COVID-19 ข้อสังเกตต่อการเผยแพร่ข้อมูลผู้ติดเชื้อ

Cap & Corp Forum

สถานการณ์การแพร่ระบาดของ COVID-19 เหมือนจะกลับมาอีกครั้งในประเทศไทย ซึ่งจากการศึกษาและประสบการณ์ที่ผ่านมาเป็นที่ประจักษ์แล้วว่า การนำเทคโนโลยีเข้ามาใช้ในการเก็บรวบรวม ใช้ เปิดเผยข้อมูลที่เกี่ยวกับผู้ติดเชื้อ COVID-19 สามารถช่วยจำกัดการแพร่กระจายของไวรัสและช่วยในการติดตามผู้ป่วยหรือบุคคลที่มีความเสี่ยงต่อการติดเชื้อได้อย่างรวดเร็ว โดยอาศัยการติดตามการแพร่กระจายของเชื้อผ่านระบบดิจิทัลที่ได้มาจากการใช้แอปพลิเคชันต่าง ๆ ผ่านสมาร์ตโฟน

การเก็บรวบรวม ใช้ และเปิดเผยข้อมูล รวมถึงการติดตามตัวผู้ติดเชื้อหรือกลุ่มเสี่ยงผ่านการติดต่อแบบดิจิทัลและการเฝ้าระวังการติดต่อของเชื้อ COVID-19 มีโอกาสสูงที่ข้อมูลส่วนบุคคลของผู้ติดเชื้อและบุคคลที่เกี่ยวข้อง (data subject) จำนวนมากจะถูกเก็บรวบรวมและนำไปประมวลผล ประเด็นนี้จึงเป็นที่น่ากังวลเป็นอย่างมากว่าการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของผู้ติดเชื้อและผู้ที่เกี่ยวข้องเพื่อวัตถุประสงค์ในการรับมือกับการแพร่ระบาดของเชื้อ COVID-19 ในช่วงแรกนั้นอาจนำไปสู่การใช้เพื่อวัตถุประสงค์อื่น ๆ ที่ไม่เกี่ยวข้องโดยตรง หรือโดยเฉพาะกับการตอบสนองการแพร่กระจายของ COVID-19 ซึ่งอาจนำไปสู่การละเมิดข้อมูลส่วนบุคคลของเจ้าของข้อมูล ซึ่งถือเป็นสิทธิเสรีภาพขั้นพื้นฐานของบุคคล (fundamental rights) ได้

เมื่อเป็นที่ประจักษ์ว่าการใช้เทคโนโลยีในการประมวลผลข้อมูลจำนวนมากของประชาชนสามารถช่วยควบคุมการแพร่ระบาดของ COVID-19 ได้อย่างมีประสิทธิภาพ ในยุคที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำลังเข้ามามีบทบาทในการควบคุมการเก็บรวบรวม ใช้ และเผยแพร่ข้อมูลส่วนบุคคลของบุคคลอื่น ไม่ว่าจะเป็นการดำเนินการโดยหน่วยงานของรัฐหรือภาคเอกชนก็ตาม ทิศทางหรือแนวทางการบังคับใช้กฎหมายคุ้มครองข้อมูลในภาวะวิกฤติแบบนี้ควรจะเป็นไปในทิศทางใด ควรจะได้รับการยกเว้นหรือชะลอการบังคับต่อกรณีที่มีการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวข้องกับการควบคุมการแพร่ระบาดของเชื้อ COVID-19 หรือไม่

ในประเด็นข้างต้น United Nations Secretary-General หรือเลขาธิการสหประชาชาติได้ตั้งข้อสังเกตไว้ในประเด็นของการควบคุมการแพร่ระบาดของเชื้อ COVID-19 กับสิทธิมนุษยชนไว้ว่า สิทธิมนุษยชนเป็นเรื่องที่ไม่ควรถูกละเลย และควรเป็นเรื่องสำคัญในการผ่านวิกฤติโรคระบาดในครั้งนี้ เนื่องจากสิทธิมนุษยชนเป็นสิ่งที่ช่วยผลักดันให้ประชาชนเป็นจุดศูนย์กลางในการแก้ปัญหาในมิติต่าง ๆ การแก้ปัญหาโรคระบาดโดยไม่ละเลยหรือลดความสำคัญต่อสิทธิมนุษยชน จะทำให้การแก้ปัญหาโรคระบาดได้ผลลัพธ์ที่ดีกว่าทั้งในด้านของสุขภาพของประชาชน และยังคงไว้ซึ่งความเป็นส่วนตัว ซึ่งเป็นสิทธิขั้นพื้นฐานของประชาชน

ดังนั้นในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของประชาชน จึงควรอยู่บนพื้นฐานของหลักการต่าง ๆ ดังต่อไปนี้

1. ต้องเป็นไปโดยชอบด้วยกฎหมาย มีระยะเวลาและขอบเขตที่ชัดเจน อยู่บนพื้นฐานของหลักความจำเป็นและความได้สัดส่วน (minimization & proportionate) และอย่างเฉพาะเจาะจง (specific) บนฐานเพื่อประโยชน์โดยชอบด้วยกฎหมายต่อการควบคุมการแพร่ระบาดของโรค COVID-19
2. ต้องดำเนินการโดยรักษาความเป็นความลับของข้อมูล (confidentiality) ความมั่นคงปลอดภัยของข้อมูล (data security) มีกำหนดระยะเวลาการลบหรือทำลายข้อมูล (data retention) อย่างชัดเจนและสอดคล้องวัตถุประสงค์ในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลตามที่ได้แจ้งไว้แก่เจ้าของข้อมูลส่วนบุคคล
3. ดำเนินการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลด้วยความโปร่งใส (transparency) เพื่อเป็นการสร้างความเชื่อมั่นให้กับประชาชนในการให้ข้อมูลส่วนบุคคล

ในขณะที่ European Data Protection Board (EDPB) ได้ให้แนวทางปฏิบัติในการประมวลผลข้อมูลส่วนบุคคลที่เป็นข้อมูลสุขภาพ (health data) รวมถึงข้อมูลด้านตำแหน่งที่ตั้ง (geolocation) ในบริบทของการควบคุมหรือต่อสู้กับสถานการณ์ COVID-19 ว่าสามารถกระทำได้บนฐานความความชอบด้วยกฎหมาย (legal basis) สองฐานหลักด้วยกัน คือ 1) เพื่อการศึกษาวิจัยทางวิทยาศาสตร์ และ 2) เพื่อประโยชน์สาธารณะในด้านของการสาธารณสุข โดยในการประมวลผลข้อมูลส่วนบุคคลของผู้ควบคุมข้อมูลส่วนบุคคลที่กระทำเพื่อการศึกษาวิจัยทางวิทยาศาสตร์ สามารถกระทำได้โดยไม่ต้องแจ้งเจ้าของข้อมูลส่วนบุคคลให้ทราบ ทั้งนี้การประมวลผลข้อมูลดังกล่าวต้องอยู่บนหลักความได้สัดส่วน (Article 14 GDPR) โดย EDPB ยังย้ำอีกว่ากฎหมายคุ้มครองข้อมูลส่วนบุคคล หรือ GDPR ไม่ควรเป็นอุปสรรคต่อการเปิดเผย หรือส่งต่อข้อมูลที่อยู่บนพื้นฐานของความจำเป็นและความได้สัดส่วนในการต่อสู้กับการระบาดของ COVID-19 ในขณะเดียวกันก็ต้องบังคับใช้เพื่อเป็นการคุ้มครองสิทธิเสรีภาพขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคล

จะเห็นได้ว่าทั้ง UN Secretary-General และ EDPB ต่างมีความเห็นไปในทิศทางเดียวกัน กล่าวคือแม้การต่อสู้กับสถานการณ์การแพร่ระบาดของ COVID-19 จะต้องอาศัยความรวดเร็วในการเผยแพร่และแลกเปลี่ยนข้อมูล แต่วิกฤติดังกล่าวก็ไม่ควรถูกนำมาเป็นข้อยกเว้นในการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคล การประมวลผลข้อมูลส่วนบุคคลใด ๆ ควรทำอยู่บนฐานที่กฎหมายให้กระทำได้ และต้องมั่นใจว่าอยู่บนหลักของความจำเป็นและความได้สัดส่วนเสมอ ทั้งนี้เพื่อเป็นการลดความเสี่ยงต่อการเกิดเหตุการละเมิดข้อมูล (data breach) และผลกระทบต่อสิทธิเสรีภาพของประชาชน

ด้วยเหตุนี้ การประมวลผลข้อมูลส่วนบุคคลในสภาวะการแพร่ระบาดของ COVID-19 นี้ ผู้ควบคุมข้อมูลส่วนบุคคลควรเปิดเผยข้อมูลอย่างจำกัด และเพียงเท่าที่จำเป็นในรูปแบบของ anonymized data และจัดทำการประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล (DPIA) เพื่อให้มั่นใจว่าข้อมูลที่ถูกใช้หรือเปิดเผยนั้นทำไปเพียงเท่าที่จำเป็น และส่งต่อไปยังบุคคลที่สามที่จำเป็นต้องได้รับข้อมูลดังกล่าวเท่านั้น

ในส่วนของพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ก็มีบทยกเว้นให้สามารถเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลได้โดยไม่ต้องได้รับความยินยอมในลักษณะเดียวกับ GDPR เช่นกัน กล่าวคือในมาตรา 26(5)(ข) เพื่อประโยชน์ด้านสาธารณสุข เช่นการป้องกันด้านสุขภาพจากโรคติดต่ออันตรายหรือโรคติดต่อที่อาจติดหรือแพร่เข้ามาในราชอาณาจักร และมาตรา 26(5)(ง) เพื่อการศึกษาวิจัยทางวิทยาศาสตร์ โดยทั้งสองกรณีต้องเป็นการกระทำที่ต้องเคารพและตระหนักถึงเรื่องของการคุ้มครองสิทธิและเสรีภาพขั้นพื้นฐานของเจ้าของข้อมูลและความเป็นความลับของข้อมูลด้วย เพราะกฎหมายไม่ได้ยกเว้นการใช้บังคับของสิทธิอื่น ๆ ของเจ้าของข้อมูลส่วนบุคคล และหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคลในเรื่องมาตรการด้านความปลอดภัยของข้อมูลส่วนบุคคล โดยเฉพาะข้อมูลด้านสุขภาพที่กฎหมายกำหนดมาตรฐานไว้สูงกว่าข้อมูลส่วนบุคคลทั่วไป

…

ศุภวัชร์ มาลานนท์

คณะนิติศาสตร์ มหาวิทยาลัยสงขลานครินทร์

Max Planck Institute Luxembourg

ชิโนภาส อุดมผล

Optimum Solution Defined (OSDCo., Ltd.)