ชี้ประชาชนตื่นตัว ‘PDPA’ แต่ช่องโหว่กฎหมายอาจทำให้ใช้ไม่ได้จริง

กฏหมาย PDPA หรือ ‘พระราชบัญญัติ (พ.ร.บ.) คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562’ ที่ควรเป็นกฏหมายที่ทันสมัย รองรับสังคมไทยยุคไฮเทค ป้องกันการละเมิดข้อมูลส่วนบุคคลได้ครอบคลุม แต่หลังจากประกาศบังคับใช้กฏหมายที่ก้าวหน้าฉบับนี้ไปเมื่อวันที่ 1 มิถุนายน ที่ผ่านมา ก็พบว่าสังคมไทยตอบรับกฎหมายฉบับนี้ ทั้งเชิงบวกและเชิงลบ มีทั้งการปรับตัวอย่างกระตือรือร้น และความเข้าใจผิดในเนื้อหาของกฎหมาย หรือพบว่ากฎหมายซับซ้อน สร้างความสับสนในวิธีการปฏิบัติ อีกทั้งยังไม่มีกลไกรองรับหรือช่องทางร้องเรียนการละเมิดสิทธิ ในขณะเดียวกัน ก็เป็นกฎหมายที่มีสภาพของการขู่ให้สังคมกลัว และหวาดระแวง และยังไม่มีบทลงโทษที่ชัดเจน ที่สำคัญที่สุดคือ กฎหมายนี้เปิดให้ยกเว้นการบังคับใช้กฎหมายเป็นกรณี เพื่อกิจกรรมบางประเภท ซึ่งท้ายที่สุดก็อาจจะทำให้เป็นกฎหมายที่ไม่เหลือสภาพการใช้ได้

ทั้งนี้ เป็นการสะท้อนผลกระทบของ กฎหมาย PDPA ต่อสังคมไทย ในงานเสวนานักคิดดิจิทัล ครั้งที่ 22 “สิทธิดิจิทัลกับการคุ้มครองข้อมูลส่วนตัว ภายใต้ PDPA” ที่จัดขึ้นเมื่อวันที่ 30 มิถุนายน 2565 หลังจากการประกาศบังคับใช้กฎหมายฉบับนี้ครบ 1 เดือน ร่วมจัดโดยโคแฟค (ประเทศไทย) สำนักงานกองทุนสนับสนุนการสร้างเสริมสุขภาพ (สสส.) สภาองค์กรของผู้บริโภค (สอบ.) และอีกหลายองค์กร

กล้า ตั้งสุวรรณ ประธานเจ้าหน้าที่บริหาร (CEO) บริษัท ไวซ์ไซท์ (ประเทศไทย)
(ขอบคุณรูปภาพจาก The101.world)

เริ่มต้นจาก กล้า ตั้งสุวรรณ ประธานเจ้าหน้าที่บริหาร (CEO) บริษัท ไวซ์ไซท์ (ประเทศไทย) ที่เปิดเผย “ผลการวิเคราะห์สื่อสังคมออนไลน์ ประเด็น พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล*” พบว่า นับตั้งแต่วันที่ 1 พฤษภาคม – 20 มิถุนายน 2565 การเติบโตของกระแสความสนใจประเด็น พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล เพิ่มสูงขึ้นร้อยละ 90

โดยมีทั้งการพูดคุยเกี่ยวกับกฎหมาย PDPA การให้ข้อมูลความรู้ และเห็นท่าทีขององค์กรต่าง ๆ ในการปรับตัวรับกฎหมาย รวมไปถึงปัญหาจากการใช้กฎหมายดังกล่าว เช่น กรณีพลเมืองดีไปถ่ายคลิปวีดีโอชายหนุ่มทำร้ายร่างกายแฟนสาวแล้วเผยแพร่ผ่านโลกออนไลน์ ซึ่งความคิดเห็นต่อกฎหมายดังกล่าวก็มีทั้งเชิงบวก ที่มองว่ากฎหมายช่วยคุ้มครองสิทธิส่วนบุคคล และเชิงลบ เช่น ทำให้ผู้ประกอบการบังคับยินยอมให้เก็บข้อมูลก่อนแล้วค่อยไปยกเลิกภายหลัง หรือส่งผลกระทบต่อพลเมืองดี เป็นต้น

สำหรับความคาดหวังของประชาชนต่อภาคส่วนต่าง ๆ ในประเด็น พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ประธานเจ้าหน้าที่บริหาร บริษัท ไวซ์ไซท์ (ประเทศไทย) กล่าวว่า หากเป็นสื่อมวลชน ประชาชนคาดหวังให้สื่อผลิตเนื้อหาให้ความรู้เพื่อสร้างความเข้าใจกฎหมายดังกล่าวมากขึ้น เพราะมีเรื่องที่ผู้คนเข้าใจผิดเกิดขึ้นจำนวนมาก ในขณะที่ องค์กรภาคเอกชน ประชาชนคาดหวังให้ทุกองค์กรปฏิบัติตามกฎหมาย PDPA เพราะภาคเอกชนเป็นองค์กรที่มีโอกาสละเมิดกฎหมายนี้มากที่สุด

*เก็บข้อมูลระหว่างวันที่ 1 พฤษภาคม – 20 มิถุนายน 2565 ผ่านโปรแกรม Zocail Eye ซึ่งพัฒนาเพื่อรวบรวมข้อมูลการพูดคุยหรือกระแสที่เกิดขึ้นบนโลกออนไลน์ สำหรับให้ลูกค้าหรือประชาชนเข้าใจบริบทของสังคมในช่วงเวลาหนึ่ง โดยหัวข้อนี้เก็บรวบรวมข้อความที่มีการโพสต์ผ่านสื่อสังคมออนไลน์ (Social Media) ประมาณ 14,000 ข้อความ

ดร.อุดมธิปก ไพรเกษตร ผู้ก่อตั้งสื่อ PDPA Thailand

สอดคล้องกับข้อสังเกตของ ดร.อุดมธิปก ไพรเกษตร ผู้ก่อตั้งสื่อ PDPA Thailand ที่ระบุว่า ในมุมของประชาชนนั้น ประชาชนยังไม่ได้รับความรู้ด้านการใช้สิทธิตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ทั้งเรื่องการเข้าถึงและการร้องเรียน โดยหากสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลไม่มีกลไกรองรับ และประชาชนไม่สามารถใช้สิทธิได้ เนื่องจากไม่มีช่องทางหรือวิธีการ ท้ายที่สุดกฎหมายฉบับนี้ก็จะถูกลืม

ส่วนในมุมของผู้ประกอบการ แม้กฎหมายจะบังคับใช้แล้ว แต่บทลงโทษและกลไกต่าง ๆ ยังไม่ชัดเจน อีกทั้งยังไม่มีคณะกรรมการผู้เชี่ยวชาญ ดังนั้น แม้ต่อไปจะออกกฎหมายลูกว่าด้วยมาตรการและโทษทางปกครองก็ไม่มีประโยชน์

“ทุกฝ่ายพยายามเข้าไปมีบทบาทในคณะกรรมการผู้เชี่ยวชาญ เนื่องจากตามกฎหมาย คณะกรรมการผู้เชี่ยวชาญจะมีอำนาจชี้ขาดว่าการบังคับใช้กฎหมายฉบับนี้จะเป็นไปแบบไหน อย่างไร ทั้งนี้ คิดว่าประชาชนหรือนักวิชาการน่าจะต้องใส่ใจและติดตามเรื่องนี้ เพราะอุตส่าห์ได้กฎหมายที่ดี ๆ ฉบับหนึ่งแล้ว แต่กฎหมายจะดีต่อไปได้ก็ต่อเมื่อทุกภาคส่วนมีส่วนร่วม” ดร.อุดมธิปก กล่าว

ฐิติรัตน์ ทิพย์สัมฤทธิ์กุล อาจารย์คณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์

ด้าน ฐิติรัตน์ ทิพย์สัมฤทธิ์กุล อาจารย์คณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์ ให้ความเห็นว่า สาเหตุที่ทำให้เกิดความสับสนหรือเข้าใจผิดในประเด็นการบังคับใช้กฎหมาย PDPA เนื่องจาก 1. ความซับซ้อนของกฎหมาย 2.กฎหมายใช้บังคับกับทุกภาคส่วนแบบเดียวกัน ทั้งที่รูปแบบการจัดเก็บและใช้ข้อมูลของแต่ละอาชีพแตกต่างกัน เช่น คนทำงานในห้องแล็บ ในกิจการโทรคมนาคม ในภาคการตลาด เป็นต้น

3. สังคมไทยไม่ได้ให้ความสำคัญกับเรื่องความเป็นส่วนตัว มากนัก ดังนั้น การบังคับใช้กฎหมาย PDPA นอกจากประชาชนจะต้องเข้าใจกฎหมายแล้ว ยังต้องปรับเปลี่ยนพฤติกรรมในการปฏิบัติต่อกันด้วย 4.ความไม่มั่นใจของประชาชนที่มีต่อการบังคับใช้กฎหมาย ซึ่งไม่ใช่เฉพาะกฎหมาย PDPA แต่เป็นภาพรวมว่าด้วยหลักนิติรัฐ นิติธรรมในบ้านเมือง ที่ถูกตั้งคำถามตลอดมา เพราะมีตัวอย่างทั้งการกลั่นแกล้ง หรือการลงโทษที่ไม่ได้สัดส่วน

และ 5. การอธิบายกฎหมายแบบ “ขู่ให้กลัว” หมายถึง การอธิบายโดยเน้นว่าหากฝ่าฝืนจะต้องเจอบทลงโทษอย่างไรบ้าง ซึ่งดูเหมือนจะเป็นความเคยชินของสังคมไทยที่ผู้คนเติบโตมากับการใช้อำนาจ เช่น การเลี้ยงด้วยไม้เรียว ดังนั้น เมื่อมีกฎหมายใหม่ออกมา สิ่งแรกที่แต่ละคนจะคิดก่อนคือทำอย่างไรจะไม่ถูกตีหรือถูกลงโทษ แทนที่จะคิดว่ากฎหมายใหม่สามารถสร้างโอกาสใหม่ ๆ กับตัวเราได้อย่างไรบ้าง หรือทำให้คนในสังคมเคารพกันและกันได้อย่างไรบ้าง โดยสรุปคือการอธิบายแบบขู่ให้กลัว ทำให้คนมองกฎหมายในแง่ลบมากกว่าแง่บวก

“การจะทำให้คนไม่รู้สึกลบหรือระแวงกฎหมายจนเกินไป องค์กรที่บังคับใช้ต้องพยายามสื่อสารให้เห็นว่ากฎหมายนี้มีประโยชน์ต่อประชาชนหรือสังคมอย่างไรบ้าง และหากมีการทำผิดเกิดขึ้น ไม่ควรมุ่งเป้าไปที่การลงโทษ แต่ควรร่วมกันหาทางแก้ไข เพื่อเป็นบทเรียนสำหรับองค์กรอื่น ๆ ที่ทำพลาดเหมือนกัน พร้อมกัน ทั้งนี้ หน่วยงานกำกับดูแลต้องเข้าใจว่า ในช่วงต้นของการบังคับใช้กฎหมายต้องเน้นเรื่องของการให้ความรู้ และเรียนรู้ไปด้วยกัน” ฐิติรัตน์กล่าว

ดร.สลิลธร ทองมีนสุข อาจารย์คณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย

ในแง่ประเด็นความสนใจของภาคธุรกิจ ดร.สลิลธร ทองมีนสุข อาจารย์คณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย กล่าวว่า จากประสบการณ์ที่เข้าไปช่วยงานของ สถาบันวิจัยเพื่อการพัฒนาประเทศไทย (TDRI) ทำคู่มือสำหรับธุรกิจขนส่งในการปฏิบัติตามกฎหมาย PDPA เมื่อปี 2564 พบว่า หากเป็นกิจการขนาดใหญ่และขนาดกลาง ผู้ประกอบการจะตื่นตัวมาก เพราะหวั่นเกรงบทลงโทษ เช่น ตั้งคณะทำงานด้านการคุ้มครองข้อมูลส่วนบุคคลขึ้นมาภายในองค์กร จัดอบรมสร้างความตระหนักรู้เกี่ยวกับกฎหมาย PDPA ให้กับพนักงานในองค์กร หรือบางองค์กรถึงขั้นลงทุนส่งพนักงานไปฝึกอบรมกับหลักสูตรของต่างประเทศ

นอกจากนี้ ยังสำรวจและประมวลผลว่าในองค์กรจัดเก็บข้อมูลอะไรบ้าง หรือข้อมูลส่วนบุคคลถูกจัดเก็บไว้ที่ใดบ้าง อ้างฐานประมวลผลใดบ้าง วางมาตรการทั้งทางเทคนิคและการบริหารองค์กร ตลอดจนพัฒนาเว็บไซต์สำหรับเปิดเป็นช่องทางร้องเรียน ซึ่งเป็นความคืบหน้าที่ดี แต่ในทางกลับกัน ผู้ประกอบการขนาดเล็กยังขาดความเข้าใจ เช่น เคยได้รับคำถามว่าการแจ้งกับความยินยอมต่างกันอย่างไร หรือมีผู้ที่เข้าใจว่าต้องขอความยินยอมในทุกกรณี เป็นต้น

ดร.สลิลธร ยังยกตัวอย่างหนึ่งในเรื่องที่มีความกังวลกันมากคือ “ข้อมูลจากกล้องวงจรปิด (CCTV)” เช่น ติด CCTV ไว้ในบ้าน ต้องติดป้ายคำเตือนว่ามีกล้องหรือไม่ หรือในกิจการภาคขนส่ง ที่ใช้ CCTV อาทิ สถานีรถไฟฟ้า ทางด่วน ทั้งเพื่อการรักษาความปลอดภัยและการจัดเก็บค่าบริการ การที่ผู้ให้บริการจัดเก็บและใช้ข้อมูลจาก CCTV ต้องขอความยินยอมหรือไม่ โดยเมื่อดูตามข้อกฎหมาย หากเป็นพื้นที่สาธารณะ การติดตั้งกล้องวงจรปิดสามารถทำได้โดยให้ติดป้ายเตือนในจุดที่มองเห็นได้ง่ายว่า บริเวณนี้ติด CCTV ในจุดก่อนเข้าสู่พื้นที่นั้น แต่ไม่ต้องบอกละเอียดว่าติดกล้องไว้จุดใดบ้าง

ดร.นพ.นวนรรน ธีระอัมพรพันธุ์ อาจารย์คณะแพทยศาสตร์ โรงพยาบาลรามาธิบดี มหาวิทยาลัยมหิดล ในฐานะกรรมการผู้ทรงคุณวุฒิในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

ด้าน ดร.นพ.นวนรรน ธีระอัมพรพันธุ์ อาจารย์คณะแพทยศาสตร์ โรงพยาบาลรามาธิบดี มหาวิทยาลัยมหิดล ในฐานะกรรมการผู้ทรงคุณวุฒิในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล อธิบายว่า พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล จะออกมาตั้งแต่ปี 2562 และตามกำหนดการเดิมจะมีผลบังคับใช้ในวันที่ 27 พฤษภาคม 2563 แต่ด้วยสถานการณ์โรคระบาดโควิด – 19 ซึ่งมีข้อจำกัดต่าง ๆ รัฐบาลจึงประกาศเลื่อนการบังคับใช้ ทำให้ในช่วงเวลา 2 ปีที่ผ่านมา ไม่มีการแต่งตั้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลอย่างเป็นทางการ เนื่องจากมีขั้นตอนกระบวนการที่ซับซ้อน โดยระหว่างที่ยังไม่มีคณะกรรมการนั้นกฎหมายให้สำนักงานปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมทำหน้าที่ไปพลางก่อน

ดร.นพ.นวนรรน กล่าวต่อไปว่า ปัจจุบันสำนักงานปลัดกระทรวงดิจิทัลฯ ซึ่งทำหน้าที่เป็นสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลตั้งคณะอนุกรรมการเพื่อกลั่นกรองร่างกฎหมายลูก หรือกฎหมายลำดับรองของ พ.ร.บ. ข้อมูลส่วนบุคคล ซึ่งทางสำนักงานได้เตรียมร่างไว้ ที่ผ่านมามีการประชุมกันแทบทุกสัปดาห์ตั้งแต่เดือนมีนาคม 2565 แต่ต้องการให้ประชาชนเข้าใจว่าเหตุที่ต้องใช้เวลา เพราะการพิจารณากฎหมายต้องทำอย่างรอบคอบ

“คณะกรรมการตกลงกันว่า การบังคับใช้จะไม่ได้เข้มข้นมากนัก โดยจะพิจารณาตามเหตุผล และข้อจำกัดต่าง ๆ หากเป็นกรณีที่มีเจตนากระทำความผิดชัดเจน เช่น เจตนาเอาข้อมูลไปให้แก๊งคอลเซ็นเตอร์ ก็จะลงโทษตามกฎหมายอย่างเข้มงวด แต่ถ้าไม่ได้มีเจตนาทำผิด การบังคับใช้อาจจะเป็นการตักเตือน หรือการสั่งให้แก้ไขให้ถูกต้องมากกว่าจะไปลงโทษปรับ” ดร.นพ.นวนรรน กล่าว

อาทิตย์ สุริยะวงศ์กุล อนุกรรมการด้านการสื่อสาร โทรคมนาคมและเทคโนโลยีสารสนเทศ สอบ.

ขณะที่ อาทิตย์ สุริยะวงศ์กุล อนุกรรมการด้านการสื่อสาร โทรคมนาคมและเทคโนโลยีสารสนเทศ สอบ. สนับสนุนให้ประชาชนร้องเรียนผ่านกลไกต่าง ๆ ที่มี ในกรณีที่ไม่ได้รับความเป็นธรรมหรือถูกเอารัดเอาเปรียบ โดยเป็นการกระทำที่อาจผิดกฎหมาย PDPA ทั้งนี้ การร้องเรียนจะส่งผลให้ผู้ประกอบการรับทราบปัญหา และทดสอบกลไกกำกับดูแลว่า มีข้อบกพร่องต้องปรับปรุงหรือไม่ ซึ่งจะนำไปสู่การปรับปรุงกฎหมายให้เหมาะสมและรัดกุมต่อไป

อย่างไรก็ตาม อาทิตย์ แสดงความกังวล กรณี พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 มาตรา 4 ที่เปิดช่องให้ออกพระราชกฤษฎีกามาเพื่อยกเว้นการบังคับใช้กฎหมายฉบับนี้ได้เป็นรายกิจการหรือกิจกรรม ซึ่งผู้มีอำนาจในการออกพระราชกฤษฎีกา คือ รัฐมนตรีว่าการกระทรวงดิจิทัลฯ อีกทั้งการออกพระราชกฤษฎีกายังไม่ต้องรับฟังความคิดเห็นจากคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

“พ.ร.บ. ฉบับนี้ออกโดยสภาผู้แทนราษฎร เป็นอำนาจนิติบัญญัติ แต่รัฐมนตรี ซึ่งเป็นฝ่ายบริหารสามารถใช้กฎหมายลำดับรองมาทำให้กฎหมายที่ออกโดยฝ่ายนิติบัญญัติไม่เหลือสภาพการใช้ไปทั้งหมด หากเรายอมให้มีลักษณะดังกล่าวเกิดขึ้นกับกฎหมายฉบับนี้ ก็เป็นไปได้ว่ากฎหมายฉบับใด ๆ ในอนาคตก็จะถูกใช้วิธีการนี้ได้อีก ซึ่งขัดแย้งกับแนวคิดเรื่องการแบ่งแยกอำนาจตุลาการ นิติบัญญัติ บริหาร โดยสิ้นเชิง” อาทิตย์ ระบุ

งานเสวนานักคิดดิจิทัล ครั้งที่ 22 “สิทธิดิจิทัลกับการคุ้มครองข้อมูลส่วนตัว ภายใต้ PDPA” จัดขึ้นโดยความร่วมมือของ โคแฟค (ประเทศไทย) สสส. สอบ. สำนักข่าว Thai PBS เครือข่ายพลเมืองเน็ต สมาคมนักข่าวนักหนังสือพิมพ์แห่งประเทศไทย สภาการสื่อมวลชนแห่งชาติ ChangeFusion มูลนิธิฟรีดิชเนามัน และ Centre for Humanitarian Dialogue (HD)