Digital Sovereignty EP2: Does Regulation Hit the Target or Miss the Point?
จากบทความ Data Sovereignty EP1: What is Digital Sovereignty ? Why is Europe Willing to Regain It? ที่ได้อธิบายถึง digital sovereignty ไปแล้ว ในบทความนี้ เราจะชี้ให้เห็นถึงสถานการณ์กฎหมายทั่วโลก ทั้งในประเทศที่เป็นผู้นำด้านเทคโนโลยีอย่างสหรัฐอเมริกาและจีน และประเทศที่เป็นผู้นำในการออกกฎหมายอย่างยุโรป จากนั้นจะปิดท้ายด้วยมุมของประเทศไทยว่ากฎหมายของบ้านเราเป็นอย่างไร และการประกาศใช้กฎเกณฑ์ปกป้องข้อมูลส่วนบุคคลเหล่านี้ส่งเสริมให้มี digital sovereignty อย่างตรงจุดหรือไม่
สถานการณ์ข้อบังคับและกฎหมายในปัจจุบัน
รูปที่ 1 : General Data Protection Regulation (GDPR)
แม้ว่าในปัจจุบัน กฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป หรือ GDPR จะอนุญาตให้ประมวลผลข้อมูลนอกสหภาพยุโรปได้ แต่ประเทศปลายทางก็ต้องมีกฎหมายที่ใช้ปกป้องข้อมูล อ้างอิงจาก Adequacy decisions* พบว่า รายชื่อประเทศที่คณะกรรมาธิการยุโรปยอมรับว่ามีมาตรฐานการคุ้มครองข้อมูล ได้แก่ อันดอร์รา อาร์เจนตินา แคนาดา หมู่เกาะแฟโร เกิร์นซีย์ อิสราเอล ไอล์ออฟแมน ญี่ปุ่น เจอร์ซีย์ นิวซีแลนด์ สาธารณรัฐเกาหลี สวิตเซอร์แลนด์ สหราชอาณาจักร และอุรุกวัย
*European Commission. (n.d.). How the EU determines if a non-EU country has an adequate level of data protection. Adequacy decisions.
ในขณะเดียวกัน ยักษ์ใหญ่ด้านเทคโนโลยีอย่างสหรัฐฯ มีเพียงกฎหมายระดับรัฐเท่านั้น และมีความแตกต่างกันไปในแต่ละรัฐ ซึ่งรัฐที่ดูเหมือนจะเข้มงวดที่สุด คือ แคลิฟอร์เนีย ที่มีกฎหมาย California Consumer Privacy Act (CCPA) ที่ประกาศใช้ในปี ค.ศ. 2020 อย่างไรก็ตาม แม้จะเป็นกฎหมายที่ออกมาเพื่อปกป้องข้อมูลส่วนบุคคล แต่มีความแตกต่างกับ GDPR ค่อนข้างมาก
รูปที่ 2 : California Consumer Privacy Act (CCPA)
ความแตกต่างที่สำคัญที่สุด 2 ประการ คือ
ความเข้มงวดของการบังคับใช้ GDPR โดยจะบังคับใช้ทันทีเมื่อพบบริษัทที่ฝ่าฝืนข้อกฎหมาย ส่วน CCPA จะให้อำนาจกับผู้พำนักอาศัยในแคลิฟอร์เนียในการฟ้องบริษัทนั้น ๆ หากไม่มีการฟ้องร้องก็จะไม่มีการลงโทษใด ๆ
GDPR มีการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลเพื่อดูแลการปฏิบัติตามข้อกำหนด ส่วน CCPA ไม่มีการแต่งตั้งเจ้าหน้าที่ดูแลบังคับคดี
จากความแตกต่างข้างต้น พบว่า แม้สหรัฐฯ จะมีข้อกำหนดในการคุ้มครองข้อมูลส่วนบุคคล แต่ความเข้มงวดนั้นน้อยกว่า GDPR อย่างมาก การนำข้อมูลไปฝากไว้ในสหรัฐอเมริกานั้นแทบจะไม่ได้มีการป้องกันหรือคุ้มครองข้อมูลใด ๆ เลย อีกทั้งยังขัดต่อ GDPR อีกด้วย เนื่องจากไม่อยู่ในรายชื่อประเทศที่คณะกรรมาธิการยุโรปให้การยอมรับ
รูปที่ 3 : รวม 3 กฎหมายของจีน
ต่อมา เมื่อพิจารณาในมุมของคู่แข่งสหรัฐฯ อย่างประเทศจีนก็จะพบว่า แม้จะมีกฎหมายที่เกี่ยวข้องกับการปกป้องข้อมูลส่วนบุคคลถึง 3 ฉบับ ได้แก่ กฎหมายคุ้มครองข้อมูลส่วนบุคคล (Personal Information Protection Law: PIPL) กฎหมายความปลอดภัยไซเบอร์ (Cybersecurity Law: CSL) และ กฎหมายความมั่นคงข้อมูล (Data Security Law: DSL) กฎหมายในประเทศจีนก็กำหนดให้ต้องขอความยินยอมหากต้องการถ่ายโอนข้อมูลดังกล่าวไปยังบุคคลที่สาม (เช่น ที่ปรึกษาภายนอก ผู้สอบบัญชี และ/หรือผู้ให้บริการที่เป็นบุคคลที่สามอื่น ๆ) หรือนำออกจากประเทศจีน
ข้อจำกัดในการถ่ายโอนข้อมูลของจีน
รูปที่ 4 : Cyberspace Administration of China (CAC)
ภายใต้ PIPL ที่ประกาศใช้เมื่อเดือนมิถุนายน 2565 ข้อมูลส่วนบุคคลจะสามารถถ่ายโอนออกไปนอกประเทศจีนได้ก็ต่อเมื่อต้องผ่านขั้นตอนที่จำเป็นบางอย่าง และได้รับการอนุมัติตามกฎระเบียบ ซึ่งรวมถึงการผ่านการประเมินความปลอดภัยที่ได้รับอนุมัติจาก Cyberspace Administration of China (CAC) หรือการเข้าสู่ข้อตกลงการถ่ายโอนข้อมูลในรูปแบบมาตรฐานกับผู้รับข้อมูลดังกล่าวในต่างประเทศ
การถ่ายโอนและการเปิดเผยข้อมูลไปยังหน่วยงานบังคับคดีต่างประเทศ
DSL กำหนดว่า ข้อมูลที่จัดเก็บในประเทศจีนจะไม่ถูกส่งไปยังหน่วยงานด้านกฎหมายหรือการบังคับใช้ในต่างประเทศ เว้นแต่จะได้รับการอนุมัติจากหน่วยงานที่มีอำนาจของจีน ที่สำคัญกว่านั้น ข้อจำกัดในการถ่ายโอนข้อมูลนี้นำไปใช้กับข้อมูลทุกประเภท ว่าด้วยการห้ามโอนข้อมูลส่วนบุคคลไปยังหน่วยงานตุลาการต่างประเทศหรือหน่วยงานบังคับใช้กฎหมายโดยไม่ได้รับการอนุมัติจากหน่วยงานที่ได้รับมอบหมายของจีน
ทั้ง DSL และ PIPL ไม่ได้ให้รายละเอียดเพิ่มเติมเกี่ยวกับขอบเขตของข้อจำกัดหรือกลไกในการขออนุมัติดังกล่าว เนื่องจาก DSL มีผลบังคับใช้ในวันที่ 1 กันยายน ค.ศ. 2021 จนถึงปัจจุบัน และยังไม่มีแนวทางปฏิบัติอย่างเป็นทางการเพิ่มเติมเกี่ยวกับวิธีที่ทางการจีนจะดำเนินการและอนุมัติการถ่ายโอนและการผลิตข้อมูลดังกล่าว ข้อบังคับและแนวทางปฏิบัติเพิ่มเติมเกี่ยวกับ PIPL, DSL และกฎหมายคุ้มครองข้อมูลอื่น ๆ คาดว่าจะประกาศในอนาคต
หากมองในมุมว่าต้องใช้เทคโนโลยีจากสหรัฐฯ รายงานที่พบว่าข้อมูลของยุโรปกว่า 90 เปอร์เซ็นต์อยู่ในสหรัฐฯ และจีน เช่นเดียวกับที่ยุโรปกำลังเผชิญนั้น ทำให้เราเข้าใจถึงความพยายามของยุโรปในการหาทางออกเกี่ยวกับการปกป้องข้อมูลของพลเมืองภายในประเทศตัวเอง นอกจากนี้ ในความเป็นจริงที่จะห้ามไม่ให้มีการใช้เทคโนโลยีจากสหรัฐอเมริกาในทันทีดูจะเป็นเรื่องที่ยาก คำถามต่อมาก็คือ ยุโรปยังถือว่าตัวเองเป็นเจ้าของข้อมูลที่แท้จริงหรือไม่ เนื่องจากอาจถูกสอดแนมอยู่โดยที่ไม่รู้ตัว ทั้งหมดนี้เป็นปัญหาที่สหภาพยุโรปกำลังพยายามหาทางออก
การออกกฎหมาย GDPR ตอบโจทย์ความทะเยอทะยานของ Digital Sovereignty หรือไม่?
หากเอ็ดเวิร์ด สโนว์เดน ไม่ออกมาเปิดเผยเกี่ยวกับการสอดแนมของทางการสหรัฐฯ GDPR อาจจะไม่ได้เข้ามาแก้ไขปัญหาตรงนี้ได้ตรงจุดมากนัก เนื่องจาก “ปัญหาไม่ใช่การปกป้องข้อมูล แต่ปัญหาคือการเก็บรวบรวมข้อมูล”*
*ผู้เขียนแปลจากข้อความ “The problem isn't data protection; the problem is data collection.” ใน Anonymous. (2019, November 14). EDWARD SNOWDEN: “THE PROBLEM ISN'T DATA PROTECTION; THE PROBLEM IS DATA COLLECTION.”. Verdict 3ncrypt.
กลายเป็นว่า การควบคุมการปกป้องข้อมูลจะถือว่าการเก็บรวบรวมข้อมูลมาตั้งแต่แรกมีความถูกต้อง เหมาะสม และปลอดภัยต่อภัยคุกคามหรืออันตราย ซึ่งนั่นหมายความว่า การสอดแนมประชาชนตลอดเวลานั้นเป็นเรื่องปกติ ไม่ว่าจะเป็นลูกค้าหรือพลเมืองในประเทศ ตราบใดที่ข้อมูลไม่รั่วไหล และมีเฉพาะทางการเท่านั้นที่ควบคุมสิ่งที่ทางการขโมยมาจากทุกคน นี่ยังไม่ใช่โลกอินเทอร์เน็ตที่เราต้องการ
แม้จะเป็นช่องว่างเล็ก ๆ ที่ GDPR จะเข้ามาป้องกันเกี่ยวกับการปกป้องข้อมูลส่วนบุคคล แต่ก็ยังมีช่องโหว่ทางโลกไซเบอร์ที่แม้แต่เราเองอาจจะยังไม่รู้ตัวว่าถูกสอดแนมอยู่หรือไม่ และทางการสหรัฐฯ ใช้วิธีการใดในการสอดแนม ซึ่งดูเหมือนจะนอกขอบเขตของ GDPR
ในบทความนี้เราได้ชี้ให้เห็นถึงความตื่นตัวของการคุ้มครองข้อมูลส่วนบุคคลและกฎหมายในหลาย ๆ ประเทศ อย่างไรก็ตาม การออกกฎหมายคุ้มครองข้อมูลส่วนบุคคลก็อาจไม่ครอบคลุมให้มี digital sovereignty อย่างที่ยุโรปต้องการเสียทีเดียว อีกทั้งยังมีเรื่องของการบังคับใช้กฎหมายว่าควรเป็นในแนวเฝ้าระวัง คือมีหน่วยงานติดตามข้อมูลส่วนบุคคลของคนในประเทศหรือจะรอให้มีคนเสียหายจึงจะดำเนินการ
ในบทความตอนต่อไป เราจะเจาะลึกอีกว่า digital sovereignty ในแง่มุมต่าง ๆ ทั้งในมุมของกฎหมาย การมีอิสระในการเลือกใช้ เทคโนโลยี และความสามารถในการแข่งขัน ว่ามีประเด็นใดน่าสนใจบ้าง ที่จะทำให้องค์กรมี digital sovereignty อย่างแท้จริงตามที่สหภาพยุโรปพยายามผลักดัน
อ้างอิง
Anonymous. (2019, November 14). EDWARD SNOWDEN: “THE PROBLEM ISN'T DATA PROTECTION; THE PROBLEM IS DATA COLLECTION.”. Verdict 3ncrypt. https://verdict-encrypt.nridigital.com/verdict_encrypt_winter19/edward_snowden_data_protection_collection_gdpr
European Commission. (n.d.). How the EU determines if a non-EU country has an adequate level of data protection. Adequacy decisions. https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en
I'm interested in learning new things, especially business and investment.
RELATED ARTICLES
Digital Sovereignty EP1: What is Digital Sovereignty? Why is Europe Willing to Regain It?
Data Sovereignty คืออะไร? สำคัญอย่างไรกับการใช้บริการคลาวด์
ความสำคัญของ PDPA
National Cloud ยุทธศาสตร์ใหม่กับการลงทุนด้านเศรษฐกิจดิจิทัลแห่งชาติ
Digital Sovereignty EP3: What’s Next for Global Technology-based Competition?
Digital Sovereignty EP4: Thailand’s Situation and our Perspective