การเฝ้าระวังด้านสาธารณสุขในสถานการณ์โควิด-19

Cap & Corp Forum

ในสถานการณ์แพร่ระบาดของโควิด-19 มาตรการที่หลาย ๆ ประเทศนำมาใช้เพื่อต่อสู่กับการแพร่ระบาดอย่างก้าวกระโดดคือ “การเฝ้าระวังด้านสาธารณสุข” (Public health surveillance) โดยการใช้ประโยชน์จากเทคโนโลยีสารสนเทศเข้ามาช่วยในการเฝ้าระวังและติดตามการแพร่เชื้อ และเทคโนโลยีที่ถูกใช้มากที่สุดคือ การระบุ “ข้อมูลพิกัด” (Geolocation data) ผ่านระบบสัญญาณโทรศัพท์เคลื่อนที่ซึ่งเป็นอุปกรณ์ประจำตัวของคนส่วนใหญ่ในสังคมไปแล้ว โดยผู้ให้บริการโทรคมนาคมจะสามารถระบุพิกัดและการเคลื่อนย้ายของโทรศัพท์เคลื่อนที่ได้

การเฝ้าติดตามข้อมูลพิกัดของบุคคลแม้จะเพื่อการสร้างความเชื่อมั่นต่อความปลอดภัยสาธารณะและมีวัตถุประสงค์เพื่อต่อสู้กับอุบัติการณ์ของโควิด-19 ก็ตาม แต่ในขณะเดียวกัน การเข้าถึงและการใช้ประโยชน์จากข้อมูลพิกัดของบุคคลดังกล่าวก็สร้างความกังวลต่อการละเมิดสิทธิในความเป็นส่วนตัวอย่างไม่อาจหลีกเลี่ยงได้ เนื่องจากทั้งข้อมูลพิกัดของบุคคลและข้อมูลด้านสุขภาพของบุคคล ถือว่าเป็น “ข้อมูลส่วนบุคคล” ซึ่งในหลาย ๆ ประเทศถือว่าเป็นข้อมูลส่วนบุคคลลักษณะพิเศษที่กฎหมายให้ความคุ้มครองมากกว่าข้อมูลส่วนบุคคลโดยทั่วไป

การแพร่ระบาดของโควิด-19 ทำให้หน่วยงานที่ทำหน้าที่คุ้มครองข้อมูลส่วนบุคคลในหลายประเทศต้องออกข้อแนะนำในการประมวลผลข้อมูลส่วนบุคคลภายใต้สถานการณ์โควิด-19 ขึ้น โดยจากข้อมูล ณ วันที่ 25 มีนาคม 2563 ของ Global Privacy Assembly (GPA) ซึ่งเป็นสมัชชาของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลระหว่างประเทศซึ่งมีสมาชิกจำนวนกว่า 130 ประเทศ ได้ให้ข้อมูลว่ามีประเทศสมาชิกจำนวนไม่น้อยกว่า 27 ประเทศได้ออกข้อแนะนำในการประมวลผลข้อมูลส่วนบุคคลภายใต้สถานการณ์โควิด-19 เพื่อให้การดำเนินงานของทุกฝ่ายที่เกี่ยวข้องเป็นไปอย่างมีประสิทธิภาพ เคารพหลักการของกฎหมายและเพื่อมิให้ข้อมูลเหล่านั้นถูกใช้ไปในทางที่บิดเบือนและไม่ให้กฎหมายคุ้มครองข้อมูลส่วนบุคคลเป็นอุปสรรคต่อการดำเนินงานของผู้เกี่ยวข้องในการจัดการปัญหาความปลอดภัยด้านสาธารณสุข (ดูรายละเอียดข้อแนะนำของประเทศต่าง ๆ ได้ที่ https://globalprivacyassembly.org/covid19/)

ภายใต้วิกฤตโควิด-19 การชั่งประโยชน์ระหว่างการคุ้มครองข้อมูลส่วนบุคคลกับการคุ้มครองชีวิตของบุคคลเป็นสิ่งที่มิอาจหลีกเลี่ยงได้ ซึ่งแน่นอนว่าการคุ้มครอง การป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของเจ้าของข้อมูลส่วนบุคคลหรือบุคคลอื่นย่อมมีความสำคัญกว่าการคุ้มครองข้อมูลส่วนบุคคล ซึ่งทำให้มาตรการที่แต่ละรัฐนำมาใช้มีความเข้มงวดแตกต่างกันขึ้นอยู่กับระบบกฎหมายและความร้ายแรงของสภาพปัญหา ประเทศจีนและประเทศเกาหลีใต้เป็นตัวอย่างของประเทศที่ใช้มาตรการอย่างเด็ดขาดในการเข้าถึงและใช้ข้อมูลส่วนบุคคลผ่านการระบุพิกัด (Phone location data) รวมถึงการใช้เทคโนโลยีการจดจำใบหน้าเพื่อการติดตามและเฝ้าระวัง และประสบความสำเร็จในการใช้มาตรการดังกล่าวเพื่อลดจำนวนการแพร่ระบาดและผู้ติดเชื้อ

ฮ่องกงผ่อนคลายมาตรการลง โดยการขอความยินยอมจากผู้ที่ต้องกักตัวเองหรือเฝ้าระวังเพื่อติดตามการเคลื่อนไหวของบุคคลดังกล่าว ส่วนสิงคโปร์ใช้แอป “TraceTogether” เป็นมาตรการสมัครใจ เพื่อเตือนบุคคลเมื่อเข้าใกล้บุคคลที่อาจมีความเสี่ยง โดยข้อมูลส่วนบุคคลเหล่านั้นจะถูกเข้ารหัส และรัฐบาลต้องได้รับความยินยอมจากเจ้าของข้อมูลเสียก่อน

ในขณะที่ประเทศในยุโรปมีมาตรการที่เข้มงวดแตกต่างกัน ประเทศอิตาลีซึ่งมีจำนวนผู้ติดเชื้อและเสียชีวิตจำนวนมากจนนำไปสู่การประกาศสถานการณ์ฉุกเฉินในวันที่ 31 มกราคม 2563 ได้ยกเลิกข้อจำกัดด้านการคุ้มครองข้อมูลส่วนบุคคลไปจนถึงวันที่ 30 กรกฎาคม 2563 ซึ่งการยกเลิกข้อจำกัดดังกล่าวทำให้รัฐบาลอิตาลีสามารถแบ่งปันและใช้ประโยชน์จากข้อมูลส่วนบุคคลได้อย่างกว้างขวาง ทั้งข้อมูลสุขภาพและข้อมูลชีวภาพ เพื่อให้รัฐบาลและหน่วยงานด้านสาธารณสุขสามารถนำข้อมูลดังกล่าวไปใช้ในการจัดการการแพร่ระบาดของโควิด-19 ได้ นอกจากนี้ Vodafone ซึ่งเป็นผู้ให้บริการโทรคมนาคมรายใหญ่ของประเทศก็ได้ให้ข้อมูลของผู้ใช้บริการที่ถูกทำให้ไม่สามารถระบุตัวบุคคลได้ แก่รัฐบาล (Aggregated and anonymized) เพื่อใช้ในการติดตามการเคลื่อนย้ายของบุคคลในแคว้นลอมบาร์ดีเพื่อประโยชน์ในการติดตาม เฝ้าระวังและคัดแยกผู้ติดเชื้ออีกด้วย รวมถึงการเฝ้าระวังว่าประชาชนได้อยู่ในพื้นที่จำกัดตามที่กฎหมายกำหนดในสถานการณ์ฉุกเฉินหรือไม่ โดยประเทศเยอรมนีและออสเตรียก็มีการใช้ข้อมูลลักษณะดังกล่าวจากผู้ให้บริการโทรคมนาคมเช่นเดียวกัน

นอกจากนี้ คณะกรรมการข้อมูลส่วนบุคคลยุโรป (European Data Protection Board, “EDPB”) ได้ออกข้อเสนอแนะเมื่อวันที่ 19 มีนาคม 2563 เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลในสถานการณ์โควิด-19 เพื่อเป็นแนวทางสำหรับผู้เกี่ยวข้อง โดยมีสาระสำคัญว่าต้องไม่ละเลยต่อเงื่อนไขความชอบด้วยกฎหมายของการประมวลผลข้อมูลส่วนบุคคลและกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป อันได้แก่ GDPR และ ePrivacy Directive ยังคงใช้บังคับอยู่แม้ในสถานการณ์โควิด-19 แต่กฎหมายก็มีความยืดหยุ่นเพียงพอที่จะใช้ในสถานการณ์ดังกล่าวได้ เนื่องจากมีข้อยกเว้นในเรื่องความปลอดภัยด้านสาธารณสุขและในสถานการณ์ฉุกเฉิน แต่อย่างไรก็ตามการดำเนินการใด ๆ ต่อข้อมูลส่วนบุคคลก็ต้องอยู่บนหลักการของหลักความจำเป็น หลักความได้สัดส่วน และต้องใช้มาตรการที่มีผลกระทบน้อยที่สุดเพื่อบรรลุวัตถุประสงค์ดังกล่าวเท่านั้น และประการสำคัญมาตรการเหล่านั้นต้องอยู่ภายใต้หลักการตรวจสอบความชอบด้วยกฎหมายโดยศาลด้วย

สำหรับสหรัฐอเมริกาข้อมูลสุขภาพอยู่ภายใต้ Health Insurance Portability and Accountability Act (HIPAA) ซึ่งกระทรวงสาธารณสุขสหรัฐอเมริกาได้ออกข้อยกเว้นในการบังคับใช้ HIPAA Rule เพื่อให้หน่วยงานภายใต้บังคับกฎหมายและบุคลากรด้านสาธารณสุขสามารถแบ่งปันข้อมูลด้านสุขภาพของคนไข้ได้โดยไม่มีความรับผิด และอนุญาตให้ใช้ช่องทางการสื่อสารที่อาจไม่เป็นไปตามมาตรฐานความปลอดภัยของ HIPAA Rule อาทิ FaceTime, Facebook Messenger, Google Hangouts และ Skype ในการติดต่อสื่อสารกับคนไข้ได้ และในสหรัฐอเมริกาอาจมีแนวโน้มว่ารัฐบาลกลางจะขอความร่วมมือจากบริษัทเทคโนโลยีชั้นนำทั้งผู้ให้บริการโทรคมนาคมและบริษัทอย่าง Google และ Facebook เพื่อให้ส่งมอบข้อมูลพิกัดของบุคคลต่อรัฐบาลเพื่อนำข้อมูลพิกัดนั้นมาใช้ในการรับมือสถานการณ์การแพร่ระบาดอีกด้วย

จากข้อมูลข้างต้นเป็นเพียงตัวอย่างของมาตรการต่าง ๆ ที่แต่ละประเทศนำมาใช้เพื่อต่อสู้กับวิกฤติโควิด-19 เท่านั้น โดยความน่ากังวลที่สุดในแง่มาตรการเฝ้าระวังของรัฐที่เกิดขึ้นจากวิกฤติครั้งนี้ที่นักกฎหมายและนักสิทธิมนุษยชนต่างกังวลคือ วิกฤตินี้อาจทำให้เกิดการปรับเปลี่ยนกระบวนทัศน์ในการคุ้มครองข้อมูลส่วนบุคคลโดยรัฐที่อาจจะถูกทำให้ด้อยค่าลงในอนาคตด้วยข้ออ้างในเรื่องมาตรการด้านความปลอดภัยสาธารณะก็เป็นได้ และจะนำมาซึ่งความไม่มีข้อจำกัดในการใช้เทคโนโลยีเพื่อมาตรการเฝ้าระวังแม้ในยามสถานการณ์ปกติก็ตาม

…

ศุภวัชร์ มาลานนท์

คณะนิติศาสตร์ มหาวิทยาลัยสงขลานครินทร์

Fulbright Hubert H. Humphrey Fellowship

American University Washington College of Law