วันอาทิตย์ที่ 27 พฤษภาคม พ.ศ. 2561
บริการข่าวไทยรัฐ

ข่าว

วิดีโอ

เศรษฐกิจดิจิทัล (5) ว่าด้วย 'ข้อมูล'

โดย มาร์ค Blognone

หลังจากเขียนถึง “โครงสร้างพื้นฐาน” และ “ฮาร์ดแวร์/ซอฟต์แวร์” ไปแล้ว ก็ขอเข้าประเด็นเรื่อง “ข้อมูล” (data) ซึ่งเป็นสิ่งที่สำคัญที่สุดของอุตสาหกรรมดิจิทัลเลยก็ว่าได้ครับ

เมื่อพูดถึง “ข้อมูล” หรือ “สารสนเทศ” เอากันจริงๆ แล้วมันไม่เกี่ยวกับไอทีมากนัก เราสามารถพูดถึงข้อมูลได้แม้ในยุคที่เอกสารทุกอย่างเป็นกระดาษทั้งหมด ใช้หลักการบริหารจัดการแบบเดียวกัน เพียงแต่ไอทีเข้ามาช่วยขยายประสิทธิภาพของการจัดการข้อมูลให้ดีขึ้นจากระบบกระดาษหลายเท่า แค่นั้นเอง

เมื่อพูดถึงหลักสำคัญของนโยบายเรื่อง “ข้อมูล” มีอยู่แค่สองข้อครับ

• ข้อแรก รักษาความลับ “ข้อมูลของประชาชน” (personal data) ให้มากที่สุดเท่าที่จะทำได้

• ข้อสอง เปิดเผย “ข้อมูลของภาครัฐ” (government data) ให้มากที่สุดเท่าที่จะทำได้

จะเห็นว่าแนวทางการดูแลข้อมูลสองแบบนั้นต่างกันชนิดฟ้ากับเหว ดังนั้นจึงต้องมีกลไกการกำกับดูแลที่แตกต่างกัน 2 ประการมาทำงานร่วมกัน

แนวคิดเรื่องข้อมูลของประชาชนหรือภาคเอกชน ถือหลักการเรื่องความเป็นส่วนตัว (privacy) ว่าความเป็นส่วนตัวของบุคคลจะต้องได้รับการคุ้มครองเสมอ บุคคลภายนอกไม่สามารถเข้าถึงข้อมูลของคนอื่นได้จนกว่าจะได้รับการยินยอมจากบุคคลนั้นๆ หรือไม่ก็บุคคลนั้นๆ ตั้งใจเปิดเผยข้อมูลเอง

ในกรณีที่บุคคลนั้นเปิดเผยข้อมูลให้บุคคลอื่นที่ไม่ใช่สาธารณะ (เช่น เรากรอกข้อมูลส่วนตัว วันเกิด เลขที่บัตรประชาชน ให้กับบริษัทโทรศัพท์) ผู้ที่ได้ข้อมูลนั้นไปก็ไม่สามารถนำข้อมูลไปเผยแพร่ต่อได้ (เช่น บริษัทโทรศัพท์นำข้อมูลของเราไปขายให้บริษัทบัตรเครดิต) มิฉะนั้นจะมีความผิด

ตรงนี้เป็นหน้าที่ของกฎหมายคุ้มครองข้อมูลส่วนบุคคล ที่ในต่างประเทศมักใช้ชื่อว่า Privacy Act มาคอยกำหนดมาตรการและบทลงโทษกับผู้ที่เผยแพร่ข้อมูลของบุคคลอื่นโดยไม่ได้รับอนุญาต

บ้านเราพยายามออก “พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล” กันมาเกือบยี่สิบปีแต่ไม่ประสบความสำเร็จด้วยเหตุผลหลายประการ ส่งผลให้เกิดการละเมิดสิทธิส่วนบุคคลอย่างกว้างขวาง ทั้งที่ตั้งใจ (ภาคเอกชนซื้อข้อมูลไปใช้ในการโฆษณา) และไม่ตั้งใจ (หน่วยงานรัฐชอบอัพโหลดไฟล์ข้อมูลส่วนบุคคลของประชาชนขึ้นเว็บ โดยไม่คำนึงถึงประเด็นนี้)

ในชุดกฎหมายดิจิทัล 10 ฉบับ มีร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลถูกเสนอเข้ามาด้วย ก็หวังว่าร่างพระราชบัญญัติฉบับนี้จะสามารถผ่านเป็นกฎหมายได้โดยเร็ว อย่างไรก็ตาม ในร่างฉบับที่ผ่านคณะรัฐมนตรีก็มีปัญหาหลายอย่างที่จะเขียนถึงต่อไปครับ

ต่อมาเป็นเรื่อง “ข้อมูลภาครัฐ” ที่ใช้แนวคิดว่าเป็นข้อมูลสาธารณะ มาจากการทำงานของหน่วยงานรัฐที่กินเงินภาษีประชาชน ดังนั้นต้องเปิดเผย โปร่งใส ตรวจสอบได้เสมอ

แนวคิดสายนี้มองว่ารัฐต้องเปิดเผยข้อมูลทุกอย่างเท่าที่จะทำได้ ยกเว้นเฉพาะบางกรณีที่เปิดเผยไม่ได้จริงๆ เช่น เป็นข้อมูลเกี่ยวกับความมั่นคงของชาติ แต่ถ้าเป็นข้อมูลการดำเนินการทั่วไป เช่น การจัดซื้อจัดจ้าง แผนงบประมาณ ฯลฯ ข้อมูลเหล่านี้ต้องเปิดเผยให้มากที่สุดเพื่อให้ประชาชนตรวจสอบ

แน่นอนว่าหน่วยงานรัฐย่อมไม่ค่อยอยากเปิดเผยข้อมูลของตัวเองด้วยเหตุผลหลายๆ อย่าง เช่น กลัวการตรวจสอบ หรือมองว่าเป็นภาระ ดังนั้นในต่างประเทศจึงมีกฎหมายที่เรียกว่า Freedom of Information Act (แปลตรงตัวว่า เสรีภาพในการเข้าถึงข้อมูลของรัฐ) มาบังคับให้หน่วยงานของรัฐต้องเปิดเผยข้อมูลเสมอ หรือถ้าประชาชนต้องการดูข้อมูลบางจุด หน่วยงานรัฐต้องยอมส่งให้ มิฉะนั้นจะมีความผิด

ในรอบหลายปีให้หลัง แนวคิดเรื่อง Freedom of Information Act ถูกพัฒนาต่อมาเป็นคำว่า Open Government และ Open Data ซึ่งหมายถึงการผลักดันในหน่วยงานภาครัฐเปิดเผยข้อมูลและโปร่งใสมากยิ่งขึ้น รวมถึงส่งเสริมให้ภาคเอกชนและภาคประชาชนนำข้อมูลต่างๆ ของภาครัฐไปสร้างประโยชน์ต่อยอดด้วย

ประเทศไทยมีกฎหมายนี้แล้วคือ พระราชบัญญัติข้อมูลข่าวสารของราชการ พ.ศ.2540 โดยมีสำนักงานคณะกรรมการข้อมูลข่าวสารของราชการ (สขร.) สังกัดสำนักนายกรัฐมนตรี เป็นหน่วยงานที่ดูแลเรื่องนี้

ถ้าเราเข้าเว็บไซต์ของ สขร. (www.oic.go.th) จะเห็นสโลแกนของหน่วยงานชัดเจนว่า “เปิดเผยเป็นหลัก ปกปิดเป็นข้อยกเว้น” ซึ่งสรุปใจความของนโยบายด้านข้อมูลข่าวสารได้กระชับและครบถ้วนแล้ว

โดยสรุปแล้ว ประเทศไทยมีกลไกด้านข้อมูลภาครัฐมานานแล้ว ในขณะที่กลไกด้านการคุ้มครองข้อมูลส่วนบุคคลยังไม่เกิด และยังเป็นปัญหาอยู่

นอกจากประเด็นด้านกฎหมายแล้ว ในต่างประเทศยังมีกลไกการกำกับดูแลเรื่องข้อมูลทั้งสองส่วนนี้ โดยมักตั้ง “กรรมการ” หรือ “ผู้ตรวจการ” ด้านข้อมูลที่เป็นอิสระต่อรัฐบาล (เพื่อไม่ให้รัฐบาลเข้ามาแทรกแซง) โดยอยู่ภายใต้การกำกับดูแลของรัฐสภาในฐานะองค์กรตัวแทนภาคประชาชนที่มาจากการเลือกตั้ง

ส่วนวิธีการตั้งผู้ตรวจการก็ขึ้นกับแนวทางของแต่ละประเทศครับ อย่างในแคนาดาแยกตำแหน่ง Information Commissioner และ Privacy Commissioner ออกจากกัน ในขณะที่โมเดลของอังกฤษหรือเยอรมนี รวมสองบทบาทนี้ในตำแหน่งเดียวกันคือ Information Commissioner (แต่ระดับสำนักงานก็ย่อมต้องแยก 2 ฝ่ายทำงานแต่ละอย่าง)

ในกรณีของประเทศไทย ผมว่าจะรวมหรือแยกตำแหน่งก็คงไม่ใช่ประเด็น ถ้ามองว่ามี สขร. อยู่แล้ว ไม่อยากตั้งหน่วยงานใหม่ให้ซ้ำซ้อน จะใช้วิธีอัพเกรด สขร. ให้ทำงานคุ้มครองข้อมูลส่วนบุคคลของประชาชนด้วยก็ไม่มีปัญหา

แต่ในร่าง พ.ร.บ.ข้อมูลส่วนบุคคล ฉบับล่าสุดที่เพิ่งผ่านมติคณะรัฐมนตรีไม่ได้คิดแบบนั้นสิครับ เพราะเสนอให้ตั้ง “คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล” แยกออกมาต่างหาก แต่กลับแชร์สำนักงาน แชร์คนทำงานร่วมกับ “คณะกรรมการความมั่นคงปลอดภัยไซเบอร์” ที่ทำหน้าที่ “สอดส่อง” ข้อมูลของประชาชนเพื่อความมั่นคง

เรื่องนี้ถือว่าผิดฝาผิดตัวมาก เพราะนำงานด้านการคุ้มครองข้อมูลส่วนบุคคล ไปแปะไว้กับสำนักงานที่สอดส่องข้อมูลของประชาชน (ชื่อสำนักงานคือความมั่นคงปลอดภัยไซเบอร์ ดังนั้นย่อมถือได้ว่าการคุ้มครองข้อมูลส่วนบุคคลเป็นวาระรองของสำนักงานแห่งนี้)

แนวคิดแบบนี้ถือว่าแย่มากๆ และมองเห็นภาพอนาคตได้เลยว่าถ้าเรายังเดินหน้าต่อไปในแนวทางนี้ การคุ้มครองข้อมูลส่วนบุคคลของประชาชนไทยย่อมไม่มีวันเกิดขึ้นอยู่ดี แม้จะมีกฎหมายหรือหน่วยงานเกิดขึ้นมาทำหน้าที่แล้ว แต่ในทางปฏิบัติก็คงไม่ช่วยอะไร

ผมขอฝากประเด็นนี้ไปยังผู้ที่เกี่ยวข้องว่า ถ้าวาดฝันถึง “เศรษฐกิจดิจิทัล” แต่ประเด็นเรื่อง “การคุ้มครองข้อมูลภาคเอกชน-ประชาชน” ยังเหลวเป๋วอยู่แบบนี้ ภาคเอกชนที่ไหนเขาจะอยากเข้ามาทำธุรกิจด้านดิจิทัลในประเทศไทยล่ะครับ

ตอนนี้ยังมีเวลาแก้ไข และหน่วยงานของรัฐก็ออกมาให้ข่าวแล้วว่ายินดีจะแก้ไข ก็หวังว่าจะสามารถแก้ไขปรับปรุงได้จริงๆ ตามที่สัญญาไว้นะครับ

มาร์ค Blognone

มาร์ค Blognone

11 ก.พ. 2558 09:59 ไทยรัฐ