คอลัมนิสต์

จุดอันตราย"ไทย - ยุโรป"..ธุรกิจข้อมูลส่วนบุคคล

เกาะติดข่าวสาร >> คมชัดลึก ออนไลน์
logoline

จุดอันตราย"ไทย - ยุโรป"..ธุรกิจข้อมูลส่วนบุคคล : คอลัมน์... เจาะประเด็นร้อน   โดย...  ทีมข่าวรายงานพิเศษ


 
          ตั้งแต่เดือนพฤษภาคม 2561 เป็นต้นไป คนไทยที่ต้องติดต่อทำธุรกิจหรือแลกเปลี่ยนข้อมูลค้าขายกับประเทศฝั่งยุโรปต้องระวังให้ดี เพราะมีการประกาศใช้กฎหมาย “จีดีพีอาร์” (General Data Protection Regulation) หรือ “กลไกการคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป” หรือ “กฎหมายคุ้มครองข้อมูลส่วนบุคคลของพลเมืองสหภาพยุโรป” บางครั้งเรียกสั้นๆ ว่า กฎหมายคุ้มครองข้อมูลส่วนบุคคลอียู
ถือเป็นกฎหมายฉบับเข้มข้นมาก เนื่องจากกำหนดบทลงโทษรุนแรงถึงขั้นปรับสูงสุด 700-800 ล้านบาท ถ้าเป็นบริษัทยักษ์ใหญ่มีสาขาทั่วโลก หากทำผิดกฎหมายนี้ โทษปรับคิดเป็นร้อยละ 4 ของรายได้รวมเลยทีเดียว ถ้ารายได้ 5 หมื่นล้านบาท โดนปรับ 2 พันล้านบาท บริษัทเล็กๆ รายได้ 10 ล้านบาท ก็โดน 4 แสนบาท !?!

          “ข้อมูลส่วนบุคคล” ในกฎหมายฉบับนี้ สรุปง่ายๆ เป็น 4 ส่วน ดังนี้ 1.ข้อมูลส่วนตัวทั่วไป ชื่อรูปถ่าย ที่อยู่ ประวัติอาชญากรรม 2.ข้อมูลทางคอมพิวเตอร์ เช่น อีเมล ชื่อไอพีแอดเดรส ข้อความในโซเชียลมีเดีย 3.ข้อมูลบันทึกด้านสุขภาพ เช่น ประกันภัย ประกันชีวิต ข้อมูลทางการแพทย์ ฯลฯ 4.ข้อมูลด้านอุดมการณ์ความเชื่อ เช่น ศาสนา ลัทธิ พฤติกรรมทางเพศ ฯลฯ

          ยกตัวอย่าง บริษัทขายทัวร์ไทยไปทำข้อตกลงกับบริษัทขายตั๋วเครื่องบินในยุโรป แล้วทำชื่อ นามสกุล อีเมลลูกค้าคนยุโรปหลุดออกไปให้บริษัทอื่นๆ หรือเผยแพร่ทางสื่อ หากมีใครร้องเรียน บริษัทยุโรปแห่งนั้นจะโดนลงโทษตามกฎหมายนั้นทันที แม้ว่าไม่ได้หลุดรอดไปจากบริษัทตัวเองโดยตรง นอกจากนี้กลุ่มธุรกิจซื้อขายของออนไลน์ หากมีลูกค้าคนยุโรปก็ต้องปกป้องข้อมูลลูกค้าด้วย

 

จุดอันตราย"ไทย - ยุโรป"..ธุรกิจข้อมูลส่วนบุคคล

 

          สรุป “จุดอันตราย” ที่คนไทยต้องท่องจำไว้คือ หากใครติดต่อทำงานที่มีข้อมูลคนยุโรปทั้ง 4 ส่วนเก็บไว้ ถือว่าอยู่ภายใต้กฎหมายนี้ทั้งหมด

          กรณีตัวอย่างของเฟซบุ๊ก สื่อโซเชียลชื่อดังของโลกถึงกับเอามือกุมขมับ ปรับนโยบาย ปรับการให้บริการบางอย่างขึ้นมาใหม่สำหรับคนยุโรปโดยเฉพาะ

          ตัวเลขสาวกเฟซบุ๊กทั่วโลก 2 พันล้านคน เป็นคนในกลุ่มประเทศยุโรป 28 ประเทศที่อยู่ภายใต้จีดีพีอาร์ประมาณ 500 ล้านคน ต่อไปนี้หากเฟซบุ๊กมีโฆษณาอะไรที่หน้าเพจของพวกเขาต้องส่งข้อความขอความยินยอมก่อนและต้องเก็บข้อมูลส่วนตัวไม่ให้ใครเข้ามาเอาไปทำประโยชน์ทางการค้า การตลาดหรืองานวิจัยใดหรือแชร์ข้อมูลส่วนตัวของผู้ใช้ไปขายให้บริษัทโฆษณาแบบเดิมไม่ได้อีกต่อไป คาดว่า ถ้าเฟซบุ๊กทำพลาด ตัวเลขที่ถูกฟ้องร้องจากที่กฎหมายกำหนดไว้ร้อยละ 4 จะสูงถึง 5 หมื่นล้านบาท

          ยิ่งไปกว่านั้นจุดอันตรายของกฎหมายนี้ ยังบังคับให้ผู้ประกอบการต้องมีระบบ “ป้องกันข้อมูลรั่วไหล” หากพบว่ามีแฮ็กเกอร์หรือโจรคอมพิวเตอร์มาขโมยเจาะเอาข้อมูลเหล่านี้ไป ต้องรีบแจ้งผู้เสียหายภายใน 72 ชั่วโมง และกรณีเจ้าของข้อมูลต้องการให้ลบก็ต้องลบข้อมูลนั้นทันที

 

จุดอันตราย"ไทย - ยุโรป"..ธุรกิจข้อมูลส่วนบุคคล

 

          คนไทยมีกฎหมายหรือระเบียบบังคับให้ “คุ้มครองข้อมูลส่วนบุคคล” หรือไม่ ?

          คำตอบคือ “มี” แต่ไปแทรกอยู่ภายใต้รัฐธรรมนูญ กฎหมายอาญา กฎหมายคอมพิวเตอร์ กฎหมายแพ่ง กฎหมายคุ้มครองเด็ก ฯลฯ เช่น รัฐธรรมนูญกำหนดไว้ว่าสิทธิของบุคคลในครอบครัว เกียรติยศ ชื่อเสียง ตลอดจนความเป็นอยู่ส่วนตัวย่อมได้รับความคุ้มครอง หรือ พ.ร.บ.ข้อมูลข่าวสารของราชการ ระบุให้คุ้มครองข้อมูลส่วนบุคคลที่จัดเก็บโดยหน่วยงานรัฐ

          ล่าสุด รัฐบาล คสช.เร่งประกาศใช้ “ร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล” หลังจากดึงเข้าดึงออก ปรับแก้ไขหลายครั้ง ทั้งจากคณะกรรมการกฤษฎีกาและกระทรวงต่างๆ

          เอาแค่นิยามความหมายของคำว่า “ข้อมูลส่วนบุคคล” ก็ปรับแก้ไปหลายครั้งหลายปีกว่าจะสรุปได้ว่า “ข้อมูลเกี่ยวกับบุคคล ซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม”

          เมื่อวันที่ 24 พฤษภาคม 2561 ก่อนจีดีพีอาร์มีผลบังคับใช้ 1 วัน ดร.พิเชฐ ดุรงคเวโรจน์ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) ประกาศว่าคณะรัฐมนตรีมีมติเห็นชอบแก้ไขร่างกฎหมายคุ้มครองข้อมูลส่วนบุคคลแล้ว หลักการสำคัญได้แก่การจัดตั้ง “คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล” เพื่อคุ้มครองและให้สิทธิเจ้าของข้อมูล (Data Owner) สามารถขอแก้ไข ขอลบ ขอระงับ ขอทำลายได้ หากมีข้อมูลส่วนบุคคลถูกละเมิด ผู้เก็บข้อมูลต้องรีบแจ้งให้เจ้าของข้อมูลทราบ และรายงานไปยังคณะกรรมการ

 

จุดอันตราย"ไทย - ยุโรป"..ธุรกิจข้อมูลส่วนบุคคล

 

          ที่สำคัญคือระบุให้ผู้ประกอบการ หน่วยงานรัฐ เอกชน หรือใครก็ได้ที่มีส่วนในการควบคุมข้อมูลส่วนบุคคลหรือเป็นผู้ประมวลผลข้อมูลส่วนบุคคล ต้องจัดทำมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม

          "ผศ.ดร.ประพันธ์พงษ์ ขำอ่อน" รองคณบดีฝ่ายวิชาการ คณะนิติศาสตร์ มหาวิทยาลัยหอการค้าไทย วิเคราะห์ถึงกฎหมายคุ้มครองข้อมูลส่วนบุคคลว่า คนทั่วโลกเริ่มตระหนักและให้ความสำคัญกับข้อมูลส่วนบุคคลของตนเอง ที่ถูกนำไปใช้ประโยชน์ทางธุรกิจหรือทางอื่นๆ ที่เจ้าตัวไม่ได้ยินยอม รัฐบาลประเทศต่างๆ เริ่มทยอยออกกฎหมายปกป้องและคุ้มครองข้อมูลเหล่านี้ ล่าสุดก็ที่ยุโรป ต่อไปนี้ใครทำธุรกรรมกับคนยุโรปแสดงว่าต้องมีมาตรการเก็บข้อมูลของพวกเขาให้ดี ถ้าบริษัทไหนไม่มีระบบการเก็บที่ได้มาตรฐาน พวกเขาจะไปเลือกทำธุรกิจกับบริษัทอื่นแทน จุดอันตรายที่ต้องระวังคือกฎหมายมีบทลงโทษรุนแรงมาก และไม่ได้แค่ต้องเก็บให้ปลอดภัยอย่างดีเท่านั้น หากมีการนำข้อมูลส่วนบุคคลไปใช้ผิดวัตถุประสงค์ก็โดนลงโทษด้วย นอกจากนี้ยังมีข้อกำหนดให้หน่วยงานที่ติดต่อกับคนยุโรปต้องประเมินความเสี่ยงของการถูกโจรกรรมข้อมูลส่วนบุคคลของลูกค้า

          “กฎหมายนี้กำหนดให้ประเมินความเสี่ยง หมายความว่า ถ้ามีแฮ็กเกอร์เข้ามาเจาะระบบเพื่อขโมยข้อมูล บริษัทนั้นสามารถรับมือได้แค่ไหน มีกี่ระดับ มีแผนงานอะไรบ้าง และต้องรีบแจ้งลูกค้าภายใน 72 ชั่วโมง จีดีพีอาร์เน้นคุ้มครองพลเมืองชาวยุโรปโดยตรงเลย ให้ศาลมีอำนาจนอกเหนืออาณาเขตในยุโรปด้วย เช่น เฟซบุ๊ก ถึงเป็นบริษัทจดทะเบียนในอเมริกา แต่ถ้ามีคนยุโรปสมัครเป็นสมาชิก เฟซบุ๊กมีหน้าที่ต้องทำตามระเบียบของจีดีพีอาร์ด้วย ส่วนของไทยตอนนี้มีแต่ร่างกฎหมายคุ้มครองข้อมูลส่วนบุคคลแต่ยังไม่ได้บังคับใช้ ไม่ทราบว่าทำไมถึงช้า แต่ยิ่งช้าคนไทยก็ยิ่งเสียเปรียบบริษัทต่างๆ”

 

จุดอันตราย"ไทย - ยุโรป"..ธุรกิจข้อมูลส่วนบุคคล

 

          ผู้เชี่ยวชาญกฎหมายข้างต้นกล่าวเตือนว่า บริษัทไทยที่ทำการค้าหรือมีข้อมูลส่วนบุคคลของคนยุโรปเก็บไว้เช่น ข้อมูลพาสปอร์ต เลขที่บัญชีธนาคาร ควรเก็บไว้ให้ดี ยกตัวอย่างเช่น กรณีบริษัททรูของประเทศไทยที่เกิดปัญหาทำข้อมูลส่วนตัวของลูกค้าหลายหมื่นคนรั่วไหล แล้วถูกเปิดเผยเป็นข่าวดังเมื่อเดือนมีนาคมที่ผ่านมานั้น ถ้าเกิดขึ้นซ้ำอีกหลังจากประกาศใช้จีดีพีอาร์ หากข้อมูลที่รั่วไหลมีลูกค้าชาวยุโรปอยู่ด้วย อาจโดนฟ้องร้องเรียกค่าเสียหายได้ แม้ว่าทรูไม่ได้ตั้งสำนักงานอยู่ที่ยุโรปก็ตาม เพราะกฎหมายฉบับนี้ครอบคลุมถึงบริษัทลูกหรือบริษัทที่มารับจ้างทำต่อ หรือที่เรียกว่า “เอาท์ซอร์ซ” (Outsource)

          “หากเปรียบเทียบกับร่างกฎหมายข้อมูลส่วนบุคคลของไทยแล้ว สิ่งที่ไทยยังขาดหายไป คือ ขาดความชัดเจนว่าหลังจากกฎหมายมีผลบังคับใช้แล้ว จะให้เวลาในการปรับตัวหรือเตรียมตัวมากน้อยเพียงไร เพราะจีดีพีอาร์ของยุโรปให้เวลาถึง 2 ปี ก่อนจะลงโทษจริง ถ้าไม่ทำอย่างนั้นธุรกิจต่างๆ จะเตรียมตัวไม่ทัน ตรงนี้รัฐบาลไทยต้องชัดเจน” ดร. ประพันธ์พงษ์ กล่าวแนะนำ

 

จุดอันตราย"ไทย - ยุโรป"..ธุรกิจข้อมูลส่วนบุคคล

 

          ทั้งนี้ “ข้อมูลส่วนบุคคล” ในกฎหมายไทยหมายถึงข้อมูลที่ทำให้สามารถระบุตัวบุคคลได้ แบ่งเป็น 2 ส่วนได้แก่ 1.“ประวัติส่วนตัว” เช่น ประวัติการศึกษา ประวัติการรักษาพยาบาลในโรงพยาบาล ประวัติการทำธุรกรรมทางการเงิน บัญชีธนาคาร และประวัติการทำงาน ฯลฯ 2.“ข้อมูลที่มีเฉพาะแต่ละบุคคล” เช่น ลายพิมพ์นิ้วมือ เลขรหัสเอทีเอ็ม เลขบัตรประชาชน เสียงบันทึก รูปถ่าย ฯลฯ

          ปัจจุบัน ประเทศในเอเชียล้วนมีกฎหมายทำนองนี้ไปเรียบร้อยแล้ว เช่น จีน สิงคโปร์ เกาหลีใต้ ญี่ปุ่น มาเลเซีย ฟิลิปปินส์ ยกเว้นลาว พม่า ไทย

          น่าแปลกใจว่า “ไทย” ทำไมถึงไปอยู่ในกลุ่มประเทศที่ยังไม่มีกฎหมายคุ้มครองข้อมูลส่วนบุคคล ทั้งที่รัฐบาล คสช.ประกาศว่าขอนำไทยก้าวสู่โลกดิจิทัล “ไทยแลนด์ 4.0”

          หรือต้องรอให้คนไทยโดนลงโทษตามกฎหมาย “จีดีพีอาร์” สัก 2-3 คดี ก่อนเพื่อเป็นกรณีตัวอย่าง ?

          ไทยแลนด์ 4.0 ไม่สามารถเกิดหรือประสบความสำเร็จได้ หากยังไม่มีการบังคับให้หน่วยงานรัฐและเอกชนสร้างระบบป้องกันข้อมูลของคนทั่วโลกที่มาติดต่อกับไทย โดยเฉพาะคนบนโลกออนไลน์
 

 
 

logoline
แท็กที่เกี่ยวข้อง

ข่าวที่น่าสนใจ