กม.ไซเบอร์และคุ้มครองข้อมูลส่วนบุคคลมีผลบังคับใช้แล้ว

นิติจุฬาฯย้ำกฎหมายไซเบอร์และกฎหมายคุ้มครองข้อมูลส่วนบุคคลบังคับใช้แล้ว ทุกภาคส่วนต้องช่วยกันสร้างมาตรฐานใหม่ในการดำเนินการ

เมื่อวันที่ 4 มิ.ย. ดร.พิเชฐ ดุรงคเวโรจน์ รมว.ดิจิทัลเพื่อเศรษฐกิจและสังคม เป็นประธานเปิดงานและปาฐกถาพิเศษ โครงการสัมมนา Cybersecurity and Personal Data Protection: Get Ready for New Business Standards จัดโดย ศูนย์วิจัยกฎหมายและการพัฒนา คณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย โดยมี ผศ.ดร.ปารีณา ศรีวนิชย์ คณบดีคณะนิติศาสตร์ ผศ.ดร.ปิยะบุตร บุญอร่ามเรือง ที่ปรึกษารมว. ดิจิทัลเพื่อเศรษฐกิจและสังคม และอาจารย์ประจำคณะนิติศาสตร์ จุฬาฯ ดร.ภากร ปีตธวัชชัย กรรมการและผู้จัดการ ตลาดหลักทรัพย์แห่งประเทศไทย และร่วมต้อนรับ ณ ตลาดหลักทรัพย์แห่งประเทศไทย

ทั้งนี้ การสัมมนาในครั้งนี้ได้รับความร่วมมือจากหน่วยงานทั้งภาครัฐและเอกชนที่มีชื่อเสียง ส่งผู้บริหารระดับสูงร่วมให้ข้อมูลและแลกเปลี่ยนแก่ผู้ร่วมสัมมนา อาทิ ดร.เยาวลักษณ์ ชาติบัญชาชัย หุ้นส่วน บริษัท อีวาย คอร์ปอเรท เซอร์วิสเซ็ส จำกัด, นายศุภวัฒก์ ศรีรุ่งเรือง ทนายความหุ้นส่วน บริษัท อาร์ แอนด์ ที เอเชีย (ประเทศไทย) จำกัด, นายสุทธิพงศ์ คูหาเสน่ห์ ทนายความ บริษัท ลิ้งค์เลเทอร์ส (ประเทศไทย) จำกัด, น.ส.อัญชลี กลิ่นเกสร ทนายความ บริษัทสำนักกฎหมายสากลธีรคุปต์ จักด, นายปราณัตต์ เลาห์ไพโรจน์ ทนายความ บริษัท แชนด์เล่อร์ เอ็มเอชเอ็ม จำกัด ทั้งนี้ มีหน่วยงานทั้งภาครัฐและเอกชน ส่งผู้แทนเข้าร่วมสัมมนาในครั้งนี้กว่า 100 แห่ง

ดร.พิเชฐ กล่าวว่า ในขณะที่รัฐบาลได้เร่งรัดดำเนินการตามนโยบายดิจิทัล รัฐบาลก็ได้ผลักดันให้มีการตราพระราชบัญญัติรักษาความมั่นคงปลอดภัยไซเบอร์และพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลฯเป็นที่เรียบร้อยแล้ว เพื่อรองรับการเปลี่ยนแปลงที่กำลังเกิดขึ้นอย่างรวดเร็วและรุนแรง เมื่อเปลี่ยนแล้วสังคมไทยก็จะได้รับผลประโยชน์ทั้งการพัฒนาเศรษฐกิจ สังคมและสิ่งแวดล้อมโดยใช้ดิจิทัล ซึ่งผมขอให้นิยามด้วยตัวอักษรภาษาอังกฤษที่ว่า “SIGMA” โดย S = Cyber Security I = Infrastructure G = Government M = Manpower A = Application ซึ่งถือเป็นเป้าหมายการพัฒนาที่สำคัญในยุคนี้

ด้าน ผศ.ดร.ปารีณา ศรีวนิชย์ กล่าวว่า คำถามที่มักจะพบบ่อยในปีที่ผ่านมา คือ ผู้ประกอบการไทยหากไม่ได้มีเป้าหมายจะให้บริการในสหภาพยุโรป จะมีความจำเป็นต้องปฏิบัติตาม GDPR หรือไม่ และจะสามารถแยกส่วนการจัดการข้อมูลคนชาติยุโรปออกจากส่วนอื่นได้หรือไม่ ซึ่ง TDPG1.0 ได้ช่วยตอบคำถามดังกล่าวไว้แล้ว วันนี้เรามีพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 และพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ.2562 แล้ว

ทั้งนี้ เป็นที่แน่ชัดแล้วว่าประเทศไทยจะมีมาตรฐานทางธุรกิจใหม่ ทั้งในเรื่องการคุ้มครองข้อมูลส่วนบุคคลและการรักษาความมั่นคงปลอดภัยไซเบอร์ คำถามที่สำคัญในวันนี้ก็คือ แนวปฏิบัติที่เกี่ยวข้องจะดำเนินการอย่างไร จะมีมาตรฐานอะไร อย่างไรที่จะเกิดขึ้น เป็นคำถามที่ลงไปในทางปฏิบัติมากขึ้น แสดงให้เห็นที่แนวโน้มที่ดีและการปรับตัวของภาคธุรกิจ ตัวอย่างที่น่าสนใจก็คือ คำถามที่ว่า เราจะแยกแยะ Contract กับ Consent อย่างไร ซึ่งถือเป็นหัวใจในทางปฏิบัติประการหนึ่งในเรื่องนี้ ซึ่งถ้าหากเราช่วยกันกำหนดมาตรฐานหรือแนวทางที่ควรจะเป็นขึ้นมาให้ชัดเจนและแน่นอนว่าหน่วยงานขนาดเล็กก็ไม่ควรจะต้องทำงานขนาดใหญ่เกินตัว ก็จะช่วยแก้ปัญหาความไม่ชัดเจนนี้ไปได้

ผศ.ดร.ปิยะบุตร กล่าวว่า ศูนย์วิจัยกฎหมายและการพัฒนา คณะนิติศาสตร์ จุฬาฯ มีความตั้งใจที่จะช่วยสร้างมาตรฐานในเรื่องดังกล่าวให้ปรากฎโดยกระบวนการศึกษาค้นคว้าทางวิชาการและการรับฟังความเห็นจากทุกภาคส่วน โดยมีเป้าหมายที่จะพัฒนาเป็น Thailand Data Protection Guidelines 2.0 ที่จะมีเนื้อหาอ้างอิงกับกฎหมายที่ได้ตราขึ้นมาแล้ว พร้อมทั้งเพิ่มเนื้อหาที่จำเป็นต่อการประมวลผลข้อมูลส่วนบุคคลเพิ่มเติมขึ้นตามแผนที่เราได้สัญญาไว้ตั้งแต่เวอร์ชั่นแรก

อย่างไรก็ตาม คณะนิติศาสตร์ จุฬาฯ หวังเป็นอย่างยิ่งว่า “แนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล” ที่เป็นผลงานของศูนย์วิจัยกฎหมายและการพัฒนา คณะนิติศาสตร์ ชิ้นนี้ จะก่อให้เกิดการตระหนักรู้ของภาครัฐและภาคเอกชน รวมทั้งเกิดประโยชน์แก่องค์กรต่างๆ และผู้ประกอบการของไทย ที่จะสามารถนำแนวปฏิบัตินี้ไปใช้ได้จริงเพื่อให้การดำเนินการคุ้มครองข้อมูลส่วนบุคคลเป็นไปตามมาตรฐานซึ่งเป็นที่ยอมรับตามความมุ่งหมายและวัตถุประสงค์ของโครงการนี้

นอกจากนี้ แนวปฏิบัตเป็นเวอร์ชั่นแรก 1.0 ซึ่งเนื้อหาทั้งหมดเป็นเรื่องพื้นฐานของการคุ้มครองข้อมูลส่วนบุคคลที่จะต้องมีก่อนที่จะได้ต่อยอดไปยังเรื่องเฉพาะต่างๆที่มีความเฉพาะเจาะจงและค่อนข้างซับซ้อน เช่น การทำข้อมูลแฝง (pseudonymization) เพื่อการใช้งานข้อมูล หรือการดำเนินการสำหรับข้อมูลส่วนบุคคลเฉพาะสาขาที่มีข้อมูลลักษณะเฉพาะของตนเองที่สาขาธุรกิจอื่นไม่มี คณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย จึงมีความตั้งใจเป็นอย่างยิ่งว่าที่จะได้พัฒนาแนวปฏิบัตินี้เป็นเวอร์ชั่น 2.0 และ 3.0 ต่อไปเพื่อที่จะให้เป็นแนวปฏิบัติที่มีเนื้อหาที่ครบถ้วนเท่าทันต่อการเปลี่ยนแปลงและรองรับกฎหมายคุ้มครองข้อมูลส่วนบุคคลของไทย