐมนตรีที่ต้องมาประชุมกัน
สำหรับร่างมาตรา 28(5) ซึ่งสรุปความได้ว่า เจ้าของข้อมูลไม่มีสิทธิเข้าถึงข้อมูลของตนเอง หากเป็นไปเพื่อ “คุ้มครองเจ้าของข้อมูล…” ก็เป็นอีกข้อหนึ่งที่เป็นปัญหา
กฤษฎากล่าวด้วยว่า นอกจากนี้ การออกกฎหมายข้อคุ้มครองข้อมูลส่วนบุคคลที่มีข้อยกเว้นจำนวนมากเช่นนี้ ไม่ตอบสนองต่อวัตถุประสงค์ที่ต้องการให้มีกฎหมายเพื่อคุ้มครองข้อมูลส่วนบุคคลตั้งแต่แรก
ดู สไลด์ประกอบการเสวนาของกฤษฎา แสงเจริญทรัพย์
ร่างพ.ร.บ.ทวงถามหนี้ กระทบสิทธิความเป็นส่วนตัว ผ่านสนช.มาแล้วโดยไม่มีใครค้าน
คณาธิปกล่าวต่อว่า จากการที่ผู้ร่างกฎหมาย (สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์-สพธอ.) ชี้แจงว่า ที่ต้องเขียนกฎหมายเช่นนี้เพราะไม่ต้องการให้การคุ้มครองข้อมูลส่วนบุคคลเป็นภาระเกินไปต่อภาคเอกชนนั้น จากที่ตนได้ไปพูดคุยกับภาคเอกชน พบว่าหลักการขอความยินยอมดังกล่าวไม่ได้เป็นภาระยุ่งยากแต่อย่างใด และในทางเทคนิคเราสามารถออกแบบการขอความยินยอมที่สะดวกกับทั้งผู้ให้บริการและผู้ใช้บริการได้
คณาธิปกล่าวทิ้งท้ายเวทีว่า นอกจากร่างพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลที่กำลังคุยอยู่นี้แล้ว ยังมีร่างพ.ร.บ.อีกหลายฉบับที่กระทบหรือละเมิดสิทธิส่วนบุคคล อาทิ ร่างพ.ร.บ.ทวงถามหนี้ ซึ่งผ่านสภานิติบัญญัติมาแล้ว “อย่างเงียบๆ” และกำลังรอประกาศใช้จริง ซึ่งมีปัญหาละเมิดสิทธิส่วนบุคคลเช่นกัน แต่กลับไม่มีใครให้ความสนใจ
เอกสารเพิ่มเติม
- สรุปข้อคิดเห็นของคณาธิป ทองรวีวงศ์ ต่อร่างพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลในเวทีย่อย CSDIG
- สไลด์ประกอบการเสวนาของกฤษฎา แสงเจริญทรัพย์ ต่อร่างพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลในเวทีย่อย CSDIG
- สไลด์ประกอบการเสวนาของอรวิภา พึ่งเงิน ต่อร่างพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลในเวทีย่อย CSDIG
- ร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ….