Data Privacy: บรรทัดฐานกฎหมายระดับโลกสู่บริบทประเทศไทย

I. บทนำ: นัยสำคัญของข้อมูลส่วนบุคคลในบริบทโลก

ในทศวรรษที่ผ่านมา การขยายตัวของแพลตฟอร์มดิจิทัลได้พลิกโฉมพฤติกรรมของมนุษยชาติอย่างมีนัยสำคัญ ข้อมูลส่วนบุคคล (Personal Data) ไม่ว่าจะเป็นข้อมูลระบุตัวตน ประวัติการค้นหา หรือพฤติกรรมการบริโภค ถูกรวบรวมและนำไปประมวลผลโดยบรรดาบริษัทเทคโนโลยีขนาดใหญ่ ข้อมูลเหล่านี้ได้แปรสภาพกลายเป็นสินทรัพย์ทางเศรษฐกิจที่มีมูลค่ามหาศาล กระบวนการนี้เองที่นักวิชาการหลายท่านเปรียบข้อมูลส่วนบุคคลว่าเป็น "น้ำมันของยุคดิจิทัล" ที่หล่อเลี้ยงเศรษฐกิจแพลตฟอร์มและเป็นแรงขับเคลื่อนหลักของการเติบโตทางเศรษฐกิจในศตวรรษที่ 21

จากมุมมองเชิงนิติเศรษฐศาสตร์ การที่ฝ่ายหนึ่งสามารถควบคุมผลประโยชน์จากข้อมูลได้แต่เพียงฝ่ายเดียว ย่อมก่อให้เกิดความไม่สมดุลและสร้างความเสียเปรียบต่อเจ้าของข้อมูล ด้วยเหตุนี้ รัฐจึงมีความจำเป็นต้องใช้กลไกทางกฎหมายเข้ามาแทรกแซง เพื่อจัดสรรสิทธิในข้อมูลเสียใหม่ และรักษาสมดุลระหว่างการขับเคลื่อนเศรษฐกิจดิจิทัลกับการคุ้มครองสิทธิความเป็นส่วนตัวของปัจเจกชน

บทความนี้มุ่งทบทวนพัฒนาการทางกฎหมายความเป็นส่วนตัว นับตั้งแต่บทเรียนจากสงครามโลกครั้งที่สอง จนถึงการบังคับใช้กฎหมายยุคใหม่อย่าง GDPR และ PDPA โดยวิเคราะห์ผ่านกรอบเปรียบเทียบสามโมเดลโลก และประเมินแนวโน้มที่กฎหมายต้องรับมือต่อไปในยุคที่ปัญญาประดิษฐ์ (AI) กำลังเปลี่ยนแปลงวิธีที่โลกประมวลผลข้อมูลอย่างพื้นฐาน

II. ปฐมบท: ภูมิหลังทางประวัติศาสตร์และสิทธิความเป็นส่วนตัวหลังสงครามโลก

แนวคิดเรื่องการคุ้มครองข้อมูลส่วนบุคคลไม่ได้เกิดขึ้นจากเจตจำนงในการส่งเสริมการค้า หากแต่มีรากฐานมาจากบทเรียนทางประวัติศาสตร์ที่เจ็บปวด ภายหลังสิ้นสุดสงครามโลกครั้งที่สอง ประชาคมโลกได้ประจักษ์อย่างชัดเจนว่า การที่รัฐบาลเผด็จการสามารถรวบรวมข้อมูลส่วนบุคคลของประชาชนอย่างเป็นระบบ ไม่ว่าจะเป็นข้อมูลเชื้อชาติ ศาสนา หรือที่อยู่อาศัย และนำไปใช้เป็นเครื่องมือในการเลือกปฏิบัติและประหัตประหาร ได้ก่อให้เกิดความหายนะต่อมนุษยชาติ

ด้วยเหตุนี้ ในปี ค.ศ. 1948 สมัชชาใหญ่แห่งสหประชาชาติจึงได้ให้การรับรอง ปฏิญญาสากลว่าด้วยสิทธิมนุษยชน (Universal Declaration of Human Rights: UDHR)¹ ซึ่งข้อ 12 ได้บัญญัติรับรองสิทธิความเป็นส่วนตัวไว้เป็นครั้งแรกในระดับสากล

UDHR ข้อ 12 — ปฏิญญาสากลว่าด้วยสิทธิมนุษยชน ค.ศ. 1948

"No one shall be subjected to arbitrary interference with his privacy, family, home or correspondence, nor to attacks upon his honour and reputation. Everyone has the right to the protection of the law against such interference or attacks."

(ไม่มีบุคคลใดจะถูกแทรกแซงโดยพลการต่อความเป็นส่วนตัว ครอบครัว ที่อยู่อาศัย หรือการติดต่อสื่อสาร หรือถูกโจมตีต่อเกียรติยศและชื่อเสียง ทุกคนมีสิทธิที่จะได้รับความคุ้มครองจากกฎหมายต่อการแทรกแซงหรือการโจมตีดังกล่าว)

ต่อมาในปี ค.ศ. 1950 สภายุโรปได้ตรา อนุสัญญาเพื่อการคุ้มครองสิทธิมนุษยชนและเสรีภาพขั้นพื้นฐาน (European Convention on Human Rights: ECHR)² ซึ่งมาตรา 8 ได้รับรองสิทธิในการดำรงชีวิตส่วนตัวและครอบครัวในลักษณะที่มีผลผูกพันทางกฎหมายต่อรัฐภาคี

ECHR มาตรา 8 — อนุสัญญายุโรปว่าด้วยสิทธิมนุษยชน ค.ศ. 1950

"Everyone has the right to respect for his private and family life, his home and his correspondence."

(ทุกคนมีสิทธิที่จะได้รับความเคารพต่อชีวิตส่วนตัวและครอบครัว บ้านพัก และการติดต่อสื่อสารของตน)

เอกสารทั้งสองฉบับนี้สะท้อนให้เห็นถึงการยกระดับความเป็นส่วนตัวให้เป็นสิทธิมนุษยชนขั้นพื้นฐาน มิใช่เพียงความสะดวกสบายหรือเรื่องส่วนตัว แต่เป็นเงื่อนไขที่จำเป็นต่อการดำรงอยู่ของความเป็นมนุษย์ในสังคมที่เสรีและเป็นธรรม หลักการเหล่านี้ต่อมากลายเป็นรากฐานของกฎหมายคุ้มครองข้อมูลส่วนบุคคลในประเทศต่างๆ ทั่วโลก

III. พัฒนาการยุคแรก: แนวทางของ OECD และการวางรากฐานของสหภาพยุโรป

ในช่วงทศวรรษ 1970–1980 เมื่อระบบคอมพิวเตอร์เริ่มแพร่หลายและการประมวลผลข้อมูลส่วนบุคคลในเชิงพาณิชย์เริ่มมีบทบาทสำคัญ องค์การเพื่อความร่วมมือทางเศรษฐกิจและการพัฒนา (OECD) ได้เผยแพร่ แนวปฏิบัติว่าด้วยการคุ้มครองความเป็นส่วนตัวและการส่งผ่านข้อมูลส่วนบุคคลระหว่างประเทศ (OECD Privacy Guidelines 1980)³ แม้จะไม่มีสภาพบังคับโดยกฎหมายอย่างเด็ดขาด (Soft Law) แต่ได้วางบรรทัดฐาน 8 ประการที่กลายเป็นรากฐานของกฎหมายคุ้มครองข้อมูลส่วนบุคคลทั่วโลก ได้แก่

OECD Privacy Guidelines 1980 — หลักการ 8 ประการ

1. Collection Limitation — หลักข้อจำกัดการเก็บรวบรวม | 2. Data Quality — หลักคุณภาพของข้อมูล | 3. Purpose Specification — หลักวัตถุประสงค์ | 4. Use Limitation — หลักข้อจำกัดการใช้ | 5. Security Safeguards — หลักความมั่นคงปลอดภัย | 6. Openness — หลักความโปร่งใส | 7. Individual Participation — หลักการมีส่วนร่วมของเจ้าของข้อมูล | 8. Accountability — หลักความรับผิดชอบ

ต่อมาในปี ค.ศ. 1995 สหภาพยุโรปได้ยกระดับการคุ้มครองเป็นกฎหมายที่มีผลผูกพันด้วยการตรา Directive 95/46/EC of the European Parliament and of the Council⁴ ซึ่งเป็นกฎหมายแม่แบบที่บังคับให้รัฐสมาชิกทั้ง 15 ประเทศในขณะนั้นต้องออกกฎหมายคุ้มครองข้อมูลส่วนบุคคลภายในประเทศ ให้สอดคล้องกับมาตรฐานของสหภาพยุโรป นับเป็นการเปลี่ยนผ่านจาก "หลักการอ่อน" สู่ "พันธกรณีทางกฎหมาย" อย่างเป็นรูปธรรมครั้งแรก

ในปี ค.ศ. 2016 สหภาพยุโรปได้สร้างบรรทัดฐานใหม่ด้วยการตรา กฎหมายคุ้มครองข้อมูลส่วนบุคคลแห่งสหภาพยุโรป (General Data Protection Regulation: GDPR)⁵ ซึ่งมีผลบังคับใช้อย่างเต็มรูปแบบในวันที่ 25 พฤษภาคม ค.ศ. 2018 ความโดดเด่นที่สุดของ GDPR คือการมีผลบังคับใช้นอกอาณาเขต (Extraterritorial Effect) กล่าวคือ องค์กรใดก็ตามทั่วโลกที่ประมวลผลข้อมูลของบุคคลซึ่งอยู่ในสหภาพยุโรป ย่อมตกอยู่ภายใต้บังคับของกฎหมายฉบับนี้ โดยไม่คำนึงถึงว่าองค์กรนั้นจะตั้งอยู่ที่ใดในโลก

GDPR ได้วางมาตรการที่เข้มงวดหลายประการ ได้แก่ การขอความยินยอม (Consent) ที่ต้องชัดแจ้งและเพิกถอนได้โดยง่าย การรับรองสิทธิของเจ้าของข้อมูล (Data Subject Rights) อาทิ สิทธิขอให้ลบข้อมูล (Right to Erasure) และสิทธิในการโอนย้ายข้อมูล (Right to Data Portability) ตลอดจนมาตรการรักษาความมั่นคงปลอดภัยและการแจ้งเหตุละเมิดข้อมูล (Data Breach Notification) ภายใน 72 ชั่วโมง

GDPR มาตรา 83 — โทษปรับทางปกครอง

ระดับที่ 1: โทษปรับสูงสุด 10 ล้านยูโร หรือร้อยละ 2 ของรายได้รวมทั่วโลก สำหรับการละเมิดข้อกำหนดทั่วไป เช่น การไม่มี DPO เมื่อกฎหมายกำหนด

ระดับที่ 2: โทษปรับสูงสุด 20 ล้านยูโร หรือร้อยละ 4 ของรายได้รวมทั่วโลกของปีบัญชีก่อนหน้า แล้วแต่จำนวนใดจะสูงกว่า สำหรับการละเมิดหลักการพื้นฐาน เงื่อนไขความยินยอม และสิทธิของเจ้าของข้อมูล

ผลกระทบของ GDPR ต่อธุรกิจทั่วโลกนั้นมีนัยสำคัญอย่างยิ่ง บริษัทเทคโนโลยีชั้นนำหลายแห่งถูกลงโทษปรับในระดับหลักร้อยล้านถึงพันล้านยูโร โดยในปี ค.ศ. 2023 Meta Platforms ถูกปรับสูงสุดเป็นประวัติการณ์ถึง 1.2 พันล้านยูโร จากการโอนย้ายข้อมูลผู้ใช้ชาวยุโรปไปยังสหรัฐอเมริกาโดยไม่ชอบ GDPR จึงไม่ใช่เพียงกฎหมายของยุโรป แต่เป็นมาตรฐานโลกที่ภาคธุรกิจต้องปฏิบัติตามโดยปริยาย

V. บริบทของประเทศไทย: การบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA)

รัฐธรรมนูญแห่งราชอาณาจักรไทย พุทธศักราช 2560⁶ ได้รับรองสิทธิความเป็นส่วนตัวของบุคคลไว้ในมาตรา 32 ซึ่งวางรากฐานทางรัฐธรรมนูญให้แก่การคุ้มครองข้อมูลส่วนบุคคล

รัฐธรรมนูญแห่งราชอาณาจักรไทย พ.ศ. 2560 — มาตรา 32

"บุคคลย่อมมีสิทธิในความเป็นอยู่ส่วนตัว เกียรติยศ ชื่อเสียง และครอบครัว การกระทำอันเป็นการละเมิดหรือกระทบต่อสิทธิของบุคคลตามวรรคหนึ่ง จะกระทำมิได้ เว้นแต่โดยอาศัยอำนาจตามบทบัญญัติแห่งกฎหมาย เฉพาะที่จำเป็นเพื่อประโยชน์สาธารณะ"

ต่อมาประเทศไทยได้มีการตรา พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA)⁷ ซึ่งมีผลบังคับใช้อย่างเต็มรูปแบบเมื่อวันที่ 1 มิถุนายน 2565 กฎหมายกำหนดนิยามของ "ข้อมูลส่วนบุคคล" ไว้ในมาตรา 6 ดังนี้

พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 — มาตรา 6

"'ข้อมูลส่วนบุคคล' หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ"

หลักการสำคัญที่สุดของ PDPA คือการประมวลผลข้อมูลส่วนบุคคลทุกครั้งต้องมีฐานทางกฎหมายรองรับ มาตรา 24 กำหนดฐานทางกฎหมาย 6 ประการ ได้แก่ (1) ความยินยอม (Consent) ที่เจ้าของข้อมูลให้ไว้โดยชัดแจ้ง (2) สัญญา (Contract) ที่จำเป็นต่อการปฏิบัติตามสัญญา (3) หน้าที่ตามกฎหมาย (Legal Obligation) (4) ประโยชน์สำคัญต่อชีวิต (Vital Interest) (5) ประโยชน์สาธารณะ (Public Task) และ (6) ประโยชน์อันชอบธรรม (Legitimate Interest)

สำหรับข้อมูลส่วนบุคคลอ่อนไหว (Sensitive Personal Data) ซึ่งได้แก่ ข้อมูลเชื้อชาติ ศาสนา ข้อมูลสุขภาพ ข้อมูลชีวภาพ (ลายนิ้วมือ ใบหน้า) ประวัติอาชญากรรม เป็นต้น มาตรา 26 กำหนดข้อห้ามที่เข้มงวดกว่า โดยต้องได้รับ ความยินยอมโดยชัดแจ้ง (Explicit Consent) เว้นแต่จะเข้าข้อยกเว้นที่กฎหมายกำหนดไว้โดยเฉพาะ

พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 — บทกำหนดโทษ (มาตรา 82–90)

โทษทางปกครอง: สูงสุด 1 ล้านบาท สำหรับการไม่มีนโยบายความเป็นส่วนตัว / สูงสุด 3 ล้านบาท สำหรับการเก็บหรือใช้ข้อมูลโดยไม่มีฐานทางกฎหมาย / สูงสุด 5 ล้านบาท สำหรับการประมวลผลข้อมูลอ่อนไหวโดยมิชอบ หรือการส่งข้อมูลออกนอกราชอาณาจักรโดยผิดกฎ

โทษอาญา: จำคุกไม่เกิน 1 ปี และ/หรือปรับไม่เกิน 1 ล้านบาท สำหรับการเปิดเผยข้อมูลอ่อนไหวที่ก่อให้เกิดความเสียหาย / จำคุกไม่เกิน 3 ปี และ/หรือปรับไม่เกิน 3 ล้านบาท สำหรับการเปิดเผยข้อมูลเพื่อแสวงหาประโยชน์โดยมิชอบ

หัวใจสำคัญของการบังคับใช้ PDPA คือการส่งสัญญาณว่า มาตรฐานสากลด้านการคุ้มครองข้อมูลส่วนบุคคลได้ถูกผนวกเข้าเป็นส่วนหนึ่งของระบบกฎหมายไทยแล้ว และองค์กรธุรกิจจำเป็นต้องปรับปรุงกระบวนการทำงานและสร้างธรรมาภิบาลข้อมูล (Data Governance) ให้เกิดขึ้นอย่างเป็นรูปธรรม

แนวปฏิบัติอย่างเป็นทางการและกรณีศึกษาจากการบังคับใช้

นับตั้งแต่ PDPA มีผลบังคับใช้เต็มรูปแบบในวันที่ 1 มิถุนายน 2565 คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้เผยแพร่ แนวปฏิบัติสำหรับผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคล: กรณีศึกษาจากข้อหารือเกี่ยวกับการบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒⁸ ฉบับเผยแพร่ ๑๐ กุมภาพันธ์ ๒๕๖๖ ซึ่งรวบรวมสรุปความเห็นของคณะอนุกรรมการเฉพาะกิจในการตอบข้อหารือ ครอบคลุมหน่วยงานรัฐ ภาคเอกชน นิติบุคคล และบุคคลธรรมดา เอกสารดังกล่าวสะท้อนให้เห็นว่า แม้ตัวบทกฎหมายจะกำหนดหลักการไว้อย่างชัดเจน แต่การประยุกต์ใช้ในบริบทต่างๆ ยังต้องอาศัยการตีความที่ละเอียดรอบคอบในแต่ละกรณี

หนึ่งในประเด็นที่ได้รับการวินิจฉัยบ่อยครั้ง คือขอบเขตของการยกเว้นการบังคับใช้ตามมาตรา 4 โดยเฉพาะการยกเว้นสำหรับกระบวนการยุติธรรมทางอาญาตามมาตรา 4 (5) ซึ่งมีนัยสำคัญต่อหน่วยงานรัฐและองค์กรกำกับดูแลที่มีหน้าที่ด้านการบังคับใช้กฎหมาย

คำวินิจฉัยคณะกรรมการ PDPA — ขอบเขตการยกเว้น มาตรา 4 (5) กระบวนการยุติธรรมทางอาญา

กรณีที่ได้รับยกเว้น: การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อนำไปใช้ในกระบวนการที่นำไปสู่การลงโทษผู้กระทำความผิดทางอาญา รวมถึงภารกิจของ ป.ป.ช. ในฐานะที่ใช้อำนาจสอบสวนเทียบเท่าพนักงานสอบสวนตามประมวลกฎหมายวิธีพิจารณาความอาญา

กรณีที่ไม่ได้รับยกเว้น: การดำเนินงานธุรการทั่วไปของหน่วยงานเดียวกันที่ไม่เกี่ยวกับกระบวนการอาญา และการลงโทษทางวินัยที่ไม่เกี่ยวเนื่องกับความผิดอาญา ซึ่งต้องปฏิบัติตาม PDPA ตามปกติ

หมายเหตุสำคัญ: แม้ได้รับยกเว้น หน่วยงานยังคงต้องรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลตามมาตรฐานขั้นต่ำที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด ตามมาตรา 4 วรรคสาม

ประเด็นที่สร้างความสับสนอย่างมากในทางปฏิบัติคือการนำ ข้อมูลชีวภาพ (Biometric Data) มาใช้ในชีวิตประจำวัน งานวิจัยทางวิชาการ⁹ ได้วิเคราะห์กรณีที่ผู้ประกอบกิจการหอพักเอกชนต้องการใช้ระบบสแกนใบหน้าของผู้พักเพื่อควบคุมการเข้าออก ซึ่งแสดงให้เห็นความแตกต่างระหว่างข้อมูลส่วนบุคคลทั่วไปและข้อมูลอ่อนไหวในเชิงปฏิบัติอย่างชัดเจน

กรณีศึกษา: ข้อมูลชีวภาพ (Biometric Data) กับการควบคุมการเข้าออกหอพัก — มาตรา 24 และมาตรา 26 PDPA

ข้อมูลทั่วไป (มาตรา 24): การเก็บข้อมูลทั่วไปเพื่อควบคุมการเข้าออก เช่น ข้อมูลบัตรอิเล็กทรอนิกส์ อาจอ้างฐานทางกฎหมาย "ประโยชน์อันชอบธรรม (Legitimate Interest)" ตามมาตรา 24 (5) ได้ เนื่องจากไม่เกินสมควรกว่าสิทธิและเสรีภาพของเจ้าของข้อมูล

ข้อมูลชีวภาพ (มาตรา 26): ภาพจำลองใบหน้าที่ได้จากการสแกนจัดเป็น "ข้อมูลชีวภาพ" ซึ่งเป็นข้อมูลส่วนบุคคลอ่อนไหวตามมาตรา 26 ต้องมีฐานทางกฎหมายพิเศษ ได้แก่ ความยินยอมโดยชัดแจ้ง (Explicit Consent) หรือข้อยกเว้นตาม มาตรา 26 (1) (อำนาจหน้าที่ตามกฎหมาย) หรือ มาตรา 26 (5) (ประโยชน์สาธารณะสำคัญ) อย่างไรก็ตาม ผู้ประกอบกิจการหอพักไม่มีอำนาจหน้าที่ตามกฎหมายในการเก็บข้อมูลชีวภาพโดยเฉพาะ จึงไม่เข้าข้อยกเว้น

ข้อสรุปทางกฎหมาย: ต้องขอ Explicit Consent ตามเงื่อนไขกฎหมาย หรือปรับเปลี่ยนมาตรการโดยใช้วิธีที่ไม่เก็บข้อมูลชีวภาพ เช่น Key Card แทน ซึ่งเป็นทางเลือกที่ได้สัดส่วนกว่าและสอดคล้องกับหลัก Data Minimisation

ภาคสุขภาพเป็นหนึ่งในภาคส่วนที่ต้องเผชิญกับความท้าทายสูงสุดในการปฏิบัติตาม PDPA เนื่องจากข้อมูลสุขภาพเป็นข้อมูลอ่อนไหวตามมาตรา 26 และโรงพยาบาลต้องทำงานอยู่ในกรอบกฎหมายหลายฉบับซ้อนทับกัน ได้แก่ พระราชบัญญัติสุขภาพแห่งชาติ พ.ศ. 2550 มาตรา 7 และพระราชบัญญัติข้อมูลข่าวสารของทางราชการ พ.ศ. 2540 มาตรา 24 ก่อนที่ PDPA จะมีผลบังคับใช้ งานวิจัยที่ตีพิมพ์ในวารสาร Rangsit Journal of Law and Society ปี 2025¹⁰ ได้ระบุปัญหาหลักสี่ประการในการบังคับใช้ PDPA กับโรงพยาบาลของรัฐ ดังนี้

ปัญหาในการบังคับใช้ PDPA กับโรงพยาบาลของรัฐ — วารสารกฎหมายและสังคมรังสิต ปีที่ 7 ฉบับที่ 1 (2568)

(1) ความคลุมเครือในนิยาม: พ.ร.บ. ไม่ได้บัญญัตินิยาม "ข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive Personal Data)" และ "ข้อมูลสุขภาพ" อย่างเป็นทางการและชัดเจน ก่อให้เกิดปัญหาการตีความว่าข้อมูลใดคือ "ข้อมูลสุขภาพ" และอยู่ภายใต้มาตรา 26 หรือเพียงแค่ข้อมูลที่เกี่ยวข้องกับสุขภาพ

(2) การแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO): ยังไม่มีหลักเกณฑ์ที่ชัดเจนสำหรับคุณสมบัติของ DPO ในสถานพยาบาล ซึ่งต้องการความรู้ทั้งด้านกฎหมายคุ้มครองข้อมูล ด้านเทคโนโลยีสารสนเทศ และด้านการแพทย์ควบคู่กัน

(3) การประเมินผลกระทบด้านการคุ้มครองข้อมูล (DPIA): การกำหนดอำนาจหน้าที่ของ DPO ในการประเมินความเสี่ยงของผลกระทบจากการประมวลผลข้อมูลขนาดใหญ่ในบริบทโรงพยาบาลยังขาดความชัดเจน

(4) การแจ้งเหตุละเมิดข้อมูล (Data Breach Notification): ไม่มีข้อกำหนดการบันทึกรายละเอียดเหตุละเมิดข้อมูลไว้เป็นหลักฐาน ส่งผลให้ยากต่อการตรวจสอบย้อนหลังและการวิเคราะห์แนวโน้ม อันอาจนำไปสู่ความบกพร่องในการป้องกันเหตุการณ์ซ้ำในอนาคต

นอกจากนี้ กฎหมายยังกำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) ในกรณีที่กิจกรรมหลักเกี่ยวข้องกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลอ่อนไหวตามมาตรา 26 อย่างเป็นระบบ โดยมาตรา 41 วรรคเจ็ดเปิดช่องให้ DPO เป็นได้ทั้งพนักงานภายในองค์กรหรือผู้รับจ้างจากภายนอก ซึ่งมีข้อดีข้อเสียที่แตกต่างกันไปตามลักษณะและขนาดขององค์กร

VI. บทวิเคราะห์เปรียบเทียบแบบการคุ้มครองข้อมูลส่วนบุคคล (Privacy Models)

เมื่อพิจารณากฎหมายคุ้มครองข้อมูลส่วนบุคคลในระดับโลก สามารถจำแนกได้เป็นสามโมเดลหลัก ซึ่งแต่ละโมเดลสะท้อนปรัชญาทางกฎหมายและการเมืองที่แตกต่างกันอย่างมีนัยสำคัญ

โมเดลที่ 1: โมเดลยุโรป (The Human Rights Model)

สหภาพยุโรปมองว่าความเป็นส่วนตัวคือสิทธิมนุษยชนขั้นพื้นฐาน กฎหมายจึงมีความเข้มงวดและมุ่งเน้นการควบคุมอำนาจของภาคธุรกิจในการประมวลผลข้อมูล หลักการ "ความเป็นส่วนตัวโดยการออกแบบ" (Privacy by Design) และ "ความเป็นส่วนตัวโดยค่าเริ่มต้น" (Privacy by Default) ถูกบังคับใช้อย่างจริงจัง GDPR เป็นตัวแทนที่ชัดเจนที่สุดของโมเดลนี้

โมเดลที่ 2: โมเดลสหรัฐอเมริกา (The Market-Driven Model)

สหรัฐอเมริกายังไม่มีกฎหมายคุ้มครองข้อมูลส่วนบุคคลในระดับประเทศ แต่ใช้กลไกตลาดและกฎหมายเฉพาะสาขา (Sectoral Laws) เป็นหลัก โดยถือว่าความเป็นส่วนตัวเป็นเรื่องของการเลือกของผู้บริโภคในตลาด รัฐแคลิฟอร์เนียเป็นผู้นำด้วยการออก California Consumer Privacy Act (CCPA)¹¹ ซึ่งมีผลบังคับใช้ตั้งแต่ปี ค.ศ. 2020 และถือเป็นต้นแบบของกฎหมายระดับมลรัฐหลายฉบับที่ตามมา

โมเดลที่ 3: โมเดลเอเชีย (The Balanced Model)

หลายประเทศในเอเชียกำลังมุ่งแสวงหาจุดสมดุลระหว่างการเติบโตทางเศรษฐกิจดิจิทัลและการคุ้มครองสิทธิ ตัวอย่างที่โดดเด่นที่สุดคือ Personal Information Protection Law of the People's Republic of China (PIPL)¹² ของสาธารณรัฐประชาชนจีน ซึ่งมีมาตรฐานความเข้มงวดสูงในระดับเดียวกับ GDPR แต่มีปรัชญาที่แตกต่างกันอย่างสิ้นเชิง ขณะที่ GDPR มุ่งคุ้มครองบุคคลจากอำนาจขององค์กรธุรกิจ PIPL กลับมุ่งควบคุมการไหลเวียนของข้อมูลออกนอกประเทศ และรักษาอำนาจของรัฐในการเข้าถึงข้อมูล PDPA ของไทยอยู่ในกลุ่มโมเดลเอเชียที่พยายามสร้างสมดุลดังกล่าว

VII. ความท้าทายในอนาคต: ปัญญาประดิษฐ์ (AI) กับข้อจำกัดของกฎหมาย

วิวัฒนาการของปัญญาประดิษฐ์ (AI) ที่ต้องอาศัยชุดข้อมูลขนาดใหญ่ในการประมวลผล กำลังสร้างความท้าทายต่อหลักการของ PDPA โดยเฉพาะ "หลักความจำกัดของวัตถุประสงค์ (Purpose Limitation)" ที่ห้ามมิให้นำข้อมูลไปใช้เกินกว่าวัตถุประสงค์ที่ได้แจ้งและขอความยินยอมไว้แต่แรก กระบวนการเรียนรู้ของโมเดล AI มักใช้ข้อมูลในลักษณะที่กว้างและยากต่อการกำหนดวัตถุประสงค์ล่วงหน้าได้อย่างชัดเจน ซึ่งอาจขัดกับหลักความโปร่งใสที่ PDPA กำหนด

ในปี ค.ศ. 2024 สหภาพยุโรปได้บังคับใช้ Artificial Intelligence Act (AI Act)¹³ ซึ่งเป็นกฎหมายกำกับดูแล AI ฉบับแรกของโลก โดยจำแนก AI ตามระดับความเสี่ยง (Risk-based Approach)

Regulation (EU) 2024/1689 — EU AI Act หรือ กฎระเบียบว่าด้วยปัญญาประดิษฐ์แห่งสหภาพยุโรป: การจำแนกระดับความเสี่ยง

(1) ความเสี่ยงที่ยอมรับไม่ได้ (Unacceptable Risk): ห้ามโดยเด็ดขาด เช่น ระบบคะแนนทางสังคม (Social Scoring) และการจดจำใบหน้าแบบ Real-time ในที่สาธารณะโดยไม่มีข้อยกเว้น

(2) ความเสี่ยงสูง (High Risk): ต้องมีการตรวจสอบ ประเมินความเสี่ยง และลงทะเบียนก่อนใช้งาน เช่น AI ในระบบสินเชื่อ การจ้างงาน และการบังคับใช้กฎหมาย

(3) ความเสี่ยงจำกัด (Limited Risk): ต้องแจ้งผู้ใช้ว่ากำลังติดต่อกับ AI เช่น Chatbot

(4) ความเสี่ยงต่ำ (Minimal Risk): ไม่มีข้อกำหนดเฉพาะ

สำหรับประเทศไทย แม้ปัจจุบันจะยังไม่มีกฎหมายกำกับดูแล AI โดยเฉพาะ แต่องค์กรกำกับดูแลจำเป็นต้องตีความและปรับใช้หลักเกณฑ์ของ PDPA ให้เท่าทันต่อพลวัตของเทคโนโลยี เพื่อรักษาสมดุลระหว่างนวัตกรรมและสิทธิความเป็นส่วนตัว

VIII. แนวโน้มและประเด็นทางกฎหมายที่ต้องจับตา

จากการวิเคราะห์พัฒนาการของกฎหมายคุ้มครองข้อมูลส่วนบุคคลในภาพรวม สามารถระบุแนวโน้มสำคัญสามประการที่จะมีผลต่อทิศทางกฎหมายในระยะข้างหน้า

1. ความท้าทายในการบังคับใช้กฎหมาย (Enforcement Challenges) — องค์กรบางแห่งยังคงมองค่าปรับเป็นเพียง "ต้นทุนในการดำเนินธุรกิจ" ซึ่งเป็นประเด็นที่หน่วยงานกำกับดูแลต้องพัฒนากลไกบังคับใช้ให้มีประสิทธิภาพและสร้างความเกรงกลัวต่อการละเมิดอย่างแท้จริง รวมถึงการพัฒนาแนวทางปฏิบัติที่ชัดเจนสำหรับภาคธุรกิจในสาขาต่างๆ

2. นวัตกรรมตลาดข้อมูล (Data Monetization) — เมื่อข้อมูลมีมูลค่าเชิงพาณิชย์สูงขึ้น รูปแบบการทำธุรกิจซื้อขายและแลกเปลี่ยนข้อมูลจะทวีความซับซ้อน กฎหมายต้องสร้างความชัดเจนในประเด็นความโปร่งใสและอำนาจควบคุมของเจ้าของข้อมูล รวมถึงกรอบกฎหมายสำหรับ "ตลาดข้อมูล" (Data Marketplace) ที่กำลังเติบโตอย่างรวดเร็ว

3. ข้อจำกัดของหลักความยินยอม (Consent Fatigue) — แนวคิดที่พึ่งพา "ความยินยอม" เพียงฐานเดียวเริ่มแสดงข้อจำกัดในทางปฏิบัติ เนื่องจากผู้บริโภคมักกดยืนยันโดยไม่ได้อ่านเงื่อนไข แนวโน้มทางปฏิบัติในหลายเขตอำนาจจึงมุ่งไปสู่การพิจารณาใช้ "ฐานประโยชน์อันชอบธรรม (Legitimate Interests)" มากยิ่งขึ้น ซึ่งต้องอาศัยการตีความของผู้ควบคุมข้อมูลที่ระมัดระวังและโปร่งใส

IX. บทสรุป

สิทธิความเป็นส่วนตัวไม่ใช่เพียงข้อเรียกร้องเพื่อความสะดวกสบายในโลกยุคดิจิทัล หากแต่เป็นสิทธิขั้นพื้นฐานที่ผลักดันมาจากบทเรียนทางประวัติศาสตร์ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ของไทย แม้จะเป็นเพียงจุดเริ่มต้นและอาจต้องเผชิญกับการปรับปรุงแก้ไขเพื่อให้สอดรับกับพลวัตของเทคโนโลยี แต่กฎหมายฉบับนี้ได้วางรากฐานอันสำคัญให้แก่ประเทศ ด้วยการประกาศว่ามาตรฐานสากลด้านการคุ้มครองข้อมูลส่วนบุคคลได้กลายเป็นส่วนหนึ่งของระบบกฎหมายไทยแล้ว

สำหรับภาคธุรกิจ การปฏิบัติตาม PDPA ไม่ควรถูกมองเป็นเพียงภาระในการปฏิบัติตามกฎหมาย (Legal Compliance) แต่ควรตระหนักว่าเป็นกลยุทธ์สำคัญในการสร้างความเชื่อมั่น (Trust) และยกระดับมาตรฐานทางธุรกิจให้สามารถแข่งขันได้ในระดับสากลอย่างยั่งยืน ในยุคที่ผู้บริโภคทั่วโลกตื่นตัวและให้ความสำคัญกับการคุ้มครองข้อมูลส่วนบุคคลมากขึ้นทุกวัน การมีระบบ Data Governance ที่ดีจึงมิใช่ทางเลือก แต่เป็นมาตรฐานพื้นฐานที่ธุรกิจยุคใหม่ต้องมี

เชิงอรรถ

1Universal Declaration of Human Rights (UDHR), Article 12, adopted by UN General Assembly Resolution 217A (III), 10 December 1948. [ปฏิญญาสากลว่าด้วยสิทธิมนุษยชน]
2European Convention for the Protection of Human Rights and Fundamental Freedoms (ECHR), Article 8, signed Rome 4 November 1950. [มาตรา 8 ECHR รับประกันสิทธิในความเป็นส่วนตัว]
3OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data (1980), Organisation for Economic Co-operation and Development, Paris. [แนวปฏิบัติ OECD 8 หลักการ]
4Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data [1995] OJ L 281/31. [กฎหมายคุ้มครองข้อมูลฉบับแรกของ EU]
5Regulation (EU) 2016/679 (GDPR) [2016] OJ L 119/1, entered into force 25 May 2018. [GDPR มีผลบังคับนอกอาณาเขต EU]
6รัฐธรรมนูญแห่งราชอาณาจักรไทย พุทธศักราช ๒๕๖๐, มาตรา ๓๒. [รัฐธรรมนูญไทยรับรองสิทธิในความเป็นส่วนตัว]
7พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562, ประกาศในราชกิจจานุเบกษา เล่ม 136 ตอนที่ 69 ก วันที่ 27 พฤษภาคม 2562 มีผลบังคับใช้เต็มรูปแบบวันที่ 1 มิถุนายน 2565. [PDPA ไทย]
8สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล, แนวปฏิบัติสำหรับผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคล: กรณีศึกษาจากข้อหารือเกี่ยวกับการบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒, เผยแพร่ ๑๐ กุมภาพันธ์ ๒๕๖๖, คณะอนุกรรมการเฉพาะกิจตอบข้อหารือและให้คำแนะนำหน่วยงานของรัฐ. [แนวปฏิบัติ PDPA อย่างเป็นทางการจากคณะกรรมการ PDPA]
9ชาญชัย แสวงศักดิ์ และ คณาธิป ทองรวีวงศ์, "การคุ้มครองสิทธิผู้พักของหอพักเอกชนในกรณีการเก็บรวบรวมข้อมูลสแกนใบหน้าเพื่อควบคุมการผ่านเข้าออก: ศึกษาข้อยกเว้นของความยินยอมตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562", วารสารบริหารธุรกิจและสังคมศาสตร์ มหาวิทยาลัยรามคำแหง, ปีที่ 9 ฉบับพิเศษการประชุมวิชาการระดับชาติ HTLC ครั้งที่ 14, คณะนิติศาสตร์ มหาวิทยาลัยเกษมบัณฑิต. [การวิเคราะห์ Biometric Data กับมาตรา 24 และ 26 PDPA]
10ศิริกร สีสดดี, "ปัญหาการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลในโรงพยาบาลของรัฐ", Rangsit Journal of Law and Society, ปีที่ 7 ฉบับที่ 1 (มกราคม–เมษายน 2568), หน้า 16–30, สำนักงานสาธารณสุขจังหวัดฉะเชิงเทรา โรงพยาบาลพุทธโสธร, กระทรวงสาธารณสุข; Received 11 December 2024, Accepted 20 March 2025. [ปัญหาการบังคับใช้ PDPA ในภาคสาธารณสุข]
11California Consumer Privacy Act of 2018 (CCPA), Cal. Civ. Code § 1798.100 et seq., in effect 1 January 2020. [CCPA เป็นตัวอย่างโมเดลอเมริกา]
12Personal Information Protection Law of the People's Republic of China (PIPL), promulgated 20 August 2021, effective 1 November 2021. [กฎหมาย PIPL ของจีน]
13Regulation (EU) 2024/1689 of the European Parliament and of the Council on Artificial Intelligence (AI Act) [2024] OJ L 2024/1689, in force August 2024. [EU AI Act จัดประเภท AI ตามระดับความเสี่ยง]