ผู้เชี่ยวชาญ PDPA แจ้งข่าวดีในข่าวร้าย ยืนยันคนชายแดนใต้มีทางสู้! ปมถูกดูดข้อมูลมือถือแบบ “เหมาเข่ง” ชี้ช่องใช้สิทธิตามมาตรา 30-31 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ไล่บี้เอกชนผู้ให้บริการ ดัดหลังรัฐ เตือนแอบส่งข้อมูลมั่ว มากเกินจำเป็น เจอร้องเรียนอ่วมแน่
กรณีหน่วยงานความมั่นคงและเจ้าหน้าที่ตำรวจ ขอความร่วมมือจากผู้ให้บริการเครือข่ายโทรศัพท์เคลื่อนที่ (โอเปอเรเตอร์) เพื่อขอเข้าถึงและติดตามข้อมูลการใช้งานโทรศัพท์ของประชาชนในพื้นที่จังหวัดชายแดนภาคใต้ มากถึง 2 ล้านหมายเลข โดยให้ส่งไปยังกองบัญชาการตำรวจภูธรภาค 9 “ทุกสิ้นวัน” จนนำไปสู่กระแสวิพากษ์วิจารณ์อย่างกว้างขวางในประเด็นการละเมิดสิทธิความเป็นส่วนตัว และสุ่มเสี่ยงละเมิดพระราชบัญญัติ (พ.ร.บ.) คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ กฎหมาย PDPA นั้น
อ่านประกอบ : เลิก พ.ร.ก.แล้วหลายอำเภอ ดูดข้อมูลมือถือคน จชต.ได้ไง?
อ่านประกอบ : กอ.รมน.รูดซิปปากปมดูดข้อมูลมือถือคน จชต. - โยน ตร.แจง
เพื่อสร้างความกระจ่างในทางกฎหมาย “ทีมข่าวอิศรา” ตรวจสอบไปยัง ผู้ช่วยศาสตราจารย์ (ผศ.) ศุภวัชร์ มาลานนท์ ที่ปรึกษาอาวุโสด้านการคุ้มครองข้อมูลส่วนบุคคล บริษัท ดีพีโอเอเอเอส จำกัด (DPO AAS) และผู้เชี่ยวชาญระดับแนวหน้าด้านกฎหมาย PDPA ของประเทศไทย เพื่อให้อธิบายเรื่องนี้
@@ ตำรวจ-ฝ่ายมั่นคง ได้รับยกเว้น แต่มีเงื่อนไข
ผศ.ศุภวัชร์ แยกแยะกลไกกฎหมายออกเป็น 2 ส่วนสำคัญ คือ “ฝั่งเจ้าหน้าที่รัฐ” และ “ฝั่งผู้ให้บริการ”
เขาอธิบายว่า โดยหลักการทั่วไป กฎหมาย PDPA ถูกออกแบบมาเพื่อควบคุมทุกองค์กร ทั้งรัฐและเอกชนที่เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ให้มีหน้าที่ความรับผิดชอบและดูแลความปลอดภัยของข้อมูล แต่ในตัวกฎหมายเองก็มี “ข้อยกเว้น” ที่สำคัญสำหรับหน่วยงานรัฐบางประเภท
ในกรณีของหน่วยงานด้านความมั่นคง ตำรวจ หรือ กอ.รมน. กฎหมายเขียนยกเว้นไว้ชัดเจนใน มาตรา 4 (2) เรื่องความมั่นคงปลอดภัยและความปลอดภัยของประชาชน และ มาตรา 4 (5) เกี่ยวกับกระบวนการยุติธรรมทางอาญา ซึ่งที่ผ่านมา กอ.รมน. และสำนักงานตำรวจแห่งชาติ ก็เคยหารือไปยังสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) และได้รับการชี้แจงยืนยันแล้วว่า หากเป็นภารกิจตามอำนาจหน้าที่ในเรื่องดังกล่าว ตัวกฎหมาย PDPA จะไม่ใช้บังคับ
ผศ.ศุภวัชร์ ยกรณียกตัวอย่าง เคสที่เคยมีการร้องเรียนต่อกรรมการผู้เชี่ยวชาญของ สคส. เช่น กรณีตำรวจแจ้งหมายจับบุคคลในที่สาธารณะ ซึ่งถูกตั้งคำถามว่ากระทบสิทธิความเป็นส่วนตัวหรือไม่ กรรมการผู้เชี่ยวชาญได้วางหลักการไว้ว่า ถือเป็นส่วนหนึ่งของกระบวนการยุติธรรมทางอาญา จึงได้รับการยกเว้นตามมาตรา 4 (5)
@@ พื้นที่ไม่มี กม.พิเศษรองรับ - ขอข้อมูลมากเกิน ผิดหรือไม่?
อย่างไรก็ดี ผศ.ศุภวัชร์ ตั้งข้อสังเกตทางกฎหมายที่ยังไม่มีคำตอบชัดเจนในปัจจุบันว่า หากการดำเนินการของเจ้าหน้าที่ “ไม่เป็นไปตามกรอบอำนาจหน้าที่ที่กฎหมายกำหนด” เช่น พื้นที่นั้นยกเลิก พ.ร.ก.ฉุกเฉินฯ ไปแล้ว แต่ยังคงมอนิเตอร์พฤติกรรมประชาชนอยู่ โดยอ้างอำนาจตาม พ.ร.ก.ฉุกเฉินฯ หรือขอข้อมูลเกินกว่าความจำเป็นในการสืบสวน กรณีนี้จะย้อนกลับมาอยู่ภายใต้บทลงโทษของ PDPA หรือหลุดไปสู่กลไกศาลอื่นๆ ซึ่งยังคงเป็นประเด็นปลายเปิดในทางกฎหมายมหาชนและหลักความได้สัดส่วน
@@ เตือน “โอเปอเรเตอร์” อาจเป็นฝ่ายผิดเสียเอง
แม้ฝั่งตำรวจหรือ กอ.รมน. จะได้รับยกเว้นตามกฎหมาย แต่ ผศ.ศุภวัชร์ เน้นย้ำจุดสำคัญที่สังคมมักเข้าใจผิดว่า “ผู้ให้บริการเครือข่ายโทรศัพท์ หรือ โอเปอเรเตอร์ ไม่ได้จับพลัดจับผลูได้รับยกเว้นไปด้วย” โอเปอเรเตอร์ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลยังคงมีหน้าที่ต้องปฏิบัติตามกฎหมาย PDPA อย่างเคร่งครัดเต็ม 100 เปอร์เซ็นต์
ผศ.ศุภวัชร์ เทียบเคียงกับกรณีพนักงานสอบสวนขอข้อมูลประวัติการรักษาพยาบาลจากโรงพยาบาลเพื่อสืบสวนคดีอาญา แม้ตำรวจจะได้รับการยกเว้น แต่โรงพยาบาลไม่ได้ยกเว้นตามกฎหมาย ฉันใดก็ฉันนั้น ก่อนที่โอเปอเรเตอร์จะส่งมอบข้อมูลประชาชนให้รัฐ ต้องสอบทานผ่าน 3 ด่านสำคัญตามมาตราต่างๆ กล่าวคือ
@@ ต้องไม่ขัด 3 หลักการ - ย้ำข้อมูลต้องปลอดภัยจริง
มาตรา 27 “ฐานทางกฎหมาย” โอเปอเรเตอร์จะอ้างการขอความยินยอม (Consent) จากผู้ใช้บริการเป็นล้านๆ รายในทางปฏิบัติไม่ได้ ดังนั้นต้องใช้ฐาน “ปฏิบัติตามกฎหมาย” โอเปอเรเตอร์จึงต้องตรวจสอบว่า หน่วยงานรัฐที่ขอข้อมูลมานั้น มีหนังสืออ้างอำนาจหน้าที่ตามกฎหมายที่ชัดเจนหรือไม่ การขอด้วยวาจาไม่สามารถทำได้
มาตรา 22 “ความจำเป็นของข้อมูล” ต้องตรวจสอบว่าข้อมูลที่ขอสอดคล้องและจำเป็นกับวัตถุประสงค์หรือไม่ เช่น หากอ้างว่าเกิดเหตุในเดือน พ.ย. ก็ให้ข้อมูลได้เฉพาะเดือน พ.ย. จะส่งข้อมูลเดือนอื่นๆ หรือส่งเหมาเข่งทั้งหมดไม่ได้
มาตรา 37 (1) “มาตรการรักษาความมั่นคงปลอดภัย” ข้อมูลหลุดไหลในปัจจุบันมีจำนวนมาก ยิ่งกรณีที่เป็นข่าวว่ามีการส่งข้อมูลถึง 2 ล้านเลขหมายทุกวัน โอเปอเรเตอร์และหน่วยงานรับปลายทางต้องมีระบบความปลอดภัยสูงสุด เช่น การเข้ารหัสข้อมูล (Encryption) การปกปิดข้อมูลบางส่วน (Redact) เช่น เลขบัตรประชาชน และการจัดชั้นความลับจำกัดสิทธิ์เจ้าหน้าที่เข้าถึง ไม่ใช่ให้เจ้าหน้าที่ทุกคนเข้าดูได้ เพื่อป้องกันมิจฉาชีพดักจับข้อมูลไปใช้ข่มขู่เรียกรับเงินประชาชน
@@ แนะช่องร้อง “โอเปอเรเตอร์” ส่งข้อมูลอะไรให้ตำรวจ
สำหรับประชาชนในพื้นที่จังหวัดชายแดนภาคใต้ หรือผู้ที่สงสัยว่าข้อมูลส่วนบุคคลของตนเองถูกส่งให้หน่วยงานความมั่นคงโดยไม่ชอบ ผศ.ศุภวัชร์ ชี้ช่องทางในการปกป้องสิทธิ์ตามกฎหมาย PDPA ว่า สามารถดำเนินการตรวจสอบผ่านฝั่งโอเปอเรเตอร์ได้โดยตรง
- ใช้สิทธิตามมาตรา 30 “สิทธิขอเข้าถึงข้อมูล” ประชาชนในฐานะเจ้าของข้อมูล สามารถติดต่อไปยังเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ของค่ายมือถือที่ตนเองใช้งานอยู่ ซึ่งสามารถตรวจสอบช่องทางติดต่อได้จาก Privacy Notice บนหน้าเว็บไซต์ของค่ายนั้นๆ เพื่อขอให้ชี้แจงว่ามีการส่งข้อมูลใดของเราไปให้หน่วยงานรัฐบ้าง ส่งให้ใคร และส่งเมื่อใด
- ใช้สิทธิตามมาตรา 31 สิทธิในการคัดค้าน ประชาชนสามารถส่งหนังสือคัดค้านไม่ให้โอเปอเรเตอร์ส่งมอบข้อมูลของเราให้เจ้าหน้าที่รัฐได้ ซึ่งฝ่าย DPO ของบริษัทต้องนำไปประเมินความจำเป็น หากบริษัทปฏิเสธไม่ทำตาม และเรามองว่าไม่ชอบธรรม ก็สามารถใช้สิทธิ์ร้องเรียนต่อ “คณะกรรมการผู้เชี่ยวชาญ” เพื่อเข้าตรวจสอบและวินิจฉัยโครงสร้างการส่งข้อมูลดังกล่าวได้ทันที
“ต้องแยกมองเป็นสองฝั่ง ถ้าไปตรวจสอบฝั่งความมั่นคงโดยกลไก PDPA คงทำได้ยาก เพราะเขามีข้อยกเว้น แต่ส่วนที่เราตรวจสอบและถ่วงดุลได้ทันที คือฝั่งโอเปอเรเตอร์ ซึ่งคนที่จะใช้สิทธิตรงนี้ได้ต้องเป็นปัจเจกหรือประชาชนที่เป็นเจ้าของเลขหมายนั้นๆ เอง หาก NGO หรือองค์กรทางสังคมจะขับเคลื่อนแทน ก็ต้องใช้กระบวนการมอบอำนาจอย่างถูกต้องตามกฎหมาย” ผศ.ศุภวัชร์ กล่าวทิ้งท้าย
