ก

ค ำน ำ การประกอบธุรกิจ การลงทุนในปัจจุบันมีความเกี่ยวข้องกับการใช้ข้อมูลส่วนบุคคลของประชาชน หากพิจารณากรอบความตกลงระหว่างประเทศและกฎหมายต่างประเทศพบว่ามีการก าหนดหลักการคุ้มครองข้อมูลส่วนบุคคลไว้ในกฎหมายจากกรอบความตกลงและแผนแม่บทของอาเซียน มีการระบุถึงการคุ้มครองข้อมูลส่วนบุคคล (Personal Data protection) ไว้ เนื่องจากข้อมูลส่วนบุคคลเป็นปัจจัยส าคัญในการเชื่อมโยงระหว่างกันของอาเซียนดังจะเห็นได้จากแผนแม่บทการเชื่อมโยงระหว่างกันในอาเซียน (ASEAN Connectivity 2025) อย่างไรก็ตามแต่กฎหมายของประเทศในอาเซียนเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลมีความแตกต่างหลากหลายและไม่สอดคล้องกัน ซึ่งอาจส่งผลกระทบในแง่การค้าระหว่างประเทศ เช่น การโอนข้อมูลส่วนบุคคลระหว่างประเทศ ในอาเซียน และการโอนข้อมูลส่วนบุคคลออกนอกกลุ่มอาเซียน ซึ่งกฎหมายภายในของบางประเทศมีกฎหมายที่วางข้อจ ากัดหรือข้อห้ามโอนข้อมูลส่วนบุคคลออกนอกประเทศหากประเทศผู้รับโอนมีระดับการคุ้มครองที่ไม่เพียงพอ

หากพิจารณาแนวโน้มการบัญญัติกฎหมายภายในของประเทศสมาชิกอาเซียบางประเทศ พบว่าหลายประเทศเริ่มใช้วิธีการบัญญัติกฎหมายในลักษณะกฎหมายกลางที่ครอบคลุมทุกภาคส่วน เช่น ฟิลิปปินส์ มาเลเซีย สิงคโปร์ อย่างไรก็ตาม ประเทศสมาชิกอีกหลายประเทศยังไม่มีกฎหมายคุ้มครองข้อมูลส่วนบุคคลส าหรับประเทศไทยซึ่งเป็นหนึ่งในสมาชิกอาเซียนยังไม่มีกฎหมายคุ้มครองข้อมลูส่วนบุคคลในลักษณะกฎหมายเฉพาะ แต่มีการเสนอร่างกฎหมายคุ้มครองข้อมูลส่วนบุคคลโดยภาครัฐพิจารณาว่าเป็นส่วนหนึ่งของปัจจัยสนับสนุนที่สอดคล้องกับ นโยบายเศรษฐกิจดิจิทัล หรือนโยบายไทยแลนด์ 4.0 ซึ่งประกอบด้วยแผนและนโยบายหลายประการที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของประชาชน อย่างไรก็ตาม การมีอยู่หรือไม่มีอยู่ของกฎหมายคุ้มครองข้อมูลส่วนบุคคลเป็นเพียงปัจจัยหนึ่งของการพิจารณาระดับการคุ้มครองข้อมูลส่วนบุคคลของประเทศนั้น ดังจะเห็นได้จากหลักการข้อจ ากัดการโอนข้อมูลส่วนบุคคลที่บางประเทศน ามาก าหนดเป็นกฎหมาย เช่น สหภาพยุโรป เป็นต้น

ดังนั้น ผู้วิจัยจึงเห็นสมควรท าการศึกษาแนวทางและหลักการในการก าหนดกฎหมายคุ้มครองข้อมูลส่วนบุคคล เพ่ือน าไปสู่ข้อเสนอแนะเชิงนโยบายในการปรับปรุงกฎหมายข้อมูลส่วนบุคคลของไทยให้สอดคล้องกับพนัธกรณีในระดับของอาเซียน สอดคล้องกับกฎหมายของประเทศสมาชิกในอาเซียน รวมทั้งสอดคล้องกับหลักการสากลของการคุ้มครองข้อมูลส่วนบุคคลต่อไปจึงน ามาสู่ข้อเสนอในการวิจัยเรื่อง การปฏิรูปกฎหมายคุ้มครองข้อมูลส่วนบุคคลของไทยเพ่ือเข้าสู่ประชาคมอาเซียน (The Data Protection Law Reform for ASEAN) ทั้งนี้ ส านักงานเลขาธิการสภาผู้แทนราษฎรได้พิจารณาโครงการวิจัยนี้แล้ว เห็นควรให้ทุนอุดหนุนการวิจัยจากงบประมาณ ปี 2559 ซึ่งผู้วิจัยขอขอบพระคุณอย่างสูง ที่ผู้ให้ทุนได้เล็งเห็นถึงความจ าเป็น และความส าคัญของประเด็นในการท าวิจัยและประโยชน์ที่คาดว่าจะได้รับในการเป็นข้อเสนอแนะเชิงนโยบายต่อภาคส่วนที่เกี่ยวข้องต่อไป

รองศาสตราจารย์คณาธิป ทองรวีวงศ ์ผู้วิจัย

ข

บทสรุปผู้บริหาร

ปัจจัยส าคัญประการหนึ่งในการก าหนดกรอบกฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศในอาเซียนตามกรอบความตกลงและแผนแม่บทของอาเซียนคือ การจัดให้มีการคุ้มครองข้อมูลส่วนบุคคลซึ่งมี “ความเชื่อมโยงกัน” (Coherent) และ “ความครอบคลุม” (Comprehensive) แต่ผลการวิจัยในภาพรวมของกฎหมายภายในประเทศอาเซียนพบว่า กฎหมายภายในของประเทศสมาชิกในอาเซียนยังขาด “ความเชื่อมโยง” ซึ่งส่งผลกระทบต่อการโอนข้อมูลส่วนบุคคลภายในกลุ่มอาเซียน และยังขาด “ความครอบคลุม” โดยจ าแนกได้ดังนี้

ในแง่รูปแบบและแนวทางการบัญญัติกฎหมายพบว่า ประเทศในอาเซียนมีรูปแบบ (Form) หรือแนวทาง (Approach) ในการคุ้มครองข้อมูลส่วนบุคคลแตกต่างกัน โดยจ าแนกได้สามกลุ่มดังนี้

กลุ่มที่หนึ่ง : การบัญญัติกฎหมายคุ้มครองข้อมูลส่วนบุคคลโดยเฉพาะในลักษณะเป็นกฎหมายกลาง ประเทศที่ก าหนดกฎหมายตามแนวทางนี้เช่น ประเทศในสหภาพยุโรป ส าหรับประเทศในกลุ่มอาเซียนที่ก าหนดกฎหมายตามแนวทางนี้ ได้แก่ ฟิลิปปินส์ (Data Privacy Act of 2012)มาเลเซีย (the Personal Data Protection Act 2010 (PDPA) สิงคโปร์ (Personal Data Protection Act 2012

กลุ่มที่สอง : การบัญญัติกฎหมายคุ้มครองข้อมูลส่วนบุคคลหลายฉบับในลักษณะของกฎหมายที่ใช้บังคับกับแต่ละภาคส่วน (Sectorial law) ประเทศที่ก าหนดกฎหมายตามแนวทางนี้เช่นสหรัฐอเมริกาส าหรับประเทศในอาเซียนที่จัดอยู่ในกลุ่มนี้ ได้แก่ อินโดนีเซีย เวียดนาม ไทย (ข้อมูล ณ เดือนมิถุนายน พ.ศ. 2560)

กลุ่มที่สาม : ไม่มีการบัญญัติกฎหมายคุ้มครองข้อมูลส่วนบุคคลทั้งในลักษณะกฎหมายกลางและกฎหมายเฉพาะภาคส่วน แต่มีกฎหมายอ่ืนที่สามารถน ามาเทียบเคียงหรือปรับใช้กับการคุ้มครองข้อมูลส่วนบุคคล เช่น กฎหมายอาญา กฎหมายแพ่ง กฎหมายความผิดเกี่ยวกับคอมพิวเตอร์ ส าหรับประเทศในอาเซียนที่จัดอยู่ในกลุ่มนี้ ได้แก่ บรูไน ลาว เมียนมา

ในแง่เนื้อหาสาระของกฎหมายคุ้มครองข้อมูลส่วนบุคคล (Substance or content) หรือหลักการคุ้มครองข้อมูลส่วนบุคคลนั้น พบว่า กฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศสมาชิกนั้นยังมีความแตกต่างกันและไม่มีหลักการบางอย่างซ่ึงควรจะมีหากเทียบกับกฎหมายประเทศนอกกลุ่มเช่น กฎหมายของประเทศในยุโรป ตัวอย่างเช่น

ปัญหาการก าหนดหลักความยินยอมจากการศึกษาพบว่า กฎหมายสหภาพยุโรป และกฎหมายประเทศในอาเซียนที่มีกฎหมายคุ้มครองข้อมูลส่วนบุคคลเป็นกฎหมายเฉพาะ ต่างก าหนดให้หลักความยินยอม (Consent) เป็นเงื่อนไขเบื้องต้นในการประมวลข้อมูลที่ชอบด้วยกฎหมาย นอกจากนี้ ผลการวิจัยชี้ให้เห็นว่า “ความยินยอม”ที่สมบูรณ์จะต้องประกอบด้วยองค์ประกอบค าส าคัญ 4 ประการคือ ความยินยอมต้องให้โดยอิสระ (Freely given) ความยินยอมต้องมีความชัดเจน (Specific) ผู้ให้ความยินยอมต้องทราบข้อมูลที่เกี่ยวข้อง (Informed consent) เจ้าของข้อมูลต้องมีสิทธิเพิกถอนความยินยอม ทั้งนี้สหภาพยุโรปก าหนดรายละเอียดทั้ง 4 ประการไว้ ในขณะที่กฎหมายภายในของประเทศ

ค

ในอาเซียนนั้นผลการวิจัยชี้ให้เห็นว่า กฎหมายฟิลิปปินส์ มีการก าหนดนิยามรายละเอียดของความยินยอมไว้คล้ายคลึงกับยุโรป กล่าวคือก าหนดว่าความยินยอมต้อง ให้โดยอิสระ (Freely given) เฉพาะเจาะจง (Specific) และผู้ให้ความยินยอมต้องทราบข้อมูลที่เกี่ยวข้อง ( Informed consent) กฎหมายสิงคโปร์ก าหนดหลักการย่อยที่เน้นย้ าว่า หากความยินยอมได้มาโดยถูกก าหนดให้เป็นเงื่อนไขของการให้บริการหรือขายสินค้า จะไม่ถือเป็นความยินยอมที่ชอบด้วยกฎหมาย เป็นต้น อย่างไรก็ตาม ส าหรับประเทศในอาเซียนอ่ืนที่มีกฎหมายคุ้มครองข้อมูลส่วนบุคคลเป็นกฎหมายกลาง เช่น มาเลเซีย มิได้มีการก าหนดนิยามและหลักการที่ก าหนดรายละเอียดเกี่ยวกับความยินยอมไว้โดยเฉพาะ ส าหรับประเทศไทยนั้น ร่างคุ้มครองข้อมูลส่วนบุคคล (ร่างฉบับที่ส านักงานคณะกรรมการกฤษฎีกาตรวจพิจารณาเสร็จ 1135/2558) มีการก าหนดให้หลักความยินยอมเป็นเงื่อนไขเบื้องต้นของการประมวลข้อมูลที่ชอบด้วยกฎหมายเช่นกัน แต่ร่างกฎหมายมิได้มีการนิยามความหมายของ “ความยินยอม” ไว้หากน าองค์ประกอบส าคัญของความยินยอม 4 ประการข้างต้นมาวิเคราะห์กับร่างฉบับดังกล่าว จะเห็นได้ว่า สะท้อนถึงบางหลักการ เช่น สิทธิในการเพิกถอนความยินยอม แต่ยังไม่สะท้อนถึงหลักการอีก 3 ประการอย่างครบถ้วน ยิ่งไปกว่านั้น หากมีการแก้ไขร่างกฎหมายโดยเปลี่ยนจากหลัก“ความยินยอม”เป็นหลักการ “แจ้งให้ทราบ” กล่าวคือ ผู้ควบคุมสามารถกระท าการต่อข้อมูลส่วนบุคคล เช่น เก็บรวบรวมข้อมูลไปก่อน โดยไม่ต้องขอความยินยอม เพียงแต่ “แจ้งให้เจ้าของข้อมูลทราบ” เท่านั้น ท าให้ระดับการคุ้มครองพ้ืนฐานตามร่างกฎหมายปัจจุบันของไทยเปลี่ยนแปลงไป แตกต่างจากยุโรปและประเทศอ่ืนในอาเซียนที่มีกฎหมายนี้ในปัจจุบัน

ในประเด็นเก่ียวกับสิทธิของเจ้าของข้อมูลนั้น ผลการวิจัยพบว่า กฎหมายประเทศในอาเซียนมีการก าหนดให้สิทธิเจ้าของข้อมูลหลายประการคล้ายคลึงกับกฎหมายสหภาพยุโรป แต่พบว่า สิทธิบางประการของเจ้าของข้อมูลยังไม่ได้รับการระบุไว้ในกฎหมายของประเทศในอาเซียนอย่างสอดคล้องกัน เช่น สิทธิที่จะถูกลืม (Right to be forgotten) สิทธิที่จะขอให้จ ากัดการประมวลข้อมูล (Right to restrict processing) สิทธิในการโอนข้อมูลระหว่างผู้ควบคุมข้อมูล (Right of data portability) สิทธิในการคัดค้านการประมวลข้อมูล (Right to object to processing) เป็นต้น

ในประเด็นเกี่ยวกับหน้าที่ของผู้ควบคุมข้อมูลนั้น ผลการวิจัยพบว่า กฎหมายประเทศในอาเซียนมีการก าหนดหน้าที่ผู้ควบคุมข้อมูลหลายประการคล้ายคลึงกับกฎหมายสหภาพยุโรป แต่พบว่า หน้าที่บางอย่างยังไม่ได้รับการระบุไว้ในกฎหมายของประเทศในอาเซียนอย่างสอดคล้องกัน เช่นหน้าที่บูรณาการหลักการคุ้มครองข้อมูลทั้งในขั้นวางแผนและขั้นปฏิบัติการ (Privacy by design) หน้าที่และการจัดสรรหน้าที่และความรับผิดชอบกรณีผู้ควบคุมข้อมูลหลายราย (Joint Controller) หน้าที่การ แจ้งเหตุข้อมูลรั่วไหล เป็นต้น

ในประเด็นความสัมพันธ์ระหว่างกฎหมายเกี่ยวกับการสอดแนมโดยหน่วยงานรัฐและกฎหมายคุ้มครองข้อมูลส่วนบุคคล ผลการวิจัยพบความสัมพันธ์ระหว่างกฎหมายคุ้มครองข้อมูลส่วนบุคคล และกฎหมายเกี่ยวกับการสอดแนมโดยหน่วยงานของรัฐ (State surveillance) ซ่ึงแม้ว่าจะเป็นกฎหมาย คนละฉบับ แต่การด ารงอยู่ของกฎหมายหรือนโยบายของรัฐในการสอดแนมอาจส่งผลกระทบต่อกฎหมายคุ้มครองข้อมูลส่วนบุคคลในบริบทของการโอนข้อมูลระหว่างประเทศ โดยเฉพาะกรณีที่

ง

ประเทศผู้รับโอนข้อมูลมีข้อจ ากัดการโอนข้อมูลออกนอกประเทศโดยใช้เกณฑ์การพิจารณา “ระดับการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ” (Adequate level of protection)

ประเด็นปัญหาทางกฎหมายที่ส าคัญก็คือ ในการพิจารณาว่าประเทศผู้รับโอนมีระดับการคุ้มครองข้อมูลที่เพียงพอหรือไม่นั้น เพียงข้อเท็จจริงที่ว่าประเทศผู้รับโอนมีการบัญญัติกฎหมายคุ้มครองข้อมูลส่วนบุคคลแล้ว ยังไม่เพียงพอที่จะสรุปได้ว่าประเทศนั้นมีระดับการคุ้มครองที่เพียงพอ ดังจะเห็นได้จากกรณีพิพาทและข้อตกลงระหว่างสหรัฐอเมริกากับสหภาพยุโรป โดยผลการวิจัยชี้ให้เห็นว่า ตามกฎหมายยุโรปนั้น มีการน า “สภาพแวดล้อมทางกฎหมายภายในของประเทศผู้รับโอนข้อมูล” มาพิจารณา ระดับการคุ้มครองข้อมูลส่วนบุคคลของประเทศผู้รับโอนว่าอยู่ในระดับที่เพียงพอหรือเทียบเท่ากับประเทศผู้โอนข้อมูล ผลการวิจัยชี้ให้เห็นว่า สภาพแวดล้อมทางกฎหมายดังกล่าว ประกอบด้วยสามส่วนย่อยคือ ส่วนแรกความมีอยู่ของกฎหมายคุ้มครองข้อมูลส่วนบุคคล ส่วนที่สอง เนื้อหาสาระของกฎหมายคุ้มครองข้อมูลส่วนบุคคลและส่วนที่สามกฎหมายที่ให้อ านาจหน่วยงานรัฐ สอดแนมหรือเข้าถึงข้อมูลการสื่อสารของประชาชน ทั้งนี้ สภาพแวดล้อมดังกล่าวอยู่ภายใต้บริบทของกฎหมายสิทธิมนุษยชนด้วย

ส าหรับประเทศในอาเซียนนั้น ผลการวิจัยยังชี้ให้เห็นว่า ประเทศสมาชิกในอาเซียนหลายประเทศมีกฎหมาย นโยบายของภาครัฐ ที่ท าให้เกิดการสอดแนมหรือเข้าถึงข้อมูลส่วนบุคคลของประชาชน เช่น กรณีฟิลิปปินส์ มาเลเซีย อินโดนีเซีย สิงคโปร์ เมียนมา แม้ว่ามีกฎหมายภายในรองรับ แต่เมื่อพิจารณาตามเกณฑ์ด้านสิทธิมนุษยชนแล้ว เห็นว่ากฎหมายของประเทศสมาชิกอาเซียนเหล่านั้นมุ่งให้น้ าหนักกับความมั่นคงของรัฐ (National security) หรือผลประโยชน์ของภาคธุรกิจ มากกว่าการคุ้มครองสิทธิส่วนบุคคลอันเป็นพ้ืนฐานส าคัญของการคุ้มครองข้อมูลส่วนบุคคล นอกจากนี้ ในระดับกฎหมายภายในจะเห็นได้ว่า ศาลภายในประเทศฟิลิปปินส์และอินโดนีเซียตัดสินว่ากฎหมายเกี่ยวกับการสอดแนมหรือเข้าถึงข้อมูลบางฉบับขัดต่อรัฐธรรมนูญ ด้วยเหตุนี้ การมีกฎหมายเกี่ยวกับการ สอดแนมหรือดักรับข้อมูลที่ไม่สอดคล้องกับหลักสิทธิมนุษยชน ส่งผลให้สภาพแวดล้อมทางกฎหมายโดยรวมของประเทศสมาชิกอาเซียนที่มีกฎหมายดังกล่าวอาจอยู่ในระดับการคุ้มครองข้อมูลที่ไม่เพียงพอ เมื่อเทียบกับยุโรปหรือประเทศอ่ืน ท าให้ประเทศสมาชิกอาเซียนอาจประสบอุปสรรค โดยไม่สามารถโอนข้อมูลส่วนบุคคลระหว่างประเทศกับประเทศในยุโรปหรือประเทศอ่ืนที่มีข้อจ ากัดการโอนข้อมูล ส่วนบุคคลโดยพิจารณาระดับการคุ้มครองที่เพียงพอ นอกจากนี้ ในระหว่างประเทศสมาชิกอาเซียนด้วยกันเอง บางประเทศก็มีหลักห้ามโอนข้อมูลส่วนบุคคลออกนอกประเทศเช่นเดียวกับหลักการของยุโรป ซึ่งอาจส่งผลให้การโอนข้อมูลระหว่างประเทศสมาชิกอาเซียนเองได้รับผลกระทบจากบทบัญญัติดังกล่าว

ส าหรับประเทศไทยนั้น จากบริบทแวดล้อมของกฎหมายและแนวปฏิบัติของภาครัฐภายใต้นโยบายเศรษฐกิจดิจิทัล ซึ่งมีกฎหมายอ่ืนอีกหลายฉบับอันส่งผลกระทบต่อ การเข้าถึงข้อมูลส่วนบุคคลของประชาชนโดยภาครัฐ เช่น พระราชบัญญัติว่าด้วยการกระท าความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2560 ซึ่งมีหลักการเกี่ยวกับการปิดกั้นข้อมูลที่กว้าง รวมทั้งให้อ านาจเจ้าพนักงานเข้าถึงข้อมูลการสื่อสารได้ แม้จะมีกลไกถ่วงดุลโดยการขอหมายศาล แต่เหตุอันน าไปสู่การใช้อ านาจนั้นมีการบัญญัติไว้กว้าง จึงอาจส่งผลกระทบต่อสิทธิมนุษยชน นอกจากนี้ร่างพระราชบัญญัติ มั่นคงไซเบอร์ก็มีหลักการ

จ

ในการสอดแนมอย่างกว้างคล้ายคลึงกับสหรัฐอเมริกา นอกจากนี้ยังมีแนวนโยบายและกฎหมายเกี่ยวกับการเก็บข้อมูลส่วนบุคคลหรือการระบุตัวตนผู้ใช้งานการสื่อสารอีกหลายกรณี ซึ่งเมื่อน าเกณฑ์ด้านสิทธิมนุษยชนมาพิจารณาแล้วจะเห็นได้ว่ากฎหมายและนโยบายเหล่านี้ให้น้ าหนักกับความมั่นคงมากกว่าการคุ้มครองสิทธิส่วนบุคคล จึงมีแนวโน้มว่า เมื่อพิจารณาระบบกฎหมายไทยโดยรวมแล้ว ระดับการคุ้มครองข้อมูลส่วนบุคคลของไทยอาจไม่อยู่ในระดับที่เพียงพอเมื่อเทียบกับกฎหมายยุโรป แม้ว่าร่าง พระราชบัญญัติ คุ้มครองข้อมูลส่วนบุคคลที่อยู่ในชุดกฎหมายเศรษฐกิจดิจิทัลจะมีผลใช้บังคับแล้วก็ตาม ทั้งนี้ ภายใต้กรอบของแนวค าพิพากษาศาลยุโรป คดีเลขที่ C–362/14 ซึ่งเหตุผลประการหนึ่งที่ท าให้ศาลตัดสินว่าข้อตกลง Safe harbor สิ้นผลเนื่องจากมาตรการทางกฎหมายภายในของสหรัฐอเมริกาที่มีลักษณะของการเข้าถึงข้อมูลส่วนบุคคลโดยหน่วยงานภาครัฐ (access of public authorities to personal data)

ด้วยเหตุนี้ การแก้ไขปัญหาที่เกี่ยวกับอุปสรรคการโอนข้อมูลส่วนบุคคลระหว่างประเทศจึงมิใช่การแก้ไขโดยการตรากฎหมายข้อมูลส่วนบุคคลขึ้น หรือแก้ไขกฎหมายข้อมูลส่วนบุคคล แต่ต้องพิจารณาแก้ไขทั้งระบบ กล่าวคือ แม้มีกฎหมายคุ้มครองข้อมูล แต่หากมีกฎหมายอ่ืนที่ให้อ านาจรัฐ สอดแนมหรือเข้าถึงข้อมูล ซึ่งไม่สอดคล้องกับหลักสิทธิมนุษยชน ก็อาจท าให้ประเทศที่มีกฎหมายเช่นนั้นตกอยู่ภายใต้ข้อจ ากัดการโอนข้อมูลระหว่างประเทศได้

ในประเด็นสิทธิที่จะถูกลืม (Right to be forgotten) พบว่าแม้ประเทศสมาชิกอาเซียนที่มีกฎหมายคุ้มครองข้อมูลส่วนบุคคล ก็ยังมิได้มีหลักการคุ้มครองสิทธิอีกหลายประการที่เทียบเท่ากับกฎหมายยุโรป เช่น ยังไม่ครอบคลุม“สิทธิที่จะถูกลืม” ส าหรับกฎหมายไทยปัจจุบันยังไม่มีการบัญญัติรับรองสิทธินี้ไว้โดยเฉพาะ

ในประเด็นการคุ้มครองข้อมูลส่วนบุคคลกรณีการติดต่อโดยมิได้เรียกร้องนั้นพบว่า กฎหมายต่างประเทศ เช่น สหภาพยุโรปและแคนาดา ต่างมีระดับการคุ้มครองที่เข้มงวด ในขณะที่ข้อตกลงอาเซียนมิได้มีการระบุถึงประเด็นนี้ นอกจากนี้หากพิจารณาในระดับกฎหมายภายในประเทศในอาเซียนเองก็พบว่า ประเทศที่มีกฎหมายคุ้มครองข้อมูลส่วนบุคคล ที่มีการก าหนดหลักการเกี่ยวกับการติดต่อโดยมิได้เรียกร้องทางอิเล็กทรอนิกส์ไว้ มีเพียง สิงคโปร์ ฟิลิปปินส์ และไทย ส าหรับกฎหมายเกี่ยวกับ สแปมของฟิลิปปินส์ถูกศาลสูงสุดพิพากษาว่าขัดต่อรัฐธรรมนูญ จึงเหลือเพียงกฎหมายสิงคโปร์ ที่มีการวางหลักเกี่ยวกับเรื่องดังกล่าวไว้ในกฎหมายคุ้มครองข้อมูลส่วนบุคคลโดยเฉพาะ และไทยซึ่งมีการ วางหลักกฎหมายไว้ในกฎหมายความผิดเกี่ยวกับคอมพิวเตอร์คล้ายกับฟิลิปปินส์ สภาพเช่นนี้อาจเป็นเหตุผลหนึ่งที่ท าให้กฎหมายภายในของประเทศในอาเซียน ถูกพิจารณาว่าไม่มีมาตรฐานในการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอเมื่อพิจารณาเปรียบเทียบกับกฎหมายสหภาพยุโรป อันอาจส่งผลกระทบทางการค้าระหว่างประเทศระหว่างประเทศสมาชิกอาเซียนและประเทศในยุโรป นอกจากนี้ กฎหมายเกี่ยวกับคอมพิวเตอร์ของไทยในส่วนที่เกี่ยวข้องกับการติดต่อโดยมิได้เรียกร้องทางอิเล็กทรอนิกส์อาจมีแนวโน้มขัดต่อรัฐธรรมนูญหากเปรียบเทียบกับกรณีฟิลิปปินส์และสหรัฐอเมริกา ทั้งนี้ แม้ตามกฎหมายที่แก้ไขใหม่มีการก าหนดให้อ านาจรัฐมนตรีฯ ประกาศก าหนดรายละเอียดเกี่ย วกับรูปแบบ ปริมาณ ลักษณะการส่ง แต่เนื่องจากเป็นกฎหมายที่มีโทษอาญาและมิได้ก าหนดองค์ประกอบความผิดให้ชัดเจน

ฉ

ไว้ในตัวบท แต่ให้อ านาจฝ่ายบริหารก าหนดรายละเอียดนั้นอาจเป็นการขัดต่อหลักกฎหมายอาญาและอาจพิจารณาว่ามีขอบเขตที่กว้างจนกระทบเสรีภาพในการสื่อสารได้

ในประเด็นปัญหาการคุ้มครองข้อมูลส่วนบุคคลกรณีการคุ้มครองข้อมูลส่วนบุคคลของเด็กพบว่า คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลของบางประเทศในอาเซียน เช่น สิงคโปร์ ได้พยายามวางแนวทางการบังคับใช้กฎหมายไว้ ในขณะที่ประเทศอ่ืนในอาเซียนรวมทั้งไทยยังมิได้มีการก าหนดแนวทางในประเด็นนี้ไว้ชัดเจน

ในประเด็นการคุ้มครองข้อมูลส่วนบุคคลกรณีข้อมูลรั่วไหล (Data Breach) นั้น งานวิจัยนี้จ าแนกเป็นสองขั้นตอนคือ 1) การคุ้มครองก่อนเกิดเหตุข้อมูลรั่วไหล หากพิจารณาหลักกฎหมายคุ้มครองข้อมูลส่วนบุคคลประการต่าง ๆ พบว่า หลักเก่ียวกับการจัดเก็บข้อมูลเท่าที่จ าเป็น (Necessity) นั้นมีความส าคัญในแง่การป้องกันก่อนข้อมูลรั่วไหล หลักการนี้ปรากฏในกฎหมายยุโรปและกฎหมายประเทศในอาเซียนบางประเทศ ภายใต้หลักการนี้ ผู้ควบคุมข้อมูลควรพิจารณาเลือกจัดเก็บข้อมูลเท่าที่จ าเป็นตามวัตถุประสงค์ของการใช้ที่แจ้งให้กับเจ้าของข้อมูลทราบ อย่างไรก็ตาม ผู้วิจัยเห็นว่า ปัญหาส าคัญที่เกิดขึ้นกับประเทศในอาเซียนก็คือ หน่วยงานภาครัฐมักมีกฎหมาย มาตรการ นโยบายในการจัดเก็บข้อมูลส่วนบุคคลอย่างกว้างขวาง ซึ่งการจัดเก็บและเชื่อมโยงข้อมูลดังกล่าวน าไปสู่ความเสี่ยงของประชาชน ดังจะเห็นได้จาก กรณีการั่วไหลของเลขบัตรประชาชนเกาหลีใต้ หากพิจารณาสภาพปัญหานี้ในประเทศสมาชิกอาเซียนอ่ืนพบว่า ประเทศไทยมีกฎหมาย ร่างกฎหมาย และนโยบายภาครัฐที่อาจส่งผลกระทบต่อความเสี่ยงของข้อมูลรั่วไหลเนื่องจากไม่ได้น าหลักการเก็บข้อมูลเท่าที่จ าเป็นและการ บูรณาการฯ มาประกอบการพิจารณานโยบายหรือกฎหมาย เช่น การก าหนดให้เก็บข้อมูลละเอียดอ่อน เช่น เลขหมายบัตรประชาชน ลายนิ้วมือ ฯลฯ โดยมุ่งเน้นให้น้ าหนักกับความมั่นคงและความสงบเรียบร้อยมากกว่าการคุ้มครองข้อมูลส่วนบุคคล 2) การคุ้มครองภายหลังข้อมูลรั่วไหล พบว่า มีการก าหนดหลักการแจ้งเตือนข้อมูลรั่วไหล (Data Breach Notification) ซึ่งปรากฏในกฎหมายสหรัฐอเมริกาและยุโรปแต่พบว่าประเทศในอาเซียนยังไม่มีความสอดคล้องกันในแง่ของหลักการแจ้งเตือนข้อมูลรั่วไหล

จากผลการวิจัยดังกล่าวข้างต้น น าไปสู่ข้อเสนอแนะในสามระดับดังต่อไปนี้

ข้อเสนอแนะในระดับของอาเซียน

1. น าหลักการพ้ืนฐานของการคุ้มครองข้อมูลส่วนบุคคลตามแนวทางระหว่างประเทศและกฎหมายสหภาพยุโรป เช่น หลักความยินยอม หลักวัตถุประสงค์ในการประมวลข้อมูล มาก าหนดไว้ในกรอกความตกลงของอาเซียน หลักสิทธิที่จะถูกลืม และหลักคุ้มครองข้อมูลส่วนบุคคลในประเด็นเฉพาะที่มีความส าคัญเช่น หลักการเกี่ยวกับการติดต่อโดยมิได้เรียกร้องเพ่ือการพาณิชย์ รวมทั้งก าหนดหลักเกณฑ์เกี่ยวกับข้อจ ากัดการโอนข้อมูลส่วนบุคคล เพ่ือให้ประเทศสมาชิกอาเซียนน าไปเป็นแนวทางบัญญัติกฎหมายภายในให้สอดคล้องกัน

2. ก าหนดกรอบแนวทางเก่ียวกับการสอดแนมภาครัฐไว้ในกรอบความตกลงของอาเซียน โดยน าเกณฑ์ด้านสิทธิมนุษยชนตามแนวทางสหภาพยุโรปมาประกอบการพิจารณาก าหนดกรอบดังกล่าว

ช

ข้อเสนอแนะในระดับของกฎหมายประเทศสมาชิกอาเซียน

ข้อเสนอแนะส าหรับประเทศสมาชิกอาเซียนซึ่งยังไม่มีกฎหมายคุ้มครองข้อมูลส่วนบุคคล หรือประเทศสมาชิกอาเซียนที่มีกฎหมายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลแล้วแต่ยังไม่ครอบคลุมประเด็นดังที่ได้วิเคราะห์มาเพ่ือน าข้อเสนอดังต่อไปนี้ไปประกอบการบัญญัติกฎหมายหรือปรับปรุงแก้ไขกฎหมายแล้วแต่กรณี

1. น าหลักความยินยอมอันเป็นเงื่อนไขของการประมวลข้อมูลมาบัญญัติไว้ในกฎหมายรวมทั้งเสนอให้ก าหนดรายละเอียดของหลักความยินยอมว่า ความยินยอมที่สมบูรณ์จะต้องประกอบด้วยองค์ประกอบค าส าคัญ 4 ประการคือ ความยินยอมต้องให้โดยอิสระ (Freely given) ความยินยอมต้องมีความชัดเจน (Specific) ผู้ให้ความยินยอมต้องทราบข้อมูลที่เกี่ยวข้อง (Informed consent) เจ้าของข้อมูลต้องมีสิทธิเพิกถอนความยินยอม

2. น าสิทธิบางประการของเจ้าของข้อมูลที่กฎหมายของยังไม่ได้รับการระบุไว้ในกฎหมายของประเทศในอาเซียนอย่างสอดคล้องกันมาก าหนดไว้ เช่น สิทธิที่จะถูกลืม (Right to be forgotten) รวมทั้งเสนอให้น าหน้าที่ของผู้ควบคุมข้อมูลบางประการที่ยังไม่ได้รับการระบุไว้ในกฎหมายของประเทศในอาเซียนอย่างสอดคล้องกันมาก าหนดไว้ เช่น หน้าที่บูรณาการหลักการคุ้มครองข้อมูลทั้ งในขั้นวางแผนและขั้นปฏิบัติการ (Privacy by design) หน้าที่และการจัดสรรหน้าที่และความรับผิดชอบกรณีผู้ควบคุมข้อมูลหลายราย (Joint Controller) หน้าที่การแจ้งเหตุข้อมูลรั่วไหล

3. ผู้วิจัยเสนอแนวทางการบัญญัติกฎหมายในประเด็น “ข้อจ ากัดการโอนข้อมูลออกนอกประเทศ” ออกเป็นสองแนวทางคือ 1) ก าหนดข้อจ ากัดการโอนข้อมูลออกนอกประเทศ โดยใช้เกณฑ์พิจารณา “ระดับการคุ้มครองที่เพียงพอเมื่อเทียบกับกฎหมายภายในประเทศผู้โอน” เช่นเดียวกับกฎหมายสหภาพยุโรป กฎหมายสิงคโปร์ มาเลเซีย 2) ไม่ก าหนดข้อจ ากัดการโอนข้อมูลออกนอกประเทศไว้ในกฎหมายคุ้มครองข้อมูล แต่ก าหนดหน้าที่ผู้ควบคุมข้อมูลให้ต้องใช้กลไกทางสัญญาในการคุ้มครองข้อมลูที่โอนออกนอกประเทศ ดังเช่นแนวทางของฟิลิปปินส์

4. ผู้วิจัยเสนอแนวทางการแก้ปัญหากรณี “การสอดแนมหรือเข้าถึงข้อมูลของประชาชนโดยภาครัฐ” โดยเสนอให้น าเกณฑ์พิจารณาด้านสิทธิมนุษยชนตามแนวทางสหภาพยุโรปมาประกอบการ ทบทวนร่างกฎหมาย ปรับปรุงแก้ไขหรือยกเลิกกฎหมายหรือแนวนโยบายของรัฐเกี่ยวกับการสอดแนมข้อมูล

5. ผู้วิจัยเสนอให้มีการก าหนดหลักการเกี่ยวกับการติดต่อโดยมิได้เรียกร้องเพ่ือการพาณิชย์ โดยอาจก าหนดกฎหมายอยู่ในรูปแบบใดรูปแบบหนึ่ง กล่าวคือ 1) ก าหนดไว้ในกฎหมายคุ้มครองข้อมูลส่วนบุคคล 2) ก าหนดไว้ในกฎหมายความผิดเกี่ยวกับคอมพิวเตอร์ 3) ก าหนดเป็นกฎหมายเฉพาะ

6. ผู้วิจัยเสนอแนวทางการคุ้มครองข้อมูลส่วนบุคคลของเด็กเป็นสามแนวทางคือ แนวทางแรกก าหนดหลักเกณฑ์เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลของเด็กเป็นบทบัญญัติเฉพาะในกฎหมายคุ้มครองข้อมูลส่วนบุคคล แนวทางที่สอง ก าหนดหลักเกณฑ์เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลของเด็กเป็นกฎหมายเฉพาะต่างหากจากกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่เป็นกฎหมายกลาง แนวทางที่

ซ

สาม ไม่ก าหนดหลักเกณฑ์เก่ียวกับการคุ้มครองข้อมูลส่วนบุคคลของเด็กเป็นการเฉพาะ โดยปรับใช้หลักกฎหมายคุ้มครองข้อมูลส่วนบุคคลกับกรณีของเด็กด้วย

7. ผู้วิจัยเสนอแนวทางการคุ้มครองข้อมูลส่วนบุคคลในกรณีข้อมูลรั่วไหล โดยแบ่งเป็นสองกรณีคือ กรณีก่อนการรั่วไหล มีข้อเสนอแนะว่า นอกจากการก าหนดหน้าที่ให้ผู้ควบคุมข้อมูลต้องมีหน้าที่รักษาความปลอดภัยแก่ข้อมูลที่เก็บรักษาไว้แล้ว ควรต้องน าหลักเกี่ยวกับการจัดเก็บข้อมูลเท่าที่จ าเป็น (Necessity) มาใช้ประกอบกับหลักก าหนดหน้าที่ผู้ควบคุมข้อมูลในการมีหน้าที่บูรณาการหลักการคุ้มครองข้อมูลทั้งในข้ันวางแผนและขั้นปฏิบัติการ (Privacy by design) กรณีหลังข้อมูลรั่วไหลเสนอให้ประเทศสมาชิกในอาเซียน น าหลักการแจ้งเตือนข้อมูลรั่วไหล (Data Breach Notification) มาก าหนดไว้ในกฎหมาย โดยก าหนดแนวทางที่ชัดเจนในประเด็นต่างๆ เช่น หลักการประเมินความเสี่ยงรายละเอียดในการแจ้งเตือนว่าจะต้องมีประเด็นหรือข้อมูลใดบ้าง

ข้อเสนอแนะในส่วนของการปฏิรูปกฎหมายไทย

ในส่วนของประเทศไทยอาจสรุปข้อเสนอแนะได้สองมิติ ดังนี้

- ในส่วนร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. .... นั้น เสนอให้มีการทบทวนปรับปรุงร่างกฎหมายโดยน าข้อเสนอเชิงเนื้อหาสาระของหลักเกณฑ์ในการคุ้มครองข้อมูลส่วนบุคคลตามประเด็นข้อเสนอแนะในระดับกฎหมายภายในประเทศอาเซียนตามข้อเสนอแนะ (1–7) ข้างต้นมาประกอบการพิจารณา

- ในส่วนของสภาพแวดล้อมทางกฎหมายในการคุ้มครองข้อมูลส่วนบุคคลโดยรวมของประเทศ นอกเหนือจากร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. .... เสนอให้พิจารณาทบทวนร่างกฎหมาย และกฎหมายที่มีผลใช้บังคับแล้ว ที่มีหลักการเกี่ยวกับการสอดแนม การเก็บข้อมูลส่วนบุคคล หรือข้อมูลระบุตัวตนของประชาชนเพ่ือเหตุผลด้านความมั่นคงหรือความสงบเรียบร้อย โดยน าเกณฑ์ด้านสิทธิมนุษยชนมาประกอบการพิจารณากฎหมายดังกล่าวเพ่ือสร้างความสมดุลระหว่างผลประโยชน์ของรัฐกับสิทธิส่วนบุคคลของประชาชนด้วย

ฌ

ชื่อโครงการ : การปฏิรูปกฎหมายคุ้มครองข้อมูลส่วนบุคคลของไทยเพื่อเข้าสู่ประชาคมอาเซียน

ชื่อผู้วิจัย : รองศาสตราจารย์คณาธิป ทองรวีวงศ์

ปีท่ีท าการวิจัย : 2559 บทคัดย่อ กรอบความตกลงของอาเซียนมีการระบุให้ “ความเชื่อมโยงกัน” (Coherent) และ “ความครอบคลุม” (Comprehensive) เป็นปัจจัยส าคัญในการก าหนดกฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศในอาเซียน อย่างไรก็ตาม ผลการวิจัยชี้ให้เห็นว่า กฎหมายภายในของประเทศสมาชิกในอาเซียนยังขาด “ความเชื่อมโยง” และ “ความครอบคลุม” ทั้งในแง่รูปแบบและแนวทางการบัญญัติกฎหมาย และในแง่เนื้อหาสาระของกฎหมายคุ้มครองข้อมูลส่วนบุคคล เนื่องจากยังมีความแตกต่างกันและไม่มีหลักการบางอย่างซึ่งควรจะมีหากเทียบกับหลักคุ้มครองข้อมูลส่วนบุคคลระหว่างประเทศและตามกฎหมายประเทศนอกกลุ่ม เช่น กฎหมายของประเทศในยุโรป ตัวอย่างเช่น หลักความยินยอมที่มีรายละเอียดครอบคลุมมิติต่าง ๆ สิทธิที่จะถูกลืม การแจ้งเตือนเมื่อข้อมูลรั่วไหล เป็นต้น ปัญหาดังกล่าวส่งผลกระทบในหลายแง่มุม เช่น ผลกระทบต่อการโอนข้อมูลส่วนบุคคลภายในกลุ่ มอาเซียน และนอกกลุ่มอาเซียน นอกจากนี้ ผลการวิจัยยังชี้ให้เห็นความสัมพันธ์ระหว่างกฎหมายคุ้มครองข้อมูลส่วนบุคคลกับกฎหมายเกี่ยวกับการสอดแนมข้อมูลของประชาชนโดยหน่วยงานรัฐ กล่าวคือ ในบริบทของข้อจ ากัดการโอนข้อมูลส่วนบุคคลไปยังประเทศผู้รับโอนนั้น การพิจารณาระดับการคุ้มครองข้อมูลส่วนบุคคลของประเทศผู้รับโอน มิใช่เพียงแต่พิจารณาว่าประเทศนั้นมีกฎหมายคุ้มครองข้อมูลส่วนบุคคลเท่านั้น แต่จะต้องพิจารณาสภาพแวดล้อมทางกฎหมายเกี่ยวกับสิทธิส่ วนบุคคลของประเทศนั้นประกอบด้วย โดยนัยนี้การด ารงอยู่ของกฎหมายหรือแนวปฏิบัติของรัฐในการสอดแนมหรือเข้าถึงข้อมูลประชาชนที่ไม่สอดคล้องกับเกณฑ์ด้านสิทธิมนุษยชนอาจส่งผลกระทบต่อการโอนข้อมูลระหว่างประเทศได้ ผลการวิจัยชี้ให้เห็นว่า ประเทศสมาชิกในอาเซียนหลายประเทศรวมทั้งประเทศไทยมีกฎหมายเกี่ยวกับการสอดแนมหรือเข้าถึงข้อมูลประชาชนที่ไม่สอดคล้องกับเกณฑ์ด้านสิทธิมนุษยชนซึ่งอาจน าไปสู่ปัญหาการโอนข้อมูลระหว่างประเทศทั้ งในกลุ่มและนอกกลุ่มอาเซียน ผลการวิจัยน าไปสู่ข้อเสนอแนะทั้งในระดับความตกลงของอาเซียนและระดับกฎหมายภายในประเทศอาเซียน เพ่ือให้มีการบัญญัติกฎหมาย ทบทวนร่างกฎหมาย และปรับปรุงแก้ไขกฎหมายที่มีผลใช้บังคับอยู่ เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ของประเทศในอาเซียนรวมทั้งประเทศไทยให้สอดคล้องกันทั้งในระดับอาเซียนและระดับระหว่างประเทศนอกกลุ่มอาเซียน

ค าส าคัญ ข้อมูลส่วนบุคคล กฎหมายคุ้มครองข้อมูลส่วนบุคคล สิทธิส่วนบุคคล อาเซียน กฎหมาย การสอดแนม

ญ

Project Title : The Personal Data Protection Law Reform for ASEAN

Researcher : Assoc Prof. kanathip thongraweeworng

Year of Research : 2016

Abstract

“Coherent” and “Comprehensive” are defined in ASEAN related frameworks as one of the critical factors to be considered by member states in developing data protection law at national level. However, the research found that domestic law in ASEAN countries still lack “coherent” and “comprehensive” with regard to form, approach and substance or content. The data protection laws in ASEAN countries varies and provides no comprehensive data protection principles that cover key principles as stipulated in international guidelines and foreign laws such as EU data protection laws, for example, right to be forgotten, data breach notification. This could lead to several aspects of impact such as creating obstacles for free flow of data among ASEAN countries and outside ASEAN. Furthermore, this research indicates the relationship between data protection laws and state surveillance laws. The existence of data protection law in the data import countries is only one factor to be considered in the context of data export restriction rules. The legal environment including the existence of state surveillance laws and practice which is inconsistent to human right principles is also critical factor to be considered and could make the level of data protection in that country “inadequate” to be qualified as data import country. The research applies human rights criteria analyzed from European laws and legal cases to examine the state surveillance laws in ASEAN countries including Thailand and found that several laws could be inconsistent with human rights principles which would possibly cause legal problems for ASEAN countries regarding intentional data transfer. Consequently, this researcher proposes suggestions for both ASEAN and domestic laws of member countries in order to enact laws, revise draft laws and amending existing laws relating to data protection in ASEAN countries including Thailand by incorporating internationally recognized data protection principles for encouraging the harmonization of data protection laws regionally among ASEAN countries and internationally outside ASEAN.

Keywords Personal data, Data protection laws, Right to privacy, ASEAN, surveillance law

ฎ

สารบัญ หน้า ค าน า ก บทสรุปผู้บริหาร ข บทคัดย่อภาษาไทย ฌ บทคัดย่อภาษาอังกฤษ ญ สารบัญ ฎ สารบัญตาราง ณ สารบัญภาพ ด บทที่ 1 บทน า 1 1.1 ความเป็นมาและความส าคัญของปัญหา 1 1.2 วัตถุประสงค์ของการวิจัย 8 1.3 ขอบเขตของการวิจัย 8 1.4 ประโยชน์ที่คาดว่าจะได้รับ 9 บทที่ 2 การทบทวนวรรณกรรมและกรอบแนวคิดทฤษฎี 10 2.1 ความหมายทั่วไปของสิทธิในความเป็นอยู่ส่วนตัว 10 2.2 แนวความคิดของสิทธิในความเป็นอยู่ส่วนตัวในบริบททางกฎหมาย 10 2.3 แนวความคิดของสิทธิในความเป็นอยู่ส่วนตัวในบริบททางปรัชญา 13 2.4 แนวความคิดของสิทธิในความเป็นอยู่ส่วนตัวในบริบททางศาสนา 13 2.5 แนวความคิดของสิทธิในความเป็นอยู่ส่วนตัวในบริบททางด้านการเมือง

การปกครอง 14

2.6 แนวคิดของ สิทธิในความเป็นอยู่ส่วนตัวในบริบทของส านักความคิด กฎหมายธรรมชาติและส านักความคิดกฎหมายบ้านเมือง

14

2.7 สิทธิในความเป็นอยู่ส่วนตัวในบริบทของสิทธิมนุษยชน 16 2.8 สิทธิในความเป็นอยู่ส่วนตัวในบริบททางวัฒนธรรม (Cultural context) 18 2.9 แนวคิดของสิทธิในความเป็นอยู่ส่วนตัว ในบริบทเชิงสังคมวิทยาและ

มนุษยวิทยา 21

2.10 แนวคิดของสิทธิในความเป็นอยู่ส่วนตัว : สิทธิที่จะอยู่ตามล าพัง (Right to be let alone)

22

2.11 แนวคิดของสิทธิในความเป็นอยู่ส่วนตัว ในแง่ของความลับ (Secrecy) 24 2.12 แนวคิดของสิทธิในความเป็นอยู่ส่วนตัว ในบริบทเชิงขอบเขต 25 2.13 แนวคิดของสิทธิในความเป็นอยู่ส่วนตัว ในบริบทของข้อมูลส่วนบุคคล 33

ฏ

สารบัญ (ต่อ) หน้า บทที่ 3 ระเบียบวิธีการวิจัย 36 3.1 แนวทางและวิธีการวิจัย 36 3.2 ประชากรและกลุ่มตัวอย่าง 36 3.3 วิธีการเก็บรวบรวมข้อมูล

3.4 การวิเคราะห์ข้อมูล 39

40 บทที่ 4 ผลการวิจัย 42 4.1 กรอบและหลักกฎหมายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล 42 4.1.1 หลักกฎหมายและข้อตกลงระหว่างประเทศเกี่ยวกับการคุ้มครอง

ข้อมูลส่วนบุคคล 42

4.1.1.1 หลักการคุ้มครองข้อมูลส่วนบุคคลในการโอนข้อมูลส่วน บุคคลระหว่างประเทศขององค์การเพื่อความร่วมมือทาง เศรษฐกิจและการพัฒนา (OECD Guidelines)

42

4.1.1.2 หลักการคุ้มครองข้อมูลส่วนบุคคลตามกรอบความ ร่วมมือทางเศรษฐกิจในภูมิภาคเอเชีย-แปซิฟิก(APEC)

44

4.1.1.3 หลักการคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป 46 4.1.1.4 หลักการคุ้มครองข้อมูลส่วนบุคคลของ ASEAN 51 4.1.2 หลักการคุ้มครองข้อมูลส่วนบุคคลตามความตกลงทวิภาคี 70 4.1.2.1 ความตกลงระหว่างสหรัฐอเมริกาและยุโรปกรณี

Safe Habour 70

4.1.2.2 ความตกลงระหว่างสหรัฐอเมริกาและยุโรปกรณ ี Privacy shield

76

4.1.3 หลักการคุ้มครองข้อมูลส่วนบุคคลตามกฎหมายต่างประเทศ 78 4.1.3.1 กฎหมายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลของ

สหรัฐอเมริกา 78

4.1.3.2 กฎหมายของสหภาพยุโรป 95 4.1.3.3 มาตรการทางกฎหมายของสหราชอาณาจักร 98 4.1.3.4 กฎหมายคุ้มครองข้อมูลส่วนบุคคลของแคนาดา 99 4.1.4 กฎหมายภายในของประเทศในกลุ่มอาเซียน 107 4.2 วิเคราะห์ประเด็นทางกฎหมายคุ้มครองข้อมูลส่วนบุคคล 110 4.2.1 วิเคราะห์เปรียบเทียบหลักการคุ้มครองข้อมูลส่วนบุคคลตาม

กฎหมายประเทศอาเซียน 112

4.4.2.1.1 วิเคราะห์รูปแบบการบัญญัติกฎหมายคุ้มครองข้อมูล ส่วนบุคคล (Data Protection law)

112

ฐ

สารบัญ (ต่อ) หน้า 4.2.1.2 วิเคราะห์หลักการคุ้มครองข้อมูลส่วนบุคคล

(Data Protection principles) 116

4.2.2 วิเคราะห์ประเด็นข้อจ ากัดการโอนข้อมูลส่วนบุคคลออกนอก ประเทศ

145

4.2.2.1 วิเคราะห์เปรียบเทียบหลักกฎหมายเกี่ยวกับข้อจ ากัดการ โอนข้อมูลส่วนบุคคลออกนอกประเทศ

145

4.2.2.2 ผลกระทบของข้อจ ากัดการโอนข้อมูลออกนอกประเทศ 151 4.2.2.3 ปัญหาการโอนข้อมูลส่วนบุคคลระหว่างประเทศในกลุ่ม

อาเซียน : พิจารณากรอบความตกลงอาเซียน 152

4.2.3 วิเคราะห์ผลกระทบของการสอดแนมการสื่อสารโดยภาครัฐต่อ กฎหมายคุ้มครองข้อมูล ส่วนบุคคลและการโอนข้อมูลส่วนบุคคล ของประเทศ

155

4.2.3.1 หลักของกฎหมายสหภาพยุโรปเกี่ยวกับการโอนข้อมูล ส่วนบุคคลระหว่างประเทศ

156

4.2.3.2 วิเคราะห์กรณีการโอนข้อมูลระหว่างยุโรปและ สหรัฐอเมริกา : กรณี Safe harbor

159

4.2.3.3 วิเคราะห์คดี Case C-362/14. Maximillian Schrems v Data Protection Commissioner

163

4.2.3.4 วิเคราะห์ข้อตกลงการโอนข้อมูลระหว่างยุโรปและ สหรัฐอเมริกา : กรณี Privacy Shield

167

4.2.3.5 กรณีค าสั่งของฝ่ายบริหารอันอาจส่งผลกระทบต่อความ ตกลง “Umbrella agreement” ระหว่าง สหรัฐอเมริกาและยุโรป

175

4.2.3.6 เกณฑ์การพิจารณาความสอดคล้องกับหลักสิทธิ มนุษยชนของกฎหมายเกี่ยวกับการสอดแนม

177

4.2.3.7 วิเคราะห์กฎหมายและค าพิพากษาศาลของประเทศใน อาเซียนที่เกี่ยวกับการสอดแนมการสื่อสารของ ประชาชน

188

4.2.3.8 สภาพแวดล้อมทางกฎหมายในบริบทของข้อจ ากัดการ โอนข้อมูลส่วนบุคคลออกนอกประเทศ

206

4.2.3.9 ผลกระทบของกฎหมายเกี่ยวกับการสอดแนมหรือเข้าถึง ข้อมูลโดยภาครัฐในภาพรวมของการคุ้มครองสิทธิใน ความเป็นอยู่ส่วนตัว

208

ฑ

สารบัญ (ต่อ) หน้า 4.2.3.10 ผลกระทบของข้อจ ากัดการโอนข้อมูลและการสอดแนม

การสื่อสารโดยภาครัฐต่อการโอนข้อมูลส่วนบุคคลของ ประเทศในอาเซียน

211

4.2.3.11 หลักข้อจ ากัดการโอนข้อมูลส่วนบุคคลของสาธารณรัฐ ประชาชนจีน และผลกระทบต่อประเทศสมาชิกอาเซียน

215

4.2.4 วิเคราะห์ผลกระทบของกฎหมายคุ้มครองข้อมูลส่วนบุคคลของ ยุโรปต่อประเทศในอาเซียน :สิทธิที่จะถูกลืม (Right to be forgotten)

217

4.2.5 วิเคราะห์ปัญหาการคุ้มครองข้อมูลส่วนบุคคลกรณีการติดต่อโดย มิได้เรียกร้องเพ่ือการพาณิชย์

228

4.2.6 วิเคราะห์ปัญหาการคุ้มครองข้อมูลส่วนบุคคลกรณีการคุ้มครอง ข้อมูลส่วนบุคคลของเด็ก

257

4.2.6.1 กฎหมายสหรัฐอเมริกา 258 4.2.6.2 กฎหมายสหภาพยุโรป 263 4.2.6.3 กฎหมายของประเทศในอาเซียน 264 4.2.6.4 วิเคราะห์สาเหตุและความจ าเป็นของการก าหนดหลัก

คุ้มครองข้อมูลส่วนบุคคลเด็กเป็นการเฉพาะ 265

4.2.6.5 วิเคราะห์เปรียบเทียบกฎหมายเก่ียวกับการคุ้มครอง ข้อมูลส่วนบุคคลของเด็กของต่างประเทศกับประเทศ ไทยและประเทศในอาเซียน

267

4.2.6.6 วิเคราะห์ข้อมูลจากการสัมภาษณ์/จัดเวทีรับฟังความ คิดเห็น

270

4.2.7 วิเคราะห์ประเด็นการรั่วไหลของข้อมูลและการแจ้งเหตุข้อมูล รั่วไหล

271

4.2.7.1 ความหมายและสภาพข้อเท็จจริงของข้อมูลรั่วไหล (Data Breach)

271

4.2.7.2 ผลกระทบของการรั่วไหลของข้อมูล 273 4.2.7.3 แนวทางของกฎหมายในการคุ้มครองข้อมูลส่วนบุคคล

ส าหรับกรณีข้อมูลรั่วไหล 274

บทที่ 5 สรุปผลการวิจัย อภิปรายผลและข้อเสนอแนะ 292 5.1 สรุปการวิจัย 292 5.1.1 การคุ้มครองข้อมูลส่วนบุคคลในระดับความตกลงอาเซียน 292

ฒ

สารบัญ (ต่อ) หน้า 5.1.2 การคุ้มครองข้อมูลส่วนบุคคลตามกฎหมายภายในประเทศสมาชิก

อาเซียน 292

5.1.3 รูปแบบการบัญญัติกฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศ สมาชิกอาเซียน

293

5.1.4 เนื้อหาสาระของหลักการคุ้มครองข้อมูลส่วนบุคคลตามกฎหมาย ประเทศสมาชิกอาเซียน

294

5.1.5 ข้อจ ากัดการโอนข้อมูลส่วนบุคคลออกนอกประเทศ 295 5.1.6 ผลกระทบของกฎหมายเกี่ยวกับการสอดแนมต่อกฎหมายคุ้มครอง

ข้อมูลส่วนบุคคลและการโอนข้อมูลส่วนบุคคลระหว่างประเทศ 297

5.1.7 วิเคราะห์ผลกระทบของกฎหมายคุ้มครองข้อมูลส่วนบุคคลของ ยุโรปต่อประเทศในอาเซียน: สิทธิที่จะถูกลืม (Right to be forgotten)

301

5.1.8 วิเคราะห์ปัญหาการคุ้มครองข้อมูลส่วนบุคคลกรณีการติดต่อโดย มิได้เรียกร้อง

301

5.1.9 วิเคราะห์ปัญหาการคุ้มครองข้อมูลส่วนบุคคลกรณีการคุ้มครอง ข้อมูลส่วนบุคคลของเด็ก

302

5.1.10 วิเคราะห์การคุ้มครองข้อมูลส่วนบุคคลกรณีข้อมูลรั่วไหล (Data Breach)

302

5.2 ข้อเสนอแนะ 304 5.2.1 ในระดับความตกลงของอาเซียน 304 5.2.2 รูปแบบการบัญญัติกฎหมายคุ้มครองข้อมูลส่วนบุคคล 304 5.2.3 ข้อเสนอแนะในภาพรวมเก่ียวกับเนื้อหาสาระของหลักกฎหมาย

คุ้มครองข้อมูลส่วนบุคคล

304 5.2.4 ข้อเสนอแนะเกี่ยวกับการก าหนดข้อจ ากัดการโอนข้อมูลส่วนบุคคล 305 5.2.5 ข้อเสนอแนะเกี่ยวกับกฎหมายและนโยบายของรัฐในการสอดแนม

ข้อมูลส่วนบุคคล 306

5.2.6 ข้อเสนอแนะในประเด็นสิทธิที่จะถูกลืม (Right to be forgotten) 307 5.2.7 ข้อเสนอแนะในประเด็นการติดต่อโดยมิได้เรียกร้องทาง

อิเล็กทรอนิกส์หรือสแปม 307

5.2.8 ข้อเสนอแนะในประเด็น การคุ้มครองข้อมูลส่วนบุคคลของเด็ก 308 5.2.9 ข้อเสนอแนะประเด็นการคุ้มครองข้อมูลกรณีข้อมูลรั่วไหล 309 5.3 ข้อเสนอแนะเพ่ือการพัฒนา 309 บรรณานุกรม 312 ภาคผนวก 320

ณ

สารบัญตาราง

ตาราง หน้า 1 ตารางสรุปภาพรวมของรูปแบบกฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศ

ในอาเซียน 115

2 ตารางวิเคราะห์หลักการคุ้มครองข้อมูลส่วนบุคคล (Data Protection principles)

116

3 ตารางวิเคราะห์เงื่อนไขการประมวลข้อมูลที่ชอบด้วยกฎหมาย 121 4 ตารางวิเคราะห์เปรียบเทียบหลักความยินยอม 124 5 ตารางสิทธิของเจ้าของข้อมูลส่วนบุคคล 131 6 ตารางหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล (Obligation of data controller) 137 7 ตารางสรุปภาพรวมของวางข้อจ ากัดการโอนข้อมูลส่วนบุคคลออกนอกประเทศ

(Data export) ของประเทศในอาเซียน 146

8 ตารางข้อจ ากัดการโอนข้อมูลออกนอกประเทศในอาเซียนเปรียบเทียบกับสหภาพยุโรป

149

9 สรุปโครงสร้างการบัญญัติกฎหมายเกี่ยวกับการติดต่อโดยมิได้เรียกร้องเพ่ือการพาณิชย์ของประเทศในอาเซียนเปรียบเทียบกับสหรัฐอเมริกาและสหราชอาณาจักร

241

10 กรณีตัวอย่างข้อเท็จจริงเกี่ยวกับการรั่วไหลของข้อมูลส่วนบุคคล 272 11 ตารางสรุปหลักกฎหมายประเทศสมาชิกอาเซียนกับยุโรปและสหรัฐอเมริกาใน

กรณีข้อมูลส่วนบุคคลรั่วไหล 286

ด

สารบัญภาพ

ภาพ หน้า 3.1 ภาพประกอบการจัดเวทีรับฟังความคิดเห็น 37 3.2 ภาพประกอบการจัดเวทีรับฟังความคิดเห็น 37 3.3 ภาพประกอบการจัดเวทีรับฟังความคิดเห็น 38 3.4 แผนภาพแสดงกรอบการวิจัย 41

บทที่ 1

บทน า

ในบทนี้ผู้วิจัยจะได้ชี้ให้เห็นถึงที่มาและความส าคัญของปัญหาในการวิจัย วัตถุประสงค์ ประโยชน์ที่คาดว่าจะได้รับ วิธีการวิจัย และขอบเขตของการวิจัย

1.1 ความเป็นมาและความส าคัญของปัญหา (Statement of the Problem)

เหตุผลของการที่ประเทศไทยต้องมีการปฏิรูปกฎหมายโดยการบัญญัติกฎหมายคุ้มครองข้อมูลส่วนบุค�