กันยภัทร รัตนวิลาส เรื่อง
สิทธิในความเป็นส่วนตัวและการคุ้มครองข้อมูลส่วนบุคคล เป็นประเด็นที่อียูให้ความสำคัญอย่างเห็นได้ชัดในช่วงไม่กี่ปีหลังนี้ ไม่ว่าจะเป็นการตัดสินของศาลยุติธรรมแห่งสหภาพยุโรป (ECJ) ว่าข้อตกลงเกี่ยวกับการโอนข้อมูลข้ามประเทศ (Safe Harbour Agreement) ระหว่างอียูกับสหรัฐอเมริกาเป็นโมฆะ ซึ่งเป็นผลจากการเปิดโปงของ Edward Snowden หรือเรื่องสิทธิในการถูกลืม (the right to be forgotten) จากคดี Google Spain
ล่าสุดการออกกฎหมาย General Data Protection Regulation หรือที่เรียกกันย่อๆ ว่า ‘GDPR’ ก็เป็นความพยายามล่าสุดในการให้ความคุ้มครองสิทธิในความเป็นส่วนตัวและข้อมูลส่วนบุคคลอย่างรอบด้านของสหภาพยุโรป (อียู)
การออกกฎหมาย GDPR ไม่เพียงแต่มีนัยสำคัญต่อการคุ้มครองสิทธิในความเป็นส่วนตัวและข้อมูลส่วนบุคคลภายในอียูเท่านั้น แต่การตื่นตัวของภาคธุรกิจทั่วโลก รวมถึงประเทศไทย ต่อ GDPR เป็นตัวอย่างล่าสุดที่แสดงให้เห็นถึงการเป็นมหาอำนาจที่มีอิทธิพลต่อการกำหนดบรรทัดฐานหรือ Normative Power ของ อียู แม้ปกติกฎเกณฑ์ของอียูจะเป็นตัวอย่างในการออกกฎหมายของประเทศอื่นอยู่บ้างแล้ว แต่ขอบเขตการบังคับใช้ที่กว้างและครอบคลุมประเทศนอกอียูของ GDPR ก็ไปไกลกว่ากฎหมายตัวอื่นของอียู ทำให้เห็นภาพของความพยายามเป็น Normative Power ของอียูได้ชัดกว่ากรณีอื่น
Normative Power คืออะไร ?
Normative Power เป็นแนวคิดการมองบทบาทของอียูในฐานะที่เป็นตัวแสดงในความสัมพันธ์ระหว่างประเทศ (international actor) ที่แตกต่างจากบทบาทของมหาอำนาจอย่างสหรัฐอเมริกา เป็นแนวคิดที่ถูกหยิบยกขึ้นมาใช้โดย Ian Manners ในการอธิบายว่าอียูมีอิทธิพลในการสร้าง norm หรือกฎเกณฑ์ บรรทัดฐานต่างๆ ในความสัมพันธ์ระหว่างประเทศ
ที่จริงแล้ว มหาอำนาจอย่างสหรัฐอเมริกาก็มีบทบาทของการเป็น Normative Power เหมือนกัน แต่ Manners อธิบายว่าการเป็น Normative Power ของอียูแตกต่างจากรัฐอื่น ตรงที่ตัวอียูมีบริบทของการถือกำเนิดที่ตั้งอยู่บนเป้าหมายของการสร้างสันติภาพและเสรีภาพภายหลังจากสงครามโลกครั้งที่สอง โดยรัฐสมาชิกต่างตกลงเข้ามารวมตัวโดยมีหลักการพื้นฐานร่วมกัน (core norms) คือ สันติภาพ เสรีภาพ (liberty) ประชาธิปไตย หลักนิติธรรม และการเคารพสิทธิมนุษยชนและเสรีภาพขั้นพื้นฐาน
การยึดมั่นในหลักการ บรรทัดฐาน และคุณค่าร่วมกัน บวกกับการเป็นองค์กรระหว่างประเทศที่อยู่เหนือรัฐ (supranational) นี้ ทำให้อียูแตกต่างจากมหาอำนาจอย่างสหรัฐอเมริกาที่มีภาพของการเป็นมหาอำนาจทางทหาร มหาอำนาจทางเศรษฐกิจที่ไม่ยอมผูกมัดตนเองด้วยกฎหมายระหว่างประเทศ
Manners ยกตัวอย่างการผลักดันการยกเลิกโทษประหารชีวิตของอียูว่า แสดงถึงการเป็น Normative Power อย่างหนึ่ง โดยการยกเลิกโทษประหารชีวิตถูกผลักดันให้เป็นบรรทัดฐานร่วมกันในกลุ่มรัฐสมาชิกอียูเอง และเป็นเงื่อนไขของการเข้าเป็นสมาชิกในอียูสำหรับรัฐภายนอกด้วย ปัจจุบันอียูยังคงผลักดันให้ประเทศอื่นๆ ยกเลิกโทษประหาร โดยสำหรับกรณีประเทศไทยเอง เมื่อวันที่ 19 พฤษภาคมที่ผ่านมา อียูก็ได้มีแถลงการณ์เพื่อเรียกร้องให้ประเทศไทยงดเว้นและยกเลิกโทษประหารชีวิต หลังจากการลงโทษประหารชีวิตนายธีรศักดิ์ หลงจิ
ประเด็นเรื่องประชาธิปไตยและสิทธิมนุษยชนก็เป็นอีกเรื่องหนึ่งที่อียูผลักดันในฐานะ Normative Power ดังจะเห็นได้จากเรื่องใกล้ตัวอย่างการลดระดับความสัมพันธ์ระหว่างไทย-อียู นับตั้งแต่ปี 2557 เป็นต้นมา โดยแม้ล่าสุดอียูดูเหมือนจะมีท่าทางที่ตอบรับมากขึ้นจากการกลับมาติดต่อทางการเมืองและเตรียมกลับมาเจรจาทางการค้ากับรัฐบาลไทยอีกครั้ง อียูก็ยังยืนยันว่าการลงนามใน Partnership and Co-operation Agreement และการเจรจา FTA ที่ถูกระงับไปตั้งแต่ปี 2557 จะเกิดขึ้นต่อเมื่อมีรัฐบาลที่มาจากการเลือกตั้งเท่านั้น
มุมมอง Normative Power ของ Manners นั้น ในความเป็นจริงก็ถูกวิพากษ์วิจารณ์ว่าโลกสวยเกินไป เพราะเมื่อดูการกระทำของอียูในด้านนโยบายต่างประเทศแล้วก็จะเห็นได้ว่าการใช้ Normative Power ของอียูนั้นไม่ได้คงเส้นคงวาเสมอไป และเป็นเพียงปัจจัยหนึ่งในการตัดสินใจเชิงนโยบายเท่านั้น อีกทั้งการใช้อำนาจเพื่อสร้างอิทธิพลด้านการสร้าง norm ของอียู ไม่ได้อิงอยู่กับความยึดมั่นในกฎหลักการของอียูอย่างเดียว แต่ยังขึ้นอยู่กับผลประโยชน์ของอียูเอง และอิงอยู่กับการเป็นมหาอำนาจทางเศรษฐกิจ (Economic Power) ของอียูด้วย และ GDPR ก็เป็นตัวอย่างที่แสดงให้เห็นถึงการเอาอำนาจทางเศรษฐกิจของอียูมาต่อรองเพื่อผลักดันและสร้างบรรทัดฐานของตนเองได้อย่างดี
GDPR: จากการสร้างบรรทัดฐานภายใน
สู่การสร้างบรรทัดฐานภายนอก
ก่อนหน้า GDPR กฎหมายด้านการคุ้มครองข้อมูลส่วนบุคคลของอียูคือ Data Protection Directive (Directive 95/46/EC) ซึ่งกฎหมายประเภท Directive จะสร้างบรรทัดฐานที่ผูกมัดรัฐสมาชิกในแง่ของผลลัพธ์เท่านั้น แต่ไม่บังคับให้รัฐสมาชิกต้องใช้วิธีการเดียวกันในการบรรลุผลลัพธ์ดังกล่าว ส่วน GDPR เป็นกฎหมายประเภท Regulation ซึ่งมีรายละเอียดในลักษณะเดียวกันกับกฎหมายทั่วไปและมีผลบังคับใช้ในรัฐสมาชิกเหมือนกฎหมายภายในของประเทศนั้นๆ
GDPR แตกต่างจาก Regulation อื่นๆ ของอียูตรงที่มีขอบเขตการบังคับใช้ (territorial scope) กับผู้ประกอบธุรกิจนอกอียูด้วย โดยหากผู้ประกอบธุรกิจมีการประมวลผลข้อมูลส่วนบุคคลของบุคคลที่อยู่ในอียู และการประมวลผลนั้นเกี่ยวข้องกับการจัดหาสินค้าหรือให้บริการให้กับบุคคลที่อยู่ในอียู หรือเกี่ยวข้องกับการติดตามพฤติกรรมที่เกิดขึ้นในอียูของบุคคลที่อยู่ในอียู ก็ถือว่าอยู่ในขอบเขตของ GDPR เช่นกัน
ดังนั้น หากผู้ประกอบธุรกิจนอกอียูต้องการขายสินค้าหรือให้บริการในตลาดที่ใหญ่อย่างอียู ก็ต้องปฏิบัติตาม GDPR หากไม่ปฏิบัติตามก็อาจถูกหน่วยงานคุ้มครองข้อมูลส่วนบุคคลของประเทศนั้นๆ ดำเนินการเอาผิดได้
ที่จริงแล้วจุดประสงค์ของการมีผลบังคับใช้กับผู้ประกอบการนอกอียู คือการให้ความคุ้มครองสิทธิในความเป็นส่วนตัวและสิทธิในข้อมูลของประชาชนในอียูอย่างเต็มที่ เนื้อหา GDPR ไม่ได้บังคับให้ประเทศอื่นๆ ต้องออกกฎหมายให้เหมือนกับ GDPR แต่อีกมุมหนึ่ง ก็ปฏิเสธไม่ได้ว่า GDPR จะมีอิทธิพลต่อการกำหนดมาตรการทางกฎหมายในด้านการคุ้มครองข้อมูลส่วนบุคคลในประเทศอื่น โดยเฉพาะเมื่อคำนึงว่าการต้องปฏิบัติตามกฎระเบียบหลายตัว ย่อมเป็นการเพิ่มต้นทุนการดำเนินการของภาคธุรกิจ ประกอบกับปัจจุบันที่เทคโนโลยีสามารถช่วยให้เกิดการค้าขายและให้บริการข้ามประเทศอย่างง่ายดาย ผู้ประกอบการอาจต้องปฏิบัติตามกฎระเบียบของหลายประเทศ หากหลายๆ ประเทศใช้มาตรฐานเดียวกัน ก็จะทำให้ผู้ประกอบการลดต้นทุนของตัวเองได้และเพิ่มประสิทธิภาพในการแข่งขัน
ดังนั้น การเลือกกำหนดมาตรการทางกฎหมายด้านการคุ้มครองข้อมูลส่วนบุคคลให้เป็นไปแนวทางเดียวกันกับ GDPR ก็เป็นแนวทางที่น่าเลือกทางหนึ่ง
แม้ GDPR จะไม่ได้บังคับให้ประเทศนอกอียูต้องมีมาตรการคุ้มครองข้อมูลส่วนบุคคลเหมือนอียู แต่ GDPR (รวมถึง Data Protection Directive ตัวเก่า) ก็มีสิ่งที่อาจจูงใจให้ประเทศนอกอียูปรับกฎระเบียบให้อยู่ในระดับใกล้เคียงกับอียูได้ ผ่านทาง adequacy decision คือการอนุญาตให้ผู้ควบคุมและประเมินผลข้อมูล สามารถโอนข้อมูลส่วนบุคคลไปยังประเทศนอกอียูบางประเทศได้ ก็คือประเทศที่คณะกรรมาธิการยุโรป (European Commission) วินิจฉัยว่าประเทศนั้นมีการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ
ปัจจุบัน มีประเทศนอกอียูจำนวน 12 ประเทศที่คณะกรรมาธิการยุโรปยอมรับว่ามีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ และขณะนี้กำลังพิจารณาว่าจะให้ adequacy decision กับประเทศญี่ปุ่นและเกาหลีใต้อยู่ด้วย
นอกจากนี้ ยังมีความเป็นไปได้อีกเช่นกันที่อียูจะหยิบประเด็นเรื่องการคุ้มครองข้อมูลส่วนบุคคลมาเป็นเงื่อนไขในการเจรจาทางการค้าด้วย โดยล่าสุดคณะกรรมาธิการยุโรปได้เผยแพร่ข้อกำหนดที่อาจนำไปใส่ไว้ใน FTA ในอนาคต ซึ่งข้อกำหนดนี้มีรายละเอียดเป็นการรับประกันการถ่ายโอนข้อมูลอย่างเสรีระหว่างกัน (free flow of data) ขณะเดียวกันก็เป็นการกำหนดให้การถ่ายโอนข้อมูลส่วนบุคคลนั้นต้องเป็นไปตาม GDPR
GDPR และการสร้าง ‘ตลาดดิจิทัลเดียวกัน’
ของอียู
GDPR เป็นส่วนหนึ่งของนโยบายการสร้าง ‘ตลาดดิจิทัลเดียวกัน’ หรือ Digital Single Market (DSM) ของอียู DSM เป็นการต่อยอดการรวมตัวทางเศรษฐกิจของสมาชิกอียูให้เข้ากับโลกดิจิทัล จากเดิมที่หัวใจของการเป็นตลาดเดียวกัน (common market/single market) คือการเคลื่อนไหวเสรีของสินค้า บริการ เงินทุน และแรงงาน (free movements of goods, services, capital and persons) ในโลกปัจจุบันที่กลายเป็นโลกดิจิทัล การเคลื่อนไหวของข้อมูลจึงกลายเป็นปัจจัยสำคัญที่จะทำให้การขายสินค้าและให้บริการทางออนไลน์เป็นไปอย่างเสรีโดยแท้จริง
การเคลื่อนไหวเสรีของข้อมูล (free movement of data) มีการแยกระหว่างข้อมูลที่ไม่ใช่ข้อมูลส่วนบุคคล (non-personal data) และข้อมูลส่วนบุคคล
สำหรับข้อมูลที่ไม่ใช่ข้อมูลส่วนบุคคลจะสามารถเคลื่อนย้ายถ่ายโอนได้อย่างเสรี ไม่มีข้อจำกัด ไม่ว่าจะเป็นข้อจำกัดอย่างเช่นการกำหนดให้ต้องเก็บข้อมูลไว้ในประเทศใดประเทศหนึ่ง (localization) หรือการทำให้ผู้ใช้บริการเลือกเปลี่ยนผู้ให้บริการได้ยาก ซึ่ง Regulation ในเรื่องการถ่ายโอนข้อมูลที่ไม่ใช่ข้อมูลส่วนบุคคล ยังอยู่ในระหว่างการเตรียมการของอียู
สำหรับข้อมูลส่วนบุคคลซึ่งถูกกำกับดูแลตาม GDPR นับเป็นข้อมูลที่มีผลกระทบต่อสิทธิในความเป็นส่วนตัว จึงจำเป็นต้องมีการกำหนดกฎเกณฑ์ที่เข้มงวดกว่าข้อมูลทั่วไป เพื่อคุ้มครองความเป็นส่วนตัวให้เจ้าของข้อมูล และเพื่อให้ผู้บริโภคเกิดความมั่นใจในการใช้บริการทางออนไลน์
การที่อียูออกกฎในระดับ Regulation มาบังคับใช้ในเรื่องนี้ จะทำให้ผู้ให้บริการทั่วทั้งอียูอยู่ภายใต้กฎเดียวกันและไม่มีข้อได้เปรียบหรือเสียเปรียบในด้านภาระของการปฏิบัติตามกฎระเบียบต่อกัน ซึ่งการกำจัดกำแพงทางกฎระเบียบก็เป็นหลักการสำคัญอีกหลักการหนึ่งของการสร้างตลาดเดียวของอียูเสมอมา
เสียงวิพากษ์ต่อ GDPR
แม้ GDPR จะถูกยกให้เป็นมาตรฐานขั้นสูงของการคุ้มครองข้อมูลส่วนบุคคล แต่ก็มีเสียงวิพากษ์วิจารณ์ต่อกฎหมายฉบับนี้เช่นกัน
ประการแรก การปฏิบัติตาม GDPR จะเพิ่มต้นทุนในการดำเนินงานให้กับบริษัทต่างๆ ซึ่งในจุดนี้บริษัทใหญ่จะได้เปรียบเพราะมีทรัพยากรมากกว่าบริษัทเล็ก ไม่ว่าจะเป็นด้านงบประมาณหรือกำลังคน
ประการที่สอง GDPR ยังมีข้อยกเว้นในกรณีที่ภาครัฐเป็นผู้ประมวลผลข้อมูลส่วนบุคคล เช่น การยกเว้นจากข้อกำหนดที่ว่าการประมวลผลเพื่อผลประโยชน์อันชอบธรรมของผู้ควบคุมข้อมูลหรือบุคคลที่สามจะกระทำได้ ต่อเมื่อผลประโยชน์อันชอบธรรมนั้นไม่ถูกตีตกไปโดยผลประโยชน์หรือสิทธิเสรีภาพขั้นพื้นฐานของเจ้าของข้อมูล (Article 6(1) subparagraph 2) ฝ่ายสนับสนุนสิทธิในความเป็นส่วนตัวบางส่วนมองว่า GDPR ยังคุ้มครองประชาชนจากการการกระทำของรัฐได้ไม่ดีพอ
ประการที่สาม สิทธิในการถูกลืมหรือสิทธิในการขอให้ลบข้อมูลส่วนบุคคลของตนในคดี Google v. Spain ที่ถูกนำมาบัญญัติใน GDPR ก็มีเสียงวิพากษ์ว่าสุ่มเสี่ยงที่จะกระทบเสรีภาพในการแสดงความคิดเห็น สิทธิในการได้รับข้อมูล และเสรีภาพของสื่อมวลชนเกินควร
อย่างไรก็ดี GDPR ก็ให้อำนาจรัฐสมาชิกในการออกกฎหมายภายใน เพื่อกำหนดข้อยกเว้นสำหรับการประมวลผลข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ในการทำข่าว ด้านวิชาการ ศิลปะ หรือวรรณคดี (Article 85) ซึ่งจะทำให้มีการชั่งน้ำหนักระหว่างสิทธิในความเป็นส่วนตัวและเสรีภาพในการแสดงความคิดเห็น สิทธิในการได้รับข้อมูล หรือเสรีภาพของสื่อมวลชนได้
นอกจากนี้ เมื่อดูในภาพรวม แม้ GDPR จะกำหนดรับรองสิทธิในการได้รับความคุ้มครองข้อมูลส่วนบุคคลและสิทธิในความเป็นส่วนตัวที่ครอบคลุมหลายด้าน แต่ก็ยังมีความไม่แน่ชัดว่าจะมีการใช้บังคับกฎหมายอย่างไรหรือจะได้ผลมากน้อยแค่ไหน การประเมินผลสำเร็จหรือข้อดีข้อเสียของ GDPR จึงยังคงต้องใช้เวลาอีกพักใหญ่
GDPR และกฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศไทย
ประเทศไทยเองก็กำลังจะมีการพิจารณากฎหมายคุ้มครองข้อมูลส่วนบุคคลเช่นกัน โดยเมื่อวันที่ 22 พฤษภาคมที่ผ่านมา รัฐบาลได้อนุมัติหลักการร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. …. ทางกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมกล่าวว่ากฎหมายฉบับนี้จะสอดคล้องกับ GDPR และจากตัวร่างที่เผยแพร่โดยสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (สพธอ.) ก็มีการกำหนดหลักการและสิทธิหน้าที่หลายประการในลักษณะคล้ายคลึงกันกับหลักการและสิทธิหน้าที่ตาม GDPR เช่น การกำหนดให้การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล (ร่างมาตรา 17 กับเรื่อง consent) สิทธิของเจ้าของข้อมูลส่วนบุคคลในการขอเข้าถึงข้อมูลส่วนบุคคลที่เกี่ยวกับตน (ร่างมาตรา 26 กับ the right of access) สิทธิในการขอให้ผู้ควบคุมข้อมูลส่วนบุคคลลบข้อมูลส่วนบุคคล (ร่างมาตรา 27 กับ the right to erasure) สิทธิในการขอให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการให้ข้อมูลถูกต้อง เป็นปัจจุบัน สมบูรณ์ (ร่างมาตรา 28 กับ the right to rectification) ซึ่งความคล้ายคลึงเหล่านี้ก็แสดงให้เห็นถึงอิทธิพลของ GDPR ต่อกฎหมายไทยได้ในระดับหนึ่ง
อย่างไรก็ตาม ยังคงมีหลักการและสิทธิสำคัญบางเรื่องใน GDPR ที่ไม่ปรากฏในร่างพรบ.คุ้มครองข้อมูลส่วนบุคคลฯ เช่น เงื่อนไขเกี่ยวกับการให้ความยินยอม ว่าการขอความยินยอมจะต้องมีลักษณะที่แยกออกจากเรื่องอื่นในเอกสารอย่างชัดแจ้ง มีรูปแบบที่เข้าใจและเข้าถึงได้ง่าย และใช้ภาษาที่เข้าใจง่าย (Article 7(2)) หรือว่าเกณฑ์ในการพิจารณาว่าเจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมอย่างเสรีหรือไม่ ที่จะต้องดูว่าการให้ความยินยอมถูกผูกเป็นเงื่อนไขในการปฏิบัติตามสัญญาหรือการให้บริการของผู้ควบคุมข้อมูลหรือไม่ (Article 7(4)) หรือสิทธิในการขอย้ายข้อมูลไปให้ผู้ควบคุมข้อมูลส่วนบุคคลรายอื่น (the right to data portability ตาม Article 20)
ประเด็นเรื่องสิทธิในความเป็นส่วนตัวและการคุ้มครองข้อมูลส่วนบุคคลเป็นเรื่องหนึ่งที่อียูยกเป็นเรื่องสำคัญ และมาตรฐานของอียูก็ถือว่าเป็นมาตรฐานขั้นสูงในด้านนี้มาหลายปีแล้ว ตัว GDPR เองคงจะยังเป็นมาตรฐานขั้นสูงในเรื่องนี้ต่อไป ซึ่งทางอียูเองก็ได้กล่าวถึงความคาดหวังที่จะให้ GDPR เป็นมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลของโลก และจากตัวอย่างร่างพรบ.คุ้มครองข้อมูลส่วนบุคคลฯ ของไทยเองก็แสดงให้เห็นถึงอิทธิพลจากกฎหมายของอียูในหลายรายละเอียด
แต่ท้ายที่สุดแล้ว GDPR จะเป็นตัวอย่างต่อไปของการเป็น Normative Power ของอียูได้มากน้อยแค่ไหน เป็นเรื่องที่ต้องจับตาดูกันต่อไป
อ่านเพิ่มเติมเกี่ยวกับแนวคิด Normative Power
Manners, I. (2002), Normative Power Europe: A Contradiction in Terms?. JCMS: Journal of Common Market Studies, 40: 235-258.
Normative Power Europe in a Changing World: A Discussion / A. Gerrits (ed.), L. Aggestam, I. Manners, T. Romanova, A. Toje, Y. Wang – The Hague, Netherlands Institute of International Relations Clingendael.
Clingendael European Papers No. 5.
หมายเหตุ
บทความนี้เป็นความเห็นส่วนตัวทางวิชาการของผู้เขียนและไม่ใช่ความเห็นของบริษัท วัตสัน ฟาร์ลี แอนด์ วิลเลียมส์ (ไทยแลนด์) จำกัด ที่ผู้เขียนทำงานอยู่