“ข้อยกเว้น” ที่อาจทำลายหลักการของร่างกฎหมายคุ้มครองข้อมูลส่วนบุคคลลงไปทั้งฉบับ #ไร้ค่า

ร่างพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล มาตรา 4 ข้อยกเว้น

ร่างพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล มาตรา 4 ข้อยกเว้น

ขอยกจากที่คุยกันในเฟซบุ๊กสองโพสต์เรื่อง ข้อยกเว้นในร่างพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล กับเรื่อง ศาลยุติธรรมแห่งสหภาพยุโรปตัดสินว่าข้อตกลง “Safe Habour” ระหว่างสหรัฐกับอียูเป็นโมฆะ มาโพสต์ไว้ตรงนี้ด้วย เพื่อให้ค้นหาง่าย

ตัดมาตรา 4 ว่าด้วย “ข้อยกเว้น” ในร่างพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลมาให้ดูกันก่อน ร่างฉบับนี้สำนักงานคณะกรรมการกฤษฎีกาตรวจพิจารณาเสร็จแล้วเมื่อกรกฎาคม 2558 และส่งกลับไปให้คณะรัฐมนตรีแล้ว ซึ่งถ้าครม.เห็นชอบก็จะส่งไปให้สภานิติบัญญัติแห่งชาติต่อไป (ดาวน์โหลดได้จากเว็บไซต์สพธอ. – มีร่างกฎหมายดิจิทัลครบทุกฉบับ ยกเว้นร่างพ.ร.บ.ความมั่นคงไซเบอร์ ที่ไม่มีฉบับที่กฤษฎีกาตรวจแล้วให้โหลด):

มาตรา 4 พระราชบัญญัตินี้ไม่ใช้บังคับแก่
(1) บุคคลที่ทำการเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อประโยชน์ส่วนตนของบุคคลนั้นเท่านั้น โดยมิให้ผู้อื่นใช้ข้อมูลส่วนบุคคลนั้น หรือเปิดเผยข้อมูลส่วนบุคคลนั้นต่อผู้อื่น
(2) บุคคลหรือนิติบุคคลซึ่งใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่ทำการเก็บรวบรวมไว้เฉพาะเพื่อกิจการสื่อมวลชน งานศิลปกรรม หรืองานวรรณกรรมอันเป็นไปตามจริยธรรมแห่งการประกอบวิชาชีพหรือเป็นประโยชน์สาธารณะเท่านั้น
(3) สภาผู้แทนราษฎร วุฒิสภา และรัฐสภา รวมถึงคณะกรรมาธิการที่แต่งตั้งโดยสภาดังกล่าว ซึ่งเก็บรวมรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลในการพิจารณาตามอำนาจหน้าที่ของสภาผู้แทนราษฎร วุฒิสภา รัฐสภา หรือคณะกรรมการธิการ แล้วแต่กรณี
(4) การพิจารณาพิพากษาคดีของศาลและการดำเนินงานของเจ้าหน้าที่ในกระบวนการพิจารณาคดี การบังคับคดี และการวางทรัพย์ รวมทั้งการดำเนินงานตามกระบวนการยุติธรรมทางอาญา
(5) การดำเนินกิจการทางศาสนาขององค์การทางศาสนา
(6) การดำเนินการกับข้อมูลของบริษัทข้อมูลเครดิตและสมาชิกตามกฎหมายว่าด้วยการประกอบธุรกิจข้อมูลเครดิต

การยกเว้นไม่ให้นำบทบัญญัติแห่งพระราชบัญญัตินี้ทั้งหมดหรือแต่บางส่วนมาใช้บังคับแก่ผู้ควบคุมข้อมูลส่วนบุคคลในลักษณะใด กิจการใด หรือหน่วยงานใดทำนองเดียวกับผู้ควบคุมข้อมูลส่วนบุคคลตามวรรคหนึ่ง หรือเพื่อประโยชน์สาธารณะอื่นใด ให้ตราเป็นพระราชกฤษฎีกา

ความเห็นสั้นๆ ของผมคือ

ข้อ 2 อ่านแล้วนึกถึงพ.ร.บ.ลิขสิทธิ์ ซึ่งนับว่าซอฟต์แวร์เป็น “วรรณกรรม” ด้วย
ถ้ามีซอฟต์แวร์ที่เก็บข้อมูลส่วนบุคคลตามจริยธรรมวิชาชีพ (ซึ่งก็ไม่รู้ว่าคืออะไร) แปลว่าไม่อยู่ในความคุ้มครองของพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลนี้รึเปล่า?
แม้โดยทั่วไปนิยามพิเศษจะไม่นำมาใช้ข้ามกฎหมายต่างฉบับกัน แต่อันนี้ก็กังวลไว้ก่อน เพราะที่ผ่านมาก็มีกรณีที่ถ้าจำเป็นต้องตีความนิยามเพิ่มเติม ศาลก็พยายามจะอ้างอิงเทียบกับกฎหมายที่มีอยู่ในเรื่องใกล้เคียง

ข้อ 3 อาจจะพออธิบายได้ในเชิงหลักการ (เห็นด้วยหรือไม่นี่อีกเรื่อง) แต่ในทางปฏิบัติน่าจะมีปัญหาแน่ เพราะเท่ากับเป็นข้อยกเว้นที่ไม่มีขีดจำกัด ไอ้คณะกรรมาธิการนี่มันงอกขึ้นมาได้เรื่อยๆ – เวลาพูดถึงข้อยกเว้นของกฎหมายมันควรจะมีขอบเขตจำกัดชัดเจน

ข้อ 4 นี่รวมถึงการดักฟังไหม คือเข้าใจว่าเจ้าหน้าที่บังคับใช้กฎหมายมีความจำเป็นในกรณีเฉพาะเจาะจงที่จำเป็นต้องสามารถเข้าถึงข้อมูลส่วนบุคคลได้ แต่แทนที่จะเป็นการยกเว้นไปเลย มันควรจะระบุแทนหรือเปล่า ว่าเอาไปใช้อย่างไรได้บ้าง (ดู หลักการระหว่างประเทศว่าด้วยการใช้หลักสิทธิมนุษยชนกับการสอดแนมการสื่อสาร)

ข้อ 5 ข้อนี่ถามกันมาตั้งแต่ปีที่แล้ว ในอย่างน้อยสามวง ว่าทำไมต้องมี ทำไมองค์การทางศาสนาถึงมีสิทธิพิเศษได้รับการยกเว้น อะไรคือคำอธิบาย – ซึ่งในบันทึกประกอบของสำนักงานคณะกรรมการกฤษฎีการที่ท้ายร่าง ก็ไม่ได้อธิบายเรื่องนี้

ข้อ 6 จะบอกว่ามีกฎหมายคุ้มครองแบบแยกส่วนอุตสาหกรรม (sectoral) อยู่แล้ว มันก็ฟังขึ้น แต่ทำไมถึงมีเฉพาะข้อมูลเครดิตที่ได้สิทธิพิเศษมาอยู่ในข้อยกเว้นนี้ ทั้งที่ sector อื่นก็มีกฎหมายเฉพาะ เช่น ข้อมูลผู้ป่วยตามพ.ร.บ.สุขภาพ หรือข้อมูลส่วนตัวบนการสื่อสารในกิจการโทรคมนาคม ตามประกาศกทช.

วรรคสองแย่สุด คือเปิดช่องอนุญาตให้ความคุ้มครองตามพระราชบัญญัติที่ออกโดยสภานิติบัญญัติ (ที่โดยหลักการคือเป็นผู้แทนประชาชน และมีกระบวนการรีวิวหลายขั้น) ถูกยกเลิกได้โดยพระราชกฤษฎีกาซึ่งไม่ต้องผ่านสภา คณะรัฐมนตรีออกได้เองเลย

คือขึ้นโครงมาขึงขังมาก จะคุ้มครองนั่นนี่ จะมีบทลงโทษ จะมีคณะกรรมการ จะมีมาตรฐาน ฯลฯ แต่ทำไปทำมา ข้อมูลที่จะถูกคุ้มครองมันถูกตัดออกไปเรื่อยๆ และยังเปิดช่องให้ยกเว้นกันได้สบายๆ

รวมๆ แล้วก็เหมือนกับที่เคยเสนอไปหลายครั้ง ว่าเรื่อง “ข้อยกเว้น” นี้เรียกได้ว่าเป็นเรื่องสำคัญที่สุดของการวางกฎหมายคุ้มครองเลยก็ว่าได้ เพราะมันกำหนดกรอบว่า อะไรที่จะไม่ถูกคุ้มครอง (คือกฎหมายคุ้มครองจะเขียนดีแค่ไหนก็ไม่มีประโยชน์กับข้อมูลกลุ่มนั้นแล้ว เพราะมันไม่ถูกนับ) ดังนั้นจะต้องเขียนให้ชัดเจน ตัวอย่างที่ดีคือของสหราชอาณาจักร ที่แยกมาเป็นหมวด Exemptions ต่างหากในกฎหมาย (Part IV) เพื่อที่จะลงรายละเอียดได้ และเป็นการเขียนในระดับพระราชบัญญัติเพื่อให้สภาพิจารณาไปร่วมกันแต่แรกเลย ไม่ใช่มาออกเป็นพระราชกฤษฎีกาในภายหลังแบบไม่ผ่านสภา นอกจากนี้ยังมีออกข้อแนะนำ (Guidelines) เพื่อช่วยในการตีความกฎหมายด้วย

นอกจากนี้ ถ้าคิดถึงเรื่องการค้าระหว่างประเทศและการโอนข้อมูลระหว่างประเทศกับสหภาพยุโรปหรือประเทศอื่นที่ต้องการคุ้มครองสิทธิของพลเมืองประเทศของเขา เรื่องข้อยกเว้นก็ยิ่งสำคัญมาก เร็วๆ นี้มีคดีตัวอย่าง คือคดี ศาลยุติธรรมแห่งสหภาพยุโรปเพิ่งตัดสินไปว่าสหรัฐอเมริกาไม่มีการคุ้มครองข้อมูลส่วนบุคคลที่ดีพอ เลยตัดสหรัฐออกจากประเทศที่สามารถโอนข้อมูลส่วนบุคคลของพลเมืองอียูไปได้ (โดยไม่ต้องไปทำสัญญาระหว่างเอกชนเป็นรายๆ ไป) — โดยข้อสำคัญที่ศาลยุติธรรมแห่งสหภาพยุโรปนำมาตัดสิน ก็คือเรื่องข้อยกเว้นนี่แหละ ที่ศาลมองว่าข้อยกเว้นในข้อตกลง “Safe Habour” ระหว่างสหรัฐกับอียูนั้นกว้างไป

รายละเอียดเพิ่มเติมเรื่องนี้ดูได้ในคำตัดสินของศาลยุติธรรมแห่งสหภาพยุโรป (CJEU) คดีหมายเลข C-362/14 ซึ่งตัดสินให้ Decision 2000/520/EC (Safe Harbour Decision) ของคณะกรรมาธิการยุโรป เป็นโมฆะ

Decision ดังกล่าวว่าด้วยเรื่องข้อตกลง “Safe Habour ที่คณะกรรมาธิการยุโรปได้ทำการ “รับรอง” ว่าโครงการดังกล่าวของสหรัฐอเมริกามีเนื้อกฎหมายและการบังคับใช้ด้านการคุ้มครองข้อมูลส่วนบุคคลที่เท่ากับมาตรฐานสหภาพยุโรป ตาม Directive 95/46/EC (Data Protection Directive) ทำให้องค์กรของสหรัฐที่เข้าร่วมโครงการดังกล่าวสามารถรับโอนข้อมูลส่วนบุคคลจากสหภาพยุโรปได้

แต่หลังการเปิดโปงโครงการสอดแนมมวลชนอย่าง PRISM ก็ทำให้พบว่า องค์กรที่เข้าร่วมโครงการ Safe Habour ต่างก็มอบข้อมูลให้กับหน่วยงานของรัฐบาลสหรัฐ อย่าง NSA ซึ่งทำได้ภายใต้ “ข้อยกเว้น” ด้านความมั่นคงหรือตามกฎหมายอื่นๆ ที่จำเป็น-ซึ่งอาจประกาศเพิ่มเติมภายหลัง

จุดนี้ทำให้ CJEU มองว่า เท่ากับความคุ้มครองก็ไม่เท่ากับของยุโรปแล้ว ประกอบกับหลักฐานเชิงประจักษ์หลายอย่างในช่วงที่ผ่านมา ทำให้เห็นว่าโครงการ Safe Habour ไม่สามารถคุ้มครองสิทธิในความเป็นส่วนตัวของพลเมืองยุโรปได้จริง จึงตัดสินให้ Decision 2000/520/EC เป็นโมฆะ และทำให้องค์กรในสหภาพยุโรปไม่สามารถส่งข้อมูลไปยังสหรัฐอเมริกาได้อีกต่อไป

ผลกระทบจากตรงนี้คือ ต่อไปประเทศไหนจะออกกฎหมายหรือกลไกหรืออะไรก็ตามที่จะมาเป็น “ข้อยกเว้น” ของการคุ้มครองข้อมูลส่วนบุคคล จะต้องระวังให้ดี ไม่งั้นจะไปกระทบการรับส่งข้อมูลระหว่างประเทศกับสหภาพยุโรปได้ — ประเทศไทยก็ควรจะระมัดระวังเรื่องนี้ครับ

นอกจากนี้ยังมีประเด็น ความเป็นอิสระขององค์กรคุ้มครอง/กำกับดูแล้การใช้ข้อมูลส่วนบุคคล ที่  Directive 95/46/EC ก็ให้ความสำคัญ เนื่องจากจะเป็นสิ่งที่มาบังคับใช้กฎหมาย ซึ่งเรื่องนี้เดี๋ยวคุยกันอีกตอนครับ

สรุปคือ ต้องระวังอย่าให้ “ข้อยกเว้น” มาทำลายหลักการการคุ้มครองเป็นการทั่วไป ไม่อย่างนั้นมีกฎหมายไปก็เหมือนไม่มี #ไร้ค่า และเราก็จะถูกปฏิบัติจากประเทศอื่นเหมือนกับเราเป็นประเทศที่ไม่มีกฎหมายเรื่องนี้ครับ


Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.