กม.ไซเบอร์-ดาต้าเข้าสนช. ดีอีเมินแก้พ.ร.บ.ข้อมูลคงโทษจำคุก
|
|||
แหล่งที่มา : www.prachachat.net | วันที่โพสต์ : 20 ธ.ค. 2561 | ||
กม.ไซเบอร์-ดาต้าเข้าสนช. ดีอีเมินแก้พ.ร.บ.ข้อมูลคงโทษจำคุก | |||
ยังต้องลุ้น 2 ร่าง พ.ร.บ.สำคัญกระทรวงดีอี “ไซเบอร์ซีเคียวริตี้-คุ้มครองข้อมูล” เข้า สนช. ทันเส้นตาย 28 ธ.ค. ปิดรับ กม.ใหม่ ฟากผู้เชี่ยวชาญชี้ “คุ้มครองข้อมูล” เข้าขั้นวิกฤตเหตุดีอีเมินแก้ไข ยังคงอำนาจสำนักงานใหม่-เลขาธิการล้นฟ้า แถมฝ่าฝืนมีโทษจำคุก ขณะที่ “ไซเบอร์ฯ” ร่างฉบับล่าสุดดีขึ้น หลังดึงอำนาจศาลเข้าบาลานซ์
ส่วนร่าง กม.คุ้มครองข้อมูลฯ ที่มองว่า ไม่ได้เข้มข้นเท่ากับกฎหมายของยุโรป GDPR เพราะต้องคำนึงถึงผลกระทบกับ SMEs ด้วย ดีอีต้องมองรอบด้าน ร่าง กม.ไซเบอร์ฉบับใหม่ดีขึ้น ด้านนายสุธี ทวิรัตน์ กรรมการสมาคมความมั่นคงปลอดภัยระบบสารสนเทศ (TISA) เปิดเผยกับ “ประชาชาติธุรกิจ” ว่า ร่างกฎหมายไซเบอร์ฯที่ดีอีตั้งคณะทำงานปรับปรุงใหม่ มีเนื้อหาที่ชัดเจนรัดกุมดีขึ้น โดยได้แก้ไขเรื่องอำนาจที่มากเกินไปของหน่วยงานใหม่ และเลขาธิการ รวมไปถึงการดึงอำนาจศาลเข้ามาถ่วงดุลเพิ่มขึ้น แต่ยังมีจุดอ่อนที่อาจเกิดปัญหาการตีความ และยังไม่ระบุขั้นตอนแนวปฏิบัติที่ชัดเจนของหน่วยงานที่เป็นโครงสร้างพื้นฐานสำคัญด้านสารสนเทศ (CII) “ในต่างประเทศจะมีกฎหมายหลายฉบับที่เข้ามาดูแล โดยแยกส่วนของข้อกำหนดในการเตรียมการ และแนวปฏิบัติในการรับมือเมื่อเกิดเหตุภัยคุกคาม แต่ในไทยรวมไว้หมดในฉบับเดียว แต่ก็ยังไม่ได้ละเอียดรัดกุมพอ ซึ่งหากประกาศใช้ก็อาจจะมีปัญหาบรรทัดฐานการตีความ” จับตาอย่าลักไก่ สถานการณ์ขณะนี้จึงมุ่งไปที่การจับตาว่า ดีอีจะเสนอร่างกฎหมายนี้เข้าสู่กระบวนการพิจารณาของสภานิติบัญญัติแห่งชาติ (สนช.) ได้ทัน 28 ธ.ค. 2561 ซึ่งเป็นวันสุดท้ายที่ สนช. เปิดให้ยื่นร่างกฎหมายใหม่ได้ และจะยังเป็นร่างฉบับล่าสุดที่ได้มีการประชาพิจารณ์หรือไม่ “ถ้า กม.ไซเบอร์ฯเข้า สนช.ไม่ทัน ทุกคนต้องช่วยกันจับตาต่อเนื่องว่า รัฐบาลต่อไปจะมีการลักไก่หยิบร่างฉบับเก่า ๆ ที่มีปัญหาเข้า สนช.แทนหรือไม่ และในช่วงที่ยังไม่มีกฎหมาย ใครจะเป็นผู้รักษาการดูแลงานในส่วนนี้แทน เพราะทุกวันนี้ภัยไซเบอร์ถือเป็นเรื่องใหญ่ แต่ถ้ามีการมอบอำนาจให้หน่วยงานใดดูแลเป็นพิเศษไปเรื่อย ๆ โดยยังไม่มีกฎหมายมาเป็นกรอบก็น่ากังวล” “คุ้มครองข้อมูล” น่าห่วงสุด กรรมการ TISA กล่าวว่า ที่น่ากังวลมากที่สุดคือ ร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ที่กระทรวงดีอีไม่ได้แก้ไขตามที่มีการท้วงติงเลย ทำให้ยังมีปัญหาทั้งในแง่การให้อำนาจที่มากเกินไปของสำนักงานใหม่ ได้แก่ “สำนักงานคณะกรรมการการคุ้มครองข้อมูลส่วนบุคคล” และเลขาธิการ อาทิ ในมาตรา 88 เปิดให้ใช้ดุลพินิจกำหนดโทษทางปกครอง กับหน่วยงานราชการ เอกชน และประชาชนได้ ทั้งยังมีลักษณะผูกขาดรวบอำนาจทุกอย่างที่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ตั้งแต่การกำหนดนโยบายไปจนถึงบังคับใช้กฎหมาย ซึ่งเปิดช่องให้แสวงหาประโยชน์โดยมิชอบได้ รวมถึงการไม่มีธรรมาภิบาลอย่างร้ายแรงและการขัดกันแห่งผลประโยชน์ในการกำหนดอำนาจหน้าที่ เช่น ในมาตรา 42 กำหนดให้เป็นหน่วยงานรัฐ แต่ไม่เป็นส่วนราชการ มาตรา 44 (4) ให้ถือหุ้นหรือร่วมทุนในนิติบุคคลอื่นได้ ทั้งค่าปรับทางปกครองถือเป็นรายได้ของสำนักงาน ไม่ต้องนำส่งเข้าเป็นรายได้แผ่นดิน ตามมาตรา 45 (5) แต่กลับไม่มีกลไกควบคุมตรวจสอบสำนักงานและเจ้าหน้าที่ให้ชัดเจน รวมถึงการกำหนดบทลงโทษหรือความรับผิดชอบพนักงานเจ้าหน้าที่ก็ยังไม่ชัดเจน ที่สำคัญคือให้เวลาหน่วยงานรัฐและเอกชนเตรียมการเพียง 180 วันหลังประกาศใช้กฎหมาย ซึ่งถือว่าเป็นเวลาที่สั้นเกินไป ทั้งที่การบังคับใช้กฎหมายนี้จะกระทบกับทุกคน และทุกหน่วยงาน บังคับใช้ป่วนแน่ มีโทษจำคุก สำหรับร่าง พ.ร.บ.คุ้มครองข้อมูลฯนี้ ถ้ามีการประกาศใช้จริงโดยไม่แก้ไข จะมีผลกระทบเป็นวงกว้าง เพราะในส่วนขององค์กรขนาดใหญ่ที่ต้องทำธุรกิจธุรกรรมกับพลเมืองสหภาพยุโรป การปฏิบัติตามกฎหมายนี้ก็ด้อยกว่ามาตรฐานกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (GDPR) ทำให้ไทยถือว่ายังอยู่ในกลุ่มธงแดงที่ไม่มีมาตรฐานเทียบเท่า เป็นภาระให้เอกชนต้องไปเจรจาทำธุรกิจตามมาตรฐานเอง ขณะที่ในส่วนของ SMEs ต้องแบกรับภาระที่มากเกินไปจากข้อกำหนดต่าง ๆ ของกฎหมายนี้ “แม้แต่สหรัฐอเมริกาที่เดิมมีมาตรฐานคุ้มครองข้อมูลส่วนบุคคลแยกเป็นแต่ละกลุ่มธุรกิจ ตอนนี้ก็กำลังจะยกร่างกฎหมายที่บังคับใช้เป็นการทั่วไปตามแบบ GDPR ยิ่งย้ำชัดว่า GDPR เป็นเรื่องที่ไทยหลีกเลี่ยงไม่ได้ และไม่ได้เป็นประเทศที่มีอำนาจต่อรองใด ๆ สิ่งที่รัฐบาลควรทำคือ เร่งทบทวนกฎหมายให้รัดกุม ยกระดับมาตรฐานให้เทียบเท่า GDPR และกำหนดบทเฉพาะให้กลุ่ม SMEs และประชาชนที่ไม่ได้มีส่วนเกี่ยวข้องกับการทำธุรกิจกับพลเมืองยุโรป มีเวลาเตรียมตัวอย่างน้อย 2 ปีก่อนที่จะบังคับใช้กฎหมาย ที่สำคัญคือ ไม่ควรมีโทษจำคุกในกฎหมายนี้” เนื่องจากร่าง พ.ร.บ.ฉบับล่าสุด กำหนดโทษทั้งทางแพ่ง อาญา และทางปกครอง สำหรับผู้ที่ฝ่าฝืน โดยเจ้าของข้อมูลสามารถฟ้องเรียกค่าสินไหมทดแทนจากผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคล ที่ฝ่าฝืนหรือไม่ปฏิบัติตาม พ.ร.บ.นี้ ได้ไม่เกิน 2 เท่าของความเสียหายจริง ส่วนกรณีที่ทำให้เสียชื่อเสียงหรือนำข้อมูลส่วนบุคคลไปเปิดเผยแก่ผู้อื่น มีโทษจำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 500,000 บาท หรือทั้งจำทั้งปรับ และหากนำข้อมูลส่วนบุคคลไปแสวงประโยชน์โดยมิชอบ จะมีโทษจำคุกไม่เกิน 1 ปี ปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ ขณะที่สำนักงานใหม่มีอำนาจกำหนดโทษทางปกครอง ในรูปแบบค่าปรับระหว่าง 1-5 ล้านบาท “ปัญหาหลักคือ ถ้ารัฐบาลมุ่งผลักดันออกมาก่อนทั้งที่ยังไม่ได้มองอย่างรอบด้าน ก็จะเกิดผลกระทบตามมาเยอะ และไม่ใช่ว่าจะมีการแก้ไขกฎหมายใหม่ได้ง่าย ๆ โดยเฉพาะในยุครัฐบาลหลังเลือกตั้งแล้ว ที่สำคัญคือต้องถามว่า หน่วยงานรัฐเองทั้งหมดพร้อมแล้วหรือยัง เพราะที่ผ่านมาเป็นจุดที่มีปัญหาในการละเมิดสิทธิ์ในข้อมูลส่วนบุคคลมากที่สุด ทั้งการเก็บ-ใช้-เปิดเผย ที่ต้องได้รับการยินยอม การรักษา-ทำลาย ที่ต้องมีมาตรฐาน” แนะทบทวนผลกระทบรอบด้าน ด้านแหล่งข่าวในวงการโทรคมนาคมเปิดเผยกับ “ประชาชาติธุรกิจ” ว่า ร่าง พ.ร.บ.ไซเบอร์ฯล่าสุดทำให้คลายความกังวลไปได้เยอะ มีการปรับปรุงแก้ไขดีขึ้นพอสมควร แต่ในส่วนของกฎหมายคุ้มครองส่วนบุคคล หากประกาศใช้จริงตามร่างฉบับล่าสุดจะมีผลกระทบกับธุรกิจที่หนักมาก ทั้งบทลงโทษที่รุนแรง และเวลาเตรียมตัวที่มีแค่ 180 วัน “รัฐบาลควรนำร่างกฎหมายคุ้มครองข้อมูลส่วนบุคคลไปทบทวนให้รอบด้านมากกว่านี้ รวมถึงให้ความสำคัญมากเท่า ๆ กับที่พยายามผลักดันร่าง พ.ร.บ.ไซเบอร์ฯ เพราะเป็นกฎหมายที่กระทบกับทุกคน ไม่ใช่แค่ภาคธุรกิจ แต่รวมถึงประชาชนทุกคน” |