พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ได้ประกาศในราชกิจจานุเบกษา เมื่อวันที่ 24 พฤษภาคม 2562 กฎหมายฉบับนี้จะมีผลบังคับใช้เมื่อพ้นกำหนด 1 ปีนับตั้งแต่ที่ได้ประกาศในราชกิจจานุเบกษา โดยจะมีผลกระทบทั้งต่อภาคประชาชน หน่วยงานรัฐ และหน่วยงานเอกชน
เนื่องจากปัจจุบันมีการล่วงละเมิดสิทธิความเป็นส่วนตัวของข้อมูลส่วนบุคคลเป็นจำนวนมากจนสร้างความเดือดร้อน รำคาญ หรือความเสียหาย ให้แก่เจ้าของข้อมูลส่วนบุคคล ประกอบกับความก้าวหน้าเทคโนโลยีทำให้การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลอันเป็นการล่วงละเมิดทำได้โดยง่าย สะดวก รวดเร็ว
แม้จะมีกฎหมายฉบับนี้ออกมาควบคุมในการรวบรวมและเก็บข้อมูลส่วนบุคคลแล้วแต่ยังมีประเด็นที่น่าคิดว่าในทาง “ปฏิบัติ” หรือการ “บังคับใช้กฎหมาย” ฉบับนี้ เช่น...ประเด็นเรื่องการเก็บข้อมูลส่วนบุคคล ซึ่งในส่วนของกฎหมายจะมีข้อมูลที่จำเป็นหรือบังคับให้ผู้ควบคุมข้อมูลส่วนบุคคลสามารถเก็บได้
หรือ...เป็นกรณีการให้ความยินยอมของผู้เป็นเจ้าของข้อมูลส่วนบุคคลที่จะยินยอมให้เก็บข้อมูลส่วนบุคคลดังกล่าวหรือไม่ และอีกประเด็นน่าสนใจก็คือเรื่องการเก็บ “ข้อมูลชีวมาตร (Biometrics)” และการใช้เทคโนโลยีชีวมาตรของหน่วยงานรัฐหรือหน่วยงานเอกชนกับความเสี่ยงที่อาจมีการละเมิดสิทธิส่วนบุคคล
ผศ.ทัชชภร มหาแถลง ผู้ช่วยคณบดีคณะนิติศาสตร์ มหาวิทยาลัยศรีปทุม บอกว่า ข้อมูลชีวมาตรเป็นข้อมูลส่วนบุคคลที่เกิดจากการประมวลผลทางเทคนิคเฉพาะที่เกี่ยวข้องกับลักษณะทางกายภาพ สรีรวิทยา
และพฤติกรรมของคนตามธรรมชาติ เช่น ภาพใบหน้า ลายนิ้วมือ หรือม่านตา
ส่วนเทคโนโลยีชีวมาตร ได้แก่ เทคโนโลยีการจดจำใบหน้า (Face Recognition Technology) เทคโนโลยีจดจำลายนิ้วมือ เทคโนโลยีจดจำม่านตา ซึ่งเทคโนโลยีชีวมาตรที่กล่าวมานี้ เป็นเทคโนโลยีในการระบุตัวตน (Identification) และการพิสูจน์ยืนยันตัวบุคคล (Verification) ได้ถูกนำมาใช้ในชีวิตประจำวันของเราหลายๆอย่าง
...
เช่น การสแกนลายนิ้วมือ สแกนใบหน้าในการใช้โทรศัพท์มือถือ การระบุเวลาเข้า-ออกในการทำงาน...สถานที่พักอาศัย หน่วยงานต่างๆ การชำระเงิน การใช้บัตรเครดิตออนไลน์...ธุรกรรมทางการเงินออนไลน์ ฯลฯ
แน่นอนว่า “ชีวมาตร” เป็นข้อมูลเฉพาะตัวบุคคลที่สามารถระบุอัตลักษณ์ตัวบุคคลได้ เป็นข้อมูลส่วนบุคคลที่มีความสำคัญเป็นพิเศษ โดย กฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป หรือ GDPR (General Data Protection Regulation) มีหลักห้ามทำการบันทึกหรือประมวลผลข้อมูลดังกล่าว
“เว้นแต่ผู้เป็นเจ้าของข้อมูลจะให้ความยินยอมโดยชัดเจน หรือข้อมูลชีวมาตรนั้นจำเป็นสำหรับการปฏิบัติงาน ความมั่นคงปลอดภัยของสังคม หรือปกป้องคุ้มครองทางสังคม...ข้อมูลชีวมาตรจำเป็นสำหรับการปกป้องผลประโยชน์ที่สำคัญของแต่ละบุคคล แต่บุคคลเหล่านั้นไม่สามารถให้ความยินยอมได้ หรือข้อมูลชีวมาตรนั้นมีความจำเป็นสำหรับประเด็นทางกฎหมาย หรือจำเป็นต่อประโยชน์สาธารณะ”
ผศ.ทัชชภร ยกตัวอย่างประเทศสหรัฐอเมริกาเป็นประเทศที่มีกฎหมายให้ความคุ้มครองในเรื่องข้อมูลส่วนบุคคลในส่วนข้อมูลชีวมาตรโดยเฉพาะคือ Biometric Information Privacy Act (BIPA) ของรัฐอิลลินอยส์ ที่ได้ออกมาในเดือนตุลาคมปี 2008 และต่อมารัฐวอชิงตันและเท็กซัสได้ผ่านกฎหมายในเรื่องนี้เช่นเดียวกัน
ซึ่ง BIPA กำหนดให้หน่วยงานต่างๆในรัฐอิลลินอยส์ต้องปฏิบัติตามกฎหมายที่เกี่ยวกับการรวบรวมและจัดเก็บข้อมูลชีวมาตร โดยมีหลักการที่สำคัญ ดังนี้ 1.การเก็บ การรวบรวม และการเปิดเผยข้อมูลชีวมาตร ต้องได้รับความยินยอมจากผู้เป็นเจ้าของข้อมูลโดยชัดแจ้ง 2.ต้องทำลายข้อมูลชีวมาตรเมื่อถึงเวลาที่เหมาะสม
กล่าวคือ 3 ปีนับแต่วันที่เริ่มเก็บข้อมูลฯดังกล่าว และ 3.ต้องมีมาตรการรักษาความปลอดภัยในการเก็บข้อมูลชีวมาตรอย่างเคร่งครัด และความพิเศษของกฎหมายนี้คือ...
“ประชาชนที่ถูกละเมิดสามารถยื่นฟ้องเพื่อเรียกค่าเสียหายอันเนื่องมาจากการละเมิดโดยกำหนดอัตราค่าเสียหายและค่าเยียวยาเป็นจำนวนเงินลงไปในตัวบทกฎหมายอย่างชัดเจน”
สำหรับ “รัฐเท็กซัส” ได้มีพระราชบัญญัติการคุ้มครองข้อมูลส่วนบุคคลในเรื่องข้อมูลชีวมาตรออกมาในปี ค.ศ.2009 ซึ่งได้มีการห้ามเก็บข้อมูล
ชีวมาตรในกรณีที่มีวัตถุประสงค์เพื่อการค้าโดยปราศจากการแจ้งและให้ความยินยอมเป็นลายลักษณ์อักษร นอกจากนี้ยังจำกัดการจำหน่ายและการเปิดเผยข้อมูลชีวมาตรของแต่ละบุคคล ใน...“รัฐวอชิงตัน” ได้ประกาศใช้กฎหมายดังกล่าวในปี ค.ศ.2017 ห้ามไม่ให้หน่วยงานหรือผู้ควบคุมข้อมูลส่วนบุคคลป้อนข้อมูลชีวมาตรลงในฐานข้อมูลของหน่วยงาน โดยต้องแจ้งให้เจ้าของข้อมูลฯทราบล่วงหน้า
และ...เจ้าของข้อมูลฯต้องให้ความยินยอม ประกอบกับต้องมีมาตรการป้องกันการใช้ข้อมูลชีวมาตรดังกล่าวในภายหลัง
หันกลับมาดูในส่วนของ “กฎหมายไทย” นั้น พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 มาตรา 24 มีหลักการห้ามมิให้ผู้ควบคุมข้อมูลส่วนบุคคลทำการเก็บรวบรวมข้อมูลส่วนบุคคล โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่เป็นความจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจ...
...
เพื่อ “ประโยชน์สาธารณะ” ของผู้ควบคุมข้อมูลส่วนบุคคล หรือปฏิบัติหน้าที่ใน “การใช้อำนาจรัฐ” ที่ได้มอบให้แก่ผู้ควบคุมข้อมูลส่วนบุคคล
รวมถึงเป็นการ “ปฏิบัติตามกฎหมาย” ของผู้ควบคุมข้อมูลส่วนบุคคล
มาตรา 27 ห้ามมิให้ผู้ควบคุมข้อมูลส่วนบุคคลใช้หรือเปิดเผยข้อมูลส่วนบุคคล โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่เป็นข้อมูลส่วนบุคคลที่เก็บรวบรวมได้โดยได้รับยกเว้น ไม่ต้องขอความยินยอมตามมาตรา 24 หรือมาตรา 26
หากพิจารณาต่อในส่วนของมาตรา 26 แม้จะห้ามมิให้เก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับข้อมูลชีวภาพ โดยไม่ได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล แต่บทบัญญัติของกฎหมายที่กล่าวมาแล้ว ยังมีประเด็นเรื่องการบังคับใช้ของหน่วยงานรัฐหลายแห่งในการใช้อำนาจรัฐบังคับเก็บข้อมูลชีวมาตรของประชาชน
โดยไม่ได้พิจารณา “เหตุผล” และความ “จำเป็น” อย่างรอบคอบ ซึ่งอาจมีผลกระทบต่อผู้เป็นเจ้าของข้อมูลชีวมาตร ในกรณีที่ข้อมูล “รั่วไหล” และถูกนำไปใช้โดย “มิชอบ”
ปัจจุบันมีการเก็บข้อมูลชีวมาตรของประชาชน บันทึกในฐานข้อมูลของหน่วยงานรัฐและเอกชนเป็นจำนวนมาก เช่น การเก็บภาพถ่าย ลายนิ้วมือ รวมถึงม่านตา...ทำให้มีความเสี่ยงที่จะเกิดการรั่วไหลหรือนำไปใช้ประโยชน์ในทางที่มิชอบ เกิดความเสียหายต่อผู้เป็นเจ้าของข้อมูลฯ
“ข้อมูลเหล่านี้เป็นข้อมูลเฉพาะตัวบุคคลที่สามารถระบุอัตลักษณ์ตัวบุคคล เจ้าของข้อมูลไม่สามารถแก้ไขชีวมาตรของตนเองได้ อีกทั้งยังส่งผลกระทบต่อความมั่นคงและเศรษฐกิจของประเทศ”
...
...จะเห็นได้ว่ากฎหมายของต่างประเทศพยายามที่จะควบคุม...ปกป้องข้อมูลชีวมาตรที่หน่วยงานต่างๆไม่ว่าภาครัฐหรือเอกชนรวบรวมใช้งานและจัดเก็บข้อมูล และมีมาตรการรักษาความปลอดภัยของข้อมูลขั้นสูงสุด รวมถึงการเปิดโอกาสให้ประชาชนสามารถฟ้องเรียกร้องค่าเสียหายจากการถูกละเมิดในข้อมูลชีวมาตรได้
ผศ.ทัชชภร มหาแถลง ผู้ช่วยคณบดีคณะนิติศาสตร์ มหาวิทยาลัยศรีปทุม ฝากทิ้งท้ายว่า สำหรับประเทศไทยนั้นอาจจะพิจารณาหาทางป้องกันไม่ให้เกิดความเสียหายที่จะเกิดขึ้นกับประชาชนจากการเก็บข้อมูล “ชีวมาตร” โดยคำนึงถึงสิทธิความเป็นส่วนตัวในข้อมูลส่วนบุคคลของประชาชนตามรัฐธรรมนูญเป็นหลัก
ข้อมูล “ชีวมาตร” ภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 จึงเป็นความท้าทายสำคัญยิ่งในยุคสังคมดิจิทัล “ไทยแลนด์4.0”.