จากประเด็นเรื่อง ข้อมูลลูกค้าหลุดของ TrueMove H ก่อให้เกิดคำถามตามมามากมาย โดยเฉพาะประเด็นเรื่องความรับผิดชอบของบริษัท และบทลงโทษต่อเหตุการณ์ที่เกิดขึ้น
คำตอบคือกรณีนี้ True ไม่ได้ทำผิดกฎหมาย เพราะว่าประเทศไทย [ยัง] ไม่มีกฎหมายคุ้มครองข้อมูลส่วนบุคคลนั่นเองครับ เป็นเหตุผลที่น่าเศร้าแต่บ้านเมืองของเราเป็นเช่นนี้จริงๆ
บทความนี้จะลอง "สมมติ" เหตุการณ์จำลองขึ้นมาว่า ถ้าบ้านเรามีกฎหมายคุ้มครองข้อมูลส่วนบุคคล แล้ว True จะมีความผิดอะไรบ้างจากกรณีข้อมูลหลุดครั้งนี้
ภาพประกอบจาก EFF
ตามหลักการในแง่กฎหมายและกฎระเบียบแล้ว กรณีข้อมูลหลุดของ True จะถูกกำกับดูแลด้วยกฎหมายและกฎระเบียบ 2 ข้อ ได้แก่
ต้องอธิบายว่าประกาศ กทช. ฉบับนี้เป็นการกำกับดูแลระหว่าง กสทช. ในฐานะ regulator กับ True ในฐานะผู้รับใบอนุญาตประกอบกิจการโทรคมนาคมจาก กสทช. เท่านั้น ไม่มีผลต่อบุคคลทั่วไป (เพราะ กสทช. ไม่มีอำนาจกับบุคคลทั่วไป มีเฉพาะกับผู้รับใบอนุญาต)
กล่าวโดยสรุปคือ กสทช. สามารถเอาผิด True ได้ถ้าทำผลเงื่อนไขในประกาศด้านโทรคมนาคม แต่ประชาชนไม่สามารถทำอะไรกับ True ได้ในแง่ข้อมูลส่วนบุคคล เพราะประเทศไทยไม่มีกฎหมายด้านนี้ (สักที) แม้มีความพยายามมายาวนาน ส่วนสาเหตุเกิดจากอะไรนั้นก็ไม่ทราบได้
นิยามของข้อมูลส่วนบุคคล
ก่อนอื่นต้องดูจาก "นิยาม" ของข้อมูลส่วนบุคคลในประกาศฉบับนี้ก่อน
คำว่า "ข้อมูลส่วนบุคคล" ตามประกาศนี้ หมายถึง "ข้อมูลผู้ใช้เลขหมายโทรคมนาคม ข้อเท็จจริง รายละเอียดเกี่ยวกับผู้ใช้บริการที่สามารถระบุตัวผู้ใช้บริการ หรืออาจระบุตัวผู้ใช้บริการนั้นได้ไม่ว่าทางตรงหรือทางอ้อม ข้อมูลการใช้บริการ เลขหมายโทรคมนาคม รวมทั้งพฤติกรรมการใช้บริการโทรคมนาคมของผู้ใช้บริการ"
กรณีของ True ที่เกิดขึ้นเป็นสำเนาบัตรประชาชน ซึ่งน่าจะนับเป็น "ข้อมูลผู้ใช้เลขหมายโทรคมนาคม" ตามนิยามข้างต้น
หน้าที่ของผู้รับใบอนุญาต
ข้อกำหนดในประกาศ กำหนดให้ผู้รับใบอนุญาตต้องมี "มาตรการป้องกันและรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล" ทั้งในทางเทคนิคและทางการจัดการภายในองค์กร ข้อกำหนดในประกาศเขียนกว้างๆ เพียงว่าต้องเปลี่ยนรหัสความปลอดภัยทุก 3 เดือน และปรับระดับความปลอดภัยให้เหมาะสมกับความเสี่ยงที่เกิดขึ้นตามพัฒนาการทางเทคโนโลยี
การส่งต่อให้ "บุคคลอื่น" ช่วยเก็บข้อมูล
จากแถลงการณ์ของ True ระบุว่าปัญหาที่เกิดขึ้นมาจากส่วนของ iTruemart ไม่ได้มาจาก TrueMove H โดยตรง ปัจจุบัน iTruemart เปลี่ยนชื่อเป็น Wemall และดำเนินการโดย "บริษัท แอสเซนด์ คอมเมิร์ซ จำกัด" ซึ่งไม่ได้อยู่ภายใต้กลุ่ม True แต่อยู่ในเครือเจริญโภคภัณฑ์
ตรงนี้เราอาจมองได้ว่า iTruemart ถือเป็น "บุคคลอื่น" ที่เข้ามาจัดการเรื่องการเก็บข้อมูลให้กับ TrueMove H อีกทีหนึ่ง ซึ่งในประกาศ กทช. ก็มีระบุเรื่องนี้ไว้ในมาตรา 18
บทลงโทษ
ในประกาศ กทช. เรื่องข้อมูลส่วนบุคคล ไม่ได้กำหนดบทลงโทษเอาไว้ว่าถ้าทำผิดเงื่อนไขแล้วจะมีโทษอย่างไร
แต่เรื่องนี้อยู่ใน พ.ร.บ. การประกอบกิจการโทรคมนาคม พ.ศ. 2544 (ดาวน์โหลด) มาตรา 50 ว่าผู้รับใบอนุญาตมีหน้าที่ทำตามมาตรการที่ กสทช. กำหนด หากพบว่ามีบุคคลใดละเมิดสิทธิของผู้ใช้บริการ ให้ผู้รับใบอนุญาตหรือ กสทช. ระงับการกระทำดังกล่าว และแจ้งให้ผู้ใช้บริการทราบโดยเร็ว
ใน พ.ร.บ. ยังกำหนดการบังคับทางปกครองไว้ในมาตรา 64 ให้เลขาธิการ กสทช. มีอำนาจสั่งให้ผู้รับใบอนุญาตระงับการกระทำได้ และหากผู้รับใบอนุญาตไม่ปฏิบัติตามคำสั่งของเลขาธิการตามมาตรา 64 เลขาฯ ก็ยังมีอำนาจกำหนดค่าปรับทางปกครองได้เช่นกัน
ที่ผ่านมา กสทช. เคยกำหนดเพดานขั้นสูงของค่าปรับ จากการคำนวณรายได้ของโอเปอเรเตอร์แต่ละราย ข้อมูลจากเว็บไซต์ กสทช. ในปี 2558 ระบุว่าค่าปรับขั้นสูงของบริษัท ทรู มูฟ เอช ยูนิเวอร์แซล คอมมิวนิเคชั่น จำกัด อยู่ที่วันละ 169,244 บาท (อ้างอิง) แต่ในทางปฏิบัติแล้วก็ขึ้นกับอำนาจและดุลพินิจของ กสทช. ว่าจะปรับที่เท่าไร
จากกรณีนี้ ในกฎหมายและประกาศของ กสทช. ไม่ได้ระบุความผิดไว้ชัดเจน ถ้าตีความกันตามตรงแล้ว True ทำผิดมาตรา 50 จริง แต่ถ้าดำเนินการแก้ไขตามที่ กสทช. สั่งการแล้ว ก็จะไม่โดนลงโทษอะไรเพิ่มเติมอีก
จิ๊กซอส่วนที่หายไปของสังคมไทยคือ ร่าง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ที่ไม่เคยออกเป็นกฎหมายสำเร็จ แม้มีแนวคิดเรื่องนี้มานานเกือบ 20 ปี เราลองมาดูกันว่า ถ้าหากวันนี้มีกฎหมายคุ้มครองข้อมูลส่วนบุคคล กรณีข้อมูลหลุดของ True จะเกิดอะไรขึ้นบ้าง
อ้างอิง ร่าง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ฉบับสำนักงานคณะกรรมการกฤษฎีกา พ.ศ.2558
กฎหมายฉบับนี้ให้อำนาจ "คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล" จำนวน 13 คนที่แต่งตั้งโดยคณะรัฐมนตรี มีอำนาจกำกับดูแลเกี่ยวกับข้อมูลส่วนบุคคลในประเทศไทย
มาตรา 24 ห้ามมิให้ผู้ควบคุมข้อมูลส่วนบุคคล เปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล และมาตรา 29 ผู้ควบคุมข้อมูลส่วนบุคคล มีหน้าที่จัดหามาตรการรักษาความปลอดภัยที่เหมาะสม, ดำเนินการป้องกันกรณีส่งต่อให้บุคคลอื่น และแจ้งเหตุละเมิดแก่เจ้าของข้อมูลโดยไม่ชักช้า
มาตรา 37 เจ้าของข้อมูลมีสิทธิร้องเรียนต่อ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ในกรณีที่พบการฝ่าฝืนเงื่อนไขตาม พ.ร.บ. นี้ โดยคณะกรรมการฯ จะต้องแต่งตั้งคณะกรรมการผู้เชี่ยวชาญขึ้นมาตรวจสอบข้อเท็จจริง
ในกรณีที่เกิดความเสียหายขึ้น เจ้าของข้อมูลสามารถเอาผิดทางแพ่ง เรียกค่าเสียหายจากผู้เก็บรวบรวมข้อมูลได้
ส่วนความผิดในแง่ปกครองระบุไว้ในมาตรา 44 ว่าการทำผิดตามมาตรา 24 และ 29 มีบทลงโทษปรับไม่เกิน 3 แสนบาท และหากความผิดนั้น "เป็นการกระทำเพื่อให้ตนเองหรือผู้อื่นได้รับประโยชน์อันมิควรได้ หรือเพื่อให้เกิดความเสียหายแก่ผู้อื่น" จะโดนโทษจำคุกไม่เกิน 6 เดือน, ปรับไม่เกิน 5 แสนบาท หรือทั้งจำทั้งปรับ
นอกจากนี้ในมาตรา 45 ยังกำหนดโทษของการละเมิดมาตรา 24 ไว้อีกส่วนด้วย โดยกำหนดโทษจำคุกไม่เกิน 6 เดือน , ปรับไม่เกิน 5 แสนบาท หรือทั้งจำทั้งปรับ
จะเห็นว่าใน ร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล เขียนไว้ค่อนข้างรัดกุม ผู้ที่ทำข้อมูลส่วนบุคคลหลุดจะมีโทษทั้งทางแพ่ง (ถูกฟ้องเรียกค่าเสียหาย) และทางปกครอง (เสียค่าปรับให้รัฐ) อย่างไรก็ตาม เรื่องเหล่านี้เป็นเรื่องสมมติเท่านั้น เพราะประเทศไทยไม่เคยมีกฎหมายฉบับนี้ แม้ว่าจะมีกฎหมายฉบับร่างออกมาหลายฉบับ ก็ไม่มีประโยชน์อะไรอยู่ดี
กรณีข้อมูลหลุดของ TrueMove H (รวมถึงกรณีก่อนหน้านี้ของ AIS และกรณีย่อยอื่นๆ อีกมาก) เป็นตัวอย่างที่ชัดเจนว่า ประเทศไทยจำเป็นต้องมีกฎหมายคุ้มครองข้อมูลส่วนบุคคลอย่างเร่งด่วนที่สุด และขอเรียกร้องให้หน่วยงานด้านการออกกฎหมาย ไม่ว่าจะเป็น สนช. ในปัจจุบัน หรือ สภาผู้แทนราษฎรในสมัยหน้า (หากมีการเลือกตั้งเกิดขึ้น) ให้ความสำคัญกับเรื่องนี้เป็นอันดับต้นๆ