- Details
- Category: กสทช.
- Published: Sunday, 30 April 2023 20:56
- Hits: 1552
สำนักงาน กสทช. จัดสัมมนาเชิงวิชาการ ภายใต้หัวข้อ ‘นโยบายและแนวปฏิบัติด้านการคุ้มครองข้อมูลส่วนบุคคลและความมั่นคงปลอดภัยไซเบอร์กับบทบาทของสำนักงาน กสทช. สู่การเป็น Smart Regulator’ เตรียมพร้อมยกระดับปกป้องโครงสร้างพื้นฐานทางสารสนเทศและโทรคมนาคมด้านความมั่นคงปลอดภัยไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคล
เมื่อวันที่ 28 เมษายน 2566 สำนักงาน กสทช. จัดงานสัมมนาเชิงวิชาการในหัวข้อ นโยบายและแนวปฏิบัติด้านการคุ้มครองข้อมูลส่วนบุคคลและความมั่นคงปลอดภัยไซเบอร์กับบทบาทของสำนักงาน กสทช. สู่การเป็น Smart Regulator โดยเป็นเวทีในการแลกเปลี่ยนความรู้ในประเด็นต่างๆ ที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลและการรักษาความมั่นคงปลอดภัยไซเบอร์ และเป็นการพัฒนาความร่วมมือเชิงนโยบายระหว่างหน่วยงานกำกับดูแลในอนาคต โดยเป็นการประกาศจุดยืนในการสร้างความเข้มแข็งของอุตสาหกรรมเทคโนโลยีสารสนเทศและโทรคมนาคม ในการสร้างความมั่นคงปลอดภัยไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคล ให้สอดคล้องกับพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 และพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
ภายในงานได้รับเกียรติจากศาสตราจารย์คลินิก นายแพทย์ สรณ บุญใบชัยพฤกษ์ ประธาน กสทช. บรรยายในหัวข้อ Panel Discussion: PDPA v. Sectoral Regulation Privacy Policy in Telecommunication Sector โดยกล่าวถึงมุมมองเกี่ยวกับบทบาทหน้าที่ของสำนักงาน กสทช. ที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลในอุตสาหกรรมโทรคมนาคมของประเทศ โดยในอุตสาหกรรมโทรคมนาคมนั้น ข้อมูลส่วนบุคคลจะมีความสำคัญในแง่ของปริมาณการใช้งาน เนื่องจากอุตสาหกรรมนี้มีผู้ใช้งานเป็นจำนวนมากจึงทำให้มีข้อมูลส่วนบุคคลที่มีการเก็บรวบรวมมีจำนวนมากเช่นกัน ดังนั้นจึงมีความเสี่ยงที่จะเกิดเหตุการณ์รั่วไหลของข้อมูลส่วนบุคคลได้สูงกว่าอุตสาหกรรมอื่น
มุมของสำนักงาน กสทช. ในฐานะผู้กำกับดูแล เห็นว่าต่อไปควรต้องมีกิจกรรมในการที่ สำนักงาน กสทช. จะเข้าไปสำรวจตรวจสอบการดำเนินงานของผู้ประกอบการในอุตสาหกรรมนี้ เพื่อพิจารณาว่าผู้ประกอบการแต่ละรายดำเนินการสอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลมากน้อยเพียงไร มีมาตรการทาง Security ในการดูแลและป้องกันข้อมูลส่วนบุคคล ตามที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้กำหนดไว้หรือไม่ อย่างไรก็ตาม การที่ผู้ประกอบการจะสามารถป้องกันการรั่วไหลของข้อมูลส่วนบุคคลได้ จะต้องเกิดมาจากการวิเคราะห์ประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล (Data Protection Impact Assessment: DPIA) ก่อน ซึ่งเป็น Best practices UK ICO, The European Data Protection Board (EDPB) มีการกำกับให้ผู้ประกอบการ ต้องจัดทำ DPIA ก่อนที่จะประมวลผลข้อมูลส่วนบุคคลที่มีความเสี่ยงสูง หากพบว่าเกิดกรณีข้อมูลส่วนบุคคลมีการรั่วไหล อย่างน้อยก็มีหลักฐานแสดงความรับผิดชอบในการดำเนินกิจกรรมนั้นอย่างเคร่งครัด
DPIA จึงควรเป็นส่วนหนึ่งของมาตรการในเชิงป้องกัน (Preventive Measures) ที่ผู้รับใบอนุญาตควรดำเนินการอย่างเป็นระบบและสอดคล้องกับมาตรฐานสากล ในอนาคต กสทช. โดยสำนักงาน กสทช. อาจเข้ามามีบทบาทในเรื่องการให้ความเห็นในการจัดทำ DPIA ของผู้ประกอบการในกรณีของกิจกรรมที่อาจมีความเสี่ยงสูง (high risks processing) โดยในกรณีที่ผู้ประกอบการมีการจัดทำ DPIA อย่างถูกต้องครบถ้วนและได้รับความเห็นชอบจาก กสทช. หากต่อมามีเหตุการกระทำความผิดที่เกี่ยวเนื่องกับกิจกรรมตาม DPIA การจัดทำ DPIA ดังกล่าวควรถือเป็นหลักฐานเชิงประจักษ์ที่แสดงให้เห็นถึงระดับความรับผิดชอบและมาตรฐานของผู้ประกอบการในฐานะผู้ควบคุมข้อมูลส่วนบุคคลตาม ข้อ 8 (9) และการดำเนินการตามแนวปฏิบัติทางธุรกิจที่เหมาะสมตามข้อ 8(10) ของประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเรื่อง หลักเกณฑ์การพิจารณาออกคำสั่งลงโทษปรับทางปกครองของคณะกรรมการผู้เชี่ยวชาญ พ.ศ. 2565 อันสามารถนำมาประกอบการพิจารณาเพื่อการลดโทษปรับทางปกครองหรือมาตรการบังคับทางปกครองได้
ด้าน พลตำรวจเอก ดร.ณัฐธร เพราะสุนทร กรรมการ กสทช. ด้านกฎหมาย ได้ปาฐกถาพิเศษในหัวข้อ Security Laws in Telecommunication Sector ว่า ด้วยช่วงเวลาที่ผ่านมามีกฎหมายที่เกี่ยวข้องกับเทคโนโลยีโทรคมนาคมและเกี่ยวพันกับงานของ กสทช. โดยตรงเกิดขึ้นหลายฉบับ เนื่องจากความก้าวหน้าทางเทคโนโลยีที่เป็นไปอย่างรวดเร็ว จึงมีการบัญญัติกฎหมายขึ้นมา เพื่อให้สอดคล้องและทันต่อสถานการณ์ที่เปลี่ยนแปลงดังกล่าว เช่น พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 (Cyber Security) และพระราชกำหนดมาตรการป้องกันและปราบปรามอาชญากรรมทางเทคโนโลยี พ.ศ. 2566 กฎหมายทั้ง 3 ฉบับ มีความเกี่ยวพันและเชื่อมโยงกัน โดยเริ่มจากการคุ้มครองข้อมูลส่วนบุคคลที่กำหนดให้หน่วยงานมีหน้าที่จัดเก็บและรับผิดชอบ บริหารจัดการข้อมูลส่วนบุคคลตลอดวงจรชีวิตของข้อมูลที่จัดเก็บนั้น ไม่ให้รั่วไหลไปยังบุคคลอื่นที่ไม่เกี่ยวข้อง ส่วนพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 เน้นการป้องกันระบบคอมพิวเตอร์และโครงข่ายไอที และโครงสร้างพื้นฐานสารสนเทศให้มีความมั่นคงปลอดภัยและมีมาตรการรองรับเยียวยาได้ทันท่วงทีหากเกิดปัญหา ถึงกระนั้นหากมีข้อมูลรั่วไหลทั้งความตั้งใจและไม่ตั้งใจไปยังบุคคลภายนอกและตกอยู่ในมือมิจฉาชีพก็ได้มีพระราชกำหนดมาตรการป้องกันและปราบปรามอาชญากรรมทางเทคโนโลยี พ.ศ. 2566 ซึ่งมีผลบังคับใช้เมื่อวันที่ 17 มีนาคม 2566 ที่ผ่านมาเพื่อแก้ไขปัญหาการใช้ข้อมูลส่วนบุคคลไปในทางมิชอบ เช่น แก๊งค์คอลเซ็นเตอร์ที่เป็นปัญหาสำคัญของสังคมไทยในปัจจุบัน
เพื่อให้การบังคับใช้กฎหมายที่เกี่ยวข้องมีประสิทธิภาพสูงสุด กสทช. จึงได้แต่งตั้งคณะอนุกรรมการบูรณาการการบังคับใช้กฎหมายความผิดทางเทคโนโลยีโทรคมนาคมและความมั่นคงของรัฐ โดยมี พล.ต.อ.ดร.ณัฐธร เพราะสุนทร เป็นประธาน และคณะประกอบด้วยผู้แทนหน่วยงานภาครัฐ สถาบันการเงิน และผู้ประกอบกิจการโทรคมนาคม เพื่อร่วมกำหนดแนวทางและประสานความร่วมมือการเชื่อมโยงข้อมูลระหว่างหน่วยงานในการระงับยับยั้งบัญชีผู้ใช้งานโทรศัพท์ สัญญาณอินเทอร์เน็ตและบริการโทรคมนาคมอื่นๆ ที่มีพฤติกรรมเข้าข่ายการกระทำความผิดหรือมีเหตุอันควรสงสัยว่ามีการกระทำความผิด ซึ่งรวมไปถึงการสร้างแนวทางการรับรู้และการประชาสัมพันธ์ถึงภัยทางออนไลน์ในรูปแบบต่างๆ เพื่อให้ประชาชนตระหนักรู้และตื่นตัวซึ่งจะได้ไม่ตกเป็นเหยื่อของมิจฉาชีพ
นอกจากนี้ นายเธียรชัย ณ นคร ประธานกรรมการคุ้มครองข้อมูลส่วนบุคคล ได้บรรยายในหัวข้อ ทิศทางการบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ในกิจการรายสาขา ว่า เดิมประเทศไทยไม่มีกฎหมายคุ้มครองข้อมูลส่วนบุคคลเป็นการเฉพาะ สำหรับบังคับใช้กับทั้งภาครัฐและเอกชน แม้ในบางภาคส่วนได้มีการกำหนดหลักเกณฑ์เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลไว้บ้าง อาทิ พระราชบัญญัติข้อมูลข่าวสารของราชการ พ.ศ. 2540 โดยให้มีการเก็บ ประมวลผล เปิดเผย หรือถ่ายโอนข้อมูลโดยมิชอบ แต่เป็นหลักการของการคุ้มครองข้อมูลส่วนบุคคลบางส่วน ทั้งนี้พระราชบัญญัติดังกล่าวยังมีข้อจำกัดคือ สามารถบังคับใช้กับหน่วยงานของรัฐได้เท่านั้น
ต่อมาภายหลังเมื่อมีการประกาศใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ซึ่งสามารถบังคับใช้ได้ทั้งหน่วยงานภาครัฐและเอกชน นอกจากนี้ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ยังมีความเป็นกลาง กล่าวคือ ไม่ขัดต่อหลักกฎหมายอาญาของประเทศไทยที่บทกำหนดโทษต้องระบุให้นำมาใช้บังคับอย่างชัดเจน และในกรณีที่กระทำผิดต่อกฎหมายสองฉบับขึ้นไป ตามหลักกฎหมายอาญาแล้วถือว่าเป็นการกระทำกรรมเดียวแต่ผิดกฎหมายหลายบท ให้ใช้บทหนักบังคับแก่ความผิดนั้น จึงทำให้ไม่เป็นปัญหาในทางกฎหมายแต่อย่างใด ลักษณะของความเป็นกลางดังกล่าวได้ถูกกำหนดไว้ใน มาตรา 3 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) “ในกรณีที่มีกฎหมายว่าด้วยการใดบัญญัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลในลักษณะใด กิจการใด หรือหน่วยงานใดไว้โดยเฉพาะแล้ว ให้บังคับตามบทบัญญัติแห่งกฎหมายว่าด้วยการนั้น...” เพื่อให้ พ.ร.บ. นี้ มีหลักการขอความยินยอม และหลักการเก็บรวบรวม ใช้ หรือเปิดเผย รวมทั้งการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลที่เป็นมาตรฐานสากลเป็นกฎหมายกลางอย่างแท้จริง รวมทั้งได้รับการยอมรับจากนานาประเทศ
A41032