เปิดเผยไทม์ไลน์โควิด-19 เป็นข้อมูลส่วนบุคคล เรื่องน่าอาย ควรปกปิด จะผิดตรงไหน?

                วันนี้อาจารย์มาแจกยันต์แจกของขลังให้พกติดตัวกันไป และใคร่ขอนำเสนอผ่านหลักการที่น่าสนใจและมักถูกละเลย โดยผู้คนมักจะมุ่งไปอ่านแต่ตัวบทกฎหมายกัน ซึ่งแตกฉานไปไม่ได้ถ้าขาดหลักการที่ถูกต้อง นั่นก็คือ 8 หลักการคุ้มครองข้อมูลส่วนบุคคล ซึ่งมีต้นกำเนิดมาจาก Organisation for Economic Co-operation and Development หรือ (OECD) เขาคิดค้นให้โลกจดจำนำมาใช้จนตกผลึก 
 

                 ก่อนอื่นต้องขอเล่าประวัติเล็กๆ ว่า OECD จัดตั้งขึ้นในปี ค.ศ. 1961 (พ.ศ. 2504) โดยพัฒนามาจาก OEEC (Organisation for European Economic Co-operation) จัดตั้งขึ้นในปี ค.ศ. 1948 (พ.ศ. 2491 ซึ่งผมยังไม่เกิดเลยด้วยซ้ำ) เพื่อบริหารเงินช่วยเหลือจากสหรัฐอเมริกา และแคนาดา ภายใต้แผนมาร์แชล (Marshall Plan) เพื่อบูรณะฟื้นฟูสภาพเศรษฐกิจและสังคมของยุโรป ภายหลังสงครามโลกครั้งที่ 2 
 

                 องค์การ OECD ถือเป็นองค์กรวิจัยที่มีคุณภาพที่สุดองค์กรหนึ่งของโลก เป็นแหล่งรวมข้อมูลวิจัยต่างๆ ให้ประเทศสมาชิกสามารถปรึกษา ค้นคว้า รวมทั้งข้อเสนอแนะเกี่ยวกับแนวปฏิบัติอันเป็นเลิศในด้านต่างๆ ปัจจุบัน OECD ประกอบด้วยสมาชิก 36 ประเทศ ได้แก่ ออสเตรเลีย ออสเตรีย เบลเยียม แคนาดา ชิลี สาธารณรัฐเช็ก เดนมาร์ก เอสโตเนีย ฟินแลนด์ ฝรั่งเศส เยอรมนี กรีซ ฮังการี ไอซ์แลนด์ ไอร์แลนด์ อิสราเอล อิตาลี ญี่ปุ่น สาธารณรัฐเกาหลี ลัตเวีย ลิทัวเนีย ลักเซมเบิร์ก เม็กซิโก เนเธอร์แลนด์ นิวซีแลนด์ นอร์เวย์ โปแลนด์ โปรตุเกส สโลวาเกีย สโลเวเนีย สเปน สวีเดน สวิตเซอร์แลนด์ ตุรกี สหราชอาณาจักร และสหรัฐอเมริกา และ 1 องค์กร คือ สหภาพยุโรป แต่หาประเทศไทยเราไม่เจอ
 

                 นอกจากนี้ OECD ยังร่วมมือและมีข้อตกลงต่างๆ กับประเทศที่ไม่ได้เป็นสมาชิกกว่า 70 ประเทศ ผ่าน Centre for Co-operation with Non-Members (CCNM) 
                 OECD เขาคิดมา 8 หลักการคุ้มครองข้อมูลส่วนบุคคล (PRINCIPLES for Personal Data Protection) มีความเป็นสากลระดับโลก เป็นปรัชญา แนวคิด ที่นำไปสู่การออกกฎหมายคุ้มครองข้อมูลส่วนบุคคล รวมถึง PDPA ไทย GDPR ยุโรป และของทุกประเทศในโลก ดังนั้น กฎหมายหรือข้อกำหนดใดๆ ซึ่งในแต่ละประเทศจะตราขึ้นเพื่อใช้บังคับอันเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล จึงมีความจำเป็นอย่างยิ่งที่จะต้องให้ความตระหนักและคำนึงถึง 8 หลักการคุ้มครองข้อมูลส่วนบุคคลของ OECD เกือบทั้งสิ้น และขาดไม่ได้กันเลยทีเดียวครับ อาจารย์กฤษฎ์จึงขอนำมาอธิบายให้ง่ายๆ นำมาย่อยตีความใหม่ จัดรูปแบบนำเสนอใหม่ แปลก ไฉไลในสไตล์ของอาจารย์กฤษฎ์เอง โดยคงไว้และซื่อสัตย์ต่อต้นกำเนิดที่มาจาก OECD ทุกประการ รับรองไม่ตีความหักมุม แต่สนุกเหมือนตอนจบ #วันทอง อย่างแน่นอน ทั้งนี้ได้นำมาประดิดประดอยถ่ายทอดต่อในรูปแบบเพื่อใช้จำ ทำความเข้าใจให้ง่ายขึ้นในรูปแบบของ “ยันต์ 7 แถว 8 ค้ำยัน คุ้มครองข้อมูลส่วนบุคคล” ซึ่งโดยส่วนตัวแล้วเป็นคนชอบสักยันต์ แต่ไม่เอาเปรอะเลอะเทอะ และเลือกคนสักที่พอจะเป็นครูเราได้สนิทใจ สักเอาเฉพาะที่เห็นว่าสำคัญๆ และสนใจตรงจริตจริงๆ เพราะมันต้องปรากฏอยู่บนเนื้อตัวเราถาวรตลอดไป และไม่คิดจะหาทางไปลบออก เมื่อตัดสินใจลงไปแล้วจึงต้องมั่นใจดิบดีเสียก่อน ฉะนั้น ถ้าเป็นยันต์สักบนผิวหนังต้องนึกถึงอาจารย์หนู กันภัย แต่หากเป็นยันต์ด้านคุ้มครองข้อมูลส่วนบุคคล คงต้องยกให้อาจารย์กฤษฎ์ คุ้มภัยครับ ฮ่า ฮ่า ฮ่า ขำๆ แต่ก็จริงจังนะ อย่าได้ว่ากัน!
 

                 “ยันต์ 7 แถว 8 ค้ำยัน คุ้มครองข้อมูลส่วนบุคคล” สักเอาไว้ (สักแบบฝังในความคิดให้เกิดเจริญสติและปัญญา) เพราะของมันต้องมี เป็นสายยันต์ระดับสากลที่โลกยอมรับและจดจำ ออกแบบมาให้ง่ายในการทำความเข้าใจ หรือใช้ท่องเป็นคาถา (มีบทท่องสัมผัสให้ด้วยง่ายๆ) ให้ท่านได้ดื่มด่ำแนวคิดและปรัชญาที่ประเทศไทยเราหนีไม่พ้น ต้องเอามาใส่ไว้ใน PDPA เรียบร้อยแล้ว สรรพคุณนั้นว่ากันตามความหมายในแต่ละแถวเลย อาจารย์กฤษฎ์ได้จำแนกออกมาให้ครบถ้วนแล้ว รวมๆ จะเรียกว่า “QUOSP2AC” (อ่านว่า “ควอสแพ็ก” ก็ไม่ผิดกติกาอะไร คิดขึ้นมาให้จดจำกันง่ายๆ เพื่อให้ครบถ้วนทั้ง 8 หลักการ) คาถาที่ฝากให้ท่องเป็นสัมผัสก็ได้นะ คือ 

“ข้อมูลคุณภาพ (Q)
ตราบที่ใช้จำกัด (U) 
จัดให้อย่างเปิดเผย (O)
ไม่ละเลยปลอดภัย (S) 
ต้องให้มีส่วนร่วม (P) 
สวมวัตถุประสงค์ (P)
คงความรับผิดชอบ (A) 
มอบให้เก็บจำกัด (C)”

                 เอาล่ะครับ ขออธิบายเรียงลำดับกันเลย ดังนี้
                 แถวที่ 1 : Q = Data Quality “ข้อมูลคุณภาพ” : คุณควรรวบรวมข้อมูลส่วนบุคคลที่เกี่ยวข้องและถูกต้องสำหรับเป้าหมายเฉพาะ โดยเน้นข้อมูลส่วนบุคคลที่ได้มานั้นต้องสมบูรณ์และถูกต้อง ตรงตามความเป็นจริงด้วย สรรพคุณในข้อนี้และทุกๆ ข้อเมื่อสักลงอักขระแล้วต้องทำตามที่บอกไว้ในแต่ละแถวด้วยนะครับ การปฏิบัติตามแถวนี้จะทำให้ไม่พลั้งเผลอ หรือไปรวบรวมข้อมูลส่วนบุคคลที่กระจัดกระจายมั่วๆ ไม่เกี่ยวข้อง ไม่ถูกต้อง แล้วนำมาประมวลผลโดยเด็ดขาด ซึ่งอาจจะได้รับผลร้ายทั้งโทษทางอาญา โทษปรับทางปกครอง และกลับกำแพงตามมาอีกด้วย ถือเป็นยันต์แถวคุ้มครองให้ผู้ควบคุมข้อมูลส่วนบุคคล (DC : Data Controller) ได้รับการสะกิดต่อมคิดคำนึงให้มากๆ เข้าไว้ (You Should only collect information which is relevant and accurate for a particular aim.)

                 แถวที่ 2 : U = Use Limitation “ตราบที่ใช้จำกัด” : ข้อมูลที่รวบรวมจะต้องไม่ใช้เพื่อวัตถุประสงค์อื่นใด อันเป็นการนอกเหนือไปจากที่ได้ระบุเอาไว้ในเวลาที่รวบรวมมา สรรพคุณในแถวนี้ คือ เน้นการใช้ข้อมูลส่วนบุคคลให้สอดคล้องตรงกับวัตถุประสงค์ในการจัดเก็บ รวบรวม ใช้ และเปิดเผยครับ ต้องรวบรวมมาอย่างจำกัดตามจำเป็นด้วย คำว่า จำกัดกับจำเป็น เป็นของคู่กัน ติดตามอาจารย์กฤษฎ์ก็จะบอกเคล็ดลับนี้ให้หมด ฉะนั้น หากมีการนำไปใช้ในวัตถุประสงค์อื่นก็ต้องแจ้งและต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล หรือไม่ก็ต้องไปสอดส่องดูเงื่อนไขว่า มีกฎหมายกำหนดให้ทำได้ หรือมีข้อยกเว้นให้ทำได้ อะไรอย่างไรด้วยนะ (Collected data must not be used for purposes other than the ones specified at the time of collection.) 
 

                 แถวที่ 3 : O = Openness “จัดให้อย่างเปิดเผย” : บุคคลควรสามารถใช้ประโยชน์จากการรวบรวมข้อมูลส่วนบุคคล และสามารถติดต่อผู้ควบคุมข้อมูลส่วนบุคคล (DC : Data Controller) ที่เป็นคนหรือองค์กร ซึ่งรวบรวมข้อมูลส่วนบุคคล การจะก่อเกิดสรรพคุณในแถวนี้ได้ องค์กรเราต้องนำไปกำหนดวิธีการและรูปแบบ หลักเกณฑ์ แนวปฏิบัติ นโยบายความเป็นส่วนตัว ประกาศความเป็นส่วนตัวต่างๆ นานาจิปาถะ ว่าด้วยการเปิดเผยข้อมูลส่วนบุคคล โดยต้องไม่ทำให้เจ้าของข้อมูลส่วนบุคคลนั้นเกิดความเสียหาย ซึ่งสรรพคุณในข้อนี้จะคุ้มภัยการถูกฟ้องร้อง ถือเป็นประโยชน์ที่ดีต่อการรวบรวมข้อมูลส่วนบุคคลนั้นๆ นะจ๊ะ (Individuals should be able to avail themselves of data collection and be able to contact the entity collecting this information.) 
 

                 แถวที่ 4 : S = Security Safeguards “ไม่ละเลยปลอดภัย” : มาตรการที่เหมาะสมจะต้องดำเนินการเพื่อปกป้องข้อมูลจากการใช้งานที่ไม่ได้รับอนุญาต การทำลาย การปรับเปลี่ยน หรือการเปิดเผยข้อมูลส่วนบุคคล สรรพคุณในข้อนี้เน้นย้ำให้เราสร้างมาตรการรักษาความมั่นคงปลอดภัยในการจัดเก็บข้อมูลส่วนบุคคล (โปรดอย่าลืมหลัก CIA : “ความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล” หมายความว่า การธำรงไว้ซึ่งความลับ (Confidentiality) ความถูกต้องครบถ้วน (Integrity) และสภาพพร้อมใช้งาน (Availability) ของข้อมูลส่วนบุคคล (Personal Data (PD : Ref.PDPA Thailand) / Personally Identifiable Information ข้อมูลที่ระบุตัวบุคคลได้ (PII : Ref.ISO / IEC27701 : 2019)) 
 

                 ทั้งนี้ เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยมิชอบ เอามาจาก “ประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เรื่อง “มาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล พ.ศ. 2563” ข้อ 3 + Extension (AJK) 1 : ตรงนี้นำมาจาก ISO/IEC27001 : 2013 Corrigenda2 : 2015 ซึ่งเป็นมาตรฐาน IT-ST (Information Tecnology-Security Techniques) : ISMS Requirements (Information Security Management Systems) ระบบบริหารจัดการความมั่นคงปลอดภัยสำหรับสารสนเทศ ในข้อกำหนดที่ 6.1.2 Information security risk assessment (การประเมินความเสี่ยงด้านความมั่นคงปลอดภัยสำหรับสารสนเทศ)) ทั้งนี้ ก็เพื่อป้องกันไม่ให้มีผู้ใดหรือใครเข้ามาล่วงละเมิดต่อข้อมูลส่วนบุคคลที่องค์กรเราได้ทำการจัดเก็บ และนำไปใช้ในการประมวลผลครับ อันเป็นการทำให้เจ้าของข้อมูลได้รับความเสียหายตามมาได้ ฉะนั้น หากเราสามารถป้องกันได้เป็นอย่างดี ก็จะทำให้ไม่ได้รับผลร้ายทั้งทางแพ่ง ทางอาญา และโทษปรับทางปกครองในที่สุด ซึ่ง Privacy กับ Security มันเป็นปาท่องโก๋ ของต้องคู่กัน พรากจากไม่ได้เป็นอันขาด (Reasonable measures must be taken to protect data from unauthorized use, destruction, modification, or disclosure of personal information.)
 

                 แถวที่ 5 : P2 = Purpose Specification กับ Individual Participation “ต้องให้มีส่วนร่วม”, “สวมวัตถุประสงค์” : แถวนี้จะมีแถวย่อยๆ ด้วย แถวย่อยแรก “ต้องให้มีส่วนร่วม” หมายถึง Purpose Specification จะเน้นว่าบรรดาวัตถุประสงค์ในการเก็บรวบรวม การใช้งานที่ตั้งใจไว้ สำหรับบางส่วนของข้อมูลจะต้องเป็นที่รู้ ในขณะมีการเก็บรวบรวมข้อมูลส่วนบุคคล คือ ต้องทำให้เกิดความชัดเจนเพียงพอในการกำหนดวัตถุประสงค์ เพื่อใช้จัดเก็บข้อมูลส่วนบุคคลนั้นๆ (The intended use for a particular piece of information must be known at the time of collection.) ส่วนแถวแยกหลัง คือ “สวมวัตถุประสงค์” มาจาก Individual Participation คือ การที่บุคคลที่เกี่ยวข้องควรทราบว่า ข้อมูลของพวกเขาถูกรวบรวมและจะต้องสามารถเข้าถึงได้ หากมีข้อมูลดังกล่าวอยู่ ต้องมีการกำหนดสิทธิของเจ้าของข้อมูลส่วนบุคคลที่มีเหนือข้อมูลส่วนบุคคลของตนเองไว้ด้วยนะครับ (The concerned individual should know if their information has been collected and must be able to access it if such data exists.) 
 

                  แถวที่ 6 : A = Accountability “คงความรับผิดชอบ” : ผู้รวบรวมข้อมูลควรรับผิดชอบต่อความล้มเหลวในการปฏิบัติตามกฎข้างต้น (ถือทุกแถว ทุกอักขระ ล้วนอยู่ในความรับผิดชอบเกินหน้าที่ ก็คือรับผิดชอบที่ตัวกระทำ) ต้องมีบุคคลที่ทุ่มเท มีการกำหนดความรับผิดชอบ มีการใช้มาตรการทางวินัย บทกำหนดโทษต่างๆ หากมีการละเมิดข้อมูลส่วนบุคคลขึ้น มีคำที่รับรู้มาและมีความใกล้กันมากเมื่อแปลเป็นไทย คือคำว่า ภาระรับผิดชอบ (accountability) กับคำว่า ความรับผิดชอบ (responsibility) ซึ่งคำว่า ความรับผิดชอบ คือ การรับผิดชอบต่อภาระหน้าที่ตามตำแหน่งงานที่ได้รับมา ทั้งในการปฏิบัติงานเพื่อบรรลุเป้าหมายและการรักษากฎระเบียบ แต่ภาระรับผิดชอบ คือ การรับผิดชอบที่ผู้ปฏิบัติงานจะต้องถูกควบคุม ตรวจสอบ กฎหมายเพ่งเล็ง ชี้แจงต่อสาธารณะ ซึ่งเป็นพื้นที่ภายนอก ผู้ปฏิบัติหน้าที่จึงต้องมีความโปร่งใส แฟร์ และสามารถถูกตรวจสอบได้ ดังนั้น ภาระรับผิดชอบจึงมีขอบข่ายกว้างกว่า ความรับผิดชอบท่องเอาไว้เลยว่า responsibility คือ รับผิดชอบต่องานที่ได้รับมอบหมาย ส่วน accountability คือ รับผิดชอบต่อผลการกระทำของตัวเอง นั่นหมายความง่ายๆ ว่า คนคนหนึ่งอาจจะมี responsibility แต่ไม่มี accountability ได้ ในทางกลับกัน คนที่มี accountability ส่วนมาก เน้นว่าส่วนมากนะ ก็มักจะมี responsibility ตามไปด้วย แต่ก็เคยเห็นส่วนน้อยอยู่เหมือนกัน ประเภทที่ไม่รับผิดชอบงาน แต่กลับรับผิดชอบผลการกระทำของตัวเอง (Data collector should be held accountable for failing to abide by any of the above rules. There needs to be a dedicated person.) 
 

                 แถวที่ 7 : C =  Collection Limitation “มอบให้เก็บจำกัด” : การรวบรวมข้อมูลควรเกิดขึ้นกับความรู้และความยินยอมจากบุคคลที่เกี่ยวข้อง (เจ้าของข้อมูลส่วนบุคคล) เท่านั้น รายการที่ได้มาซึ่งข้อมูลส่วนบุคคลและวิธีการที่ถูกต้องและชอบด้วยกฎหมาย ตัวเจ้าของข้อมูลส่วนบุคคลเองเขาก็ต้องรับทราบแล้วก็ต้องให้ความยินยอมในการจัดเก็บข้อมูลส่วนบุคคลนั้นด้วย แต่ทั้งนี้ทั้งนั้นก็ต้องไม่ลืมที่จะไปพิจารณาฐาน หรือเหตุแห่งการประมวลผลให้ทำได้ตามกฎหมาย (Lawful Basis for Processing) ซึ่งมีถึง 7 ฐาน ด้วยนะครับ (Data collection should occur only with the knowledge and consent of a concerned individual (data subject.)) 
 

                 ดังนั้น ถ้าปฏิบัติให้ครบทั้ง 7 แถวข้างต้นแล้วก็จะขลัง ถือได้ว่าครบถ้วนใน 8 หลักการของ OECD ซึ่งเป็นมรดกโลกด้านคุ้มครองข้อมูลส่วนบุคคลแล้วล่ะครับ เป็นของขลังสักติดสติและปัญญา เอาไว้คุ้มครององค์กรผู้ควบคุมข้อมูลส่วนบุคคล และตัวเจ้าของข้อมูลส่วนบุคคลด้วย สามารถใช้เป็นรากฐานสำคัญในการค้ำยันให้ระบบการบริหารจัดการและการปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลสัมฤทธิ์ผล และบรรลุเป้าหมายที่องค์กรได้วางไว้ โดยจะเกิดผลดีต่อตัวองค์กร ผู้มีส่วนได้ส่วนเสีย เจ้าของข้อมูลส่วนบุคคล และเป็นการปฏิบัติที่ถูกต้องตามครรลองที่ควรจะเป็นอีกด้วย ดังนั้น รากฐานนี้จึงเป็นรากฐานที่ต้องถูกวางและสมควรที่จะนำยันต์นี้ไปสักเอาไว้ให้เป็นการถาวร เพื่อให้การคุ้มครองข้อมูลส่วนบุคคลนั้นเกิดทั้งประสิทธิภาพและประสิทธิผลในที่สุด 
 

                “ยันต์ 7 แถว 8 ค้ำยัน คุ้มครองข้อมูลส่วนบุคคล” นั้น ผู้ถูกสักต้องปฏิบัติชอบตามกฎหมาย ปฏิบัติดี ไม่ลบหลู่ผู้มีพระคุณ ครูบาอาจารย์ ปฏิบัติอย่างสม่ำเสมอ หมั่นอัปเดตแนวทางรักษาความมั่นคงปลอดภัยทางไซเบอร์ และข้อมูลส่วนบุคคลอย่างสม่ำเสมอ เปิดใจเรียนรู้ ต่อยอด เพื่อเติมฤทธานุภาพของยันต์ให้กล้าแกร่งคงกระพันอย่างยั่งยืนด้วยนะครับ ถ้าท่องคาถาหนุนดวงอย่างนะโมบุญฤทธิ์ อิติปิโส ฯลฯ ก็จะดี ส่วนข้อห้ามอื่นๆ ไม่มีข้อถืออะไรมากไปกว่านี้ หากไม่ปฏิบัติตามถือว่าผิด ของที่ได้ไปนั้นอาจหลุดหรือเสื่อมมนต์ขลังได้ ยันต์ก็จะไม่คุ้มครอง อาจถึงขนาดต้องรับโทษทั้งแพ่ง อาญา ทางปกครองตามมาได้ขอรับ
 

               “ควิ ยู โอ สะปะ เภอ อะ เซ” : ความไม่รู้แก่น PDPA เป็นอวิชชา
               หน้าจัดซะจริงๆ และถ้ามันติดโควิด-19 ขึ้นมาจริง ก็จงอย่าแม้แต่จะคิดปกปิดไทม์ไลน์เชียวนะครับ แม้ต้องอับอายขายขี้หน้า ดูไม่ดี ความลับถูกเปิดเผยล่อนจ้อน คุณก็ต้องเปิดเผย แม้จะต้องส่งผลกระทบต่อวิถีชีวิตและการดำรงอยู่ของคุณ ก็ต้องแสดงสปิริตรับผิดชอบต่อสังคม ก่อนคนอื่นที่รู้จะออกมา “แฉ” นะครับ