posttoday

นิยามการคุ้มครองข้อมูลส่วนบุคคล และ GDPR

03 ธันวาคม 2561

ปริญญา หอมเอนก

ภาครัฐควรทบทวนร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลและฝ่ายประชาชนควรมีการติดตามและเตรียมตัวให้พร้อม

****************************

โดย...ปริญญา หอมเอนก ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยสารสนเทศ และระบบเทคโนโลยีสารสนเทศ

เมื่อวันที่ 22 พ.ค.ที่ผ่านมานี้ ครม.ได้มีมติเห็นชอบร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ซึ่งได้กำหนดนิยามคำว่า “ข้อมูลส่วนบุคคล” ไว้ชัดเจนว่าคือข้อมูลที่ทำให้ระบุตัวบุคคลนั้นได้ไม่ว่าจะทางตรงหรือทางอ้อม กำหนดสิทธิเจ้าของข้อมูล ให้ผู้ใช้มีสิทธิเข้าถึงข้อมูลส่วนตัวของตน พร้อมเปิดเผยที่มาของข้อมูล

รวมถึงมีสิทธิแก้ไขข้อมูลให้ถูกต้องและให้สิทธิเจ้าของระงับการใช้ข้อมูลหรือทำลายข้อมูลของตัวเองได้เมื่อเกิดการละเมิดข้อมูลส่วนบุคคลหรือเกิดข้อมูลรั่วไหล ผู้ให้บริการต้องรีบแจ้งให้เจ้าของข้อมูลทราบ พร้อมรายงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ซึ่งสหภาพยุโรปได้ตื่นตัวเรื่องนี้มานานจนพัฒนาจาก EU Data Protection Directive (also known as Directive 95/46/EC) เป็นกฎหมาย General Data Protection Regulation หรือที่โลกรู้จักกันในชื่อย่อ “GDPR” หรือกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป

ปัจจุบันโลกกำลังเข้าสู่ยุคแห่งการเปลี่ยนแปลงทางดิจิทัล (Digital Transformation) อย่างเต็มรูปแบบ เป็นการก้าวข้ามจาก 3rd Industrial Revolution การปฏิวัติอุตสาหกรรมในยุคที่ 3 (3rd Industrial Revolution) ซึ่งเป็นยุคที่คอมพิวเตอร์และระบบอัตโนมัติมีการเติบโตอย่างสูง จัดได้ว่าเป็นยุคอินเทอร์เน็ต หรือที่เราเรียกว่า “ยุคอินฟอร์
เมชั่นเอจ” (Information Age)

แต่ในปัจจุบันเรากำลังอยู่ในยุคที่ 4 แห่งการปฏิวัติอุตสาหกรรม (4th Industrial Revolution) เป็นยุคที่หลายคนนิยมเรียกว่ายุค 4.0 จากการมาถึงของห้าเทคโนโลยี ได้แก่ Blockchain, Big Data Analytics, AI และ Machine Learning, Internet of Things, Cybersecurity และ Privacy-Enhancing Technology

โลกมีการเปลี่ยนแปลงจาก “เศรษฐกิจดิจิทัล” (Digital Economy) เริ่มตั้งแต่ Don Tapscott ได้เขียนหนังสือ “Digital Economy” ตั้งแต่ปี 1995 จนมาถึงยุคแห่ง “Data Economy” ในปัจจุบันที่เน้นไปที่การประมวลผลข้อมูลเป็นหลัก โดยเทคโนโลยีอินเทอร์เน็ตถูกมองเป็นเพียงโครงสร้างพื้นฐาน (Infrastructure) เท่านั้น

เทคโนโลยีการบริหารจัดการข้อมูลขนาดใหญ่ หรือ Big Data Analytics กำลังเข้ามามีบทบาทร่วมกับเทคโนโลยีปัญญาประดิษฐ์ (AI และ Machine Learning) เข้ามาวิเคราะห์พฤติกรรมการใช้งานอินเทอร์เน็ตและโซเชียลมีเดียของมนุษย์ในศตวรรษที่ 21 กว่า 2,000 ล้านคน ทำให้ Tech Giant อย่าง Facebook และ Google มีความได้เปรียบในการแข่งขัน เพราะสามารถล่วงรู้พฤติกรรมของผู้บริโภคจากการใช้สองเทคโนโลยีดังกล่าว

ดังนั้น ทางสหภาพยุโรปหรืออียู ซึ่งได้เล็งเห็นปัญหาด้านความมั่นคงปลอดภัย (Cybersecurity) และปัญหาด้านการการนำข้อมูลส่วนบุคคล (Data Privacy) ไปใช้ในเชิงธุรกิจโดยปราศจากการยินยอมของเจ้าของข้อมูล อียูได้ออก “EU Cybersecurity Initiatives” เมื่อเดือน ม.ค. 2017 และล่าสุดเพิ่งจะผ่านกฎหมายไปเมื่อปี 2016 คือ กฎหมาย “GDPR” มีผลบังคับใช้ทั่วโลกแล้ว ตั้งแต่วันที่ 25 พ.ค.ที่ผ่านมานี้ โดยเน้นไปที่ประชาชนชาวอียูต้องให้ความยินยอม (Clear and Affirmative Consent) ในฐานะเจ้าของข้อมูลว่าจะอนุญาตให้ผู้ประกอบการนำข้อมูลไปประมวลผลได้หรือไม่? และมีสิทธิที่จะถูกลืม “Right to be Forgotten”

หมายถึงเจ้าของข้อมูลสามารถเรียกร้องให้มีการลบข้อมูลของตนเองออกจากระบบของผู้ประกอบการ เมื่อไม่มีความจำเป็นที่จะต้องเก็บข้อมูลนั้นไว้ หรือทางเจ้าของข้อมูลไม่ประสงค์ให้นำข้อมูลของตนไปประมวลผลอีกต่อไป กฎหมายนี้ออกแบบมาเพื่อแก้ปัญหาที่ผู้ประกอบการหรือผู้ให้บริการโซเชียลมีเดียต่างๆ ไม่ให้ใช้เทคโนโลยีเพื่อให้ตนมีความได้เปรียบในการแข่งขัน และสร้างรายได้จากการโฆษณาอย่างเป็นกอบเป็นกำ (ยังไม่รวมเรื่องที่พยายามตั้งใจวางแผนในการหลบเลี่ยงภาษีอย่างถูกต้องตามกฎหมาย) ซึ่งขณะเดียวกันเป็นการละเมิดการเข้าถึงข้อมูลส่วนบุคคลอย่างที่เจ้าของข้อมูลไม่มีโอกาสที่จะได้รับรู้และยินยอม

ดังนั้น การใช้งานโปรแกรมประเภทโซเชียลมีเดียจึงควรระมัดระวังในการป้อนข้อมูลเข้าระบบและควรศึกษา “สิทธิ” ของเราในการปรับแต่ง “Privacy Setting “ เพื่อป้องกันข้อมูลไม่ให้รั่วไหลหรือถูกนำไปใช้ประมวลผลในเชิงพาณิชย์โดยมิชอบ

ในขณะเดียวกันรัฐบาลไทยได้มีการศึกษา “GDPR” และปรับแก้ร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลให้มีความทันสมัยสอดคล้องกับ GDPR ในระดับหนึ่ง โดยองค์กรทั่วโลกที่มีความเกี่ยวข้องกับประชาชนในอียูกำลังวางกลยุทธ์ในการทำ GDPR Compliance Program

เราไม่ควรมอง GDPR เป็นต้นทุนหรืออุปสรรค แต่ควรมอง GDPR เป็นโอกาสทางธุรกิจ ที่จะทำให้ประเทศตนมีความได้เปรียบเหนือคู่แข่ง ด้วยการ Comply กับ GDPR โดยเฉพาะไทยเป็นเมืองท่องเที่ยว ควรปลุกจิตสำนึกเรื่องการคุ้มครองข้อมูลส่วนบุคคลให้ผู้ประกอบการต้องดูแลข้อมูลส่วนบุคคลทั้งชาวไทยและชาวต่างชาติ ให้เกิดความเข้าใจและเคารพสิทธิของลูกค้าในการเข้ามาใช้บริการ เป็นการสร้างความเชื่อมั่น แสดงให้เห็นถึงความจริงจัง ในเรื่อง “Data Privacy” และ “Data Governance” ทั้งในระดับประเทศและองค์กร

วันนี้ผู้บริหารองค์กรคงต้องมองข้ามช็อตเรื่องปัญหา GDPR Compliance ไม่ใช่เป็นแค่เพียงอุปสรรค หรือแค่เพียงเรื่อง “Compliance” แต่ให้มองเป็นโอกาส มองเป็น “Competitive Advantage” โอกาสสร้างงาน เพิ่มลูกค้า เพิ่มรายได้ให้กับองค์กรและประเทศชาติในที่สุด

ผู้บริหารองค์กรมีความจำเป็นต้องเตรียมตัวให้พร้อมรับกับการออกกฎหมาย พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ที่คาดว่าจะมีผลบังคับใช้ในปีหน้า ซึ่งยังมีหลายประเด็นที่ภาคเอกชนกังวล ได้แก่ การให้อำนาจรัฐในการตัดสินโทษทั้งโทษอาญาและโทษทางแพ่ง โครงสร้างของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล สำหรับโทษอาญานั้น มีความเห็นจากการทำ Public Hearing ว่าไม่ควรอยู่ในกฎหมายฉบับนี้
(ใน GDPR ไม่มีโทษอาญาแต่อย่างใด)

ข้อกังวลและข้อห่วงใยดังกล่าว จึงเห็นควรให้ภาครัฐควรมีการทบทวนร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลและฝ่ายประชาชนควรมีการติดตามและเตรียมตัวให้พร้อมรับกับการประกาศบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลที่จะมาถึงในระยะเวลาอีกไม่เกินหนึ่งปีนับจากวันนี้