ทำข่าวอย่างไร ภายใต้ PDPA

ปธ.กก. PDPA ย้ำ ‘ตั้งใจทำ’ เท่านั้น จึงจะผิดตาม กม.คุ้มครองข้อมูลส่วนบุคคล ส่วนสถานะความเป็น ‘สื่อมวลชน’ ของบรรดาผู้ผลิตเนื้อหา องค์กรวิชาชีพต้องตีความให้ชัด ขณะที่ เลขาฯ สมาพันธ์ SME ชี้ ‘งานข่าว’ กับ ‘การเก็บรักษาข้อมูล’ ต้องแยกกัน พร้อมยกตัวอย่าง สมุดรายชื่อแหล่งข่าวถูกขโมยไปก๊อปปี้ ‘เจ้าของ’ ได้สิทธิ์ติดคุก ด้าน ‘ระวี ตะวันธรงค์’ ดีใจประเทศไทยมีกฎหมายเหมือนทั่วโลก และไม่ซ้ำซ้อน พ.ร.บ.คอมพ์ เผย สมาคมผู้ผลิตข่าวออนไลน์ รับสมัครสมาชิกบนเงื่อนไขที่ผ่อนปรนมากขึ้น แต่มาตรฐานจรรยาบรรณต้องนำหน้า ตามด้วยความรับผิด/รับชอบ ใครสนใจ ‘เวลคัม’ ตลอดเวลา

จากกรณี พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2652 (PDPA) ที่เริ่มมีผลใช้บังคับตั้งแต่ 1 มิถุนายน 2565 ได้ก่อให้เกิดคำถามขึ้นอย่างมากมาย โดยเฉพาะในประเด็น “อะไรทำได้ อย่างไหนทำไม่ได้” รายการวิทยุ “รู้ทันสื่อกับสภาการสื่อมวลชนแห่งชาติ” ที่ออกอากาศทางสถานีวิทยุ FM 100.5 MHz. อสมท. วันเสาร์ที่ 4 มิถุนายน 2565 จึงได้เชิญผู้รู้และผู้เกี่ยวข้อง ร่วมพูดคุยให้รายละเอียดตลอดจนให้คำแนะนำการปฏิบัติตัว เพื่อป้องกันไม่ให้การกระทำผิดในลักษณะต่าง ๆ ตามที่ระบุไว้ในกฎหมายฉบับนี้ ได้แก่ นายเธียรชัย ณ นคร ประธานกรรมการคุ้มครองข้อมูลส่วนบุคคล ดร.อุดมธิปก ไพรเกษตร ผู้ก่อตั้งเว็บไซต์ PDPA Thailand เลขาธิการ สมาพันธ์เอสเอ็มอีไทย ประธานเจ้าหน้าที่บริหาร บริษัท ดิจิทัล บิสิเนส คอนซัลท์ จำกัด ประธานกรรมการบริหาร สถาบันพัฒนาและทดสอบทักษะดิจิทัล ( DDTI ) และนายระวี ตะวันธรงค์ นายกสมาคมผู้ผลิตข่าวออนไลน์ โดยมีนายสืบพงษ์ อุณรัตน์ และนายณรงค สุทธิรักษ์ เป็นผู้ดำเนินรายการ

นายเธียรชัย ได้กล่าวถึงเจตนารมณ์ของกฎหมายฉบับนี้ว่า เพื่อคุ้มครองสิทธิความเป็นส่วนตัวของประชาชน โดยเฉพาะบุคคลที่เป็นลูกค้าขององค์กรธุรกิจ ควรจะต้องได้รับการป้องกันจากกฎหมายฉบับนี้คือ ป้องกันไม่ให้องค์กรธุรกิจนำข้อมูลส่วนตัวของลูกค้าไปใช้ในแบบไม่เหมาะสม เช่น นำไปใช้ทางการตลาดโดยเจ้าของข้อมูลไม่ได้ให้ความยินยอม กระทั่งรบกวนความเป็นอยู่ส่วนตัว เช่น ส่งสแปมเมล์ ส่งเอสเอ็มเอส หรือส่งข้อความผ่านโทรศัพท์ไปหา กรณีนี้ถือว่า เป็นการนำข้อมูลส่วนตัวของลูกค้าไปใช้ในทางที่ไม่เหมาะสม กฎหมายคุ้มครองข้อมูลส่วนบุคคลจึงออกมาเพื่อป้องกันปัญหาเหล่านี้

ส่วนข้อกังวลต่างๆ เช่น ถ่ายภาพติดภาพคนอื่นแล้วนำไปโพสต์จะมีความผิดหรือไม่ รวมทั้งการติดตั้งกล้องวงจรปิดบริเวณบ้านแล้วแต่ติดภาพบ้านของเพื่อนบ้านด้วยนั้น คงต้องพิจารณาว่า ผู้กระทำมีเจตนาที่จะรบกวนผู้อื่นหรือไม่ ถ้าไม่มีเจตนาก็ไม่มีความผิด แต่หากใครเห็นว่า ภาพของตัวเองติดไปกับภาพของผู้อื่นและไม่สะดวกใจหรือไม่ยินยอมให้ปรากฏภาพของตัวเอง ก็สามารถขอให้ลบออกได้

“กฎหมายฉบับนี้มีข้อยกเว้นให้สำหรับกิจการของสื่อมวลชน แม้จะไม่ระบุไว้อย่างชัดเจน แต่อาชีพสื่อมวลชน เป็นอาชีพที่ต้องมีมาตรฐานจริยธรรมเป็นปกติอยู่แล้ว ดังนั้นหากสื่อมวลชนปฏิบัติหน้าตามมาตรฐานจริยธรรมแต่เกิดข้อพิพาทขึ้น สื่อมวลชนก็สามารถยกข้ออ้างในเรื่องมาตรฐานจริยธรรมเพื่อคุ้มครองตัวเองได้ ส่วนข้อถามที่ว่า ผู้ทำหน้าที่สื่อจะต้องมีสังกัด มีสำนัก หรือ จะต้องมีใบอนุญาตหรือไม่นั้น กฎหมายไม่ได้มีการระบุในรายละเอียดลงไปถึงขนาดนั้น โดยอาจจะต้องมีการหารือกับองค์กรวิชาชีพสื่อมวลชนอีกครั้ง แต่กรณีมีประเด็นปัญหาหรือเกิดมีข้อพิพาท คณะกรรมการกรรมการคุ้มครองข้อมูลส่วนบุคคลชุดใหญ่ จะทำหน้าที่ตีความประเด็นทางกฎหมาย หรือหากเกิดข้อพิพาทอื่น ๆ คณะกรรมการผู้เชี่ยวชาญ ก็จะทำหน้าที่พิจารณาให้”

นายเธียรชัย ยังได้ให้ความเห็นถึงนิยามของคำว่า “สื่อมวลชน” ว่า ปัจจุบัน การตีความคำว่า สื่อมวลชน มีความหมายกว้างมาก และยังไม่มีความชัดเจน เช่น ยูทูปเบอร์ จะอยู่ในความหมายของคำว่า สื่อมวลชนหรือไม่นั้น กรณีเช่นนี้ ควรเป็นหน้าที่ขององค์กรวิชาชีพสื่อมวลชนในการตีความ แต่ในเบื้องต้นนั้น สื่อมวลชนที่จะรอดพ้นจากความผิดตามกฎหมายฉบับนี้คือ ต้องเป็นสมาชิกองค์กรวิชาชีพและต้องไม่ละเมิดกฎหมายฉบับนี้ หรือแม้จะไม่ได้เป็นสมาชิกองค์กรวิชาชีพ แต่เป็นสื่อมวลชนทำหน้าที่ตามมาตรฐานจริยธรรมสื่อที่กำหนดไว้

ทางด้าน ดร.อุดมธิปก กล่าวว่า ในฐานะที่มีโอกาสเห็นร่างกฎหมายฉบับนี้มาตั้งแต่ต้น ในฐานะสื่อมวลชน ในฐานะผู้บรรยายให้ความคิดเห็น รวมทั้งการประชาพิจารณ์ และในฐานะที่อยู่ในวงการสื่ออิเล็กทรอนิกส์ ทำให้เห็นว่า กฎหมายฉบับนี้ได้มีการเพิ่มเติมบทกำหนดโทษทางอาญาเข้าไปในภายหลังเนื่องจากหลายคนกังวลว่า ผู้ที่ควบคุมข้อมูลส่วนบุคคล และผู้ประมวลผลข้อมูลส่วนบุคคล ซึ่งส่วนใหญ่จะเป็นองค์กรนิติบุคคล จะไม่ปฏิบัติตามกฎหมาย

โดยบทกำหนดโทษทางอาญา ก็จะมีโทษทั้งโทษปรับและโทษจำคุก อยู่ในมาตรา 79 และมาตรา 80* ซึ่งเป็นประเด็นที่เกี่ยวข้องกับการเก็บข้อมูลอ่อนไหว แล้วนำไปใช้ และก่อให้เกิดความเสียหายร้ายแรงแก่เจ้าของข้อมูล ซึ่งเป็นมูลฐานความผิดที่คล้ายกับใน 5 ประเทศอาเซียน รวมทั้ง สิงคโปร์ ก็เพิ่งมีบทกำหนดโทษทางอาญาภายหลังจากที่ประกาศใช้กฎหมายไปแล้ว

ส่วนธุรกิจเอสเอ็มอี ที่ปัจจุบันมีการทำตลาดออนไลน์มากขึ้นนั้น จะไม่ได้รับผลกระทบจากกฎหมายฉบับนี้เท่าใดนัก เนื่องจากกลุ่มธุรกิจเอสเอ็มอีไม่นิยมเก็บข้อมูลลูกค้า หรือหากจะมีเก็บไว้ ก็ไม่ได้ใช้ข้อมูลลูกค้าอย่างสุรุ่ยสุร่าย โดยสมาพันธ์เอสเอ็มอีไทย ได้มีการชี้แจงทำความเข้าใจและให้สมาชิกเตรียมตัวไว้ก่อนหน้านี้แล้ว

“กฎหมายฉบับนี้ ออกมาเพื่อใช้บังคับกับภาคธุรกิจ หรือองค์กรภาครัฐ ที่จัดเก็บข้อมูลบุคคลเป็นจำนวนมาก ไม่ได้ออกมาบังคับใช้กับตาสี ตาสา หรือผู้ที่ถ่ายรูปติดภาพของคนอื่น และสุจริตชนไม่ต้องวิตกกังวล ส่วนองค์กรสื่อและคนสื่อ ที่แม้จะได้รับการยกเว้นในเรื่องของการทำงานข่าว แต่ในเรื่องของการรักษาความปลอดภัยข้อมูล โดยเฉพาะข้อมูลส่วนตัวของแหล่งข่าว เช่น จดข้อมูลแหล่งข่าวไว้ในสมุดบันทึก มีชื่อ ที่อยู่ เบอร์โทร มีข้อมูลส่วนตัวต่างๆ แล้วผู้จดบันทึกหรือเจ้าของสมุดบันทึกลืมสมุดเล่มนั้นไว้ ปรากฏว่า มีผู้หยิบสมุดบันทึกนี้ไปสแกน ตรงนี้เจ้าของสมุดบันทึกจะปฏิเสธความรับผิดชอบไม่ได้ เรื่องนี้ไม่เกี่ยวกับการทำงานข่าว แต่เป็นหน้าที่ที่นักข่าวหรือผู้จดบันทึกจะต้องรักษาความปลอดภัยข้อมูลของแหล่งข่าว รวมทั้ง การจัดเก็บข้อมูลบุคคลต่าง ๆ ไว้ใน Thump Drive แล้วเกิดทำ Thump Drive หาย ตรงนี้ก็จะมีประเด็นความผิดตามกฎหมายฉบับนี้แล้ว”

ขณะที่นายระวี กล่าวว่า การที่ประเทศไทยประกาศใช้กฎหมายฉบับนี้ถือว่าเป็นเรื่องที่ดี และสมาคมผู้ผลิตข่าวออนไลน์ ได้เตรียมรับมือกับกฎหมายฉบับนี้มาพอสมควรแล้ว เนื่องจากเป็นกฎหมายพื้นฐานปกติที่ทั่วโลกใช้กันอยู่ เช่น ในยุโรป มีกฎหมาย GDPR หรือ General Data Protection Regulation มีวัตถุประสงค์คล้ายกับ PDPA ของไทย คือ เพื่อให้บริษัท/ธุรกิจที่จัดเก็บและจัดการข้อมูลส่วนบุคคล เพิ่มมาตรการการคุ้มครองความปลอดภัยข้อมูลส่วนบุคคลตามมาตรฐานโดยชอบด้วยกฎหมาย ที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล ซึ่งถือว่า เป็นกฎหมายกำกับดูแลเรื่องการใช้ข้อมูลส่วนบุคคล และการทำงานของสื่อด้วย

“กฎหมายฉบับนี้ ไม่ซ้ำซ้อนกับ พ.ร.บ. คอมพ์ (พ.ร.บ.ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ.2560) เนื่องจาก พ.ร.บ.คอมพิวเตอร์ฯ เป็นเรื่องของการได้มาและการนำเสนอแบบไม่ถูกต้อง เป็นข้อมูลเท็จ หรือเป็นการนำเสนอข้อมูลที่ละเมิดต่อบุคคลอื่น แต่กฎหมายฉบับนี้ เป็นเรื่องของการได้มาซึ่งข้อมูลและการเก็บรักษา รวมทั้งการนำออกมาใช้ทางด้านการตลาด การโฆษณา ซึ่งเป็นสิ่งที่ต้องระวัดระวังมากขึ้น นอกจากนี้การสัมภาษณ์บุคคลหลังจากนี้ ควรต้องให้ผู้สัมภาษณ์กล่าวคำยินยอมก่อนการให้สัมภาษณ์ และผู้ที่ไปสัมภาษณ์ ต้องบันทึกคำยินยอมนั้นไว้เป็นหลักฐาน กรณีเกิดปัญหาจะได้นำคำยินยอมที่ว่า มากล่าวอ้างได้”

นายระวี กล่าวต่อไปว่า เพื่อให้สอดคล้องกับการเปลี่ยนแปลงในยุคดิจิทัล สมาคมผู้ผลิตข่าวออนไลน์ ที่ปัจจุบันมีสมาชิกทั้งในส่วนกลางและภูมิภาค รวม 38 ราย จึงได้มีการปรับเงื่อนไขให้กับผู้ผลิตสื่อออนไลน์ที่ต้องการเป็นสมาชิกสมาคมผู้ผลิตข่าวออนไลน์ สามารถสมัครเป็นสมาชิกสมาคมฯ ได้ โดยผู้สมัครต้องมีเว็บไซต์ที่ผูกพันอยู่กับนิติบุคคล และนิติบุคคลที่ผูกพันดังกล่าวจะต้องเป็นเจ้าของเว็บไซต์โดยตรง รวมถึงเว็บไซต์ดังกล่าวต้องดำเนินการมาแล้วไม่ต่ำกว่า 6 เดือน

“ที่ระบุว่า จะต้องมีเว็บไซต์ที่มีเจ้าของเป็นนิติบุคคล ก็เพื่อสร้างความมั่นใจให้กับผู้บริโภคว่า สมาชิกสมาคมผู้ผลิตข่าวออนไลน์ มีตัวตนและสามารถรับผิดชอบตามกฎหมายได้ ไม่ได้มีเพียงเพจ หรือเฟซบุ๊คที่สามารถปิดหนีได้ทันทีที่มีเรื่อง ส่วนจำนวนบุคลากรหรือคนทำงานในเว็บไซต์ ของผู้ที่ต้องการเป็นสมาชิกสมาคมฯ ก็ไม่จำเป็นต้องถึง 50 คน ขอแค่มีจรรยาบรรณเป็นที่ตั้ง และมีความรับผิด-รับชอบ ซึ่งรายละเอียดต่างๆ เว็บไซต์ของสมาคมฯ ได้ชี้แจงไว้แล้ว ส่วนใครที่คุณสมบัติไม่เข้าข้อใดข้อหนึ่ง ก็ขอให้ติดต่อเข้ามาพูดคุยกัน แต่ก็ต้องย้ำว่า การเป็นสมาชิกสมาคมฯ ก็อาจมีความผิดตามกฎหมายฉบับนี้ หากเว็บไซต์นั้นๆ กระทำการนอกกรอบจริยธรรม และขาดความรับผิดชอบ”


มาตรา 79 ผู้ควบคุมข้อมูลส่วนบุคคลผู้ใดฝ่าฝืนมาตรา 27 วรรคหนึ่งหรือวรรคสอง หรือไม่ปฏิบัติตามมาตรา 28 อันเกี่ยวกับข้อมูลส่วนบุคคลตามมาตรา 26 โดยประการที่น่าจะทำให้ผู้อื่นเกิดความเสียหาย เสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอาย ต้องระวางโทษจำคุกไม่เกินหกเดือน หรือปรับไม่เกินห้าแสนบาท หรือทั้งจำทั้งปรับ
ผู้ควบคุมข้อมูลส่วนบุคคลผู้ใดฝ่าฝืนมาตรา 27 วรรคหนึ่งหรือวรรคสอง หรือไม่ปฏิบัติตามมาตรา 28 อันเกี่ยวกับข้อมูลส่วนบุคคลตามมาตรา 26 เพื่อแสวงหาประโยชน์ที่มิควรได้โดยชอบด้วยกฎหมายสำหรับตนเองหรือผู้อื่น ต้องระวางโทษจำคุกไม่เกินหนึ่งปี หรือปรับไม่เกินหนึ่งล้านบาทหรือทั้งจำทั้งปรับ
ความผิดตามมาตรานี้เป็นความผิดอันยอมความได้

มาตรา 80 ผู้ใดล่วงรู้ข้อมูลส่วนบุคคลของผู้อื่นเนื่องจากการปฏิบัติหน้าที่ตามพระราชบัญญัตินี้ ถ้าผู้นั้นนำไปเปิดเผยแก่ผู้อื่น ต้องระวางโทษจำคุกไม่เกินหกเดือน หรือปรับไม่เกินห้าแสนบาท หรือทั้งจำทั้งปรับ
ความในวรรคหนึ่ง มิให้นำมาใช้บังคับแก่การเปิดเผย ในกรณีดังต่อไปนี้
(1) การเปิดเผยตามหน้าที่
(2) การเปิดเผยเพื่อประโยชน์แก่การสอบสวน หรือการพิจารณาคดี
(3) การเปิดเผยแก่หน่วยงานของรัฐในประเทศหรือต่างประเทศที่มีอ านาจหน้าที่ตามกฎหมาย
(4) การเปิดเผยที่ได้รับความยินยอมเป็นหนังสือเฉพาะครั้งจากเจ้าของข้อมูลส่วนบุคคล
(5) การเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับการฟ้องร้องคดีต่าง ๆ ที่เปิดเผยต่อสาธารณะ