top of page

Elevating Thailand's Personal Data Protection to Meet Global Standardsยกระดับการคุ้มครองข้อมูลส่วนบุคคลของประเทศไทยให้สอดคล้องกับมาตรฐานสากล


ในช่วงไม่กี่ปีที่ผ่านมานี้ การคุ้มครองข้อมูลส่วนบุคคลได้กลายมาเป็นองค์ประกอบที่จำเป็นทางธุรกิจ ทั้งเพื่อเป็นการปฏิบัติให้เป็นไปตามกฎหมายและกฎระเบียบ และสร้างความไว้วางใจให้กับลูกค้า ทั้งนี้ ได้มีการทำวิจัยสำรวจคุณค่าของการลงทุนด้านความเป็นส่วนตัวและผลประโยชน์ทางเศรษฐกิจสำหรับองค์กร จากการศึกษาพบว่า การคุ้มครองข้อมูลส่วนบุคคลได้กลายมาเป็นปัจจัยสำคัญที่ช่วยเสริมสร้างความไว้วางใจของลูกค้า แม้ว่าองค์กรจะมีค่าใช้จ่ายที่เพิ่มขึ้นจากการดำเนินการด้านการคุ้มครองข้อมูลส่วนบุคคล แต่กว่าร้อยละ 90.5 ขององค์กรเห็นว่าประโยชน์ที่ได้รับคุ้มค่ากับค่าใช้จ่ายที่เกิดขึ้น

การคุ้มครองข้อมูลส่วนบุคคลมีความสำคัญต่อความเชื่อมั่นของผู้บริโภค จากรูปภาพด้านล่างเห็นได้ว่าผู้บริโภคเลือกที่จะซื้อสินค้าหรือบริการจากองค์กรที่มีมาตรฐานในการคุ้มครองข้อมูลส่วนบุคคลเพิ่มมากขึ้น จากผลสำรวจองค์กรต่าง ๆ ร้อยละ 94 ขององค์กรเห็นว่าลูกค้ามีแนวโน้มที่จะไม่ซื้อสินค้าหากองค์กรไม่ได้ให้ความคุ้มครองข้อมูลส่วนบุคคลอย่างเพียงพอ นอกจากนี้ ลูกค้ายังต้องการหลักฐานที่เป็นรูปธรรมขององค์กรในการสร้างความเชื่อมั่นเรื่องการคุ้มครองข้อมูลส่วนบุคคล โดยร้อยละ 98 ของผู้ตอบแบบสอบถามเห็นว่าการได้รับการรับรองมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลจากภายนอก เช่น ISO 27701, Asia-Pacific Economic Cooperation (APEC) Cross-Border Privacy Rules และ European Union (EU) Binding Corporate Rules เป็นปัจจัยสำคัญในการตัดสินใจซื้อของผู้บริโภค องค์กรต่าง ๆ จึงตระหนักดีกว่าการคุ้มครองข้อมูลส่วนบุคคลเป็นประเด็นสำคัญในการสร้างความเชื่อมั่นให้กับผู้บริโภค โดยร้อยละ 97 ขององค์กรต่าง ๆ เห็นว่าตนมีหน้าที่และความรับผิดชอบในการใช้ข้อมูลส่วนบุคคลอย่างมีจริยธรรม ข้อมูลจากการสำรวจ


ผลกระทบเชิงบวกของประเทศที่มีกฎหมายคุ้มครองข้อมูลส่วนบุคคลด้านความเชื่อมั่นของผู้บริโภค

การคุ้มครองข้อมูลส่วนบุคคลจึงสร้างผลกระทบต่อองค์กรอย่างมีนัยสำคัญ รวมถึงรัฐบาลและประชาชนต่างมีบทบาทในการคุ้มครองข้อมูลส่วนบุคคล จากการสำรวจผู้บริโภคเรื่องการคุ้มครองข้อมูลส่วนบุคคล ผู้ตอบแบบสำรวจจำนวนร้อยละ 50 ชี้ให้เห็นว่าต้องการให้รัฐบาลเข้ามาเป็นผู้นำ ส่วนร้อยละ 66 เห็นด้วยว่าการคุ้มครองข้อมูลส่วนบุคคลก่อให้เกิดผลกระทบในเชิงบวก มีเพียงร้อยละ 4 เท่านั้นที่เห็นว่าก่อให้เกิดผลกระทบในเชิงลบ จากผลสำรวจกลุ่มองค์กรในคำถามเดียวกันแสดงให้เห็นว่ากลุ่มองค์กรต่างให้การสนับสนุนการคุ้มครองข้อมูลส่วนบุคคลมากกว่ากลุ่มผู้บริโภคเสียอีก ร้อยละ 80 ขององค์กรเห็นว่ากฎหมายคุ้มครองข้อมูลส่วนบุคคลก่อให้เกิดผลกระทบเชิงบวกต่อองค์กร ร้อยละ 14 เห็นเป็นกลาง และมีเพียงร้อยละ 6 ที่เห็นว่ากฎหมายคุ้มครองข้อมูลส่วนบุคคลก่อให้เกิดผลกระทบในเชิงลบ แม้ว่าการปฏิบัติให้เป็นไปตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลจะสร้างภาระและการลงทุนขององค์กรอย่างมาก เช่น การจัดการกับคำร้องของเจ้าของข้อมูลส่วนบุคคล การใช้มาตรการควบคุม และการจัดทำรายการข้อมูล เป็นต้น เป็นที่น่าสนใจว่าแนวคิดนี้มีความสอดคล้องกันทั่วทั้งภูมิภาค ไม่ว่าจะเป็นร้อยละ 78 ในทวีปเอเชีย ร้อยละ 80 ในทวีปยุโรป และร้อยละ 83 ในทวีปอเมริกา ต่างเห็นว่าการคุ้มครองข้อมูลส่วนบุคคลมีมิติเชิงบวก เมื่อเทียบรายประเทศ ประเทศที่มีผลสำรวจมีจำนวนสูงที่สุดคือ ประเทศจีน (ร้อยละ 91) ประเทศอินเดีย (ร้อยละ 88) ประเทศเยอรมนี (ร้อยละ 86) และประเทศสหรัฐอเมริกา (ร้อยละ 86) ตามรูปภาพที่แสดงด้านล่าง แม้ว่าประเทศสหรัฐอเมริกาจะยังไม่มีกฎหมายคุ้มครองข้อมูลส่วนบุคคลในระดับสหพันธรัฐ อย่างไรก็ดี บริษัทอเมริกันยังคงต้องปฏิบัติตามกฎหมาย


ความท้าทายประการหนึ่งที่องค์กรต้องเผชิญในการสร้างความไว้วางใจด้วยข้อมูล คือ การให้ความสำคัญที่แตกต่างกันระหว่างผู้ขายและผู้บริโภค ผู้บริโภคระบุว่าสิ่งสำคัญที่สุดคือการได้รับข้อมูลที่ชัดเจนเกี่ยวกับวิธีการนำข้อมูลของตนไปใช้ (ร้อยละ 37) และไม่ขายข้อมูลเพื่อวัตถุประสงค์ทางการตลาด (ร้อยละ 24) เมื่อถามคำถามเดียวกัน องค์กรต่างๆ ระบุลำดับความสำคัญสูงสุดของตนว่าเป็นไปตามกฎหมายความเป็นส่วนตัว (ร้อยละ 25) และหลีกเลี่ยงการละเมิดข้อมูล (ร้อยละ 23) แม้ว่าสิ่งเหล่านี้ล้วนเป็นวัตถุประสงค์ที่สำคัญ แต่ก็แนะนำว่าการให้ความสนใจเพิ่มเติมในเรื่องความโปร่งใสจะเป็นประโยชน์แก่ลูกค้า โดยเฉพาะอย่างยิ่งกับแอปพลิเคชัน AI ซึ่งอาจเป็นเรื่องยากที่จะเข้าใจว่าอัลกอริทึม AI ตัดสินใจอย่างไร


อย่างไรก็ตาม ประเทศต่าง ๆ ทั่วโลกที่บังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลมีข้อกำหนดในการคุ้มครองข้อมูลส่วนบุคคลของต่างประเทศในเรื่องการโอนข้อมูลข้ามพรมแดนโดยมีเครื่องมือที่หลากหลายแตกต่างกันไป แต่จะสามารถจัดกลุ่มของเครื่องมือที่ใช้ในการทำให้ผู้ควบคุมข้อมูลส่วนบุคคล และผู้ประมวลผลข้อมูลส่วนบุคคลสามารถโอนข้อมูลส่วนบุคคลไปยังต่างประเทศได้ดังนี้


Adequacy Decisions

Adequacy Decisions หมายถึง การพิจารณาข้อกำหนดเรื่องมาตรฐานที่เท่าเทียมของการคุ้มครองข้อมูลส่วนบุคคลของประเทศปลายทาง (ถ้าหากพิจารณาว่าเข้าข้อกำหนด ก็ทำให้ผู้ควบคุมข้อมูลส่วนบุคคล และผู้ประมวลผลข้อมูลส่วนบุคคลสามารถโอนข้อมูลส่วนบุคคลไปยังประเทศปลายทางนั้นได้ ประเทศที่ใช้ข้อกำหนดนี้ อาทิ สหภาพยุโรป สหราชอาณาจักร ญี่ปุ่น รัสเซีย และประเทศไทย


Standard contractual clauses (SCC)

Standard contractual clauses (SCC) หมายถึง สัญญามาตรฐาน (กล่าวคือหน่วยงานกำกับดูแลกำหนดสัญญามาตรฐานให้ผู้ควบคุมข้อมูลส่วนบุคคล และผู้ประมวลผลข้อมูลส่วนบุคคลนำไปใช้ เพื่อให้เกิดการคุ้มครองที่เหมาะสมสำหรับการโอนข้อมูลส่วนบุคคลไปยังองค์กรที่ประเทศปลายทาง) ประเทศที่ใช้ข้อกำหนดนี้ อาทิ สหภาพยุโรป สหราชอาณาจักร สิงคโปร์ ออสเตรเลีย นิวซีแลนด์ และประเทศไทย


Model contractual clauses (MCC)

Model contractual clauses (MCC) หมายถึง สัญญาต้นแบบ (กล่าวคือหน่วยงานกำกับดูแลกำหนดสัญญาต้นแบบให้ผู้ควบคุมข้อมูลส่วนบุคคล และผู้ประมวลผลข้อมูลส่วนบุคคลนำไปใช้ เพื่อให้เกิดการคุ้มครองที่เหมาะสมสำหรับการโอนข้อมูลส่วนบุคคลไปยังองค์กรที่ประเทศปลายทาง) ประเทศที่ใช้ข้อกำหนดนี้ อาทิ สหภาพยุโรป สหราชอาณาจักร สิงคโปร์ ออสเตรเลีย นิวซีแลนด์ จีน และประเทศไทย


Binding corporate rules (BCR)

Binding corporate rules (BCR) หมายถึง นโยบายในการคุ้มครองข้อมูลส่วนบุคคลในเครือกิจการหรือเครือธุรกิจเดียวกัน (กล่าวคือ ถ้านโยบาย BCR ได้รับการรับรองโดยหน่วยงานกำกับดูแลแล้ว องค์กรที่เป็นเครือกิจการหรือเครือธุรกิจเดียวกันที่ดำเนินการอยู่ในประเทศที่แตกต่างกันจะสามารถโอนข้อมูลส่วนบุคคลข้ามพรมแดนระหว่างกันได้) ประเทศที่ใช้ข้อกำหนดนี้ อาทิ สหภาพยุโรป สหราชอาณาจักร สิงคโปร์ บราซิล และประเทศไทย


ระบบ CBPR

ระบบ CBPR หมายถึง ประเทศที่เข้าเป็นสมาชิกและใช้งานระบบ CBPR ที่รับรองมาตรฐานให้กับองค์กรที่ผ่านการรับรองมาตรฐานทำให้โอนข้อมูลส่วนบุคคลระหว่างกันได้ ประเทศที่ใช้ข้อกำหนดนี้ อาทิ สหรัฐอเมริกา เม็กซิโก ญี่ปุ่น แคนาดา สิงคโปร์ เกาหลีใต้ ออสเตรเลีย และไต้หวัน


สรุป

การคุ้มครองข้อมูลส่วนบุคคลได้กลายมาเป็นปัจจัยสำคัญในการสร้างความเชื่อมั่นให้กับลูกค้า โดยมีข้อมูลจากการสำรวจที่แสดงให้เห็นว่าองค์กรที่มีมาตรฐานในการคุ้มครองข้อมูลส่วนบุคคลจะได้รับการสนับสนุนจากลูกค้ามากกว่า นอกจากนี้ยังมีมาตรการและเครื่องมือต่าง ๆ ที่ใช้ในการโอนข้อมูลส่วนบุคคลข้ามพรมแดน เช่น Adequacy Decisions, Standard contractual clauses (SCC), Model contractual clauses (MCC), Binding corporate rules (BCR), และระบบ CBPR จึงกล่าวได้ว่าการคุ้มครองข้อมูลส่วนบุคคลมีความสำคัญทั้งในมิติของการปฏิบัติตามกฎหมายและการสร้างความไว้วางใจในหมู่ลูกค้า ซึ่งส่งผลให้เกิดประโยชน์ทางเศรษฐกิจแก่องค์กร รวมถึงการเตรียมความพร้อมสำหรับการใช้เทคโนโลยี AI และ Gen AI ต่อไปในอนาคต

bottom of page