ขั้นตอนในการประกันสิทธิมนุษยชนในการเปลี่ยนแปลงทางดิจิทัล

การคุ้มครองข้อมูลส่วนบุคคลคือการคุ้มครองสิทธิมนุษยชนและเสรีภาพขั้นพื้นฐานที่เกี่ยวข้องกับข้อมูล

เมื่อวันที่ 17 เมษายน 2023 รัฐบาล ได้ออกพระราชกฤษฎีกาฉบับที่ 13/2023/ND-CP (พระราชกฤษฎีกา) เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ซึ่งมีผลบังคับใช้ตั้งแต่วันที่ 1 กรกฎาคม 2023 โดยเป็นไปตามข้อกำหนดในการคุ้มครองสิทธิข้อมูลส่วนบุคคล ป้องกันการละเมิดข้อมูลส่วนบุคคล ส่งผลกระทบต่อสิทธิและผลประโยชน์ของบุคคลและองค์กร

ไฮไลท์

พระราชกฤษฎีกาเป็นเอกสารทางกฎหมายที่ควบคุมการคุ้มครองข้อมูลส่วนบุคคลและความรับผิดชอบของหน่วยงาน องค์กร และบุคคลที่เกี่ยวข้องในการคุ้มครองข้อมูลส่วนบุคคล

ประการแรก การคุ้มครองข้อมูลส่วนบุคคลคือการคุ้มครองสิทธิมนุษยชนขั้นพื้นฐานและเสรีภาพที่เกี่ยวข้องกับข้อมูล บทบัญญัติของพระราชกฤษฎีกาว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลในการปฏิบัติงานมีจุดมุ่งหมายเพื่อป้องกันไม่ให้สิทธิและเสรีภาพส่วนบุคคลของบุคคลแต่ละคนถูกละเมิด

ในเวลาเดียวกันความปลอดภัยของข้อมูลส่วนบุคคลถือเป็นสิ่งสำคัญอย่างยิ่ง เนื่องจากหากข้อมูลถูกขโมยไป อาจทำให้เกิดความสูญเสีย ทางเศรษฐกิจ และสังคม มีความเสี่ยงต่างๆ เช่น การแบล็กเมล์ การฉ้อโกง การยึดครองทรัพย์สิน การหมิ่นประมาท การละเมิดเกียรติยศ ศักดิ์ศรี การล่วงละเมิดทางเพศ... ซึ่งก่อให้เกิดผลทั้งทางวัตถุและทางจิตวิญญาณ ส่งผลโดยตรงต่อสิทธิและผลประโยชน์ที่ถูกต้องตามกฎหมายของหน่วยงาน องค์กร ธุรกิจ และบุคคล

ประการที่สอง ส่งเสริมและเคารพสิทธิของเจ้าของข้อมูลส่วนบุคคล สิทธิของเจ้าของข้อมูลส่วนบุคคลได้แก่ สิทธิในการเข้าถึง สิทธิในการยินยอมหรือไม่ยินยอมในการประมวลผลข้อมูลส่วนบุคคล สิทธิในการได้รับแจ้ง และสิทธิในการขอให้ลบข้อมูล...

นอกจากนี้ เจ้าของข้อมูลยังมีสิทธิ์ที่จะปกป้องตนเองจากบุคคลอื่นที่ละเมิดข้อมูลส่วนบุคคลของตน เจ้าของข้อมูลมีสิทธิ์ที่จะเรียกร้องค่าชดเชยความเสียหายในกรณีที่เกิดการละเมิดบทบัญญัติของพระราชกฤษฎีกาซึ่งก่อให้เกิดความเสียหายต่อสิทธิในการคุ้มครองข้อมูลส่วนบุคคล นอกจากนี้ พระราชกฤษฎีกายังกำหนดอย่างชัดเจนว่าการรวบรวม โอน หรือซื้อและขายข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลถือเป็นการฝ่าฝืนกฎหมาย

อย่างไรก็ตาม สิทธิของบุคคลในการคุ้มครองข้อมูลส่วนบุคคลไม่ใช่สิทธิโดยเด็ดขาด แต่สามารถจำกัดได้ในกรณีฉุกเฉินเพื่อปกป้องชีวิตและสุขภาพของบุคคลหรือผู้อื่น สถานการณ์ฉุกเฉินเกี่ยวกับการป้องกันประเทศ ความมั่นคงของชาติ ความสงบเรียบร้อยและความปลอดภัยทางสังคม การปฏิบัติตามภาระผูกพันตามสัญญาที่กำหนดไว้ หรือการบริการกิจกรรมของหน่วยงานของรัฐที่ได้รับการกำหนดโดยกฎหมายเฉพาะ

บทบัญญัติข้อยกเว้นมีวัตถุประสงค์เพื่อนำหลักการในการรับรองสิทธิของบุคคลและองค์กรมาใช้ แต่ไม่ละเมิดผลประโยชน์อันชอบธรรมของบุคคลอื่น องค์กร หรือผลประโยชน์ระดับชาติ เพื่อใช้สิทธิเหล่านั้น

ประการที่สาม ส่งเสริมกระบวนการบูรณาการระหว่างประเทศในประเด็นการคุ้มครองข้อมูลส่วนบุคคล พระราชกฤษฎีกานี้สอดคล้องกับแนวปฏิบัติและระเบียบข้อบังคับระหว่างประเทศเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ประเทศพัฒนาแล้วจำนวนมากได้ทำให้ประเด็นการคุ้มครองข้อมูลส่วนบุคคลเป็นกฎหมาย ซึ่งเป็นพื้นฐานที่เวียดนามใช้ศึกษาและอ้างอิง

นอกจากนี้ องค์กรระหว่างประเทศที่เวียดนามเป็นสมาชิกหรือร่วมมือกับเวียดนามได้ออกอนุสัญญา คำแนะนำ และมาตรฐานเกี่ยวกับความเป็นส่วนตัวและการคุ้มครองข้อมูลและข้อมูลส่วนบุคคล ซึ่งรวมถึงหลักการความเป็นส่วนตัวขององค์การเพื่อความร่วมมือและการพัฒนาทางเศรษฐกิจ (OECD) อนุสัญญาของคณะมนตรีแห่งยุโรปว่าด้วยการคุ้มครองบุคคลเกี่ยวกับการประมวลผลข้อมูลและข้อมูลส่วนบุคคลโดยอัตโนมัติ แนวปฏิบัติของสหประชาชาติเกี่ยวกับข้อมูลส่วนบุคคลและไฟล์ข้อมูลในคอมพิวเตอร์ กรอบความเป็นส่วนตัวของความร่วมมือทางเศรษฐกิจเอเชีย- แปซิฟิก (APEC) มาตรฐานสากลว่าด้วยความเป็นส่วนตัวและการคุ้มครองข้อมูลและข้อมูลส่วนบุคคล (มติมาดริด) ข้อบังคับทั่วไปของสหภาพยุโรปว่าด้วยการคุ้มครองข้อมูล (GDPR)...

นอกจากนี้ ในกระบวนการส่งเสริมความร่วมมือระหว่างประเทศของเราและประเทศและเขตพื้นที่อื่นๆ มีประเทศมากกว่า 80 ประเทศที่ออกเอกสารทางกฎหมายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ซึ่งหลายฉบับมีบทบัญญัติที่บังคับใช้กับองค์กรและบุคคลในเวียดนาม ดังนั้น กฎระเบียบที่เฉพาะเจาะจงและละเอียดเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลจึงมุ่งหวังที่จะสร้างสภาพแวดล้อมแห่งความเท่าเทียมและหลักนิติธรรมในเวียดนาม รวมถึงสำหรับบุคคลและองค์กรต่างประเทศด้วย

ความท้าทาย

ขณะนี้ยังคงมีความท้าทายสำคัญในการบังคับใช้พระราชกฤษฎีกา

ประการแรก ความท้าทายในการบริหารจัดการพนักงานขององค์กร ปัจจุบัน องค์กรหลายแห่งสร้างโมเดลของบริษัทแม่ บริษัทลูก ที่มีระบบนิเวศการบริหารจัดการแบบเดียวกัน ข้อมูลพนักงานสามารถเข้าถึงได้ง่ายจากระบบส่วนกลาง

อย่างไรก็ตามภายใต้กฎหมายเวียดนาม บริษัทแต่ละแห่ง (รวมถึงบริษัทแม่และบริษัทสาขา) ถือเป็นนิติบุคคลที่แยกจากกันและเป็นอิสระ ดังนั้น การถ่ายโอนข้อมูลส่วนบุคคลของพนักงานโดยบริษัทในระบบนิเวศเดียวกันเพื่อให้บริการกระบวนการจัดการภายในขององค์กรก็อาจถือเป็นการละเมิดความรับผิดชอบขององค์กรในการปกป้องข้อมูลส่วนบุคคลได้เช่นกัน

ในทางกลับกัน ในปัจจุบันสถานประกอบการหลายแห่งประสบปัญหาในการบังคับใช้พระราชกำหนดฯ และยังไม่ได้จัดทำกลไกและกฎเกณฑ์ในการบริหารจัดการและคุ้มครองข้อมูลส่วนบุคคลของพนักงานตามพระราชกำหนดฯ ให้แล้วเสร็จ

ประการที่สอง ไม่สอดคล้องกับกฎหมายว่าด้วยการดำเนินงานของสถาบันสินเชื่อ ปัจจุบันการดำเนินงานของสถาบันสินเชื่ออยู่ภายใต้กฎหมายเฉพาะทาง เช่น กฎหมายว่าด้วยสถาบันสินเชื่อ 2553 (แก้ไขเพิ่มเติมในปี 2557) กฎหมายว่าด้วยการป้องกันการฟอกเงิน พระราชกฤษฎีกา 117/2561/ND-CP ว่าด้วยการรักษาความลับและการให้ข้อมูลลูกค้าของสถาบันสินเชื่อและสาขาธนาคารต่างประเทศ หนังสือเวียน 09/2563/TT-NHNN ของธนาคารแห่งรัฐที่ควบคุมความปลอดภัยของระบบสารสนเทศในการดำเนินงานธนาคารในระดับที่ต่ำกว่ากฎหมาย

ในทางกลับกัน สำหรับกิจกรรมการธนาคาร การประมวลผลข้อมูลมีผลกระทบต่อข้อมูลส่วนบุคคล เช่น การรวบรวม บันทึก วิเคราะห์ ยืนยัน จัดเก็บ แก้ไข เผยแพร่ รวม เข้าถึง ดึงกลับ เรียกคืน เข้ารหัส ถอดรหัส คัดลอก แบ่งปัน ส่งต่อ จัดหา โอน ลบ ทำลายข้อมูลส่วนบุคคลหรือการดำเนินการอื่นที่เกี่ยวข้อง ถือเป็นสิ่งจำเป็นในการให้บริการแก่ลูกค้าและจัดการความเสี่ยงในกิจกรรมการธนาคาร เพื่อให้แน่ใจว่าระบบการเงินมีความปลอดภัย ดังนั้น กิจกรรมการประมวลผลข้อมูลส่วนบุคคลของลูกค้าจำนวนมากจึงไม่สามารถและไม่จำเป็นต้องได้รับความยินยอมจากลูกค้า ในขณะที่มาตรา 3 วรรค 2 และมาตรา 9 วรรค 1 ของพระราชกฤษฎีกา ระบุว่าบุคคลมีสิทธิที่จะทราบเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลของตน เว้นแต่ในกรณีที่กฎหมายอื่นกำหนดไว้เป็นอย่างอื่น

หรือในวรรค 2 มาตรา 9 กำหนดว่าบุคคลมีสิทธิ์ที่จะไม่ยินยอมให้ดำเนินการประมวลผลข้อมูลส่วนบุคคลของตน บุคคลมีสิทธิ์ที่จะลบ เข้าถึง ร้องขอจำกัดการประมวลผลข้อมูล และคัดค้านการประมวลผลข้อมูล เว้นแต่ในกรณีที่กฎหมายอื่นมีบทบัญญัติอื่นตามมาตรา 9 ดังนั้น จึงจะสับสนและไม่เหมาะสมหากใช้พระราชกฤษฎีกาอย่างเข้มงวดและไม่มีแนวทางที่เป็นหนึ่งเดียว

นอกจากนี้ การให้บริการและผลิตภัณฑ์ของสถาบันสินเชื่อยังดำเนินการตามกระบวนการต่างๆ มากมายบนผลิตภัณฑ์เดียว โดยแต่ละกระบวนการบนผลิตภัณฑ์เดียวประกอบด้วยขั้นตอนต่างๆ มากมาย และเกี่ยวข้องกับการรวบรวม ประเมิน วิเคราะห์ และจัดเตรียมข้อมูลในไฟล์ลูกค้าจำนวนมาก ในขณะที่พระราชกฤษฎีกากำหนดให้ผู้ควบคุมและประมวลผลข้อมูลส่วนบุคคลต้องได้รับความยินยอมจากเจ้าของข้อมูล (ลูกค้า) ในทุกขั้นตอนการประมวลผลเมื่อดำเนินกิจกรรมการประมวลผลข้อมูลใดๆ (มาตรา 11) และก่อนดำเนินกิจกรรมการประมวลผลข้อมูล เจ้าของข้อมูลจะต้องได้รับแจ้ง (มาตรา 13) ซึ่งยังคงเป็นอุปสรรคอีกประการต่อการดำเนินงานของสถาบันสินเชื่อ

นอกจากนี้ สถาบันสินเชื่อจะต้องปรับเปลี่ยนระบบเทคโนโลยีสารสนเทศและเอกสารกฎหมายย่อยอื่นๆ ที่เกี่ยวข้องกับการดำเนินงานของสถาบันสินเชื่อ โดยแบบฟอร์มสัญญาและข้อตกลงจะต้องได้รับการแก้ไขให้สอดคล้องกับพระราชกฤษฎีกา ซึ่งจะสร้างความยากลำบากอย่างมากต่อการดำเนินงานของธนาคาร

ประการที่สาม ประชากรส่วนหนึ่งไม่เข้าใจและไม่ตระหนักถึงการปกป้องข้อมูลส่วนบุคคลของตนเอง จึงแชร์ข้อมูลส่วนบุคคลบนแพลตฟอร์มโซเชียลเน็ตเวิร์กอย่างง่ายดาย ส่งผลให้ผู้ไม่หวังดีสามารถนำข้อมูลไปใช้ในทางที่ผิดได้โดยไม่ได้ตั้งใจ

บางคนไม่เห็นคุณค่าของการปกป้องข้อมูลส่วนบุคคลอย่างชัดเจนเท่ากับการรับประกันความเป็นส่วนตัวของบุคคลทั่วไป และยังไม่กล้าที่จะให้ข้อมูลส่วนบุคคล ทำให้หน่วยงานต่างๆ ประสบความยากลำบากในการดำเนินการบริหารจัดการของรัฐเกี่ยวกับการปกป้องข้อมูลส่วนบุคคล ตลอดจนทำหน้าที่สอบสวนและจัดการกับการละเมิดกฎหมายว่าด้วยการปกป้องข้อมูลส่วนบุคคล

นอกจากนี้ สถานการณ์การซื้อขายข้อมูลส่วนบุคคลมีความเสี่ยงต่อการรั่วไหลของข้อมูล ซึ่งส่งผลกระทบร้ายแรงต่อปัญหาทางเศรษฐกิจและสังคม ปรากฏการณ์ฉ้อโกง การโฆษณาแบบสแปมผ่านการโทรและข้อความยังคงมีความซับซ้อนและส่งผลกระทบต่อชีวิตความเป็นอยู่ของผู้คน

การรักษาความปลอดภัยข้อมูลส่วนบุคคลถือเป็นสิ่งสำคัญอย่างยิ่ง เนื่องจากหากข้อมูลถูกขโมยไป อาจทำให้เกิดความสูญเสียทางเศรษฐกิจและสังคม ส่งผลโดยตรงต่อสิทธิ์และผลประโยชน์ที่ถูกต้องตามกฎหมายของหน่วยงาน องค์กร ธุรกิจ และบุคคล (ที่มา: Shutterstock)

การนำพระราชกฤษฎีกาไปปฏิบัติ

เวียดนามเป็นหนึ่งในประเทศที่มีการพัฒนาอินเทอร์เน็ตและความเร็วการใช้งานสูงสุดในโลก โดยมีผู้ใช้มากกว่า 70 ล้านคน ข้อมูลส่วนบุคคลของประชากรมากกว่า 2 ใน 3 ของประเทศของเราถูกจัดเก็บ โพสต์ แชร์ และรวบรวมในสภาพแวดล้อมดิจิทัล ไซเบอร์สเปซในรูปแบบและระดับรายละเอียดที่แตกต่างกัน

พระราชกฤษฎีกาดังกล่าวถือเป็นความก้าวหน้าในการรับรองสิทธิมนุษยชนในการเปลี่ยนแปลงทางดิจิทัล แก้ไขข้อบกพร่องและความไม่เพียงพอในการปฏิบัติในการรับรอง ปกป้อง และรักษาความปลอดภัยข้อมูลส่วนบุคคล และเพิ่มความรับผิดชอบสำหรับหน่วยงาน องค์กร และบุคคลในประเทศและต่างประเทศ ที่เกี่ยวข้องโดยตรงหรือเกี่ยวข้องกับกิจกรรมการประมวลผลข้อมูลส่วนบุคคลในเวียดนาม

เพื่อให้พระราชกฤษฎีกามีประสิทธิผลในทางปฏิบัติอย่างแท้จริง จำเป็นต้องมุ่งเน้นที่ประเด็นต่อไปนี้:

ประการแรก เพิ่มความรับผิดชอบขององค์กรในการปกป้องสิทธิของคนงาน ในการใช้แรงงาน องค์กรจะต้องรวบรวมและจัดเก็บข้อมูลของพนักงาน เพื่อวัตถุประสงค์ในการบริหารจัดการแรงงาน นายจ้างและองค์กรได้รับและจัดการข้อมูลส่วนบุคคลจำนวนมากจากพนักงาน แต่หากการจัดการและประมวลผลข้อมูลไม่รอบคอบ จะนำไปสู่ผลลัพธ์ที่คาดเดาไม่ได้

วิสาหกิจต้องศึกษาและประเมินผลกระทบโดยรวมของพระราชกฤษฎีกาอย่างรอบคอบ ทบทวนและอัปเดตขั้นตอนและคำแนะนำในการจัดการข้อมูลส่วนบุคคลให้สอดคล้องกับกฎระเบียบใหม่โดยเร็ว พิจารณาจัดตั้งกลไกและสร้างกฎระเบียบการกำกับดูแลตามบทบัญญัติของพระราชกฤษฎีกา ดูแลรักษาและปฏิบัติตามกลไกและกฎระเบียบเหล่านั้นตลอดกระบวนการดำเนินงาน

ประการที่สอง ขจัดปัญหาในการดำเนินกิจกรรมสินเชื่อของ สถาบัน สินเชื่อ ธนาคารแห่งรัฐจำเป็นต้องประสานงานอย่างใกล้ชิดกับกระทรวงที่เกี่ยวข้อง โดยเฉพาะกระทรวงความมั่นคงสาธารณะ เพื่อให้คำแนะนำที่เป็นหนึ่งเดียวเกี่ยวกับการปกป้องข้อมูลส่วนบุคคลในภาคส่วนสินเชื่อ ทั้งเพื่อให้แน่ใจว่าส่งเสริมความรับผิดชอบในการดำเนินงานของสถาบันสินเชื่อในการปกป้องข้อมูลลูกค้า และตอบสนองความต้องการและภารกิจเฉพาะ

ประการที่สาม เพื่อให้พระราชกฤษฎีกามีผลบังคับใช้อย่างแท้จริง จำเป็นต้องเผยแพร่และให้ความรู้เกี่ยวกับกฎหมายให้ดี โดยเฉพาะอย่างยิ่ง จำเป็นต้องเน้นย้ำถึงความจำเป็นในการออกพระราชกฤษฎีกาด้วยจุดประสงค์สูงสุดในการเคารพและปกป้องสิทธิพลเมืองและสิทธิมนุษยชน และเหนือสิ่งอื่นใด เจ้าของข้อมูลส่วนบุคคลต้องเข้าใจและสร้างความตระหนักและความรับผิดชอบในการปกป้องข้อมูลส่วนบุคคลอย่างถ่องแท้