Photo by Dlanor S on Unsplashเมื่อวันที่ 27 พฤษภาคมที่ผ่านมา เว็บไซต์ราชกิจจานุเบกษาได้เผยแพร่พระราชบัญญัติ 2 ฉบับที่เกี่ยวข้องกับด้านดิจิทัลโดยตรง ได้แก่ พระราชบัญญัติการรักษาความปลอดภัยมั่นคงไซเบอร์ พ.ศ. 2562 และพระราชบัญญัติข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่ง พ.ร.บ. ทั้งสองจะมีผลบังคับใช้วันที่ 28 พฤษภาคมนี้ โดยสาระสำคัญของ พ.ร.บ. ทั้ง 2 ฉบับมีดังนี้
พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562
- ประกาศจัดตั้ง “คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ” หรือ “กมช.” (National Cyber Security Committee : NCSC) มีหน้าที่กำหนดนโยบายด้านการรักษาความมั่นคงปลอดภัยทางไซเบอร์
- กมช. มีนายกรัฐมนตรีเป็นประธาน มีกรรมการโดยตำแหน่งได้แก่ รัฐมนตรีว่าการกระทรวงกลาโหม รัฐมนตรีว่าการกระทรวง ดิจิทัลเพื่อเศรษฐกิจและสังคม ปลัดกระทรวงการคลัง ปลัดกระทรวงยุติธรรม ผู้บัญชาการตำรวจแห่งชาติ และเลขาธิการสภาความมั่นคงแห่งชาติ และมีกรรมการผู้ทรงคุณวุฒิไม่เกิน 7 ท่าน
- ประกาศจัดตั้ง มีคณะกรรมการกำกับดูแลด้านความมั่นคงปลอดภัยไซเบอร์ หรือ “กกม.” มีหน้าที่กำหนดแนวทางปฏิบัติของหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศและประสานเมื่อเผชิญเหตุ โดยหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศจะถูกกำหนดโดย กกม. ซึ่งมีด้วยกัน 8 ด้าน ได้แก่ ความมั่นคงของรัฐ บริการภาครัฐที่สำคัญ การเงินการธนาคาร ด้านเทคโนโลยีสารสนเทศและโทรคมนาคม การขนส่งและโลจิสติกส์ พลังงานและสาธารณูปโภค สาธารณสุข และด้านอื่นๆ ตามที่บอร์ดกำหนดเพิ่มเติม
- กกม. มีรัฐมนตรีกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมเป็นประธาน มึกรรมการโดยตำแหน่ง ได้แก่ ปลัดกระทรวงการต่างประเทศ ปลัดกระทรวงคมนาคม ปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ปลัดกระทรวงพลังงาน ปลัดกระทรวงมหาดไทย ปลัดกระทรวงสาธารณสุข ผู้บัญชาการตำรวจแห่งชาติ ผู้บัญชาการทหารสูงสุด เลขาธิการสภาความมั่นคงแห่งชาติ ผู้อำนวยการสำนักข่าวกรองแห่งชาติ ผู้ว่าการธนาคารแห่งประเทศไทย เลขาธิการสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (ก.ล.ต.) และเลขาธิการคณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติ (กสทช.) และกรรมการผู้ทรงคุณวุฒิไม่เกิน 4 ท่าน
- การรับมือภัยคุกคามทางไซเบอร์ จะแบ่งเกณฑ์พิจารณาเป็น 3 ระดับ ได้แก่
- ระดับไม่ร้ายแรง หมายถึงมีความเสี่ยงอย่างมีนัยยะสำคัญจนถึงทำให้โครงสร้างพื้นฐานและบริการของภาครัฐด้อยประสิทธิภาพ
- ระดับร้ายแรง หมายถึงภัยคุกคามที่โจมตียังระบบคอมพิวเตอร์อันทำให้โครงสร้างสารสนเทศได้รับความเสียหายจนไม่อาจใช้การได้ ซึ่งกระทบทั้งทั้งบริการของรัฐ ความมั่นคง ไปจนถึงการกระทบความสัมพันธ์ระหว่างประเทศ
- ระดับวิกฤติ หมายถึงภัยคุกคามที่ส่งผลต่อโครงสร้างสำคัญเป็นวงกว้าง ทำให้ล้มเหลวทั้งระบบจนรัฐไม่สามารถควบคุมการทำงานส่วนกลางของระบบคอมพิวเตอร์ได้ หรือเป็นภัยคุกคามที่กระทบต่อความสงบเรียบร้อยของประชาชนหรือความมั่นคงของรัฐหรือทำให้ประเทศตกอยู่ในภาวะคับขัน
- การป้องกันความเสี่ยง พ.ร.บ. ระบุในมาตรา 66 ว่า กกม. มีอำนาจสั่งเจ้าหน้าที่ปฏิบติการได้ 4 ข้อ ได้แก่ เข้าตรวจสอบสถานที่ เข้าถึงข้อมูลคอมพิวเจอร์ ทดสอบการทำงานของระบบ และยึดหรืออายัดคอมพิวเตอร์
พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
- จัดตั้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล มีประธานสรรหาจากผู้เชี่ยวชาญ สรรหาโดยนายกรัฐมนตรี ประธานรัฐสภา ผู้ตรวจการแผ่นดิน และคณะกรรมการสิทธิมนุษยชนแห่งชาติ มีรองประธานคือปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม กรรมการโดยตำแหน่ง 5 คน ได้แก่ ปลัดสำนักนายกรัฐมนตรี เลขาธิการคณะกรรมการกฤษฎีกา เลขาธิการคณะกรรมการคุ้มครองผู้บริโภค อธิบดีกรมคุ้มครองสิทธิและเสรีภาพและอัยการสูงสุด รวมถึงมีกรรมการผู้ทรงคุณวุฒิอีก 9 คน
- ผู้ควบคุมข้อมูลส่วนบุคคลจะกระทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล “ไม่ได้” หากเจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอมไว้ก่อนหรือในขณะนั้น เว้นแต่บทบัญญัติ แห่งพระราชบัญญัตินี้หรือกฎหมายอื่นบัญญัติให้กระทำได้
- ในการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้ง วัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไปด้วย และการขอความยินยอมนั้น ต้องแยกส่วนออกจากข้อความอื่นอย่างชัดเจน มีแบบหรือข้อความที่เข้าถึงได้ง่ายและเข้าใจได้ รวมทั้ง ใช้ภาษาที่อ่านง่าย และไม่เป็นการหลอกลวงหรือทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์ดังกล่าว
- เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตน หรือขอให้เปิดเผยถึงการได้มา ซึ่งข้อมูลส่วนบุคคลดังกล่าวที่ตนไม่ได้ให้ความยินยอม โดยผู้ควบคุมข้อมูลส่วนบุคคลต้องปฏิบัติตาม เว้นแต่มีคำสั่งศาลให้ปฏิเสธ
- ห้ามมิให้ผู้ควบคุมข้อมูลส่วนบุคคลใช้หรือเปิดเผยข้อมูลส่วนบุคคล โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล หากเปิดเผยจะมีบทลงโทษทางอาญา จำคุก 6 เดือนถึง 1 ปีหรือปรับไม่เกิน 500,000 บาท (มาตรา 27 และ มาตรา 79)
- ทั้งนี้ในส่วนการคุ้มครองข้อมูล จะให้เวลาผู้ควบคุมข้อมูลเตรียมระบบให้พร้อม 1 ปี นับจากวันประกาศ หรือสรุปว่ามีผลในวันที่ 28 พฤษภาคม พ.ศ. 2563
นับเป็นนิมิตหมายอันดีสำหรับความตื่นตัวเรื่องดิจิทัลของรัฐบาลไทย โดยเฉพาะในฝั่งกฎหมายด้านข้อมูลส่วนบุคคลที่มีขอบเขตและแนวทางการปฏิบัติที่ชัดเจน อีกทั้งยังให้เวลาเตรียมตัวถึง 1 ปี แต่อย่างไรก็ตาม ก็ต้องดูในการปฏิบัติจริงๆ อีกครั้งว่าจะเป็นประโยชน์กับผู้บริโภคมากน้อยแค่ไหน
ขอขอบคุณข้อมูลจาก www.ratchakitcha.soc.go.th
อ่านพระราชบัญญัติการรักษาความปลอดภัยมั่นคงไซเบอร์ พ.ศ. 2562 ที่นี่
อ่านพระราชบัญญัติข้อมูลส่วนบุคคล พ.ศ. 2562 ที่นี่