กฎหมายคุ้มครองข้อมูลส่วนบุคคลของรัฐแคลิฟอร์เนีย

สหรัฐอเมริกาเป็นประเทศที่ยังไม่มีกฎหมายกลางเพื่อการคุ้มครองข้อมูลส่วนบุคคลในระดับสหพันธรัฐคงมีแต่กฎหมายคุ้มครองข้อมูลส่วนบุคคลที่ใช้บังคับในกิจการรายสาขา

CAP & Corp Forum

สหรัฐอเมริกาเป็นประเทศที่ยังไม่มีกฎหมายกลางเพื่อการคุ้มครองข้อมูลส่วนบุคคลในระดับสหพันธรัฐคงมีแต่กฎหมายคุ้มครองข้อมูลส่วนบุคคลที่ใช้บังคับในกิจการรายสาขา อาทิ Health Insurance Portability and Accountability Act ซึ่งใช้บังคับในกิจการด้านสาธารณสุข Fair Credit Reporting Act (“FCRA”) และ Gramm-Leach-Bliley Act  ใช้บังคับในกิจการธนาคารพาณิชย์ เป็นต้น และส่วนสำคัญที่มีบทบาทในการคุ้มครองข้อมูลส่วนบุคคลมากที่สุดในระดับสหพันธรัฐ คือ คณะกรรมาธิการการค้าแห่งสหพันธรัฐ (Federal Trade Commission, “FTC”) ที่บังคับใช้มาตรา 5 ของ Federal Trade Commission Act ในกรณีที่บริษัทต่าง ๆ ประกาศนโยบายความเป็นส่วนตัวของผู้บริโภค (privacy policy) แล้วไม่ปฏิบัติตามนโยบายที่ตนเองแจ้งไว้ต่อผู้บริโภค แต่มาตรา 5 ดังกล่าวไม่ใช่กฎหมายที่บัญญัติมาเพื่อรับรองสิทธิในความเป็นส่วนตัวโดยตรงแต่อย่างใด

ดังนั้นโดยหลักการ มาตรการทางกฎหมายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลและมาตรการเพื่อความปลอดภัยของข้อมูลดังกล่าวจึงเป็นอำนาจของแต่ละมลรัฐที่จะตรากฎหมายขึ้นมาใช้บังคับในรัฐนั้น ๆ โดยในบรรดา 50 รัฐของประเทศสหรัฐอเมริกา แคลิฟอร์เนียเป็นรัฐที่มีบทบาทสำคัญที่สุดในการกำหนดนโยบายกฎหมายและชี้นำรัฐอื่น ๆ ในการตรากฎหมายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล อาทิ การตรากฎหมายเกี่ยวกับมาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคลขึ้นเป็นรัฐแรกในประเทศสหรัฐอเมริกาในปี 2003 (security breach notification law) ก่อนที่รัฐอื่น ๆ อีก 49 รัฐจะตรากฎหมายดังกล่าวตามมา โดยมีอลาบามาเป็นรัฐสุดท้ายที่มีกฎหมายดังกล่าวในปี 2018 และล่าสุดรัฐแคลิฟอร์เนียได้ตรากฎหมาย California Consumer Privacy Act 2018 (“CCPA”) ซึ่งเป็นกฎหมายที่มีวัตถุประสงค์เพื่อส่งเสริมสิทธิความเป็นส่วนตัวและการคุ้มครองผู้บริโภคสำหรับผู้อยู่อาศัยในรัฐแคลิฟอร์เนียขึ้น  ทั้งนี้ CCPA ได้รับการกล่าวถึงมากที่สุดในขณะนี้ในฐานะมาตรการทางกฎหมายที่เข้มงวดมากที่สุดและอาจมีต้นทุนการบังคับใช้กฎหมายสูงที่สุดในประเทศสหรัฐอเมริกาเพื่อการคุ้มครองข้อมูลส่วนบุคคล

CCPA เป็นกฎหมายที่มีแนวคิดเกี่ยวกับการคุ้มครองสิทธิของปัจเจกบุคคลเช่นเดียวกับ GDPR ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป แต่ในมุมมองของผู้เขียนเห็นว่า GDPR มีความเข้มข้นมากกว่าในแง่ของการคุ้มครองสิทธิของบุคคล ในขณะที่ CCPA มีบทบัญญัติโดยรวมที่เอื้อต่อการดำเนินธุรกิจมากกว่า ทั้งนี้ รายงานการศึกษาผลกระทบทางเศรษฐกิจเพื่อการบังคับใช้ CCPA สรุปว่าภาคธุรกิจทั้งหมดที่อยู่ภายใต้การบังคับใช้กฎหมายฉบับนี้อาจจะต้องลงทุนรวมกันถึง 55 พันล้านเหรียญสหรัฐสำหรับการบังคับใช้กฎหมายในระยะเริ่มต้น เพื่อให้การดำเนินการของบริษัทต่าง ๆ สอดคล้องกับมาตรการต่าง ๆ ที่ CCPA กำหนด ซึ่งบริษัทเหล่านี้รวมถึงบริษัทด้านเทคโนโลยีขนาดใหญ่ที่มีสำนักงานแห่งใหญ่อยู่ในรัฐแคลิฟอร์เนียด้วย อาทิ  Apple, Alphabet Inc (Google), Facebook, Intel, Cisco, Tesla และ Netflix เป็นต้น โดย CCPA จะมีผลใช้บังคับในวันที่ 1 มกราคม 2563 นี้

CCPA มีความเหมือนและความต่างจาก GDPR หลายประการ ซึ่งทำให้ CCPA มีหลาย ๆ มาตรการแตกต่างจากพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ของไทยที่นำ GDPR มาเป็นต้นแบบในการยกร่างกฎหมายด้วย โดยหนึ่งในประเด็นที่ผู้เขียนเห็นว่าเป็นจุดแข็งของ CCPA และเป็นข้อด้อยของพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ คือ เรื่องสิทธิในการได้รับการเยียวยาและได้รับค่าเสียหายจากการละเมิดข้อมูลส่วนบุคคล ซึ่งตามมาตรา 77 ของกฎหมายกำหนดว่า “ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลซึ่งดำเนินการใด ๆ เกี่ยวกับข้อมูลส่วนบุคคลอันเป็นการฝ่าฝืนหรือไม่ปฏิบัติตามบทบัญญัติแห่งพระราชบัญญัตินี้ ทำให้เกิดความเสียหายต่อเจ้าของข้อมูลส่วนบุคคล ต้องชดใช้ค่าสินไหมทดแทนเพื่อการนั้นแก่เจ้าของข้อมูลส่วนบุคคล…”

แม้ความรับผิดทางแพ่งของผู้ควบคุมข้อมูลส่วนบุคคลดังกล่าวจะกำหนดไว้อย่างกว้างสำหรับในทุก ๆ กรณีที่ไม่ปฏิบัติตามกฎหมายก็ตาม แต่ก็เป็นการยากอย่างยิ่งที่เจ้าของข้อมูลส่วนบุคคลจะพิสูจน์มูลค่าความเสียหายได้ว่าเป็นจำนวนเงินเท่าไหร่สำหรับการที่บริษัทไม่ขอความยินยอม หรือใช้ข้อมูลส่วนบุคคลไม่ตรงตามวัตถุประสงค์ที่แจ้งไว้ หรือไม่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมจนเป็นเหตุให้มีการละเมิดข้อมูลส่วนบุคคล เป็นต้น  และแม้กฎหมายจะกำหนดให้มีโทษปรับทางปกครองสำหรับการกระทำการฝ่าฝืนกฎหมายด้วย ค่าปรับดังกล่าวก็มิได้มีขึ้นเพื่อเยียวยาความเสียหายของปัจเจกบุคคลแต่อย่างใด แต่มีเพื่อลงโทษการกระทำความผิดนั้น ๆ และต้องนำส่งเป็นรายได้แผ่นดิน

ต่อกรณีของการเรียกค่าเสียหายทางแพ่งของเจ้าของข้อมูลส่วนบุคคลนั้น CCPA ใช้หลักการของ “ค่าเสียหายที่กฎหมายกำหนด” (statutory damages) โดยให้สิทธิแก่ผู้เสียหายในการฟ้องเรียกค่าเสียหายตามความเป็นจริง (actual damages) หรือค่าเสียหายที่กฎหมายกำหนดก็ได้ โดยค่าเสียหายที่กฎหมายกำหนดตาม CCPA นั้นอยู่ระหว่าง 100 – 700 เหรียญสหรัฐต่อผู้บริโภคหนึ่งคนต่อเหตุละเมิดข้อมูลส่วนบุคคลหนึ่งครั้ง และให้ฟ้องเรียกร้องได้เฉพาะต่อกรณีมีเหตุละเมิดข้อมูลส่วนบุคคลอันเกี่ยวเนื่องกับมาตรการด้านความปลอดภัยเท่านั้น อาทิ ข้อมูลถูกขโมย เป็นต้น โดยในการพิจารณาค่าเสียหายที่กฎหมายกำหนดนั้น ศาลจะต้องพิจารณาถึงความร้ายแรงของพฤติการณ์และเหตุผลต่าง ๆ ประกอบเพื่อกำหนดค่าเสียหายที่เหมาะสม

ข้อดีของระบบ “ค่าเสียหายที่กฎหมายกำหนด” คือทำให้ผู้ได้รับความเสียหายที่แท้จริงได้รับการเยียวยา เพราะมิเช่นนั้นคงเป็นการยากที่จะพิสูจน์ว่าจำนวนเงินค่าเสียหายเป็นเท่าใด และยังช่วยส่งเสริมให้มีการบังคับใช้กฎหมายอย่างมีประสิทธิภาพด้วย เนื่องจากภาคธุรกิจย่อมตระหนักถึงความเสี่ยงภัยและต้นทุนของค่าเสียหายที่ชัดเจนจากการไม่ปฏิบัติตามกฎหมาย

ศุภวัชร์ มาลานนท์

คณะนิติศาสตร์ มหาวิทยาลัยสงขลานครินทร์

Fulbright Hubert H. Humphrey Fellowship

American University Washington College of Law