การคุ้มครองข้อมูลส่วนบุคคลของผู้ป่วยโควิด-19 ในศรีลังกา และไทย

10 พฤศจิกายน 2564

ผู้เขียน ศุภวรรณ พิพิธสมบัติ

นักวิจัยจุฬาฯ เผยโควิดระบาดกระทบการคุ้มครองข้อมูลส่วนบุคคล และความเชื่อมั่นในรัฐ ส่งผลให้ผู้ติดเชื้อปกปิดข้อมูล เป็นอุปสรรคต่อการควบคุมการแพร่ระบาด พร้อมแนะรัฐเร่งให้ความรู้เรื่องสิทธิตามกฎหมายเพื่อสร้างการตระหนักรู้ในสังคม

ต้นปี 2563 ภายหลังรัฐบาลไทยประกาศใช้ พ.ร.บ.โรคติดต่อ พ.ศ. 2558 โดยกำหนดให้ผู้เดินทางเข้าไทยทุกคนต้องถูกบังคับกักตัวเป็นระยะเวลา 14 วัน ในสถานที่ที่ส่วนกลางจัดให้ ในเวลานั้น มีบางเที่ยวบินกำลังนำคนไทยกลับบ้าน ซึ่งผู้โดยสารบนเครื่องยังไม่รับรู้ข่าวการประกาศดังกล่าว และทันทีที่เครื่องลงจอด ก็เกิดความโกลาหลขึ้นที่ท่าอากาศยาน ฝ่ายเจ้าหน้าที่รัฐอ้างประกาศและข้อบังคับในกฎหมาย พร้อมนำผู้โดยสารทั้งหมดตรงไปยังสถานที่กักตัว แน่นอน ผู้โดยสารหลายคนไม่ยินยอมและหนีกลับที่พักตนทันที

ข้อมูลชื่อ-นามสกุลและที่อยู่ของผู้โดยสารในเที่ยวบินดังกล่าวรั่วไหลออกมาในสื่อสังคมออนไลน์ ผู้โดยสารรวมไปจนถึงสมาชิกในครอบครัว ถูกตีตราจากสังคมว่า “เป็นคนเห็นแก่ตัว” “ไม่รักชาติ” กระทั่งถูกบุกรุกคุกคามถึงที่พักด้วย

เหตุการณ์จริงที่เกิดขึ้นนี้สะท้อนให้เห็นอะไรบ้าง ระหว่างฝ่ายเจ้าหน้าที่รัฐผู้มีหน้าที่ปกป้องผลประโยชน์ส่วนรวมกับบุคคลที่พึงได้รับการปกป้องสิทธิเช่นเดียวกัน? ในภาวะคับขันเช่นนี้ พลเมืองและรัฐบาลประเทศกำลังพัฒนาหลายประเทศต่างเผชิญกับการตัดสินใจที่ชักเย่อกันไปมาระหว่างผลประโยชน์สาธารณะกับการเคารพในข้อมูลส่วนบุคคลของประชาชน

ประเด็นนี้เป็นแรงจูงใจให้ ศาสตราจารย์ ดร.พิรงรอง รามสูต อาจารย์ประจำภาควิชาวารสารสนเทศ คณะนิเทศศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย และนักวิจัยอาวุโส (Senior Research Fellow) แห่ง LIRNEasia ทำการศึกษาวิจัยเรื่อง Health-Related Information & COVID-19 : A Study of Sri Lanka and Thailand ร่วมกับ อาทิตย์ สุริยะวงศ์กุล Ramathi Bandaranayake และ Ashwini Natesan โดยให้ความสนใจกับวิธีการเก็บ การใช้ และการคุ้มครองดูแลข้อมูลส่วนบุคคลของผู้ป่วยโควิด-19 ทั้งของประเทศไทยและศรีลังกา โดยเป็นโครงการนำร่องต้นแบบการศึกษาการปกป้องสิทธิและข้อมูลด้านสุขภาพของบุคคลในระบบเทคโนโลยีสารสนเทศ (ICT) ในประเทศกำลังพัฒนา

นโยบาย กฎหมาย และการบังคับใช้

ศ.ดร.พิรงรอง ชี้ “ทั้งศรีลังกาและไทยยังไม่มีการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคล ส่วนหนึ่งเป็นผลเนื่องจากการระบาดของเชื้อโควิด-19 ที่ทำให้รัฐจำเป็นต้องเข้าถึงข้อมูลส่วนบุคคลของประชาขน เพื่อประเมินสถานการณ์และควบคุมการแพร่ระบาดให้มากที่สุด จึงทำให้ต้องลดความเข้มข้นในส่วนของการคุ้มครอง”

เดือนมกราคม 2563 ประเทศไทยพบผู้ติดเชื้อรายแรกและได้จัดตั้งศูนย์บริหารสถานการณ์โควิด-19 (ศบค.) เพื่อควบคุมสถานการณ์ โดยใช้อำนาจ พ.ร.บ.โรคติดต่อ พ.ศ.2558 ควบคู่กับพระราชกำหนดการบริหารราชการในสถานการณ์ฉุกเฉิน พ.ศ.2548 (บังคับใช้ตั้งแต่ 26 มีนาคม 2563) ซึ่ง ศ.ดร.พิรงรอง ระบุว่าตามหลักการสากลแล้ว รัฐบาลไทยควรบังคับใช้ พ.ร.บ.ข้อมูลส่วนบุคคล หรือ PDPA (Personal Data Protection Act) ควบคู่ไปด้วย ทั้งนี้เพื่อให้การเก็บข้อมูลส่วนบุคคลมีความโปร่งใสและเป็นระบบ

น่าเสียดายที่กรณีของไทยไม่เป็นเช่นนั้น การบังคับใช้ พ.ร.บ.ข้อมูลส่วนบุคคล ถูกเลื่อนไปจนถึง 31 พฤษภาคม 2565 ส่งผลให้การเก็บข้อมูลผู้ป่วยต้องปฏิบัติตาม พ.ร.บ.สุขภาพแห่งชาติ พ.ศ.2550 และ พ.ร.บ.ข้อมูลข่าวสาร พ.ศ.2540 เป็นหลัก ขณะที่ศรีลังกา รัฐบาลกลับใช้กฎหมายกักกันและป้องกันการแพร่ระบาดโรค เพื่อกักตัวผู้สัมผัสเสี่ยงสูงและแยกตัวผู้ป่วยออกจากสังคม ควบคู่กับการใช้มาตรการเคอร์ฟิว (curfew)

“ศรีลังกายังไม่ผ่านกฎหมายคุ้มครองข้อมูลส่วนบุคคล อย่างเป็นทางการ การเก็บข้อมูลสาธารณสุขช่วงการระบาดจึงไม่ระบุหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) รวมทั้งไม่กำหนดหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ด้วย ศรีลังกาใช้เพียงนโยบายข้อมูลสุขภาพแห่งชาติ กำกับดูแลการเก็บ การใช้ และส่งต่อข้อมูลส่วนบุคคลของผู้ป่วยและกลุ่มสัมผัสเสี่ยง และยังใช้แนวปฏิบัติมาตรฐานข้อมูลอิเล็กทรอนิกส์แห่งชาติ กำกับดูแลสถาบันสุขภาพของรัฐและเอกชน ครอบคลุมการบริหารจัดการซอฟต์แวร์สุขภาพ เครือข่ายสุขภาพ อีเมล เว็บไซต์ การรักษาความลับ ตลอดจนความปลอดภัยและจริยธรรมทางการแพทย์สาธารณสุข เพื่อรับรองว่าข้อมูลส่วนบุคคลจะไม่ถูกเปิดเผยโดยปราศจากการยินยอมเป็นลายลักษณ์อักษรจากบุคคลนั้น ๆ” ศ.ดร.พิรงรอง กล่าว

แพลตฟอร์มออนไลน์ประสานเครือข่ายมดงานในพื้นที่

ศ.ดร.พิรงรอง กล่าวสรุปเบื้องต้นว่าทั้งไทยและศรีลังกาใช้โมเดลการเก็บข้อมูลคล้ายกัน 2 โมเดล คือ

“Paper based” คือ การลงพื้นที่ภาคสนาม สัมภาษณ์เก็บข้อมูลผู้ป่วย ผู้สัมผัสเสี่ยง และผู้ถูกกักตัวโดยมีแบบฟอร์มให้กรอกข้อมูล ซึ่งเมื่อได้ข้อมูลมาแล้วก็จะนำไปลงในระบบคอมพิวเตอร์ภายหลัง
“Technology” คือ การใช้แอปพลิเคชันและเทคโนโลยีจัดเก็บข้อมูล ซึ่งมีลักษณะดังนี้

การพัฒนาแอปพลิเคชันเฉพาะเพื่อเก็บข้อมูล เช่น กรณีของไทยใช้แอปพลิเคชัน “ไทยชนะ” ขณะที่ศรีลังกาใช้แอปพลิเคชัน “Stay Safe”
การใช้แอปพลิเคชันในโซเซียลมีเดีย เช่น ไทยใช้ LINE ขณะที่ศรีลังกาใช้ WhatApp และ Viber
การใช้แบบฟอร์มกรอกข้อมูลออนไลน์

นักวิจัยยังได้ตั้งข้อสังเกตด้วยว่า “ไทยควบคุมการระบาดในช่วงแรกได้ดีมาก ปัจจัยสำคัญมาจากการทำงานของเครือข่ายอาสาสมัครสาธารณสุขประจำหมู่บ้าน (อสม.) ซึ่งเป็นจิตอาสาช่วยพัฒนาด้านสุขภาพประจำชุมชนซึ่งเข้าถึงคนในหมู่บ้านและยังจดจำการเข้าออกของคนในชุมชนได้ด้วย เครือข่ายนี้สื่อสารกันผ่าน “ไลน์กลุ่ม” มีระบบจัดเก็บข้อมูลโดยกรอกแบบฟอร์มออนไลน์ ทำให้ติดตามกลุ่มเสี่ยงและผู้ป่วยได้อย่างมีประสิทธิภาพ”

การเข้าถึงชุมชนผ่านเครือข่ายสาธารณสุขที่กว้างขวางและเข้าถึงชุมชนขนาดเล็กได้ คือ กุญแจสำคัญซึ่งทำให้ข้อมูลภาคสนามมีความละเอียด ใช้งานได้จริง เช่น การติดตามผู้สัมผัสเสี่ยงสูงและผู้ป่วย กรณีศรีลังกายังร่วมมือกับฝ่ายบังคับใช้กฎหมายและกองทัพอีกด้วย

แอปพลิเคชันและความท้าทาย

ทั้งสองประเทศยังต้องเผชิญกับความท้าทายในการรักษาความปลอดภัยของข้อมูลทางไซเบอร์ เพราะแอปพลิเคชัน Stay Safe ที่ศรีลังกาใช้เก็บข้อมูลการเข้าออกสถานที่สาธารณะยังมีปัญหาในการป้องกันการรั่วไหลของข้อมูล โดยเฉพาะข้อมูลจากบัตรประชาชน ขณะที่ประเทศไทย การคุ้มครองข้อมูลยังไม่สมบูรณ์ ทั้งยังมีความสับสนในบทบาทระหว่างผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) กับผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ซึ่งผู้พัฒนาแอปพลิเคชันในการเก็บข้อมูลยอมรับว่า หน่วยงานที่เกี่ยวข้องยังไม่เข้าใจหลักการของ พ.ร.บ.ข้อมูลส่วนบุคคล (PDPA) ได้ดีพอ สะท้อนให้เห็นถึงความไม่ตระหนักรู้เรื่องสิทธิส่วนบุคคล และข้อมูลส่วนบุคคลในสังคมไทย

*ภาพการทำงานของแอปพลิเคชัน Stay Safe ของประเทศศรีลังกา*

ศ.ดร.พิรงรอง กล่าวถึงประเด็นการปกป้องข้อมูลส่วนบุคคลว่า “ศรีลังกาป้องกันการเปิดเผยตัวตนของผู้ป่วยโควิด-19 ผ่านแอปฯ WhatsApp และ Viber ซึ่งเป็นกลุ่มปิด ขณะที่ไทยใช้อำนาจของเจ้าหน้าที่ควบคุมรหัสผ่านระหว่างการรับส่งข้อมูลส่วนบุคคล และไม่ได้กำหนดระยะเวลาการเก็บข้อมูลผู้ป่วย (ตามหลักสากลจะทำลายข้อมูลภายใน 60 วัน) ในขณะที่ แอปฯ ไทยชนะ และ Stay Safe ระบุระยะเวลาเก็บข้อมูลไว้ 60 วัน ชัดเจนตามนโยบายความเป็นส่วนตัว”

ภาพการทำงานของแอปพลิเคชัน ไทยชนะ
อ้างอิงจาก https://www.nationthailand.com/in-focus/30387842

ข้อเสนอแนะ

จากการศึกษาดังกล่าว ศ.ดร.พิรงรอง เสนอข้อแนะนำว่า “รัฐควรสร้างกรอบนโยบายที่ชัดเจนเกี่ยวกับการเข้าถึงข้อมูลส่วนบุคคล และควรแจ้งให้ชัดถึงประเภทข้อมูลที่จัดเก็บ วิธีการรวบรวม วิธีการจัดเก็บ ระยะเวลาที่เก็บ ใครเข้าถึงข้อมูลได้บ้าง วิธีการเข้าถึงข้อมูล วัตถุประสงค์ในการใช้ การรับผิดหากละเมิด ลำดับการเข้าถึงข้อมูล ระยะเวลาการใช้และทำลาย ทั้งหมดเพื่อความโปร่งใสและวางใจได้ระหว่างผู้ใช้ข้อมูล เจ้าของข้อมูล และสังคม ซึ่งหากทำได้ก็จะช่วยลดปัญหาความไม่เต็มใจเปิดเผยข้อมูล หรือปกปิดเพียงเพราะไม่มั่นใจในระบบ จนอาจนำไปสู่การตีตราทางสังคมเมื่อข้อมูลผู้ป่วยโควิด-19 รั่วไหล”

“นอกจากนี้ รัฐควรเร่งสร้างความรู้ความเข้าใจในกฎหมาย พ.ร.บ.ข้อมูลส่วนบุคคล ทั้งในระดับประชาชน เอกชนและหน่วยงานรัฐ เพื่อให้เกิดการตระหนักในบทบาทและสิทธิที่ตนพึงมีต่อตนเองและสังคม” ศ.ดร.พิรงรอง กล่าวทิ้งท้าย

อ่านงานวิจัยฉบับเต็มได้ที่ Health-Related Information & COVID-19 : A Study of Sri Lanka and Thailand

ข้อมูลส่วนบุคคล ความสำคัญของ PDPA และสิทธิของเจ้าของข้อมูลส่วนบุคคล

ข้อมูลส่วนบุคคล หมายถึง ข้อมูลที่บ่งชี้ให้เห็นและเข้าใจถึงเรื่องราวลักษณะเฉพาะตัวของบุคคลหนึ่งบุคคลใด ไม่ว่าทางตรงหรือทางอ้อม เช่น ชื่อ นามสกุล หมายเลขโทรศัพท์ ที่อยู่ อีเมล หมายเลขบัตรประจำตัวประชาชน รูปถ่าย ประวัติการทำงาน และอายุ เป็นต้น

เนื่องจากปัจจุบัน ประเทศไทยเป็นยุคที่ธุรกิจต่างต้องการข้อมูลส่วนบุคคลของลูกค้าที่หลากหลาย เพื่อพัฒนาสินค้าและการบริการขององค์กร เช่น ชื่อ เบอร์โทรศัพท์ พฤติกรรมการจับจ่าย เป็นต้น ดังนั้น พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ PDPA – Personal Data Protection Act จึงถูกออกแบบมาเพื่อป้องกันความเสี่ยงจากองค์กรที่ครอบครองข้อมูลส่วนบุคคลของลูกค้าและพนักงาน โดยองค์กรจึงจำดูแลป้องกันการรั่วไหลของข้อมูลส่วนบุคคลเหล่านั้น

พ.ร.บ.นี้ เน้นบังคับใช้กับองค์กร หน่วยงาน หรือนิติบุคคลให้มี “มาตรฐาน” ในการจัดการข้อมูลส่วนบุคคลอย่างเหมาะสม เมื่อมีความจำเป็นต้องขอใช้ข้อมูลส่วนบุคคล ทั้งนี้เพื่อลดความเสี่ยงที่จะมีผลกระทบไปถึงการรักษาความลับ (Confidentiality) ความถูกต้องสมบูรณ์ (Integrity) และความพร้อมใช้งาน (Availability) ของข้อมูลส่วนบุคคลที่ก่อให้เกิดแนวโน้มให้เกิดผลกระทบเชิงลบหรือความเสียหายในระดับบุคคลหรือองค์กร

บุคคลทั่วไปในฐานะเจ้าของข้อมูลส่วนบุคคล (Data Subject) ควรจะตระหนักและเข้าใจสิทธิของตนเอง โดยสิทธิของเจ้าของข้อมูลส่วนบุคคลมีด้วยกันทั้งหมด 7 ประการ
1. สิทธิได้รับการแจ้งให้ทราบ (Right to be informed)
2. สิทธิในการขอเข้าถึงข้อมูลส่วนบุคคล (Right of access)
3. สิทธิในการขอให้โอนข้อมูลส่วนบุคคล (Right to data portability)
4. สิทธิคัดค้านการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (Right to object)⠀⠀
5. สิทธิขอให้ลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลไม่สามารถระบุตัวตนได้ (Right to erasure; also known as right to be for-gotten)
6. สิทธิขอให้ระงับการใช้ข้อมูล (Right to restrict processing)
7. สิทธิการขอให้แก้ไขข้อมูลส่วนบุคคล (Right of rectification)

อ้างอิงจากสำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน) (สพร.): https://bit.ly/3D14Owk
https://www.mfec.co.th/th/tech-talk/coe/pdpa-ep1/

ก่อนหน้า ผู้ป่วยโรคหลอดเลือดสมองฟื้นฟูได้ ด้วยหุ่นยนต์ฟื้นฟูสมรรถภาพ นวัตกรรมเพื่อคนไทยโดยวิศวฯ และแพทย์ จุฬาฯ

ดูทั้งหมด

ถัดไป เตรียมก่อนสูงวัย สมองใส ห่างไกลโรคอัลไซเมอร์ ศูนย์ดูแลภาวะสมองเสื่อม โรงพยาบาลจุฬาลงกรณ์ช่วยได้

จุฬาฯ สนับสนุนให้อาจารย์ทำงานวิจัย นับว่าเป็นสิ่งที่ดีมากต่อทั้งอาจารย์ นิสิต รวมถึงภาคประชาสังคม

รองศาสตราจารย์ ดร.สุชนา ชวนิชย์ คณะวิทยาศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย