อย่าเป็นเสือกระดาษ เร่ง “กฎหมายดิจิทัล” เท่าทันการละเมิดสิทธิ

สภาผู้บริโภคชี้ “กฎหมายดิจิทัล” หลายฉบับ มีช่องโหว่ทั้งกฎหมายคุ้มครองส่วนบุคคล กฎหมายแพลตฟอร์มดิจิทัล กฎหมายแบ่งปันข้อมูลและเอไอ รัฐต้องเร่งออกกฎให้คุ้มครองผู้บริโภคให้รวดเร็ว ใช้แนวทางออกพระราชกำหนด (พ.ร.ก.) ในเรื่องเร่งด่วน คุ้มครองผู้บริโภคได้ทันที

ปัญหาการรั่วไหลและการนำข้อมูลส่วนตัวไปใช้เกินขอบเขตที่ยินยอม กำลังเป็นภัยใกล้ตัวที่เกิดขึ้นทุกวันของผู้ใช้บริการออนไลน์ คนไทยอาจไม่รู้ว่าข้อมูลส่วนตัวที่ให้กับแอปพลิเคชัน เว็บไซต์ หรือบริการต่าง ๆ ทั้งออนไลน์ และออฟไลน์ อาจกำลังถูกแชร์ต่อโดยที่ไม่เคยอนุญาตมาก่อน แม้ประเทศไทยมีกฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA) ที่ช่วยคุ้มครองสิทธิข้อมูลส่วนบุคคล แต่ยังมีช่องโหว่ ทั้งการใช้ข้อมูลเกินขอบเขตที่ยินยอม รวมถึงการแบ่งปันข้อมูลระหว่างหน่วยงานรัฐและเอกชนอย่างไร้การตรวจสอบ ซึ่งข้อมูลเหล่านี้อาจถูกนำเอาไปใช้เพื่อประโยชน์ทางการค้า หรือการหลอกลวงโดยมิจฉาชีพ

สิ่งหนึ่งที่เป็นที่ประจักษ์คือกระบวนการออก กฎหมายดิจิทัล ใหม่ที่ใช้เวลานานจนตามไม่ทันการตลาดที่หาประโยชน์จากข้อมูลส่วนบุคคล และมุกใหม่ภัยดิจิทัลที่เกิดขึ้นทุกวัน จะเห็นได้ว่า ขณะนี้มีการทำร่างกฎหมายสำคัญๆ ต่างๆ เช่น ร่างกฎหมายเรื่องการแบ่งปันข้อมูล (Data Sharing) ร่างกฎหมายว่าด้วยปัญญาประดิษฐ์ (AI ACT) รวมถึงรายชื่อแพลตฟอร์มที่อยู่ภายใต้กฎหมายการธุรกิจบริการแพลตฟอร์มดิจิทัล (DPS) ที่อยู่ระหว่างการดำเนินของหน่วยงานที่เกี่ยวข้อง ที่ยังไม่ออกมาในขณะที่เทคโนโลยีรุดหน้าไปอย่างรวดเร็ว

ในขณะที่มีกฎหมายใหม่ ๆ ที่ออกมาก่อนหน้านี้ยังไม่สามารถใช้งานได้เต็มประสิทธิภาพ ร่างกฎหมายใหม่ๆ ยังรอการพิจารณา ประชาชนที่มีส่วนที่ต้องรับภัยทางเทคโนโลยีควรร่วมกันผลักดันกลไกต่าง ๆ ของรัฐให้กฎหมายใหม่เกิดประสิทธิภาพ ร่างกฎหมายได้ถูกพิจารณาอย่างรวดเร็ว เพื่อคุ้มครองประชาชนจากการโดนละเมิดสิทธิ ที่อาจทำให้ประชาชนกลายเป็น “เหยื่อเงียบ” ของมิจฉาชีพ หรือการฉกฉวยโอกาสทำกำไรของเอกชน

ดร.อุดมธิปก ไพรเกษตร อนุกรรมการด้านการสื่อสาร โทรคมนาคม และเทคโนโลยีสารสนเทศ สภาผู้บริโภค กล่าวว่า ในยุคที่เทคโนโลยีดิจิทัลเข้ามามีบทบาทสำคัญกับชีวิตประจำวัน ผู้บริโภคจำเป็นต้องทำความเข้าใจและเฝ้าระวังติดตามพัฒนาการของกฎหมายใหม่ ๆ ให้เป็นไปเพื่อประโยชน์สาธารณะ สภาผู้บริโภคจึงได้ประเมินความสำคัญและสรุปกฎหมายที่ผู้บริโภคควรติดตาม พร้อมแนวทางที่ควรมีการปรับแก้ไขกฎหมายใหม่ให้รวดเร็วสถานการณ์ เพื่อเพิ่มประโยชน์ในการร่วมคุ้มครองผู้บริโภค สำหรับกฎหมายใหม่ที่ควรต้องติดตาม ได้แก่

1. พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA)

กฎหมายหลักในการปกป้องข้อมูลส่วนบุคคล โดยมีสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส. หรือ PDPC) เป็นผู้กำกับดูแล ทำหน้าที่ให้คำปรึกษา รับเรื่องร้องเรียน และดำเนินการบังคับใช้กฎหมาย โดยสาระสำคัญไม่ได้ครอบคลุมเพียงแค่ปัญหาข้อมูลรั่วไหล แต่ยังรวมถึง “สิทธิ” ของเจ้าของข้อมูลในการอนุญาตหรือปฏิเสธการใช้ ตลอดจนกำหนดให้สามารถอนุญาตเฉพาะวัตถุประสงค์ที่ระบุได้

ทั้งนี้การให้สิทธิแก่ผู้ใด หรือหน่วยงานใดในแต่ละครั้งประชาชนจึงต้องพิจารณาและอ่านข้อมูลอย่างรอบคอบว่าข้อมูลส่วนตัวเหล่านี้จะเอาไปทำอะไร ซึ่งหน่วยงานนั้น ๆ สามารถตรวจสอบได้จากข้อมูลต่าง ๆ ที่ได้กรอกลงทะเบียนไว้ในระบบ 

2. พระราชกฤษฎีกาการประกอบธุรกิจบริการแพลตฟอร์มดิจิทัล (DPS)

สำหรับพระราชกฤษฎีกาการประกอบธุรกิจบริการแพลตฟอร์มดิจิทัลที่ต้องแจ้งให้ทราบ พ.ศ. 2565 ว่าด้วยการควบคุมดูแลธุรกิจบริการแพลตฟอร์มดิจิทัล (Digital Platform Services : DPS) หรือเรียกว่า กฎหมายควบคุมดูแลธุรกิจบริการแพลตฟอร์มดิจิทัล (PDS) มีเป้าหมายเพื่อคุ้มครองผู้บริโภคที่ใช้บริการผ่านแพลตฟอร์มดิจิทัล โดยต้องมาจดแจ้งข้อมูลกับ สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ หรือ ETDA (เอ็ตด้า) ทั้งในเรื่องตัวตน รูปแบบบริการ และจำนวนผู้ใช้บริการ ขณะเดียวกันยังมีข้อกำหนดให้ผู้ให้บริการรถรับจ้างผ่านแพลตฟอร์มต้องมีใบขับขี่สาธารณะ เพิ่มมาอีกด้าน เพื่อสร้างความปลอดภัยให้ผู้โดยสารไปอีกขั้นหนึ่ง

ดังนั้นผู้บริโภคควรตรวจสอบข้อมูลเมื่อขอรับบริการจากของผู้ใช้บริการจากแพลตฟอร์มต่าง ๆ ว่าอยู่ภายใต้กฎหมายนี้หรือไม่ เช่น ร้านขายของออนไลน์ หรือบริการรถรับจ้างบนแพลตฟอร์มต่าง ๆ ว่ามีข้อมูลปรากฏที่เว็บไซต์ของสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์หรือไม่ www.etda.or.th/th/regulator/Digitalplatform/law.aspx เพื่อป้องกันปัญหาการซื้อสินค้าและใช้บริการตามมา

3. ร่างกฎหมายว่าด้วยการแบ่งปันข้อมูล (Data Sharing)

เป็นผลมาจากกฎหมายหลักในการปกป้องข้อมูลส่วนบุคคล (PDPA) ของไทยยังไม่มีข้อบังคับเกี่ยวกับการแบ่งปันข้อมูลเหมือนกับสหภาพยุโรป ทำให้มีการแบ่งปันข้อมูลระหว่างหน่วยงานต่างๆทั้งเอกชนกับเอกชน รัฐกับรัฐ เอกชนกับรัฐ หรือรัฐกับเอกชน จึงมีปัญหาในการคุ้มครองสิทธิของประชาชนที่เป็นเจ้าของข้อมูล เพราะไม่ทราบว่าผู้ควบคุมข้อมูลส่วนบุคคลได้แบ่งปันข้อมูลไปให้ใครบ้าง และมีมาตรฐานการแบ่งปันข้อมูลกันอย่างไร โดยแม้ว่าจะมีร่างกฎหมายการแบ่งปันข้อมูลที่อยู่ระหว่างการยกร่างโดยสถาบันข้อมูลขนาดใหญ่ (องค์การมหาชน) หรือ BDI ชื่อ (ร่าง) กฎหมายการอำนวยความสะดวกในการแบ่งปันข้อมูลเพื่อใช้ประโยชน์เชิงวิเคราะห์ (Data Sharing Facilitation for Analytics Act) ก็เป็นเพื่อประโยชน์ในการวิเคราะห์ข้อมูลไม่ได้มุ่งเน้นเรื่องการคุ้มครองข้อมูลส่วนบุคคล

ทั้งนี้ภาคประชาชนจึงควรดำเนินการติดตามร่างกฎหมายฉบับนี้อย่างใกล้ชิด และสามารถนำเสนอข้อมูลในระหว่างการเปิดรับฟังความคิดเห็นจากทุกภาคส่วนที่เกี่ยวข้องได้เช่นกัน

4. ร่างกฎหมายว่าด้วยปัญญาประดิษฐ์ (AI ACT)

สำหรับในช่วงที่ผ่านมารัฐบาลเคยเสนอร่างร่างกฎหมายเกี่ยวกับปัญญาประดิษฐ์ หรือ เอไอ (AI) 2 ฉบับ ได้แก่ ร่างพระราชกฤษฎีกา การประกอบธุรกิจบริการที่ใช้งานระบบปัญญาประดิษฐ์ และร่างพระราชบัญญัติว่าด้วยการส่งเสริมและสนับสนุนนวัตกรรมปัญญาประดิษฐ์แห่งประเทศไทย ซึ่งต่อมานำร่างกฎหมายทั้ง 2 ฉบับ มาปรับปรุงให้สอดคล้องกับสถานการณ์ปัจจุบัน และเพิ่งเปิดรับฟังความคิดเห็นไปไม่นานมานี้ โดย สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (สพธอ.) ซึ่งจะทำให้การที่องค์กรต่าง ๆ จะพัฒนาและนำ ปัญญาประดิษฐ์ หรือ เอไอ (AI) มาใช้ในกิจการของตน หรือเพื่อให้บริการแก่ประชาชน จะต้องมีธรรมภิบาล และคำนึงถึงผลกระทบที่มีต่อทุกภาคส่วนโดยเฉพาะประเด็นที่เกี่ยวกับข้อมูลส่วนบุคคล และข้อมูลความลับของราชการ ทั้งนี้ ภาคประชาชนต้องเฝ้าระวังความคืบหน้าของการร่างกฎหมายฉบับใหม่อย่างต่อเนื่อง

ความท้าทายของกฎหมายและการบังคับใช้

ขณะเดียวกันประเทศไทยมีข้อดีจากการที่มีกฎหมายหลายฉบับที่เกี่ยวข้องกับเทคโนโลยี แต่ความท้าทายยังอยู่ที่การบังคับใช้และการทำงานร่วมกันของหน่วยงานกำกับดูแล เช่น กฎหมาย PDPA อยู่ในความดูแลของสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ขณะที่กฎหมายกฎหมายการประกอบธุรกิจบริการแพลตฟอร์มดิจิทัล (DPS) และกฎหมายการกำกับดูแลเรื่องธรรมภิบาลของการใช้เทคโนโลยีเอไอ (AI Governance) ซึ่งจะอยู่ในความรับผิดชอบของสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (ETDA) แม้ทั้งสองหน่วยงานจะสังกัดกระทรวงเดียวกัน แต่อาจขาดการบูรณาการและการสื่อสารที่เพียงพอ

สำหรับตัวอย่างที่ชัดเจนคือ เทคโนโลยีสแกนม่านตา (World Coin) ซึ่งเข้าข่ายทั้ง กฎหมายการคุ้มครองข้อมูลส่วนบุคคล (PDPA) และการประกอบธุรกิจบริการแพลตฟอร์มดิจิทัล (DPS) เนื่องจากเป็นการเก็บข้อมูลชีวภาพที่ถือเป็นข้อมูลส่วนบุคคลพิเศษจากนิติบุคคลต่างประเทศ ผู้ให้บริการจึงจำเป็นต้องมีตัวแทนในประเทศไทยและจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) รวมถึงได้สะท้อนถึงความจำเป็นในการประสานงานระหว่างหน่วยงานเพื่อคุ้มครองสิทธิของผู้บริโภคให้ครอบคลุม

อีกประเด็นหนึ่งที่ประชาชนต้องติดตามจากการที่กระบวนการออกพระราชบัญญัติต้องใช้เวลา 3 – 5 ปี ซึ่งไม่ทันต่อความเปลี่ยนแปลงในโลกดิจิทัล และร่วมกันผลักดันให้ภาครัฐพิจารณาออกพระราชกำหนด (พ.ร.ก.) แทนการออกพระราชบัญญัติ ในกรณีที่มีความเร่งด่วนหรือฉุกเฉิน เนื่องจากสามารถบังคับใช้ได้ทันที และมีศักดิ์เทียบเท่าพระราชบัญญัติ รวมถึงกำหนดบทลงโทษได้ เช่นเดียวกับพระราชกำหนดปราบปรามอาชญากรรมทางไซเบอร์ที่เพิ่งออกมา

ทั้งนี้ สภาผู้บริโภคจึงขอเรียกร้องให้หน่วยงานรัฐเร่งรัดการทำงานแบบบูรณาการ เพื่อสร้างกลไกคุ้มครองผู้บริโภคในยุคดิจิทัลอย่างแท้จริง พร้อมอยากให้ภาคประชาชนตระหนักถึงกฎหมายฉบับใหม่ต่าง ๆ และติดตามความเคลื่อนไหวของกฎหมายเหล่านี้ เพื่อร่วมกันสร้างสังคมดิจิทัลที่ปลอดภัยและเป็นธรรมสำหรับทุกคน “โลกดิจิทัลเปลี่ยนทุกวัน แต่กฎหมายไทยใช้เวลาหลายปีออกหนึ่งฉบับ ดังนั้น ช่องโหว่เล็ก ๆ ของกฎหมาย อาจกลายเป็นประตูใหญ่ให้ข้อมูลรั่วไหล โดยสภาผู้บริโภคย้ำว่าการคุ้มครองสิทธิผู้บริโภค ต้องเร็วพอ ๆ กับความเร็วของเทคโนโลยี” ดร.อุดมธิปก กล่าว

อย่างไรก็ตาม หากภาคประชาชนตรวจสอบพบว่า สิทธิของข้อมูลที่ได้ลงทะเบียนไว้ถูกนำไปใช้เกินวัตถุประสงค์ที่กำหนดไว้ และไม่ได้รับการยินยอม โดยเฉพาะข้อมูลส่วนบุคคล เช่น มีภาคเอกชนถูกดึงไปใช้ให้แก่ภาคเอกชนอื่นๆ สามารถยื่นเรื่องร้องเรียนการละเมิดกฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA) ได้ที่ เว็บไซต์สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ที่ www.pdpc.or.th โดยกรอกแบบฟอร์ม ครร.1 และแนบเอกสารที่เกี่ยวข้อง หรือติดต่อผ่าน สายด่วน 02-111-8800 (กด 2) ในวันและเวลาทำการ หรือส่งเรื่องทางไปรษณีย์อิเล็กทรอนิกส์ (อีเมล) ที่ [email protected]