บทความนี้จะพูดถึง การสร้างกระแสความกังวล และคำแนะนำ เกี่ยวกับ กฎหมายคุ้มครองข้อมูลส่วนบุคคล หรือที่ชอบเรียกกันว่า “PDPA” (Personal Data Protection Act) ซึ่งอันที่จริงตราขึ้นตั้งแต่ก่อนเดือนมีนาคม 2562 ประกาศใช้ในเดือนพฤษภาคม 2562 โดยมีการขยายเวลา และบังคับใช้ 1 มิถุนายน 2565
กฎหมาย PDPA นี้มีหลักการสองส่วนคือ ผู้ประกอบการหรือที่กฎหมายเรียกว่า “ผู้ควบคุมข้อมูล” ที่ใช้ข้อมูลลูกค้าในทางธุรกิจต่าง ๆ จะต้องดูแลข้อมูลให้ปลอดภัย เช่น ป้องกันการโจรกรรมข้อมูลโดยแฮกเกอร์ ฯลฯ และอีกส่วนหนึ่งคือ “ก่อนจะใช้ข้อมูลลูกค้า” ต้องแจ้งรายละเอียดว่าเอาไปทำอะไร เพื่ออะไร หรือที่เรียกว่า Privacy notice และจะต้องขอความยินยอมก่อน แต่ก็มีข้อยกเว้นมากมาย นอกจากนี้ ผู้ควบคุมข้อมูลก็ยังมีหน้าที่อื่น ๆ เช่น ทำการบันทึกรายละเอียดว่า วัน ๆ หนึ่งทำอะไรกับข้อมูลลูกค้าบ้าง ฯลฯ
PDPA จึงอยู่ในกลุ่มของกฎหมายควบคุมการประกอบธุรกิจต่าง ๆ ที่ผู้ประกอบการต้องมีงานจัดทำระบบ การทำเอกสาร รายงานสรุป การตรวจประเมิน ฯลฯ จึงไม่น่าเป็นกระแสหวาดหวั่นกับประชาชนทั่วไปในชีวิตประจำวัน แต่ทำไมถึงกลายเป็นกระแสได้นั้น เนื่องมาจากหลายเหตุ เช่น หลักการหรือข้อห้าม เขียนไว้กว้าง เช่น ห้ามเก็บรวบรวมใช้เปิดเผยข้อมูลส่วนบุคคลผู้อื่น เว้นแต่จะขอความยินยอม.
หากอ่านแค่นี้ แล้วนำมาตีความขยายความ สร้างอินโฟกราฟฟิกจะดูน่ากลัวขึ้นมา เพราะการถ่ายภาพที่ติดหน้าคนอื่นและเอามาโพสต์ก็เป็นการ “เก็บรวบรวมและเปิดเผยข้อมูลบุคคลอื่น” จึงเกิดการสร้างกระแส เช่น
- ไปเที่ยวถ่ายรูปยืนข้างรถตัวเองแต่ติดรถคันข้าง ๆ ต้องเบลอทะเบียน เพราะทะเบียนรถอาจระบุตัวบุคคลเจ้าของรถ และเป็นข้อมูลส่วนบุคคลได้
- จะถ่ายรูปน้ำท่วมรถติดโพสต์บอกเพื่อนในเฟซ มีคนยืนเข้าแถวรอรถ ก็ต้องมาหาสติกเกอร์ไล่แปะตามหน้าคน
- กินข้าวในร้านอาหาร ถ่ายติดโต๊ะข้าง ๆ ต้องไล่เบลอหน้าหรือหาตัวการ์ตูนมาปิดทับหัวทุกคน
ไม่มีมาตราใดในกฎหมาย PDPA บอกว่าต้อง “ปิดสติกเกอร์หรือเบลอหน้าคน” โดยเฉพาะอย่างยิ่งในกรณี คนถ่ายรูปเป็นประชาชนและถ่ายภาพ แชะแชร์โพสต์ในชีวิตประจำวัน แนวปฎิบัติดังกล่าวเกิดจากคำแนะนำการตีความกฎหมายที่ “โอเวอร์แอคชั่น” และพวก “How to” หรือ อินโฟกราฟฟิกต่าง ๆ ที่สร้างกระแสว่า เราห้ามทำแบบนั้นแบบนี้ อันเกิดมาจากการตีความโดยจับเอาข้อความเฉพาะบางมาตราและบางส่วนของกฎหมาย โดยไม่ได้อ่านกฎหมายอย่างเป็นระบบโครงสร้างทั้งหมด
จริงอยู่ว่า การถ่ายรูปเป็นการ “เก็บรวบรวมข้อมูล” และหน้าคนหรือทะเบียนรถ เข้าข่ายเป็นข้อมูลส่วนบุคคลได้ จริงอยู่ว่าเบลอหน้าคน การปิดสติกเกอร์ เท่ากับไม่ได้ทำการ เก็บรวบรวมข้อมูลส่วนบุคคล เพราะตามนิยามของข้อมูลส่วนบุคคลคือ ข้อมูลที่ระบุตัวบุคคลได้พอเอาอะไรไปเขียนทับ มันก็ไม่มี “ข้อมูลส่วนบุคคล” ก็ไม่ต้องขอความยินยอมหรือทำอย่างอื่นตามมา
คำแนะนำ การตีความ อินโฟกราฟฟิกที่ส่งกันมาจากไหนก็ไม่ทราบนั้น บางอันจึงขู่ว่า ถ้าไม่ทำเบลอ เท่ากับเป็นการเก็บรวบรวมข้อมูลผู้อื่นจะต้องขอความยินยอม ดังนั้นเรากลัวว่าจะต้องเอาแบบยินยอมไปให้คนในร้านอาหารที่กำลังนั่งปิ้งชาบูแล้วติดเป็นแบกกราวด์ตอนเราถ่ายรูป เราจึงต้องมาก้มหน้าก้มตาแปะสติกเกอร์กระต่ายบนหัวคนต่อไป
ลองคิดดูว่า ถ้าเราในฐานะประชาชนทั่วไป ต้องมาบริหารจัดการว่า ทำอะไรได้หรือห้ามทำอะไร ตาม PDPA แสดงว่าเรามองว่าตนเองเป็น “ผู้ควบคุมข้อมูล” ซึ่งส่งผลต่อไปว่า มันไม่ได้มีแค่หน้าที่ “ขอความยินยอม” เท่านั้น เรายังต้องหน้าที่อื่นด้วย เช่น ทำรายงาน ทำบันทึกการดำเนินการกับข้อมูลส่วนบุคคลที่เราทำไปแต่ละวัน เราต้องรับการตรวจประเมิน เราต้องจัดทำระบบรักษาความปลอดภัยข้อมูล ฯลฯ เราต้องทำแบบนั้นเช่นเดียวกับผู้ประกอบการธุรกิจต่าง ๆ คิดว่าการใช้ชีวิตประจำวัน ต้องทำแบบนั้นหรือ
PDPA มีข้อยกเว้นมาตรา 4 (1) พรบนี้ ไม่ใช้บังคับกับ “การเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคล เพื่อประโยชน์ส่วนตัวหรือกิจกรรมในครอบครัว” ถ้าเข้าข้อยกเว้นนี้จะไม่อยู่ภายใต้บังคับของกฎหมายนี้เลย
หมายความว่า ไม่ใช่เฉพาะเรื่องขอความยินยอม แต่หน้าที่อื่น เช่น การทำประกาศแจ้ง การบันทึกรายการ การรักษาความปลอดภัย ฯลฯ ก็ไม่ต้องทำทั้งสิ้น เพราะได้รับยกเว้นตาม 4 (1) กิจกรรมในครอบครัว เช่น กินข้าวกับครอบครัวมาโพสต์ ไม่ต้องติดสติกเกอร์หรือขอความยินยอม แต่กฎหมายมีคำว่า “หรือ” นั่นคือกรณีประโยชน์ส่วนตัว แม้ว่าไม่ได้กระทำกับคนในครอบครัวก็ได้รับยกเว้นด้วย
จากหลักการดังกล่าว ถ้าเรากินเที่ยวโพสต์แชร์โดยฐานะ “ผู้บริโภค” ที่ไม่มีวัตถุประสงค์ “เชิงธุรกิจ” หรือการประกอบการใด ๆ จัดอยู่ในข่าย “เพื่อประโยชน์ส่วนตัว (Personal use)” จึงไม่อยู่ภายใต้เงื่อนไขข้อบังคับของ PDPA เลย
ดังนั้น การกินเที่ยว โพสต์แชร์ รูปถ่ายที่ติดบุคคลอื่น แม้เขาไม่ยินยอม และไม่เบลอหน้า ก็ยังเข้าข้อยกเว้น 4 (1) เพราะเราไม่ได้ทำไปเพื่อประโยชน์ทางธุรกิจ หรือประกอบการใด ๆ ต้องย้ำความสำคัญของมาตรา 4 (1) ให้ดี ๆ กฎหมายเขียนยกเว้นแค่นี้ไม่ได้มีเงื่อนไขอื่นว่า การทำเพื่อประโยชน์ส่วนตัวต้องไม่ทำให้บุคคลอื่นเสียหาย
บางคนไปแนะนำว่า ประชาชนถ่ายรูปโพสต์แชร์ได้ แต่ต้องไม่ทำให้คนอื่นเสียหาย ซึ่งเป็นการ “เพิ่มข้อความหรือองค์ประกอบ” ไปในกฎหมายมาตรา 4 (1) ซึ่งไม่ได้มีข้อความหรือเงื่อนไขนั้น
เช่น เราถ่ายรูปขณะกินข้าวในร้าน ติดโต๊ะข้าง ๆ นั่งแทะซี่โครงอยู่ แล้วเอามาโพสต์มีคนขำ และคนที่ปรากฎในภาพรู้สึกอับอาย กรณีนี้เป็นการเก็บรวบรวม เปิดเผย ข้อมูลส่วนบุคคล แต่เป็นไปเพื่อประโยชน์ส่วนตัวของเราในการโพสต์แชร์ประจำวัน ก็เข้าข้อยกเว้นมาตรา 4 (1) แล้ว แม้ว่าจะเป็นการละเมิด “ความเป็นส่วนตัว” ของโต๊ะข้าง ๆ มันก็ยังคงเข้าข้อยกเว้น เพราะข้อยกเว้นนี้ไม่ได้มีเขียนเงื่อนไขว่า ประโยชน์ส่วนตัวต้องไม่กระทบชื่อเสียงคนอื่น
ถ้าโต๊ะข้าง ๆ รู้สึกเสียหาย อับอาย ก็อาจจะไปใช้กฎหมายอื่น เช่น หมิ่นประมาท ฯลฯ แต่ไม่ใช่เรื่องของ PDPA เพราะกรณีข้างต้น ถ้าตีความว่า การถ่ายรูปของเรา ไม่เข้าข้อยกเว้น PDPA แล้ว เราไม่ได้มีหน้าที่เฉพาะขอความยินยอมคนแทะซี่โครงคนนั้น เราจะต้องมีหน้าที่ นำ “Policy” หรือรายละเอียดเอกสารการแจ้งว่าจะใช้ข้อมูลเพื่ออะไรไปให้เขาอ่านด้วย แล้วเรายังจะต้องทำรายงาน บันทึกรายการว่าเราทำอะไรต่อไปกับข้อมูลคนนั้นเพื่อให้ตรวจประเมิน แล้วเรายังต้องรักษาความปลอดภัยรูปถ่ายที่ติดคนนั้นมาอีกด้วย
สรุปคือ เราไม่สามารถ “เลือก” ว่าจะทำหน้าที่เฉพาะบางอย่างตามกฎหมาย หากมันไม่เข้าข้อยกเว้นมาตรา 4 แล้ว หน้าที่อื่น ๆ ตามระบบโครงสร้างของ PDPA ก็ต้องมาด้วย แต่ย้อนกลับไป ถ้าร้านอาหารนั้น ถ่ายรูปลูกค้าที่มานั่งกินแล้วเอาไปทำโปรโมทร้านหรือลงโฆษณาในเพจ อันนั้นเป็นการกระทำที่ไม่เข้าข้อยกเว้นมาตรา 4 (1) เพราะไม่ใช่วัตถุประสงค์ส่วนตัวแล้ว เป็นการกระทำของร้านค้าเพื่อธุรกิจ จึงต้องอยู่ภายใต้หลักการต่าง ๆ ทั้งหมดของ PDPA ร้านนั้นจะมีสถานะเป็น “ผู้ควบคุมข้อมูล” ต้องขอความยินยอม ต้องแจ้งรายละเอียดด้วยว่าจะเอาข้อมูลลูกค้าไปทำอะไร โพสต์ที่ไหน นานแค่ไหน จะลบเมื่อไร ฯลฯ ด้วยเหตุนี้ บางร้านจึง “แปะสติกเกอร์หรือเบลอหน้า” เพราะจะอ้างว่า ไม่ได้ทำการเก็บรวบรวม “ข้อมูลส่วนบุคคล”
ดังนั้น ก่อนกิน เที่ยว แชะ โพสต์ แชร์ชีวิตประจำวันในโลกออนไลน์ หรือจะเชื่อ “ How to ” “ Do and Don’t ” อะไรก็ตาม ดูก่อนว่าเราอยู่ในสถานะอะไร การกระทำของเราเข้าข่ายได้รับการยกเว้นหรือไม่ เอากฎหมาย คุ้มครองข้อมูลส่วนบุคคล PDPA มาอ่านทั้งหมด ไม่ใช่เฉพาะบางถ้อยคำ แล้วเราจะคิดเอาเองได้ว่า สิ่งที่เขาบอกให้เราทำนั้นมัน “โอเวอร์” กว่ากฎหมายกำหนดหรือไม่
รศ. คณาธิป ทองรวีวงศ์
สถาบันกฎหมายสื่อดิจิทัล ม.เกษมบัณฑิต