หน้าแรก2550.26นายพิสิฐ ลี้อาธรรม

สภาร่างรัฐธรรมนูญ · ครั้งที่ ๒๖ · ๑๕ มิถุนายน ๒๕๕๐

พิสิฐ ลี้อาธรรม หารือเรื่องข้อมูลส่วนบุคคลที่ถูกขโมยและขอความช่วยเหลือในการแก้ไขปัญหานี้ โดยเน้นย้ำถึงความสำคัญของการปกป้องข้อมูลส่วนบุคคลและขอความช่วยเหลือในการพัฒนากรอบการทำงานที่มีประสิทธิภาพในการปกป้องข้อมูลส่วนบุคคล

นายพิสิฐ ลี้อาธรรม กรรมาธิการ

กราบเรียนท่านประธานที่เคารพ กระผม นายพิสิฐ ลี้อาธรรม กรรมาธิการ และ สสร. ขออนุญาตที่จะเรียนชี้แจงในประเด็น เรื่องของข้อมูลส่วนบุคคล ขณะเดียวกัน ก็อยากจะขอเรียนให้เปึ้นบันทึกไว้ในสิ่งที่ เมื่อสักครู่เลขานุการ ฝ์ายเลขานุการของกรรมาธิการได้รับที่จะไปตัดในเรื่องของ ความสัมพันธ์ระหว่างประเทศออกนั้นนะครับ ก็ขอให้ตัดออก แต่ขอให้บันทึกไว้ ในเจตนารมณ์นะครับว่า ในเรื่องของความมั่นคงนั้นให้คํานึงถึงประเด็นนี้ด้วยนะครับ ทีนี้ กลับมาในเรื่องของข้อมูลส่วนบุคคล ในเรื่องนี้นะครับ ผมอยากจะขอให้เราใช้เวลาคิดให้ดี เพราะว่าเรื่องของข้อมูลส่วนบุคคลนี่นะครับ มีปัญหาอย่างมากในปัจจุบัน เนื่องจาก ความก้าวหน้าของเทคโนโลยี (Technology) ข้อมูลสามารถที่จะนำไปที่ไหนก็ได้ในโลก เกี่ยวกับตัวตนของบุคคลใดบุคคลหนึ่ง ไม่ว่าจะเปึนข้อมูลที่เป่ดเผยได้หรือเป่ดเผยไม่ได้ ข้อมูลบางอย่าง เช่น เรื่องความสูง เช่น เรื่องของสีผม อย่างนี้เป่ดเผยได้ ไม่มีปัญหา แต่ ข้อมูลบางอย่างนี่เจ้าตัวอาจจะไม่อยากให้เป่ดเผย เช่น ข้อมูลเกี่ยวกับปัญหาการแพทย์ ของตัวเองว่าเคยผ่าตัดมากี่ครั้ง เคยเปึนโรคหัวใจมาหรือเปล่า หรือข้อมูลเกี่ยวกับการหย่าร้าง ที่ตัวเองไม่อยากเป่ดเผย ข้อมูลเกี่ยวกับบัตรเครดิต (Credit) ว่า บัตรเครดิตขณะนี้เรามี เบอร์อะไร แล้วเบอร์ประจำตัวของเราพิน นัมเบอร์ (PIN Number – Personal Identification Number) คืออะไร อย่างที่ท่านวิทยาโดนขโมยเงินไปจากตู้เอทีเอ็ม (ATM) ก็เปึนตัวอย่างหนึ่งของข้อมูลส่วนบุคคลที่ได้มีการลักลอบเอาไปใช้ประโยชน์โดยมิชอบ แต่ ขณะนี้ กฎหมายยังไม่ได้ปกปัองในส่วนนี้อย่างเพียงพอ ถ้าเกิดคนข้าง ๆ ผมมีเบอร์บัตร เครดิตผมอยู่ พร้อมพิน นัมเบอร์ ผมยังเอาผิดเขาไม่ได้ว่าเขาขโมย เพราะนั่นเปึ้นเพียง ตัวอย่างของข้อมูลที่เขาได้มีครอบครอง เปึนตัวอย่างนะครับ เพราะฉะนั้นในเวลานี้นะครับ ในสากลโลก ไม่ว่าจะประเทศในสหรัฐ หรือในยุโรปได้มีการดูแลในเรื่องนี้เปึ้นอย่างมากว่า ข้อมูลส่วนบุคคลจะได้รับการปกปัองอย่างไร อย่างในกรณีของยุโรปนะครับ มีการ ออกเปึนไกด์ไลน์ (Guideline) ให้กับประเทศในยุโรป ได้มีการดำเนินการว่า ข้อมูลส่วน บุคคลพึงจะต้องมีการปกปัองอย่างไรบ้าง เพื่อที่จะไม่ให้ข้อมูลที่เป่ีดเผยไม่ได้นี่ เปึน ความลับส่วนตัว ที่จะเป่ดเผยได้ก็ต่อเมื่อเจ้าของยินยอม เจ้าของนี่ต้องให้ค่อนเซ็นต์ (Consent) ขออภัยที่ต้องใช้ภาษาอังกฤษ ต้องให้การยินยอมเสียก่อน จึงจะเป่ดเผยได้ อย่างในกรณีของอังกฤษก็ได้มีการออกกฎหมายที่เรียกว่า ดาต้า โพรเทกชัน ลอว์ (Data protection law) เมื่อป้ ๑๙๙๘ ซึ่งกำหนดรายละเอียด ต่าง ๆ เกี่ยวกับข้อมูลส่วนบุคคล ที่จะให้สิทธิส่วนบุคคล ที่จะเข้าถึงข้อมูลว่าข้อมูลของตัวเองอยู่ที่ไหนบ้าง อยู่ที่ทะเบียน ราษฎร อยู่ที่โรงเรียน อยู่ที่หน่วยงานที่ตัวเองทำงานอยู่ด้วย ต่าง ๆ เหล่านี้เปึนต้น ให้สิทธิ แก่บุคคลที่จะมีสิทธิในการที่จะแสดงความไม่เห็นด้วยกับข้อมูลนั้น เช่น ลงข้อมูล ผิดพลาดในกรณีบางกรณี อย่างเช่น ตัวเองยังไม่ได้หย่า แต่ไปลงในทะเบียนว่า หย่า เปึ้นต้นนะครับ หรือในบางกรณีที่มีการนำข้อมูลนี้ไปใช้ในลักษณะที่ไม่เหมาะสม เช่น ไปทำ ได้เร็กต์มาร์เก็ตติง (Direct marketing) หรือว่าไปค้าขายต่อเนื่อง โดยที่เจ้าตัวไม่ได้ เห็นชอบ สิ่งนี้กฎหมายของต่างประเทศนี่ ได้มีการบัญญัติเอาไว้ โดยเฉพาะอย่างยิ่งที่ อังกฤษ ซึ่งได้มีผลบังคับใช้มาหลายป้แล้ว แล้วก็ในกรณีของอียู (EU – European Union) นี่ ถึงขั้นที่ว่า ห้ามไม่ให้เอาข้อมูลเหล่านี้ออกนอกประเทศ เพราะมันเกิดธุรกิจ ในการประมวลผลข้อมูล ส่งข้อมูลส่วนบุคคลจากที่หนึ่งไปอีกที่หนึ่งโดยอิเล็กทรอนิกส์ (Electronic) เพราะฉะนั้นประเด็นเรื่องของข้อมูลส่วนบุคคล ผมจึงเห็นว่า เปึ้นเรื่องใหญ่ที่ ประเทศเรายังล้าหลังในส่วนนี้อย่างมาก ขณะนี้เรามีกฎหมายอยู่ ๒ ฉบับ ที่พูดเรื่องนี้ กฎหมาย ฉบับที่ ๑ คือ กฎหมายข้อมูลข่าวสารของทางราชการ ที่มีการพูดถึงเรื่องของ ข้อมูลข่าวสารส่วนบุคคล ซึ่งในกฎหมายฉบับนั้น ก็มีการเขียนประเด็นต่าง ๆ ที่ท่าน สมาชิกได้เปึนห่วง รองรับไว้ อย่างเช่น ในมาตราที่ ๒๓ นะครับ มีการกำหนดเกณฑ์ว่า หน่วยราชการนี่ ในการที่จะเก็บข้อมูลส่วนบุคคลนี่ จะต้องมีหลักเกณฑ์อย่างไรบ้าง คือ ตัวอย่างเช่น มาตรา ๒๓ (๑) นี่ การเก็บข้อมูลต้องเก็บเท่าที่จำเปึน เพื่อการดำเนินงาน ของหน่วยงานเท่านั้น แล้วก็ให้ยกเลิกเมื่อหมดความจำเปึน พยายามเก็บข้อมูลโดยตรง จากเจ้าของข้อมูลเปึนต้น นี่คือ ตัวอย่างของมาตรา ๒๓ ที่มีการระบุไว้ แล้วก็ใน มาตราที่ ๒๔ นะครับ ก็มีการระบุไว้ว่า การที่จะเอาข้อมูลส่วนบุคคลไปเป่ดเผยนี่ ทําไม่ได้ เว้นแต่กรณีต่าง ๆ เปึนต้น เช่น กรณีที่ ๑ เปึนการเป่ดเผยต่อเจ้าหน้าที่ของรัฐในหน่วยงาน ของตน เพื่อนำไปใช้ตามอำนาจหน้าที่ของหน่วยงานนั้น ๆ หรือเปึนการเป่ดเผยปกติ ภายใน เพื่อวัตถุประสงค์ในการใช้ข้อมูลส่วนตัวนั้น หรือเป่ดเผยในการวางแผนในด้านสถิติ หรือประโยชน์ในการวิจัย โดยไม่ระบุชื่อ หรือส่วนที่จะทําให้ผู้เปึ้นเจ้าของข้อมูลนั้น มีความเสียหายนะครับ เหล่านี้เปึนต้น ซึ่งมีรายละเอียดมากมายด้วยกันว่า ในการ เป่ดเผยเหล่านี้ จะเป่ดเผยได้ในกรณีใด ๆ บ้าง แล้วก็มีมาตรา ๒๕ ที่ให้อำนาจแก่บุคคล มีสิทธิที่จะขอดูข้อมูลส่วนบุคคลของตัวเองจากหน่วยงานของรัฐ โดยทำเปึนหนังสือ แล้วก็ ให้มีการดำเนินการตามเกณฑ์ที่กำหนดไว้นะครับว่า บุคคลไหนที่ถูกเก็บข้อมูล ตัวเอง มีสิทธิที่จะขอดูได้ แล้วก็มีสิทธิที่จะให้ความข้อเท็จจริงว่า ข้อมูลใดที่ไม่ถูกต้อง ซึ่งสิ่งนี้ ก็มีเกณฑ์เขียนไว้แล้ว ทั้งหมดนี้ก็มีไว้ เพื่อปกปัองบุคคลในประเทศ เกี่ยวกับข้อมูล ส่วนบุคคลที่ราชการเก็บเอาไว้ เพราะฉะนั้นในข้อนี้ที่เป่ดโอกาสให้ใครก็แล้วแต่ จะเปึ้น คนดีหรือคนไม่ดี ขอข้อมูลจากทางราชการ แล้วก็มีข้อจำกัดว่า ในเรื่องของข้อมูล ส่วนบุคคลมีข้อจำกัดนี้ แล้วก็ท่านเปึนห่วงว่า จะทำให้เราไม่สามารถเข้าถึงข้อมูล ส่วนบุคคลนั้นได้ จริง ๆ แล้วก็อยากจะเรียนว่า กฎหมายก็ได้มีการร้องรับไว้แล้วว่า ถ้าเปึนการทำเพื่อการวิจัย หรือเพื่องานราชการ หรือเพื่อประโยชน์สาธารณะนี่ทำได้ แต่ถ้าเปึนการเอาข้อมูลของราชการมาเกี่ยวกับตัวบุคคล แล้วก็เพื่อประโยชน์ในกรณี ของธุรกิจตัวเอง ไปทำได้เร็กต์ มาร์เก็ตติง หรือไปทำการก่อการร้าย หรือไปทำการ ที่ก่อให้เกิดความเสียหายนี่นะครับ กฎหมายข้อมูลข่าวสารราชการก็ห้ามเอาไว้ อันนี้ ผมคิดว่า การบัญญัติไว้ในวรรคหนึ่งของมาตรา ๕๕ จึงเปึนสิ่งที่ถูกต้องนะครับ ประเด็นต่อไปที่ผมขออนุญาตพูดต่อนะครับ ก็คือวรรคสอง