มาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล

มาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ เป็นคนละเรื่องกับการรักษาความมั่นคงปลอดภัยไซเบอร์

Cap & Corp Forum

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จะเริ่มมีผลใช้บังคับทั้งฉบับในวันที่ 28 พฤษภาคม 2563 แม้ว่าพระราชบัญญัติดังกล่าวจะได้บัญญัติรองรับสิทธิของเจ้าของข้อมูลส่วนบุคคลไว้หลายประการ แต่ในขณะเดียวกัน สิทธิดังกล่าวก็เป็นต้นทุนในการประกอบธุรกิจที่สำคัญและผู้ประกอบการก็มีหน้าที่ที่จะต้องปรับเปลี่ยนพฤติกรรมการประกอบธุรกิจและดำเนินการต่าง ๆ ตามที่กฎหมายกำหนดให้ครบถ้วน โดยต้นทุนประการหนึ่งที่จะเกิดขึ้นอย่างแน่นอนกับทุก ๆ ธุรกิจที่มีความเกี่ยวข้องกับการเก็บ รวบรวม ใช้ และประมวลผลข้อมูลส่วนบุคคลคือ ต้นทุนที่เกี่ยวเนื่องกับมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล (data security) ซึ่งเป็นประเด็นที่สำคัญไม่น้อยกว่าการได้มา การเก็บและรวบรวมข้อมูลส่วนบุคคลเลย

มาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ เป็นคนละเรื่องกับการรักษาความมั่นคงปลอดภัยไซเบอร์ตามพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 เนื่องจากกฎหมายฉบับดังกล่าวตราขึ้นเพื่อวัตถุประสงค์ในการป้องกันภัยคุกคามทางไซเบอร์ที่อาจกระทบต่อโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (cyber security)

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ กำหนดหน้าที่และความรับผิดของบุคคลที่เกี่ยวข้องกับมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลไว้ดังนี้

1.หน้าที่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมของผู้ควบคุมข้อมูลส่วนบุคคล

มาตรา 37(1)  กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ และต้องทบทวนมาตรการดังกล่าวเมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้มีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม  ทั้งนี้ ให้เป็นไปตามมาตรฐานขั้นต่ำที่คณะกรรมการประกาศกำหนด และผู้ควบคุมข้อมูลส่วนบุคคลที่ฝ่าฝืนหรือไม่ปฏิบัติตามมาตรา 37 นี้ ต้องระวางโทษปรับทางปกครองไม่เกินสามล้านบาท (มาตรา 83)

ความยากและซับซ้อนของการบังคับใช้มาตราดังกล่าวมีหลายประการ อาทิ อะไรคือมาตรการที่เหมาะสม ณ ขณะเวลาหนึ่ง ๆ การทบทวนเมื่อจำเป็นคืออะไร ต้องทำอย่างไร ความถี่มากน้อยแค่ไหน ตัวอย่างเช่น ถ้าท่านทำธุรกิจออนไลน์ มีหน้าเว็บไซต์ของตัวเอง มีการให้ลงทะเบียนหรือเก็บข้อมูลส่วนบุคคลของลูกค้าไว้ เพียงเท่านี้ท่านก็เข้าเงื่อนไขของกฎหมายที่อาจจะต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมของข้อมูลเหล่านั้นแล้ว ลองคิดดูว่าขนาดสถาบันการเงินชั้นนำของโลก หรือบริษัทเทคโนโลยีชั้นแนวหน้าก็ปรากฏว่าตกเป็นเหยื่อของการถูกจารกรรมข้อมูลหรือการรั่วไหลของข้อมูลอยู่เป็นประจำ แล้วธุรกิจขนาดเล็กจะต้องมีมาตรการอย่างไรจึงจะเหมาะสมและเพียงพอ ซึ่งเมื่อพิจารณาโทษปรับทางปกครองไม่เกินสามล้านบาทดังกล่าวแล้ว ก็ถือว่าสูงมากสำหรับธุรกิจขนาดเล็กหรือ start-up

ข้อสังเกตอีกประการหนึ่งคือ มาตรา 37(1) กำหนดหน้าที่และความรับผิดทางปกครอง (ไม่ใช่โทษทางอาญา) ของผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น ส่วนคนที่เข้ามาจารกรรมข้อมูลนั้นไปก็อาจจะมีความผิดตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 ซึ่งเป็นโทษทางอาญา

2.หน้าที่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมของผู้ประมวลผลข้อมูลส่วนบุคคล

นอกจากผู้ควบคุมข้อมูลส่วนบุคคลที่มีหน้าที่ตามมาตรา 37 แล้ว กฎหมายได้กำหนดหน้าที่ในลักษณะเดียวกันให้กับผู้ประมวลผลข้อมูลส่วนบุคคลด้วย โดยมาตรา 40(2)  กำหนดว่าผู้ประมวลผลข้อมูลส่วนบุคคลมีหน้าที่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ รวมทั้งแจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบถึงเหตุการละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้น และหากผู้ประมวลผลข้อมูลส่วนบุคคลไม่ปฏิบัติตามมาตรา 40 โดยไม่มีเหตุอันควร ต้องระวางโทษปรับทางปกครองไม่เกินสามล้านบาท (มาตรา 86)

3.หน้าที่บันทึกรายการคำอธิบายเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัย 

เมื่อธุรกิจมีการดำเนินการและจัดให้มีมาตรการตามที่กฎหมายกำหนดแล้ว มาตรา 39(8) กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลต้องบันทึกรายการ “คำอธิบายเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัยตามมาตรา 37(1)” เพื่อให้เจ้าของข้อมูลส่วนบุคคลซึ่งก็อาจจะเป็นผู้บริโภค หรือผู้ซื้อของออนไลน์ ฯลฯ สามารถตรวจสอบได้ (ไม่ว่าเขาจะอ่านหรือไม่ก็ตาม) โดยจะบันทึกเป็นหนังสือหรือระบบอิเล็กทรอนิกส์ก็ได้ และหากผู้ควบคุมข้อมูลส่วนบุคคลไม่ปฏิบัติตามมาตรา 39 วรรคหนึ่ง ก็จะต้องระวางโทษปรับทางปกครองไม่เกินหนึ่งล้านบาท (มาตรา 82)

บทบัญญัติในมาตรานี้เป็นเรื่องของการแจ้ง (notice) เท่านั้น ไม่ได้พิจารณาว่ามาตรการที่มีเหมาะสมหรือไม่ แต่ถ้าไม่จัดทำคำอธิบายฯ ดังกล่าว ก็จะเป็นความผิดทางปกครองทันที

นอกจากความรับผิดทางปกครองที่กล่าวมาข้างต้นแล้ว ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลที่กระทำการฝ่าฝืนหน้าที่ที่กฎหมายกำหนดก็อาจจะต้องมีความรับผิดทางแพ่งต่อเจ้าของข้อมูลส่วนบุคคลอีกด้วย โดยมาตรา 77 ประกอบมาตรา 78 กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลซึ่งดำเนินการใด ๆ เกี่ยวกับข้อมูลส่วนบุคคลอันเป็นการฝ่าฝืนหรือไม่ปฏิบัติตามบทบัญญัติแห่งพระราชบัญญัตินี้ ทำให้เกิดความเสียหายต่อเจ้าของข้อมูลส่วนบุคคล ต้องชดใช้ค่าสินไหมทดแทนเพื่อการนั้นแก่เจ้าของข้อมูลส่วนบุคคล และให้ศาลมีอำนาจสั่งให้ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลจ่ายค่าสินไหมทดแทนเพื่อการลงโทษเพิ่มขึ้นจากจำนวนค่าสินไหมทดแทนที่แท้จริงที่ศาลกำหนดได้ตามที่ศาลเห็นสมควร แต่ไม่เกินสองเท่าของค่าสินไหมทดแทนที่แท้จริงนั้น  โดยสิทธิเรียกร้องค่าเสียหายอันเกิดจากการละเมิดข้อมูลส่วนบุคคลตามพระราชบัญญัตินี้เป็นอันขาดอายุความเมื่อพ้นสามปีนับแต่วันที่ผู้เสียหายรู้ถึงความเสียหายและรู้ตัวผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลที่ต้องรับผิด หรือเมื่อพ้นสิบปีนับแต่วันที่มีการละเมิดข้อมูลส่วนบุคคล

ดังนั้น นอกจากจะโดนโทษปรับทางปกครองแล้ว ก็อาจจะต้องรับผิดทางแพ่งอีกด้วยจากเหตุการณ์คราวเดียวกัน ก็คงต้องรอดูว่าภาครัฐจะกำหนดมาตรฐานขั้นต่ำอย่างไรเพื่อให้ครอบคลุมในทุก ๆ ลักษณะของธุรกิจและการประกอบการ และมาตรฐานของมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลนี้ จะเป็นต้นทุนสำคัญในการประกอบธุรกิจในอนาคต

ศุภวัชร์ มาลานนท์

คณะนิติศาสตร์ มหาวิทยาลัยสงขลานครินทร์

Fulbright Hubert H. Humphrey Fellowship

American University Washington College of Law