เนื่องจากเป็นหนึ่งในประเทศที่มีการพัฒนาอินเทอร์เน็ตและความเร็วการใช้งานที่สูงที่สุดในโลก โดยมีประชากรเกือบ 80% ใช้งานอินเทอร์เน็ต ข้อมูลส่วนบุคคลของประชากรเวียดนาม 2 ใน 3 ถูกจัดเก็บ โพสต์ แชร์ และรวบรวมบนไซเบอร์สเปซในรูปแบบและระดับรายละเอียดที่แตกต่างกันมากมาย
ในปี พ.ศ. 2565 และ พ.ศ. 2566 เวียดนามได้ดำเนินคดีอาญา 5 คดี ซึ่งเกี่ยวข้องกับข้อมูลหลายพันกิกะไบต์ และการซื้อขายข้อมูลส่วนบุคคลหลายพันล้านรายการ สิ่งนี้แสดงให้เห็นว่ามีความจำเป็นเร่งด่วนในการปรับปรุงกฎหมายคุ้มครองข้อมูลส่วนบุคคลโดยอิงจากงานวิจัยและการอ้างอิงกฎหมายระหว่างประเทศ
กฎหมายระหว่างประเทศว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
 |
| GDPR ถือเป็นก้าวทางกฎหมายครั้งสำคัญในการสร้างกลไกการคุ้มครองข้อมูลส่วนบุคคลที่เข้มงวดที่สุดในโลกปัจจุบัน |
ข้อบังคับทั่วไปเกี่ยวกับการคุ้มครองข้อมูลของสหภาพยุโรป (EU) (GDPR) ถือเป็นก้าวสำคัญทางกฎหมายในการสร้างกลไกการคุ้มครองข้อมูลส่วนบุคคลที่เข้มงวดที่สุดในโลกปัจจุบัน และนำไปใช้กับองค์กรและธุรกิจทั้งหมดที่กำลังประมวลผลข้อมูลส่วนบุคคลของพลเมืองในสหภาพยุโรป
GDPR กำหนดบทลงโทษที่เท่าเทียมกันสำหรับธุรกิจที่ละเมิดทั่วทั้งสหภาพฯ โดยเฉพาะอย่างยิ่ง ค่าปรับสูงสุด 2% ของยอดขาย หรือ 10 ล้านยูโรสำหรับการละเมิดเล็กน้อย และ 4% ของยอดขาย หรือ 20 ล้านยูโรสำหรับการละเมิดร้ายแรง นอกจากค่าปรับแล้ว ธุรกิจที่ละเมิด GDPR ยังอาจได้รับโทษอื่นๆ เช่น ถูกบังคับให้หยุดประมวลผลข้อมูล หรือลบข้อมูลที่ได้รับการประมวลผลโดยละเมิด GDPR
หน่วยงานกำกับดูแลการคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรปคือหน่วยงานกำกับดูแลการคุ้มครองข้อมูลของสหภาพยุโรป (EDPS) ซึ่งเป็นหน่วยงานอิสระที่มีสมาชิกเป็นทนายความที่มีประสบการณ์ ผู้เชี่ยวชาญด้านไอที และผู้ดูแลระบบ
หน่วยงานนี้มีหน้าที่หลักในการกำกับดูแลการประมวลผลข้อมูลส่วนบุคคลในหน่วยงานและองค์กรของสหภาพยุโรป รวมถึงให้คำปรึกษาเกี่ยวกับปัญหาที่เกี่ยวข้องกับข้อมูลส่วนบุคคล นอกจากนี้ GDPR ยังกำหนดให้มีการจัดตั้งหน่วยงานคุ้มครองข้อมูลส่วนบุคคลในแต่ละประเทศสมาชิก เช่น คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลแห่งชาติ (ฝรั่งเศส ไอร์แลนด์...) หรือสำนักงานตรวจสอบการคุ้มครองข้อมูล (ฟินแลนด์ ลัตเวีย...)
ควบคู่ไปกับ EDPS สหภาพยุโรปยังได้จัดตั้งคณะกรรมการคุ้มครองข้อมูลยุโรป (EDPB) ซึ่งประกอบด้วยตัวแทนจากหน่วยงานคุ้มครองข้อมูลระดับชาติของรัฐสมาชิกและตัวแทนจากสหภาพยุโรป และทำหน้าที่เป็นองค์กรที่ปรึกษาอิสระหลักในประเด็นการคุ้มครองข้อมูลส่วนบุคคล โดยรับผิดชอบในการนำ GDPR ไปปฏิบัติอย่างสอดคล้องกันทั่วทั้งสหภาพ
GDPR กำหนดให้มีมาตรการลงโทษที่เข้มงวดทั้งที่เป็นสาระสำคัญและไม่เป็นสาระสำคัญ นอกจากนี้ หน่วยงานคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (EU) ยังได้ดำเนินการตามแบบจำลองคณะกรรมาธิการ/คณะกรรมาธิการ จึงมีอำนาจที่กว้างขวางและเป็นอิสระในการกำหนดมาตรการลงโทษหากองค์กรละเมิดกฎระเบียบคุ้มครองข้อมูลส่วนบุคคล และสามารถประเมินและตัดสินใจเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลได้อย่างอิสระ
กฎหมายคุ้มครองข้อมูลส่วนบุคคลแห่งประเทศจีน (PIPL) ซึ่งประกาศใช้ในปี พ.ศ. 2564 ถือเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลฉบับสมบูรณ์ระดับประเทศฉบับแรกในประเทศจีน PIPL มีมุมมองที่ค่อนข้างเป็นเอกภาพเกี่ยวกับข้อมูลส่วนบุคคล/ข้อมูลส่วนบุคคล ในฐานะข้อมูลที่ระบุหรือระบุตัวบุคคลใดบุคคลหนึ่ง โดยมุ่งเป้าไปที่กลุ่มบุคคลเฉพาะเจาะจงภายในเขตปกครองของจีน (มาตรา 4 บทที่ 1 ของ PIPL) ขณะเดียวกัน กฎหมายนี้ยังควบคุมประเด็นข้อมูลส่วนบุคคลที่ละเอียดอ่อน เพื่อกำหนดระเบียบข้อบังคับเกี่ยวกับสิทธิและหน้าที่ของบุคคลต่างๆ เกี่ยวกับกลุ่มข้อมูลที่เฉพาะเจาะจงยิ่งขึ้น
บทลงโทษสำหรับการละเมิดสิทธิข้อมูลส่วนบุคคลภายใต้ PIPL นั้นรุนแรงมาก รวมถึงการบังคับเยียวยา การยึดรายได้ที่ผิดกฎหมาย การระงับการให้บริการ การเพิกถอนใบอนุญาตประกอบธุรกิจหรือใบอนุญาตประกอบกิจการ และค่าปรับสูงสุด 50 ล้านหยวน หรือ 5% ของรายได้ต่อปีขององค์กรในปีงบประมาณก่อนหน้า นอกจากนี้ การละเมิดอาจถูกบันทึกไว้ใน "แฟ้มเครดิต" ของหน่วยประมวลผลภายใต้ระบบเครดิตสังคมแห่งชาติ
นอกจากนี้ หน่วยประมวลผลยังต้องรับผิดชอบในการชดเชยความเสียหายหากการละเมิดสิทธิและผลประโยชน์ขององค์กรและบุคคล บทลงโทษทางอาญาสำหรับการละเมิดประเภทนี้ยังระบุไว้อย่างชัดเจนในกฎหมายอาญาของจีน ซึ่งกำหนดโทษทางอาญาที่รุนแรงขึ้นสำหรับผู้ที่มีหน้าที่รับผิดชอบในการรักษาความลับของข้อมูล เพิ่มรูปแบบการยึดทรัพย์สิน และกำหนดโทษจำคุกตลอดชีวิตเป็นโทษจำคุกสูงสุด
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลของสิงคโปร์ (PDPA) ได้ประกาศใช้ในปี 2555 (แก้ไขเพิ่มเติมในปี 2563) กฎหมายของสิงคโปร์รับรองสิทธิในการคุ้มครองข้อมูลส่วนบุคคล รวมถึงความจำเป็นที่องค์กรต่างๆ จะต้องรวบรวม ใช้ และเปิดเผยข้อมูลเพื่อวัตถุประสงค์ที่เหมาะสมในบางกรณี
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) ยังกำหนดบทลงโทษทางการเงินที่รุนแรงสำหรับการละเมิดข้อมูล ผู้ที่ฝ่าฝืนกฎหมายจะต้องถูกปรับหรือจำคุก ค่าปรับขึ้นอยู่กับลักษณะและความรุนแรงของการละเมิด โดยมีตั้งแต่ 2,000 ถึง 100,000 ดอลลาร์สิงคโปร์ (เทียบเท่า 1.6 พันล้านดอง) และ/หรือจำคุกไม่เกิน 12 เดือน และในกรณีร้ายแรงอาจถึง 3 ปี1 สำหรับหน่วยงานและบริษัทที่ฝ่าฝืนกฎหมายอาจถูกปรับสูงสุด 10% ของยอดขายประจำปี
หน่วยงานที่มีบทบาทสำคัญในการประกันการปฏิบัติตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล คือ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ซึ่งเป็นหน่วยงานเฉพาะทางที่มีอำนาจหน้าที่กว้างขวางและมีอำนาจในการบังคับใช้กฎหมายอย่างกว้างขวาง มีสิทธิร้องขอให้บุคคลและองค์กรต่างๆ ให้ข้อมูลและเอกสารที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล กำหนดบทลงโทษทางการเงินสำหรับการละเมิด รวมถึงดำเนินการตามมาตรการอื่นๆ
การจัดตั้งหน่วยงานเฉพาะทางอย่างคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลของสิงคโปร์ ซึ่งทำงานอย่างอิสระและเชิงรุกในการตรวจจับ จัดการการละเมิด และบังคับใช้มาตรการคว่ำบาตร ถือเป็นเงื่อนไขประการหนึ่งสำหรับการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลอย่างมีประสิทธิภาพในสิงคโปร์
คำแนะนำสำหรับการปรับปรุงกฎหมายคุ้มครองข้อมูลส่วนบุคคลในเวียดนาม
ในปัจจุบันในเวียดนามมีเอกสารทางกฎหมาย 69 ฉบับที่เกี่ยวข้องโดยตรงกับปัญหาการคุ้มครองข้อมูลส่วนบุคคลตามที่กำหนดไว้ในเอกสารต่างๆ รวมถึงรัฐธรรมนูญ ประมวลกฎหมาย (4) กฎหมาย (39) ข้อบังคับ (1) พระราชกฤษฎีกา (2) หนังสือเวียน/หนังสือเวียนร่วม (4) และการตัดสินใจของรัฐมนตรี (1)
เอกสารเหล่านี้โดยพื้นฐานแล้วมุ่งประเด็นเรื่องการคุ้มครองข้อมูลส่วนบุคคลในทิศทางที่ส่งเสริมหลักการคุ้มครองความเป็นส่วนตัวของเจ้าของข้อมูล แต่มีข้อบังคับเกี่ยวกับข้อมูลที่เกี่ยวข้องกับข้อมูลส่วนบุคคลที่แตกต่างกัน โดยอ้างอิงถึงประเด็นสิทธิและหน้าที่ของเจ้าของข้อมูล การประมวลผลข้อมูล และวิธีการคุ้มครองข้อมูลส่วนบุคคล กฎหมายที่ควบคุมเรื่องการคุ้มครองข้อมูลส่วนบุคคลในเวียดนามประสบความสำเร็จอย่างน่าทึ่ง โดยเฉพาะอย่างยิ่งเมื่อวันที่ 17 เมษายน 2566 รัฐบาลได้ออกพระราชกฤษฎีกาเลขที่ 12/2023/ND-CP ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ซึ่งเป็นเอกสารแยกต่างหากที่ควบคุมเรื่องนี้ในประเทศของเรา เอกสารทางกฎหมายเหล่านี้ได้สร้างกรอบทางกฎหมายในการคุ้มครองข้อมูลส่วนบุคคล ระบุสิทธิของเจ้าของข้อมูลและฝ่ายประมวลผล กำหนดบทลงโทษสำหรับการละเมิดการคุ้มครองข้อมูลส่วนบุคคล และระบุหน่วยงานเฉพาะทางสำหรับการคุ้มครองข้อมูลส่วนบุคคล เช่น กรมความมั่นคงปลอดภัยไซเบอร์และการป้องกันอาชญากรรมทางเทคโนโลยีขั้นสูง ภายใต้ กระทรวงความมั่นคงสาธารณะ ...
 |
| เวียดนามกำลังเผชิญกับความเสี่ยง ความท้าทาย และอันตรายมากมายจากโลกไซเบอร์ โดยเฉพาะการรั่วไหลและการละเมิดข้อมูลส่วนบุคคลและข้อมูลอื่น ๆ ซึ่งก่อให้เกิดผลกระทบอันตรายมากมายต่อประชาชนและสังคม |
อย่างไรก็ตาม การดำเนินการตามเอกสารเหล่านี้จริงยังเผยให้เห็นข้อจำกัดมากมาย เช่น เอกสารกฎหมายแยกประเภทปัจจุบันมีเฉพาะในระดับพระราชกฤษฎีกาเท่านั้น ไม่ครอบคลุมถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล เนื้อหาจำนวนมากมีการควบคุมโดยทั่วไปและไม่ชัดเจน ทำให้ขาดคำแนะนำที่เฉพาะเจาะจงสำหรับแต่ละกรณี และบทลงโทษยังคงไม่เข้มงวดและไม่สามารถยับยั้งได้เพียงพอ...
ในสถานการณ์เช่นนี้ การปรับปรุงกฎหมายคุ้มครองข้อมูลส่วนบุคคลอย่างต่อเนื่องในเวียดนามเป็นประเด็นที่จำเป็นต้องศึกษาโดยอ้างอิงจากประสบการณ์ของประเทศอื่นๆ โดยเฉพาะอย่างยิ่ง:
ประการแรก ให้สร้างกฎหมายคุ้มครองข้อมูลส่วนบุคคล ในบริบทของการปฏิวัติอุตสาหกรรม 4.0 ในระดับภูมิภาคและระดับชาติ มี 80 ประเทศที่ได้ออกกฎหมายเฉพาะเพื่อคุ้มครองข้อมูลส่วนบุคคล เวียดนามจำเป็นต้องศึกษาและออกกฎหมายเฉพาะเกี่ยวกับข้อมูลทั่วไป เช่น กฎหมายคุ้มครองข้อมูลส่วนบุคคล เช่นเดียวกับสหภาพยุโรป จีน หรือสิงคโปร์ โดยเร็ว ซึ่งระบุประเด็นและหลักการพื้นฐานในการคุ้มครองข้อมูลส่วนบุคคล การออกกฎหมายเฉพาะเกี่ยวกับข้อมูลส่วนบุคคลจะเป็นพื้นฐานทางกฎหมายที่สำคัญสำหรับการคุ้มครองข้อมูลส่วนบุคคล ในขณะที่ปัจจุบัน เอกสารทางกฎหมายที่เกี่ยวข้องกับประเด็นนี้ในประเทศของเรายังไม่สอดคล้องกันทั้งในแง่ของคำศัพท์และเนื้อหา
ประการที่สอง แก้ไขและเพิ่มเติมบทลงโทษสำหรับการละเมิดข้อมูลส่วนบุคคลให้รุนแรงยิ่งขึ้นเพื่อให้สอดคล้องกับลักษณะและความรุนแรงของการละเมิด แม้ว่าบทลงโทษสำหรับการละเมิดข้อมูลส่วนบุคคลในประเทศของเราจะประกอบด้วยบทลงโทษทางปกครอง บทลงโทษทางแพ่ง และบทลงโทษทางอาญา แต่โดยทั่วไปแล้วบทลงโทษเหล่านี้ค่อนข้างเบาและไม่มีผลต่อการยับยั้งมากนัก ปัจจุบันวิธีการหลักยังคงใช้บทลงโทษสำหรับการละเมิดทางปกครอง แต่กฎระเบียบต่างๆ กระจายอยู่ในพระราชกฤษฎีกาหลายฉบับซึ่งมีอัตราค่าปรับค่อนข้างต่ำ โดยค่าปรับสูงสุดอยู่ที่ 100 ล้านดองสำหรับบุคคล และ 200 ล้านดองสำหรับองค์กร
แม้ว่าความเสียหายที่เกิดจากการละเมิดข้อมูลส่วนบุคคลทางปกครองจะไม่เพียงแต่สร้างความเสียหายทางวัตถุเท่านั้น แต่ยังสร้างความเสียหายต่อเกียรติยศและศักดิ์ศรีอีกด้วย นอกจากบทลงโทษทางปกครองแล้ว บทลงโทษทางอาญาสำหรับการละเมิดข้อมูลส่วนบุคคลยังสะท้อนให้เห็นในข้อบังคับว่าด้วยความเป็นส่วนตัวและสาขาเทคโนโลยีสารสนเทศและความมั่นคงปลอดภัยเครือข่ายตามมาตรา 159 และมาตรา 288 ของประมวลกฎหมายอาญาฉบับปัจจุบัน ซึ่งมีโทษจำคุกค่อนข้างต่ำ คือ จำคุกไม่เกิน 7 ปี และปรับไม่เกิน 1 พันล้านดองเวียดนาม เมื่อเทียบกับค่าปรับของสหภาพยุโรปที่ 20 ล้านยูโร สิงคโปร์ที่ 1 ล้านดอลลาร์สิงคโปร์ หรือจำคุกตลอดชีวิตของจีนแล้ว ค่าปรับนี้ยังคงต่ำมาก ซึ่งไม่สอดคล้องกับการละเมิดหลายๆ กรณี
พร้อมกันนี้ยังจำเป็นต้องควบคุมพฤติกรรมอีกหลายกลุ่มที่ยังไม่มีบัญญัติไว้ในกฎหมาย เช่น การซื้อขายข้อมูลขนาดใหญ่ การตั้งระบบละเมิดข้อมูล การละเมิดธุรกิจบริการทางการตลาด เป็นต้น
ประการที่สาม ในรูปแบบของหน่วยงานคุ้มครองข้อมูลส่วนบุคคลในเวียดนาม ปัจจุบัน กรมความมั่นคงปลอดภัยไซเบอร์และป้องกันอาชญากรรมทางเทคโนโลยีขั้นสูง ภายใต้กระทรวงความมั่นคงสาธารณะ เป็นหน่วยงานเฉพาะทางด้านการคุ้มครองข้อมูลส่วนบุคคล โดยอ้างอิงตามกฎระเบียบระหว่างประเทศ เราอาจพิจารณาจัดตั้งหน่วยงานคุ้มครองข้อมูลส่วนบุคคลอิสระที่รับผิดชอบในการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคล ดำเนินการตรวจสอบ สอบสวน ออกแนวทางปฏิบัติและคำแนะนำ และบังคับใช้บทลงโทษหากมีการละเมิด
เราสามารถอ้างอิงถึงโมเดลเหล่านี้ในสหภาพยุโรปหรือสิงคโปร์ได้... เพื่อบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลอย่างมีประสิทธิภาพ โดยรักษาสมดุลระหว่างการคุ้มครองสิทธิส่วนบุคคลและการรับรองความปลอดภัยของเครือข่าย
การปกป้องข้อมูลส่วนบุคคลไม่ใช่เรื่องง่าย โดยเฉพาะเมื่อต้องนำไปวางไว้ในบริบทของการบูรณาการ เมื่อมีกิจกรรมการติดตามและรวบรวมข้อมูลส่วนบุคคลเกิดขึ้นในระดับกว้าง และระบบกฎหมายของเวียดนามที่ควบคุมปัญหานี้ยังอยู่ในระหว่างการจัดทำและพัฒนา
การค้นคว้ากฎหมายระหว่างประเทศเกี่ยวกับปัญหานี้โดยอ้างอิงกับสถานการณ์จริงในเวียดนามจะช่วยให้เราสร้างกรอบทางกฎหมายสำหรับการคุ้มครองข้อมูลส่วนบุคคลที่ครอบคลุมซึ่งสอดคล้องกับกฎหมายระหว่างประเทศและการบังคับใช้อย่างมีประสิทธิผลได้ในเร็วๆ นี้
1 https://nhandan.vn/chu-trong-bao-ve-du-lieu-ca-nhan-post780834.html
แหล่งที่มา
การแสดงความคิดเห็น (0)