Tags:
Node Thumbnail

วันที่ 11 กันยายน กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) เปิดให้ภาคสังคมเข้ารับฟังเวทีประชาพิจารณ์ร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล สถานะตอนนี้คือคณะกรรมการกฤษฎีกาได้แก้ไขกลับมาแล้ว ขั้นต่อไปคือเข้าสู่การพิจารณาของสภานิติบัญญัติแห่งชาติ (สนช.)

ร่าง พ.ร.บ.ฉบับแก้ไขโดยคณะกรรมการกฤษฎีกา มีการอ้างอิงหลักการ GDPR หรือกฎใหม่คุ้มครองข้อมูลส่วนบุคคลยุโรปเพิ่มหลายจุด แต่มีบางจุดที่ภาคเอกชนกังวลคือ การให้อำนาจเลขา สพธอ. (หน่วยงานที่มาทำหน้าที่เป็นผู้กำกับดูแล ช่วงก่อนตั้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลมาทำหน้าที่) ในการตัดสินโทษปรับและสามารถใช้ดุลยพินิจได้นั้นสมควรหรือไม่, ค่าปรับถูกรวมเข้าเป็นรายได้ของหน่วยงาน regulator ไม่นำไปรวมกับรายได้แผ่นดิน, รวมถึงการเพิ่มโทษอาญาเข้ามาทำให้ธุรกิจรู้สึกมีความเสี่ยง

No Description

หลักการสำคัญบางประการใน ร่าง พ.ร.บ. ที่คณะกรรมการกฤษฎีกาแก้ไข

  • นิยาม จากเดิมที่นิยาม "ข้อมูลส่วนบุคคล" ไม่รวมที่อยู่ทางธุรกิจ ฉบับแก้ไขได้ตัดข้อแม้ออก และแก้ไขเป็น ข้อมูลเกี่ยวกับบุคคลที่สามารถระบุตัวคนได้ ไม่ว่าทางตรง ทางอ้อม
    No Description
    (ซ้ายฉบับเก่า ขวาฉบับคณะกรรมการกฤษฎีกาแก้ไข)
  • มีระยะเวลาบังคับใช้หลังประกาศเร็วขึ้น จาก 1 ปี เป็น 180 วัน
  • ปรับสัดส่วนคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เป็นกรรมการโดยตำแหน่ง 5 คน (จากเดิม 8 คน) กรรมการโดยการสรรหา 9 คน (จากเดิม 5 คน) เพิ่มการมีส่วนร่วมจากภาคส่วนที่เกี่ยวข้อง ในกฎหมายระบุว่าจะแต่งตั้งจาก ผู้มีความรู้ ความเชี่ยวชาญ และประสบการณ์เป็นที่ประจักษ์ในด้านการคุ้มครองข้อมูลส่วนบุคคล, ด้านการคุ้มครองผู้บริโภค, เทคโนโลยีสารสนเทศและการสื่อสาร, สังคมศาสตร์ และกฎหมายสุขภาพ
  • ที่มาของคณะกรรมการสรรหา ประกอบด้วย นายกรัฐมนมนตรีแต่งตั้ง 2 คน, ประธานรัฐสภา แต่งตั้ง 2 คน, ผู้ตรวจการแผ่นดินแต่งตั้ง 2 คน คณะกรรมการสิทธิมนุษยชนแห่งชาติ แต่งตั้ง 2 คน
  • เปลี่ยนอัตราโทษ จาก 1-5 แสนบาท เป็น 1-5 ล้านบาท

ยกตัวอย่างบางส่วนในร่าง พ.ร.บ. ที่อิง GDPR เพิ่มเข้ามา

  • GDPR Article 8 ว่าด้วยเงื่อนไขที่เกี่ยวข้องกับความยินยอมของเด็ก มีการเพิ่มเติมการขอความยินยอมจากเด็กและผู้ไร้ความสามารถในร่างกฎหมายมาตราที่ 20
  • GDPR Article 9 ว่าด้วยเรื่องข้อมูลอ่อนไหว มีข้อมูลอะไรบ้างที่ห้ามนำไปประมวลผล
    ในนิยามข้อมูลอ่อนไหวในร่างกฎหมายไทย ได้เพิ่มข้อมูลสหภาพแรงงาน ชีวภาพ พันธุกรรมเข้ามาในหมวดนี้ด้วย จากเดิมที่มีแค่ เชื้อชาติ เผ่าพันธุ์ ความเห็นทางการเมือง ความเชื่อลัทธิ ศาสนา พฤติกรรมทางเพศ ประวัติ อาชญากรรม และข้อมูลสุขภาพ
  • GDPR Article 45,46,47 ว่าด้วยการโอนข้อมูลข้ามประเทศและโอนข้อมูลภายในองค์กร ในร่างกฎหมายมีการแก้ไขให้ชัดเจนขึ้นว่าถ้าประเทศปลายทางมีมาตรฐานดีหรือไม่ดีพอ และได้แจ้งความยินยอมเจ้าของข้อมูลแล้วก็สามารถทำได้ และเพิ่มเติมหลักการให้ความคุ้มครองข้อมูลส่วนบุคคลภายในองค์กร หากมีนโยบายที่ได้รับการตรวจสอบและรับรองจากสำนักงานก็สามารถโอนข้อมูลไปยังต่างประเทศได ้

No Description

ข้อเสนอแนะและความกังวล

ความกังวลบางประการที่ภาคธุรกิจและสังคมมีต่อ ร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ความเห็นจาก สุธี ทุวิรัตน์ กรรมการสมาคมความมั่นคงปลอดภัยระบบสารสนเทศ ระบุว่า การให้อำนาจเลขาสำนักงานคุ้มครองข้อมูลส่วนบุคคลในการกำหนดโทษโดยใช้ดุลยพินิจได้เป็นเรื่องน่ากังวลอย่างยิ่ง

ที่สำคัญคือ สำนักงานฯ มีสิทธิ์ถือหุ้นในบริษัทเอกชนด้วย (มาตรา 44 วงเล็บ 4 ระบุว่าสำนักงานคุ้มครองข้อมูลส่วนบุคคลสามารถถือหุ้น เข้าเป็นหุ้นส่วน หรือเข้าร่วมทุนกับนิติบุคคลอื่นในกิจการที่เกี่ยวกับวัตถุประสงค์ของสำนักงาน)

สิทธินัย จันทรานนท์ data protection officer หรือเจ้าหน้าที่คุ้มครองข้อมูลของการบินไทย ที่ถือว่าเป็นองค์กรแรกๆ ของไทยที่ตื่นตัวเรื่องการคุ้มครองข้อมูลส่วนบุคคล ระบุว่าร่างนี้มีความสมบูรณ์กว่าร่างก่อนหน้า หลายอย่างรับเอาหลัก GDPR มา แต่ไม่แน่ใจว่าครบถ้วนถูกต้องหรือไม่ นอกจากเอกชนแล้ว หน่วยงานราชการก็ต้องทำงานให้สอดคล้องหลักคุ้มครองข้อมูลส่วนบุคคลด้วย

นายสิทธินัย เน้นเรื่องการใส่โทษอาญา เข้าไปทั้งที่กฎหมายนี้เป็นกฎหมายใหม่นั้นเป็นเรื่องสมควรหรือไม่ เพราะแม้แต่ GDPR ยังมีแค่โทษปรับทางแพ่ง ไม่มีอาญาหรือจำคุก ถ้าเป็นเช่นนี้ จะทำให้ธุรกิจดำเนินงานภายใต้ความเสี่ยงโทษอาญาทันที

(หมายเหตุ: ในร่าง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หมวดกำหนดโทษ มีการระบุโทษอาญาเข้ามาด้วย สรุปได้ว่าถ้าผู้ถือครองข้อมูลเปิดเผยข้อมูลโดยไม่ขอความยินยอมก็จะเจอโทษปรับไม่เกิน 1 ล้านบาท และจำคุกไม่เกิน 1 ปี หรือทั้งจำทั้งปรับ)

No Descriptionบรรยากาศการประชุมชี้แจงและรับฟังความคิดเห็นเกี่ยวกับร่างกฎหมาย
ภาพจาก กระทรวงดีอี

เนื่องจากนิยามข้อมูลส่วนบุคคลไม่ได้มีพูดถึงข้อมูลปกปิดตัวตน (เช่น ข้อมูลเซอร์เวย์ถามความเห็น) จึงมีข้อเสนอแนะจากผู้เข้าร่วมฟังคนหนึ่งว่า ควรอธิบายให้ชัดในกฎหมายว่าข้อมูลที่ปกปิดตัวตนแล้วถือว่าเป็นข้อมูลส่วนบุคคลหรือไม่ แต่จากการตีความทางกฎหมายแล้วนั้นไม่ถือว่าเป็นข้อมูลส่วนบุคคล เพราะเกรงจะกระทบการทำบิ๊กดาต้า

เมธา สุวรรณสาร นายกสมาคม TISA ถามว่า หน่วยงานกำกับที่ตั้งขึ้นใหม่นี้จะมีอำนาจกำกับทั้งรัฐและเอกชนหรือไม่ ถ้ามี เท่ากับมีอำนาจกำกับ แบงค์ชาติ กลต.หรือไม่ ถ้าเป็นเช่นนั้น จะถือเป็นการซ้ำซ้อนกับหน่วยงานเหล่านั้น สร้างภาระให้หน่วยงานกำกับ จึงมองว่า ผู้กำกับดูแลควรมีหน้าที่แค่กำกับจริงๆ ไม่ใช่ลงไปจัดการ เพราะเทคโนโลยีมันเปลี่ยนเร็วกว่าหน่วยงานกำกับจะตามทัน กล่าวคือไม่ควรกำกับมาก แต่ควรวางแค่กรอบก็พอ

กระทรวงดีอีจะพยายามนำความเห็นไปหารือในขั้น สนช. พิจารณา

นางอัจฉรินทร์ พัฒนพันธ์ชัย ปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) เน้นย้ำถึงการจัดรับฟังความเห็นในวันนี้ (11 กันยายน) ว่า เป็นวัตถุประสงค์ของกระทรวงที่จะให้สังคมรับฟัง เพราะกระทรวงไม่สามารถปรับแก้ไขในร่างนี้ได้แล้ว ซึ่งจะรวบรวมความเห็นเข้าไปในขั้นตอนการหารือถกเถียงในขั้น สนช. พิจารณาได้ถ้ามีโอกาส

อ่านร่างกฎหมายเพิ่มเติม

Get latest news from Blognone

Comments

By: MaxxIE
iPhoneAndroidUbuntuWindows
on 20 September 2018 - 16:40 #1072215
MaxxIE's picture

หวังว่าถ้าคลอดออกมาแล้ว ปัญหาSMSขยะจะหมดไปนะครับ

By: waroonh
Windows
on 20 September 2018 - 17:25 #1072224

ก็ดีนะครับ อย่างเคส ที่พ่อค้ารถมือสองขับรถปาดหน้า แล้วโทรไปให้ ใครซักคนเปิดฐานข้อมูลกองทะเบียนเอาชื่อนามสกุล ที่อยู่คู่กรณี มาขู่อ่ะครับ ปรับไปเลย ล้านนึง แล้วจำคุกด้วย เหมาะสมมากครับ

By: Gored on 20 September 2018 - 18:11 #1072239
Gored's picture

ไม่มีโทษอาญานี่แหละถึงไม่กลัวจังถ้าสีแต่ค่าปรับใครก็ยอมจ่ายสิแลกกับผลประโยชน์ที่ได้มันก็คุ้ม ที่กลัวไม่ใช่อะไรก็แค่เสียผลประโยชน์เอาเปรียบประชาชนมานานพอจะควบคุมทำเป็นร้อง

By: iDan
ContributorAndroidSUSEUbuntu
on 20 September 2018 - 19:08 #1072250

ลอก GDPR มาเลยดีกว่าครับ จะได้ไม่ต้องมานั่งอ่าน พรบ. ใหม่ ทำ Implement ใหม่ เปลืองค่าใช้จ่ายมากนะครับ

By: l2aelba
iPhoneAndroid
on 20 September 2018 - 19:45 #1072254
l2aelba's picture

ยากครับที่จะใช้งานได้จริงในประเทศไทย :)

By: Jonathan_Job
WriteriPhoneUbuntuWindows
on 20 September 2018 - 22:41 #1072289
Jonathan_Job's picture

ดีครับ จะได้จัดการพวก ธนาคาร, บริษัทประกัน, ตัวแทนของบริษัทขายประกันบางแห่งที่พฤติกรรมเป็น"ขยะ"ได้สักที

By: xenatt
ContributorWindows PhoneRed HatSymbian
on 20 September 2018 - 23:16 #1072296 Reply to:1072289
xenatt's picture

+777 แล้วก็ค่ายมือถือที่เอาเบอร์ลูกค้าไปขายด้วย


Opensource - Hackintosh - Graphic Design - Scriptkiddie - Xenlism Project

By: hydrojen
iPhoneRed HatWindows
on 21 September 2018 - 10:45 #1072354
hydrojen's picture

สุดท้ายตอนทำธุรกรรม ก็บังคับให้ เปิดเผย ให้ บ.ในเครืออยู่ดี
เหมือนบังคับซื้อประกันตอนกู้นั้นแหละ

By: Khow
Windows PhoneAndroid
on 21 September 2018 - 17:49 #1072450

ีต้องมีโทษอาญาครับไม่งั้นเวลาโวยไปมันรอเจรจาอย่างเดียว

By: Virusfowl
ContributorAndroidSymbianWindows
on 23 September 2018 - 03:21 #1072548

tracking no. ของบริการขนส่งสินค้านี่ก็เปิดเผยข้อมูลผู้ใช้ (โดยอ้อม) พอสมควรเลย โดยเฉพาะเจ้าที่ไม่เป็นเลขสุ่ม


@ Virusfowl

I'm not a dev. not yet a user.

By: iDan
ContributorAndroidSUSEUbuntu
on 25 September 2018 - 22:39 #1072805 Reply to:1072548

tracking no. หลายๆ เจ้า ก็เป็นเลขสุ่มที่เป็น check digi นะครับ ก็เดาค่อนข้างยากอยู่ แต่ที่แน่ ๆ การเอา tracking no. ของลูกค้ามาโพสต์บนหน้าเว็บ หน้าเฟสว่า ส่งแล้วนะ ติดตามเอาเองนะ อันนี้เนี่ยไม่ค่อยโอเคนะครับ รู้หมดว่าชื่อ-แซ่อะไร อยู่จังหวัดไหน? รู้หมด