RC20342-1.1

กฎหมายคุ้มครองข้อมูลส่วนบุคคลกับการขยายขอบเขตการบังคับใช้กฎหมาย

คลาวด์คอมพิวติ้ง (cloud computing) เป็นการให้บริการทรัพยากรคอมพิวเตอร์ เช่น หน่วยความจำ หน่วยจัดเก็บข้อมูลซอฟต์แวร์หรือโปรแกรมในการประมวลผลข้อมูลและเครือข่าย โดยผู้ใช้บริการสามารถเพิ่มและลดทรัพยากรคอมพิวเตอร์เหล่านี้ได้ตามความต้องการ ส่งผลให้ลดความยุ่งยากในการติดตั้ง ดูแลระบบ ประหยัดเวลาและประหยัดค่าใช้จ่ายในการสร้างระบบฮาร์ดแวร์หรือซื้อซอฟต์แวร์เอง

แม้ระบบคลาวด์จะส่งผลดีต่อเศรษฐกิจโดยเฉพาะการตลาดแบบดิจิทัล ทำให้เกิดการไหลเวียนของข้อมูลอย่างอิสระ (free flow of data) แต่การใช้บริการคลาวด์มีความเสี่ยงต่อความปลอดภัยของข้อมูล โดยเฉพาะอย่างยิ่งเมื่อข้อมูลส่วนบุคคลซึ่งได้ถูกอัปโหลด (upload) สู่อยู่ระบบคลาวด์ แล้วมีการส่งหรือโอนไปยังประเทศที่สาม ความเสี่ยงต่อความปลอดภัยของข้อมูลส่วนบุคคลดังกล่าว จึงนำไปสู่ประเด็นทางกฎหมายในการคุ้มครองข้อมูลส่วนบุคคลของลูกค้าหรือผู้ใช้บริการ

โครงการวิจัย “นโยบายคลาวด์และการคุ้มครองข้อมูลส่วนบุคคลในระบบคลาวด์ระหว่างสหภาพยุโรป สหรัฐอเมริกา ออสเตรเลียและอาเซียน : มุมมองของไทย” จึงเกิดขึ้นเพื่อศึกษานโยบายคลาวด์และกฎข้อบังคับการคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป ตลอดจนวิเคราะห์ผลกระทบที่มีผลต่อนโยบายคลาวด์และแนวทางการบัญญัติกฎหมายคุ้มครองข้อมูลส่วนบุคคล ตลอดจนธุรกิจและผู้ให้บริการคลาวด์ในประเทศต่าง ๆ รวมทั้งเสนอแนวทางในการพัฒนานโยบายคลาวด์ของไทย

กฎหมายคุ้มครองข้อมูลส่วนบุคคล

ประเทศในกลุ่มโออีซีดี (OECD) 35 ประเทศ กลุ่ม เอเปก 21 เขตเศรษฐกิจ (20 ประเทศกับ 1 เขตปกครองพิเศษ) และสหภาพยุโรป 28 ประเทศ มีเพียง 6 ประเทศในกลุ่มเอเปก คือ ชิลี อินโดนีเซีย ปาปัวนิวกินี เวียดนาม บรูไนและไทยที่ยังไม่มีกฎหมายคุ้มครองข้อมูลส่วนบุคคล

แม้ปัจจุบันไทยจะมีกฎหมายคุ้มครองข้อมูลส่วนบุคคลเฉพาะเรื่อง เช่น พระราชบัญญัติข้อมูลข่าวสารของราชการ พ.ศ. 2540 และพระราชบัญญัติการประกอบธุรกิจข้อมูลเครดิต พ.ศ. 2545 เป็นต้น แต่ยังไม่มีกฎหมายคุ้มครองข้อมูลส่วนบุคคลของคนไทยที่ถูกเก็บรวบรวม ใช้หรือเปิดเผยโดยธุรกิจเอกชนเป็นการทั่วไป ข้อมูลส่วนบุคคลซึ่งจัดเก็บในระบบคลาวด์ถือว่าเป็นข้อมูลทางการตลาดที่สำคัญที่สามารถเคลื่อนย้ายข้ามพรมแดนได้โดยง่าย การออกกฎหมายคุ้มครองข้อมูลส่วนบุคคลจึงเป็นการจำเป็นอย่างยิ่งในการคุ้มครองข้อมูลส่วนบุคคลของคนในประเทศจากการเก็บรวบรวม ใช้หรือเปิดเผยโดยไม่ชอบ ทั้งจากธุรกิจภายในและภายนอกประเทศ

อย่างไรก็ดี ธุรกิจขนาดกลางและขนาดย่อมตามพระราชบัญญัติส่งเสริมวิสาหกิจขนาดกลางและขนาด ย่อม พ.ศ. 2543 อาจยังไม่พร้อมปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลในกรณีดังกล่าว กฎหมายอาจกำหนดเวลาให้ธุรกิจเหล่านี้ต้องปฏิบัติตามกฎหมายเมื่อพ้นระยะเวลา 3 ปี นับแต่วันที่กฎหมายนี้ใช้บังคับ เพื่อให้มีเวลาในการเตรียมความพร้อมก็ได้

ผลของการขยายหลักดินแดนคุ้มครองข้อมูลส่วนบุคคลของกฎข้อบังคับการคุ้มครอง

ข้อมูลส่วนบุคคลของสหภาพยุโรปที่มีต่อธุรกิจไทย เมื่อกฎข้อบังคับการคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรปมีผลใช้บังคับธุรกิจในประเทศไทยที่เสนอสินค้าหรือบริการแก่เจ้าของข้อมูลส่วนบุคคลในสหภาพยุโรป (โดยไม่ต้องคำนึงถึงว่าจะต้องมีการชำระเงินโดยเจ้าของข้อมูลส่วนบุคคลดังกล่าวหรือไม่) หรือการติดตามตรวจสอบพฤติกรรมของเจ้าของข้อมูลส่วนบุคคลที่เกิดขึ้นในสหภาพยุโรป เช่น ธุรกิจสายการบินในไทย ธุรกิจโรงแรมในไทย ธุรกิจโรงพยาบาลในไทยที่บริษัทท่องเที่ยวในไทย รวมธุรกิจอีคอมเมิร์สในไทยทั้งหมด ตลอดจนผู้ให้บริการคลาวด์หรือดาต้าเซ็นเตอร์ในไทย ซึ่งให้บริการลูกค้าของสหภาพยุโรปแล้วมีการเก็บข้อมูลส่วนบุคคล กิจกรรมดังกล่าว ถือว่าอยู่ภายใต้กฎข้อบังคับการคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป ดังนั้น ธุรกิจเหล่านี้ต้องเข้าใจถึงความเสี่ยงทางกฎหมายที่อาจเกิดขึ้นจากการละเมิดข้อมูลส่วนบุคคลของบุคคลในสหภาพยุโรปที่อยู่ในการจัดเก็บของตน โดยจะต้องกำหนดนโยบายคุ้มครองข้อมูลส่วนบุคคลขององค์กรที่สอดคล้องกับกฎข้อบังคับการคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป โดยต้องปฏิบัติตามนโยบายนั้นอย่างเคร่งครัด

การขยายขอบเขตบังคับใช้กฎหมายแก่ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผล

ข้อมูลส่วนบุคคลที่อยู่นอกประเทศไทยซึ่งเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลภายในไทย ปัจจุบัน เทคโนโลยีคลาวด์ทำให้การประมวลผลข้อมูลส่วนบุคคลสามารถกระทำได้โดยไร้พรมแดน ข้อมูลส่วนบุคคลของคนไทยในประเทศไทยอาจถูกเก็บรวบรวม ใช้หรือเปิดเผยผ่านเครือข่ายอินเทอร์เน็ตจากธุรกิจในต่างประเทศโดยดาต้าเซ็นเตอร์ซึ่งตั้งอยู่ที่ใดในโลกก็ได้

กฎหมายที่ใช้บังคับกับผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลเฉพาะที่อยู่ในราชอาณาจักรไม่สามารถนำมาปรับใช้ได้อย่างมีประสิทธิภาพกับเทคโนโลยีคลาวด์และอินเทอร์เน็ต ดังนั้น การขยายขอบเขตบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลต่อผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลที่อยู่นอกประเทศ แต่ได้ทำการเก็บรวบรวม การใช้ หรือเปิดเผยข้อมูลส่วนบุคคลภายในประเทศไทย จึงเป็นวิธีการหนึ่งที่สามารถเพิ่มประสิทธิภาพของกฎหมายในการคุ้มครองข้อมูลส่วนบุคคลของคนไทยในประเทศไทย

แม้การบังคับใช้กฎหมายอาจกระทำได้ยากเพราะบุคคลดังกล่าวอยู่นอกเขตอำนาจศาลไทย แต่การบัญญัติกฎหมาย ลักษณะนี้ถือว่าเป็นการส่งสัญญาณการคุ้มครองข้อมูลส่วนบุคคลของคนไทยในประเทศให้แก่บุคคลที่อยู่นอกประเทศไทยให้ตระหนักว่าหากประสงค์จะเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลของคนไทยในประเทศไทย ธุรกิจนั้นต้องให้ความคุ้มครองข้อมูลส่วนบุคคลของคนไทยในประเทศไทยตามมาตรฐานของกฎหมายไทย

ดังนั้น จึงควรเพิ่มบทบัญญัติขยายขอบเขตการบังคับใช้กฎหมายแก่ผู้ควบคุม ข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลที่อยู่นอกประเทศไทยโดยมีเนื้อหาดังนี้ “พระราชบัญญัตินี้ให้ใช้บังคับกับการเก็บรวบรวม การใช้ หรือการเปิดเผยข้อมูลส่วนบุคคลที่เกิดขึ้นในราชอาณาจักร โดยผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลทั้งที่อยู่ในราชอาณาจักร และนอกราชอาณาจักร”

ตัวอย่างของประเทศที่มีกฎหมายคุ้มครองส่วนบุคคล

สหภาพยุโรป กฎข้อบังคับการคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (The General Data Protection Regulation: GDPR) มาตรา 3(2) เป็นการบังคับใช้กฎข้อบังคับโดยการ ขยายหลักดินแดน (Extraterritorial scope) ซึ่งใช้กับการประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลที่อยู่ในสหภาพยุโรปโดยผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคลที่ไม่มีสถานประกอบการตั้งอยู่ในสหภาพยุโรป แต่กิจกรรมการประมวลผลข้อมูลส่วนบุคคลนั้นเกี่ยวกับกรณีใดกรณีหนึ่งดังต่อไปนี้ (ก) การเสนอสินค้าหรือบริการแก่เจ้าของข้อมูลส่วนบุคคลในสหภาพยุโรป โดยไม่ต้อง คำนึงถึงว่าจะต้องมีการชำระเงินโดยเจ้าของข้อมูลส่วนบุคคลดังกล่าวหรือไม่ หรือ (ข) การติดตามตรวจสอบพฤติกรรมของเจ้าของข้อมูลส่วนบุคคลที่เกิดขึ้นในสหภาพยุโรป

สหรัฐอเมริกา กฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหรัฐอเมริกาใช้บังคับเฉพาะกับนิติบุคคลหรือบุคคลซึ่งอยู่ภายใต้เขตอำนาจศาลของสหรัฐอเมริกาเพราะเป็นข้อจำกัดตามรัฐธรรมนูญในเรื่องกระบวนการอันควรแห่งกฎหมาย (Due process)

ออสเตรเลีย พระราชบัญญัติความเป็นส่วนตัว ค.ศ. 1988 (Privacy Act 1988) แก้ไขเพิ่มเติมโดยพระราชบัญญัติการแก้ไขความเป็นส่วนตัว (เพิ่มการคุ้มครองความเป็นส่วนตัว) ค.ศ. 2012 (Privacy Amendment (Enhancing Privacy Protection) Act 2012) ใช้บังคับกับการกระทำหรือการปฏิบัตินอกรัฐและดินแดนของประเทศออสเตรเลียของหน่วยงานภาครัฐและองค์กรภาคเอกชนหรือธุรกิจขนาดเล็กที่มีความเกี่ยวพันกับประเทศออสเตรเลีย เช่น กิจการต่างประเทศที่มีเว็บไซต์มุ่งเสนอขายสินค้า หรือบริการมายังบุคคลในออสเตรเลีย

สิงคโปร์ รัฐได้บัญญัติคุ้มครองข้อมูลส่วนบุคคลของสิงคโปร์ ค.ศ. 2012 (Personal Data Protection Act of 2012) มาตรา 2 และมาตรา 3 โดยกำหนดให้ใช้บังคับรัฐบัญญัตินี้กับการเก็บรวบรวม การใช้และการเปิดเผยข้อมูลส่วนบุคคลโดยองค์กร (Organization) (ซึ่งหมายถึงบุคคล บริษัท สมาคมหรือกลุ่มบุคคล ทั้งจดทะเบียนและไม่จดทะเบียน แสวงหากำไรหรือไม่ ไม่ว่าจะจัดตั้งในรูปแบบหรือเป็นที่ยอมรับภายใต้กฎหมายของประเทศสิงคโปร์ ไม่ว่าจะมีถิ่นที่อยู่หรือมีสำนักงานหรือสถานที่ประกอบ ธุรกิจในสิงคโปร์หรือไม่)

มาเลเซีย พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ค.ศ. 2010 (Malaysia Personal Data Protection Act 2010) มาตรา 2(2)(b) และมาตรา 3 กำหนดให้ใช้พระราชบัญญัตินี้ บังคับกับบุคคลที่ไม่ได้อยู่ในประเทศมาเลเซีย แต่ใช้อุปกรณ์ในประเทศมาเลเซียในการประมวลผลข้อมูลส่วนบุคคลนอกเหนือจากการส่งข้อมูลผ่านประเทศมาเลเซีย และใช้บังคับกับบุคคลที่ไม่ได้อยู่ในประเทศมาเลเซีย แต่ได้แต่งตั้งตัวแทนในประเทศมาเลเซียเพื่อวัตถุประสงค์ตามพระราชบัญญัตินี้

ฟิลิปปินส์ รัฐบัญญัติคุ้มครองข้อมูลส่วนบุคคล ค.ศ. 2012 (Data Privacy Act of 2012) มาตรา 6 กำหนดหลักการขยายหลักดินแดน (Extraterritorial application) โดยให้ใช้กับการกระทำหรือการปฏิบัติในและนอกฟิลิปปินส์โดยนิติบุคคลถ้า ก) การกระทำการปฏิบัติ หรือการประมวลผลเกี่ยวข้องกับข้อมูลส่วนบุคคลของพลเมืองฟิลิปปินส์หรือบุคคลที่มีถิ่นที่อยู่ในประเทศฟิลิปปินส์ ข) นิติบุคคลมีการเชื่อมโยงกับประเทศฟิลิปปินส์อและนิติบุคคลมีการประมวลผลข้อมูลส่วนบุคคลในประเทศฟิลิปปินส์ หรือแม้การประมวลผลนอกประเทศฟิลิปปินส์ แต่เป็นการประมวลผลข้อมูลส่วนบุคคลของพลเมืองฟิลิปปินส์ หรือผู้มีถิ่นที่อยู่ในประเทศฟิลิปปินส์  รวมไปถึง (1) สัญญาที่ทำขึ้นในประเทศฟิลิปปินส์ (2) นิติบุคคลไม่ได้จัดตั้งขึ้นในประเทศฟิลิปปินส์ แต่มีการจัดการและการควบคุมหลักในประเทศฟิลิปปินส์ และ (3) นิติบุคคลมีสาขาตัวแทน สำนักงาน หรือบริษัทย่อยในประเทศฟิลิปปินส์ และบริษัทแม่หรือบริษัทในเครือของนิติบุคคลฟิลิปปินส์มีการเข้าถึงข้อมูลส่วนบุคคล และ ค) นิติบุคคลที่มีการเชื่อมโยงอื่น ๆ ในประเทศฟิลิปปินส์ ตัวอย่างเช่น (1) นิติบุคคล ประกอบธุรกิจในประเทศฟิลิปปินส์ และ (2) ข้อมูลส่วนบุคคลถูกเก็บรวบรวม หรือจัดเก็บโดยนิติบุคคลในประเทศฟิลิปปินส์

กฎหมายคุ้มครองข้อมูลส่วนบุคคล

ข้อสังเกตจากผู้เชี่ยวชาญที่มีต่อกฎหมายคุ้มครองส่วนบุคคลของไทย

ปัจจุบัน ไทยอยู่ในขั้นร่างพระราชบัญญัติว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล (ฉบับที่สำนักงานคณะกรรมการกฤษฎีกาตรวจ พิจารณาแล้ว เรื่องเสร็จที่ 1135/2558) ใช้เฉพาะกับผู้ควบคุมข้อมูลส่วนบุคคลในการเก็บรวบรวม การใช้และการเปิดเผยข้อมูลส่วนบุคคลในไทย

ในขณะที่ผู้เชี่ยวชาญเห็นว่ากฎหมายคุ้มครองข้อมูลส่วนบุคคลของไทยควรขยายขอบเขตการบังคับใช้กฎหมายแก่ผู้ควบคุมข้อมูลส่วนบุคคล และผู้ประมวลผลข้อมูลส่วนบุคคล (เช่น ผู้ให้บริการคลาวด์) ที่อยู่นอกประเทศไทย และได้จัดเก็บข้อมูลส่วนบุคคลหรือประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลในไทย เพราะเทคโนโลยีคลาวด์ไร้พรมแดน ฉะนั้นข้อมูลส่วนบุคคลอาจถูกเก็บรวบรวม ใช้หรือเปิดเผยที่ใดก็ได้ในโลก รวมไปถึงการตั้งคำถามเกี่ยวกับสภาพบังคับว่าจะบังคับกฎหมายนอกราชอาณาจักรได้อย่างไร

อ้างอิงข้อมูลจาก

โครงการวิจัย “นโยบายคลาวด์และการคุ้มครองข้อมูลส่วนบุคคลในระบบคลาวด์ระหว่างสหภาพยุโรป สหรัฐอเมริกา ออสเตรเลียและอาเซียน: มุมมองของไทย”

หัวหน้าโครงการ : รศ. ดร.สราวุธ ปิติยาศักดิ์
สนับสนุนโดย : สำนักงานคณะกรรมการวิจัยแห่งชาติ (วช.) และสำนักงานกองทุนสนับสนุนการวิจัย (สกว.)

เรียบเรียง คณพศ ภูวบริรักษ์
กราฟิก ณปภัช เสโนฤทธิ์
พิสูจน์อักษรและตรวจทาน วริศรา ศรีสวาท
00:00
00:00
Empty Playlist