ปัญหากฎหมายการคุ้มครองข้อมูลส่วนบุคคลประเภทข้อมูลชีวภาพ

Abstract

การวิจัยนี้มีวัตถุประสงค์เพื่อ (1) ศึกษาแนวคิดเกี่ยวกับข้อมูลส่วนบุคคล ข้อมูลชีวภาพ และลักษณะทั่วไปของเทคโนโลยีเกี่ยวกับการใช้ข้อมูลชีวภาพ (2) ศึกษามุมมองที่เกี่ยวข้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลสำหรับข้อมูลชีวภาพตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (GDPR) และกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหราชอาณาจักร (DPA) และกฎหมายคุ้มครองข้อมูลชีวภาพของรัฐอิลลินอยส์ ประเทศสหรัฐอเมริกา (BIPA) (3) วิเคราะห์พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เปรียบเทียบกับส่วนที่เกี่ยวข้องกับข้อมูลชีวภาพตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (GDPR) และกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหราชอาณาจักร (DPA) และกฎหมายคุ้มครองข้อมูลชีวภาพของรัฐอิลลินอยส์ ประเทศสหรัฐอเมริกา (BIPA) และ (4) เสนอแนวทางในการปรับปรุงกฎหมายคุ้มครองข้อมูลชีวภาพ งานวิจัยเรื่องนี้เป็นการวิจัยทางกฎหมายโดยการวิจัยเชิงคุณภาพ ด้วยการวิจัยทางเอกสาร จากตัวบทกฎหมาย หนังสือ ตำรา บทความและเอกสารที่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลประเภทชีวภาพ ทั้งภาษาไทยและภาษาต่างประเทศจากแหล่งต่าง ๆ ไม่ว่าจะเป็นห้องสมุด หรือจากเว็บไซต์ต่าง ๆ ในเครือข่ายอินเตอร์เน็ต ผลการศึกษาพบว่า (1) โดยรวมกฎหมายคุ้มครองข้อมูลชีวภาพของไทยสอดคล้องกับแนวคิดเกี่ยวกับข้อมูลส่วนบุคคล และแนวคิดเกี่ยวกับข้อมูลชีวภาพในการให้ความคุ้มครองเจ้าของข้อมูลส่วนบุคคล หากแต่สามารถปรับปรุงเพื่อให้มีความคุ้มครองข้อมูลชีวภาพที่เหมาะสมมากขึ้นได้ (2) กฎหมายคุ้มครองข้อมูลส่วนบุคคล GDPR ของสหภาพยุโรป และ BPA ของสหราชอาณาจักรนั้นสอดคล้องกันและให้ความคุ้มครองข้อมูลชีวภาพในลักษณะเดียวกัน ทางด้านกฎหมายคุ้มครองข้อมูลชีวภาพ BIPA ของรัฐอิลลินอยส์ให้ความคุ้มครองข้อมูลชีวภาพโดยเฉพาะอีกทั้งยังมีการให้คำจำกัดความที่ชัดเจน หากแต่มิได้มีการกำหนดแนวทางในการรักษาความปลอดภัยไว้ สำหรับรัฐอิลลินอยส์ และสหราชอาณาจักรนั้นศาลได้มีคำพิพากษาให้การฟ้องคดีสามารถกระทำได้โดยมิต้องเกิดความเสียหายอันสามารถกำหนดมูลค่าได้ (3) กฎหมายคุ้มครองข้อมูลชีวภาพของไทยสอดคล้องกับกฎหมายคุ้มครองข้อมูลชีวภาพของสหภาพยุโรป และของสหราชอาณาจักร หากแต่มิได้มีการกำหนดแนวทางในการรักษาความปลอดภัยอย่างพอเพียงเพื่อคุ้มครองข้อมูลชีวภาพ และไม่มีการประเมินผลกระทบและความจำเป็นในการเก็บข้อมูลก่อนการประมวลผลข้อมูลชีวภาพ (4) สำหรับแนวทางในการปรับปรุงกฎหมายคุ้มครองข้อมูลชีวภาพของไทย ควรมีการปรับเปลี่ยนคำจำกัดของคำว่า "ข้อมูลชีวภาพ" ให้มีความเหมาะสม อีกทั้งปรับเปลี่ยนการรักษาความปลอดภัยสำหรับข้อมูลชีวภาพให้มีการคุ้มครองข้อมูลชีวภาพโดยยึดหลักมาตรฐานสากลในการรักษาความปลอดภัย และมีการประเมินผลกระทบและความจำเป็นในการเก็บข้อมูลก่อนการประมวลผลข้อมูลชีวภาพ สำหรับการร้องเรียนการละเมิดข้อมูลชีวภาพเจ้าของข้อมูลส่วนบุคคลไม่จำเป็นต้องได้รับความเสียหายหรือความเดือดร้อนอันสามารถกำหนดมูลค่าได้จึงจะสามารถร้องเรียนได้ การลงโทษสำหรับการละเมิดข้อมูลส่วนบุคคลประเภทชีวภาพควรกำหนดอัตราโทษทางปกครองโดยกำหนดจำนวนค่าปรับต่อผู้เสียหายหนึ่งราย เพื่อเป็นการป้องปรามให้ผู้ควบคุมข้อมูลส่วนบุคคลกำหนดให้มีมาตรการการรักษาความปลอดภัยข้อมูลชีวภาพที่เหมาะสม

The objectives of this thesis are to (1) study concepts relating to personal data, biometrics data, and general characteristics of biometric technology; (2) study perspectives in relations to data privacy laws on biometrics from EU’s Data Protection Regulation (GDPR), UK’s Data Protection Act, Illinois Biometrics Information Protection Act (3) analyze Thailand’s Personal Data Protection Act 2019 and make comparisons with EU’s Data Protection Regulation (GDPR), UK’s Data Protection Act (DPA), and Illinois Biometrics Information Protection Act (BIPA); and (4) propose ways to improve Personal Data Protection Act 2019. This is a qualitative legal research based on information on personal biometrics data protection collected from various sources; such as laws, books, and journal articles in both Thai and English from libraries, and websites. The results of the study are (1) overall Thai Personal Data Protection Act is in line with the concepts of personal data and biometrics data in terms of providing protection for data subjects. However, the act can be improved to provide more suitable protections ; (2) European Union’s GDPR and United Kingdom’s DPA are in line and provide the same level of protection for biometrics data, while Illinois’s BIPA provide protection exclusively for biometrics data with clear definition but did not provide guidance for biometrics data security. Furthermore, courts in Illinois and United Kingdom have adjudicated that lawsuits can be filed even without actual and/or financial damages; (3) While PDPA’s protection for biometrics data are in line with GDPR and DPA, the guideline for biometrics data protection has not been determined. Also, it does not require impact assessment and the justifications prior to the use of biometrics data; (4) for the improvement of Personal Data Protection law, the definition of the word “Biometrics” should be adjusted accordingly. The security of biometrics should be based on international standard, and impact assessment and the justifications for using biometrics should always be done prior to the decision to use biometrics technology. Data subjects should be able to file complaints or lawsuits on biometrics violations without having to proof actual or financial damages. Penalties for violations relating to biometrics under Personal Data Protection Act 2019 should be set per data subject instead of per violation. This will be a deterrence to data controller and encourage them to put in place proper security measures.