เป็นกระแสวิพากษ์วิจารณ์อย่างหนัก เมื่อกระทรวงมหาดไทยออกหนังสือราชการถึงองค์กรปกครองส่วนท้องถิ่นทั่วประเทศ ให้ลบรายชื่อบริษัทที่ถูกขึ้นบัญชีว่า “ทิ้งงาน” ออกจากเว็บไซต์ทางราชการ โดยอ้างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ว่าการเผยแพร่ชื่อบริษัทพร้อมข้อมูลผู้บริหาร อาจเข้าข่ายละเมิดข้อมูลส่วนบุคคล [1]
คำสั่งดังกล่าวถูกตั้งคำถามจากสังคมว่ากำลังใช้กฎหมายผิดทาง เพื่อปิดบังความล้มเหลวของระบบจัดซื้อจัดจ้างภาครัฐอยู่หรือไม่ ?
ในอีกมุมหนึ่งยังสะท้อนถึงวิกฤตความเข้าใจผิดที่ลึกกว่า นั่นคือความล้มเหลวในการตีความกฎมายข้อมูลส่วนบุคคลอย่างถูกต้อง และการขาดกลไกทางกฎหมายที่สามารถกลั่นกรองการใช้ PDPA ของหน่วยงานรัฐให้สอดคล้องกับหลักธรรมาภิบาล
กฎหมายที่ออกแบบมาเพื่อ “สร้างสมดุล” กลับถูกใช้เพื่อลบความโปร่งใส
ตามหลักการของ PDPA ซึ่งยกมาจากกฎหมายยุโรป (GDPR) การใช้หรือเปิดเผยข้อมูลส่วนบุคคลสามารถกระทำได้ หากมี “ฐานทางกฎหมายที่ชอบด้วยกฎหมาย” (lawful basis) โดยไม่จำเป็นต้องขอความยินยอมเสมอไป[2]
ในกรณีของภาครัฐ ฐานทางกฎหมายที่สำคัญคือ มาตรา 24(4) ของ PDPA ซึ่งวางหลักว่าการใช้หรือเปิดเผยข้อมูลส่วนบุคคลสามารถกระทำได้ หากจำเป็นต่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูลส่วนบุคคล หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐ
อีกนัยหนึ่งคือ หน่วยงานรัฐสามารถเปิดเผยข้อมูลที่จำเป็นต่อการดำเนินภารกิจของตนเองได้ โดยไม่ต้องขอความยินยอมจากเจ้าของข้อมูล
ดังนั้น กรณีการเปิดเผยรายชื่อบริษัทที่เคยทิ้งงานรัฐ ถือเป็น “การแจ้งเตือนต่อสาธารณะ” เพื่อป้องกันไม่ให้หน่วยงานอื่นทำสัญญากับบริษัทเดิมซ้ำอีก ซึ่งย่อมเข้าข่าย “ภารกิจเพื่อประโยชน์สาธารณะ” อย่างชัดเจน
PDPA ไม่ใช่กฎหมายแม่บท เหนือพ.ร.บ.ข้อมูลข่าวสารฯ
ที่สำคัญยิ่งกว่า การที่คำสั่งต่างๆ ของหน่วยงานรัฐ ควรต้องพิจารณากฎหมายที่เกี่ยวข้องมาก่อนหน้า อย่างพ.ร.บ.ข้อมูลข่าวสารของราชการ พ.ศ. 2540 ซึ่งบัญญัติให้เปิดเผยข้อมูลข่าวสารราชการให้ประชาชนได้รับทราบ[3] ซึ่งจะเป็นการส่งเสริมความโปร่งใสและการตรวจสอบจากสาธารณะ ตลอดจนในกรณีนี้คือการป้องกันความเสียหายซ้ำซ้อนแก่รัฐและสังคม
PDPA ไม่ได้มีเจตนาให้ยกเลิกกฎหมายฉบับนี้ และไม่ควรถูกตีความว่าอยู่เหนือ หรือลบล้างสิทธิในการรับรู้ข้อมูลของประชาชน
สิ่งที่จำเป็นคือการ “ตีความร่วมกัน” ของทั้งสองกฎหมายเพื่อให้เกิดดุลยภาพระหว่างสิทธิความเป็นส่วนตัว และหลักธรรมาภิบาลของรัฐกล่าวอีกนัยหนึ่ง PDPA ไม่ได้มีอำนาจเหนือ พ.ร.บ.ข้อมูลข่าวสารของราชการ แต่ต้องตีความร่วมกันเพื่อสร้างดุลยภาพระหว่างสิทธิส่วนบุคคลและสิทธิของสังคม
“ข้อมูลบริษัท” ไม่เท่ากับ “ข้อมูลส่วนบุคคล”
อีกหนึ่งจุดที่ถูกเข้าใจผิด คือ การเหมารวมว่า “ชื่อบริษัท” หรือ “ข้อมูลนิติบุคคล” คือข้อมูลส่วนบุคคล
อันที่จริงแล้วตามกฎหมาย PDPA ข้อมูลส่วนบุคคลหมายถึงข้อมูลของบุคคลธรรมดา ไม่รวมถึงนิติบุคคล[4] ยกเว้นในกรณีที่มีข้อมูลของบุคคลธรรมดาผสมอยู่ด้วย เช่น ชื่อกรรมการบริษัท หมายเลขบัตรประชาชนของผู้ลงนาม ฯลฯ
ดังนั้น ชื่อบริษัท เลขทะเบียนนิติบุคคล หรือผลการประมูลรัฐ ที่ไม่เกี่ยวข้องกับบุคคลธรรมดาโดยตรง ไม่ถือเป็นข้อมูลส่วนบุคคล และไม่อยู่ภายใต้ PDPA แม้ในกรณีมีชื่อกรรมการบริษัทปรากฏ การเปิดเผยก็ยังสามารถทำได้ หากอยู่ภายใต้ฐานกฎหมายเพื่อประโยชน์สาธารณะ
ในกรณีอื่นๆ ที่หน่วยงานรัฐเห็นว่าข้อมูลที่จะเปิดเผยอยู่มีความเสี่ยงว่าจะไม่เข้าข่ายภารกิจสาธารณะของตนเอง หนทางที่เหมาะสมคือการดำเนินการทำให้เป็นข้อมูลนิรนาม (anonymization) แทนการลบหรือปิดกั้นข้อมูลทั้งหมด หากการทำให้เป็นข้อมูลนิรนามนั้นไม่ทำให้ประโยชน์ของการเปิดเผยข้อมูลนั้นเสียไป อันจะช่วยให้ภาคประชาชนและภาควิชาชีพยังสามารถเข้าถึงสาระสำคัญของข้อมูล และนำไปใช้วิเคราะห์เพื่อประโยชน์สาธารณะต่อได้ โดยไม่กระทบสิทธิของบุคคลที่อาจเกี่ยวข้อง
ความเข้าใจยังคลาดเคลื่อน สู่การ “เซ็นเซอร์ตัวเอง”
การที่หน่วยงานรัฐบางแห่งตีความ PDPA ในลักษณะที่ปิดกั้นการเข้าถึงข้อมูลสำคัญ อาจสะท้อนถึงความขาดแคลนแนวทางปฏิบัติ (guidance) ที่เจาะจงสำหรับภาครัฐ โดยเฉพาะหน่วยงานที่ไม่มีนักกฎหมาย ไม่มีผู้เชี่ยวชาญเฉพาะด้าน หรือยังไม่มีเจ้าหน้าที่ Data Protection Officer (DPO) ประจำ อาจรู้สึกไม่มั่นใจ และเลือกใช้วิธี “ตีความปลอดภัยไว้ก่อน” ด้วยการไม่เปิดเผยใด ๆ เลย ซึ่งกลับส่งผลกระทบต่อสิทธิของสาธารณะ และอาจไม่สอดคล้องกับเจตนารมณ์ของกฎหมาย
ผลลัพธ์คือการใช้อำนาจรัฐอย่างคลาดเคลื่อน และอาจกลายเป็นบรรทัดฐานที่ผิดในการปกป้องตัวเองจากการตรวจสอบของสังคมไม่ว่าตั้งใจหรือไม่ก็ตาม
ความเข้าใจผิดที่กลายเป็น “เครื่องมือการบริหาร”
สิ่งที่น่ากังวลคือการที่ PDPA เริ่มถูกนำมาใช้เป็น ข้ออ้างเชิงนโยบาย เพื่อปิดบังข้อมูล หรือชะลอการเปิดเผยที่จำเป็นต่อสาธารณะ จนกลายเป็นช่องโหว่ที่บ่อนทำลายความโปร่งใสในระบบราชการในที่สุด
ข้อเสนอเชิงระบบ
เพื่อป้องกันไม่ให้กรณีนี้กลายเป็นต้นแบบของความเข้าใจผิดในอนาคต รัฐควรดำเนินการ ดังนี้
1.ออกแนวปฏิบัติสำหรับภาครัฐ เกี่ยวกับการใช้ PDPA ควบคู่กับ พ.ร.บ.ข้อมูลข่าวสารของราชการ
2.สร้างระบบ “ธรรมนูญข้อมูลภาครัฐ” (Public Information Charter) ที่ระบุชัดเจนว่าข้อมูลใดเป็นข้อมูลที่ต้องเปิดเผยเสมอ
3.ยกระดับความเข้าใจของผู้ปฏิบัติผ่านการอบรมต่อเนื่อง และเชื่อมโยงกับมาตรฐานสากล เช่น GDPR
4.สร้างระบบตรวจสอบถ่วงดุลจากภาคประชาชน หากมีการใช้อำนาจอ้าง PDPA อย่างไม่สมเหตุสมผล
บทสรุป: รัฐดิจิทัลต้องมีความเข้าใจกฎหมายดิจิทัล
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เป็นกฎหมายสำคัญที่มุ่งยกระดับการคุ้มครองสิทธิในยุคดิจิทัล แต่ความเข้าใจที่คลาดเคลื่อนในการตีความกฎหมายฉบับนี้ อาจส่งผลกระทบโดยไม่ได้ตั้งใจต่อหลักการพื้นฐานของประชาธิปไตย นั่นคือ “สิทธิของประชาชนในการเข้าถึงข้อมูลภาครัฐ”
ขณะเดียวกันประเทศไทยมี พ.ร.บ.ข้อมูลข่าวสารของราชการ พ.ศ. 2540 เป็นหลักประกันสำคัญของความโปร่งใสมานานกว่า 25 ปี การอ้าง PDPA เพื่อปิดกั้นข้อมูลสาธารณะ โดยไม่พิจารณาควบคู่กับ พ.ร.บ.ข้อมูลข่าวสารฯ จึงไม่ใช่เพียงการตีความผิดเชิงเทคนิค แต่คือการบั่นทอนสิทธิขั้นพื้นฐานของประชาชนในการตรวจสอบอำนาจรัฐ การปกป้องความเป็นส่วนตัวและการส่งเสริมความโปร่งใสไม่ใช่สิ่งตรงข้ามกัน หากแต่คือเป้าหมายคู่ขนานที่รัฐต้องรักษาไว้ให้ได้พร้อมกัน
หากประเทศไทยจะเดินหน้าเข้าสู่การเป็น “รัฐบาลดิจิทัล” อย่างแท้จริง การเริ่มต้นที่จำเป็นคือต้อง “ทำความเข้าใจหลักการของกฎหมายดิจิทัล” ให้ชัดเจนก่อน ไม่เช่นนั้น PDPA อาจกลายเป็นเครื่องมือใช้อ้างว่าต้องปิดบังตามที่กฎหมายบังคับ จนทำให้การบริหารราชการไทยหันหลังให้กับประชาชนหรือแม้แต่หน่วยงานรัฐด้วยกันเอง
บทความโดย ดร. สลิลธร ทองมีนสุข นักวิชาการอาวุโส และโชติกา เซี่ยงหลิว นักวิจัย ทีมกฎหมายดิจิทัลและการกำกับดูแลโครงสร้างพื้นฐาน สถาบันวิจัยเพื่อการพัฒนาประเทศไทย
หมายเหตุ :
[1] กรมส่งเสริมการปกครองท้องถิ่น. “หนังสือกระทรวงมหาดไทย ที่ มท 0808.2/ว1558 เรื่อง ขอความอนุเคราะห์ลบข้อมูลของผู้ประกอบการที่ถูกแจ้งเวียนชื่อให้เป็นผู้ทิ้งงานและเพิกถอนรายชื่อผู้ทิ้งงาน.” 2 เมษายน 2568.
[2] พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562, มาตรา 24.
[3] พระราชบัญญัติข้อมูลข่าวสารของราชการ พ.ศ. 2540, มาตรา 9.
[4] พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562, มาตรา 6.
