การคุ้มครองข้อมูลส่วนบุคคลและความมั่นคงปลอดภัยจากการใช้คลาวด์ ตอนที่ 2

ประเทศที่ต้องการพัฒนาเศรษฐกิจและสังคมสู่สากล มักต้องคำนึงถึงการสร้างความเชื่อมั่นให้กับคนทุกคน ในยุคที่โลกเราถูกเชื่อมโยงด้วยเครือข่ายสื่อสารโทรคมนาคมที่มีประสิทธิภาพสูง การทำธุรกรรมผ่านอินเทอร์เน็ตมีแต่จะเพิ่มขึ้น และชุมชนที่อยู่ในสังคมออนไลน์ หรือเครือข่ายสังคมเก็บข้อมูลส่วนตัวของพวกเรามากขึ้นทุกวัน เมื่อรวมกับงานที่กำลังจะโอนย้ายเข้าไปฝากอยู่กับศูนย์บริการคลาว ทำให้ข้อมูลส่วนตัวของพวกเราแต่ละคนกระจายอยู่ทั่วไปในก้อนเมฆ และในโลกไซเบอร์ ความเป็นส่วนตัวของพวกเราเริ่มกลายเป็นประเด็นปัญหาที่ต้องกังวล ถ้าข้อมูลส่วนบุคคลยังไม่ได้รับการคุ้มครองที่ชัดเจน ประเทศที่เจริญแล้วหลาย ๆ ประเทศต่างมีกฎหมายใช้บังคับผู้เก็บข้อมูลของประชาชนไว้ เพื่อให้มั่นใจว่า ข้อมูลส่วนตัวจะไม่ถูกละเมิดจนเกิคความเสียหาย

กฏหมายคุ้มครองข้อมูลส่วนบุคคลที่ใช้ในประเทศต่าง ๆ มีสองรูปแบบดังนี้

1.          รูปแบบบัญญัติกฎหมายกลาง (Comprehensive Law) ซึ่งเป็นกฎหมายที่บังคับใช้กับผู้บันทึกและจัดเก็บข้อมูลของประชาชนทุกประเภท ทั้งของภาครัฐและเอกชน ทั้งข้อมูลส่วนบุคคลที่เกี่ยวกับการเงิน ข้อมูลส่วนบุคคลเกี่ยวกับการลงทุน เกี่ยวกับการบริโภค ฯลฯ รูปแบบบัญญัติกฎหมายกลาง เป็นรูปแบบที่นิยมใช้กันมาก

2.          รูปแบบบัญญัติกฎหมายเฉพาะเรื่อง (Sectoral Law) เป็นกฎหมายที่คุ้มครองข้อมูลส่วนบุคคลเฉพาะเรื่อง เช่นข้อมูลเกี่ยวกับการเงิน เกี่ยวกับทางการปกครอง เกี่ยวกับการบริโภค ผู้รู้ในด้านกฎหมายไทยบอกว่า การบัญญัติกฎหมายเฉพาะสำหรับการคุ้มครองข้อมูลส่วนบุคคลนั้น มีข้อเสีย กล่าวคือ ถ้าเกิดการละเมิดในส่วนที่ไม่ได้กำหนดไว้ในกฎหมายเฉพาะ ก็จะไม่ได้รับการคุ้มครอง ความเป็นจริง คือ การละเมิดข้อมูลส่วนตัวนั้น เกิดได้ทุกกรณีและทุกโอกาส จึงเป็นไปยากที่กฎหมายเฉพาะจะครอบคลุมได้ทั่วถึง ดังนั้นกฎหมายกลางที่กล่าวในข้อ 1 ซึ่งถือเป็นกฎหมายครอบจักรวาล จะสร้างความมั่นใจให้แก่สังคมได้มากกว่า ประเทศสหรัฐอเมริกาเป็นหนึ่งในไม่กี่ประเทศที่เลือกใช้บัญญัติกฎหมายเฉพาะ เช่นเรื่อง Video Privacy Protection Act of 1988, Cable Television Protection and Competition Act of 1992, the Fair Credit Reporting Act, และ 2010 Massachusetts Data Privacy Regulations (จาก Wikipedia)

ที่ผ่านมา ประเทศไทยได้บัญญัติกฎหมายให้การคุ้มครองข้อมูลส่วนบุคคล เป็นกฎหมายแบบเฉพาะเรื่องเช่นกัน ที่ได้บังคับใช้แล้วขณะนี้ คือพระราชบัญญัติข้อมูลข่าวสารของราชการ พศ 2540 ซึ่งให้ความคุ้มครองข้อมูลส่วนบุคคลเฉพาะที่ถูกจัดเก็บอยู่กับส่วนราชการ นอกจากนี้ ยังมีประกาศภายใต้พระราชบัญญัติว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พศ 2544 ของคณะกรรมการธุรกรรมอิเล็กทรอนิกส์ เรื่องแนวนโยบายและแนวปฎิบัติในการคุ้มครองข้อมูลส่วนบุคคลของหน่วยงานของรัฐ พศ 2553 เพื่อเป็นแนวทางเบื้องต้นสำหรับคุ้มครองข้อมูลส่วนบุคคลจากการให้บริการธุรกิจทางอิเล็กทรอนิกส์ของภาครัฐ

สำหรับร่างพระราชบัญญัติว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลที่ได้ผ่านความเห็นชอบของคณะรัฐมนตรี และอยู่ในระหว่างการพิจารณาของรัฐสภานั้น ตามบันทึกหลักการและเหตุผล ประกอบร่างพรบฉบับดังกล่าว ตอนหนึ่งมีใจความว่า “…โดยที่มาตรา 35 วรรคสาม และมาตรา 56 ของรัฐธรรมนูญแห่งราชอาณาจักรไทย บัญญัติให้บุคคลย่อมมีสิทธิได้รับความคุ้มครองจากการแสวงประโยชน์โดยมิชอบจากข้อมูลส่วนบุคลที่เกี่ยวกับตน และการเปิดเผยข้อมูลส่วนบุคคล สมควรกำหนดให้มีกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลเป็นการทั่วไป….” ถึงแม้จะมีการระบุว่าเป็นการบัญญัติกฎหมายคุ้มครองทั่วไป คงยังต้องอาศัยนักกฎหมายช่วยศึกษาว่าจะครอบคลุมประเด็นสำคัญ ๆ เกี่ยวกับการใช้บริการคลาวอย่างปลอดภัยหรือไม่

อย่างไรก็ตาม ร่างพรบฉบับนี้ ได้ให้คำจำกัดความของคำว่า “ข้อมูลส่วนบุคคล” ไว้ดังนี้ “ข้อมูลส่วนบุคคล หมายความว่า ข้อมูลเกี่ยวกับสิ่งเฉพาะตัวของบุคคล เช่น การศึกษา ฐานะการเงิน ประวัติสุขภาพ ประวัติอาชญากรรม ประวัติการทำงาน หรือประวัติกิจกรรม บรรดาที่มีชื่อของบุคคลนั้นหรือมีเลขหมาย รหัส หรือสิ่งบอกลักษณะอื่นที่ทำให้รู้ตัวบุคคลนั้นได้ เช่นลายพิมพ์นิ้วมือ แผ่นบันทึกลักษณะเสียงของคน หรือรูปถ่าย และให้หมายความรวมถึงข้อมูลเกี่ยวกับสิ่งเฉพาะตัวของผู้ที่ถึงแก่กรรมแล้วด้วย”

ผมตีความหมายว่า รายการธุรกรรม (Transaction) ที่กำกับด้วยเลขรหัส หรือชื่อของบุคคล ก็จะได้รับการคุ้มครองด้วย

ร่างพรบว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ได้วางหลักเกณฑ์เกี่ยวกับการจัดเก็บ รวบรวม การใช้ และการปิดเผยข้อมูลส่วนบุคคล ที่น่าสนใจคือ ในมาตรา 20 กำหนดให้คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลมีอำนาจประกาศกำหนดประมวลจริยธรรมเพื่อให้ธุรกิจหรือหน่วยงานที่มีข้อมูลส่วนบุคคลต้องปฎิบัติ และมาตรา 21 กำหนดให้ผู้ประกอบการทำประกาศการเก็บข้อมูลส่วนบุคคล ณ สถานที่ทำการ สองมาตรานี้ อ่านแล้ว ทำให้เข้าใจว่า จะสนับสนุนให้ผู้ประกอบการกำกับดูแลตัวเอง (Self-regulation) เพื่อสร้างความน่าเชื่อถือในการบริการลูกค้า และนำไปสู่การใช้ Trust mark หรือการใช้เครื่องหมายรับรองการให้ความคุ้มครองข้อมูลส่วนบุคคล ลักษณะที่เคยเห็นปรากฎในเว็บไซท์หลายแห่ง

ที่น่าสนใจอีกเรื่องหนึ่งคือ มาตรา 29 ห้ามไม่ให้เปิดเผยข้อมูลส่วนบุคคลไปนอกประเทศโดยไม่ได้รับคามยินยอมจากเจ้าของ และมาตรา 30 ห้ามไม่ให้เปิดเผยข้อมูลส่วนบุคคลไปยังประเทศที่ไม่มีกฎหมายคุ้มครองข้อมูลส่วนบุคคล หรือมี แต่มีความเข้มข้นน้อยกว่าของไทย เรื่องนี้อาจตีความได้ว่า ห้ามธุรกิจไทยใช้บริการคลาวต่างประเทศ เว้นแต่ผู้ให้บริการมาตั้งเครื่องเซิรฟเวอร์และฐานข้อมูลในประเทศไทย ซึ่งมีการใช้บังคับในลักษณะนี้แล้วหลายประเทศ ในภาคพื้นยุโรป จนผู้ให้บริการคลาวหลายรายของสหรัฐอเมริกา ต้องมาตั้งฐานในยุโรป

โดยสรุปแล้ว หลักการ และรายละเอียดของกฎหมายที่ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลของแต่ละประเทศคงไม่แตกต่างกันมาก เราคงต้องปล่อยให้เป็นภารหน้าที่ของนักกฎหมายและรัฐสภาที่จะช่วยดูแลให้พวกเรา แต่พวกเราในฐานะชาวบ้านที่รอคอยการใช้บริการคลาว คงต้องการเห็นให้มีการผลักดันให้ร่างพระราชบัญญัติฉบับนี้มีผลใช้บังคับโดยเร็ว เพื่อพวกเราจะได้ก้าวไปข้างหน้าได้อีกหนึ่งก้าว

ตอนต่อไป จะมาพูดเรื่องเกี่ยวกับความมั่นคงปลอดภัยของการใช้บริการคลาวด์ครับ