พ.ร.บ. มั่นคงไซเบอร์ และ พรบ. ข้อมูลส่วนบุคคล บังคับใช้แล้ว | Techsauce
Contact us
1

มาแล้ว พ.ร.บ. มั่นคงไซเบอร์ และ พรบ. คุ้มครองข้อมูลส่วนบุคคล มีผลบังคับใช้ทันที1 min read

Posted by
Posted date พฤษภาคม 28, 2019
Photo by Dlanor S on Unsplash

เมื่อวันที่ 27 พฤษภาคมที่ผ่านมา เว็บไซต์ราชกิจจานุเบกษาได้เผยแพร่พระราชบัญญัติ 2 ฉบับที่เกี่ยวข้องกับด้านดิจิทัลโดยตรง ได้แก่ พระราชบัญญัติการรักษาความปลอดภัยมั่นคงไซเบอร์ พ.ศ. 2562 และพระราชบัญญัติข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่ง พ.ร.บ. ทั้งสองจะมีผลบังคับใช้วันที่ 28 พฤษภาคมนี้ โดยสาระสำคัญของ พ.ร.บ. ทั้ง 2 ฉบับมีดังนี้

พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562

  • ประกาศจัดตั้ง “คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ” หรือ “กมช.” (National Cyber Security Committee : NCSC) มีหน้าที่กำหนดนโยบายด้านการรักษาความมั่นคงปลอดภัยทางไซเบอร์
  • กมช. มีนายกรัฐมนตรีเป็นประธาน มีกรรมการโดยตำแหน่งได้แก่ รัฐมนตรีว่าการกระทรวงกลาโหม รัฐมนตรีว่าการกระทรวง ดิจิทัลเพื่อเศรษฐกิจและสังคม ปลัดกระทรวงการคลัง ปลัดกระทรวงยุติธรรม ผู้บัญชาการตำรวจแห่งชาติ และเลขาธิการสภาความมั่นคงแห่งชาติ และมีกรรมการผู้ทรงคุณวุฒิไม่เกิน 7 ท่าน
  • ประกาศจัดตั้ง มีคณะกรรมการกำกับดูแลด้านความมั่นคงปลอดภัยไซเบอร์ หรือ “กกม.” มีหน้าที่กำหนดแนวทางปฏิบัติของหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศและประสานเมื่อเผชิญเหตุ โดยหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศจะถูกกำหนดโดย กกม. ซึ่งมีด้วยกัน 8 ด้าน ได้แก่ ความมั่นคงของรัฐ บริการภาครัฐที่สำคัญ การเงินการธนาคาร ด้านเทคโนโลยีสารสนเทศและโทรคมนาคม การขนส่งและโลจิสติกส์  พลังงานและสาธารณูปโภค สาธารณสุข และด้านอื่นๆ ตามที่บอร์ดกำหนดเพิ่มเติม
  • กกม. มีรัฐมนตรีกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมเป็นประธาน มึกรรมการโดยตำแหน่ง ได้แก่ ปลัดกระทรวงการต่างประเทศ ปลัดกระทรวงคมนาคม ปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ปลัดกระทรวงพลังงาน ปลัดกระทรวงมหาดไทย ปลัดกระทรวงสาธารณสุข ผู้บัญชาการตำรวจแห่งชาติ ผู้บัญชาการทหารสูงสุด เลขาธิการสภาความมั่นคงแห่งชาติ ผู้อำนวยการสำนักข่าวกรองแห่งชาติ ผู้ว่าการธนาคารแห่งประเทศไทย เลขาธิการสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (ก.ล.ต.) และเลขาธิการคณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติ (กสทช.) และกรรมการผู้ทรงคุณวุฒิไม่เกิน 4 ท่าน
  • การรับมือภัยคุกคามทางไซเบอร์ จะแบ่งเกณฑ์พิจารณาเป็น 3 ระดับ ได้แก่
    • ระดับไม่ร้ายแรง หมายถึงมีความเสี่ยงอย่างมีนัยยะสำคัญจนถึงทำให้โครงสร้างพื้นฐานและบริการของภาครัฐด้อยประสิทธิภาพ
    • ระดับร้ายแรง หมายถึงภัยคุกคามที่โจมตียังระบบคอมพิวเตอร์อันทำให้โครงสร้างสารสนเทศได้รับความเสียหายจนไม่อาจใช้การได้ ซึ่งกระทบทั้งทั้งบริการของรัฐ ความมั่นคง ไปจนถึงการกระทบความสัมพันธ์ระหว่างประเทศ
    • ระดับวิกฤติ หมายถึงภัยคุกคามที่ส่งผลต่อโครงสร้างสำคัญเป็นวงกว้าง ทำให้ล้มเหลวทั้งระบบจนรัฐไม่สามารถควบคุมการทำงานส่วนกลางของระบบคอมพิวเตอร์ได้ หรือเป็นภัยคุกคามที่กระทบต่อความสงบเรียบร้อยของประชาชนหรือความมั่นคงของรัฐหรือทำให้ประเทศตกอยู่ในภาวะคับขัน
  • การป้องกันความเสี่ยง พ.ร.บ. ระบุในมาตรา 66 ว่า กกม. มีอำนาจสั่งเจ้าหน้าที่ปฏิบติการได้ 4 ข้อ ได้แก่ เข้าตรวจสอบสถานที่ เข้าถึงข้อมูลคอมพิวเจอร์ ทดสอบการทำงานของระบบ และยึดหรืออายัดคอมพิวเตอร์

พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

  • จัดตั้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล มีประธานสรรหาจากผู้เชี่ยวชาญ สรรหาโดยนายกรัฐมนตรี ประธานรัฐสภา ผู้ตรวจการแผ่นดิน และคณะกรรมการสิทธิมนุษยชนแห่งชาติ มีรองประธานคือปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม กรรมการโดยตำแหน่ง 5 คน ได้แก่ ปลัดสำนักนายกรัฐมนตรี เลขาธิการคณะกรรมการกฤษฎีกา เลขาธิการคณะกรรมการคุ้มครองผู้บริโภค อธิบดีกรมคุ้มครองสิทธิและเสรีภาพและอัยการสูงสุด รวมถึงมีกรรมการผู้ทรงคุณวุฒิอีก 9 คน
  • ผู้ควบคุมข้อมูลส่วนบุคคลจะกระทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล “ไม่ได้” หากเจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอมไว้ก่อนหรือในขณะนั้น เว้นแต่บทบัญญัติ แห่งพระราชบัญญัตินี้หรือกฎหมายอื่นบัญญัติให้กระทำได้
  • ในการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้ง วัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไปด้วย และการขอความยินยอมนั้น ต้องแยกส่วนออกจากข้อความอื่นอย่างชัดเจน มีแบบหรือข้อความที่เข้าถึงได้ง่ายและเข้าใจได้ รวมทั้ง ใช้ภาษาที่อ่านง่าย และไม่เป็นการหลอกลวงหรือทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์ดังกล่าว
  • เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตน หรือขอให้เปิดเผยถึงการได้มา ซึ่งข้อมูลส่วนบุคคลดังกล่าวที่ตนไม่ได้ให้ความยินยอม โดยผู้ควบคุมข้อมูลส่วนบุคคลต้องปฏิบัติตาม เว้นแต่มีคำสั่งศาลให้ปฏิเสธ
  • ห้ามมิให้ผู้ควบคุมข้อมูลส่วนบุคคลใช้หรือเปิดเผยข้อมูลส่วนบุคคล โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล หากเปิดเผยจะมีบทลงโทษทางอาญา จำคุก 6 เดือนถึง 1 ปีหรือปรับไม่เกิน 500,000 บาท (มาตรา 27 และ มาตรา 79)
  • ทั้งนี้ในส่วนการคุ้มครองข้อมูล จะให้เวลาผู้ควบคุมข้อมูลเตรียมระบบให้พร้อม 1 ปี นับจากวันประกาศ หรือสรุปว่ามีผลในวันที่ 28 พฤษภาคม พ.ศ. 2563

นับเป็นนิมิตหมายอันดีสำหรับความตื่นตัวเรื่องดิจิทัลของรัฐบาลไทย โดยเฉพาะในฝั่งกฎหมายด้านข้อมูลส่วนบุคคลที่มีขอบเขตและแนวทางการปฏิบัติที่ชัดเจน อีกทั้งยังให้เวลาเตรียมตัวถึง 1 ปี แต่อย่างไรก็ตาม ก็ต้องดูในการปฏิบัติจริงๆ อีกครั้งว่าจะเป็นประโยชน์กับผู้บริโภคมากน้อยแค่ไหน

ขอขอบคุณข้อมูลจาก www.ratchakitcha.soc.go.th

อ่านพระราชบัญญัติการรักษาความปลอดภัยมั่นคงไซเบอร์ พ.ศ. 2562 ที่นี่

อ่านพระราชบัญญัติข้อมูลส่วนบุคคล พ.ศ. 2562 ที่นี่

Senior Editor of Techsauce Thailand who focuses deep technology. He’s also interest in soft skill improvement and social & economic equality.

Comments

comments

Sign-up for exclusive content. Be the first to hear about ConvertPlug news.
Subscribe