ขั้นตอนในการประกันสิทธิมนุษยชนในการเปลี่ยนแปลงทางดิจิทัล

การคุ้มครองข้อมูลส่วนบุคคลคือการคุ้มครองสิทธิมนุษยชนและเสรีภาพขั้นพื้นฐานที่เกี่ยวข้องกับข้อมูล

เมื่อวันที่ 17 เมษายน 2566 รัฐบาล ได้ออกพระราชกฤษฎีกาฉบับที่ 13/2023/ND-CP (พระราชกฤษฎีกา) ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล มีผลบังคับใช้ตั้งแต่วันที่ 1 กรกฎาคม 2566 โดยเป็นไปตามข้อกำหนดในการคุ้มครองสิทธิข้อมูลส่วนบุคคล ป้องกันการละเมิดข้อมูลส่วนบุคคล กระทบต่อสิทธิและผลประโยชน์ของบุคคลและองค์กร

ไฮไลท์

พระราชกฤษฎีกาเป็นเอกสารทางกฎหมายที่ควบคุมการคุ้มครองข้อมูลส่วนบุคคลและความรับผิดชอบของหน่วยงาน องค์กร และบุคคลที่เกี่ยวข้องในการคุ้มครองข้อมูลส่วนบุคคล

ประการแรก การคุ้มครองข้อมูลส่วนบุคคลคือการคุ้มครองสิทธิมนุษยชนและเสรีภาพขั้นพื้นฐานที่เกี่ยวข้องกับข้อมูล บทบัญญัติของพระราชกฤษฎีกาว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลในการดำเนินงานมีวัตถุประสงค์เพื่อป้องกันไม่ให้สิทธิและเสรีภาพส่วนบุคคลของบุคคลใดบุคคลหนึ่งถูกละเมิด

ในเวลาเดียวกันความปลอดภัยของข้อมูลส่วนบุคคลมีความสำคัญเป็นพิเศษ เพราะหากข้อมูลถูกขโมยไป อาจทำให้เกิดความสูญเสีย ทางเศรษฐกิจ และสังคมได้ เช่น การแบล็กเมล์ การฉ้อโกง การยักยอกทรัพย์สิน การหมิ่นประมาท การละเมิดเกียรติยศ ศักดิ์ศรี การล่วงละเมิดทางเพศ... ซึ่งก่อให้เกิดผลทั้งทางวัตถุและทางจิตวิญญาณ ส่งผลโดยตรงต่อสิทธิและผลประโยชน์ที่ถูกต้องตามกฎหมายของหน่วยงาน องค์กร ธุรกิจ และบุคคล

ประการที่สอง ส่งเสริมและเคารพสิทธิของเจ้าของข้อมูลส่วนบุคคล สิทธิของเจ้าของข้อมูลส่วนบุคคลประกอบด้วยสิทธิในการเข้าถึง สิทธิที่จะยินยอมหรือไม่ยินยอมในการประมวลผลข้อมูลส่วนบุคคล สิทธิที่จะได้รับแจ้ง และสิทธิในการขอให้ลบข้อมูล...

นอกจากนี้ เจ้าของข้อมูลยังมีสิทธิ์ที่จะปกป้องตนเองจากการละเมิดข้อมูลส่วนบุคคลของผู้อื่น เจ้าของข้อมูลมีสิทธิ์เรียกร้องค่าเสียหายได้หากมีการละเมิดบทบัญญัติของพระราชกฤษฎีกาซึ่งก่อให้เกิดความเสียหายต่อสิทธิในการคุ้มครองข้อมูลส่วนบุคคล พระราชกฤษฎีกายังกำหนดไว้อย่างชัดเจนว่า การรวบรวม การโอน หรือการซื้อขายข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล ถือเป็นการฝ่าฝืนกฎหมาย

อย่างไรก็ตาม สิทธิของเจ้าของข้อมูลในการปกป้องข้อมูลส่วนบุคคลไม่ใช่สิทธิโดยเด็ดขาด แต่สามารถจำกัดได้ในกรณีฉุกเฉินเพื่อปกป้องชีวิตและสุขภาพของบุคคลหรือบุคคลอื่น สถานการณ์ฉุกเฉินเกี่ยวกับการป้องกันประเทศ ความมั่นคงของชาติ ความสงบเรียบร้อยและความปลอดภัยทางสังคม การปฏิบัติตามภาระผูกพันตามสัญญาที่ได้กำหนดไว้ หรือการให้บริการกิจกรรมของหน่วยงานของรัฐที่ได้รับการกำหนดโดยกฎหมายเฉพาะ

บทบัญญัติข้อยกเว้นมีวัตถุประสงค์เพื่อนำหลักการในการรับรองสิทธิของบุคคลและองค์กรมาใช้ แต่ไม่ละเมิดผลประโยชน์อันชอบธรรมของบุคคลอื่น องค์กร หรือผลประโยชน์ของชาติ เพื่อใช้สิทธิเหล่านั้น

ประการที่สาม ส่งเสริมกระบวนการบูรณาการระหว่างประเทศในประเด็นการคุ้มครองข้อมูลส่วนบุคคล พระราชกฤษฎีกานี้สอดคล้องกับแนวปฏิบัติและข้อบังคับระหว่างประเทศว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ประเทศที่พัฒนาแล้วหลายประเทศได้ทำให้ประเด็นการคุ้มครองข้อมูลส่วนบุคคลเป็นกฎหมาย ซึ่งเป็นพื้นฐานที่เวียดนามควรศึกษาและอ้างอิง

นอกจากนี้ องค์กรระหว่างประเทศที่เวียดนามเป็นสมาชิกหรือร่วมมือกับเวียดนามได้ออกอนุสัญญา คำแนะนำ และมาตรฐานเกี่ยวกับความเป็นส่วนตัวและการคุ้มครองข้อมูลและข้อมูลส่วนบุคคล ซึ่งรวมถึงหลักการความเป็นส่วนตัวขององค์การเพื่อความร่วมมือทางเศรษฐกิจและการพัฒนา (OECD) อนุสัญญาว่าด้วยการคุ้มครองบุคคลเกี่ยวกับการประมวลผลข้อมูลและข้อมูลส่วนบุคคลโดยอัตโนมัติของคณะมนตรีแห่งยุโรป แนวปฏิบัติของสหประชาชาติว่าด้วยข้อมูลส่วนบุคคลและไฟล์ข้อมูลที่ถูกประมวลผลด้วยคอมพิวเตอร์ กรอบความร่วมมือทางเศรษฐกิจเอเชีย - แปซิฟิก (APEC) ความเป็นส่วนตัว มาตรฐานสากลว่าด้วยความเป็นส่วนตัวและการคุ้มครองข้อมูลและข้อมูลส่วนบุคคล (ข้อมติมาดริด) ข้อบังคับทั่วไปว่าด้วยการคุ้มครองข้อมูลของสหภาพยุโรป (GDPR)...

นอกจากนี้ ในกระบวนการส่งเสริมความร่วมมือระหว่างประเทศของเรากับประเทศและดินแดนอื่นๆ มีมากกว่า 80 ประเทศที่ได้ออกเอกสารทางกฎหมายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ซึ่งหลายฉบับมีบทบัญญัติที่ใช้บังคับกับองค์กรและบุคคลในเวียดนาม ดังนั้น กฎระเบียบที่เฉพาะเจาะจงและละเอียดเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลจึงมุ่งสร้างสภาพแวดล้อมแห่งความเท่าเทียมและหลักนิติธรรมในเวียดนาม รวมถึงสำหรับบุคคลและองค์กรต่างชาติ

ความท้าทาย

ปัจจุบันการบังคับใช้พระราชกฤษฎีกายังคงมีความท้าทายสำคัญอยู่

ประการแรก ความท้าทายในการบริหารจัดการพนักงานขององค์กร ปัจจุบันองค์กรหลายแห่งมีรูปแบบการบริหารแบบบริษัทแม่ บริษัทลูก และมีระบบนิเวศการบริหารจัดการแบบเดียวกัน ซึ่งทำให้สามารถเข้าถึงข้อมูลพนักงานได้อย่างง่ายดายจากระบบส่วนกลาง

อย่างไรก็ตาม ตามกฎหมายเวียดนาม บริษัทแต่ละแห่ง (รวมถึงบริษัทแม่และบริษัทสาขา) ถือเป็นนิติบุคคลที่แยกจากกันและเป็นอิสระ ดังนั้น การถ่ายโอนข้อมูลส่วนบุคคลของพนักงานโดยบริษัทในระบบนิเวศเดียวกันเพื่อให้บริการกระบวนการจัดการภายในขององค์กรก็อาจถือเป็นการละเมิดความรับผิดชอบขององค์กรในการปกป้องข้อมูลส่วนบุคคลได้เช่นกัน

ในทางกลับกัน ในปัจจุบันหลายองค์กรประสบปัญหาในการบังคับใช้พระราชกำหนดฯ และยังไม่ได้จัดทำกลไกและระเบียบปฏิบัติในการจัดการและคุ้มครองข้อมูลส่วนบุคคลของพนักงานตามพระราชกำหนดฯ ให้แล้วเสร็จ

ประการที่สอง ไม่สอดคล้องกับกฎหมายว่าด้วยการดำเนินงานของสถาบันสินเชื่อ ปัจจุบันการดำเนินงานของสถาบันสินเชื่ออยู่ภายใต้การกำกับดูแลของกฎหมายเฉพาะทาง เช่น กฎหมายว่าด้วยสถาบันสินเชื่อ พ.ศ. 2553 (แก้ไขเพิ่มเติมในปี พ.ศ. 2557) กฎหมายว่าด้วยการป้องกันและปราบปรามการฟอกเงิน พระราชกฤษฎีกา 117/2018/ND-CP ว่าด้วยการรักษาความลับและการให้ข้อมูลลูกค้าของสถาบันสินเชื่อและสาขาธนาคารต่างประเทศ หนังสือเวียน 09/2020/TT-NHNN ของธนาคารแห่งรัฐที่ควบคุมความปลอดภัยของระบบสารสนเทศในการดำเนินงานธนาคารในระดับที่ต่ำกว่ากฎหมาย

ในทางกลับกัน สำหรับกิจกรรมการธนาคาร การประมวลผลข้อมูลมีผลกระทบต่อข้อมูลส่วนบุคคล เช่น การรวบรวม บันทึก วิเคราะห์ ยืนยัน จัดเก็บ แก้ไข เผยแพร่ รวม เข้าถึง ดึงกลับ เรียกคืน เข้ารหัส ถอดรหัส คัดลอก แบ่งปัน ส่งต่อ จัดหา โอน ลบ ทำลายข้อมูลส่วนบุคคลหรือการดำเนินการอื่นที่เกี่ยวข้อง ถือเป็นสิ่งจำเป็นในการให้บริการแก่ลูกค้าและจัดการความเสี่ยงในกิจกรรมการธนาคาร เพื่อให้แน่ใจว่าระบบการเงินมีความปลอดภัย ดังนั้น กิจกรรมการประมวลผลข้อมูลส่วนบุคคลของลูกค้าจำนวนมากจึงไม่สามารถและไม่จำเป็นต้องได้รับความยินยอมจากลูกค้า ในขณะที่มาตรา 2 มาตรา 3 และมาตรา 1 มาตรา 9 ของพระราชกฤษฎีการะบุว่าบุคคลมีสิทธิที่จะทราบเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลของตน ยกเว้นในกรณีที่กฎหมายอื่นกำหนดไว้เป็นอย่างอื่น

หรือในมาตรา 9 วรรค 2 บัญญัติว่า เจ้าของข้อมูลมีสิทธิที่จะไม่ยินยอมให้ประมวลผลข้อมูลส่วนบุคคลของตน เจ้าของข้อมูลมีสิทธิที่จะลบ เข้าถึง ร้องขอจำกัดการประมวลผลข้อมูล และคัดค้านการประมวลผลข้อมูล เว้นแต่ในกรณีที่กฎหมายอื่นมีบทบัญญัติอื่นตามมาตรา 9 ดังนั้น การบังคับใช้พระราชกฤษฎีกานี้อย่างเคร่งครัดและปราศจากแนวทางที่เป็นเอกภาพจึงอาจสร้างความสับสนและไม่เหมาะสม

นอกจากนี้ การให้บริการและผลิตภัณฑ์ของสถาบันสินเชื่อยังดำเนินการตามกระบวนการต่างๆ บนผลิตภัณฑ์เดียว ซึ่งแต่ละกระบวนการบนผลิตภัณฑ์เดียวประกอบด้วยขั้นตอนที่แตกต่างกันมากมาย และเกี่ยวข้องกับการรวบรวม ประเมินผล วิเคราะห์ และจัดเตรียมข้อมูลในไฟล์ลูกค้าขนาดใหญ่ ขณะเดียวกันพระราชกฤษฎีกากำหนดให้ผู้ควบคุมและผู้ประมวลผลข้อมูลส่วนบุคคลต้องได้รับความยินยอมจากเจ้าของข้อมูล (ลูกค้า) ในทุกขั้นตอนการประมวลผลเมื่อดำเนินกิจกรรมการประมวลผลข้อมูลใดๆ (มาตรา 11) และก่อนดำเนินกิจกรรมการประมวลผลข้อมูล เจ้าของข้อมูลจะต้องได้รับแจ้ง (มาตรา 13) ซึ่งยังคงเป็นอุปสรรคอีกประการหนึ่งต่อการดำเนินงานของสถาบันสินเชื่อ

นอกจากนี้ สถาบันสินเชื่อจะต้องปรับเปลี่ยนระบบเทคโนโลยีสารสนเทศและเอกสารย่อยอื่นๆ ที่เกี่ยวข้องกับการดำเนินงานของสถาบันสินเชื่อ รวมถึงแบบฟอร์มสัญญาและข้อตกลงจะต้องได้รับการแก้ไขให้สอดคล้องกับพระราชกฤษฎีกา ซึ่งจะสร้างความยากลำบากอย่างมากต่อการดำเนินงานของธนาคาร

ประการที่สาม ประชากรส่วนหนึ่งไม่เข้าใจและไม่ตระหนักถึงการปกป้องข้อมูลส่วนบุคคลของตนเอง จึงแชร์ข้อมูลส่วนบุคคลบนแพลตฟอร์มโซเชียลเน็ตเวิร์กอย่างง่ายดาย เปิดโอกาสให้ผู้ไม่หวังดีนำไปใช้ในทางที่ผิดโดยไม่ได้ตั้งใจ

บางคนไม่เห็นคุณค่าของการปกป้องข้อมูลส่วนบุคคลอย่างชัดเจนเท่ากับการรับประกันความเป็นส่วนตัวของบุคคล และไม่กล้าที่จะให้ข้อมูลส่วนบุคคล ทำให้เจ้าหน้าที่ประสบความยากลำบากในการดำเนินการจัดการของรัฐเกี่ยวกับการปกป้องข้อมูลส่วนบุคคล ตลอดจนดำเนินการสืบสวนและจัดการกับการละเมิดกฎหมายว่าด้วยการปกป้องข้อมูลส่วนบุคคล

นอกจากนี้ สถานการณ์การซื้อขายข้อมูลส่วนบุคคล ซึ่งมีความเสี่ยงต่อการรั่วไหลของข้อมูล ยังส่งผลกระทบร้ายแรงต่อปัญหาทางเศรษฐกิจและสังคม ปรากฏการณ์หลอกลวง โฆษณาสแปมผ่านโทรศัพท์และข้อความ ยังคงมีความซับซ้อนและส่งผลกระทบต่อชีวิตความเป็นอยู่ของผู้คน

ความปลอดภัยของข้อมูลส่วนบุคคลมีความสำคัญอย่างยิ่ง เพราะหากข้อมูลถูกขโมย อาจก่อให้เกิดความสูญเสียทางเศรษฐกิจและสังคม ส่งผลโดยตรงต่อสิทธิและผลประโยชน์โดยชอบธรรมของหน่วยงาน องค์กร ธุรกิจ และบุคคล (ที่มา: Shutterstock)

การนำพระราชกฤษฎีกาไปปฏิบัติ

เวียดนามเป็นหนึ่งในประเทศที่มีการพัฒนาอินเทอร์เน็ตและความเร็วการใช้งานสูงที่สุดในโลก โดยมีผู้ใช้งานมากกว่า 70 ล้านคน ข้อมูลส่วนบุคคลของประชากรมากกว่า 2 ใน 3 ของประเทศถูกจัดเก็บ โพสต์ แชร์ และรวบรวมไว้ในสภาพแวดล้อมดิจิทัลและไซเบอร์สเปซในรูปแบบและระดับรายละเอียดที่แตกต่างกัน

พระราชกฤษฎีกาดังกล่าวถือเป็นความก้าวหน้าในการรับรองสิทธิมนุษยชนในการเปลี่ยนแปลงทางดิจิทัล แก้ไขข้อบกพร่องและความไม่เพียงพอในการปฏิบัติในการรับรอง ปกป้อง และรักษาความปลอดภัยข้อมูลส่วนบุคคล และเพิ่มความรับผิดชอบสำหรับหน่วยงาน องค์กร และบุคคลในประเทศและต่างประเทศที่เกี่ยวข้องโดยตรงหรือเกี่ยวข้องกับกิจกรรมการประมวลผลข้อมูลส่วนบุคคลในเวียดนาม

เพื่อให้พระราชกฤษฎีกามีผลบังคับใช้อย่างแท้จริง จำเป็นต้องเน้นประเด็นต่อไปนี้:

ประการแรก เพิ่มความรับผิดชอบขององค์กรในการคุ้มครองสิทธิแรงงาน ในการใช้แรงงาน องค์กรต้องรวบรวมและจัดเก็บข้อมูลของพนักงาน เพื่อวัตถุประสงค์ในการบริหารจัดการแรงงาน นายจ้างและองค์กรได้รับและจัดการข้อมูลส่วนบุคคลจำนวนมากจากพนักงาน แต่หากการจัดการและประมวลผลข้อมูลอย่างไม่ระมัดระวัง จะนำไปสู่ผลลัพธ์ที่ไม่อาจคาดการณ์ได้

วิสาหกิจจำเป็นต้องศึกษาและประเมินผลกระทบโดยรวมของพระราชกฤษฎีกาอย่างรอบคอบ ทบทวนและปรับปรุงขั้นตอนและคำแนะนำในการจัดการข้อมูลส่วนบุคคลให้สอดคล้องกับกฎระเบียบใหม่โดยเร็ว พิจารณาจัดตั้งกลไกและสร้างกฎระเบียบการกำกับดูแลตามบทบัญญัติของพระราชกฤษฎีกา บำรุงรักษาและปฏิบัติตามกลไกและกฎระเบียบเหล่านั้นตลอดกระบวนการดำเนินงาน

ประการที่สอง ขจัดอุปสรรคในการดำเนินกิจกรรมสินเชื่อของ สถาบัน สินเชื่อ ธนาคารแห่งรัฐจำเป็นต้องประสานงานอย่างใกล้ชิดกับกระทรวงที่เกี่ยวข้อง โดยเฉพาะกระทรวงความมั่นคงสาธารณะ เพื่อให้คำแนะนำที่เป็นเอกภาพเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลในภาคสินเชื่อ ทั้งการส่งเสริมความรับผิดชอบในการดำเนินงานของสถาบันสินเชื่อในการคุ้มครองข้อมูลลูกค้า และการปฏิบัติตามข้อกำหนดและภารกิจเฉพาะด้าน

ประการที่สาม เพื่อให้พระราชกฤษฎีกามีผลบังคับใช้อย่างแท้จริง จำเป็นต้องเผยแพร่และให้ความรู้แก่กฎหมายอย่างจริงจัง โดยเฉพาะอย่างยิ่ง จำเป็นต้องเน้นย้ำถึงความจำเป็นในการออกพระราชกฤษฎีกาโดยมีวัตถุประสงค์สูงสุดในการเคารพและคุ้มครองสิทธิพลเมืองและสิทธิมนุษยชน และเหนือสิ่งอื่นใด เจ้าของข้อมูลส่วนบุคคลต้องเข้าใจและยกระดับความตระหนักรู้และความรับผิดชอบในการคุ้มครองข้อมูลส่วนบุคคลของตนเองอย่างถ่องแท้