ความไม่พร้อมในการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคล (2)

Cap & Corp Forum

ขณะนี้เริ่มมีเสียงเรียกร้องให้มีการเลื่อนการบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลพ.ศ. 2562 ซึ่งควรจะต้องมีผลบังคับใช้ทั้งฉบับได้ในวันที่ 27 พฤษภาคม 2563 นี้ออกไปมากขึ้นเรื่อย ๆ ส่วนหนึ่งด้วยอ้างว่าความไม่พร้อมของหลาย ๆ ภาคส่วนที่เกี่ยวข้องทั้งเอกชนที่ต้องอยู่ภายใต้บังคับแห่งกฎหมายและหน่วยงานของรัฐที่ต้องบังคับใช้กฎหมาย

ในขณะที่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลก็ยังไม่ได้จัดตั้งขึ้นตามกฎหมาย และคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเพิ่งได้รับการสรรหาและแต่งตั้งแล้วเสร็จและยังคงมีอนุบัญญัติอีกจำนวนมากที่ต้องมีการตราขึ้นเพื่อให้การบังคับใช้พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ สามารถบังคับใช้ได้อย่างมีประสิทธิภาพและเป็นไปตามเงื่อนไขของกฎหมาย ดังนั้น โดยข้อเท็จจริง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ อย่างไรเสียก็คงไม่สามารถบังคับใช้ได้ทันภายในวันที่ 27 พฤษภาคม 2563 อย่างแน่นอน

การไม่สามารถบังคับใช้พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ส่วนหนึ่งถือเป็นความล้มเหลวของภาครัฐตั้งแต่กระบวนการตรากฎหมายในชั้น สนช. ที่ขาดการมีส่วนร่วมของทุกภาคส่วนอย่างแท้จริงโดยเฉพาะการไม่สามารถสร้างความรับรู้ให้แก่หน่วยงานรัฐต่าง ๆ ซึ่งแม้ว่ากฎหมายฉบับนี้จะมีข้อยกเว้นจำนวนมากเพื่อให้หน่วยงานรัฐที่ทำภารกิจบางประการไม่ต้องอยู่ภายใต้พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ

แต่นั่นกลับเป็นความเข้าใจที่คลาดเคลื่อนอย่างมากจากการนำเข้าระบบกฎหมาย GDPR มาจากสหภาพยุโรปที่ในการตรา GDPR นั้นมีการตรากฎหมายคู่ขนานขึ้นมาอีกฉบับหนึ่งด้วยคือ Law Enforcement Directive หรือ LED (Directive (EU) 2016/680) เพื่อใช้ในการกำหนดกรอบการบังคับใช้กฎหมายโดยหน่วยงานรัฐให้สอดคล้องกับมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลของ GDPR โดยคำนึงถึงข้อยกเว้นและความจำเป็นต่าง ๆ ของหน่วยงานบังคับใช้กฎหมาย ดังนั้น ความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลจึงมิใช่เพียงแต่การป้องกันภาคธุรกิจจากการละเมิดข้อมูลส่วนบุคคลเท่านั้น แต่ความสำคัญยังอยู่ที่หน่วยงานของรัฐต่าง ๆ ที่เข้ามาเกี่ยวข้องกับข้อมูลส่วนบุคคลของประชาชนตลอดเวลาอีกด้วย

ยิ่งในสภานการณ์ฉุกเฉินที่มีความปลอดภัยสาธารณะด้านสุขภาพเข้ามาเกี่ยวข้องในขณะนี้ การบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลทั่วโลกจึงมีความจำเป็นต้องปรับตัวและเงื่อนไขการบังคับใช้หลายประการ ในประเทศที่มีความเข้มแข็งด้านการบังคับใช้กฎหมาย ก็จะนำหลักเกณฑ์ข้อยกเว้นมาใช้บังคับบนพื้นฐานของการเคารพสิทธิในข้อมูลส่วนบุคคลของเอกชน และใช้มาตรการที่กระทบต่อสิทธิน้อยที่สุด รวมถึงการให้จัดทำผลกระทบต่อความเป็นส่วนตัวของข้อมูลส่วนบุคคลอีกด้วย

ในขณะที่ประเทศไทย ความไม่พร้อมของการใช้บังคับกฎหมายเริ่มตั้งแต่การไม่มีหน่วยงานและองค์กรบังคับใช้กฎหมาย การอยู่ภายใต้ระบบรัฐราชการที่ไม่คุ้นเคยกับการให้ความคุ้มครองข้อมูลส่วนบุคคล และขาดกรอบนโยบายกฎหมายคู่ขนานอย่าง Law Enforcement Directive ของสหภาพยุโรปเพื่อกำกับหน่วยงานรัฐในการกระทำต่าง ๆ ที่เกี่ยวข้องกับการประมวลผลและการคุ้มครองข้อมูลส่วนบุคคล ยิ่งทำให้ภาพความไม่พร้อมของการใช้บังคับกฎหมายมีความชัดเจนมากขึ้นเรื่อย ๆ

เพราะท้ายที่สุด พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ อาจจะกลายเป็นเพียง Checkbox ของภาคเอกชนเพื่อให้หน่วยงานรัฐตรวจทานว่าอะไรทำแล้วหรือยังไม่ได้ทำเท่านั้น ซึ่งในกรณีนี้กฎหมายก็จะมีคุณค่าเป็นเพียงมาตรฐานทางรูปแบบที่ไม่สามารถคุ้มครองเนื้อหาแห่งสิทธิของประชาชนได้เลย

จึงไม่ต้องแปลกใจที่เราจะยังคงเห็นการนำผู้ต้องหาว่ากระทำผิดออกมาแถลงข่าว การเผยแพร่คลิปวิดีโอต่าง ๆ ออกสู่สาธารณะโดยไม่ใช่เพื่อกิจการในครอบครัวหรือไม่มีอำนาจหน้าที่ตามกฎหมาย การนำโดรนขึ้นบินตรวจลาดตระเวนโดยอ้างวัตถุประสงค์ในการรักษาความปลอดภัยหรือตรวจหาผู้ที่อาจมีโอกาสติดเชื้อ การใช้เครื่องตรวจวัดอุณหภูมิที่สามารถประมวลผลข้อมูลด้านสุขภาพของบุคคล การใช้ Mass Surveillance โดยระบบเทคโนโลยีการจดจำใบหน้า การบังคับให้ต้องยอมรับการเฝ้าระวังติดตามผ่านระบบแอปพลิเคชันหรือเครือข่ายโทรคมนาคม หรือ Contact tracing เป็นต้น

เทคโนโลยีต่าง ๆ ข้างต้นในประเทศตะวันตกไม่ใช่ของใหม่ แต่ทำไมการนำมาใช้ในสถานการณ์โควิด-19 จึงมีข้อจำกัดและถูกคัดค้านอย่างมาก เหตุผลประการสำคัญคือ สิทธิส่วนบุคคลและสิทธิในความเป็นส่วนตัวของข้อมูลส่วนบุคคลเป็นสิทธิขั้นพื้นฐานที่สำคัญที่รัฐหรือใครไม่พึงพรากไปเสียจากบุคคลได้ และประเทศเหล่านี้มีการต่อสู้อันยาวนานทางความคิด ทางการเมือง และกระบวนการทางศาล

เพื่อให้ยืนยันและยืนหยัดบนหลักการของการคุ้มครองสิทธิขั้นพื้นฐานดังกล่าว มาตรการต่าง ๆ ของรัฐที่จะก้าวล่วงสิทธิในข้อมูลส่วนบุคคลจึงต้องอยู่บนหลักความชอบด้วยกฎหมาย ความได้สัดส่วนและความเหมาะสม และประชาชนย่อมมีสิทธิตรวจสอบโต้แย้งว่ากฎหมายและมาตรการเหล่านั้นมีความชอบด้วยกฎหมายหรือไม่ เคารพหลักความได้สัดส่วนและเหมาะสมหรือไม่เพียงใด มิใช่มีกฎหมายให้ทำได้ รัฐก็สามารถกระทำได้ทุกอย่าง

กรณีตัวอย่างของสหภาพยุโรป เพื่อสร้างความสมดุลระหว่างสิทธิของปัจเจกบุคคลและความปลอดภัยสาธารณะ คณะกรรมการคุ้มครองข้อมูลสหภาพยุโรป (EDPB) ได้ออกข้อแนะนำสำหรับคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลของประเทศสมาชิกเกี่ยวกับการเฝ้าติดตามบุคคลตาม Guidelines 04/2020 on the use of location data and contact tracing tools in the context of the COVID-19outbreak (Adopted on 21 April 2020)

เพื่อให้คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลของประเทศสมาชิกและผู้เกี่ยวข้องได้มีแนวทางในการบังคับใช้กฎหมาย GDPR ในสถานการณ์โควิด-19 โดยที่ไม่ละเมิดหลักการสำคัญของการคุ้มครองข้อมูลส่วนบุคคล ทั้งนี้ เพื่อจำกัดการเข้าถึงข้อมูลสุขภาพและการประมวลผลเพียงเท่าที่จำเป็น จำกัดระยะเวลาการเก็บข้อมูล และประการสำคัญคือเรื่องมาตรฐานความปลอดภัยของข้อมูลเหล่านั้น เป็นต้น

เมื่อพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ กำลังจะมามีผลบังคับใช้ในช่วงสถานการณ์โควิด-19 ความคุ้นชินที่ประชาชนพบเห็นขณะนี้คือความปลอดภัยด้านสุขภาพต้องมาก่อนสิทธิในความเป็นส่วนตัวของข้อมูลส่วนบุคคลตามที่รัฐมักกล่าวอ้างเสมอ ผู้เขียนจึงค่อนข้างเชื่อว่า New Normal หรือ “ความปกติใหม่” ของการคุ้มครองข้อมูลส่วนบุคคลของไทยในแง่การคุ้มครองสิทธิขั้นพื้นฐานของประชาชนน่าจะออกไปในทิศทางที่อาจไม่เห็นการบังคับใช้มากนักกับการดำเนินการของภาครัฐหรือที่เกี่ยวเนื่องกับกิจกรรมของรัฐ หรือเราอาจจะไม่สามารถเรียกว่าความปกติใหม่เพราะเราไม่เคยมีมาตรฐานการคุ้มครองสิทธิมาก่อนหน้านี้เพื่อใช้เป็นจุดอ้างอิงหรือเปรียบเทียบ

…

ศุภวัชร์ มาลานนท์

คณะนิติศาสตร์ มหาวิทยาลัยสงขลานครินทร์