อิบรอเฮ็ม มะโซะ – ภาพถ่าย
“ข้อมูลมีค่าดั่งน้ำมันดิบ” คือประโยคที่สะท้อนความจริงแท้ในโลกยุคดิจิทัล ที่ธุรกิจหรือองค์กรไหนๆ ต่างล้วนต้องการเก็บรวบรวม ‘ข้อมูล’ ของคนให้ได้มากที่สุด เพื่อนำไปต่อยอดในการพัฒนาคุณภาพสินค้าและบริการให้ตอบโจทย์ผู้บริโภค หรือเพื่อประสิทธิภาพในการบริหารจัดการของรัฐในบางเรื่อง แต่ปัญหาคือข้อมูลเหล่านั้นจำนวนมากเป็น ‘ข้อมูลส่วนบุคคล’ ซึ่งไม่ใช่ทุกคนที่อยากให้ข้อมูลส่วนตัวบางอย่างของเราอยู่ในการครอบครองของคนอื่น จึงจำเป็นอย่างยิ่งสำหรับคนทั่วโลกในยุคสมัยนี้ที่จะต้องได้รับหลักประกันว่า ข้อมูลส่วนบุคคลของเราจะได้รับการคุ้มครอง กลายเป็นที่มาของกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่ทยอยเกิดขึ้นในหลายประเทศทั่วโลก
สำหรับประเทศไทย พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือที่รู้จักกันในชื่อ ‘กฎหมาย PDPA’ (Personal Data Protection Act) เพิ่งจะมีผลบังคับใช้อย่างเต็มรูปแบบเมื่อวันที่ 1 มิถุนายนที่ผ่านมา ซึ่งถือได้ว่าเป็นย่างก้าวอันสำคัญของประเทศไทยในการมีกฎหมายที่เป็นหลักประกันสิทธิคุ้มครองข้อมูลส่วนบุคคลที่เทียบเท่าระดับสากล และเป็นหมุดหมายให้ทุกฝ่าย ไม่ว่าจะเป็นภาครัฐ เอกชน และประชาชน ต้องปรับตัวปรับพฤติกรรมให้สอดรับกับมาตรฐานใหม่ที่เกิดขึ้น
แม้กฎหมาย PDPA จะเป็นประโยชน์อย่างยิ่งต่อทุกคนทุกฝ่ายในสังคมไทยอย่างปฏิเสธไม่ได้ แต่เมื่อสำรวจรายละเอียดในตัวบทกฎหมายอย่างถี่ถ้วน กลับพบว่ายังมีรูโหว่แอบซ่อนที่อาจทำให้ในท้ายที่สุดแล้ว ความคุ้มครองในข้อมูลส่วนบุคคลบางเรื่องที่ประชาชนควรได้รับ ค่อยๆ ถูกพรากหายไปทีละน้อย ยิ่งไปกว่านั้นยังมีแนวโน้มสูงว่ากฎหมาย PDPA ของไทยอาจถูกนำไปปฏิบัติหรือเน้นย้ำในแง่มุมทางอาญาอย่างมากเกินจริง จนเป็นภาพจำว่ากฎหมาย PDPA มีไว้ใช้ไล่จับคนมากกว่าที่จะทำหน้าที่คุ้มครองข้อมูลส่วนบุคคล
กฎหมาย PDPA สำคัญกับประเทศไทยอย่างไร อะไรที่เราต้องรู้ ต้องเตรียมตัวบ้าง และรายละเอียดตรงไหนของกฎหมายที่เป็นไปได้ว่าอาจนำไปสู่ปัญหาในอนาคต 101 ชวน อาทิตย์ สุริยะวงศ์กุล กรรมการมูลนิธิเพื่ออินเทอร์เน็ตและวัฒนธรรมพลเมือง มาพูดคุยในเรื่องนี้
ถ้าจะต้องอธิบายถึงกฎหมาย PDPA แบบเข้าใจง่ายๆ ให้กับคนที่ไม่ได้มีความรู้พื้นฐานเรื่องนี้มาก่อน คุณจะอธิบายมันอย่างไร และการมีกฎหมายนี้สำคัญอย่างไรกับคนไทย
พูดถึงการคุ้มครองข้อมูลส่วนบุคคล เรามองว่ามันเป็นส่วนหนึ่งของการพิทักษ์สิทธิพลเมือง คือเรากำลังพูดถึงสิ่งที่เรียกว่า ‘อำนาจ’ อยู่ โดยอำนาจในที่นี้คืออำนาจในการควบคุมชีวิตของตัวเราเอง หลักการคือคนเราต้องสามารถตัดสินใจได้ด้วยตัวเองว่าเราอยากจะใช้ชีวิตแบบไหนโดยไม่ถูกเลือกปฏิบัติ โดยที่รัฐบาลอาจจะช่วยสนับสนุนในบางเรื่อง ถามว่ามันเกี่ยวข้องกับข้อมูลอย่างไร ต้องอธิบายอย่างนี้ว่า การที่เราจะตัดสินใจเรื่องใดเรื่องหนึ่งได้ดี เราก็ต้องมีข้อมูลของเรื่องนั้นๆ ก่อนใช่ไหม สมมติเราจะซื้อรถสักคัน เราก็ต้องศึกษาข้อมูลก่อน อ่านรีวิวก่อน เราก็จะสามารถเลือกรถที่เหมาะกับตัวเองได้มากขึ้น ยิ่งเรามีข้อมูลมาก ก็จะยิ่งตัดสินใจเรื่องนั้นๆ ได้ดีขึ้น สามารถควบคุมเรื่องนั้นได้ดีขึ้น มีอำนาจในเรื่องนั้นมากขึ้น
แล้วถ้าเราคิดอีกด้านหนึ่ง ถ้าเกิดมีใครก็ตามที่มีข้อมูลเกี่ยวกับตัวเราเยอะ คนนั้นก็จะตัดสินใจเกี่ยวกับชีวิตของเราได้ดีขึ้น ถ้าคนนั้นเป็นตัวเราเองก็ดีไป เพราะเราก็จะควบคุมจัดการชีวิตตัวเองได้ดีขึ้น แต่ปัญหาคือถ้าเป็นคนอื่นที่รู้ข้อมูลส่วนตัวเราอยู่เหมือนกัน เขาคนนั้นก็จะตัดสินใจและควบคุมชีวิตของเราได้เช่นกัน คำถามคือเรายินดีหรือเปล่าที่จะให้คนคนนั้นตัดสินใจแทนเราในเรื่องที่มีผลกับชีวิตของเรา เช่น ใช้ข้อมูลเรามาตัดสินใจว่าเราควรได้รับทุนการศึกษาหรือเปล่า ควรถูกรับเข้าทำงานที่นี่หรือเปล่า หรือควรได้ทำประกันหรือเปล่า เรื่องเหล่านี้กระทบชีวิตเรานะ ตกลงแล้วเรามีอำนาจที่จะควบคุมชีวิตตัวเองไหม หรือเป็นคนอื่นที่มีอำนาจ
เรื่องสิทธิและความเป็นส่วนตัว รวมถึงเรื่องการจะไม่ถูกเลือกปฏิบัติต่างๆ เป็นสิทธิที่รัฐธรรมนูญไทยรับรองไว้อยู่แล้ว เพียงแต่ตัวรายละเอียดกฎหมาย กระบวนการ และการดำเนินการที่จะทำให้สิ่งเหล่านั้นเป็นจริง อาจจะยังไม่เพียงพอ
มันอาจจะมีอยู่บ้างในกฎหมายที่เรามีมาก่อนหน้านี้ เช่น เรื่องการคุ้มครองความเป็นส่วนตัวในระบบโทรคมนาคม เรามีกฎหมายที่ กสทช. (คณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติ) เป็นผู้กำกับดูแลอยู่ แต่ก็เป็นการคุ้มครองเฉพาะผู้บริโภคในกิจการโทรคมนาคมเท่านั้น หรือว่าถ้าพูดถึงเรื่องการคุ้มครองความเป็นส่วนตัวในกิจการด้านสุขภาพ เราก็มี พ.ร.บ. สุขภาพแห่งชาติ และระเบียบต่างๆ ที่เกี่ยวข้องกำกับอยู่ แต่ก็เป็นการคุ้มครองเฉพาะผู้รับบริการด้านสุขภาพ กฎหมายพวกนี้มีรายละเอียดที่เกี่ยวข้องกับข้อมูลส่วนบุคคลอยู่เหมือนกัน แต่กลับไม่ได้มีกฎหมายไหนเลยที่ลงรายละเอียดว่าจะต้องดำเนินการอย่างไร สิทธิในการอุทธรณ์ ร้องเรียน และเยียวยาเป็นอย่างไร แล้วแต่ละอุตสาหกรรมก็มีรายละเอียดวิธีการที่ต่างกันออกไปอีก พูดอีกอย่างคือมันไม่มีแนวปฏิบัติในเรื่องการคุ้มครองข้อมูลส่วนบุคคลที่สม่ำเสมอทั่วถึงกันในทุกกิจการ
ในสภาพความเป็นจริง การให้บริการจากรัฐหรือบริษัทไหนก็ตาม มีการโอนข้ามกิจการกันไปมามากมาย หรือบางบริษัทก็ไม่ได้ทำกิจการแค่รูปแบบเดียว พอเราไม่มีการปฏิบัติในการคุ้มครองส่วนบุคคลของแต่ละกิจการที่เหมือนกัน การคุ้มครองจึงลำบาก กลายเป็นภาระของบริษัทและหน่วยงานต่างๆ ที่ต้องทำตามกฎหมายหลายฉบับ ขณะที่ประชาชนเองก็ลำบาก เพราะต้องไปร้องเรียนกับผู้กำกับดูแลหลายเจ้าตามกฎหมายแต่ละฉบับ ดังนั้นการทำกฎหมายกลางในเรื่องการคุ้มครองข้อมูลส่วนบุคคลจึงเป็นเรื่องจำเป็นมากขึ้นเรื่อยๆ เราเลยต้องมีกฎหมาย PDPA ออกมา ซึ่งเป็นกฎหมายที่คุ้มครองข้อมูลส่วนบุคคลแบบทั่วไป สม่ำเสมอ และข้ามกิจการ คือข้อมูลเราได้รับการคุ้มครองเสมอกันไม่ว่าอยู่ภายใต้กิจการรูปแบบไหนก็ตาม ซึ่งถือว่าเป็นผลดีกับทุกฝ่าย
กว่าที่กฎหมาย PDPA จะได้บังคับใช้เมื่อวันที่ 1 มิถุนายนที่ผ่านมา มันมีการถูกเลื่อนบังคับใช้มาแล้วหลายครั้ง ปัญหาที่ทำให้การใช้กฎหมายตัวนี้ล่าช้าเกิดจากอะไรกันแน่
จริงๆ ต้องถามว่าเลื่อนมาจากสมัยไหน คือเวลาบอกว่าเลื่อนมาแล้วสองครั้ง เราหมายถึงตัวกฎหมายฉบับที่ใช้กันอยู่ปัจจุบันนี้นะ แต่ว่าจริงๆ ความพยายามในการร่างกฎหมายคุ้มครองข้อมูลส่วนบุคคลมีมานานมากแล้ว ถ้าย้อนกลับไปไกลๆ ก็ตั้งแต่สมัยอดีตนายกฯ ทักษิณ ชินวัตร ที่ตอนนั้น NECTEC (ศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ) ภายใต้ สวทช. (สำนักงานพัฒนาวิทยาศาสตร์และเทคโนโลยีแห่งชาติ) มาช่วยร่างกฎหมายเกี่ยวข้องกับกิจการดิจิทัลและคอมพิวเตอร์ต่างๆ
ตอนนั้นกฎหมายคุ้มครองข้อมูลส่วนบุคคลเป็นหนึ่งในกฎหมายประมาณ 6 ฉบับที่มาคู่กันกับกฎหมายอย่างเช่น พ.ร.บ. คอมพิวเตอร์ หรือ พ.ร.บ. ธุรกรรมอิเล็กทรอนิกส์ กฎหมายพวกนี้เข้าสู่สภาแล้วในชั้นต้นๆ แต่ก็ยังไม่ผ่านด้วยเหตุผลอะไรบางอย่าง ต่อมาหลังเกิดรัฐประหาร 2549 กฎหมายฉบับหนึ่งในชุดนั้นที่ถูกเร่งออกมาก่อนชาวบ้านก็คือ พ.ร.บ. คอมพิวเตอร์ พ.ศ. 2550 ที่ร่างมาตั้งแต่ก่อนรัฐประหาร คือว่าง่ายๆ กฎหมายส่วนที่เป็นเรื่องการคุ้มครองไม่ได้ถูกรีบเร่งให้ออกมาใช้มากนัก แต่กฎหมายส่วนที่เป็นเรื่องการกำหนดโทษทางอาญา การควบคุมต่างๆ ในการใช้คอมพิวเตอร์ อย่าง พ.ร.บ. คอมพิวเตอร์ ถูกเลือกให้ผ่านออกมาก่อน ซึ่งก็น่าสนใจมาก เพราะมันเป็นกฎหมายฉบับแรกที่ สนช. (สภานิติบัญญัติแห่งชาติ) ในสมัยนั้นผ่านออกมา
หลังจากนั้นก็ยังมีความพยายามในการเสนอกฎหมายคุ้มครองข้อมูลส่วนบุคคลออกมาเรื่อยๆ เช่น สมัยของอภิสิทธิ์ เวชชาชีวะ ก็มีอีกฉบับหนึ่งที่เข้าสู่การพิจารณาของสภาในชั้นต้นๆ แต่สุดท้ายก็มีการยุบสภา แล้วช่วงนั้นการเมืองก็ไม่แน่นอน มียุบสภาบ้าง มีรัฐประหารบ้าง กฎหมายนี้เลยไม่ได้ออกมาสักที แต่ระหว่างนั้นกฎหมายพี่ๆ น้องๆ ของมันก็ทยอยออกมาแล้ว อย่าง พ.ร.บ.ธุรกรรมอิเล็กทรอนิกส์ และ พ.ร.บ. ความมั่นคงปลอดภัยทางไซเบอร์ เหลือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลเป็นตัวสุดท้ายที่ยังไม่ออกมา
แต่จนถึงจุดหนึ่งมันก็เลี่ยงไม่ได้ที่เราต้องมีกฎหมายตัวนี้ อาจจะไม่ใช่ว่าเขาคิดเรื่องสิทธิเสรีภาพหรือการคุ้มครองพลเมือง แต่เป็นเพราะในระบบเศรษฐกิจดิจิทัล กฎหมายนี้เป็นเรื่องที่เลี่ยงไม่ได้ อย่างที่ผมพูดไปแล้วว่าการประทวลผลข้อมูลข้ามกิจการ จำเป็นต้องได้รับการคุ้มครองภายใต้มาตรฐานเดียวกัน ไม่อย่างนั้นก็จะเกิดความสับสนวุ่นวาย แล้วต้องอย่าลืมว่าการโอนข้อมูลมีการทำข้ามประเทศกันด้วย ถ้าประเทศต้นทางที่เป็นเจ้าของข้อมูลรู้สึกว่าประเทศปลายทางไม่มีมาตรฐานการคุ้มครองข้อมูลที่เทียบเท่ากับเขา เขาก็จะเกิดความกังวลว่าจะโอนข้อมูลมาดีไหม ถ้าเราไม่ได้มาตรฐาน เขาก็เลือกไปเก็บข้อมูลไว้ประเทศอื่นที่มีมาตรฐานยอมรับได้ดีกว่า สำหรับประเทศไทยเอง ที่ผ่านมาเราใช้วิธีทำสัญญากับต่างประเทศเป็นคราวๆ ไป เพื่อรับรองว่าเราจะคุ้มครองข้อมูลตามมาตรฐานในสัญญานี้ โดยที่หากเกิดอะไรขึ้นมา เราจะเป็นผู้รับผิดชอบเอง ตรงนี้ก็ช่วยให้ประเทศต้นทางสบายใจขึ้น แต่การร่างสัญญาขึ้นมาแต่ละครั้งก็วุ่นวาย มันง่ายกว่าถ้าเรามีกฎหมายทั่วไปขึ้นมา
ภาคธุรกิจของไทยเองก็รู้ดีว่าถ้าไม่มีกฎหมายฉบับนี้ การแข่งขันในเรื่องการประมวลผลข้อมูลส่วนบุคคลก็จะทำได้ลำบาก นี่เลยเป็นแรงผลักดันหนึ่งให้มีกฎหมายฉบับนี้เกิดขึ้นมา สุดท้ายตัวกฎหมายก็ประกาศลงในราชกิจจานุเบกษาปี 2562 โดยให้มีผลบังคับใช้ 1 ปีหลังจากนั้น ก็คือวันที่ 27 พฤษภาคม 2563 แต่ปรากฏว่าช่วงประมาณมีนาคม 2563 เกิดวิกฤตโควิด-19 ภาคธุรกิจจำนวนหนึ่งก็มองว่า ธุรกิจกำลังย่ำแย่อยู่ ถ้ามายุ่งกับการเตรียมการเรื่อง PDPA อีก ก็จะวุ่นวายเหมือนกัน แล้วมันก็มีภาระค่าใช้จ่ายด้วย ทำให้ภาคธุรกิจรวมตัวกันเคลื่อนไหวเรียกร้องให้รัฐบาลเลื่อนบังคับใช้กฎหมายนี้ จึงมีการเลื่อนออกไปจริง
แต่ประเด็นก็คือ กฎหมายประกาศไปแล้วในราชกิจจานุเบกษาว่าจะบังคับใช้วันไหน จริงๆ แล้วมันเลื่อนไม่ได้ แต่สุดท้ายเขาก็หาช่องโดยใช้มาตรา 4 ของ พ.ร.บ. ฉบับนี้ ที่อนุญาตให้รัฐมนตรีประจำกฎหมายฉบับนี้สามารถออกระเบียบยกเว้นการบังคับใช้กฎหมายฉบับนี้กับกิจการใดๆ เพราะฉะนั้น สิ่งที่เขาทำจึงไม่เชิงว่าเป็นการเลื่อนใช้กฎหมายเสียทีเดียว เพราะกฎหมายมันบังคับไปแล้ว แต่เขาไปยกเว้นว่าให้กิจการใน 22 รายการนี้ไม่ต้องอยู่ใต้บังคับกฎหมายเป็นเวลา 1 ปี ซึ่งถ้าเราไปไล่ดู 22 กิจการนี้ ก็จะพบว่ามันก็คือทุกอย่างเกี่ยวกับชีวิตเรา เพราะฉะนั้นในทางกฎหมายจริงๆ มันมีผลบังคับใช้มาตั้งแต่ 27 พฤษภาคม 2563 แล้ว แต่ในทางปฏิบัติยังไม่เกิดขึ้นจริง แล้วพอถึงต้นปี 2564 เขาก็ขยายการยกเว้นนี้ออกไปอีก 1 ปี แต่ว่าสุดท้ายก็ไม่มีการเลื่อนต่อ ทำให้กฎหมายฉบับนี้ได้บังคับใช้จริงจังเมื่อ 1 มิถุนายน 2565 ที่ผ่านมา
เหตุผลที่เลื่อนเกี่ยวกับการที่ภาครัฐจำเป็นต้องเข้าถึงข้อมูลส่วนบุคคลของประชาชนบางอย่างในช่วงโควิด-19 ด้วยหรือไม่ อย่างเช่นประวัติการเดินทาง
ถามว่าเกี่ยวไหม ก็อาจจะเกี่ยว แต่ว่าจริงๆ แล้ว พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ให้อำนาจกับหน่วยงานที่ต้องดูแลเรื่องสุขภาพสามารถใช้ข้อมูลเหล่านั้นอยู่แล้ว ถ้ามีความจำเป็น ดังนั้นผมคิดว่าถ้าจะอ้างเรื่องโควิด-19 ว่าจำเป็นต้องใช้ข้อมูลสำหรับมาตรการเกี่ยวกับสุขภาพ ก็อาจจะเป็นการอ้างที่ไม่สมเหตุสมผลเท่าไร เพราะกฎหมายคุ้มครองข้อมูลส่วนบุคคลเป็นเรื่องการชั่งน้ำหนักการใช้ข้อมูลส่วนบุคคลกับประโยชน์สาธารณะ ไม่ได้เป็นเรื่องการห้ามใช้ข้อมูลส่วนบุคคล ถ้ามันมีกรณีที่จำเป็นจริงๆ ที่เป็นประโยชน์ต่อสาธารณะ จนเป็นเหตุให้สามารถจำกัดสิทธิเสรีภาพของบุคคลได้ กฎหมายก็อนุญาตให้ทำได้ ซึ่งเป็นคอนเซปต์ทั่วๆ ไปของสิทธิตามรัฐธรรมนูญอยู่แล้ว
สิทธิเสรีภาพมี 2 ลักษณะ คือลักษณะสมบูรณ์ กับลักษณะสัมพัทธ์ สิทธิโดยสมบูรณ์คือสิทธิที่ล่วงละเมิดไม่ได้ และไม่สามารถอ้างเรื่องประโยชน์สาธารณะได้ ซึ่งมีอยู่น้อยมาก ตัวอย่างเช่น เสรีภาพในการคิด คือเราคิดอยู่ในหัวเฉยๆ ยังไม่ได้พูด ไม่ได้ทำออกมา เขาก็มาห้ามเราไม่ได้ แต่สิทธิโดยสัมพัทธ์ ก็อย่างเช่นเสรีภาพในการพูด มันมีข้อจำกัดบางอย่าง เช่น ห้ามคำพูดนี้เพราะนำไปสู่ความโกลาหลวุ่นวายหรือกระทบกับความปลอดภัยของสาธารณะ สิทธิเหล่านี้จึงมีข้อจำกัดอยู่บ้าง การคุ้มครองข้อมูลส่วนบุคคลก็เช่นกัน อย่างในมาตรา 24 ก็ระบุว่าการยกเว้นสามารถใช้ได้ในกรณีไหนบ้าง เช่น เพื่อความจำเป็นในการปฏิบัติหน้าที่ หรือเพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูลส่วนบุคคล
ต่อให้เรามี พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลประกาศใช้มาตั้งแต่ 10 ปีที่แล้ว แล้วอยู่ๆ วันหนึ่งเกิดโรคระบาดขึ้นมาอย่างโควิด-19 พ.ร.บ.นี้ก็ไม่ได้เป็นอุปสรรคใดๆ ต่อการบริหารจัดการความเสี่ยงในการป้องกันโรค เพราะเขามีการคิดเอาไว้แล้วในชั้นการร่างกฎหมาย กรรมาธิการต่างๆ ก็มีทั้งหมอและนักการสาธารณสุขจำนวนหนึ่งที่เข้าไปให้ความเห็นและร่วมแก้ไขกฎหมายในมาตราที่เกี่ยวข้องกับเรื่องสุขภาพ อย่างถ้าไปดูมาตรา 26 จะเห็นว่ามันมีอยู่วงเล็บหนึ่ง คือวงเล็บ (5) ข้อ (ก) กับ (ข) ที่มีรายละเอียดเกี่ยวกับเรื่องสุขภาพอยู่
ย้อนไปที่คุณพูดว่า เหตุผลหนึ่งที่เลื่อนออกมาเพราะภาคธุรกิจต้องดำเนินการเตรียมพร้อมและมีภาระค่าใช้จ่าย การเตรียมพร้อมที่ว่านี้คืออะไรบ้าง แล้วนอกจากภาคธุรกิจ ภาครัฐและภาคประชาชนเองต้องเตรียมพร้อมกับกฎหมายตัวนี้กันอย่างไรบ้าง
ผมคิดว่าโดยหลักการ มันทำให้การใช้ข้อมูลส่วนบุคคลมีราคา แน่นอนว่าข้อมูลมีราคาอยู่แล้ว ถ้าข้อมูลไม่มีค่า ไม่มีราคา เขาคงไม่เก็บไปหรอก หรืออีกนัยหนึ่งคือ พ.ร.บ. ฉบับนี้ทำให้การใช้ข้อมูลมีต้นทุนบางอย่างทางกฎหมายเพิ่มเติมขึ้นมาในลักษณะที่ว่า ถ้าคุณเอาไปใช้โดยไม่ได้ดูแลให้ดีจนมันเกิดความเสียหายบางอย่างขึ้นมา เช่น ข้อมูลรั่ว คุณต้องมีภาระความรับผิดบางอย่าง สิ่งนี้จะไปเปลี่ยนวิธีการคิดของหน่วยงานต่างๆ ไม่ว่าจะเป็นภาคธุรกิจหรือภาครัฐ จากเดิมเขาอาจมองว่าข้อมูลเป็นของมีค่าเหมือนน้ำมัน เหมือนทรัพยากรธรรมชาติต่างๆ ที่เราสามารถไปขุดได้เลย เสียแค่ค่าใช้จ่ายในการขุด แต่เราไม่จำเป็นต้องจ่ายอะไรกลับคืนให้ธรรมชาติ ถ้าเราทำให้เกิดมลพิษจากการขุด เราก็ไม่ต้องรับผิดชอบ ที่ผ่านมาอุตสาหกรรมข้อมูลมีลักษณะแบบนั้น เนื่องจากมันไม่มีการควบคุมอะไรเลย ทำให้พวกเขาไม่ต้องรับผิดชอบถึงผลกระทบที่ตามมาจากการหว่านแหขุดข้อมูลออกมา
พอมีกฎหมายคุ้มครองข้อมูลส่วนบุคคลออกมา มันเลยไปเปลี่ยนความคิดในทางเศรษฐศาสตร์ คือมันทำให้คุณต้องรับผิดชอบในทุกๆ ข้อมูลที่คุณเก็บมา ถ้าคุณทำให้มันเกิดการหลุดรั่ว คุณก็ต้องเสียค่าใช้จ่าย ก็เหมือนการทำน้ำมันรั่ว คุณก็ต้องจ่ายอะไรบางอย่างเพื่อชดเชยผลกระทบทางสิ่งแวดล้อมและผลกระทบต่อคนอีกจำนวนหนึ่ง ซึ่งคนเหล่านี้อาจไม่ใช่ลูกค้าหรือไม่ใช่ผู้ถือหุ้นของคุณด้วยซ้ำ เขาไม่ได้ประโยชน์อะไรเลยจากการขุดน้ำมันของคุณ แต่เขากลับเดือดร้อนไปด้วยจากการขุดน้ำมันของคุณ เพราะฉะนั้นกฎหมายตัวนี้ทำให้คุณต้องคิดแล้วว่า ทุกครั้งที่คุณจะขุดข้อมูลอะไรขึ้นมา คุณพร้อมจะจ่ายให้มันมากขนาดไหนหากเกิดความเสียหาย คือคุณจะขุดข้อมูลอะไรก็ขุดไป ถ้าคิดว่าต้นทุนยังต่ำกว่าประโยชน์ที่คุณจะได้รับ แต่ถ้าคุณขุดมาเสียทั้งหมด ขุดอะไรได้ก็ขุดมาเผื่อไว้เยอะๆ ก่อน ต้นทุนก็จะสูงขึ้นไปเรื่อยๆ จนถึงจุดหนึ่งอาจสูงเกินกว่าประโยชน์ที่คุณจะได้รับ เพราะยิ่งเก็บข้อมูลมาเยอะ ความเสี่ยงก็ยิ่งเยอะ วิธีจำกัดความเสี่ยงคือเก็บข้อมูลให้น้อยลง เก็บเท่าที่จำเป็นดีกว่า
ถามว่าแล้วหน่วยงานต่างๆ ต้องเตรียมพร้อมรับมืออย่างไร ก็ต้องกลับไปทบทวนใหม่เลยว่าตกลงข้อมูลแต่ละอย่างที่เราเก็บมา เราเก็บมาเพื่ออะไร ตอบโจทย์ทางธุรกิจไหม สร้างมูลค่าให้กับบริการนั้นๆ ได้ไหม ทำให้คนใช้บริการได้รับความสะดวกมากขึ้นไหม แล้วข้อมูลที่เก็บมาคุ้มไหมกับต้นทุนหรือภาระความเสี่ยงทางกฎหมาย แต่ละหน่วยงานต้องกลับไปชั่งน้ำหนักเรื่องนี้กันใหม่
ส่วนฝั่งผู้ใช้ เนื่องจากกฎหมายในบทเฉพาะกาลกำหนดไว้ว่าข้อมูลอะไรก็ตามที่ผู้ควบคุมข้อมูลส่วนบุคคลเคยมีหรือเคยเก็บไว้ก่อนหน้านั้นอยู่แล้ว ก็ยังสามารถถูกเก็บรักษาและใช้ต่อไปได้ แต่ตัวเราที่เป็นเจ้าของข้อมูลส่วนบุคคลก็มีสิทธิเหมือนกันที่จะไปถอนความยินยอมเหล่านั้น ผมคิดว่าก็อาจจะเป็นโอกาสอันดี คล้ายๆ กับว่าเราใช้โทรศัพท์มือถือเครื่องหนึ่งมา 2-3 ปี ลงแอปนู้นแอปนี้ไปเรื่อยๆ เราก็กดอนุญาตให้แอปเข้าถึงข้อมูลส่วนตัวของเราต่างๆ ไปตลอดเวลา แล้วถึงวันหนึ่งเราพบว่าแอปเต็มเครื่องเรา จำนวนหนึ่งก็เป็นแอปที่ไม่ได้ใช้แล้ว และมันก็เป็นความเสี่ยงกับตัวเราด้วยที่จะยังเก็บแอปพวกนี้ไว้ในเครื่อง ต่อให้หลายแอปจะออกแบบมาดี ไม่ให้มีช่องโหว่ด้านความปลอดภัยก็ตาม แต่ความผิดพลาดก็เกิดขึ้นได้ ยิ่งเรามีแอปมาก เราก็ยิ่งเสี่ยง ถ้าเปรียบเป็นบ้านหลังหนึ่ง การมีแอปก็เป็นเหมือนการเจาะช่องประตูหน้าต่างให้เราได้รับแสงข้างนอกมากขึ้นหรือทำให้เราเข้าออกบ้านง่ายขึ้น มันสะดวกขึ้นก็จริง แต่อย่าลืมว่ามันก็เสี่ยงเพิ่มขึ้นด้วย เพราะมันเพิ่มช่องทางให้โจรเข้ามามากขึ้น ยิ่งเรามีหลายประตูหลายหน้าต่าง จุดอ่อนของเราก็มากขึ้นเหมือนกัน เพราะฉะนั้นเราก็ต้องมารีวิวดูว่าเราต้องใช้แต่ละแอปอยู่หรือเปล่า ถ้าไม่จำเป็นแล้ว เราก็อาจลบแอปออก หรืออาจกดยกเลิกการให้ข้อมูลกับแอปนั้น เพราะฉะนั้นกฎหมายนี้ทำให้ทั้งฝั่งผู้ให้บริการและผู้ใช้งานต้องรีวิวตัวเองกันทั้งสองฝั่ง
ในฝั่งประชาชนมีข้อควรระวังอะไรจากกฎหมายนี้บ้างไหม เช่นว่าพอมีกฎหมายนี้ขึ้นมา เราจะทำเรื่องไหนไม่ได้อีกแล้วไหม อย่างตอนนี้คนไทยก็มีความเข้าใจผิดเกี่ยวกับกฎหมายนี้กันเยอะมาก เช่น คิดว่าการถ่ายรูปติดใบหน้าคนอื่นจะผิดกฎหมาย เพราะฉะนั้นมีเรื่องไหนบ้างที่ประชาชนต้องมาทำความเข้าใจให้ถูกต้อง
จริงๆ คนตอบเรื่องนี้ไปเยอะมากแล้ว (หัวเราะ) แต่หลักๆ คือไม่ต้องไปกังวล กฎหมายนี้เกี่ยวกับการคุ้มครองสิทธิก็จริง แต่มันมาบังคับใช้กับผู้ควบคุมข้อมูลส่วนบุคคลที่หาประโยชน์บางอย่างจากการใช้ข้อมูลส่วนบุคคลนั้น หรือมีหน้าที่ตามกฎหมายบางอย่างในการใช้ข้อมูลส่วนบุคคลนั้น ว่าง่ายๆ คือมันเป็นเรื่องที่เอามาบังคับตัวองค์กรหรือบุคคลที่ใช้ข้อมูลในเชิงวิชาชีพ หรือในเชิงการบริการบางอย่างมากกว่า แต่ไม่ใช่การบังคับกับการใช้งานส่วนตัวทั่วๆ ไป ถ้าคุณถ่ายรูปครอบครัวเพื่อประโยชน์กันในครัวเรือน ก็ไม่ต้องกลัว กฎหมายนี้ไม่เกี่ยว
แต่ตรงนี้เราพูดถึงเฉพาะในกรอบกฎหมายคุ้มครองข้อมูลส่วนบุคคลตัวนี้เท่านั้นนะ เรื่องการถ่ายภาพจริงๆ มีกฎหมายหลายอย่างที่เข้ามาเกี่ยวข้องได้ เช่น ถ้าคุณถ่ายภาพแล้วไปทำให้คนอื่นเกิดความเสียหายใดๆ หรือเป็นไปในลักษณะหมิ่นประมาท มันก็มีโทษทางกฎหมายแพ่งและกฎหมายอาญาอื่นๆ หรือต่อให้ไม่มีเรื่องกฎหมาย บางอย่างก็เป็นเรื่องมารยาท เป็นเรื่องของการจะอยู่ร่วมกันอย่างน่ารักๆ ในฐานะมนุษย์ของสังคมร่วมกัน
แต่พอพูดถึงประชาชนทั่วไป มันก็มีหลายมิตินะ เพราะทุกคนก็มีการประกอบวิชาชีพของตัวเองอยู่ ขายของบ้าง ทำงานออฟฟิศบ้าง แน่นอนว่าในทางหนึ่งทางใด เราก็มีโอกาสที่จะเล่นบทผู้ให้บริการเหมือนกัน อาจจะเป็นพนักงานในองค์กรที่ทำงานเรื่องนั้นก็ได้ ที่ผ่านมาผมเห็นหลายบริษัทที่จัดอบรมความรู้ความเข้าใจในเรื่องนี้กันอยู่แล้ว
ที่น่าสนใจคือคนที่ทำงานในฝ่ายบุคคล (HR) เพราะจริงๆ แล้วภายในบริษัทเองก็มีการประมวลผลข้อมูลส่วนบุคคล ไม่เฉพาะของลูกค้าเท่านั้น แต่ของพนักงานบริษัทเองด้วย ฝ่าย HR ก็ถือเป็นฝ่ายที่มีข้อมูลส่วนบุคคลของพนักงานเพียบ อย่างเรื่องการตรวจร่างกายประจำปีของบริษัท ผมก็ยังได้ยินอยู่ว่าบางบริษัทให้โรงพยาบาลรายงานผลตรวจไปที่ฝ่าย HR แล้วให้พนักงานไปรับจาก HR แทนที่จะให้ส่งให้พนักงานแต่ละคนโดยตรง แบบนี้ก็เหมือนว่าข้อมูลอ่อนไหวอย่างข้อมูลสุขภาพตกไปอยู่ในความดูแลของ HR ซึ่งอาจมีประเด็นปัญหาทางกฎหมายได้เหมือนกัน เรื่องนี้เป็นเรื่องที่คนทำงานต้องคุยให้เข้าใจตรงกันว่าจะต้องมีแนวปฏิบัติอะไรเปลี่ยนไปไหม ข้อมูลของพนักงานส่วนไหนที่ไม่จำเป็นต้องเก็บบ้าง
ตัวกฎหมายเป็นประโยชน์กับทุกฝ่ายก็จริงอยู่ แต่ในรายละเอียดเนื้อหา มีส่วนไหนที่คุณมองว่ามีช่องโหว่หรือมีข้อสังเกตอะไรบางอย่างที่น่ากังวลบ้างไหม
ผมคิดว่าโครงสร้างของกฎหมายของไทยได้รับการออกแบบมาดีพอสมควรนะ มันพยายามจะล้อกับตัวกฎหมายของต่างประเทศที่ได้รับการยอมรับในทางสากล เช่น กฎหมายของสหภาพยุโรป (General Data Protection Regulation – GDPR) แต่ข้อเป็นห่วงจะไปอยู่ในรายละเอียดมากกว่า ตัวอย่างเช่น มาตรา 4 วรรค 3 ที่สุดท้ายมันถูกเอามาใช้เป็นช่องทางในการยกเว้นการบังคับใช้กฎหมายกับกิจการต่างๆ ได้ และเราก็พบว่ามันสามารถยกเว้นกิจการได้เยอะมากถึง 22 กิจการ รวมถึงมาตรา 4 วรรค 2 ที่บอกว่า “การยกเว้นไม่ให้นำบทบัญญัติแห่งพระราชบัญญัตินี้ทั้งหมดหรือแต่บางส่วนมาใช้บังคับแก่ผู้ควบคุมข้อมูลลักษณะใด กิจการใด หรือหน่วยงานใดทำนองเดียวกับผู้ควบคุมข้อมูลส่วนบุคคลตามวรรค 1 หรือเพื่อประโยชน์สาธารณะอื่นใด ให้ตราเป็นพระราชกฤษฎีกา” แปลว่ามาตรา 4 วรรค 2 เปิดช่องเอาไว้ให้สามารถยกเว้นการบังคับใช้กฎหมายกับกิจการที่นอกเหนือจาก 6 ข้อยกเว้นที่ระบุไว้ในมาตรา 4 วรรค 1 ได้อีก แค่ไปตราเป็นพระราชกฤษฎีกาก็พอ
กฎหมายนี้ยังจะทำให้รัฐมนตรีดิจิทัลฯ มีอำนาจมากๆ เพราะมาตรา 7 ระบุว่า “ให้รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมรักษาการตามพระราชบัญญัตินี้ และให้มีอำนาจแต่งตั้งพนักงานเจ้าหน้าที่ เพื่อปฏิบัติการตามพระราชบัญญัตินี้” แปลว่าเขาเป็นคนที่มีอำนาจในการออกพระราชกฤษฎีกา ซึ่งตัวอย่างก็มีให้เห็นมาแล้วตอนที่รัฐมนตรีสามารถงดเว้นให้ทั้ง 22 กิจการไม่ถูกบังคับใช้มาถึง 2 ปี ในกรณีที่แย่สุด ถ้ามีกิจการใดกิจการหนึ่งสามารถวิ่งเต้นขอให้รัฐมนตรีช่วยออกพระราชกฤษฎีกางดเว้นการบังคับใช้กฎหมายกับกิจการนั้นทั้งหมดเลย ก็เท่ากับว่าเราในฐานะประชาชนจะไม่เหลือการคุ้มครองในกิจการนั้นทันที
กฎหมายฉบับนี้อาจเปรียบเป็นเหมือนผ้าห่มผืนใหญ่ๆ ที่ถูกออกแบบให้ใช้ห่มปกคลุมเพื่อคุ้มครองข้อมูลของเราได้ แต่มันก็มีข้อยกเว้นไว้บ้าง ก็เหมือนการเจาะรูผ้าห่มไว้ในบางจุด ถ้าดูตามมาตรา 4 วรรค 1 ก็เท่ากับว่าผ้าห่มถูกเจาะรูอยู่ 6 รู แล้วมาตรา 4 วรรค 2 ก็บอกอีกว่ารัฐมนตรีดิจิทัลฯ เจาะรูเพิ่มได้อีก มันก็น่ากลัวว่าไปมาผ้าห่มผืนนี้อาจมีรูเล็กรูใหญ่อยู่เต็มไปหมดจนไม่เหลือสภาพความเป็นผ้าห่มอีกต่อไป นี่เป็นเรื่องอันตรายมาก เพราะตามหลักอำนาจอธิปไตยจริงๆ แล้ว เราต้องมีการคานอำนาจระหว่าง 3 ฝ่ายคือตุลาการ นิติบัญญัติ และบริหาร แต่มาตรา 4 วรรค 2 ของกฎหมายฉบับนี้ เหมือนกับว่าให้ฝ่ายนิติบัญญัติทำผ้าห่มแบบไหนก็ทำขึ้นมา แต่ฝ่ายบริหารเจาะรูได้ตามใจชอบเลย
ผมไม่ได้บอกว่าห้ามมีกำหนดข้อยกเว้นเพิ่มเติมเลยนะ ผมเข้าใจไอเดียของการออกแบบกฎหมายว่าคงต้องเผื่อเอาไว้สำหรับเหตุฉุกเฉินในอนาคต แต่ว่าการให้อำนาจโดยไม่มีขอบเขตเลยแบบนี้ อาจจะเกินไปหรือเปล่า เป็นไปได้ไหมที่จะกำหนดว่ารัฐมนตรียังคงมีอำนาจในการประกาศข้อยกเว้นเพิ่มเติม แต่ว่าแต่ละข้อยกเว้นต้องทำให้มีกิจการที่ได้รับยกเว้นรวมกันไม่เกิน 20% ของกิจการทั้งหมดในประเทศไทย สมมติประเทศไทยมีทั้งหมด 1 ล้านกิจการ ข้อยกเว้นต่างๆ ต้องครอบคลุมรวมกันไม่เกิน 200,000 กิจการ แต่ถ้ามีความจำเป็นต้องยกเว้นจริงๆ ก็ให้ส่งกฎหมายไปที่สภาเพื่อให้แก้กฎหมายในระดับ พ.ร.บ. แทนที่จะใช้อำนาจบริหารทำให้สาระสำคัญของกฎหมายเปลี่ยนไปด้วยตัวพระราชกฤษฎีกาที่ไม่ได้ผ่านสภา เหมือนที่เราเห็นมาแล้วว่าฝ่ายนิติบัญญัติผ่านกฎหมายตัวนี้ออกมาแล้วก็จริงตั้งแต่ปี 2563 แต่ฝ่ายบริหารใช้อำนาจเจาะรูพรุนมันได้ทั้งฉบับเลยในช่วง 2 ปีที่ผ่านมากว่าที่กฎหมายนี้จะได้มีผลใช้ในทางปฏิบัติจริง นี่คือข้ออันตรายมากข้อแรก
นอกจากข้อกังวลเรื่องอำนาจของรัฐมนตรีดิจิทัลฯ แล้ว ยังมีข้อกังวลอะไรอีก
ข้อกังวลที่สองเกี่ยวข้องเล็กน้อยกับข้อแรก ถ้าไปดูที่ข้อยกเว้นในวงเล็บ 6 ของมาตรา 4 ซึ่งระบุถึง “การดำเนินการกับข้อมูลของบริษัทข้อมูลเครดิตและสมาชิกตามกฎหมายว่าด้วยการประกอบธุรกิจข้อมูลเครดิต” คำถามคือแล้วใครล่ะที่เป็น ‘ข้อมูลของบริษัทข้อมูลเครดิต’ และ ‘สมาชิกตามกฎหมายของว่าด้วยการประกอบธุรกิจข้อมูลเครดิต’ เราก็ต้องไปดูคำตอบในอีกกฎหมายหนึ่ง คือ พ.ร.บ. การประกอบธุรกิจข้อมูลเครดิต ตรงนิยามของคำว่า ‘สถาบันการเงิน’ ซึ่งในกฎหมายระบุว่ามีบริษัท 9 ประเภทที่นับว่าเป็นสถาบันการเงินตามนิยาม และบริษัทเหล่านี้ก็ถือว่าเป็นสมาชิกของบริษัทข้อมูลเครดิตด้วย ประเด็นสำคัญอยู่ตรงที่บริษัทประเภทที่ 9 ซึ่งมีใจความว่า นอกจากสถาบันการเงินตามข้อ 1-8 แล้ว คณะกรรมการตาม พ.ร.บ. ฉบับนี้มีอำนาจที่จะประกาศว่ามีสถาบันการเงินประเภทอื่นนอกเหนือจาก 8 ข้อนี้ได้อีก
ย้อนกลับไปดูที่ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล อย่างที่ผมบอกว่าเขาเจาะรูที่ 6 เอาไว้ ซึ่งรูนี้บอกให้ยกเว้นการบังคับใช้กับพวกบริษัทข้อมูลเครดิตและสมาชิก มันเลยกลายเป็นว่ารูที่ 6 นี้ไม่ใช่รูที่มีขนาดคงที่ แต่เป็นรูที่คณะกรรมการตาม พ.ร.บ. ประกอบธุรกิจข้อมูลเครดิตสามารถใช้อำนาจตามวงเล็บ 9 ภายใต้นิยามของคำว่าสถาบันการเงิน ขยายขนาดรูได้เรื่อยๆ เขาอาจใช้อำนาจนับรวมบริษัทบางประเภทเข้าไปอยู่ในวงเล็บที่ 9 เมื่อไหร่ก็ได้ โดยไม่จำเป็นต้องปรึกษากับคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเลย และคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลก็ไม่มีอำนาจที่จะห้ามไม่ให้เขามาเจาะรูเพิ่มเลยด้วย มันเหมือนว่าคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลมีหน้าที่แค่หาทางเอาผ้าห่มไปคลุมตามที่ต่างๆ แต่ว่าใครจะมาเจาะรูผ้าห่มเพิ่มก็ได้ตามใจ ผมว่านี่ก็เป็นเรื่องอันตราย
บริษัทที่มีแนวโน้มจะถูกนับรวมเข้าอยู่ในวงเล็บที่ 9 ของนิยามคำว่าสถาบันการเงิน ภายใต้ พ.ร.บ. ประกอบธุรกิจข้อมูลเครดิต อาจเป็นบริษัทจำพวกไหนได้บ้าง และมีกิจการรูปแบบไหนบ้างที่มีความเป็นไปได้ว่าจะได้รับการยกเว้นเพิ่มเติมอีก
ตอนนี้ที่เขาก็พูดกันก็เป็นพวกบริการ e-payment และ payment gateway ซึ่งเกี่ยวข้องกับชีวิตเราแน่ๆ จริงๆ เคยมีความพยายามที่จะเสนอกฎหมายให้เพิ่มบริการพวกนี้เข้าไปในกฎหมาย แต่มีการยุบสภาไปก่อนในตอนนั้น
อีกเรื่องที่อยากให้จับตาคือ ตอนนี้เราพบว่ามีร่างประกาศที่ยังไม่เสร็จสิ้นสมบูรณ์ แต่มีการเผยแพร่ออกมาบนเว็บไซต์ของกระทรวงดิจิทัลฯ และของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เพื่อขอความคิดเห็น และได้ปิดรับฟังไปเรียบร้อยแล้วตั้งแต่ประมาณวันที่ 19 พฤษภาคมที่ผ่านมา นั่นคือ ‘(ร่าง) ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง การยกเว้นการบันทึกรายการของผู้ควบคุมข้อมูลส่วนบุคคลซึ่งเป็นกิจการขนาดเล็ก’
คำถามคือใครบ้างล่ะที่เป็นกิจการขนาดเล็ก เพราะฉะนั้นก็เช่นเคย เราจะดูแค่กฎหมายคุ้มครองข้อมูลส่วนบุคคลอย่างเดียวไม่ได้อีก ก็ต้องไปดูกฎหมายอื่นประกอบด้วย นั่นคือ ‘กฎหมายว่าด้วยการส่งเสริมวิสาหกิจขนาดกลางและขนาดย่อม’ ซึ่งก็ให้นิยามของกิจการขนาดเล็กไว้ว่าเป็นวิสาหกิจขนาดย่อมหรือขนาดกลาง แล้วถามว่าใครบ้างที่เป็นคนกำหนดว่ากิจการไหนเป็นกิจการขนาดเล็กได้ ก็ต้องเป็นคณะกรรมการตามกฎหมายนั้น นั่นก็เท่ากับว่าคณะกรรมการกลุ่มนี้สามารถเข้ามาขยายรูกฎหมายคุ้มครองส่วนบุคคลได้แล้ว
แล้วถ้าเราดูจากร่างประกาศ เขาเขียนไว้ว่ากิจการขนาดเล็กได้รับยกเว้น ตรงนี้ก็ฟังดูสมเหตุสมผล เพราะไม่อย่างนั้นมันจะสร้างภาระมากสำหรับกิจการที่มีลูกจ้างไม่กี่คนอย่างพวกร้านโชห่วยหรือสปา แต่มันมีข้อย่อยหนึ่งเขียนว่ากิจการขนาดเล็กที่ว่า “เป็นวิสาหกิจขนาดย่อมหรือวิสาหกิจขนาดกลางตามกฎหมายว่าด้วยการส่งเสริมวิสาหกิจขนาดกลางและขนาดย่อม” ตรงนี้เท่ากับว่าเขาไม่ได้นับแค่กิจการขนาดย่อมเท่านั้น แต่คือวิสาหกิจขนาดกลางด้วย ซึ่งวิสาหกิจขนาดกลางหมายถึงธุรกิจที่ได้รายได้ไม่เกิน 500 ล้านบาทต่อปี ซึ่งมีเยอะมาก มีเป็นแสนๆ กิจการ สมมติถ้าว่ากันเฉพาะกิจการโรงแรม โรงแรมจำนวนมากในประเทศไทยอันที่จริงก็คือวิสาหกิจขนาดกลาง ถ้าเป็นขนาดย่อมก็จะเป็นพวกโฮสเทล และถ้าเป็นขนาดใหญ่ก็มักเป็นโรงแรมเครือใหญ่ๆ ที่เหลือก็เป็นขนาดกลางแทบทั้งนั้น เพราะฉะนั้นก็เหมือนกับว่าธุรกิจการท่องเที่ยวและการโรงแรมแทบทั้งหมดของประเทศไทยเลยที่จะได้รับการยกเว้น คำถามคือพวกกิจการขนาดกลางที่รายได้แตะ 500 ล้านบาท ไม่ควรได้รับการยกเว้นหรือเปล่า
แต่การยกเว้นที่ว่าตามร่างประกาศฉบับนี้ไม่ใช่ว่ายกเว้นไปเสียทั้งหมด เป็นแค่การยกเว้นให้กิจการเหล่านั้นไม่ต้องจดบันทึกรายการที่เกี่ยวกับการควบคุมข้อมูลส่วนบุคคลเท่านั้น (Record of Processing Activities – ROPA) แปลว่าเขาไม่ต้องบันทึกว่าเขาเอาข้อมูลส่วนตัวของเราไปใช้อะไรบ้าง แต่การคุ้มครองต่างๆ ยังคงมีอยู่ ถ้าทำผิดอะไรก็ยังคงต้องรับผิดชอบ มีการถูกสอบสวน ร้องเรียน และเยียวยาอยู่เหมือนเดิม อย่างไรก็ตามการเว้นให้ไม่ต้องบันทึกรายการก็อาจส่งผลให้เราตรวจสอบกิจการพวกนี้ได้ลำบาก แล้วถ้าเราบอกว่ากฎหมายคุ้มครองข้อมูลส่วนบุคคลทำให้กิจการต้องมีความรับผิดชอบในการคุ้มครองข้อมูลส่วนบุคคล แต่กลับไปบอกว่าคุณไม่ต้องจดบันทึกรายการพวกนี้ก็ได้ คำถามคือมันจะเป็นไปได้แค่ไหนที่เราจะเชื่อมั่นได้ว่ากิจการเหล่านั้นจะมีความรับผิดชอบในการคุ้มครองข้อมูลส่วนบุคคล ในเมื่อเขาไม่ต้องบันทึก
ผมไปเจอข้อมูลจากสำนักงานส่งเสริมวิสาหกิจขนาดกลางและขนาดย่อมในปี 2563 มาว่าทั่วประเทศมีกิจการขนาดกลางและย่อมประมาณ 3 ล้านราย เพราะฉะนั้นถ้าเรายกเว้นกิจการขนาดกลางและย่อมพวกนี้ไป เท่ากับว่าเราจะเหลือกิจการแค่ 14,000 แห่งที่จะต้องทำบันทึกรายการ ROPA
ที่จริงแล้วผมว่า พ.ร.บ. ฉบับนี้ถูกสร้างมาดีมาก เพราะมันเอาแบบอย่างมาจากกฎหมายต่างประเทศที่ได้มาตรฐาน แต่ในการบังคับใช้จริง ต้องไปดูที่รายละเอียดในประกาศเหล่านี้ มันมีข้อยกเว้นต่างๆ อยู่ แล้วถ้าเราไม่ระมัดระวังข้อยกเว้นหรือนิยามบางตัว มันก็อาจทำให้ความคุ้มครองที่เราเชื่อว่าเราจะได้มัน อาจจะหายไปก็ได้ เราต้องช่วยกันจับตา อย่างเรื่องวิสาหกิจขนาดกลางและเล็กก็เป็นเรื่องที่ผมเห็นช่องโหว่ได้ชัดเจนเลย ถ้าเป็นเรื่องอื่นอาจจะยังพอมีเหตุผลแก้ตัวได้ เรื่องแบบนี้ถ้าเราดูผ่านๆ อาจจะไม่เห็น อย่างตอนแรกผมเองก็ไม่ได้สังเกต แต่พออ่านๆ ไปถึงได้เริ่มมองเห็น คำที่คนชอบพูดกันว่า “ปีศาจอยู่ในรายละเอียด” คือเรื่องนี้เลย
เป็นไปได้ไหมว่ากฎหมายฉบับนี้อาจมีการเอื้อประโยชน์ให้ภาคธุรกิจอยู่
เท่าที่ผมทราบคือมันมีความพยายามล็อบบีจากบางภาคธุรกิจให้เลื่อนใช้กฎหมายฉบับนี้ออกไปอีกนะ เพราะเขาเพิ่งฟื้นตัวจากโควิด-19 มาไม่นานเลยยังไม่พร้อม แต่ว่ามันก็เลื่อนไม่ได้แล้วด้วยกระแสสังคม และมีภาคธุรกิจอื่นที่พร้อมแล้วและเขามองด้วยว่าการมีกฎหมายนี้จะเป็นประโยชน์กับภาคธุรกิจของเขามากกว่า
นอกจากนี้ถ้าเรากลับไปที่เรื่องร่างประกาศ อันที่จริงมันไม่ใช่ประกาศที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเป็นผู้ร่างเองโดยตรง แต่คณะกรรมการตั้งอนุกรรมการด้านกฎหมายขึ้นมาเพื่อร่าง แต่ก็มีข้อสังเกตคืออนุกรรมการบางคนเป็นคนที่ภาคธุรกิจไว้วางใจ มันเลยมีแนวโน้มว่า แม้โครงกฎหมายภายใหญ่จะดี แต่ร่างประกาศอาจจะเอื้อกับฝั่งธุรกิจเสียมาก
และผมก็ยังมีอีกข้อสังเกตด้วยว่าอนุกรรมการกฎหมายภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคลบางคนดำรงตำแหน่งกรรมการผู้ทรงคุณวุฒิในคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติอีกด้วย ปัญหาคือมันจะเกิดความขัดแย้งทางผลประโยชน์ (conflict of interest) กันหรือเปล่า เพราะเป้าหมายในการดำเนินงานของคณะกรรมการสองฝั่งไม่เหมือนกัน ฝั่งหนึ่งต้องรักษาความมั่นคงปลอดภัยทางไซเบอร์ (cyber security) ขณะที่อีกฝั่งต้องรักษาความเป็นส่วนตัว (privacy) คือบางครั้งสองอย่างนี้อาจส่งเสริมกันได้ แต่ในหลายแง่มันก็ขัดกันเหมือนกัน เพราะบางครั้งการที่คุณจะมี cyber security เพิ่มขึ้น คุณจำเป็นต้องเสีย data privacy บางอย่างไป เลยเป็นที่น่าคิดว่าตกลงแล้วจุดยืนของคนที่เข้ามาทำหน้าที่คณะกรรมการทั้งสองด้านพร้อมกันจะเป็นอย่างไรกันแน่
มีประเด็นไหนไหมที่คุณมองว่ากฎหมายคุ้มครองข้อมูลส่วนบุคคลของไทยยังขาดไป หรืออาจเป็นประเด็นที่เรายังไม่ได้มีเหมือนในตัวกฎหมายของต่างประเทศ
มันมีคอนเซปต์หนึ่งที่เรียกว่า joint data controller ซึ่งของไทยยังไม่มี คำว่า data controller ก็คือผู้ควบคุมข้อมูลส่วนบุคคล และมีอีกคำหนึ่งคือ data processor หมายถึงผู้ประมวลผลข้อมูลส่วนบุคคล สองอย่างนี้มีความสัมพันธ์กัน คือถ้า data controller ไม่มีความเชี่ยวชาญหรือขี้เกียจทำในบางเรื่อง หรืออาจจะทำเองแล้วแพงกว่าคนอื่นทำ ก็จะไปจ้างหรือมอบอำนาจให้ data processor ทำให้แทน อย่างไรก็ตามต่อให้ data processor เป็นคนทำให้ก็จริง แต่โดยหลักแล้ว data controller ก็ยังต้องรับผิดชอบทุกสิ่งทุกอย่างในการควบคุมข้อมูลส่วนบุคคลอยู่ดี มันเลยเป็นประเด็นขึ้นมาว่าการเก็บหรือใช้ข้อมูลบางอย่างร่วมกันระหว่างหลายหน่วยงาน ไม่ใช่เพียงหน่วยงานเดียว เราควรจะจัดสรรสัดส่วนความรับผิดชอบอย่างไร มีฝั่งไหนได้ประโยชน์จากการเก็บข้อมูลมากกว่าทำให้จำเป็นต้องมีสัดส่วนความรับผิดชอบมากกว่าหรือเปล่า ซึ่งในไทยยังไม่มีนิยามที่ชัดเจนในเรื่องนี้ แต่ก็มีความพยายามพูดถึงและมีการศึกษาเรื่องนี้ในประเทศไทยอยู่ ซึ่งหากวันหนึ่งมีกรณีปัญหาเกิดขึ้นมา ก็คงมีความเป็นไปได้ที่จะมีการแก้ไขตัวกฎหมายให้รองรับในเรื่องนี้ในอนาคต
พอมีตัวอย่างของประเด็น joint controller ให้เห็นภาพได้ชัดขึ้นหรือไม่
ที่เป็นข่าวเยอะๆ และอาจจะถือว่าใกล้ตัวเรามาก ก็คือกรณีที่เว็บไซต์ต่างๆ เอาปุ่มไลก์ของเฟซบุ๊กไปอยู่บนหน้าเว็บของตัวเอง ซึ่งในกรณีแบบนี้ ศาลก็จะมองว่าข้อมูลจำนวนหนึ่งของเว็บไซต์ไหลไปอยู่ที่เฟซบุ๊กด้วย ซึ่งเฟซบุ๊กก็สามารถนำไปใช้ประโยชน์บางอย่างได้ ขณะเดียวกันเจ้าของเว็บไซต์ก็ได้ใช้ประโยชน์จากข้อมูลที่ไหลมาบนเว็บไซต์ด้วย
การเก็บข้อมูลพวกนี้เกิดขึ้นได้เพราะเฟซบุ๊กเองมีกลไกบางอย่าง ซึ่งทำให้ตัวเว็บไซต์สามารถเอาปุ่มของเฟซบุ๊กที่บนเว็บไซต์ของเขา ถ้าเกิดมีแค่กลไกของเฟซบุ๊กเปล่าๆ อย่างเดียว การเก็บข้อมูลก็จะไม่เกิด หรือต่อให้เจ้าของเว็บไซต์อยากจะติดปุ่มนี้ก็ตาม แต่เฟซบุ๊กไม่ทำให้ การติดปุ่มก็ไม่สามารถเกิดขึ้นได้ มันหมายความว่ากลไกพวกนี้ต้องใช้การลงทุนและการออกแบบทางโปรแกรมอะไรบางอย่าง ซึ่งเว็บไซต์ทั่วไปอาจทำเองไม่เป็น นี่จึงเป็นกรณีที่ data controller สองคนขึ้นไปทำอะไรบางอย่างร่วมกัน คืออาจจะต่างคนต่างทำ แต่สุดท้ายมันมาประกอบกันทำให้เกิดการเก็บข้อมูล และได้ประโยชน์กันทั้งคู่ เพียงแต่ว่าสัดส่วนอาจจะไม่เท่ากันก็ได้ ศาลก็ต้องตัดสินว่าจะมาแบ่งสัดส่วนความรับผิดอย่างไรในกรณีแบบนี้
นอกจากเรื่อง joint controller ยังมีประเด็นเรื่องความเป็นส่วนตัวอื่นอีกหรือไม่ที่กฎหมายของไทยยังไม่ได้พูดถึง
มีประเด็นหนึ่งที่ผมยังไม่แน่ใจว่าควรจัดการมันอย่างไร คือทุกวันนี้ผู้ให้บริการอาจไม่จำเป็นต้องรู้ข้อมูลส่วนบุคคลของเราตรงๆ ก็ได้ แต่เขาอาจจะใช้ข้อมูลส่วนต่างๆ มาประกอบกันจนอาจนำไปสู่การระบุตัวบุคคลได้ในที่สุด ตามปกติถ้าเราให้ข้อมูลอย่างวันเกิด รหัสไปรษณีย์ หรือเพศไปเฉยๆ นี่ยังไม่ถือว่าเป็นข้อมูลส่วนบุคคล แต่มันจะเป็นข้อมูลส่วนบุคคลขึ้นมาต่อเมื่อเราใส่ชื่อของเราลงไปด้วย แต่ถ้าสมมติว่าเราไม่ใส่ชื่อเราลงไปเลย คำถามคือมันยังเป็นไปได้ไหมที่เขาจะสามารถระบุตัวคนได้
ผมยกตัวอย่างว่าถ้าเราให้รหัสไปรษณีย์ไปซึ่งทำให้รู้ได้ว่าเป็นเขตดินแดง สมมติเขตนี้มีประชากร 100,000 คน ต่อมาเราให้ข้อมูลไปอีกว่าเป็นผู้ชาย มันก็จะจำกัดวงลงมาหน่อย สมมติผู้ชายที่อยู่เขตดินแดงอาจมี 50,000 คน ตรงนี้ก็อาจจะยังระบุตัวตนไม่ได้ แต่ต่อมาเขาดูข้อมูลวันเดือนปีเกิดต่อไปอีก สมมติเราบอกว่าเกิดวันที่ 1 มกราคม 1980 ปรากฏว่ามีคนที่มีวันเกิดในวันนี้ตรงกันอยู่ 10 คน ซึ่งเป็นผู้ชายในเขตดินแดง จะเห็นว่ามันจำกัดวงลงมาจนเหลือไม่กี่คนแล้ว ถ้าผู้ให้บริการถามคำถามต่อไปอีกแค่ไม่กี่ถาม สุดท้ายมันก็อาจระบุตัวคนได้เลย โดยที่เขาไม่จำเป็นต้องถามชื่อเรา
ทุกวันนี้ด้วยเหตุที่มีกฎหมายคุ้มครองส่วนบุคคลขึ้นมา บริษัทห้างร้านต่างๆ ก็อาจไม่เก็บข้อมูลชี้เฉพาะบางอย่างของเราโดยตรง แต่ด้วยความซับซ้อนของเทคโนโลยี ที่สามารถเก็บรวบรวมข้อมูลได้มากขึ้น และสามารถประกอบร่างชิ้นส่วนข้อมูลจากฐานข้อมูลต่างๆ ที่อยู่กระจัดกระจาย ผมว่ามันเป็นไปได้มากขึ้นเรื่อยๆ ที่เราจะเห็นการเลือกปฏิบัติบนข้อมูลที่เกี่ยวข้องกับบุคคล โดยไม่จำเป็นต้องรู้ว่าตัวของคนคนนั้นคือใคร ระบบอาจจะไม่จำเป็นต้องรู้ว่านี่คือตัวผม แต่เป็นไปได้ว่าสุดท้ายผมอาจถูกเลือกปฏิบัติด้วยข้อมูลบางอย่าง อย่างในต่างประเทศอาจมีการห้ามเก็บข้อมูลพวกสีผิวก็จริง แต่ก็มีการเก็บข้อมูลว่าคุณอาศัยอยู่ในเขตไหน ปัญหาคือบางเขตอาจเป็นพื้นที่ที่คนบางสีผิวกระจุกอยู่รวมกันหนาแน่น เขาก็อาจเหมาเอาได้เลยว่าเราเป็นคนสีผิวนี้จากข้อมูลที่อยู่อาศัยของเรา
เรื่องนี้อาจเขียนเป็นตัวบทกฎหมายตรงๆ ไม่ได้ ผมก็พยายามคิดว่าจะทำอย่างไรให้เราต้องมีการระมัดระวังเรื่องนี้ในการจัดการหรือออกแบบข้อมูล แต่ผมยังนึกไม่ออกเหมือนกันว่าจะเขียนเป็นกฎหมายได้อย่างไร มันเป็นเรื่องที่กฎหมายยังไปไม่ถึง แต่ว่าความสามารถทางเทคโนโลยีและการวิเคราะห์ข้อมูลไปไกลกว่านั้นแล้ว เพราะฉะนั้นมันอาจต้องนำกฎหมายอื่นหรือกลไกอื่นมาใช้เสริมกฎหมายฉบับนี้ เพราะถ้าจะใช้เพียงกฎหมายคุ้มครองส่วนบุคคลในเรื่องนี้อย่างเดียว ก็จะค่อนข้างลำบาก
คุณบอกว่ากฎหมายคุ้มครองข้อมูลส่วนบุคคลของไทยนำแบบอย่างมาจากกฎหมายของต่างประเทศ มันเป็นไปได้ไหมที่อาจเกิดปัญหาว่ากฎหมายที่ออกมาอาจไม่สอดคล้องกับบริบทของประเทศไทย หรือมันได้มีการปรับบริบทใดๆ แล้วหรือไม่ในกฎหมายของไทย
ผมว่ามันมีการปรับอยู่แล้ว เช่นเรื่องหนึ่งที่ของไทยมีการปรับมาก็คือเรามีการยกเว้นให้ในกรณีการใช้ประโยชน์ของข้อมูลในการศึกษาวิจัย ตามมาตรา 24 ในกฎหมาย อย่างถ้าหอจดหมายเหตุแห่งชาติอยากเก็บข้อมูลซึ่งเป็นไปได้ว่าในนั้นอาจมีข้อมูลส่วนบุคคลบางอย่างอยู่ ก็อาจจะเกิดความกังวลว่าทำได้หรือเปล่า ซึ่งถ้าเป็นต่างประเทศก็จะใช้การอ้างเรื่องอำนาจหน้าที่ของรัฐ (official authority) บ้าง เพราะหอจดหมายเหตุก็มีฐานะเป็นองค์กรของรัฐซึ่งมีอำนาจบางอย่างในการทำเรื่องนี้ได้อยู่แล้ว หรืออาจอ้างประโยชน์โดยชอบด้วยกฎหมาย เพราะจดหมายเหตุแห่งชาติก็อยู่ภายใต้ พ.ร.บ.จดหมายแห่งชาติ ซึ่งก็ได้ให้อำนาจไว้บางอย่างอยู่แล้ว แต่กฎหมายของไทยเลือกเขียนเรื่องนี้แยกออกมาให้ชัดเจน นี่เป็นตัวอย่างหนึ่ง ในช่วงที่ร่างกฎหมาย มันมีการปรับข้อกฎหมายตามข้อเป็นห่วงที่หน่วยงานรัฐต่างๆ ส่งความคิดเห็นไปทางสำนักงานคณะกรรมการกฤษฎีกาอยู่แล้ว
แต่เรื่องหนึ่งที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลของไทยต่างจากของต่างประเทศ แล้วผมมองว่าน่าเป็นห่วงคือ กฎหมายของไทยมีบางการกระทำที่ถูกนับเป็นความผิดทางอาญาด้วย ซึ่งก็คือการเอาข้อมูลส่วนบุคคลไปใช้โดยทุจริตและสร้างความเสียหาย ซึ่งไม่นับเรื่องประมาทเลินเล่ออย่างการเก็บข้อมูลไม่ดีจนข้อมูลหลุดหรือการเอาข้อมูลไปผิดวัตถุประสงค์แต่ไม่ได้มีเจตนาทุจริต ในกฎหมายหลายๆ ประเทศ ความผิดเรื่องการเอาข้อมูลไปใช้โดยทุจริตและสร้างความเสียหายไม่ได้มาอยู่ใน พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ไม่ใช่ว่ามันไม่ผิด แต่เป็นความผิดตามกฎหมายอื่น เช่นอาจเข้าข่ายเรื่องฉ้อโกงหรือหลอกลวง แต่ของไทยเอาประเด็นนี้มาใส่ใน พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ซึ่งก็อาจจะโอเค แต่มันทำให้ต้องมีหน่วยงานอื่นเข้ามาเกี่ยวข้องกับ พ.ร.บ.นี้ เพิ่มเติมจากคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลอีก
พอเป็นโทษทางอาญา ตำรวจหรือเจ้าหน้าที่สอบสวนก็สามารถเข้ามามีบทบาทเพิ่มเติมได้ในมาตราที่เกี่ยวกับเรื่องทางอาญา ซึ่งจริงๆ ก็ดีที่ตำรวจเข้ามาทำเรื่องนี้ แต่กลายเป็นว่าสังคมอาจจะไปให้ความสำคัญกับตรงนั้นเสียเยอะ แทนที่จะมองว่ากฎหมายนี้ออกแบบมาเพื่อยกระดับมาตรฐานการคุ้มครองคน ก็กลายเป็นว่าคนมากลัวว่ากฎหมายนี้จะเป็นกฎหมายไว้ไล่จับคนแทน อย่างที่คนกำลังกลัวกันมากว่าถ้าไปถ่ายรูปคนนั้นคนนี้มาแล้วแชร์ ตำรวจจะมาจับ ซึ่งเป็นเรื่องเข้าใจผิด และความเข้าใจผิดนี้ส่วนหนึ่งมาจากการที่คนเห็นว่ามันมีโทษจำคุกด้วย แล้วตำรวจส่วนหนึ่งก็ไปประชาสัมพันธ์กฎหมายโดยเน้นแง่มุมนี้อีก ซึ่งก็เข้าใจได้ว่ามันอยู่ในบทบาทหน้าที่ของเขา แต่พอประชาสัมพันธ์แบบนั้นออกไป มันกลายเป็นว่าบทบาทหน้าที่ของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลซึ่งถือเป็นผู้มีบทบาทหลักหายไปเลย เหมือนว่าสมมติกฎหมายมี 10 ส่วน คนก็ไปสนใจที่ 0.5 ส่วนเท่านั้นที่เป็นเรื่องโทษทางอาญาที่ตำรวจพูด แต่อีก 9.5 ส่วนของกฎหมายที่เป็นเรื่องการส่งเสริมมาตรฐานการคุ้มครองกลับไม่มีใครสนใจเลย แล้วตอนนี้นักข่าวจำนวนหนึ่งที่อยากรู้เรื่องราวของกฎหมายฉบับนี้ก็ไปถามตำรวจ แทนที่จะถามคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล คือบางเรื่องตำรวจก็เกี่ยวข้องจริง แต่มันไม่ใช่หัวใจหลัก
พอมีเรื่องโทษทางอาญาเข้ามาเกี่ยวข้อง มันจะเป็นไปได้ไหมถ้ากฎหมายคุ้มครองส่วนบุคคลอาจกลายเป็นเครื่องมือในการจัดการหรือกลั่นแกล้งทางกฎหมายกับคนเห็นต่าง คล้ายกับ พ.ร.บ. คอมพิวเตอร์
เราก็หวังว่ามันจะไม่เกิด แต่มันก็เป็นไปได้อยู่ถ้าการเอาข้อมูลส่วนบุคคลไปใช้โดยทุจริตสามารถถูกฟ้องร้องเป็นคดีอาญาได้ กรณีที่อาจเกิดขึ้นคือสมมติประชาชนอาจพยายามเปิดโปงเรื่องทุจริต แล้วเผอิญว่าฐานข้อมูลที่ได้มาอาจมีข้อมูลส่วนบุคคลของบางคนเข้ามาเกี่ยวข้อง ซึ่งอาจเป็นบุคคลที่เราต้องการจะเปิดโปง แล้วอีกฝั่งอาจรู้สึกว่าเรื่องนี้ทำให้เขาเสียหาย เขาก็อาจจะกล่าวหาได้ว่าสิ่งนี้เป็นการใช้ข้อมูลส่วนบุคคลของเขาในทางทุจริต ซึ่งที่สุดเขาอาจจะไม่ชนะคดีก็ได้ แต่มันก็มีมาตราที่สามารถเป็นความผิดได้ ดังนั้นเขาก็ฟ้องได้ หรืออย่างน้อยตำรวจก็รับแจ้งความเรื่องนี้ได้ ทำให้คนที่พยายามเปิดเผยเรื่องทุจริตเหล่านั้นต้องไปขึ้นโรงขึ้นศาล ซึ่งต่อให้สุดท้ายคนถูกฟ้องจะชนะคดี เพราะอาจอ้างว่าทำไปเพื่อประโยชน์สาธารณะต่างๆ แต่ก็อย่างที่เรารู้กันว่าการต้องเข้าสู่กระบวนการยุติธรรมไม่ใช่เรื่องน่าอภิรมย์นัก
เพราะฉะนั้นมันเป็นไปได้แต่อาจยังไม่ได้เห็นชัดเจนขนาดนั้น เราก็หวังว่าหน่วยงานที่เกี่ยวข้องหลักๆ เช่น ตำรวจ จะมีความระมัดระวังในการรับแจ้งความเรื่องเหล่านี้ ไม่ใช่ว่ารับไปทุกคดี ถ้ามันมีการกลั่นกรองในแต่ละขั้นตอนหน่อย เรื่องจะได้ไม่ต้องไปถึงศาล กระบวนการยุติธรรมก็จะจบเร็วขึ้น คนที่เกี่ยวข้องทั้งหมดจะได้รับความยุติธรรมเร็วขึ้น
แล้วถ้าคนที่ฟ้องประชาชนเป็นรัฐเอง ในกรณีที่ประชาชนพยายามเปิดโปงความไม่ชอบมาพากลของรัฐ กฎหมายได้เปิดช่องให้กรณีแบบนี้ไหม
เรื่องนี้มีคนถามเยอะมาก เช่นว่า สมมติตำรวจกำลังปฏิบัติหน้าที่ มาค้นรถเรา แล้วเราถ่ายตำรวจไว้ จะผิดไหม ผมคิดว่าเราต้องแยกว่ากฎหมายนี้กำหนดหน้าที่ให้กับหน่วยงานและบุคคลที่ทำงานในเชิงวิชาชีพ หรือเพื่อมุ่งคุ้มครองบุคคลธรรมดา ถ้าตำรวจถอดเครื่องแบบ เขาก็เป็นบุคคลธรรมดาคนหนึ่งที่ต้องได้รับการคุ้มครองตามกฎหมายนี้ แต่เมื่อไหร่ที่เขากำลังปฏิบัติหน้าที่ เขาก็เป็นเจ้าพนักงานของรัฐที่จะต้องมีความรับผิดชอบ ต้องโปร่งใส ถูกตรวจสอบได้ ดังนั้น ในขณะที่เราถ่ายรูปการปฏิบัติงานของเจ้าหน้าที่ตำรวจ เราไม่ได้ถ่ายในขณะที่เขาเป็นบุคคลธรรมดา แต่เราถ่ายเขาในฐานะที่เขากำลังใช้อำนาจรัฐ เป็นตัวแทนขององค์กรนั้นๆ อยู่ ผมคิดว่ามันต้องเป็นสิ่งที่ทำได้ ไม่อย่างนั้นการตรวจสอบการทำงานของรัฐและหน่วยงานใดๆ ก็ตามจะทำได้ลำบากมาก พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลไม่ได้มีเจตนาทำให้ความสามารถในการตรวจสอบอำนาจเหล่านี้หายไป เพราะฉะนั้นจะมาอ้าง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลเพียงเพราะมีมนุษย์เป็นส่วนเกี่ยวข้องไม่ได้
อ่าน พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้ที่ http://www.ratchakitcha.soc.go.th/DATA/PDF/2562/A/069/T_0052.PDF
