Thai Netizen Network

“การแจ้งและขอความยินยอมเป็นสิ่งที่ขาดไม่ได้ในกม.คุ้มครองข้อมูลฯ” นักกม.แคนาดาชี้

“การแจ้ง (notice) และการขอความยินยอม (consent) เป็นสิ่งพื้นฐานที่ขาดเสียไม่ได้ในกฎหมายคุ้มครองข้อมูลส่วนบุคคล

“กฎหมายคุ้มครองข้อมูลส่วนบุคคล (privacy law) ที่ไม่มีการแจ้งและการขอความยินยอม ย่อมไม่ใช่กฎหมายคุ้มครองข้อมูลส่วนบุคคล” ศาสตราจารย์คอลิน เจ. เบนเน็ตต์ (Colin J. Bennett) ผู้เชี่ยวชาญด้านกฎหมายคุ้มครองข้อมูลส่วนบุคคลและอาจารย์คณะรัฐศาสตร์ มหาวิทยาลัยวิกตอเรีย ประเทศแคนาดา กล่าวในการบรรยาย “การคุ้มครองข้อมูลส่วนบุคคล: ข้อเสนอสำหรับประเทศไทย” วานนี้ (8 เม.ย.) ที่คณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์

ศาสตราจารย์คอลิน เจ. เบนเน็ตต์ (Colin J. Bennett)

การแจ้งและการขอความยินยอม

ในการบรรยายครั้งนี้ ศาสตราจารย์คอลินกล่าวถึงการแจ้งและขอความยินยอมในกฎหมายคุ้มครองข้อมูลส่วนบุคคลโดยยกตัวอย่างกฎหมายดังกล่าวของประเทศแคนาดาว่า การแจ้งและขอความยินยอมต้องทำทั้งตอนเก็บข้อมูล ใช้ และเปิดเผย และในกรณีที่หากข้อมูลนั้นถูกจัดเก็บมาแล้ว แต่องค์กรต้องการนำข้อมูลดังกล่าวไปใช้หรือเปิดเผยด้วยจุดประสงค์อื่น องค์กรนั้นจะต้องแจ้งและขอความยินยอมจากเจ้าของข้อมูลอีกครั้ง

นอกจากนี้ กฎหมายคุ้มครองข้อมูลส่วนบุคคลของแคนาดายังกำหนดให้องค์กรต้องให้รายละเอียดการเก็บ ใช้ และเปิดเผยข้อมูลส่วนบุคคลกับเจ้าของข้อมูลโดยปราศจากศัพท์แสงทางกฎหมายที่เข้าใจยาก และห้ามเก็บข้อมูลเกินกว่าที่จำเป็น

ศาสตราจารย์คอลินกล่าวด้วยว่า การขอความยินยอมยังมีหลายรูปแบบ ซึ่งจะใช้รูปแบบใดนั้น องค์กรต้องพิจารณาความอ่อนไหว (sensitivity) ของข้อมูลด้วย หากข้อมูลที่จะจัดเก็บเป็นข้อมูลที่อ่อนไหว (sensitive information) การขอความยินยอมต้องเป็นแบบชัดแจ้ง (expressed consent) แต่ข้อมูลที่ไม่ใช่ข้อมูลอ่อนไหว (non-sensitive information) องค์กรอาจใช้การขอความยินยอมแบบปริยาย (implied consent) ก็ได้

อย่างไรก็ตาม ความอ่อนไหวของข้อมูลยังขึ้นอยู่กับบริบทด้วย เช่น ข้อมูลชื่อและที่อยู่ของสมาชิกนิตยสาร ที่จะใช้ในการจัดส่งนิตยสาร ไม่ใช่ข้อมูลอ่อนไหวสำหรับเจ้าของนิตยสาร ทว่าข้อมูลชื่อและที่อยู่ของสมาชิก “นิตยสารบางประเภท” ก็อาจจัดเป็นข้อมูลที่อ่อนไหวได้

แต่ทั้งนี้ แม้การขอความยินยอมจะเป็นปัจจัยหนึ่งที่ขาดไม่ได้ของกฎหมายคุ้มครองข้อมูลส่วนบุคคล แต่การขอความยินยอมก็ไม่สามารถแก้ปัญหาทุกอย่างได้ เพราะการขอความยินยอมก็มีประเด็นปัญหาของมันอยู่เช่นกัน

โดยปัญหาที่ว่ามีอาทิ การแยกแยะว่าข้อมูลที่อ่อนไหวและไม่อ่อนไหวบางครั้งทำได้ยาก การขอความยินยอม “มากเกินไป” จะทำให้เจ้าของข้อมูลละเลยที่จะอ่านรายละเอียดการขอความยินยอมนั้น นอกจากนี้ เรายังต้องแยกแยะระหว่างผู้จัดเก็บข้อมูล (data controller) ออกจากผู้ที่นำข้อมูลไปประมวลผล (data processor) ด้วยโดยความรับผิดชอบควรจะอยู่ที่ผู้จัดเก็บข้อมูล และอีกปัญหาหนึ่งที่กำลังเป็นที่โต้เถียงในปัจจุบันคือ การขอความยินยอมในยุคของ Big Data ซึ่งเป็นยุคที่มีการจัดเก็บข้อมูลจำนวนมาก ยังควรจะต้องมีการขอความยินยอมอยู่หรือไม่ และหากต้องมี การขอความยินยอมจะเป็นเช่นไร

อนึ่ง ตัวบทร่างพ.ร.บ.ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลของไทยฉบับล่าสุดที่อยู่ระหว่างการพิจารณาของคณะกรรมการกฤษฎีกาขณะนี้ กำหนดให้ผู้เก็บข้อมูลไม่ต้องขอความยินยอมจากเจ้าของข้อมูลในขั้นตอนการจัดเก็บข้อมูล เพียงแต่แจ้งให้ทราบเท่านั้น แต่การใช้และการเปิดเผยต้องขอทั้งความยินยอมและแจ้งให้ทราบ อย่างไรก็ตาม การขอความยินยอมอาจได้รับการยกเว้นตามข้อกำหนดที่ระบุไว้ในร่างกฎหมาย

ประเด็นอื่นๆ

สำหรับประเด็นอื่นๆ ที่ ศาสตราจารย์คอลินได้กล่าวถึงในการบรรยายครั้งนี้ มีดังนี้

บทเรียนเกี่ยวกับนโยบายคุ้มครองข้อมูลส่วนบุคคล

ศาสตราจารย์คอลินกล่าวถึงบทเรียนที่ประเทศต่างๆ ได้เรียนรู้เกี่ยวกับนโยบายคุ้มครองข้อมูลส่วนบุคคลว่า

ศาสตราจารย์คอลินทิ้งท้ายไว้ด้วยว่า ความเป็นส่วนตัวและนโยบายการคุ้มครองข้อมูลส่วนบุคคลกำลังถูกท้าทายเป็นอย่างยิ่งจากการสอดแนมของรัฐทั่วโลกและจากเทคโนโลยีที่นับวันจะก้าวหน้าขึ้นเรื่อยๆ

ข่าวที่เกี่ยวข้อง

Exit mobile version