Photo by Dlanor S on Unsplash

เมื่อวันที่ 27 พฤษภาคมที่ผ่านมา เว็บไซต์ราชกิจจานุเบกษาได้เผยแพร่พระราชบัญญัติ 2 ฉบับที่เกี่ยวข้องกับด้านดิจิทัลโดยตรง ได้แก่ พระราชบัญญัติการรักษาความปลอดภัยมั่นคงไซเบอร์ พ.ศ. 2562 และพระราชบัญญัติข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่ง พ.ร.บ. ทั้งสองจะมีผลบังคับใช้วันที่ 28 พฤษภาคมนี้ โดยสาระสำคัญของ พ.ร.บ. ทั้ง 2 ฉบับมีดังนี้

พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562

  • ประกาศจัดตั้ง “คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ” หรือ “กมช.” (National Cyber Security Committee : NCSC) มีหน้าที่กำหนดนโยบายด้านการรักษาความมั่นคงปลอดภัยทางไซเบอร์
  • กมช. มีนายกรัฐมนตรีเป็นประธาน มีกรรมการโดยตำแหน่งได้แก่ รัฐมนตรีว่าการกระทรวงกลาโหม รัฐมนตรีว่าการกระทรวง ดิจิทัลเพื่อเศรษฐกิจและสังคม ปลัดกระทรวงการคลัง ปลัดกระทรวงยุติธรรม ผู้บัญชาการตำรวจแห่งชาติ และเลขาธิการสภาความมั่นคงแห่งชาติ และมีกรรมการผู้ทรงคุณวุฒิไม่เกิน 7 ท่าน
  • ประกาศจัดตั้ง มีคณะกรรมการกำกับดูแลด้านความมั่นคงปลอดภัยไซเบอร์ หรือ “กกม.” มีหน้าที่กำหนดแนวทางปฏิบัติของหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศและประสานเมื่อเผชิญเหตุ โดยหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศจะถูกกำหนดโดย กกม. ซึ่งมีด้วยกัน 8 ด้าน ได้แก่ ความมั่นคงของรัฐ บริการภาครัฐที่สำคัญ การเงินการธนาคาร ด้านเทคโนโลยีสารสนเทศและโทรคมนาคม การขนส่งและโลจิสติกส์  พลังงานและสาธารณูปโภค สาธารณสุข และด้านอื่นๆ ตามที่บอร์ดกำหนดเพิ่มเติม
  • กกม. มีรัฐมนตรีกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมเป็นประธาน มึกรรมการโดยตำแหน่ง ได้แก่ ปลัดกระทรวงการต่างประเทศ ปลัดกระทรวงคมนาคม ปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ปลัดกระทรวงพลังงาน ปลัดกระทรวงมหาดไทย ปลัดกระทรวงสาธารณสุข ผู้บัญชาการตำรวจแห่งชาติ ผู้บัญชาการทหารสูงสุด เลขาธิการสภาความมั่นคงแห่งชาติ ผู้อำนวยการสำนักข่าวกรองแห่งชาติ ผู้ว่าการธนาคารแห่งประเทศไทย เลขาธิการสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (ก.ล.ต.) และเลขาธิการคณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติ (กสทช.) และกรรมการผู้ทรงคุณวุฒิไม่เกิน 4 ท่าน
  • การรับมือภัยคุกคามทางไซเบอร์ จะแบ่งเกณฑ์พิจารณาเป็น 3 ระดับ ได้แก่
    • ระดับไม่ร้ายแรง หมายถึงมีความเสี่ยงอย่างมีนัยยะสำคัญจนถึงทำให้โครงสร้างพื้นฐานและบริการของภาครัฐด้อยประสิทธิภาพ
    • ระดับร้ายแรง หมายถึงภัยคุกคามที่โจมตียังระบบคอมพิวเตอร์อันทำให้โครงสร้างสารสนเทศได้รับความเสียหายจนไม่อาจใช้การได้ ซึ่งกระทบทั้งทั้งบริการของรัฐ ความมั่นคง ไปจนถึงการกระทบความสัมพันธ์ระหว่างประเทศ
    • ระดับวิกฤติ หมายถึงภัยคุกคามที่ส่งผลต่อโครงสร้างสำคัญเป็นวงกว้าง ทำให้ล้มเหลวทั้งระบบจนรัฐไม่สามารถควบคุมการทำงานส่วนกลางของระบบคอมพิวเตอร์ได้ หรือเป็นภัยคุกคามที่กระทบต่อความสงบเรียบร้อยของประชาชนหรือความมั่นคงของรัฐหรือทำให้ประเทศตกอยู่ในภาวะคับขัน
  • การป้องกันความเสี่ยง พ.ร.บ. ระบุในมาตรา 66 ว่า กกม. มีอำนาจสั่งเจ้าหน้าที่ปฏิบติการได้ 4 ข้อ ได้แก่ เข้าตรวจสอบสถานที่ เข้าถึงข้อมูลคอมพิวเจอร์ ทดสอบการทำงานของระบบ และยึดหรืออายัดคอมพิวเตอร์

พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

  • จัดตั้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล มีประธานสรรหาจากผู้เชี่ยวชาญ สรรหาโดยนายกรัฐมนตรี ประธานรัฐสภา ผู้ตรวจการแผ่นดิน และคณะกรรมการสิทธิมนุษยชนแห่งชาติ มีรองประธานคือปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม กรรมการโดยตำแหน่ง 5 คน ได้แก่ ปลัดสำนักนายกรัฐมนตรี เลขาธิการคณะกรรมการกฤษฎีกา เลขาธิการคณะกรรมการคุ้มครองผู้บริโภค อธิบดีกรมคุ้มครองสิทธิและเสรีภาพและอัยการสูงสุด รวมถึงมีกรรมการผู้ทรงคุณวุฒิอีก 9 คน
  • ผู้ควบคุมข้อมูลส่วนบุคคลจะกระทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล “ไม่ได้” หากเจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอมไว้ก่อนหรือในขณะนั้น เว้นแต่บทบัญญัติ แห่งพระราชบัญญัตินี้หรือกฎหมายอื่นบัญญัติให้กระทำได้
  • ในการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้ง วัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไปด้วย และการขอความยินยอมนั้น ต้องแยกส่วนออกจากข้อความอื่นอย่างชัดเจน มีแบบหรือข้อความที่เข้าถึงได้ง่ายและเข้าใจได้ รวมทั้ง ใช้ภาษาที่อ่านง่าย และไม่เป็นการหลอกลวงหรือทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์ดังกล่าว
  • เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตน หรือขอให้เปิดเผยถึงการได้มา ซึ่งข้อมูลส่วนบุคคลดังกล่าวที่ตนไม่ได้ให้ความยินยอม โดยผู้ควบคุมข้อมูลส่วนบุคคลต้องปฏิบัติตาม เว้นแต่มีคำสั่งศาลให้ปฏิเสธ
  • ห้ามมิให้ผู้ควบคุมข้อมูลส่วนบุคคลใช้หรือเปิดเผยข้อมูลส่วนบุคคล โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล หากเปิดเผยจะมีบทลงโทษทางอาญา จำคุก 6 เดือนถึง 1 ปีหรือปรับไม่เกิน 500,000 บาท (มาตรา 27 และ มาตรา 79)
  • ทั้งนี้ในส่วนการคุ้มครองข้อมูล จะให้เวลาผู้ควบคุมข้อมูลเตรียมระบบให้พร้อม 1 ปี นับจากวันประกาศ หรือสรุปว่ามีผลในวันที่ 28 พฤษภาคม พ.ศ. 2563

นับเป็นนิมิตหมายอันดีสำหรับความตื่นตัวเรื่องดิจิทัลของรัฐบาลไทย โดยเฉพาะในฝั่งกฎหมายด้านข้อมูลส่วนบุคคลที่มีขอบเขตและแนวทางการปฏิบัติที่ชัดเจน อีกทั้งยังให้เวลาเตรียมตัวถึง 1 ปี แต่อย่างไรก็ตาม ก็ต้องดูในการปฏิบัติจริงๆ อีกครั้งว่าจะเป็นประโยชน์กับผู้บริโภคมากน้อยแค่ไหน

ขอขอบคุณข้อมูลจาก www.ratchakitcha.soc.go.th

อ่านพระราชบัญญัติการรักษาความปลอดภัยมั่นคงไซเบอร์ พ.ศ. 2562 ที่นี่

อ่านพระราชบัญญัติข้อมูลส่วนบุคคล พ.ศ. 2562 ที่นี่

RELATED ARTICLE

Responsive image

LG Electronics ปรับทัพผู้บริหาร ตั้ง ไบรอัน ควอน ขึ้นดำรงตำแหน่ง CEO มีผลตั้งแต่วันที่ 1 ธ.ค. เป็นต้นไป

LG Electronics ประกาศปรับทัพผู้บริหาร พร้อมแนวการดำเนินงาน รับศักราชใหม่ในปี 2020 แต่งตั้งประธานเจ้าหน้าที่บริหาร ประธานบริหารฝ่ายการเงิน ประธานบริหารฝ่ายกลยุทธ์ ผู้อำนวยการกลุ่มผล...

Responsive image

กรมพัฒน์ฯ DBD เตรียมนำ AI จองชื่อตั้งบริษัทใหม่ ใช้เวลาไม่เกิน 2 นาที

กรมพัฒนาธุรกิจการค้าเดินหน้าอำนวยความสะดวกการจดทะเบียนจัดตั้งบริษัทใหม่ นำ AI มาใช้ในการจองชื่อนิติบุคคล ใช้เวลาไม่เกิน 2 นาที พร้อมเชื่อมโยงข้อมูลกับหน่วยงานรัฐ 382 หน่วยงาน...

Responsive image

Tony Fernandes แห่ง AirAsia เปิดร้านอาหารและกาแฟท้าชนธุรกิจ Fastfood

Tony Fernandes Disruptor ตัวยง CEO แห่ง Airasia เปิดร้านอาหารหวังตีตลาดอาหาร Fast Food...