พ.ร.บ. มั่นคงไซเบอร์ และ พรบ. ข้อมูลส่วนบุคคล บังคับใช้แล้ว | Techsauce

มาแล้ว พ.ร.บ. มั่นคงไซเบอร์ และ พรบ. คุ้มครองข้อมูลส่วนบุคคล มีผลบังคับใช้ทันที

Photo by Dlanor S on Unsplash

เมื่อวันที่ 27 พฤษภาคมที่ผ่านมา เว็บไซต์ราชกิจจานุเบกษาได้เผยแพร่พระราชบัญญัติ 2 ฉบับที่เกี่ยวข้องกับด้านดิจิทัลโดยตรง ได้แก่ พระราชบัญญัติการรักษาความปลอดภัยมั่นคงไซเบอร์ พ.ศ. 2562 และพระราชบัญญัติข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่ง พ.ร.บ. ทั้งสองจะมีผลบังคับใช้วันที่ 28 พฤษภาคมนี้ โดยสาระสำคัญของ พ.ร.บ. ทั้ง 2 ฉบับมีดังนี้

พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562

  • ประกาศจัดตั้ง “คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ” หรือ “กมช.” (National Cyber Security Committee : NCSC) มีหน้าที่กำหนดนโยบายด้านการรักษาความมั่นคงปลอดภัยทางไซเบอร์
  • กมช. มีนายกรัฐมนตรีเป็นประธาน มีกรรมการโดยตำแหน่งได้แก่ รัฐมนตรีว่าการกระทรวงกลาโหม รัฐมนตรีว่าการกระทรวง ดิจิทัลเพื่อเศรษฐกิจและสังคม ปลัดกระทรวงการคลัง ปลัดกระทรวงยุติธรรม ผู้บัญชาการตำรวจแห่งชาติ และเลขาธิการสภาความมั่นคงแห่งชาติ และมีกรรมการผู้ทรงคุณวุฒิไม่เกิน 7 ท่าน
  • ประกาศจัดตั้ง มีคณะกรรมการกำกับดูแลด้านความมั่นคงปลอดภัยไซเบอร์ หรือ “กกม.” มีหน้าที่กำหนดแนวทางปฏิบัติของหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศและประสานเมื่อเผชิญเหตุ โดยหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศจะถูกกำหนดโดย กกม. ซึ่งมีด้วยกัน 8 ด้าน ได้แก่ ความมั่นคงของรัฐ บริการภาครัฐที่สำคัญ การเงินการธนาคาร ด้านเทคโนโลยีสารสนเทศและโทรคมนาคม การขนส่งและโลจิสติกส์  พลังงานและสาธารณูปโภค สาธารณสุข และด้านอื่นๆ ตามที่บอร์ดกำหนดเพิ่มเติม
  • กกม. มีรัฐมนตรีกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมเป็นประธาน มึกรรมการโดยตำแหน่ง ได้แก่ ปลัดกระทรวงการต่างประเทศ ปลัดกระทรวงคมนาคม ปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ปลัดกระทรวงพลังงาน ปลัดกระทรวงมหาดไทย ปลัดกระทรวงสาธารณสุข ผู้บัญชาการตำรวจแห่งชาติ ผู้บัญชาการทหารสูงสุด เลขาธิการสภาความมั่นคงแห่งชาติ ผู้อำนวยการสำนักข่าวกรองแห่งชาติ ผู้ว่าการธนาคารแห่งประเทศไทย เลขาธิการสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (ก.ล.ต.) และเลขาธิการคณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติ (กสทช.) และกรรมการผู้ทรงคุณวุฒิไม่เกิน 4 ท่าน
  • การรับมือภัยคุกคามทางไซเบอร์ จะแบ่งเกณฑ์พิจารณาเป็น 3 ระดับ ได้แก่
    • ระดับไม่ร้ายแรง หมายถึงมีความเสี่ยงอย่างมีนัยยะสำคัญจนถึงทำให้โครงสร้างพื้นฐานและบริการของภาครัฐด้อยประสิทธิภาพ
    • ระดับร้ายแรง หมายถึงภัยคุกคามที่โจมตียังระบบคอมพิวเตอร์อันทำให้โครงสร้างสารสนเทศได้รับความเสียหายจนไม่อาจใช้การได้ ซึ่งกระทบทั้งทั้งบริการของรัฐ ความมั่นคง ไปจนถึงการกระทบความสัมพันธ์ระหว่างประเทศ
    • ระดับวิกฤติ หมายถึงภัยคุกคามที่ส่งผลต่อโครงสร้างสำคัญเป็นวงกว้าง ทำให้ล้มเหลวทั้งระบบจนรัฐไม่สามารถควบคุมการทำงานส่วนกลางของระบบคอมพิวเตอร์ได้ หรือเป็นภัยคุกคามที่กระทบต่อความสงบเรียบร้อยของประชาชนหรือความมั่นคงของรัฐหรือทำให้ประเทศตกอยู่ในภาวะคับขัน
  • การป้องกันความเสี่ยง พ.ร.บ. ระบุในมาตรา 66 ว่า กกม. มีอำนาจสั่งเจ้าหน้าที่ปฏิบติการได้ 4 ข้อ ได้แก่ เข้าตรวจสอบสถานที่ เข้าถึงข้อมูลคอมพิวเจอร์ ทดสอบการทำงานของระบบ และยึดหรืออายัดคอมพิวเตอร์

พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

  • จัดตั้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล มีประธานสรรหาจากผู้เชี่ยวชาญ สรรหาโดยนายกรัฐมนตรี ประธานรัฐสภา ผู้ตรวจการแผ่นดิน และคณะกรรมการสิทธิมนุษยชนแห่งชาติ มีรองประธานคือปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม กรรมการโดยตำแหน่ง 5 คน ได้แก่ ปลัดสำนักนายกรัฐมนตรี เลขาธิการคณะกรรมการกฤษฎีกา เลขาธิการคณะกรรมการคุ้มครองผู้บริโภค อธิบดีกรมคุ้มครองสิทธิและเสรีภาพและอัยการสูงสุด รวมถึงมีกรรมการผู้ทรงคุณวุฒิอีก 9 คน
  • ผู้ควบคุมข้อมูลส่วนบุคคลจะกระทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล “ไม่ได้” หากเจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอมไว้ก่อนหรือในขณะนั้น เว้นแต่บทบัญญัติ แห่งพระราชบัญญัตินี้หรือกฎหมายอื่นบัญญัติให้กระทำได้
  • ในการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้ง วัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไปด้วย และการขอความยินยอมนั้น ต้องแยกส่วนออกจากข้อความอื่นอย่างชัดเจน มีแบบหรือข้อความที่เข้าถึงได้ง่ายและเข้าใจได้ รวมทั้ง ใช้ภาษาที่อ่านง่าย และไม่เป็นการหลอกลวงหรือทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์ดังกล่าว
  • เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตน หรือขอให้เปิดเผยถึงการได้มา ซึ่งข้อมูลส่วนบุคคลดังกล่าวที่ตนไม่ได้ให้ความยินยอม โดยผู้ควบคุมข้อมูลส่วนบุคคลต้องปฏิบัติตาม เว้นแต่มีคำสั่งศาลให้ปฏิเสธ
  • ห้ามมิให้ผู้ควบคุมข้อมูลส่วนบุคคลใช้หรือเปิดเผยข้อมูลส่วนบุคคล โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล หากเปิดเผยจะมีบทลงโทษทางอาญา จำคุก 6 เดือนถึง 1 ปีหรือปรับไม่เกิน 500,000 บาท (มาตรา 27 และ มาตรา 79)
  • ทั้งนี้ในส่วนการคุ้มครองข้อมูล จะให้เวลาผู้ควบคุมข้อมูลเตรียมระบบให้พร้อม 1 ปี นับจากวันประกาศ หรือสรุปว่ามีผลในวันที่ 28 พฤษภาคม พ.ศ. 2563

นับเป็นนิมิตหมายอันดีสำหรับความตื่นตัวเรื่องดิจิทัลของรัฐบาลไทย โดยเฉพาะในฝั่งกฎหมายด้านข้อมูลส่วนบุคคลที่มีขอบเขตและแนวทางการปฏิบัติที่ชัดเจน อีกทั้งยังให้เวลาเตรียมตัวถึง 1 ปี แต่อย่างไรก็ตาม ก็ต้องดูในการปฏิบัติจริงๆ อีกครั้งว่าจะเป็นประโยชน์กับผู้บริโภคมากน้อยแค่ไหน

ขอขอบคุณข้อมูลจาก www.ratchakitcha.soc.go.th

อ่านพระราชบัญญัติการรักษาความปลอดภัยมั่นคงไซเบอร์ พ.ศ. 2562 ที่นี่

อ่านพระราชบัญญัติข้อมูลส่วนบุคคล พ.ศ. 2562 ที่นี่

RELATED ARTICLE

Responsive image

AstraZeneca จับมือ Siam Bioscience ดันไทยสู่ฐานการผลิตวัคซีนโควิด-19 ของภูมิภาคเอเชียตะวันออกเฉียงใต้

AstraZeneca จับมือ Siam Bioscience ผลักดันไทยสู่ฐานการผลิตวัคซีนโควิด-19 ของภูมิภาคเอเชียตะวันออกเฉียงใต้ เพื่อให้ประชาชนสามารถเข้าถึงวัคซีนที่มีคุณภาพสูงและมีประสิทธิภาพให้ได้เร็ว...

Responsive image

7 กรรมการผู้ตัดสิน เฟ้นหา ‘สุดยอดนวัตกรรม e-Office’ ยกระดับ SMEs ไทย ใน Hackathon: Finding the Best Enabler

รวมผู้เชี่ยวชาญผู้มากด้วยประสบการณ์จากหลายสาขา หลากหลายแวดวงธุรกิจและหน่วยงาน ทั้งภาครัฐและเอกชน ตัดสินชี้ขาด สุดยอดนวัตกรรมเพื่อ SMEs ไทย...

Responsive image

Circle ผู้ออกเหรียญ USDC มีแผนจะตั้ง Hub ในสิงคโปร์ ขยายตลาด Stable Coin ฝั่งเอเชีย

Circle ผู้ออกเหรียญ USDC ที่เป็นเหรียญ Stable Coin ออกมาประกาศ เตรียมจะลงทุนเพิ่มในด้านต่าง ๆ โดยเฉพาะในเอเชีย ตั้งเป้าจะเปิด Hub ในสิงคโปร์ เพิ่มฐานผู้ใช้งาน Stable Coin ในเอเชีย...