ลุ้นกม.ไซเบอร์-ดาต้าเข้าครม.ดีอีเมินแก้พ.ร.บ.ข้อมูลคงโทษจำคุก

ยังต้องลุ้น 2 ร่าง พ.ร.บ.สำคัญกระทรวงดีอี "ไซเบอร์ซีเคียวริตี้-คุ้มครองข้อมูล" เข้า สนช. ทันเส้นตาย 28 ธ.ค. ปิดรับ กม.ใหม่ ฟากผู้เชี่ยวชาญชี้ "คุ้มครองข้อมูล" เข้าขั้นวิกฤตเหตุดีอีเมินแก้ไข ยังคงอำนาจสำนักงานใหม่-เลขาธิการล้นฟ้า แถมฝ่าฝืนมีโทษจำคุก ขณะที่ "ไซเบอร์ฯ" ร่างฉบับล่าสุดดีขึ้น หลังดึงอำนาจศาลเข้าบาลานซ์
          นางอัจฉรินทร์ พัฒนพันธ์ชัย ปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) เปิดเผยกับ "ประชาชาติธุรกิจ" ถึงความคืบหน้าเกี่ยวกับการยกร่าง พ.ร.บ.ความมั่นคงปลอดภัยทางไซเบอร์ (ไซเบอร์ซีเคียวริตี้) และร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (ดาต้าไพรเวซี่) ว่า คาดว่าจะเข้าที่ประชุมคณะรัฐมนตรี  18 ธ.ค. นี้ หรือไม่ก็ 25 ธ.ค. ซึ่งกฎหมายไซเบอร์ฯได้มีการปรับปรุงตามข้อท้วงติงแล้ว
          ส่วนร่าง กม.คุ้มครองข้อมูลฯ ที่มองว่า ไม่ได้เข้มข้นเท่ากับกฎหมายของยุโรป GDPR เพราะต้องคำนึงถึงผลกระทบกับ SMEs ด้วย ดีอีต้องมองรอบด้าน
          ร่าง กม.ไซเบอร์ฉบับใหม่ดีขึ้น
          ด้านนายสุธี ทวิรัตน์ กรรมการสมาคมความมั่นคงปลอดภัยระบบสารสนเทศ (TISA) เปิดเผยกับ "ประชาชาติธุรกิจ" ว่า ร่างกฎหมายไซเบอร์ฯที่ดีอีตั้งคณะทำงานปรับปรุงใหม่ มีเนื้อหาที่ชัดเจนรัดกุมดีขึ้น โดยได้แก้ไขเรื่องอำนาจที่มากเกินไปของหน่วยงานใหม่ และเลขาธิการ รวมไปถึงการดึงอำนาจศาลเข้ามาถ่วงดุลเพิ่มขึ้น
          แต่ยังมีจุดอ่อนที่อาจเกิดปัญหาการตีความ และยังไม่ระบุขั้นตอนแนวปฏิบัติที่ชัดเจนของหน่วยงานที่เป็นโครงสร้างพื้นฐานสำคัญด้านสารสนเทศ (CII)
          "ในต่างประเทศจะมีกฎหมายหลายฉบับที่เข้ามาดูแล โดยแยกส่วนของข้อกำหนดในการเตรียมการ และแนวปฏิบัติในการรับมือเมื่อเกิดเหตุภัยคุกคาม แต่ในไทยรวมไว้หมดในฉบับเดียว แต่ก็ยังไม่ได้ละเอียดรัดกุมพอ ซึ่งหากประกาศใช้ก็อาจจะมีปัญหาบรรทัดฐานการตีความ"
          จับตาอย่าลักไก่
          สถานการณ์ขณะนี้จึงมุ่งไปที่การจับตาว่า ดีอีจะเสนอร่างกฎหมายนี้เข้าสู่กระบวนการพิจารณาของสภานิติบัญญัติแห่งชาติ (สนช.) ได้ทัน 28 ธ.ค. 2561 ซึ่งเป็นวันสุดท้ายที่ สนช. เปิดให้ยื่นร่างกฎหมายใหม่ได้ และจะยังเป็นร่างฉบับล่าสุดที่ได้มีการประชาพิจารณ์หรือไม่
          "ถ้า กม.ไซเบอร์ฯเข้า สนช.ไม่ทัน ทุกคนต้องช่วยกันจับตาต่อเนื่องว่า รัฐบาลต่อไปจะมีการลักไก่หยิบร่างฉบับเก่า ๆ ที่มีปัญหาเข้า สนช.แทนหรือไม่ และในช่วงที่ยังไม่มีกฎหมาย ใครจะเป็นผู้รักษาการดูแลงานในส่วนนี้แทน เพราะทุกวันนี้ ภัยไซเบอร์ถือเป็นเรื่องใหญ่ แต่ถ้ามีการมอบอำนาจให้หน่วยงานใดดูแลเป็นพิเศษไปเรื่อย ๆ โดยยังไม่มีกฎหมายมาเป็นกรอบก็น่ากังวล"
          "คุ้มครองข้อมูล" น่าห่วงสุด
          กรรมการ TISA กล่าวว่า ที่น่ากังวลมากที่สุดคือ ร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ที่กระทรวงดีอีไม่ได้แก้ไขตามที่มีการท้วงติงเลย ทำให้ยังมีปัญหาทั้งในแง่การให้อำนาจที่มากเกินไปของสำนักงานใหม่ ได้แก่ "สำนักงานคณะกรรมการการคุ้มครองข้อมูลส่วนบุคคล" และเลขาธิการ อาทิ ในมาตรา 88 เปิดให้ใช้ดุลพินิจกำหนดโทษทางปกครอง กับหน่วยงานราชการ เอกชน และประชาชนได้ ทั้งยังมีลักษณะผูกขาดรวบอำนาจทุกอย่างที่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ตั้งแต่การกำหนดนโยบายไปจนถึงบังคับใช้กฎหมาย ซึ่งเปิดช่องให้แสวงหาประโยชน์โดยมิชอบได้
          รวมถึงการไม่มีธรรมาภิบาลอย่าง ร้ายแรงและการขัดกันแห่งผลประโยชน์ในการกำหนดอำนาจหน้าที่ เช่น ในมาตรา 42 กำหนดให้เป็นหน่วยงานรัฐ แต่ไม่เป็นส่วนราชการ มาตรา 44 (4) ให้ถือหุ้นหรือร่วมทุนในนิติบุคคลอื่นได้ ทั้งค่าปรับทางปกครองถือเป็นรายได้ของสำนักงาน ไม่ต้องนำส่งเข้าเป็นรายได้แผ่นดิน ตามมาตรา 45 (5)
          แต่กลับไม่มีกลไกควบคุมตรวจสอบสำนักงานและเจ้าหน้าที่ให้ชัดเจน รวมถึง การกำหนดบทลงโทษหรือความรับผิดชอบ พนักงานเจ้าหน้าที่ก็ยังไม่ชัดเจน ที่สำคัญคือให้เวลาหน่วยงานรัฐและเอกชนเตรียมการเพียง 180 วันหลังประกาศใช้กฎหมาย ซึ่งถือว่าเป็นเวลาที่สั้นเกินไป ทั้งที่การบังคับใช้กฎหมายนี้ จะกระทบกับทุกคน และทุกหน่วยงาน
          บังคับใช้ป่วนแน่ มีโทษจำคุก
          สำหรับร่าง พ.ร.บ.คุ้มครองข้อมูลฯนี้ ถ้ามีการประกาศใช้จริงโดยไม่แก้ไข จะมีผลกระทบเป็นวงกว้าง เพราะในส่วนขององค์กรขนาดใหญ่ที่ต้องทำธุรกิจธุรกรรมกับพลเมืองสหภาพยุโรป การปฏิบัติตามกฎหมายนี้ก็ด้อยกว่ามาตรฐานกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (GDPR) ทำให้ไทยถือว่ายังอยู่ในกลุ่มธงแดงที่ไม่มีมาตรฐานเทียบเท่า เป็นภาระให้เอกชนต้องไปเจรจาทำธุรกิจตามมาตรฐานเอง ขณะที่ในส่วนของ SMEs ต้องแบกรับภาระที่มากเกินไปจากข้อกำหนดต่าง ๆ ของกฎหมายนี้
          "แม้แต่สหรัฐอเมริกาที่เดิมมีมาตรฐานคุ้มครองข้อมูลส่วนบุคคลแยกเป็นแต่ละกลุ่มธุรกิจ ตอนนี้ก็กำลังจะยกร่างกฎหมายที่บังคับใช้เป็นการทั่วไปตามแบบ GDPR ยิ่งย้ำชัดว่า GDPR เป็นเรื่องที่ไทยหลีกเลี่ยงไม่ได้ และไม่ได้เป็นประเทศที่มีอำนาจต่อรองใด ๆ สิ่งที่รัฐบาลควรทำคือ เร่งทบทวนกฎหมายให้รัดกุม ยกระดับมาตรฐานให้เทียบเท่า GDPR และกำหนดบทเฉพาะให้กลุ่ม SMEs และประชาชนที่ไม่ได้มีส่วนเกี่ยวข้องกับการทำธุรกิจกับพลเมืองยุโรป มีเวลาเตรียมตัวอย่างน้อย 2 ปีก่อนที่จะบังคับใช้กฎหมาย ที่สำคัญคือ ไม่ควรมีโทษจำคุก ในกฎหมายนี้"
          เนื่องจากร่าง พ.ร.บ.ฉบับล่าสุด กำหนดโทษทั้งทางแพ่ง อาญา และทางปกครอง สำหรับผู้ที่ฝ่าฝืน โดยเจ้าของข้อมูลสามารถฟ้องเรียกค่าสินไหมทดแทนจากผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคล ที่ฝ่าฝืนหรือไม่ปฏิบัติตาม พ.ร.บ.นี้ ได้ไม่เกิน 2 เท่าของความเสียหายจริง ส่วนกรณีที่ทำให้เสียชื่อเสียงหรือนำข้อมูลส่วนบุคคลไปเปิดเผยแก่ผู้อื่น มีโทษจำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 500,000 บาท หรือทั้งจำทั้งปรับ และหากนำข้อมูลส่วนบุคคลไปแสวงประโยชน์โดยมิชอบ จะมีโทษจำคุกไม่เกิน 1 ปี ปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ ขณะที่สำนักงานใหม่มีอำนาจกำหนดโทษทางปกครอง ในรูปแบบค่าปรับระหว่าง 1-5 ล้านบาท
          "ปัญหาหลักคือ ถ้ารัฐบาลมุ่งผลักดันออกมาก่อนทั้งที่ยังไม่ได้มองอย่าง รอบด้าน ก็จะเกิดผลกระทบตามมาเยอะ และไม่ใช่ว่าจะมีการแก้ไขกฎหมายใหม่ได้ง่าย ๆ โดยเฉพาะในยุครัฐบาลหลังเลือกตั้งแล้ว ที่สำคัญคือต้องถามว่า หน่วยงานรัฐเองทั้งหมดพร้อมแล้วหรือยัง เพราะที่ผ่านมาเป็นจุดที่มีปัญหาในการละเมิดสิทธิ์ในข้อมูลส่วนบุคคลมากที่สุด ทั้งการเก็บ-ใช้-เปิดเผย ที่ต้องได้รับการยินยอม การรักษา-ทำลาย ที่ต้องมี มาตรฐาน"
          แนะทบทวนผลกระทบรอบด้าน
          ด้านแหล่งข่าวในวงการโทรคมนาคมเปิดเผยกับ "ประชาชาติธุรกิจ" ว่า ร่าง พ.ร.บ.ไซเบอร์ฯล่าสุดทำให้คลายความกังวลไปได้เยอะ มีการปรับปรุงแก้ไขดีขึ้นพอสมควร แต่ในส่วนของกฎหมายคุ้มครองส่วนบุคคล หากประกาศใช้จริงตามร่างฉบับล่าสุดจะมีผลกระทบกับธุรกิจที่หนักมาก ทั้งบทลงโทษที่รุนแรง และเวลาเตรียมตัวที่มีแค่ 180 วัน
          "รัฐบาลควรนำร่างกฎหมายคุ้มครองข้อมูลส่วนบุคคลไปทบทวนให้รอบด้านมากกว่านี้ รวมถึงให้ความสำคัญมาก เท่า ๆ กับที่พยายามผลักดันร่าง พ.ร.บ. ไซเบอร์ฯ เพราะเป็นกฎหมายที่กระทบกับทุกคน ไม่ใช่แค่ภาคธุรกิจ แต่รวมถึงประชาชนทุกคน"