บทความพิเศษ

นคร เสรีรักษ์

ผู้อำนวยการ Privacy Thailand

ผู้ช่วยศาสตราจารย์ประจำวิทยาลัยการปกครองท้องถิ่น มหาวิทยาลัยขอนแก่น

 

กฎหมายข้อมูลส่วนบุคคล

ที่ ‘เลื่อนซ้ำซาก’

ทำให้การคุ้มครองสิทธิพลเมือง

ถูก ‘เลื่อนซ้ำซาก’

 

ผมอธิบายการเลื่อนการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคล ว่าหมายถึง “สิทธิในข้อมูลส่วนบุคคลของพลเมืองถูกเลื่อนการคุ้มครองหนึ่งปี” เมื่อปี 2563 (“สิทธิในข้อมูลส่วนบุคคลของพลเมืองถูกเลื่อนการคุ้มครองหนึ่งปี”, มติชน, 24 พฤษภาคม 2563) หลังจากที่รัฐบาลออกพระราชกฤษฎีกาซึ่งมีสภาพเสมือนการเลื่อนการบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ออกไปหนึ่งปี หลังจากนั้นรัฐบาลก็สั่งเลื่อนอีกครั้งหนึ่งในปี 2564 ซึ่งมีผลให้กฎหมายฉบับนี้ที่ออกตั้งแต่ปี 2562 ถูกเลื่อนถึงสองครั้ง เป็นเวลาถึงสองปี จะมีผลบังคับใช้ในวันที่ 1 มิถุนายน 2565

หลังจากนั้น มีคนถามผมบ่อยๆ ว่ากฎหมายฉบับนี้จะเลื่อนอีกหรือไม่ในปีนี้ และจะเลื่อนไปอีกเรื่อยๆ หรือเปล่า

ผมคุยกับเพื่อนฝูงมิตรสหายหลายคนหลายครั้งโดยอธิบายว่า ถ้าดูทรงของรัฐบาลนี้ ดูวิธีคิดของกระทรวงดีอี ดูลีลาการให้เหตุผลและเทคนิคกระบวนการนิติวิธีในออกกฎหมายลำดับรองมาเลื่อนการบังคับใช้กฎหมายหลักของนักกฎหมายสายรัฐบาลแล้ว

ผมทายว่าอาจเลื่อนอีกและคงจะเลื่อนไปเรื่อยๆ

 

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ประกาศในราชกิจจานุเบกษาเมื่อวันที่ 27 พฤษภาคม 2562 และอันที่จริงแล้วกฎหมายฉบับนี้จะต้องใช้บังคับเต็มฉบับครบทุกมาตรานับแต่วันที่ 27 พฤษภาคม 2563 เป็นต้นไป แต่ถูกเลื่อนออกไปจนถึงวันที่ 31 พฤษภาคม 2565

การเลื่อนการบังคับใช้ครั้งแรก รัฐบาลให้เหตุผลว่าการปฏิบัติตามหลักเกณฑ์ วิธีการ และเงื่อนไขตามที่กฎหมายกำหนดมีรายละเอียดมากและซับซ้อน ต้องใช้เทคโนโลยีขั้นสูงเพื่อให้การคุ้มครองข้อมูลส่วนบุคคลเป็นไปอย่างมีประสิทธิภาพสมดังเจตนารมณ์ของกฎหมาย ทำให้ผู้ควบคุมข้อมูลส่วนบุคคลซึ่งเป็นหน่วยงานและกิจการต่างๆ ทั้งภาครัฐและเอกชนจำนวนมากทั่วประเทศยังไม่พร้อมที่จะปฏิบัติตามกฎหมายนี้

ในการเลื่อนครั้งที่สอง รัฐบาลยังคงให้เหตุผลเช่นเดียวกับในการเลื่อนครั้งแรก แต่ยกเอา “โควิด” มาอ้างเพิ่มเติม โดยระบุว่าสถานการณ์การแพร่ระบาดของโรคติดเชื้อไวรัสโคโรนา 2019 ยังคงมีอยู่อย่างต่อเนื่องและรุนแรงยิ่งขึ้น ส่งผลกระทบต่อเศรษฐกิจและสังคมโดยรวมเป็นอย่างมาก ทำให้หน่วยงานและกิจการต่างๆ ทั้งภาครัฐและเอกชนจำนวนมากทั่วประเทศยังไม่พร้อมที่จะปฏิบัติตามกฎหมาย เพื่อบรรเทาผลกระทบที่จะเกิดขึ้น

จึงขยายระยะเวลาการใช้บังคับพระราชกฤษฎีกาที่ออกเมื่อปี 2563 ออกไปอีกจนถึงวันที่ 31 พฤษภาคม พ.ศ.2565

 

นอกเหนือจากการอ้างเหตุความไม่พร้อมของภาคเอกชน เหตุผลที่อ้างกันบ่อยๆ เพื่อพยายามยืนยันของความไม่พร้อมของการบังคับใช้กฎหมายก็คือความไม่พร้อมขององค์กรกำกับกฎหมาย การที่ยังไม่สามารถแต่งตั้งคณะกรรมการผู้รับผิดชอบและหน่วยงานบังคับใช้กฎหมาย การไม่มีคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ทำให้ไม่มีกรรมการกำกับสำนักงาน ไม่มีสำนักงาน และไม่มีคณะกรรมการผู้เชี่ยวชาญที่จะเป็นผู้พิจารณาเรื่องร้องเรียน ตรวจสอบและไกล่เกลี่ยข้อพิพาท และอีกเหตุผลที่อ้างกันเสมอคือการยังไม่มีกฎหมายลูก ตลอดจนหลักเกณฑ์รายละเอียดที่ต้องออกมาประกอบการบังคับใช้กฎหมาย

อันที่จริงแล้ว คณะรัฐมนตรีเห็นชอบให้แต่งตั้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ตั้งแต่ 19 พฤษภาคม 2563 แต่ด้วยเหตุอันน่าสงสัยและไม่เคยมีการแถลงชี้แจงอย่างเปิดเผยโปร่งใส ทำให้ไม่มีการออกคำสั่งแต่งตั้งอย่างเป็นทางการ ไม่มีการประกาศคำสั่งแต่งตั้งในราชกิจจานุเบกษา และนำไปสู่การทบทวนกระบวนการแต่งตั้ง มีการแต่งตั้งกรรมการสรรหาขึ้นมาใหม่อีกชุด มีการทบทวนการตั้งกรรมการชุดเดิม

จนในที่สุดการแต่งตั้งคณะกรรมการจึงเพิ่งมาเสร็จสิ้นเมื่อเดือนมกราคม 2565

 

ถามถึงความพร้อมขององค์กรบังคับใช้กฎหมาย ถึงวันนี้จะมีกรรมการเรียบร้อยแล้วแต่ก็เพิ่งเข้ามาทำงานไม่กี่เดือน ในส่วนกฎหมายลูกได้ยินมาว่ามีการว่าจ้างมหาวิทยาลัยหลายแห่งให้ร่างอยู่หลายสิบฉบับ สิ่งที่คณะกรรมการชุดรักษาการกับสำนักงานชั่วคราวทำมาสามปี ทำได้แค่ไหนก็เห็นกันอยู่ การออกกฎหมายลูกในช่วงเวลาไม่ถึงสองเดือนก่อน 1 มิถุนายน 2565 ชวนให้สงสัยว่าจะออกมาได้สักกี่ฉบับในช่วงเวลาที่เหลืออยู่

พิจารณาถึงสถานการณ์โควิดในปัจจุบันและที่กำลังจะเกิดขึ้นในอนาคต การกลายพันธุ์ของไวรัสและการค้นพบไวรัสชนิดใหม่กันอยู่บ่อยๆ สถานการณ์การแพร่ระบาดดูจะยังไม่คลี่คลายในระยะเวลาสั้นๆ จำนวนผู้ติดเชื้อเพิ่มขึ้นอย่างต่อเนื่อง โควิดจึงน่าจะเป็นเหตุให้รัฐบาลใช้เอามาอ้างเป็นยาครอบจักรวาลเหมือนที่ใช้มาแล้วได้อีกครั้งหนึ่ง

จึงมีความเป็นไปได้สูงมาก ที่รัฐบาลโดยกระทรวงดีอีจะอ้างโควิดมาเสริมประกอบการอ้างความไม่พร้อมของหน่วยงานรัฐและเอกชน และความไม่พร้อมของกลไกการบังคับใช้กฎหมาย การยังไม่มีกรรมการผู้เชี่ยวชาญ การยังไม่มีสำนักงานรับผิดชอบโดยเฉพาะ และการออกกฎหมายลูกยังไม่แล้วเสร็จ เพื่อนำมาสู่การเลื่อนการบังคับใช้กฎหมายอีกครั้งในปีนี้ หรือในอีกหลายๆ ปี หลายๆ ครั้ง ในวันข้างหน้า

จนอาจมีสภาพการเป็นกฎหมายที่ “เลื่อนซ้ำซาก”

 

กฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศไทยมีการพัฒนาที่ยาวนาน นับจากการริเริ่มออกกฎหมายเมื่อปี 2539 เราใช้เวลาถึง 23 ปี จึงได้มี พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลออกมาในปี 2562 นับถึงวันนี้ 26 ปีแล้วที่กฎหมายยังไม่ได้ใช้

การคุ้มครองสิทธิพลเมืองจึงเป็นสิ่งที่ถูกละเลยตลอดมา

ประเทศไทยใช้เวลาในการออกกฎหมายนี้ถึง 23 ปี คนไทยรอกฎหมายนี้มา 26 ปี และกำลังนับถอยหลังไปสู่วันที่ 1 มิถุนายน 2565 ซึ่งกฎหมายนี้จะได้เริ่มทำหน้าที่คุ้มครองสิทธิในข้อมูลส่วนบุคคลของพลเมืองอย่างแท้จริงและจริงจัง วันนี้คนไทยกำลังตั้งคำถามว่ากฎหมายนี้จะเลื่อนอีกไหมในปีนี้ หรือจะเป็นกฎหมายที่ “เลื่อนซ้ำซาก” จริงๆ

มีการพูดคุยถกเถียงถึงเหตุผลของการเลื่อนการบังคับใช้กฎหมายนี้กันมาก และกำลังมีคนเสนอให้มีการเลื่อนแบบมีเงื่อนไข เช่น เลื่อนสำหรับบางกิจการ หรือการเลื่อนโดยแบ่งเป็นการเลื่อนเป็นช่วงเวลา เหตุก็ยังคงเป็นข้ออ้างเรื่องเดิมๆ ภาคธุรกิจยังไม่พร้อม กรรมการยังไม่พร้อม กฎหมายลูกยังไม่พร้อม แต่ผลก็คือการยอมให้ทุกองค์กรทุกภาคส่วน ทั้งภาครัฐและภาคธุรกิจเอกชนใช้ประโยชน์ในข้อมูลของพลเมืองต่อไปโดยสะดวกสบาย ได้ประโยชน์ และไร้กฎหมายกำกับควบคุม

นั่นคือการยอมให้มีการละเมิดความเป็นส่วนตัวของพลเมืองออกไปเรื่อยๆ นั่นเอง

เราพูดกันแต่เรื่องของตัวกฎหมายที่ “เลื่อนซ้ำซาก” แต่สิ่งหนึ่งที่เหมือนจะขาดหายไปในแทบทุกวงสนทนาคือ ไม่มีใครพูดถึงการคุ้มครองสิทธิพลเมืองที่ถูก “เลื่อนซ้ำซาก”

ผมทำนายว่าเลื่อน แต่ผมก็อดหวังไม่ได้ว่าผมจะทายผิดสักครั้ง