วันนี้คำว่า “ข้อมูลส่วนบุคคล” ของลูกค้าไม่ใช่ยาขม

หรือสิ่งที่องค์กรเข้าใจยากอีกต่อไป
หากแต่มันกลายเป็นสินทรัพย์ที่มีค่ายิ่งกว่าทอง
และบางครั้ง…ได้รับการจัดว่าสำคัญยิ่งกว่าศักดิ์ศรีของลูกค้าเองเสียอีก

บางองค์กรไม่ได้ขายของอีกต่อไป…
หากแต่พวกเขาขาย “ข้อมูลลูกค้า” ให้โฆษณา
แล้วปล่อยให้ความเชื่อมั่น…หล่นหายไประหว่างทาง


ใครมีหน้าที่ปกป้องข้อมูล? และจะปกป้องข้อมูลกันอย่างไร?
นี่อาจเป็นคำถาม หรือ เสียงสะท้อนผู้บริโภคที่เริ่มดังขึ้นในยุคนี้

ในวันที่ประเทศไทยของเรา สังคมไทยของเรา
ใส่เกียร์ห้า เดินหน้าเข้าสู่ศตวรรษแห่งการใชปัญญาประดิษฐ์ (AI) 
และการใช้ข้อมูลอย่างเต็มที่ 

การคุ้มครองข้อมูลจึงไม่ใช่แค่ “เรื่องของกฎหมาย” อีกต่อไปครับ
แต่มันกลายเป็น “บทพิสูจน์ภาระรับผิดชอบ” ขององค์กร (Corporate Accountability)
ที่ผู้นำองค์กรหรือผู้บริหารองค์กรต้องแสดงออกมาให้เห็นเป็นรูปธรรม

ว่าองค์กรจะเลือกปกป้องข้อมูล…เพราะ “กลัว” กฎหมาย 
หรือเพราะ “เคารพ” เจ้าของข้อมูลจริงๆ ?
(…พอเอ่ยถึงความกลัว ผมอดไม่ได้ที่จะนึกถึงสมัยที่ลงเรียนวิชาปรัชญาการเมืองกับ ศ.ดร.เกษียร เตชะพีระ แล้วต้องอ่าน The Republic ของ Plato…จำได้ว่า “ความกลัว” ไม่ได้เป็นแค่เพียงอารมณ์ แต่เป็นผลพวงของความไม่รู้ เช่น กลัวตาย กลัวเจ็บ หรือกลัวถูกลงทันฑ์จากรัฐหรือจากประชาสังคม)

เรามีการบังคับใช้ พรบ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA)
อย่างเป็นทางการเต็มรูปแบบ (De Jure) ณ วันที่ 1 มิถุนายน 2565
นับถึงวันที่ผมเขียนบทความนี้ PDPA ก็จะมีอายุครบ 3 ปีบริบูรณ์แห่งการใช้งานเต็มรูปแบบ


ประเด็นที่อยากชวนคิดคือ
รัฐไทยเดินทางมาใกล้เคียงกับคำว่า 
“การบังคับใช้กฎหมายอย่างมีประสิทธิภาพ” มากแค่?

ตามทฤษฎีความสัมพันธ์ระหว่างประเทศ
รัฐทุกรัฐเปรียบเสมือนลูกบอลบนโต๊ะบิลเลียด

มีการกระทบกระทั่งกันตลอด
เพราะเราไม่ได้อยู่คนเดียวบนโลก
ลูกบอลแต่ละลูก (รัฐ) ตอบสนองต่อการเคลื่อนไหวของลูกบอลอื่นๆ
ไม่ได้ขึ้นอยู่กับศีลธรรมหรือมิตรภาพ 
แต่ขึ้นอยู่กับการอยู่รอดและผลประโยชน์ทางยุทธศาสตร์

สิ่งที่ผมอยากจะบอกคือ
ประเทศไทยทำการค้ากับหลายชาติครับ
ทั้งชาติที่ใกล้เราอย่าง ASEAN และ
กลุ่มประเทศที่พัฒนาแล้วอย่าง กลุ่ม G7

เมื่อชาติต่างๆ มีการบังคับใช้กฎหมายการคุ้มครองข้อมูลส่วนบุคคล
ทำให้เราต้องกลับมาพิจารณาตัวเอง ว่าประสิทธิภาพของกฎหมายเราเป็นอย่างไร

เราจะถอดบทเรียนกฎหมายจากชาติต่างๆ ที่เราทำการค้าการขายกับเขาได้อย่างไร?
บทความขนาดยาว ของผมจะเปรียบเทียบการบังคับใช้และรูปแบบกฎหมายการคุ้มครองข้อมูลส่วนบุคคลของ “รัฐไทย” โดยเปรียบเทียบกับ 4 ประเทศอันได้แก่ สิงคโปร์, ญี่ปุ่น, เยอรมัน
และ สหราชอาณาจักรอังกฤษ

วัตถุประสงค์ของการเปรียบเทียบไม่ได้มีเจตนาอื่นใด นอกจากปรารถนาที่จะเห็นกฎหมายไทยมีกลไกการบังคับใช้อย่างจริงจัง และมีประสิทธิภาพที่ดียิ่งๆ ขึ้น


ประเทศสิงค์โปร์
สิงค์โปร์เป็นชาติแรกในประชาคมอาเซียน (ASEAN)
ที่มีกฎหมายในลักษณะนี้ มีผลบังคับใช้ตั้งแต่ปี 2012 ครับ

เป็นชาติแรกๆ ใน List ที่บริษัทข้ามชาติมักนิยมไปตั้งสำนักงานใหญ่ระดับภูมิภาค (Regional Headquarters) กัน นั่นเป็นที่มาว่าทำไมบ่อยครั้งทีม DPO ไทย ต้องเข้าร่วมประชุมกับ Regional Compliance หรือ Regional DPO ที่สิงค์โปร์

สิงค์โปร์มีการลงทุนในไทยเป็นอันดับ 2 โดยมีมูลค่าอยู่ที่ 25,405 ล้านบาท คิดเป็น 19.90% ของการลงทุนทั้งหมด*

ประเทศสิงค์โปร์มีการใช้กฎหมายในระดับ “เข้มงวดหนักแน่น” (Heavy Level) 
ตามคำอธิบายกฎหมาย Privacy คือ มีการลงโทษที่รุนแรง ค่าปรับบ่อยครั้ง และเกิดความอับอายต่อสาธารณะหลังจากมีการรายงานหรือค้นพบการละเมิด 

มีค่าปรับทางปกครอง ที่รัฐ “กล้า” ปรับบ่อยครั้ง 
เช่น กรณี SingHealth, บริษัท AXA หรือ แม้กระทั่ง Grab  

มีโทษสูงสุด ไม่เกิน 1 ล้านดอลลาร์สิงคโปร์ 
หรือ 10% ของรายได้รวมทั้งปี (annual turnover)

คุณสมบัติที่เป็นเอกลักษณ์เด่นของกฎหมายสิงค์โปร์คือ
การแจ้งเหตุการละเมิดภาคบังคับ 
กล่าวคือองค์กรต้องแจ้งเหตุละเมิด
หากถ้ามี Data Subject มากกว่าหรือเท่ากับ 500 คน
หรือก่อให้เกิดอันตรายที่จะกระทบต่อสิทธิและเสรีภาพของบุคคล

ในมุมการจัดการของ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลของสิงค์โปร์ (PDPC) ก็มีคําแนะนํา (Guidelines) เช่น DPIA Guidelines และมีโครงสร้างการทำงานที่มีมานาน มีประสบการณ์ (Maturity) กลไกมีประสิทธิภาพ และโปร่งใส เช่น มีเครื่องมือความร่วมมือ Data Protection Trustmark (DPTM), มีแนวทางความรับผิดชอบ, มีโปรเจ็ค Sandbox เช่น เทคโนโลยีที่ช่วยเพิ่มความเป็นส่วนตัว Privacy Enhancing Technologies (PET) เพื่อสนับสนุนธุรกิจต่างๆ 

ผมเคยไปร่วมสัมมนา Privacy Week ที่สิงค์โปร์เมื่อ 2 ปีที่แล้ว
ทำให้ทราบว่ารัฐบาลสิงค์โปร์คือคนที่ผลักดันแนวคิด 
ASEAN Model Contractual Clause 
สำหรับการการถ่ายโอนข้อมูลข้ามพรมแดนระหว่างชาติ ASEAN

ประเด็นที่น่าสนใจสำหรับคือ
แม้สิงคโปร์จะมีระบบการบังคับใช้กฎหมายในระดับเข้มข้น (Heavy Level)
และได้รับการยอมรับว่าเป็นประเทศที่เอื้อต่อภาคธุรกิจมากที่สุดประเทศหนึ่งในโลก

แต่สิงค์โปร์ก็ยังไม่สามารถผ่านเกณฑ์ “ประเทศที่ได้รับการตัดสินใจเรื่องความเพียงพอ” (Adequacy Decision) ตามมาตรา 45 ของ GDPR ด้วยเหตุผลสำคัญ ว่าประเทศสิงค์โปร์ ให้ความสำคัญกับ การบริหารจัดการเศรษฐกิจ มากกว่าการคุ้มครองข้อมูลที่ตั้งอยู่บนฐานของสิทธิส่วนบุคคล 

อีกทั้งยัง เปิดช่องให้ หน่วยงานของรัฐเข้าถึงข้อมูลส่วนบุคคลได้ในวงกว้าง ซึ่งประเด็นเฝ้าติดตามอย่างเป็นระบบหรือ Big Brother เป็น 1 ใน 9 เกณฑ์ที่ trigger DPIA