ปัญหาการละเมิดข้อมูลส่วนบุคคลเป็นสิ่งที่เกิดขึ้นมาอย่างยาวนาน และยังไม่ได้รับการแก้ไข หรือการป้องกันอย่างจริงจัง กระทั่งมีการร่าง พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ขึ้น และบังคับใช้อย่างเป็นทางการเมื่อวันที่ 1 มิถุนายน พ.ศ 2565 ผ่านมา 1 ปี มีปัญหาและอุปสรรคใดเกิดขึ้นบ้าง และแนวทางต่อไปของกฎหมายฉบับนี้จะเป็นอย่างไร 

ตลอด 1 ปีที่ผ่านมา นอกจากหน่วยงานทั้งภาครัฐ และเอกชน ที่เริ่มตื่นตัว จะเห็นได้ว่า องค์กรที่มีหน้าที่โดยตรง อย่าง สำนักคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ได้เริ่มภารกิจมากมาย ไม่ว่าจะเป็นการออกกฎหมายลูก การจัดตั้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล รวมถึงการออกแนวทางปฎิบัติเมื่อถูกละเมิดข้อมูลส่วนบุคคล และการให้ความรู้แก่ประชาชนในแง่มุมต่าง ๆ เพื่อสร้างการตระหนักรู้ที่มากขึ้น

ขณะที่ Security Pitch ได้สอบถามไปยัง ดร.มนต์ศักดิ์ โซ่เจริญธรรม ผู้เชี่ยวชาญด้านข้อมูล เกี่ยวกับกระแสความตื่นตัวของกฎหมายฉบับนี้ ระบุว่า ตลอด 1 ปี ที่ผ่านมา จะเห็นว่าสังคมตื่นตัวมากขึ้น โดย 2 ประเด็นใหญ่ที่กล่าวถึง คือ หนึ่ง ผู้คนเริ่มให้ความสนใจในแง่ของการปฏิบัติ ไม่ว่าจะเป็นการเริ่มหาคำตอบว่าสิ่งไหนถูก หรือ ผิดกฎหมาย มีการหาความรุ้เพิ่มเติมเกี่ยวกับแนวทางปฏิบัติในแต่ละบริบท แต่ละสถานการณ์ เช่น กรณีการทำสื่อโฆษณา หรือการทำรีวิวสถานที่แล้วติดคนมาด้วย จะสามารถทำได้ไหม ไม่เพียงเท่านั้นในแง่ของการฏิบัติเอง บรรดาสื่อ หรือ ยูทูปเบอร์ส่วนใหญ่ ก็เริ่มมีการเบลอหน้าบุคคลที่ถ่ายติด และไม่มีความเกี่ยวข้อง รวมไปถึงการแถลงข่าวก็มีการเบลอหน้าผู้ที่ไม่เกี่ยวข้องบ่อยมากขึ้น เพราะเขารู้ และเข้าใจแล้วว่า การเปิดเผยข้อมูลนั้นจะต้องทำเท่าที่จําเป็น. ไม่ควรเปิดเผยใบหน้าบุคคลในข่าว ถ้าไม่สมควร หรือไม่จำเป็น และบางคนก็สามารถปฏิบัติได้อย่างถูกต้องแล้ว 

อีกประเด็นคือ ยังมีอีกหลายหน่วยงาน ทั้งภาครัฐ และเอกชน ที่ยังไม่ได้ปฏิบัติตาม PDPA ปัญหานี้ ดร.มนต์ศักดิ์ กล่าวว่า ปัจจัยที่ทำให้หลายองค์กรยังไม่ทำ PDPA เนื่องจากกฎหมายฉบับนี้ยังเป็นเรื่องที่ใหม่มาก คนไม่น้อยที่ยังไม่มีความรู้ความเข้าใจที่มากพอ คนในสังคมมีการรับรู้ที่ช้า-เร็วไม่เท่ากัน ประกอบกับกฎหมายฉบับนี้ยังมีข้อมูลใหม่ ๆ ออกมาตลอด ซึ่งไม่ใช่เรื่องที่แปลกแต่อย่างใด ขณะเดียวกันคนที่มีความรู้ความเข้าใจกฎหมายฉบับนี้แล้ว ก็นำมาปฏิบัติได้อย่างถูกต้อง ก็ถือเป็นนิติหมายอันดี

และเมื่อถามถึงปัจจัยที่ส่งผลต่อความรู้ความเข้าใจ หรือการตระหนักรู้ของคนในสังคม  ดร.มนต์ศักดิ์ ให้ความเห็นว่า มีความเป็นไปได้ว่าเกิดจากการที่สังคมยังไม่รู้ว่ามีการลงโทษที่จริงจัง จึงยังไม่ตระหนัก หรือไม่ได้รู้สึกเดือดร้อนเท่าที่ควร ซึ่งอนาคตหากมีเหตุการณ์ที่ส่งผลกระทบเป็นวงกว้างก็อาจทำให้คนกระตือรือร้นมากขึ้น ดังนั้นสื่ออาจต้องหันมาให้ความสนใจ และเผยแพร่ข่าวเกี่ยวกับการกระทำผิด หรือการลงโทษให้มากกว่านี้ เพราะในต่างประเทศ โดยเฉพาะในยุโรป มีการรวบรวมคดีการกระทำความผิดเกี่ยวกับกฎหมาย GDPR เอาไว้อย่างละเอียด เป็น Open Data ที่คนสามารถเข้าถึงได้ สามารถเห็นสถิติ ทั้งในเรื่องจำนวนคดี และค่าปรับต่าง ๆ

 ดร.มนต์ศักดิ์ ยังแสดงความเห็นถึง ระยะเวลาการสร้างความตระหนักรู้ในสังคมไทย ว่าสำหรับประเทศไทยถือว่ามีการพูดคุย และตระหนักรู้เรื่องนี้กันอยู่ ไม่เว้นแม้แต่ในโรงเรียนมัธยมบางแห่งที่เริ่มมีการเรียนการสอน หรือให้ทำรายงานเกี่ยวกับเรื่องกฎหมายคุ้มครองข้อมูลส่วนบุคคลแล้ว ขณะที่หน่วยงานราชการ และองค์กรภาคเอกชน ที่คนส่วนใหญ่คาดหวังว่าจะตื่นตัวเรื่อง PDPA มากขึ้น กลับยังไม่เป็นไปตามที่คาดหวังเท่าไรนัก ดังนั้นจึงควรมีการเผยแพร่บทลงโทษที่เกิดขึ้นกับองค์กรที่มีการละเมิดข้อมูลส่วนบุคคล และควรมีแนวทางในการแนะนำเพื่อให้เกิดการเรียนรู้เป็นบทเรียน และการปฎิบัติที่ถูกต้อง 

และเนื่องจากกฎหมาย PDPA มีความเกี่ยวข้องกับความมั่นคงปลอดภัยทางไซเบอร์ การให้ความรู้เกี่ยวกับกฎหมายฉบับนี้ จึงอาจต้องทำควบคู่ไปกับการสร้างความรู้ความเข้าใจด้านความมั่นคงปลอดภัยทางไซเบอร์ ที่ผ่านมาภาครัฐเองก็มีการให้ความรู้ผ่านสื่อออนไลน์ต่าง ๆ และยังจัดอบรมสัมมนาอย่างสม่ำเสมอ แต่เพราะการนำเสนอโดยผู้เชี่ยวชาญ บางครั้งยังไม่มีการยกตัวอย่าง หรือใช้ภาษาสื่อสารที่เข้าใจง่าย เมื่ออธิบายเป็นกฎหมายมากไป จึงทำให้ไม่ได้รับความสนใจเท่าที่ควร 

ทั้งนี้ ดร.มนต์ศักดิ์ ยังทิ้งท้ายถึงการให้ความสำคัญกับการคุ้มครองข้อมูลว่า ถึงเวลาแล้วที่องค์กรจะต้องมีการปรับตัว และให้ความสำคัญกับข้อมูลส่วนบุคคล เพราะเราได้เห็นบทเรียนจากเหตุการณ์ใหญ่ที่ 9near ขโมยข้อมูลส่วนบุคคลของคนไทยไปแล้ว ดังนั้นหากไม่อยากตกเป็นจำเลยสังคม และมีความผิดทางกฎหมาย หรือสูญเสียความเชื่อมั่นขององค์กร ก็ควรต้องมีการปรับตัว รักษาความปลอดภัยของข้อมูล นำข้อมูลส่วนบุคคลมาใช้เท่าที่จำเป็น ตามวัตถุประสงค์ที่แจ้งกับลูกค้า และตามกฎหมาย อย่าคิดว่าเรื่องนี้ไม่สำคัญ และไม่มีความจำเป็น เพราะหากคิดว่าเป็นภาระ และไม่เริ่มปรับตัวตั้งแต่วันนี้ องค์กรของคุณก็จะถูกทิ้งเอาไว้ข้างหลังเช่นกัน