“การแจ้ง (notice) และการขอความยินยอม (consent) เป็นสิ่งพื้นฐานที่ขาดเสียไม่ได้ในกฎหมายคุ้มครองข้อมูลส่วนบุคคล
“กฎหมายคุ้มครองข้อมูลส่วนบุคคล (privacy law) ที่ไม่มีการแจ้งและการขอความยินยอม ย่อมไม่ใช่กฎหมายคุ้มครองข้อมูลส่วนบุคคล” ศาสตราจารย์คอลิน เจ. เบนเน็ตต์ (Colin J. Bennett) ผู้เชี่ยวชาญด้านกฎหมายคุ้มครองข้อมูลส่วนบุคคลและอาจารย์คณะรัฐศาสตร์ มหาวิทยาลัยวิกตอเรีย ประเทศแคนาดา กล่าวในการบรรยาย “การคุ้มครองข้อมูลส่วนบุคคล: ข้อเสนอสำหรับประเทศไทย” วานนี้ (8 เม.ย.) ที่คณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์
ศาสตราจารย์คอลิน เจ. เบนเน็ตต์ (Colin J. Bennett)
การแจ้งและการขอความยินยอม
ในการบรรยายครั้งนี้ ศาสตราจารย์คอลินกล่าวถึงการแจ้งและขอความยินยอมในกฎหมายคุ้มครองข้อมูลส่วนบุคคลโดยยกตัวอย่างกฎหมายดังกล่าวของประเทศแคนาดาว่า การแจ้งและขอความยินยอมต้องทำทั้งตอนเก็บข้อมูล ใช้ และเปิดเผย และในกรณีที่หากข้อมูลนั้นถูกจัดเก็บมาแล้ว แต่องค์กรต้องการนำข้อมูลดังกล่าวไปใช้หรือเปิดเผยด้วยจุดประสงค์อื่น องค์กรนั้นจะต้องแจ้งและขอความยินยอมจากเจ้าของข้อมูลอีกครั้ง
นอกจากนี้ กฎหมายคุ้มครองข้อมูลส่วนบุคคลของแคนาดายังกำหนดให้องค์กรต้องให้รายละเอียดการเก็บ ใช้ และเปิดเผยข้อมูลส่วนบุคคลกับเจ้าของข้อมูลโดยปราศจากศัพท์แสงทางกฎหมายที่เข้าใจยาก และห้ามเก็บข้อมูลเกินกว่าที่จำเป็น
ศาสตราจารย์คอลินกล่าวด้วยว่า การขอความยินยอมยังมีหลายรูปแบบ ซึ่งจะใช้รูปแบบใดนั้น องค์กรต้องพิจารณาความอ่อนไหว (sensitivity) ของข้อมูลด้วย หากข้อมูลที่จะจัดเก็บเป็นข้อมูลที่อ่อนไหว (sensitive information) การขอความยินยอมต้องเป็นแบบชัดแจ้ง (expressed consent) แต่ข้อมูลที่ไม่ใช่ข้อมูลอ่อนไหว (non-sensitive information) องค์กรอาจใช้การขอความยินยอมแบบปริยาย (implied consent) ก็ได้
อย่างไรก็ตาม ความอ่อนไหวของข้อมูลยังขึ้นอยู่กับบริบทด้วย เช่น ข้อมูลชื่อและที่อยู่ของสมาชิกนิตยสาร ที่จะใช้ในการจัดส่งนิตยสาร ไม่ใช่ข้อมูลอ่อนไหวสำหรับเจ้าของนิตยสาร ทว่าข้อมูลชื่อและที่อยู่ของสมาชิก “นิตยสารบางประเภท” ก็อาจจัดเป็นข้อมูลที่อ่อนไหวได้
แต่ทั้งนี้ แม้การขอความยินยอมจะเป็นปัจจัยหนึ่งที่ขาดไม่ได้ของกฎหมายคุ้มครองข้อมูลส่วนบุคคล แต่การขอความยินยอมก็ไม่สามารถแก้ปัญหาทุกอย่างได้ เพราะการขอความยินยอมก็มีประเด็นปัญหาของมันอยู่เช่นกัน
โดยปัญหาที่ว่ามีอาทิ การแยกแยะว่าข้อมูลที่อ่อนไหวและไม่อ่อนไหวบางครั้งทำได้ยาก การขอความยินยอม “มากเกินไป” จะทำให้เจ้าของข้อมูลละเลยที่จะอ่านรายละเอียดการขอความยินยอมนั้น นอกจากนี้ เรายังต้องแยกแยะระหว่างผู้จัดเก็บข้อมูล (data controller) ออกจากผู้ที่นำข้อมูลไปประมวลผล (data processor) ด้วยโดยความรับผิดชอบควรจะอยู่ที่ผู้จัดเก็บข้อมูล และอีกปัญหาหนึ่งที่กำลังเป็นที่โต้เถียงในปัจจุบันคือ การขอความยินยอมในยุคของ Big Data ซึ่งเป็นยุคที่มีการจัดเก็บข้อมูลจำนวนมาก ยังควรจะต้องมีการขอความยินยอมอยู่หรือไม่ และหากต้องมี การขอความยินยอมจะเป็นเช่นไร
อนึ่ง ตัวบทร่างพ.ร.บ.ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลของไทยฉบับล่าสุดที่อยู่ระหว่างการพิจารณาของคณะกรรมการกฤษฎีกาขณะนี้ กำหนดให้ผู้เก็บข้อมูลไม่ต้องขอความยินยอมจากเจ้าของข้อมูลในขั้นตอนการจัดเก็บข้อมูล เพียงแต่แจ้งให้ทราบเท่านั้น แต่การใช้และการเปิดเผยต้องขอทั้งความยินยอมและแจ้งให้ทราบ อย่างไรก็ตาม การขอความยินยอมอาจได้รับการยกเว้นตามข้อกำหนดที่ระบุไว้ในร่างกฎหมาย
ประเด็นอื่นๆ
สำหรับประเด็นอื่นๆ ที่ ศาสตราจารย์คอลินได้กล่าวถึงในการบรรยายครั้งนี้ มีดังนี้
- นโยบายการคุ้มครองข้อมูลส่วนบุคคลมีด้วยกันหลายรูปแบบ เช่น ในรูปของกฎหมายของแต่ละประเทศ ในรูปกฎหมายที่กำกับอุตสาหกรรมที่ใช้ข้อมูลอย่างเข้มข้น (information intensive industry) ในรูปแบบข้อตกลงของความร่วมมือระหว่างประเทศ (อาทิ สหภาพยุโรป โออีซีดี เอเปค) รวมถึงอยู่ในรูปแบบของมาตรฐานการคุ้มครองข้อมูล (เช่น มาตรฐาน ISO) และการกำกับดูแลตนเอง อย่างไรก็ตาม ความหลากหลายของกฎหมายคุ้มครองข้อมูลอาจทำให้เกิดพื้นที่การบังคับใช้ที่ทับซ้อนกันได้
- กฎหมายคุ้มครองข้อมูลที่เกี่ยวกับการส่งข้อมูลข้ามพรมแดน นอกจากจะมีรูปแบบ “ประเทศต่อประเทศ” (country to country) ซึ่งห้ามประเทศหนึ่งๆ ส่งออกข้อมูลของตนไปยังประเทศที่มีมาตรฐานการคุ้มครองข้อมูลที่ต่ำกว่า (อาทิ กฎของสหภาพยุโรป) แล้ว ยังมีอีกรูปแบบหนึ่ง นั่นคือ รูปแบบ “องค์กรต่อองค์กร” (organization to organization) (เช่น กฎของเอเปค) ซึ่งยืดหยุ่นกว่า นั่นคือ การไหลเวียนของข้อมูลจากประเทศหนึ่งไปยังอีกประเทศหนึ่งที่มีกฎหมายคุ้มครองข้อมูลซึ่งมาตรฐานต่ำกว่าได้สามารถทำได้ โดยให้ความรับผิดชอบอยู่กับองค์กรที่ส่งและรับข้อมูลส่วนบุคคลนั้นแทน รูปแบบนี้มีข้อดีคือ ทำให้องค์กรที่มีการคุ้มครองข้อมูลส่วนบุคคลที่ดี แต่อยู่ในประเทศที่มีกฎหมายคุ้มครองข้อมูลที่ไม่ได้มาตรฐาน สามารถทำธุรกิจกับองค์กรในต่างประเทศได้
- โดยทั่วไปแล้ว หน่วยงานที่จะมาดูแลข้อมูลส่วนบุคคลมีหน้าที่หลายอย่างด้วยกัน อาทิ รับเรื่องร้องเรียน ให้คำปรึกษา ให้ความรู้สาธารณชนเกี่ยวกับสิทธิในความเป็นส่วนตัว ให้คำแนะนำรัฐบาล เป็นผู้เจรจาต่อรองกับรัฐบาลและภาคธุรกิจ อย่างไรก็ตาม หน่วยงานนี้หลายแห่งมักไม่มีอำนาจในการบังคับใช้กฎหมาย ศาสตราจารย์คอลินกล่าวด้วยว่า สิ่งสำคัญสำหรับการมีหน่วยงานคุ้มครองข้อมูลส่วนบุคคลคือ หน่วยงานดังกล่าวต้องเป็นอิสระจากทั้งรัฐบาลและภาคเอกชน
- ทุกองค์กรที่มีขนาดที่ใหญ่ระดับหนึ่งควรต้องแต่งตั้งเจ้าหน้าที่รับผิดชอบดูแลความเป็นส่วนตัว (chief privacy officer) ซึ่งเจ้าหน้าที่ผู้นี้จะเป็นผู้รับผิดชอบให้องค์กรทำตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล ศาสตราจารย์คอลินย้ำว่า การมี chief privacy officer เป็นสิ่งที่สำคัญอย่างยิ่ง และกฎหมายควรบังคับให้ทุกองค์กรที่มีขนาดใหญ่ในระดับหนึ่งต้องมี ซึ่งนี่ยังเป็นสิ่งที่ตนไม่เห็นในร่างกฎหมายของไทย (ร่างพ.ร.บ.ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล หนึ่งในชุดร่างกฎหมายเศรษฐกิจดิจิทัล ขณะนี้อยู่ในการพิจารณาของคณะกรรมการกฤษฎีกา)
- เมื่อมีการรั่วของข้อมูล (data breach) กฎหมายต้องบังคับให้องค์กรที่ทำข้อมูลรั่วนั้นต้องแจ้งต่อหน่วยงานที่ดูแลข้อมูลส่วนบุคคล นี่เป็นสิ่งสำคัญมาก อย่างไรก็ตาม กฎหมายหลายประเทศระบุว่า ในบางกรณีองค์กรที่ทำข้อมูลรั่วอาจพ้นผิด หากได้มีการเข้ารหัส (encrypt) ข้อมูลของลูกค้าหรือผู้ถูกจัดเก็บข้อมูลไว้แล้ว
- ศาสตราจารย์คอลินแนะนำด้วยว่า กฎหมายควรกำหนดให้บริษัทต้องทำการประเมินผลกระทบต่อความเป็นส่วนตัว (Privacy Impact Assessment – PIA) ซึ่งการประเมินผลกระทบดังกล่าวไม่ใช่เรื่องยุ่งยากแต่อย่างใด โดยเฉพาะกับบริษัทเอกชนที่ต้องทำประเมินความเสี่ยง (risk assessment) อยู่แล้ว การทำ PIA ยังทำให้บริษัทสามารถยืนยันกับหน่วยงานดูแลข้อมูลส่วนบุคคล ว่าตนได้ปฏิบัติตามกฎการคุ้มครองข้อมูลแล้ว และยังช่วยลดความเสี่ยงและต้นทุนของบริษัทเอกชนด้วย ซึ่งการบังคับให้องค์กรต้องทำ PIA ยังไม่มีในร่างกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลของไทยเช่นกัน
บทเรียนเกี่ยวกับนโยบายคุ้มครองข้อมูลส่วนบุคคล
ศาสตราจารย์คอลินกล่าวถึงบทเรียนที่ประเทศต่างๆ ได้เรียนรู้เกี่ยวกับนโยบายคุ้มครองข้อมูลส่วนบุคคลว่า
- กฎหมายไม่ใช่เครื่องมือเดียวในการทำให้เกิดการคุ้มครองข้อมูลส่วนบุคคล แต่ยังมีปัจจัยทางเทคโนโลยี และการกำกับตนเอง (self-regulaiton) ของแต่ละองค์กร รวมทั้งต้องจำเป็นต้องมีแรงผลักดันจากสังคมเพื่อให้กฎหมายบังคับใช้ได้จริง
- กฎหมายควรจะต้อง “เป็นกลางทางเทคโนโลยี” (technology neutral) นั่นคือ ต้องครอบคลุมเทคโนโลยีทุกประเภท (ไม่ใช่บังคับใช้แต่กับเอกสารอิเล็กทรอนิกส์ แต่ไม่บังคับใช้กฎเดียวกันนั้นกับเอกสารที่เป็นกระดาษ เป็นต้น) เพราะจะเป็นการไปจำกัดพัฒนาการของเทคโนโลยี อันจะนำมาซึ่งการต่อต้าน
- กฎหมายต้องบังคับใช้ครอบคลุมทั้งภาครัฐและเอกชน มิฉะนั้น จะเกิดปัญหาเช่นในประเทศสิงคโปร์ ที่กฎหมายดังกล่าวบังคับใช้กับภาคเอกชนเท่านั้น ทำให้เกิดปัญหาสองมาตรฐานระหว่างโรงพยาบาลเอกชนและโรพยาบาลรัฐ เป็นต้น
ศาสตราจารย์คอลินทิ้งท้ายไว้ด้วยว่า ความเป็นส่วนตัวและนโยบายการคุ้มครองข้อมูลส่วนบุคคลกำลังถูกท้าทายเป็นอย่างยิ่งจากการสอดแนมของรัฐทั่วโลกและจากเทคโนโลยีที่นับวันจะก้าวหน้าขึ้นเรื่อยๆ