วันที่ 11 กันยายน กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) เปิดให้ภาคสังคมเข้ารับฟังเวทีประชาพิจารณ์ร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล สถานะตอนนี้คือคณะกรรมการกฤษฎีกาได้แก้ไขกลับมาแล้ว ขั้นต่อไปคือเข้าสู่การพิจารณาของสภานิติบัญญัติแห่งชาติ (สนช.)
ร่าง พ.ร.บ.ฉบับแก้ไขโดยคณะกรรมการกฤษฎีกา มีการอ้างอิงหลักการ GDPR หรือกฎใหม่คุ้มครองข้อมูลส่วนบุคคลยุโรปเพิ่มหลายจุด แต่มีบางจุดที่ภาคเอกชนกังวลคือ การให้อำนาจเลขา สพธอ. (หน่วยงานที่มาทำหน้าที่เป็นผู้กำกับดูแล ช่วงก่อนตั้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลมาทำหน้าที่) ในการตัดสินโทษปรับและสามารถใช้ดุลยพินิจได้นั้นสมควรหรือไม่, ค่าปรับถูกรวมเข้าเป็นรายได้ของหน่วยงาน regulator ไม่นำไปรวมกับรายได้แผ่นดิน, รวมถึงการเพิ่มโทษอาญาเข้ามาทำให้ธุรกิจรู้สึกมีความเสี่ยง
ความกังวลบางประการที่ภาคธุรกิจและสังคมมีต่อ ร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ความเห็นจาก สุธี ทุวิรัตน์ กรรมการสมาคมความมั่นคงปลอดภัยระบบสารสนเทศ ระบุว่า การให้อำนาจเลขาสำนักงานคุ้มครองข้อมูลส่วนบุคคลในการกำหนดโทษโดยใช้ดุลยพินิจได้เป็นเรื่องน่ากังวลอย่างยิ่ง
ที่สำคัญคือ สำนักงานฯ มีสิทธิ์ถือหุ้นในบริษัทเอกชนด้วย (มาตรา 44 วงเล็บ 4 ระบุว่าสำนักงานคุ้มครองข้อมูลส่วนบุคคลสามารถถือหุ้น เข้าเป็นหุ้นส่วน หรือเข้าร่วมทุนกับนิติบุคคลอื่นในกิจการที่เกี่ยวกับวัตถุประสงค์ของสำนักงาน)
สิทธินัย จันทรานนท์ data protection officer หรือเจ้าหน้าที่คุ้มครองข้อมูลของการบินไทย ที่ถือว่าเป็นองค์กรแรกๆ ของไทยที่ตื่นตัวเรื่องการคุ้มครองข้อมูลส่วนบุคคล ระบุว่าร่างนี้มีความสมบูรณ์กว่าร่างก่อนหน้า หลายอย่างรับเอาหลัก GDPR มา แต่ไม่แน่ใจว่าครบถ้วนถูกต้องหรือไม่ นอกจากเอกชนแล้ว หน่วยงานราชการก็ต้องทำงานให้สอดคล้องหลักคุ้มครองข้อมูลส่วนบุคคลด้วย
นายสิทธินัย เน้นเรื่องการใส่โทษอาญา เข้าไปทั้งที่กฎหมายนี้เป็นกฎหมายใหม่นั้นเป็นเรื่องสมควรหรือไม่ เพราะแม้แต่ GDPR ยังมีแค่โทษปรับทางแพ่ง ไม่มีอาญาหรือจำคุก ถ้าเป็นเช่นนี้ จะทำให้ธุรกิจดำเนินงานภายใต้ความเสี่ยงโทษอาญาทันที
(หมายเหตุ: ในร่าง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หมวดกำหนดโทษ มีการระบุโทษอาญาเข้ามาด้วย สรุปได้ว่าถ้าผู้ถือครองข้อมูลเปิดเผยข้อมูลโดยไม่ขอความยินยอมก็จะเจอโทษปรับไม่เกิน 1 ล้านบาท และจำคุกไม่เกิน 1 ปี หรือทั้งจำทั้งปรับ)
บรรยากาศการประชุมชี้แจงและรับฟังความคิดเห็นเกี่ยวกับร่างกฎหมาย
ภาพจาก กระทรวงดีอี
เนื่องจากนิยามข้อมูลส่วนบุคคลไม่ได้มีพูดถึงข้อมูลปกปิดตัวตน (เช่น ข้อมูลเซอร์เวย์ถามความเห็น) จึงมีข้อเสนอแนะจากผู้เข้าร่วมฟังคนหนึ่งว่า ควรอธิบายให้ชัดในกฎหมายว่าข้อมูลที่ปกปิดตัวตนแล้วถือว่าเป็นข้อมูลส่วนบุคคลหรือไม่ แต่จากการตีความทางกฎหมายแล้วนั้นไม่ถือว่าเป็นข้อมูลส่วนบุคคล เพราะเกรงจะกระทบการทำบิ๊กดาต้า
เมธา สุวรรณสาร นายกสมาคม TISA ถามว่า หน่วยงานกำกับที่ตั้งขึ้นใหม่นี้จะมีอำนาจกำกับทั้งรัฐและเอกชนหรือไม่ ถ้ามี เท่ากับมีอำนาจกำกับ แบงค์ชาติ กลต.หรือไม่ ถ้าเป็นเช่นนั้น จะถือเป็นการซ้ำซ้อนกับหน่วยงานเหล่านั้น สร้างภาระให้หน่วยงานกำกับ จึงมองว่า ผู้กำกับดูแลควรมีหน้าที่แค่กำกับจริงๆ ไม่ใช่ลงไปจัดการ เพราะเทคโนโลยีมันเปลี่ยนเร็วกว่าหน่วยงานกำกับจะตามทัน กล่าวคือไม่ควรกำกับมาก แต่ควรวางแค่กรอบก็พอ
นางอัจฉรินทร์ พัฒนพันธ์ชัย ปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) เน้นย้ำถึงการจัดรับฟังความเห็นในวันนี้ (11 กันยายน) ว่า เป็นวัตถุประสงค์ของกระทรวงที่จะให้สังคมรับฟัง เพราะกระทรวงไม่สามารถปรับแก้ไขในร่างนี้ได้แล้ว ซึ่งจะรวบรวมความเห็นเข้าไปในขั้นตอนการหารือถกเถียงในขั้น สนช. พิจารณาได้ถ้ามีโอกาส
อ่านร่างกฎหมายเพิ่มเติม
Comments
หวังว่าถ้าคลอดออกมาแล้ว ปัญหาSMSขยะจะหมดไปนะครับ
ก็ดีนะครับ อย่างเคส ที่พ่อค้ารถมือสองขับรถปาดหน้า แล้วโทรไปให้ ใครซักคนเปิดฐานข้อมูลกองทะเบียนเอาชื่อนามสกุล ที่อยู่คู่กรณี มาขู่อ่ะครับ ปรับไปเลย ล้านนึง แล้วจำคุกด้วย เหมาะสมมากครับ
ไม่มีโทษอาญานี่แหละถึงไม่กลัวจังถ้าสีแต่ค่าปรับใครก็ยอมจ่ายสิแลกกับผลประโยชน์ที่ได้มันก็คุ้ม ที่กลัวไม่ใช่อะไรก็แค่เสียผลประโยชน์เอาเปรียบประชาชนมานานพอจะควบคุมทำเป็นร้อง
ลอก GDPR มาเลยดีกว่าครับ จะได้ไม่ต้องมานั่งอ่าน พรบ. ใหม่ ทำ Implement ใหม่ เปลืองค่าใช้จ่ายมากนะครับ
ยากครับที่จะใช้งานได้จริงในประเทศไทย :)
ดีครับ จะได้จัดการพวก ธนาคาร, บริษัทประกัน, ตัวแทนของบริษัทขายประกันบางแห่งที่พฤติกรรมเป็น"ขยะ"ได้สักที
+777 แล้วก็ค่ายมือถือที่เอาเบอร์ลูกค้าไปขายด้วย
Opensource - Hackintosh - Graphic Design - Scriptkiddie - Xenlism Project
สุดท้ายตอนทำธุรกรรม ก็บังคับให้ เปิดเผย ให้ บ.ในเครืออยู่ดี
เหมือนบังคับซื้อประกันตอนกู้นั้นแหละ
ีต้องมีโทษอาญาครับไม่งั้นเวลาโวยไปมันรอเจรจาอย่างเดียว
tracking no. ของบริการขนส่งสินค้านี่ก็เปิดเผยข้อมูลผู้ใช้ (โดยอ้อม) พอสมควรเลย โดยเฉพาะเจ้าที่ไม่เป็นเลขสุ่ม
@ Virusfowl
I'm not a dev. not yet a user.
tracking no. หลายๆ เจ้า ก็เป็นเลขสุ่มที่เป็น check digi นะครับ ก็เดาค่อนข้างยากอยู่ แต่ที่แน่ ๆ การเอา tracking no. ของลูกค้ามาโพสต์บนหน้าเว็บ หน้าเฟสว่า ส่งแล้วนะ ติดตามเอาเองนะ อันนี้เนี่ยไม่ค่อยโอเคนะครับ รู้หมดว่าชื่อ-แซ่อะไร อยู่จังหวัดไหน? รู้หมด