พรบ.คอมพิวเตอร์ ปี 2560 กับ พรบ.คุ้มครองข้อมูลส่วนบุคคล ปี 2562 ?

เมื่อพรบ.คุ้มครองข้อมูลส่วนบุคคล ปี 2562 ออกมา ซึ่งตามความเข้าใจ (ไปเอง) ของบางคนจะคิดว่าเราจะไปเก็บข้อมูลเพื่อใช้ยืนยันตัวตนตามพรบ.คอมพิวเตอร์ปี 2560 ไม่ได้แล้วหรือ? แล้วอย่างนี้พรบ. สองตัวนี้มันขัดแย้งกันหรือไม่?

หลายท่านน่าจะคุ้นเคยกับ พรบ.คอมพิวเตอร์ ฉบับปรับปรุงใหม่ ปี 2560 กันมาบ้างแล้ว ซึ่งเนื้อหาหลักๆ ที่เกี่ยวข้องกับผู้ประกอบการก็ยังคงเหมือนเดิม คือ ให้ผู้ประกอบการเก็บข้อมูลการจราจรทางคอมพิวเตอร์ไว้ไม่น้อยกว่า 90 วัน หรือหากจำเป็นเจ้าหน้าที่อาจจะขอให้เก็บไว้เกิน 90 วันแต่ไม่เกิน 2 ปีก็ได้ จากมาตรา 17 ที่ยกมาให้ดูนี้

ในที่นี้เราจะขอพูดถึงเฉพาะเรื่องผู้ประกอบการที่ให้บริการอินเตอร์เน็ตแก้ผู้ใช้ทั่วไป แปลความแบบเข้าใจง่ายๆ คือถ้าผู้ประกอบการให้บริการอินเตอร์เน็ตแก่ผู้ใช้ออกไปใช้งานอินเตอร์เน็ตได้ ไม่ว่าจะเป็นทางสายแลนหรือ WiFi ก็ดี ต้องเก็บข้อมูลที่จะใช้ยืนยันตัวตนของผู้ใช้นั้นไว้อย่างต่ำ 90 วัน

ซึ่งเนื้อหาที่เก็บนั้นต้องสามารถให้ข้อมูลต่อไปนี้ได้

  • ใครเป็นผู้ใช้งานอินเตอร์เน็ตนั้น
  • ออกไปที่ไหน
  • วันไหน เวลาเท่าไหร่

จะเห็นได้ว่าการจะบอกได้ว่า “ใคร” นั้นเป็นปัญหาที่สุด เพราะหากเป็นผู้ประกอบการทั่วไปที่ไม่ได้มีระบบจัดเก็บข้อมูลเป็นเรื่องเป็นราว ยกตัวอย่างเช่นร้านกาแฟ หรือรีสอร์ทที่ทำแค่แปะรหัส WiFi ไว้ที่ผนัง ใครจะใช้ก็ได้แบบนี้ก็แยกไม่ได้แล้ว หรือถ้าเป็นหอพักที่ขายคูปองแบบตัดแจกใครมาซื้อคูปองก็แจกไปเลยไม่ได้มีการเก็บข้อมูลว่าใครเอาคูปองใบนั้นไปก็จะแยกไม่ได้เช่นกัน แต่ตอนนี้เราจะไม่ได้มาคุยกันว่าจะเก็บข้อมูลอย่างไร ใช้อุปกรณ์อะไรบ้าง แต่เราจะมาบอกว่าการจะเก็บว่า “ใคร” นี้เราต้องเก็บข้อมูลเพื่อยืนยันตัวตนของเค้าได้ เช่นต้องเก็บเลขที่บัตรประชาชน หรือเบอร์โทรศัพท์เป็นต้น

พอมาถึงตรงนี้บางคนอาจจะมีคำถามว่าตอนนี้เรามี พรบ. คุ้มครองข้อมูลส่วนบุคคล ปี 2562 แล้วจะยังเก็บข้อมูลพวกนั้นได้หรือไม่ ซึ่งสาระสำคัญของพรบ.ฉบับนี้มีดังนี้

  1. เจ้าของข้อมูลต้องให้ความยินยอม ในการเก็บรวบรวม การใช้ และการเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่ผู้เก็บรวบรวม ผู้ใช้ แจ้งไว้ตั้งแต่แรกแล้วเท่านั้น กล่าวคือ การจะเก็บข้อมูลเพื่อยืนยันตัวตนได้ต้องขออนุมัติจากเจ้าของข้อมูลก่อน
  2. ผู้เก็บรวบรวมข้อมูลต้องรักษาความมั่นคงปลอดภัยของข้อมูล ไม่ให้มีการเปลี่ยนแปลงแก้ไข หรือถูกเข้าถึงโดยผู้ที่ไม่เกี่ยวข้องกับข้อมูล เช่น ผู้ประกอบการที่ได้ข้อมูลผู้ใช้ต้องไม่เปิดเผยข้อมูลนั้นให้กับบุคคลอื่น
  3. เจ้าของข้อมูลมีสิทธิ์ถอนความยินยอม ขอให้ลบหรือทำลายข้อมูลเมื่อใดก็ได้ หากเป็นความประสงค์ของเจ้าของข้อมูล

จากข้อความด้านบน เราอาจจะเอามาประยุกต์ใช้กับระบบเราได้เช่น

  • ระบบ Instant Kiosk (ID) ที่ลูกค้าต้องเสียบบัตรประชาชน ก็อาจจะต้องแจ้งให้ลูกค้ารับทราบว่าข้อมูลที่เราเก็บเป็นไปตามพรบ.คอมฯ
  • ระบบ Instant Free WiFi ก็ต้องมีข้อตกลงให้ลูกค้ากดรับทราบก่อนลงทะเบียนใช้งาน

อ่านถึงตรงนี้คงเห็นแล้วว่าพรบ.ทั้ง 2 ตัวนี้สามารถใช้ร่วมกันได้ไม่ได้ขัดกันแต่อย่างใด หากแต่เพิ่มขึ้นมาว่าหากผู้ประกอบการจะเก็บข้อมูลต้องให้เจ้าของข้อมูลอนุญาตก่อน

ทีนี้หากบางคนมีคำถามว่า แล้วถ้าเจ้าของข้อมูลไม่ยอมให้เราเก็บข้อมูล แต่ต้องใช้อินเตอร์เน็ตจากระบบของเรา เราจะยกเว้นไม่เก็บข้อมูลได้หรือไม่ คำตอบก็คือ “ไม่ได้” เพราะพรบ. คุ้มครองข้อมูลส่วนบุคคล ให้ข้อยกเว้นเราไว้แล้วตามมาตรา 24 วรรค 6 บอกว่า ห้ามผู้ประกอบการเก็บข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอม “เว้นแต่” เป็นการปฏิบัติตามกฏหมาย ตามที่ยกมาให้ดูนี้

ดังนี้แล้วจะเห็นได้ว่าไม่ว่าจะอย่างไรเราก็จำเป็นต้องเก็บข้อมูลของผู้ใช้ไว้เพื่อให้เป็นไปตามพรบ.คอมพิวเตอร์อยู่ดี