กรณีข้อมูลส่วนบุคคลของลูกค้าทรูมูฟ เอช รั่วไหล กับ กม.คุ้มครองข้อมูลส่วนบุคคล

เขียนวันที่

วันอังคาร ที่ 24 เมษายน 2561 เวลา 12:49 น.

เขียนโดย

ดร.ธนกฤต วรธนัชชากุล อัยการจังหวัดประจำสำนักงานอัยการสูงสุด

หมวดหมู่

เวทีทัศน์ | Isranews | สัมภาษณ์ - ปาฐกถา | เศรษฐกิจ

Tags

ปัจจุบันนี้กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมได้พิจารณาร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลดังกล่าวร่วมกับสำนักงานคณะกรรมการกฤษฎีกาเสร็จแล้ว และได้นำร่างกฎหมายนี้เสนอคณะรัฐมนตรีเพื่อพิจารณาเมื่อวันที่ 17 เมษายน 2561 ก่อนที่จะมีการเสนอสภานิติบัญญัติแห่งชาติพิจารณาต่อไป

TRUE MOVE240461

กรณีข้อมูลส่วนบุคคลที่เป็นหน้าบัตรประชาชนของผู้ใช้บริการเครือข่ายโทรศัพท์มือถือของบริษัท เรียล มูฟ จำกัด (ทรูมูฟ เอช) รั่วไหลนั้น ในปัจจุบันพระราชบัญญัติ (พ.ร.บ.)การประกอบกิจการโทรคมนาคม พ.ศ. 2544 มาตรา 50 บัญญัติให้คณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติ (กสทช.) กำหนดมาตรการเพื่อคุ้มครองผู้ใช้บริการเกี่ยวกับข้อมูลส่วนบุคคล และหากมีการละเมิดสิทธิของผู้ใช้บริการ ผู้รับใบอนุญาตประกอบกิจการโทรคมนาคมซึ่งเป็นผู้ให้บริการโครงข่ายสัญญาณโทรศัพท์มือถือ หรือ กสทช. จะต้องดำเนินการเพื่อระงับการกระทำดังกล่าว และแจ้งให้ผู้ใช้บริการทราบโดยเร็ว

ซึ่งได้มีการออกประกาศคณะกรรมการกิจการโทรคมนาคมแห่งชาติ เรื่อง มาตรการคุ้มครองสิทธิของผู้ใช้บริการโทรคมนาคมเกี่ยวกับข้อมูลส่วนบุคคลสิทธิในความเป็นส่วนตัว และเสรีภาพในการสื่อสารถึงกันโดยทางโทรคมนาคม ลงวันที่ 18 พฤษภาคม 2549 ข้อ 10 กำหนดให้ผู้รับใบอนุญาตต้องจัดให้มีมาตรการป้องกันและรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล โดยอย่างน้อยต้องดำเนินการปรับเปลี่ยนระบบการเข้าและการถอดรหัสที่ใช้เพื่อการรักษาความปลอดภัยของข้อมูลส่วนบุคคล อย่างน้อยทุก 3 เดือน และต้องปรับระดับความปลอดภัยให้เหมาะสมกับความเสี่ยงที่เกิดขึ้นตามการพัฒนาทางเทคโนโลยี

หากผู้รับใบอนุญาตฝ่าฝืนหรือไม่ปฏิบัติตามมาตรการคุ้มครองผู้ใช้บริการเกี่ยวกับข้อมูลส่วนบุคคลตามมาตรา 50 ดังกล่าว พระราชบัญญัติการประกอบกิจการโทรคมนาคม พ.ศ. 2544 มาตรา 64 ให้อำนาจเลขาธิการ กสทช. สั่งให้ผู้รับใบอนุญาตระงับการกระทำที่ฝ่าฝืน หรือให้แก้ไขปรับปรุง หรือปฏิบัติให้ถูกต้องเหมาะสมภายในเวลาที่กำหนดได้ และตามมาตรา 66 กำหนดว่า ในกรณีที่ผู้รับใบอนุญาตไม่ปฏิบัติตามคำสั่งของเลขาธิการ กสทช. และเลขาธิการ กสทช.ได้มีหนังสือเตือนแล้วยังไม่มีการปฏิบัติตามคำสั่งนั้น เลขาธิการ กสทช. มีอำนาจกำหนดค่าปรับทางปกครอง ซึ่งต้องไม่ต่ำกว่าสองหมื่นบาทต่อวันได้

ซึ่งในกรณีที่ข้อมูลส่วนบุคคลของผู้ใช้บริการทรูมูฟ เอช รั่วไหล นั้น เลขาธิการ กสทช. ได้ออกคำสั่งตามพระราชบัญญัติการประกอบกิจการโทรคมนาคม พ.ศ. 2544 มาตรา 64 ดังกล่าว ให้บริษัท เรียล มูฟ จำกัด (ทรูมูฟ เอช) ระงับการกระทำที่ฝ่าฝืน แก้ไขปรับปรุง และปฏิบัติให้ถูกต้องเหมาะสมแล้ว ซึ่งบริษัทก็คงปฏิบัติตามคำสั่งเลขาธิการ กสทช.ด้วยดี

ดังนั้น ภายใต้กฎหมายที่ใช้บังคับอยู่ในปัจจุบันนี้ หากผู้ให้บริการโครงข่ายสัญญาณโทรศัพท์มือถือฝ่าฝืนมาตรการคุ้มครองผู้ใช้บริการเกี่ยวกับข้อมูลส่วนบุคคล โอกาสที่ผู้ให้บริการโครงข่ายสัญญาณโทรศัพท์มือถือค่ายต่าง ๆ จะถูกลงโทษตามกฎหมายเป็นไปได้น้อยมาก เพราะหากยอมปฏิบัติตามคำสั่งของเลขาธิการ กสทช.ดังกล่าวก็ไม่ต้องถูกลงโทษปรับแต่อย่างใด

นอกจากนี้ กฎหมายเหล่านี้ไม่ได้มีบทบัญญัติที่กำหนดให้ผู้ให้บริการโครงข่ายสัญญาณโทรศัพท์มือถือชดใช้ค่าเสียหายที่เกิดขึ้นอย่างชัดเจนด้วย

อย่างไรก็ตาม ภายใต้ข้อจำกัดของการคุ้มครองข้อมูลส่วนบุคคลตามกฎหมายที่ใช้บังคับอยู่ ทำให้มีการเสนอร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลพ.ศ. ...ซึ่งมีบทบัญญัติที่ให้ความคุ้มครองข้อมูลส่วนบุคคลที่ดีกว่า เข้มงวดกว่า และมีบทลงโทษผู้ฝ่าฝืนที่รุนแรงกว่าเดิม และให้ความคุ้มครองข้อมูลส่วนบุคคลไม่ใช่เฉพาะแต่ผู้ใช้บริการเครือข่ายโทรศัพท์มือถือเท่านั้น แต่ให้ความคุ้มครองข้อมูลส่วนบุคคลเป็นการทั่วไปแก่ประชาชนทุกคนซึ่งได้ให้ข้อมูลส่วนบุคคลของตนแก่ผู้ควบคุมข้อมูลส่วนบุคคล

ซึ่งหมายความว่า บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคล อันได้แก่ บรรดาผู้ประกอบธุรกิจทั้งหลายซึ่งประชาชนผู้ใช้บริการได้ให้ข้อมูลส่วนบุคคลในการติดต่อและประกอบธุรกรรมต่าง ๆ เป็นต้น

ร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลนี้ สำนักงานคณะกรรมการกฤษฎีกาได้ตรวจพิจารณาเสร็จแล้วและส่งกลับมายังคณะรัฐมนตรีเมื่อวันที่ 10 กรกฎาคม 2558 และได้เสนอไปยังคณะกรรมการประสานงานสภานิติบัญญัติแห่งชาติ (ปนช.) เมื่อวันที่ 29 กรกฎาคม 2558 แต่คณะรัฐมนตรีได้มีมติเมื่อวันที่ 8 กันยายน 2558 ให้ถอนร่างกฎหมายออกจากสภานิติบัญญัติแห่งชาติ เพื่อให้กระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร (ปัจจุบันคือกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม) รับไปพิจารณาทบทวนร่วมกับสำนักงานคณะกรรมการกฤษฎีกาให้สอดคล้องกับนโยบายของรัฐบาล

ซึ่งในปัจจุบันนี้กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมได้พิจารณาร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลดังกล่าวร่วมกับสำนักงานคณะกรรมการกฤษฎีกาเสร็จแล้ว และได้นำร่างกฎหมายนี้เสนอคณะรัฐมนตรีเพื่อพิจารณาเมื่อวันที่ 17 เมษายน 2561 ก่อนที่จะมีการเสนอสภานิติบัญญัติแห่งชาติพิจารณาต่อไป

โดยร่างกฎหมายฉบับล่าสุดนี้มีความสมบูรณ์ครบถ้วนมากกว่าร่างเดิม โดยมีเนื้อหาทั้งสิ้น 84 มาตรา ขณะที่ร่างเดิมที่สำนักงานคณะกรรมการกฤษฎีกาตรวจพิจารณาเสร็จแล้วเมื่อปี 2558 มีเนื้อหาเพียง 53 มาตรา

ตามร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลฉบับล่าสุดนี้ ข้อมูลส่วนบุคคล หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงการระบุเฉพาะชื่อ ตำแหน่ง สถานที่ทำงาน หรือที่อยู่ทางธุรกิจ และข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ และร่างมาตรา 24 วรรคหนึ่งบัญญัติห้ามไม่ให้ผู้ควบคุมข้อมูลส่วนบุคคลใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล หากฝ่าฝืนจนทำให้ผู้อื่นเสียหายต้องระวางโทษจำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 5 แสนบาท หรือทั้งจำทั้งปรับ ตามมาตรา 65 หรือต้องระวางโทษปรับทางปกครองไม่เกิน 3 แสนบาท ตามมาตรา 70 แล้วแต่กรณี และร่างมาตรา 29 บัญญัติให้ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ต้องประเมินผลกระทบต่อความเป็นส่วนตัวของข้อมูลส่วนบุคคลเป็นประจำอย่างสม่ำเสมอ และต้องจัดให้มีมาตรการรักษาความปลอดภัยที่เหมาะสม หากฝ่าฝืนต้องระวางโทษปรับทางปกครองไม่เกิน 3 แสนบาท ตามมาตรา 70

ดังนั้น ตามร่างกฎหมายนี้ หากผู้ควบคุมข้อมูลส่วนบุคคล เช่น ผู้ประกอบธุรกิจที่เป็นผู้ให้บริการ ได้ใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล หรือไม่จัดให้มีมาตรการรักษาความปลอดภัยที่เหมาะสมจนทำให้ข้อมูลส่วนบุคคลรั่วไหล ก็จะต้องถูกลงโทษตามกฎหมายโดยทันทีซึ่งมีทั้งโทษปรับและโทษจำคุก ซึ่งแตกต่างจากกฎหมายปัจจุบันดังกล่าวข้างต้นที่ให้โอกาสผู้ให้บริการที่ฝ่าฝืนกฎหมายไปปรับปรุงแก้ไขให้ถูกต้องเสียก่อน ถ้าไม่ทำตามถึงจะถูกลงโทษปรับ อย่างไรก็ตาม ความผิดที่มีอัตราโทษจำคุกตามร่างกฎหมายนี้ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลมีอำนาจเปรียบเทียบปรับได้และเมื่อเสียค่าปรับแล้วคดีเป็นอันเลิกกัน

อนึ่ง ตามร่างมาตรา 67 ยังได้บัญญัติความรับผิดของผู้แทนนิติบุคคลที่เป็นผู้สั่งการหรือกระทำการ หรือละเว้นไม่สั่งการหรือไม่กระทำการ เป็นเหตุให้นิติบุคคลกระทำความผิดไว้ด้วย

นอกจากนี้ ร่างมาตรา 64 ยังบัญญัติความรับผิดทางแพ่งในการชดใช้ค่าเสียหายไว้ โดยกำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลที่ดำเนินการเกี่ยวกับข้อมูลส่วนบุคคลจนทำให้เกิดความเสียหายต่อเจ้าของข้อมูลส่วนบุคคลไม่ว่าจะจงใจหรือประมาทเลินเล่อ ต้องชดใช้ค่าสินไหมทดแทนแก่เจ้าของข้อมูลส่วนบุคคลด้วย

ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคล หรือลูกจ้าง หรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคลฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญตามกฎหมายได้ และกำหนดให้มีสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลมีอำนาจหน้าที่สำคัญในการคุ้มครองข้อมูลส่วนบุคคล ส่งเสริมและสนับสนุนให้เกิดการพัฒนาด้านการคุ้มครองข้อมูลส่วนบุคคลของประเทศ

ด้วยร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลฉบับนี้เป็นบทบัญญัติที่ให้ความคุ้มครองข้อมูลส่วนบุคคลแก่ประชาชนเป็นการทั่วไปไม่เจาะจงเฉพาะกรณีใดกรณีหนึ่ง ประกอบกับปัจจุบันมีการล่วงละเมิดสิทธิความเป็นส่วนตัวของข้อมูลส่วนบุคคลเป็นจำนวนมาก จึงหวังว่าหน่วยงานที่เกี่ยวข้องและสภานิติบัญญัติแห่งชาติจะเร่งรีบผลักดันให้กฎหมายฉบับนี้ออกมาใช้บังคับโดยเร็ว นอกจากนี้ กฎเกณฑ์ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (General Data Protection Regulation (GDPR) (EU)) จะมีผลใช้บังคับในวันที่ 25 พฤษภาคม 2561 ซึ่งหากประเทศไทยไม่มีกฎหมายในการคุ้มครองข้อมูลส่วนบุคคลที่มีมาตรฐานเหมาะสม อาจจะส่งผลกระทบต่อการทำธุรกิจการค้ากับสหภาพยุโรปได้ด้วย .

ภาพประกอบ:https://thebporn.wordpress.com