บทที่ 3: การคุ้มครองข้อมูลส่วนบุคคลและอาชญากรรมไซเบอร์

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA): การปฏิวัติด้านความเป็นส่วนตัว

การประกาศใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ถือเป็นเหตุการณ์สำคัญในประวัติศาสตร์กฎหมายไทย เป็นการแสดงให้เห็นถึงการตื่นตัวของสังคมไทยเกี่ยวกับความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลในยุคดิจิทัล กฎหมายฉบับนี้ได้รับแรงบันดาลใจจากกฎระเบียบคุ้มครองข้อมูลทั่วไป (General Data Protection Regulation - GDPR) ของสหภาพยุโรป แต่ได้มีการปรับแต่งให้เหมาะสมกับบริบทของประเทศไทย

การเดินทางสู่การมี PDPA ไม่ได้เกิดขึ้นในวันเดียว การร่างกฎหมายใช้เวลาหลายปี และมีการเลื่อนการบังคับใช้หลายครั้งเนื่องจากความกังวลของภาคธุรกิจเกี่ยวกับความพร้อมในการปฏิบัติตาม การบังคับใช้เต็มรูปแบบเริ่มขึ้นในวันที่ 1 มิถุนายน 2565 หลังจากการเลื่อนจากวันที่ 27 พฤษภาคม 2564

หลักการพื้นฐานและปรัชญาของ PDPA

PDPA ตั้งอยู่บนหลักการสำคัญหลายประการที่สะท้อนถึงการเปลี่ยนแปลงในแนวคิดเกี่ยวกับข้อมูลส่วนบุคคล จากการมองว่าข้อมูลเป็นสินทรัพย์ของผู้ที่เก็บรวบรวม กลายเป็นการยอมรับว่าบุคคลมีสิทธิในการควบคุมข้อมูลส่วนบุคคลของตนเอง หลักการแรกคือหลักความชอบด้วยกฎหมาย ความยุติธรรม และความโปร่งใส ซึ่งกำหนดว่าการประมวลผลข้อมูลส่วนบุคคลทุกครั้งต้องมีเหตุผลที่ชอบธรรม ต้องยุติธรรม และต้องมีการเปิดเผยข้อมูลให้เจ้าของข้อมูลทราบอย่างชัดเจน

หลักการที่สองคือหลักการจำกัดวัตถุประสงค์ ซึ่งกำหนดว่าข้อมูลส่วนบุคคลควรถูกเก็บรวบรวมเพื่อวัตถุประสงค์ที่ชัดเจน ชอบด้วยกฎหมาย และไม่สามารถนำไปใช้เพื่อวัตถุประสงค์อื่นที่ไม่สอดคล้องกับวัตถุประสงค์เดิม หลักการนี้ท้าทายแนวปฏิบัติของหลายบริษัทที่เคยเก็บข้อมูลไว้ก่อนแล้วค่อยมาคิดหาวิธีใช้ทีหลัง

หลักการที่สามคือหลักการลดข้อมูล ซึ่งกำหนดว่าการเก็บข้อมูลส่วนบุคคลควรจำกัดเฉพาะข้อมูลที่จำเป็นสำหรับการบรรลุวัตถุประสงค์ที่กำหนดไว้ หลักการนี้ขัดแย้งกับแนวโน้มของยุค Big Data ที่มักจะเก็บข้อมูลทุกอย่างที่เก็บได้ด้วยความคิดว่าข้อมูลใดๆ ก็อาจมีประโยชน์ในอนาคต

สิทธิของเจ้าของข้อมูลตาม PDPA

PDPA ให้สิทธิแก่เจ้าของข้อมูลหลายประการ ซึ่งเป็นการเปลี่ยนแปลงสำคัญจากการที่เคยไม่มีสิทธิใดๆ เลย สิทธิแรกคือสิทธิในการเข้าถึงข้อมูล เจ้าของข้อมูลมีสิทธิทราบว่าผู้ควบคุมข้อมูลส่วนบุคคลมีข้อมูลอะไรของตนบ้าง นำข้อมูลเหล่านั้นมาจากที่ไหน และใช้เพื่อวัตถุประสงค์อะไร

สิทธิที่สองคือสิทธิในการแก้ไขข้อมูล หากเจ้าของข้อมูลพบว่าข้อมูลของตนไม่ถูกต้องหรือล้าสมัย ก็มีสิทธิขอให้แก้ไขหรือปรับปรุงข้อมูลให้ถูกต้องและเป็นปัจจุบัน สิทธิที่สามคือสิทธิในการลบข้อมูล หรือที่เรียกกันว่า "right to be forgotten" เจ้าของข้อมูลสามารถขอให้ลบข้อมูลส่วนบุคคลของตนในบางสถานการณ์ เช่น เมื่อข้อมูลไม่จำเป็นอีกต่อไปสำหรับวัตถุประสงค์เดิม หรือเมื่อเจ้าของข้อมูลถอนความยินยอม

สิทธิที่สี่คือสิทธิในการจำกัดการประมวลผล เจ้าของข้อมูลสามารถขอให้หยุดการใช้ข้อมูลของตนชั่วคราวในบางสถานการณ์ เช่น ขณะที่กำลังตรวจสอบความถูกต้องของข้อมูล สิทธิสุดท้ายคือสิทธิในการพกพาข้อมูล ซึ่งอนุญาตให้เจ้าของข้อมูลขอรับข้อมูลส่วนบุคคลของตนในรูปแบบที่สามารถใช้งานได้ และสามารถส่งต่อข้อมูลเหล่านั้นไปยังผู้ควบคุมข้อมูลรายอื่นได้

ผลกระทบต่อภาคธุรกิจ

การบังคับใช้ PDPA ส่งผลกระทบต่อภาคธุรกิจไทยอย่างมีนัยสำคัญ ธุรกิจขนาดเล็กหลายรายต้องลงทุนในการปรับปรุงระบบและกระบวนการจัดการข้อมูล ซึ่งเป็นค่าใช้จ่ายที่ไม่เคยมีมาก่อน สำหรับธุรกิจขนาดใหญ่ การปฏิบัติตาม PDPA กลายเป็นโครงการขนาดใหญ่ที่ต้องใช้ทรัพยากรจำนวนมาก

ธนาคารและสถาบันการเงินเป็นหนึ่งในกลุ่มธุรกิจที่ได้รับผลกระทบมากที่สุด เนื่องจากมีข้อมูลส่วนบุคคลที่มีความอ่อนไหวสูง และมีการแบ่งปันข้อมูลกันในเครือข่าย ธนาคารหลายแห่งต้องปรับปรุงระบบ CRM ระบบการตลาด และกระบวนการอนุมัติสินเชื่อ เพื่อให้สอดคล้องกับข้อกำหนดใหม่

ธุรกิจอีคอมเมิร์ซและการตลาดดิจิทัลก็ได้รับผลกระทบอย่างมาก หลายบริษัทต้องเปลี่ยนแปลงวิธีการเก็บรวบรวมข้อมูลลูกค้า การใช้คุกกี้ในเว็บไซต์ และการส่งอีเมลการตลาด บริษัทหลายแห่งพบว่ารายได้จากการโฆษณาออนไลน์ลดลงหลังจากที่ต้องขอความยินยอมจากผู้ใช้อย่างชัดเจนก่อนเก็บข้อมูล

การบังคับใช้ PDPA และบทเรียนที่ได้รับ

การบังคับใช้ PDPA ในช่วงแรกเป็นไปด้วยความระมัดระวัง หน่วยงานกำกับดูแลใช้แนวทาง "การศึกษาและให้คำแนะนำ" มากกว่า "การลงโทษ" อย่างไรก็ตาม เมื่อเวลาผ่านไป และมีการเกิดขึ้นของเหตุการณ์การรั่วไหลข้อมูลที่ร้ายแรง การบังคับใช้กฎหมายก็เข้มงวดมากขึ้น

คำสั่งปรับทางปกครองครั้งแรกที่เกิดขึ้นในเดือนสิงหาคม 2567 เป็นจุดเปลี่ยนสำคัญ บริษัทอีคอมเมิร์ซรายใหญ่ที่ไม่ได้เปิดเผยชื่อถูกปรับ 7 ล้านบาท ซึ่งเป็นอัตราปรับสูงสุดที่กฎหมายกำหนด ความผิดหลักที่บริษัทนี้กระทำรวมถึงการไม่แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล การมีมาตรการรักษาความปลอดภัยไม่เพียงพอ และการแจ้งเหตุการณ์การรั่วไหลข้อมูลล่าช้า

เหตุการณ์นี้เป็นบทเรียนสำคัญให้กับภาคธุรกิจหลายประการ ประการแรก การปฏิบัติตาม PDPA ไม่ใช่เพียงการทำเอกสารหรือการประกาศนโยบาย แต่ต้องมีการดำเนินการจริงและมีระบบรักษาความปลอดภัยที่มีประสิทธิภาพ ประการที่สอง การแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลไม่ใช่เพียงการตั้งชื่อบนกระดาษ แต่ต้องเป็นผู้ที่มีความรู้ความสามารถจริงและมีอำนาจในการตัดสินใจ ประการที่สาม การแจ้งเหตุการณ์การรั่วไหลข้อมูลต้องทำอย่างทันท่วงที ไม่สามารถรอให้มีการสืบสวนเสร็จสิ้นก่อน

การพัฒนาสู่สังคมที่มีความปลอดภัยทางไซเบอร์

การคุ้มครองข้อมูลส่วนบุคคลเป็นเพียงส่วนหนึ่งของภาพรวมความปลอดภัยทางไซเบอร์ ประเทศไทยต้องเผชิญกับภัยคุกคามทางไซเบอร์ที่หลากหลายและซับซ้อนมากขึ้นเรื่อยๆ จากการศึกษาของหน่วยงานความปลอดภัยทางไซเบอร์ พบว่าการโจมตีทางไซเบอร์ในประเทศไทยเพิ่มขึ้นร้อยละ 47 ในปี 2567 เมื่อเทียบกับปีก่อนหน้า

รูปแบบการโจมตีที่พบบ่อยที่สุดในประเทศไทย ได้แก่ การโจมตีด้วย ransomware ที่มีเป้าหมายต่อโรงพยาบาล สถานศึกษา และธุรกิจขนาดกลาง การหลอกลวงผ่านอีเมล (phishing) ที่มุ่งขโมยข้อมูลบัญชีธนาคารและข้อมูลส่วนบุคคล และการโจมตี DDoS ต่อเว็บไซต์ของหน่วยงานรัฐ

การจัดการกับปัญหาเหล่านี้ต้องอาศัยความร่วมมือจากทุกภาคส่วน ภาครัฐต้องพัฒนาขีดความสามารถในการตรวจจับและตอบสนองต่อการโจมตี รวมทั้งการสร้างความรู้ความเข้าใจให้กับประชาชน ภาคเอกชนต้องลงทุนในการปรับปรุงระบบรักษาความปลอดภัย และประชาชนต้องมีความรู้และทักษะในการปกป้องตัวเองจากภัยคุกคามทางไซเบอร์