ขั้นตอนในการประกันสิทธิมนุษยชนในการเปลี่ยนแปลงทางดิจิทัล

การคุ้มครองข้อมูลส่วนบุคคลคือการคุ้มครองสิทธิมนุษยชนและเสรีภาพขั้นพื้นฐานที่เกี่ยวข้องกับข้อมูล

เมื่อวันที่ 17 เมษายน 2023 รัฐบาลได้ออกพระราชกฤษฎีกาฉบับที่ 13/2023/ND-CP (พระราชกฤษฎีกา) เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล มีผลบังคับใช้ตั้งแต่วันที่ 1 กรกฎาคม 2023 โดยเป็นไปตามข้อกำหนดในการคุ้มครองสิทธิข้อมูลส่วนบุคคล ป้องกันการละเมิดข้อมูลส่วนบุคคลที่กระทบต่อสิทธิและผลประโยชน์ของบุคคลและองค์กร

ไฮไลท์

พระราชกฤษฎีกาเป็นเอกสารทางกฎหมายที่ควบคุมการคุ้มครองข้อมูลส่วนบุคคลและความรับผิดชอบของหน่วยงาน องค์กร และบุคคลที่เกี่ยวข้องในการคุ้มครองข้อมูลส่วนบุคคล

ประการแรก การคุ้มครองข้อมูลส่วนบุคคลเป็นเรื่องเกี่ยวกับการปกป้องสิทธิมนุษยชนขั้นพื้นฐานและเสรีภาพที่เกี่ยวข้องกับข้อมูล บทบัญญัติของพระราชกฤษฎีกาว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลที่บังคับใช้มีวัตถุประสงค์เพื่อป้องกันไม่ให้มีการละเมิดสิทธิและเสรีภาพส่วนบุคคลของบุคคลแต่ละคน

ในเวลาเดียวกันความปลอดภัยของข้อมูลส่วนบุคคลถือเป็นสิ่งสำคัญอย่างยิ่ง เนื่องจากหากข้อมูลถูกขโมยไป อาจทำให้เกิดความสูญเสียทางเศรษฐกิจและสังคม มีความเสี่ยงต่างๆ เช่น การแบล็กเมล์ การฉ้อโกง การยึดครองทรัพย์สิน การหมิ่นประมาท การละเมิดเกียรติยศ ศักดิ์ศรี การล่วงละเมิดทางเพศ... ซึ่งก่อให้เกิดผลทั้งทางวัตถุและทางจิตวิญญาณ ส่งผลโดยตรงต่อสิทธิและผลประโยชน์ที่ถูกต้องตามกฎหมายของหน่วยงาน องค์กร ธุรกิจ และบุคคล

ประการที่สอง ส่งเสริมและเคารพสิทธิของเจ้าของข้อมูลส่วนบุคคล สิทธิของเจ้าของข้อมูลส่วนบุคคลได้แก่ สิทธิในการเข้าถึง สิทธิในการยินยอมหรือคัดค้านการประมวลผลข้อมูลส่วนบุคคล สิทธิในการได้รับแจ้ง และสิทธิในการขอให้ลบข้อมูล...

นอกจากนี้ เจ้าของข้อมูลยังมีสิทธิ์ที่จะปกป้องตนเองจากการละเมิดข้อมูลส่วนบุคคลของตนโดยเจ้าของข้อมูลรายอื่นอีกด้วย ผู้ถูกกล่าวหามีสิทธิ์เรียกร้องค่าชดเชยความเสียหายเมื่อมีการละเมิดบทบัญญัติแห่งพระราชกฤษฎีกาจนก่อให้เกิดความเสียหายต่อสิทธิในการคุ้มครองข้อมูลส่วนบุคคล นอกจากนี้ พระราชกฤษฎีกายังกำหนดอย่างชัดเจนว่า การรวบรวม โอน หรือซื้อและขายข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล ถือเป็นการฝ่าฝืนกฎหมาย

อย่างไรก็ตาม สิทธิของบุคคลในการปกป้องข้อมูลส่วนบุคคลไม่ใช่สิทธิโดยเด็ดขาด แต่สามารถจำกัดได้ในกรณีฉุกเฉินเพื่อปกป้องชีวิตและสุขภาพของบุคคลหรือผู้อื่น ภาวะฉุกเฉินด้านการป้องกันประเทศ ความมั่นคงของชาติ ความสงบเรียบร้อยและความปลอดภัยทางสังคม ปฏิบัติตามภาระผูกพันตามสัญญาตามที่กำหนดไว้ หรือดำเนินการตามกิจกรรมของหน่วยงานของรัฐตามที่กฎหมายเฉพาะกำหนด

บทบัญญัติข้อยกเว้นมีวัตถุประสงค์เพื่อนำหลักการในการรับรองสิทธิของบุคคลและองค์กรมาใช้ แต่ไม่ละเมิดผลประโยชน์อันชอบธรรมของบุคคลอื่น องค์กร หรือผลประโยชน์ระดับชาติ เพื่อใช้สิทธิเหล่านั้น

ประการที่สาม ส่งเสริมการบูรณาการระหว่างประเทศเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล พระราชกฤษฎีกาดังกล่าวมีความสอดคล้องกับแนวปฏิบัติและระเบียบข้อบังคับสากลว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ประเทศพัฒนาแล้วหลายแห่งได้ออกกฎหมายให้การคุ้มครองข้อมูลส่วนบุคคลเป็นพื้นฐานสำหรับเวียดนามในการวิจัยและอ้างอิง

นอกจากนี้ องค์กรระหว่างประเทศที่เวียดนามเป็นสมาชิกหรือร่วมมือกับประเทศของเราได้ออกอนุสัญญา คำแนะนำ และมาตรฐานเกี่ยวกับความเป็นส่วนตัวและการคุ้มครองข้อมูลและข้อมูลส่วนบุคคล ซึ่งรวมถึงหลักการความเป็นส่วนตัวขององค์กรเพื่อความร่วมมือทางเศรษฐกิจและการพัฒนา (OECD) อนุสัญญาของคณะมนตรีแห่งยุโรปว่าด้วยการคุ้มครองบุคคลเกี่ยวกับการประมวลผลข้อมูลและข้อมูลส่วนบุคคลอัตโนมัติ แนวปฏิบัติของสหประชาชาติเกี่ยวกับข้อมูลส่วนบุคคลและไฟล์ข้อมูลในคอมพิวเตอร์ กรอบความเป็นส่วนตัวของความร่วมมือทางเศรษฐกิจเอเชีย-แปซิฟิก (APEC) มาตรฐานสากลว่าด้วยความเป็นส่วนตัวและการคุ้มครองข้อมูลและข้อมูลส่วนบุคคล (มติมาดริด) ข้อบังคับทั่วไปของสหภาพยุโรปเกี่ยวกับการคุ้มครองข้อมูล (GDPR)...

นอกจากนี้ ในกระบวนการส่งเสริมความร่วมมือระหว่างประเทศของเรากับประเทศและดินแดนอื่นๆ มากกว่า 80 ประเทศได้ออกเอกสารทางกฎหมายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ซึ่งหลายฉบับมีบทบัญญัติที่บังคับใช้กับองค์กรและบุคคลในเวียดนาม ดังนั้น กฎระเบียบที่เจาะจงและละเอียดเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลจึงมีเป้าหมายเพื่อสร้างสภาพแวดล้อมที่เท่าเทียมและปฏิบัติตามกฎหมายในเวียดนาม รวมถึงสำหรับบุคคลและองค์กรต่างประเทศด้วย

ความท้าทาย

ขณะนี้ยังคงมีความท้าทายสำคัญในการบังคับใช้พระราชกฤษฎีกา

ประการแรก ความท้าทายในการบริหารแรงงานขององค์กร ในปัจจุบัน ธุรกิจหลายแห่งสร้างโมเดลของบริษัทแม่และบริษัทสาขาที่แบ่งปันระบบนิเวศการจัดการแบบเดียวกัน โดยข้อมูลพนักงานสามารถเข้าถึงได้ง่ายจากระบบกลาง

อย่างไรก็ตามภายใต้กฎหมายเวียดนาม บริษัทแต่ละแห่ง (รวมถึงบริษัทแม่และบริษัทสาขา) ถือเป็นนิติบุคคลที่แยกจากกันและเป็นอิสระ ดังนั้น การถ่ายโอนข้อมูลส่วนบุคคลของพนักงานโดยบริษัทในระบบนิเวศเดียวกันเพื่อให้บริการกระบวนการจัดการภายในขององค์กรก็อาจถือเป็นการละเมิดความรับผิดชอบขององค์กรในการปกป้องข้อมูลส่วนบุคคลได้เช่นกัน

ในทางกลับกัน ในปัจจุบันสถานประกอบการหลายแห่งประสบปัญหาในการบังคับใช้พระราชกำหนดฯ และยังไม่ได้จัดทำกลไกและกฎเกณฑ์ในการบริหารจัดการและคุ้มครองข้อมูลส่วนบุคคลของพนักงานตามพระราชกำหนดฯ ให้แล้วเสร็จ

ประการที่สอง ไม่สอดคล้องกับกฎหมายว่าด้วยการดำเนินงานของสถาบันสินเชื่อ ปัจจุบันการดำเนินงานของสถาบันสินเชื่ออยู่ภายใต้การควบคุมของกฎหมายเฉพาะทาง เช่น กฎหมายว่าด้วยสถาบันสินเชื่อ พ.ศ. 2553 (แก้ไขเพิ่มเติม พ.ศ. 2557) กฎหมายป้องกันและปราบปรามการฟอกเงิน; พระราชกฤษฎีกา 117/2018/ND-CP ว่าด้วยการรักษาความลับและการให้ข้อมูลลูกค้าของสถาบันสินเชื่อและสาขาธนาคารต่างประเทศ หนังสือเวียน 09/2020/TT-NHNN ของธนาคารแห่งรัฐ เรื่อง การกำกับดูแลความปลอดภัยระบบสารสนเทศในกิจกรรมการธนาคารในระดับต่ำกว่ากฎหมาย

ในทางกลับกัน สำหรับกิจกรรมการธนาคาร การประมวลผลข้อมูลมีผลกระทบต่อข้อมูลส่วนบุคคล เช่น การรวบรวม บันทึก วิเคราะห์ ยืนยัน จัดเก็บ แก้ไข เผยแพร่ รวม เข้าถึง ดึงกลับ เรียกคืน เข้ารหัส ถอดรหัส คัดลอก แบ่งปัน ส่งต่อ จัดหา โอน ลบ ทำลายข้อมูลส่วนบุคคลหรือการดำเนินการอื่นที่เกี่ยวข้อง ถือเป็นสิ่งจำเป็นในการให้บริการแก่ลูกค้าและจัดการความเสี่ยงในกิจกรรมการธนาคาร เพื่อให้แน่ใจว่าระบบการเงินมีความปลอดภัย ดังนั้น กิจกรรมการประมวลผลข้อมูลส่วนบุคคลของลูกค้าจำนวนมากจึงไม่สามารถและไม่จำเป็นต้องได้รับความยินยอมจากลูกค้า ในขณะที่มาตรา 3 วรรค 2 และมาตรา 9 วรรค 1 ของพระราชกฤษฎีกา ระบุว่าบุคคลมีสิทธิที่จะทราบเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลของตน เว้นแต่ในกรณีที่กฎหมายอื่นกำหนดไว้เป็นอย่างอื่น

หรือในวรรค 2 ข้อ 9 กำหนดว่า เจ้าของข้อมูลมีสิทธิ์ที่จะไม่ยินยอมให้ดำเนินการประมวลผลข้อมูลส่วนบุคคลของตนได้ ผู้รับมอบอำนาจมีสิทธิ์ที่จะลบ เข้าถึง ร้องขอจำกัดการประมวลผลข้อมูล และคัดค้านการประมวลผลข้อมูล ยกเว้นในกรณีที่กฎหมายอื่นกำหนดไว้เป็นอย่างอื่นในมาตรา 9 ดังนั้น การใช้พระราชกฤษฎีกาอย่างเคร่งครัดและไม่มีแนวทางที่เป็นเอกภาพจึงเป็นเรื่องที่สับสนและไม่เหมาะสม

นอกจากนี้ การให้บริการและผลิตภัณฑ์โดยสถาบันสินเชื่อจะดำเนินการตามกระบวนการต่างๆ มากมายบนผลิตภัณฑ์เดียว ซึ่งแต่ละกระบวนการบนผลิตภัณฑ์เดียวประกอบด้วยขั้นตอนต่างๆ มากมาย และเกี่ยวข้องกับการรวบรวม ประเมิน วิเคราะห์ และจัดเตรียมข้อมูลในไฟล์ลูกค้าขนาดใหญ่ ขณะที่พระราชกฤษฎีกากำหนดให้ฝ่ายควบคุมและประมวลผลข้อมูลส่วนบุคคลต้องได้รับความยินยอมจากเจ้าของข้อมูล (ลูกค้า) ในขั้นตอนการประมวลผลทั้งหมดเมื่อดำเนินกิจกรรมการประมวลผลข้อมูลใดๆ (มาตรา 11) และต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบก่อนดำเนินการประมวลผลข้อมูล (มาตรา 13) สิ่งนี้ยังคงเป็นอุปสรรคอีกประการต่อการดำเนินงานของสถาบันสินเชื่อ

นอกจากนี้ สถาบันสินเชื่อจะต้องปรับเปลี่ยนระบบเทคโนโลยีสารสนเทศและเอกสารย่อยอื่นๆ ที่เกี่ยวข้องกับการดำเนินงานของสถาบันสินเชื่อ เอกสารสัญญาและข้อตกลงจะต้องได้รับการแก้ไขให้สอดคล้องกับพระราชกฤษฎีกา ซึ่งจะสร้างปัญหาให้กับการดำเนินงานของธนาคารเป็นอย่างมาก

ประการที่สาม ประชากรส่วนหนึ่งไม่เข้าใจและไม่ตระหนักถึงการปกป้องข้อมูลส่วนบุคคลของตนเอง จึงแชร์ข้อมูลส่วนบุคคลบนแพลตฟอร์มโซเชียลเน็ตเวิร์กอย่างง่ายดาย ส่งผลให้ผู้ไม่หวังดีสามารถนำข้อมูลไปใช้ในทางที่ผิดได้โดยไม่ได้ตั้งใจ

บางคนไม่เห็นคุณค่าของการคุ้มครองข้อมูลส่วนบุคคลอย่างชัดเจนเท่ากับการรับประกันความเป็นส่วนตัวของบุคคล และไม่กล้าที่จะให้ข้อมูลส่วนบุคคล ทำให้เจ้าหน้าที่ประสบความยากลำบากในการดำเนินการบริหารจัดการของรัฐเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล รวมถึงการสืบสวนและจัดการกับการละเมิดกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล

นอกจากนี้สถานการณ์การซื้อขายข้อมูลส่วนบุคคล ความเสี่ยงต่อการรั่วไหลของข้อมูล ยังสร้างผลกระทบร้ายแรง กระทบต่อปัญหาทางเศรษฐกิจและสังคม การฉ้อโกงและการโฆษณาสแปมผ่านการโทรและข้อความยังคงมีความซับซ้อนและส่งผลต่อชีวิตของผู้คน

การรักษาความปลอดภัยข้อมูลส่วนบุคคลถือเป็นสิ่งสำคัญอย่างยิ่ง เนื่องจากหากข้อมูลถูกขโมย อาจทำให้เกิดการสูญเสียทางเศรษฐกิจและสังคม ส่งผลโดยตรงต่อสิทธิ์และผลประโยชน์ที่ถูกต้องตามกฎหมายของหน่วยงาน องค์กร ธุรกิจ และบุคคล (ที่มา: Shutterstock)

การนำพระราชกฤษฎีกาไปปฏิบัติ

เวียดนามเป็นหนึ่งในประเทศที่มีการพัฒนาอินเทอร์เน็ตและความเร็วการใช้งานสูงที่สุดในโลก โดยมีผู้ใช้มากกว่า 70 ล้านคน ข้อมูลส่วนบุคคลของประชากรมากกว่า 2 ใน 3 ของประเทศของเราได้ถูกจัดเก็บ โพสต์ แบ่งปัน และรวบรวมในสภาพแวดล้อมดิจิทัลและไซเบอร์สเปซในรูปแบบและระดับรายละเอียดที่แตกต่างกัน

พระราชกฤษฎีกาดังกล่าวถือเป็นความก้าวหน้าในการรับรองสิทธิมนุษยชนในการเปลี่ยนแปลงทางดิจิทัล แก้ไขข้อบกพร่องและความไม่เพียงพอในการปฏิบัติในการรับรอง ปกป้อง และรักษาความปลอดภัยข้อมูลส่วนบุคคล และเพิ่มความรับผิดชอบสำหรับหน่วยงาน องค์กร และบุคคลในประเทศและต่างประเทศ ที่เกี่ยวข้องโดยตรงหรือเกี่ยวข้องกับกิจกรรมการประมวลผลข้อมูลส่วนบุคคลในเวียดนาม

เพื่อให้พระราชกฤษฎีกามีประสิทธิผลในทางปฏิบัติอย่างแท้จริง จำเป็นต้องมุ่งเน้นที่ประเด็นต่อไปนี้:

ประการหนึ่งคือ การเพิ่มความรับผิดชอบของธุรกิจในการปกป้องสิทธิแรงงาน ในการจ้างแรงงาน สถานประกอบการจะต้องรวบรวมและจัดเก็บข้อมูลพนักงาน เพื่อวัตถุประสงค์ในการบริหารจัดการแรงงาน นายจ้างและธุรกิจต่างๆ จะได้รับและจัดการข้อมูลส่วนบุคคลจำนวนมากจากพนักงาน แต่หากพวกเขาไม่ระมัดระวังในการจัดการและประมวลผลข้อมูล ก็จะนำไปสู่ผลลัพธ์ที่ไม่อาจคาดเดาได้

องค์กรต่างๆ จะต้องศึกษาผลกระทบของพระราชกฤษฎีกาอย่างรอบคอบและประเมินอย่างครอบคลุม รวมถึงทบทวนและอัปเดตขั้นตอนและคำแนะนำในการจัดการข้อมูลส่วนบุคคลให้สอดคล้องกับกฎระเบียบใหม่โดยทันที พิจารณาจัดตั้งกลไกและกำหนดกฎเกณฑ์การกำกับดูแลอาคารตามพระราชกฤษฎีกา รักษาและปฏิบัติตามกลไกและกฎเกณฑ์เหล่านั้นตลอดการดำเนินการ

ประการที่สอง ลดความยุ่งยากในการดำเนินกิจกรรมสินเชื่อของ สถาบัน สินเชื่อ ธนาคารแห่งรัฐจำเป็นต้องประสานงานอย่างใกล้ชิดกับกระทรวงที่เกี่ยวข้อง โดยเฉพาะกระทรวงความมั่นคงสาธารณะ เพื่อให้คำแนะนำที่เป็นหนึ่งเดียวเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลในภาคสินเชื่อ ทั้งเพื่อให้แน่ใจว่ามีการส่งเสริมความรับผิดชอบในการดำเนินงานของสถาบันสินเชื่อในการคุ้มครองข้อมูลลูกค้า และการตอบสนองความต้องการและภารกิจเฉพาะทาง

ประการที่สาม เพื่อให้พระราชกฤษฎีกามีผลบังคับใช้อย่างแท้จริง จำเป็นต้องมีการโฆษณาชวนเชื่อและให้การศึกษาเพื่อเผยแพร่กฎหมายให้แพร่หลาย โดยเฉพาะอย่างยิ่ง จำเป็นต้องเน้นย้ำถึงความจำเป็นในการออกพระราชกฤษฎีกาที่มีวัตถุประสงค์สูงสุดในการเคารพและคุ้มครองสิทธิพลเมืองและสิทธิมนุษยชน และเหนือสิ่งอื่นใด เจ้าของข้อมูลส่วนบุคคลเองจะต้องเข้าใจและสร้างความตระหนักและความรับผิดชอบในการปกป้องข้อมูลส่วนบุคคลให้ถ่องแท้