เลื่อนมาแล้ว 2 รอบ ไม่นับว่าแนวคิดมีมาตั้งแต่ 25 ปีก่อน วันที่ 1 มิ.ย. 2565 ประเทศไทยมี พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล บังคับใช้อย่างเป็นทางการแล้ว
เกิดเป็นคำถามตามมามากมาย – ออกมาเพื่อใคร? ประชาชนได้ประโยชน์อะไร? ยึดหลักอะไรในการคุ้มครองข้อมูลส่วนบุคคล? ขอบเขตของกฎหมายอยู่ตรงไหน? ถ่ายรูปติดคนอื่นไม่ได้เลยหรือ? แล้วจะแก้ปัญหาคอลเซ็นเตอร์ได้มั้ยนะ?
The MATTER ไปพูดคุยกับ อ.ฐิติรัตน์ ทิพย์สัมฤทธิ์กุล อาจารย์ประจำคณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์ เพื่อขอให้อธิบายเกี่ยวกับ ‘พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562’ หรือที่เรียกว่า PDPA ว่ามีเรื่องอะไรบ้างที่ควรรู้ โดยเฉพาะจากมุมมองของเจ้าของข้อมูลส่วนบุคคล หรือก็คือ เราๆ ทุกคน
กฎหมาย PDPA หรือ ‘พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล’ คืออะไร
กฎหมาย PDPA ย่อมาจาก Personal Data Protection Act ซึ่งหมายถึง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีวัตถุประสงค์ตรงตามชื่อ คือเพื่อคุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคล และพยายามที่จะยกระดับมาตรฐานการดูแลข้อมูลส่วนบุคคล เป็นกฎหมายที่มีการประกาศไว้ในราชกิจจานุเบกษาเมื่อวันที่ 27 พ.ค. 2562 และมีผลบังคับใช้ตั้งแต่วันที่ 1 มิ.ย. 2565 นี้เป็นต้นไป
อ.ฐิติรัตน์ อธิบายถึงกฎหมายฉบับนี้ว่า “เป็นกฎหมายประเภทที่จะยกระดับมาตรฐานการดูแลข้อมูลส่วนบุคคลของคนอื่นที่เราเอามาใช้งาน” ซึ่งจะเน้นหนักไปที่ผู้ประกอบการ หน่วยงานรัฐ หรือองค์กรต่างๆ ที่เอาข้อมูลส่วนบุคคลของคนอื่นมาใช้งาน ที่ต้องดูแลข้อมูลให้ดี
สำหรับสาเหตุที่ต้องยกระดับมาตรฐาน อ.ฐิติรัตน์เล่าว่า เวลามีปัญหาเกี่ยวกับข้อมูล เช่น รั่วไหล ความเสียหายมักจะไม่เกิดขึ้นทันที แต่มักเกิดเมื่อเวลาผ่านไปแล้วสักพักหนึ่ง
“ปัญหามันเลยอยู่ตรงนี้ว่า ถ้าเกิดว่ามันมีปัญหาของการใช้ข้อมูล เรามักจะรู้สึกว่าเราไม่ได้เดือดร้อนมาก อาจจะรําคาญ อาจจะรู้สึกกังวล แต่ไม่ใช่ในระดับที่เราจะไปร้องเรียนที่มันเป็นเรื่องเป็นราว ดังนั้น ความเสียหาย มักจะเกิดขึ้นหลังจากนั้นเยอะ แล้วมันก็กลายเป็นความเสียหายในองค์รวมของสังคม ว่าเราก็จะเชื่อใจกันน้อยลงในสังคม หรือว่ามีความรู้สึกแบบระแวงนวัตกรรมใหม่ๆ
“ดังนั้น ไอเดียของ PDPA เลยก็คือว่า เราจะรอให้ผู้บริโภคแต่ละคนไปสู้กันเองเนี่ย มันยาก ก็เลยต้องมีกฎหมายบางอย่างเข้ามาเพื่อที่จะยกระดับมาตรฐานไปพร้อมๆ กัน”
ที่มาที่ไปของกฎหมาย PDPA ทำไมถูกเลื่อนมาหลายปี
แม้จะดูเหมือนกฎหมายใหม่เพราะเพิ่งมีการบังคับใช้ แต่นั่นก็เป็นเพราะว่าถูกเลื่อนมาหลายรอบ หลังจากที่ประกาศในราชกิจจานุเบกษาตั้งแต่ปี 2562 อย่างไรก็ดี อ.ฐิติรัตน์บอกว่า อันที่จริง ร่างกฎหมายนี้ของไทยมีมากว่า 20 ปีแล้ว
“คนพูดกันเป็นเหมือนเรื่องใหม่ แต่ร่าง พ.ร.บ คุ้มครองข้อมูลส่วนบุคคล มีมาตั้งแต่ปี 2540 ซึ่งก็คือปีที่เรามี พ.ร.บ.ข้อมูลข่าวสารของราชการ ที่มาพูดถึงว่า ข้อมูลในมือราชการต้องโปร่งใส คนสามารถไปขอดูได้”
อ.ฐิติรัตน์เล่าถึงที่มาที่ไปที่ต่อยอดมาจาก พ.ร.บ.ข้อมูลข่าวสารของราชการ พ.ศ. 2540 ว่า “ในมือราชการ ก็มีข้อมูลที่เป็นข้อมูลส่วนบุคคลด้วย พ.ร.บ.ข้อมูลข่าวสารราชการ ก็จะมีส่วนที่กำกับข้อมูลส่วนนี้อยู่
“ทีนี้เขาก็ถามไปถึงว่า เอ๊ะ แล้วถ้าอย่างนั้น ข้อมูลที่เป็นฝั่งเอกชน พวกบริษัทต่างๆ เขาจัดการอยู่ มันก็อาจจะมีประเด็นคล้ายๆ อย่างนี้เหมือนกัน ก็เลยมีร่างกฎหมายมาตั้งแต่ตอนนั้นแล้วค่ะ ก็คือเตรียมที่จะออก พ.ร.บ. มากํากับการใช้ข้อมูลส่วนบุคคลที่อยู่ในมือเอกชนด้วย”
แต่ร่างดังกล่าวก็ยังไม่ออกมาเป็นรูปธรรมเสียที จนกระทั่งปี 2561 เมื่อสหภาพยุโรป (EU) มีมติรับระเบียบการคุ้มครองข้อมูลทั่วไป (General Data Protection Regulation หรือ GDPR) ก็ทำให้คนตื่นตัวกับเรื่องนี้มาก ซึ่ง อ.ฐิติรัตน์อธิบายว่า เป็นเพราะว่าใครก็ตามที่เอาข้อมูลของคน EU ไปใช้งาน แม้ว่าบริษัทนั้นจะไม่ได้อยู่ใน EU ก็ต้องปรับตัวตามกฎหมายนี้” ซึ่งเราก็รู้กันอยู่ว่าสหภาพยุโรปเป็นตลาดใหญ่ เป็นตลาดที่ใครๆ ก็อยากจะค้าขายด้วย เพราะว่าเขามีกําลังซื้อเยอะ”
กฎหมายนี้จึงเริ่มถูกพูดถึงอย่างจริงจังมากขึ้น จนออกมาเป็น พ.ร.บ. ในปี 2562 โดยมีกำหนดบังคับใช้ 1 ปีหลังจากนั้น ซึ่งบังคับกับทั้งรัฐและเอกชน เนื่องจากในยุคนี้ ข้อมูลไหลข้ามไปมาง่ายกว่าสมัยก่อนมาก แต่เนื่องจากเป็นปีที่มี COVID-19 กระทรวงเจ้าภาพ คือ กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม จึงตัดสินใจเลื่อนมา 2 ครั้ง จนกระทั่งสุดท้ายก็มีการบังคับใช้จริงวันที่ 1 มิ.ย. 2565 นี้ รวมเป็นระยะเวลา 3 ปีนับตั้งแต่กฎหมายประกาศใช้
ทำไมคนทั่วไปต้องสนใจ ส่งผลกระทบกับชีวิตอย่างไร
อ.ฐิติรัตน์ตอบคำถามนี้ว่า “เรื่องการใช้ข้อมูลส่วนบุคคลมันเกี่ยวข้องกับเราแน่ๆ เพราะว่าเราถูกเอาข้อมูลไปใช้เยอะ และที่ผ่านมา มันอาจจะไม่ค่อยชัดเจนว่า แล้วเรามีสิทธิอะไรที่จะเรียกร้องกับคนที่เอาข้อมูลเราไปใช้งานบ้าง แต่ว่าพอมี พ.ร.บ. นี้ มันก็ค่อนข้างชัดเจนว่าเรามีสิทธิมีอะไรบ้าง”
เมื่อสิทธิชัดเจนขึ้น ลำดับต่อไปก็คือ เราจะเห็นภาพชัดมากขึ้นว่าเอาข้อมูลไปทำอะไร นั่นยิ่งทำให้เราเลือกได้มากขึ้น อ.ฐิติรัตน์ชี้ว่า พอมาตรฐานเปลี่ยน ฝั่งผู้ให้บริการต้องอธิบายให้ชัดเจนขึ้น ก็จะเริ่มมีวัฒนธรรมของการอธิบาย หรือที่เรียกว่า culpability ก็จะยิ่งทำให้เราใช้สิทธิได้ง่ายขึ้นด้วย
ทั้งนี้ อ.ฐิติรัตน์ชี้ว่า ไม่ว่าอย่างไรก็ตาม คนทั่วไปจะได้ประโยชน์จากกฎหมาย PDPA อยู่แล้ว เพราะประโยชน์ทางธุรกิจกับประโยชน์ของเจ้าของข้อมูลถือเป็นเรื่องที่สอดคล้องกัน “การที่ถูกเอาข้อมูลไปใช้งาน เราก็อยากให้เขาดูแลข้อมูลเราดีๆ คือถ้าเราจะไม่ให้ข้อมูลเลย ชีวิตเราก็ลําบากเหมือนกัน เช่น เราจะเปิดบัญชีธนาคารไม่ได้ เราจะใช้บัตรเครดิตไม่ได้ เราจะใช้ Google Maps แบบที่ระบุตําแหน่งของเราไม่ได้
“เราต้องตั้งเป้าหมายก่อนว่า กฎหมายคุ้มครองข้อมูลส่วนบุคคล คือ กฎหมายที่มองประโยชน์ของการใช้ข้อมูลในลักษณะที่มันวิน-วิน ทั้งฝั่งเจ้าของข้อมูลส่วนบุคคล และคนที่เอาข้อมูลส่วนบุคคลไปใช้”
นอกจากนี้ อ.ฐิติรัตน์อธิบายเพิ่มเติมด้วยว่า “จริงๆ กฎหมายไม่ได้สร้างภาระให้คนทั่วไปที่เป็นเจ้าของข้อมูลส่วนบุคคล หลักๆ เลยคือมันสร้างภาระหน้าที่ให้กับตัวองค์กรธุรกิจหรือหน่วยงานรัฐที่เอาข้อมูลเราไปใช้งาน ดังนั้น ฝั่งเจ้าของข้อมูลส่วนบุคคล น่าจะต้องเป็นคนที่ได้ประโยชน์มากกว่า และมีสิทธิมากขึ้น”
รวมเรื่องที่ควรรู้ ในเนื้อหาของกฎหมาย PDPA
ใครเป็นใครใน PDPA
- เจ้าของข้อมูลส่วนบุคคล (Data Subject) ผู้ใช้บริการหรือคนทั่วๆ ไปที่ข้อมูลส่วนบุคคลต่างๆ จะชี้มาที่ตัวตนได้
- ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือ องค์กรหรือหน่วยงานที่ใช้งานข้อมูลส่วนบุคคลของผู้อื่น มีอำนาจตัดสินใจเกี่ยวกับข้อมูลนั้นๆ
- ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) บุคคลที่ 3 ที่เข้ามาช่วยหรือรับจ้างจัดการข้อมูลแทน อยู่ภายใต้กำกับของผู้ควบคุมข้อมูล
ถ้าเจ้าของข้อมูลส่วนบุคคลไม่ให้ความยินยอม (Consent) จะเก็บข้อมูลไปใช้ได้ไหม
ใช้ได้ ถ้ามีเหตุผลมาจาก
- การจัดทำเอกสารประวัติศาสตร์ จดหมายเหตุ หรือวิจัย (research)
- การป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพ (vital interest)
- การปฏิบัติตามสัญญา (contract)
- การดำเนินภารกิจเพื่อประโยชน์สาธารณะโดยผู้ใช้อำนาจรัฐ (public task/official authority)
- ประโยชน์โดยชอบด้วยกฎหมาย (legitimate interest)
- การปฏิบัติตามกฎหมาย (legal obligations)
เหตุผลที่ใช้อ้างเพื่อให้มีอำนาจประมวลผลข้อมูลเหล่านี้ มีชื่อที่เรียกกันในทางกฎหมายว่า ฐานการประมวลผล (lawful basis)
เจ้าของข้อมูลส่วนบุคคลมีสิทธิอะไรบ้าง
- สิทธิในการรับแจ้ง แม้จะใช้ข้อมูลโดยมีเหตุอันชอบธรรมในกรณีที่กฎหมายไม่ได้กำหนดขอความยินยอม แต่เจ้าของข้อมูลก็มีสิทธิที่จะได้ทราบว่าข้อมูลถูกเอาไปใช้อย่างไร โดยใคร
- สิทธิในการเข้าถึง มีสิทธิดูว่าถูกเก็บข้อมูลอะไรไปบ้าง
- สิทธิในการแก้ไข ผู้ควบคุมข้อมูลมีหน้าที่ทำให้ข้อมูลถูกต้อง สมบูรณ์ เป็นปัจจุบัน
- สิทธิในการลบ มีสิทธิขอลบถ้าเห็นว่าไม่มีความจำเป็นต้องเก็บข้อมูล
- สิทธิในการคัดค้าน ถ้าเห็นว่าไม่ควรให้ใช้ ก็มีสิทธิคัดค้านการใช้ข้อมูลได้
- สิทธิในการย้ายข้อมูล เพื่อเปิดให้ผู้ใช้บริการเลือกได้มากขึ้น เพราะจะถ่ายโอนข้อมูลได้สะดวกมากขึ้น
- สิทธิในการจำกัดการประมวลผลข้อมูล มีสิทธิบอกได้ว่าจะให้มีขอบเขตการประมวลผลข้อมูลจำกัดแค่ไหน หรือระงับชั่วคราว
กฎหมาย PDPA คุ้มครองข้อมูลส่วนบุคคลโดยยึดตามหลักอะไร
อ.ฐิติรัตน์อธิบายว่าถึงหลักการ 3 ข้อของกฎหมาย PDPA คือ (1) หลักความจำเป็น (2) หลักความโปร่งใสและเป็นธรรม และ (3) หลักความปลอดภัย
1. หลักความจำเป็น
อ.ฐิติรัตน์ชวนทำความเข้าใจก่อนว่า “กฎหมายไม่ได้บอกว่าห้ามใช้ข้อมูลส่วนบุคคล” แต่สามารถใช้ได้ถ้ายึดตามหลักความจำเป็น “ถ้าเรารู้วัตถุประสงค์ที่ใช้งานที่ทำให้มีกฎหมายนี้ขึ้นมา ก็จะรู้ว่า มันมีขึ้นมาเพื่อที่จะทําให้ใช้ข้อมูลกันได้อย่างสบายใจมากขึ้น สร้างความไว้วางใจในการที่เราจะแชร์ข้อมูลของเราให้คนอื่น
“ส่วนจะเป็นความจําเป็นที่อ้างตามอะไร แต่ละองค์กรเขาก็มีเหตุผลในการใช้ข้อมูลไม่เหมือนกัน กฎหมายก็เลยกําหนดฐานการประมวลผลออกมาแตกต่างกันไป คล้ายๆ จับลงกล่องว่า ถ้าเป็นหน่วยงานประเภทนี้ คุณใช้ฐานประมาณนี้แล้วกัน
ยกตัวอย่างเช่นหน่วยงานทางธุรกิจ อ.ฐิติรัตน์อธิบายว่า “ส่วนใหญ่เหตุในการประมวลผลของเขาก็คือ เหตุผลทางสัญญา เพราะว่ามันต้องให้บริการกัน อย่างธนาคาร จะประเมินว่าจะ ให้คุณกู้เงินได้ไหม เขาก็ต้องรู้ว่าสถานภาพทางการเงินของคุณเป็นยังไง”
2. หลักความโปร่งใสและเป็นธรรม
อีกหลักการหนึ่งคือ หลักการความโปร่งใสและเป็นธรรม ซึ่ง อ.ฐิติรัตน์ชี้ว่า จะมาด้วยกันเสมอ “โปร่งใสก็คือ ผู้ควบคุมข้อมูลต้องบอกเจ้าของข้อมูลว่า เอาข้อมูลไปทําอะไร เอาข้อมูลไปใช้งานอะไร พูดง่ายๆ คือ ถ้าเขาไม่บอกว่าเขารู้ข้อมูลของเรา เราไม่สามารถที่จะใช้สิทธิของเราได้ด้วยซ้ำ
“ความโปร่งใสคือการที่บอกกัน แจ้งกันว่า เอาข้อมูลไปใช้งานนะ ไปใช้ยังไง เก็บไว้แค่ไหน หรือแชร์ให้ใครบ้าง ทําให้มันเกิดความโปร่งใส พอมันมีความโปร่งใสแล้ว เราก็สามารถเลือกได้ เจ้าของข้อมูลก็จะสามารถเลือกได้ว่า จะใช้บริการนั้นหรือเปล่า หรือว่าจะขอใช้สิทธิอะไรหรือเปล่า”
3. หลักความปลอดภัย
หลักการสุดท้ายคือเรื่องของความปลอดภัย ซึ่งเป็นหลักที่มีไว้เพื่อรองรับ 2 หลักการข้างต้น เพราะว่า “ถ้าเราไม่ได้ดูแลความปลอดภัย ความพยายามที่จะทําตามความจําเป็น ใช้ตามวัตถุประสงค์จริงๆ มันก็จะไม่มีความหมายเลย เพราะมันรั่วไหลไปได้ง่าย”
อ.ฐิติรัตน์อธิบายต่อว่า “เรื่องความปลอดภัยจะเป็นเรื่องหลังบ้าน ว่าเมื่อเอาข้อมูลมาแล้วมาไว้ที่ตัวบริษัท ที่ตัวองค์กรที่ใช้งานแล้ว ก็ต้องดูแลข้อมูลนั้นให้ดี
“ถ้าเป็นถ้าเป็นระบบอิเล็กทรอนิกส์ก็คือ อาจต้องมีโปรแกรมแอนตี้ไวรัส มีรหัสผ่านเข้าออก หรือถ้าเป็นกระดาษก็คือ ไม่ใช่ว่าเอาไปวางไว้ที่ไหนก็ได้ อาจจะต้องใส่เข้าแฟ้ม เข้าลิ้นชัก ติดกุญแจถ้าเป็นเอกสารสําคัญ ไม่ใช่ทุกคนจะเข้าถึงได้ หรือเวลาจะเอาไปทําลายก็ต้องดูว่า มีการทําลายแบบเป็นระบบไหมไม่ใช่ให้คนอื่นคนนอกที่ไม่เกี่ยวเลยมาเห็น หรือว่าสุดท้ายกลายไปเป็นถุงขนมกล้วยแขก”
ไขข้อข้องใจ กับกฎหมาย PDPA
นอกจากขอให้อธิบายหลักกฎหมาย The MATTER ยังได้รวบรวมข้อสงสัยในเรื่องต่างๆ มาสอบถามกับ อ.ฐิติรัตน์ เพื่อให้เห็นภาพกันมากขึ้นว่า สุดท้ายแล้ว กฎหมาย PDPA มีขอบเขตถึงไหนในแต่ละกรณี หรือจะช่วยแก้ปัญหาในเรื่องอะไรได้บ้าง
แก๊งคอลเซ็นเตอร์
น่าจะเป็นประเด็นที่คนอยากรู้มากที่สุดในเวลานี้ เพราะใครที่โดนก็น่าจะมีคำถามคาใจว่า แล้วแก๊งคอลเซ็นเตอร์เอาเบอร์มาจากไหน? ในเรื่องนี้ อ.ฐิติรัตน์ชี้แจงว่า กฎหมาย PDPA ไม่ได้เข้ามาแก้ปัญหานี้ได้อย่างทันทีขนาดนั้น “เพราะว่าการคุ้มครองข้อมูลส่วนบุคคลค่อนข้างมีลักษณะแบบป้องกันมากกว่าไปแก้ไข”
แต่ในฐานะเครื่องมือที่เข้ามาจัดการที่ต้นน้ำ อ.ฐิติรัตน์ก็คาดว่า ต่อไปในอนาคต ข้อมูลส่วนบุคคลก็น่าจะหลุดไปน้อยลง เพราะแต่ละบริษัท แต่ละหน่วยงาน แน่นอนว่ารวมถึงหน่วยงานภาครัฐด้วย จะต้องดูแลข้อมูลส่วนบุคคลอย่างระมัดระวังมากขึ้น
อย่างไรก็ดี อ.ฐิติรัตน์ชี้ว่า การทำธุรกิจแบบปลอมตัวเป็นคอลเซ็นเตอร์ แน่นอนว่าผิดกฎหมายอื่นอยู่แล้ว “คือมันได้มาโดยไม่ชอบ ใช้ไปก็สร้างความเดือดร้อนให้คน แถมใช้ไปด้วยเจตนาทุจริตด้วย ซึ่งมันก็จะไม่ได้ผิดแค่ PDPA มันก็จะไปผิดเรื่องของการหลอกลวง ฉ้อฉลอื่นๆ ด้วย” ซึ่งถ้ามีการบังคับใช้กฎหมายในส่วนนี้ได้ชัดเจน ปัญหาก็อาจจะลดลง
อีกปัญหาหนึ่งที่ต้องพิจารณาคือ แก๊งคอลเซ็นเตอร์ที่เป็นประเด็นอยู่ตอนนี้ ไม่ได้อยู่ในประเทศไทย ซึ่งทำให้กฎหมาย PDPA ไม่สามารถบังคับใช้ได้ง่ายๆ เสียทีเดียว อ.ฐิติรัตน์อธิบายว่า “เขาอยู่นอกประเทศไปแล้ว ตามหลักการก็คือ รัฐบาลประเทศเราไม่สามารถที่จะไปบังคับใช้กฎหมายเรานอกประเทศได้ โดยที่ไม่ผ่านการขอความร่วมมือจากรัฐบาลประเทศนั้น”
สำหรับวิธีแก้เฉพาะหน้า อ.ฐิติรัตน์เสนอว่า อาจจะให้ผู้ให้บริการร่วมกับผู้กำกับดูแลโทรคมนาคม คือ กสทช. ร่วมกันทำ Do Not Call List หรือลิสต์ที่รวบรวมเบอร์ของมิจฉาชีพ กับอีกวิธีหนึ่ง คือ เปลี่ยนแปลงวิธีการทำงานของหน่วยงานตัวจริงที่อาจจะโทรมาขอข้อมูลเราเหมือนกัน ซึ่งการโทรนั้นเป็นวิธีที่อาจจะไม่ปลอดภัยเสมอไป ควรจะไปขอข้อมูลผ่านช่องทางอื่นๆ แทน เช่น แอพพลิเคชั่นหรือเว็บไซต์
เราจะให้สำเนาบัตรประชาชนได้อย่างสบายใจมากขึ้นไหม
อ.ฐิติรัตน์อธิบายว่า จริงๆ แล้ว กฎหมาย PDPA น่าจะทำให้คนขอสำเนาบัตรประชาชนกันน้อยลงด้วยซ้ำ เพราะกฎหมายบังคับให้ต้องยึดหลักความจำเป็น “ทุกวันนี้เราถ่ายสำเนาบัตรประชาชนกันแบบไม่จําเป็นต้องถ่ายก็ได้เยอะมากๆ
“ดังนั้นสิ่งที่ PDPA จะช่วยก็คือว่า การใช้ข้อมูลพร่ำเพรื่อจะหายไป ซึ่งพอใช้ข้อมูลน้อยลงเท่าที่จำเป็น มันก็ลดความเสี่ยงลง เพราะว่าสําเนาบัตรประชาชนมันมีข้อมูลที่เกี่ยวข้องกับตัวเราเยอะมากๆ บนหน้าบัตร และตัวสําเนาก็ถูกเอาไปใช้ในทางที่ผิดได้ด้วย PDPA ก็น่าจะมาเปลี่ยนแนวปฏิบัตินี้ได้ระดับหนึ่ง”
แต่ถ้าจะใช้งานได้อย่างสบายใจจริงๆ อ.ฐิติรัตน์เสนอให้ไปแก้ที่หน่วยงานต้นทางเลย ซึ่งก็คือกระทรวงมหาดไทย ที่ดูแลการออกบัตรประชาชน “ตอนนี้ สิ่งที่มันเป็นปัญหาคือหน้าบัตร มันมีข้อมูลที่สำคัญเยอะเกินไป”
“ถ้าข้อมูลข้อมูลหน้าบัตรมีน้อยกว่านี้ มันก็จะทําให้เราใช้บัตรประชาชนได้อย่างแฮปปี้กว่านี้ อันนี้ก็อาจจะเป็นอีกประเด็นหนึ่งที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลจะต้องทํางานร่วมกับหน่วยงานราชการ เพื่อที่จะตอบสนองต่อมาตรฐานใหม่ของการดูแลข้อมูลส่วนบุคคลในสังคม”
ถ่ายรูปในที่สาธารณะ
ถ้าถ่ายรูปติดคนอื่นในที่สาธารณะ ถือว่าเข้าข่าย PDPA ไหม? อ.ฐิติรัตน์ชี้ชัดว่า เข้าข่ายเฉพาะการใช้ข้อมูลแบบ professional use เท่านั้น ซึ่งแตกต่างจากการใช้ส่วนตัว หรือ personal use
สำหรับการใช้แบบ professional use อ.ฐิติรัตน์อธิบายว่า “หมายถึง ทําเพื่อประกอบการงานอาชีพ ซึ่งไม่ได้หมายความว่าต้องมีใบประกอบวิชาชีพหรือเพื่อการค้าอย่างเดียว ถ้าใช้โดยหน่วยงานไม่ว่าจะเอกชนหรือรัฐ อันนี้ PDPA บังคับแน่นอน หรือถ้าเป็นคนบุคคลธรรมดาใช้งานข้อมูลคนอื่น แต่ว่าใช้เพื่อที่จะเอาไปขายต่อ หรือเอาไปใช้ในในการประกอบกิจกรรมสัมมาอาชีพของตัวเอง อันนี้เข้าข่ายตาม PDPA”
ขณะเดียวกัน ถ้าเป็นการใช้แบบ personal use คือ ใช้ถ่ายดูกันเอง โดยคนทั่วไปที่ไม่ได้ใช้ในหน่วยงานหรือไม่ได้นำไปใช้ในเชิงธุรกิจ ก็สามารถทำได้ ไม่เข้าข่าย PDPA แต่ อ.ฐิติรัตน์เตือนว่า เราก็ต้องระวังไม่นำรูปไปใช้ในลักษณะที่ทำให้ผู้อื่นเสียหาย เพราะจะไปผิดกฎหมายอื่นแทน ที่ผู้อื่นสามารถฟ้องละเมิดทางแพ่งได้ โดยไม่ต้องรอ PDPA
ทั้งนี้ อ.ฐิติรัตน์ระบุด้วยว่า การจะตอบเรื่องนี้ ต้องดูเป็นรายกรณีไป เพราะมีหลายบริบทมาก “ลักษณะเวลาเราพูดว่าถ่ายรูปในที่สาธารณะ มันก็ต้องไปดูว่า ถ่ายแบบซูมอินไหม ถ่ายแบบเก็บบรรยากาศทั่วๆ ไปหรือเปล่า แล้ววัตถุประสงค์ตั้งต้นในการถ่ายคืออะไร”
สรุปแล้วถ่ายแบบไหนได้-ไม่ได้บ้าง? อ.ฐิติรัตน์เคยแจกแจงว่าการถ่ายแบบไหนเข้าข่าย PDPA บ้าง แบ่งตามเหตุผล/ลักษณะการใช้งาน ตามตารางข้างล่างนี้

ที่มา: อ.ฐิติรัตน์ ทิพย์สัมฤทธิ์กุล
จะเห็นว่า ถ้าเป็นการถ่ายรูปเพื่อใช้งานเป็นการส่วนตัว หรือแม้แต่การถ่ายภาพข่าวของสื่อมวลชน จะไม่เข้าข่าย PDPA เลย (แต่ก็ต้องระวังการฟ้องละเมิด ส่วนสื่อก็ต้องระวังเรื่องจริยธรรมสื่อ) ส่วนเรื่องอย่างกล้องจับความเร็วบนทางด่วนที่อาจถูกยกตัวอย่างขึ้นมา ก็ถือว่าทำได้ตาม PDPA ถ้าเป็นการอ้างเหตุผลจากการใช้อำนาจตามกฎหมายของเจ้าหน้าที่รัฐ
นอกจากนี้ อีกอย่างหนึ่งที่จะต้องมาดูสำหรับการถ่ายรูปในที่สาธารณะ ก็คือว่า ในแต่ละสังคม เราคาดหมายให้การถ่ายรูปในที่สาธารณะเป็นเรื่องปกติหรือไม่
“อันนี้แล้วแต่สังคมด้วย บางสังคมก็เคร่งครัด ไม่ได้เลย ต่อให้อยู่ในที่สาธารณะ คุณก็ถ่ายรูปคนอื่นโดยไม่บอกเขาไม่ได้ แต่ของเมืองไทยมันไม่ได้มีลักษณะแบบนั้นอยู่ตั้งแต่ต้น มันไม่ใช่เรื่องแปลกประหลาดอะไรที่คนจะยกกล้องขึ้นมาถ่ายรูปในที่สาธารณะ คือเราไม่คาดหวังความเป็นส่วนตัวในที่สาธารณะได้ขนาดนั้นอยู่แล้ว ดังนั้น มันก็จะยังถ่ายได้ แต่อย่างน้อยเราก็ควรคาดหวังมารยาท การเคารพกันและกันในสังคมได้”
PDPA กับหน่วยงานรัฐ: ไม่ใช่ข้ออ้างให้รัฐปิดบังข้อมูล
รัฐบาลจะละเมิดสิทธิเราน้อยลงบ้างไหม? เรื่องนี้ อ.ฐิติรัตน์อธิบายว่า รัฐบาลมีหน้าที่ดูแลข้อมูลส่วนบุคคลในมือของตัวเองมาตั้งแต่ปี 2540 แล้ว ตาม พ.ร.บ.ข้อมูลข่าวสารของราชการ พ.ศ. 2540 แต่การบังคับใช้ PDPA ก็จะช่วยให้มีกระบวนการที่ชัดเจนมากขึ้น เป็นทางการมากขึ้น
อีกประเด็นที่ อ.ฐิติรัตน์อยากจะให้สนใจด้วยก็คือ เริ่มมีความกังวลว่า เมื่อมีกฎหมาย PDPA แล้ว จะทำให้หน่วยงานรัฐไม่ยอมเปิดเผยข้อมูลหรือทำตัวไม่โปร่งใสแทน โดยอ้างว่า ถ้าเปิดเผยแล้วจะขัด PDPA ในเรื่องนี้ อ.ฐิติรัตน์ย้ำว่า การคุ้มครองข้อมูลส่วนบุคคลกับการเผยแพร่ข้อมูลที่เป็นประโยชน์สาธารณะหรือที่ควรจะตรวจสอบได้ ไม่ใช่เรื่องที่ขัดกันตั้งแต่ต้น
“หลายๆ คน เข้าใจผิดเรื่องนี้มากๆ บางอย่างแม้เป็นข้อมูลส่วนบุคคลก็เปิดเผยต่อสาธารณะได้ หากไม่ได้สร้างความเดือดร้อนอะไรให้เขา เช่น ข้อมูลสถานะทางการเงินของผู้แทนราษฎร หรือถ้ามันมีความจำเป็นต้องให้สาธารณะรับทราบ เช่น ข้อมูลที่ระบุตัวคนที่ทุจริตคอร์รัปชั่น ก็ต้องเปิดเผยได้
“เราก็หวังว่าจะไม่เห็นหน่วยงานราชการอ้าง PDPA เพื่อลดความโปร่งใสของการทำงานภาครัฐ รัฐต้องสร้าง open government, open data และต้องคุ้มครองข้อมูลส่วนบุคคลไปพร้อมกันด้วย มีเทคนิคทางเทคโนโลยีมากมายที่ช่วยให้ทำทั้งสองอย่างไปพร้อมกันได้ หวังว่าจะไม่ได้เห็นการอ้างแบบผิดฝาผิดตัวแบบนี้ PDPA จะต้องไม่ถูกอ้าง”