F2. กรณีท่ีตอ้ งส่งหรือโอนขอ้ มลู ไปยงั ตา่ งประเทศ
หรอื องคก์ ารระหว่างประเทศ
ในกรณที ่ีจำเปน็ ต้องมีการสง่ หรอื โอนขอ้ มลู ส่วนบคุ คลไปยังตา่ งประเทศหรือองคก์ ารระหว่าง
ประเทศตามมาตรา 28 ของพระราชบัญญัติคมุ้ ครองขอ้ มลู สว่ นบคุ คล พ.ศ.2562 ผู้ควบคุมข้อมูลใน
ประเทศไทยจะสามารถส่งหรือโอนขอ้ มลู ส่วนบุคคลไปยงั ผูร้ บั ซึง่ ต้งั อยู่นอกประเทศไทยโดยชอบด้วย
กฎหมายได้ในกรณตี ่อไปน้ี
F2.1 [Adequacy Decision] ประเทศปลายทางหรอื องค์การระหว่างประเทศที่รับข้อมลู ส่วน
บุคคลมีมาตรฐานคมุ้ ข้อมูลสว่ นบคุ คลทีเ่ พียงพอ
ผู้ควบคมุ ขอ้ มลู ในประเทศไทยจะสามารถสง่ หรอื โอนข้อมูลส่วนบคุ คลไปยังผรู้ บั ซึ่งต้ังอยู่นอก
ประเทศไทยโดยชอบด้วยกฎหมายได้ก็ต่อเมือ่ ประเทศปลายทางนั้นมีมาตรฐานการคุ้มครองข้อมลู
ส่วนบุคคลที่เพียงพอ ซึ่งความ “เพียงพอ” จะต้องเป็นไปตามหลักเกณฑ์ที่คณะกรรมการคุ้มครอง
ข้อมูลส่วนบุคคลกำหนด 240 ซึ่งหากเทียบเคยี งกับแนวทางของ GDPR แล้วคณะกรรมการคุ้มครอง
ข้อมูลส่วนบุคคลกจ็ ะต้องพิจารณาว่าประเทศปลายทางมีความคุ้มครองท่ีเพียงพอตามข้อพิจารณา
ดังตอ่ ไปนี้ 241
ข้อพจิ ารณาความคุ้มครองข้อมลู ส่วนบคุ คลทสี่ ง่ หรอื โอนไปยงั ตา่ งประเทศ
กฎหมาย องคก์ ร พันธกรณใี นระดับนานาชาติ
หลักนิติธรรม การคุ้มครองสิทธิ การมีอยู่ขององค์กรอิสระหรือ การที่ประเทศหรือองค์กรระหว่าง
มนุษยชนและสิทธิขั้นพื้นฐานใน องค์กรตรวจสอบที่มีอำนาจหน้าท่ี ประเทศผู้รับโอนได้เข้าผูกพันตน
ภาพรวมหรือเฉพาะภาค ซึ่งหมาย ในการบังคับการให้เป็นไปตาม ในเรื่องการคุ้มครองข้อมูลส่วน
รวมถึงความมั่นคงของรัฐ กลาโหม กฎเกณฑ์เกย่ี วกบั การคุม้ ครองขอ้ มลู บคุ คลในรปู แบบเชน่ อนสุ ญั ญาที่มี
ความสงบเรียบร้อยของประเทศ ส่วนบุคคล รวมถึง การมีอำนาจ ผลบังคบั ผูกพันทางกฎหมาย หรือ
กฎหมายอาญา และการเข้าถึง อย่างเพียงพอในการช่วยเหลือหรอื การเข้าร่วมในระบบพหุภาคีหรือ
ข้อมูลส่วนบุคคลของรัฐ กฎเกณฑ์ ให้คำปรึกษาแก่เจ้าของข้อมูล ภูมิภาค
ข อง ผ ู้ป ระกอบ วิช าชีพ แ ล ะ เก่ยี วกบั การใชส้ ทิ ธิของตน และเพื่อ
240 พระราชบัญญัตคิ มุ้ ครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 16(5) 249
241 GDPR, Article 45 para 2 (a)-(c).
ศูนย์วจิ ยั กฎหมายและการพัฒนา คณะนิตศิ าสตร์ จฬุ าลงกรณ์มหาวทิ ยาลัย
ม า ต ร ก า ร เ ม ื ่ อ ค ว า ม ป ล อ ด ภั ย ทำหน้าที่ร่วมมือกับคณะกรรมการ
รวมถึง การส่งหรือโอนข้อมูลส่วน คุ้มครองข้อมูลส่วนบุคคลของ
บุคคลไปยังต่างประเทศหรอื องค์กร ประเทศไทย
ระหว่างประเทศ แนวบรรทัดคำ
พิพากษา และการใช้บังคับได้ของ
สิทธิของเจ้าของข้อมูลและ
มาตรการทางปกครอง และการ
เยียวยาสำหรับบุคคลที่ถูกโอน
ขอ้ มลู โดยองค์กรตลุ าการ
อย่างไรก็ดีในทางปฏิบัติคณะกรรมการฯอาจพิจารณาประกาศบัญชรี ายชอ่ื ประเทศท่ีถือว่ามี
การคมุ้ ครองท่ีเพียงพอ (adequacy decision) ในอนาคตอันใกล้ ประกอบกับมกี ารวินิจฉัยเป็นราย
กรณตี ามทีม่ ีผขู้ อให้พิจารณาก็ได้ 242
F2.2 [Derogations] กรณีที่ได้รับการยกเว้นตามกฎหมายให้ส่งหรือโอนได้แมว้ ่าประเทศ
ปลายทางหรือองค์การระหว่างประเทศที่รับข้อมูลส่วนบุคคลจะไม่มีมาตรฐาน
คุ้มครองขอ้ มลู ส่วนบคุ คลทีเ่ พียงพอ
ในกรณที ผี่ ้คู วบคุมขอ้ มูลสว่ นบุคคลจำเป็นต้องสง่ หรอื โอนข้อมูลส่วนบคุ คลไปยังประเทศ
ปลายทางหรือองค์การระหว่างประเทศ แต่ปรากฏว่าประเทศปลายทางหรือองค์การ
ระหว่างประเทศที่รับข้อมูลส่วนบุคคลไม่มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่
เพียงพอ เชน่ กรณที ่ผี ูค้ วบคมุ ข้อมูลส่วนบคุ คลท่ีตง้ั อยู่ในประเทศไทยประสงค์จะส่งหรือ
โอนข้อมูลส่วนบคุ คลท่ีถูกเก็บรวบรวมในประเทศไทยไปยังบริษัทอื่นทีต่ ั้งอยู่ในประเทศ
เมียนมา แต่ไม่ปรากฏว่าประเทศเมียนมามีกฎหมายและกฎเกณฑ์ องค์กร และพันธะ
กรณีระหวา่ งประเทศเกี่ยวกบั การคมุ้ ครองข้อมลู ส่วนบุคคลทเ่ี พียงพอ ผู้ควบคุมข้อมูลใน
ประเทศไทยจะสามารถโอนข้อมูลส่วนบุคคลไปยังประเทศเมียนมาได้โดยพิจารณา
ข้อยกเว้นตามกฎหมายดงั ต่อไปนี้
242 พระราชบญั ญตั คิ มุ้ ครองข้อมลู สว่ นบคุ คล พ.ศ. 2562 มาตรา 28 วรรคสอง
250 Thailand Data Protection Guidelines 3.0
F2.2.1 เป็นการปฏิบัติตามกฎหมาย 243
กรณีนเ้ี ป็นกรณที ่ีจำเป็นต้องปฏิบัตติ ามกฎหมายซง่ึ อาจจำเป็นตอ้ งดำเนินการหลายคร้ัง
แต่ไม่ใช่กรณีดำเนินการเป็นประจำที่โดยหลักจะต้องจัดให้มีมาตรการที่เหมาะสม
(appropriate safeguards) กรณีน้ีจงึ เป็นเรือ่ งทีต่ อ้ งมีความสัมพนั ธ์ใกล้ชดิ กบั การปฏบิ ตั ิ
ตามกฎหมายหรอื การดำเนินการตามกระบวนการของกฎหมาย อย่างไรกด็ ีไม่จำเป็นต้อง
เป็นกระบวนวิธกี ารพิจารณาตามกฎหมายเทา่ นั้น แตย่ ังรวมถงึ
- กรณีการดำเนินการทางแพ่งและทางอาญา ซึ่งรวมถึงขั้นตอนที่เกิดข้ึนนอกศาล
หรือกอ่ นฟอ้ งคดี
- กรณกี ารดำเนินการทางปกครอง ซึ่งรวมถึงการให้ขอ้ มูลแก่หน่วยงานกำกับดูแล
ในขั้นตอนการค้นหาข้อเท็จจริงและพยานหลักฐานต่างๆ เพื่อดำเนินการทาง
ปกครอง เช่น การอนมุ ัติการควบรวมกจิ การ หรอื การออกคำสงั่ ทางปกครองอืน่ ๆ
- กรณีนี้ไม่รวมถึงการดำเนินการเพียงเพื่อเตรียมการรองรับการฟ้องคดีหรือข้อ
เรยี กร้องตามกฎหมายทีอ่ าจมีข้ึนในอนาคต 244
F2.2.2 ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลโดยได้แจ้งให้เจ้าของข้อมูลส่วน
บุคคลทราบถึงมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่ไม่เพียงพอของประเทศ
ปลายทางหรอื องค์การระหวา่ งประเทศท่รี ับข้อมลู สว่ นบุคคลแลว้ 245
ตัวอย่าง
❖ กรณีที่บริษัทจัดหางานในประเทศประสงค์จะส่งข้อมูลส่วนบุคคลของบุคคลไทยที่ประสงค์จะเดินทางไป
ทำงานยังประเทศซาอดุ ิอาระเบีย โดยขอความยนิ ยอมจากบุคคลดังกลา่ ว โดยระบุถึงตัวตนของผู้รับข้อมูล
หรอื ประเภทของผู้รบั ข้อมูล ประเทศผรู้ บั ข้อมลู ความจำเปน็ ในการส่งหรือโอนข้อมลู ส่วนบคุ คล ประเภท
ของข้อมลู ทีจ่ ะถูกสง่ หรือโอน สิทธใิ นการถอนความยนิ ยอมของเจ้าของข้อมูล ความเสี่ยงท่อี าจเกิดขึ้นจาก
การสง่ หรอื โอน เชน่ ไมม่ ีหน่วยงานรฐั ด้านการคมุ้ ครองขอ้ มูลส่วนบคุ คลโดยเฉพาะ หรอื สทิ ธิในข้อมูลส่วน
243 พระราชบัญญัติคุ้มครองข้อมูลสว่ นบุคคล พ.ศ. 2562 มาตรา 28(1)
244 Information Commissioner’s Office, Guide to the General Data Protection Regulation (GDPR)
(2019), https://ico.org.uk/media/for-organisations/guide-to-data-protection/guide-to-the-general-
data-protection-regulation-gdpr-1-0.pdf, pp.272-3 (last visited Oct 5, 2019)
245 พระราชบัญญตั ิคมุ้ ครองขอ้ มลู ส่วนบุคคล พ.ศ. 2562 มาตรา 28(2)
ศูนย์วจิ ยั กฎหมายและการพฒั นา คณะนติ ศิ าสตร์ จฬุ าลงกรณ์มหาวทิ ยาลยั 251
บคุ คลนนั้ ไมไ่ ดถ้ ูกรับรองและคุ้มครองในประเทศปลายทาง เมอ่ื ไดร้ บั ความยนิ ยอมแล้วบรษิ ัทจัดหางานใน
ประเทศไทยสามารถส่งหรือโอนข้อมูลส่วนบุคคลของผู้หางานได้แม้ว่าประเทศซาอุดิอาระเบียจะไม่มี
มาตรฐานการคุม้ ครองข้อมลู ส่วนบุคคลทเ่ี พียงพอกต็ าม
F2.2.3 เปน็ การจำเปน็ เพ่อื การปฏบิ ตั ติ ามสัญญาซึ่งเจ้าของข้อมูลส่วนบคุ คลเปน็ ค่สู ัญญาหรอื
เพ่อื ใช้ในการดำเนินการตามคำขอของเจา้ ของขอ้ มูลส่วนบุคคลก่อนเขา้ ทำสัญญานั้น
246
ผู้ควบคุมข้อมูลอาจสง่ หรือโอนข้อมลู ส่วนบุคคลไปยงั ต่างประเทศหรือองค์การระหว่าง
ประเทศทรี่ ับขอ้ มลู สว่ นบคุ คลทไ่ี ม่มมี าตรฐานการคุ้มครองข้อมูลส่วนบคุ คลท่ีเพียงพอได้
ในกรณีที่เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็น
คู่สัญญาหรือเพ่ือใช้ในการดำเนินการตามคำขอของเจา้ ของข้อมลู ส่วนบุคคลก่อนเข้าทำ
สัญญานนั้
ตัวอย่าง
❖ กรณีผู้ให้บริการเตรียมแผนการเดนิ ทางทอ่ งเท่ียวซึ่งได้เก็บรวบรวมขอ้ มูลสว่ นบคุ คลของผใู้ ช้บริการเว็ปไซต์
ในการให้บริการดังกลา่ วผู้ควบคมุ ข้อมูลจำเป็นจะต้องส่งขอ้ มูลส่วนบุคคลของผูใ้ ช้บริการไปยังโรงแรมท่ี
ต้ังอยู่ประเทศเปรู โดยจะต้องไม่ใชก่ รณที ผ่ี ูใ้ หบ้ รกิ ารนำสง่ ข้อมูลดังกล่าวไปยังโรงแรมนั้นอยู่เป็นประจำซึ่ง
หากเป็นเชน่ น้ันก็จำเป็นต้องมีมาตรการเพื่อให้การคมุ้ ครองที่เหมาะสม (appropriate safeguard) แต่ใน
กรณนี ้ีผู้ควบคมุ ขอ้ มลู อาจใช้ขอ้ ยกเว้นนไ้ี ดเ้ ปน็ คร้งั คราวตามความจำเปน็ 247
F2.2.4 เป็นการกระทำตามสญั ญาระหว่างผู้ควบคุมข้อมูลสว่ นบคุ คลกับบุคคลหรือนิติบุคคล
อ่ืนเพอ่ื ประโยชนข์ องเจ้าของข้อมลู ส่วนบุคคล 248
ตัวอยา่ ง
❖ สบื เน่อื งจากตัวอยา่ งในข้อ 2.2.3 ผ้ใู ชบ้ ริการทีเ่ ข้ารับบรกิ ารเตรยี มแผนการเดนิ ทางทอ่ งเทีย่ ว อย่างไรกต็ าม
การจองห้องพกั กบั โรงแรมในประเทศเปรูนนั้ มคี วามจำเปน็ ท่ีจะต้องสง่ ชื่อผ้เู ขา้ พักอ่นื ด้วย ดงั น้นั กรณีจึงมี
246 พระราชบัญญัตคิ ุ้มครองข้อมลู ส่วนบุคคล พ.ศ. 2562 มาตรา 28(3)
247 Information Commissioner’s Office, supra note 244, p.271.
248 พระราชบญั ญัตคิ มุ้ ครองขอ้ มูลส่วนบุคคล พ.ศ. 2562 มาตรา 28(4)
252 Thailand Data Protection Guidelines 3.0
ความจำเป็นที่ผู้ใหบ้ ริการจะส่งชื่อของผู้เข้าพักอื่นไปยังโรงแรมในประเทศเปรู โดยมากแล้วจะหมายถึง
รายชื่อสมาชิกในครอบครัวที่เดินทางไปด้วยกัน อย่างไรก็ดี กรณีนี้จะต้องเป็นกรณีที่บุคคล อื่นจะได้รบั
ประโยชนจ์ ากสัญญาทีเ่ กดิ ขึ้นแล้วเทา่ นั้น ไม่ใชก่ รณที ี่เกดิ ก่อนจะมีสญั ญา 249
F2.2.5 เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของเจ้าของข้อมูลส่วน
บุคคลหรือบุคคลอื่น เมื่อเจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมใน
ขณะน้ันได้ 250
ตัวอยา่ ง
❖ กรณีที่บุคคลชาวไทยเดนิ ไปเทีย่ วตา่ งประเทศและเกิดประสบอุบัตเิ หตุร้ายแรงจนหมดสติจึงถูกสง่ ตัวเข้ารับ
การรักษาในโรงพยาบาลในประเทศดังกล่าว เพื่อช่วยชีวิตของบุคคลชาวไทยดังกล่าวโรงพยาบาลใน
ต่างประเทศนั้นมีความจำเป็นที่จะต้องได้รับข้อมูลเกี่ยวกับประวัติการรักษาและการ แพ้ยาของบุคคล
ดังกล่าวโดยเรง่ ด่วน กรณนี ีโ้ รงพยาบาลในประเทศไทยซึง่ เปน็ ผ้คู วบคมุ ขอ้ มูลสว่ นบุคคลของบคุ คลทป่ี ระสบ
อุบัติเหตุสามารถส่งข้อมูลสว่ นบุคคลที่จำเปน็ เพื่อช่วยชีวิตเจ้าของขอ้ มูลในต่างประเทศไดแ้ ม้ว่าประเทศ
ดังกลา่ วจะไมม่ มี าตรฐานคุ้มครองข้อมลู สว่ นบุคคลท่เี พียงพอก็ตาม
F2.2.6 เป็นการจำเปน็ เพื่อการดำเนนิ ภารกจิ เพือ่ ประโยชนส์ าธารณะทีส่ ำคญั 251
ตวั อย่าง 252
❖ กรณที ีผ่ ู้ควบคุมขอ้ มูลส่วนบคุ คลในประเทศไทยเก็บรวบรวมข้อมูลส่วนบคุ คลของกลุ่มบุคคลชาวไทยและ
จีนทท่ี ำธรุ กิจในประเทศไทย ปรากฏว่ากลม่ บุคคลดังกล่าวถกู หนว่ ยงานรฐั ของรฐั บาลจนี สบื สวนข้อเทจ็ จริง
เกี่ยวกับการครอบครองวสั ดกุ ัมมันตรงั สีเพ่ือวัตถุประสงค์ในการก่อการจลาจลในประเทศจีน หากหนว่ ยงาน
ของรัฐบาลจีนใช้อำนาจหน้าที่ตามกฎหมายในการรวบรวมพยานหลักฐานและมีคำร้องขอให้บริษัทผู้
ควบคมุ ข้อมลู ในประเทศไทยส่งขอ้ มลู ส่วนบคุ คลของกลุ่มบคุ คลชาวไทยและจีนให้ หากปรากฏว่าประเทศ
จีนเป็นประเทศปลายทางที่ไม่มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ และไม่ปรากฏว่ามี
ข้อยกเว้นสำหรับการส่งหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศอื่น บริษัทผู้ควบคุมข้อมูลส่วนบุคคลที่
รับคำร้องดังกล่าวอาจอาศัยข้อยกเว้นการส่งหรือโอนข้อมูลส่วนบุคคล “เพื่อการดำเนินภารกิจเพ่ือ
249 Information Commissioner’s Office, supra note 244, p.272. 253
250 พระราชบญั ญัติคมุ้ ครองข้อมลู ส่วนบุคคล พ.ศ. 2562 มาตรา 28(5)
251 พระราชบัญญัตคิ มุ้ ครองข้อมลู ส่วนบุคคล พ.ศ. 2562 มาตรา 28(6)
252 Information Commissioner’s Office, supra note 244Error! Bookmark not defined., p.272.
ศูนยว์ จิ ยั กฎหมายและการพัฒนา คณะนติ ิศาสตร์ จุฬาลงกรณ์มหาวิทยาลยั
ประโยชนส์ าธารณะทสี่ ำคญั ” ได้ ท้ังน้ี จะต้องพจิ ารณาว่าคำร้องขอในกรณีนี้เป็นประโยชนส์ าธารณะท่ีถูก
ยอมรบั ในระบบกฎหมายไทยหรือไม่ 253 การคน้ หาประโยชนส์ าธารณะในระบบกฎหมายดังกล่าวสามารถ
ทำได้ เช่น การพิจารณาสนธิสัญญาหรือพันธะกรณีระหว่างประเทศซึ่งประเทศไทยเป็นภาคี ตามกรณี
ตัวอย่าง ประเทศไทยไดเ้ ข้าเป็นภาคขี องอนุสัญญาว่าด้วยการป้องกันและปราบปรามการกอ่ การร้ายโดย
อาวุธนิวเคลียร์ (International Convention for the Suppression of Acts of Nuclear Terrorism)
และไดใ้ หส้ ตั าบนั อนสุ ญั ญาดงั กล่าวแลว้ ดว้ ยเหตุนี้ ผูค้ วบคุมข้อมลู สว่ นบคุ คลในกรณนี ีอ้ าจอาศัยพันธกรณี
ระหว่างประเทศดงั กล่าวเพื่อยืนยนั ประโยชนส์ าธารณะทส่ี ำคัญ
F2.3 [Appropriate Safeguards] มีมาตรการคมุ้ ครองข้อมูลสว่ นบุคคลท่ีเพียงพอ
F2.3.1 นโยบายค้มุ ครองข้อมลู สว่ นบคุ คลของเครอื กจิ การ (Binding Corporate Rules)
ในกรณที ี่กฎหมาย องคก์ ร หรอื พนั ธกรณใี นระดบั นานาชาติของประเทศปลายทางยังไม่มี
ความพร้อมในการคุ้มครองขอ้ มูลสว่ นบุคคล ผคู้ วบคมุ ข้อมลู สว่ นบุคคล (ผู้โอน) อาจทำ
“นโยบายในการคุ้มครองข้อมูลส่วนบุคคลเพื่อการสง่ หรือโอนขอ้ มลู ส่วนบคุ คลไปยังผู้
ควบคุมข้อมลู ส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบคุ คลซึ่งอยู่ต่างประเทศและอยู่ในเครือ
กิจการหรือเครือธุรกจิ เดียวกนั เพ่อื การประกอบกิจการหรอื ธุรกจิ ร่วมกัน”
หากนโยบายดังกล่าวได้รับการตรวจสอบและรับรองจากสำนักงานคณะกรรมการ
คุ้มครองข้อมูลส่วนบุคคลแล้ว ผู้ควบคุมข้อมูลส่วนบุคคลสามารถโอนข้อมูลส่วนบุคคล
ได้254 “บุคคลผู้อยู่ในเครือกิจการหรือเครือธุรกิจเดียวกันเพื่อการประกอบกิจการหรอื
ธุรกิจร่วมกัน” นั้นอาจอ้างอิงเกณฑ์ “บริษัทในเครือ” ตามแนวทางของสำนักงาน
คณะกรรมการกำกบั หลักทรัพย์และตลาดหลักทรัพยก์ ็ได้ แตส่ าระสำคญั ของเรื่องน้ีก็คือ
เครอื กิจการหรอื เครอื ธรุ กิจน้ันไดท้ ำความตกลงกนั ที่จะผกู พนั ตามนโยบายคุ้มครองข้อมูล
ส่วนบุคคลของเครือกจิ การ หรอื ที่เรียกว่า BCR (Binding Corporate Rules)
253 European Data Protection Board, Guidelines 2/2018 on derogations of Article 49 under Regulation
2016/679, p.10
254 พระราชบัญญัตคิ ุม้ ครองขอ้ มูลสว่ นบคุ คล พ.ศ. 2562 มาตรา 29
254 Thailand Data Protection Guidelines 3.0
อย่างไรก็ดีคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลยังไม่ได้กำหนดรายละเอียด
หลักเกณฑ์การตรวจสอบและรับรองนโยบายดังกลา่ ว แต่อาจสามารถอ้างอิงตามแนวทาง
ของ GDPR ทีร่ ะบุเน้อื หาท่ีสำคญั 255 เช่น
- มีสภาพบังคับตามกฎหมายและกำหนดหน้าที่ที่ชัดเจนของสมาชิกในกลุ่มท่ี
จะตอ้ งปฏบิ ตั ิ รวมถงึ ลกู จา้ งและพนักงานของสมาชิก
- รับรองสิทธิของเจ้าของข้อมูลและการบังคับใช้สิทธิในฐานะผู้รับประโยชน์
ภายนอก รวมถงึ การใชส้ ทิ ธริ ้องเรียนต่อสำนกั งานคุ้มครองข้อมลู ส่วนบุคคลและ
ศาล
- เครือกิจการจะตอ้ งแสดงว่าตนสามารถรบั ผิดชอบต่อความเสียหายท่ีอาจเกิดขึ้น
จากสมาชิกของเครอื กจิ การ
- เจ้าของข้อมูลในฐานะผู้รับประโยชน์ภายนอกสามารถเข้าถึงข้อมูลทั้งหลายที่
เกย่ี วกับการใช้สทิ ธิของตน
- แสดงมาตรการอบรมและใหค้ วามรู้แกล่ กู จา้ งและพนกั งานของกิจการ
- มมี าตรการรบั เรื่องรอ้ งเรยี นที่เหมาะสมเพียงพอ
- มีการตรวจสอบและประเมนิ การปฏบิ ัตติ าม BCR
- กำหนดหน้าที่ในการให้ความร่วมมอื กบั สำนักงานคณะกรรมการคุ้มครองข้อมลู
ส่วนบุคคล
- อธิบายขอบเขตของการ BCR รวมถึง สภาพของการส่งหรอื โอนข้อมูล, ประเภท
เจา้ ของข้อมลู ส่วนบุคคล และประเทศทอ่ี ยใู่ นขอบเขต
- มาตรการคุ้มครองข้อมูลส่วนบุคคล รวมถึงความรับผิดชอบ และความสัมพันธ์
เกยี่ วขอ้ งกบั กฎหมายภายในประเทศ
255 WP29 Working Document setting up a table with the elements and principles to be found in
Binding Corporate Rules (BCR-C) (WP2 5 6 rev.0 1 ); WP29 Working Document setting up a table with
the elements and principles to be found in Processor Binding Corporate Rules (BCR-P) (WP256 rev.01)
ศูนยว์ จิ ัยกฎหมายและการพัฒนา คณะนิติศาสตร์ จุฬาลงกรณม์ หาวิทยาลยั 255
F2.3.2 มาตรการคุม้ ครองท่เี หมาะสมอ่นื ๆท่สี ามารถบังคับสิทธิของเจา้ ของข้อมูลส่วนบุคคล
ได้ 256นอกเหนือจาก BCRs แล้ว สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลยงั
อาจยอมรับให้ ตราสาร ข้อสัญญา ข้อปฏิบัติ และการรับรองอ่ืนซึ่งเป็นเงื่อนไขทีท่ ำให้ผู้
ควบคุมขอ้ มูลส่วนบุคคลสามารถส่งหรือโอนข้อมูลส่วนบุคคลไปยงั ประเทศปลายทางได้
แมว้ า่ ประเทศปลายทางนน้ั จะไมม่ ีมาตรฐานการค้มุ ครองข้อมลู สว่ นบคุ คลท่เี พียงพอ โดย
อาจเลือกใชต้ ามแนวทางของ GDPR ดังตอ่ ไปนี้ 257
- เคร่ืองมอื หรือตราสารท่มี ผี ลบังคับใช้ทางกฎหมายระหวา่ งหนว่ ยงานของรฐั :258
ตราสารระหว่างเจ้าหน้าที่หรือหนว่ ยงานของรฐั ในกรณกี ารส่งหรือโอนข้อมูลส่วน
บุคคลระหว่างหน่วยงานรัฐซึ่งมีรายละเอียดเกี่ยวกับสิทธิและการเยียวยาของ
เจา้ ของขอ้ มูลท่ีถกู สง่ หรอื โอนขอ้ มูลส่วนบุคคล
- [Standard data protection clauses] ข ้ อ ส ั ญ ญ า ม า ต ร ฐ า น ซึ่ ง
คณะกรรมการคมุ้ ครองข้อมลู ส่วนบคุ คลอนมุ ตั ิ:259 ขอ้ สัญญาคุ้มครองข้อมูลส่วน
บุคคลมาตรฐานสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบคุ คลยอมรับ โดย
ข้อสญั ญาดังกล่าวจะกำหนดหน้าทีท่ างสัญญาต่อผสู้ ง่ ออกและผู้นำเข้าข้อมูลส่วน
บุคคลทถี่ ูกส่งหรอื โอน โดยทเ่ี จ้าของขอ้ มลู สามารถบังคบั การตามสิทธิของตนต่อ
ผสู้ ง่ ออกและผนู้ ำเข้าข้อมลู ส่วนบคุ คลได้โดยตรง
- [Code of conduct] ประมวลข้อปฏิบัติท่ีกำหนดหน้าที่ของผู้ควบคุมขอ้ มูล
หรือผู้ประมวลผลข้อมูลในต่างประเทศ:260 การส่งหรือโอนข้อมูลที่ตกอยู่ใน
บังคับของกฎหมายน้ันสามารถทำได้หากผู้รับโอนไดล้ งนามในประมวลข้อปฏิบัติ
ซึ่งได้รับการอนุมัติโดยเจ้าพนักงาน โดยที่ประมวลข้อปฏิบัตินั้นจะต้องมี
รายละเอยี ดของมาตรการท่ีเหมาะสมในการคุ้มครองสทิ ธิของเจา้ ของข้อมูลผู้ซึ่ง
ถูกประมวลผล หรือส่งหรือโอนข้อมูล ทั้งนี้ ประมวลข้อปฏิบัติดังกล่าวจะต้องมี
ผลบงั คบั ไดก้ บั เจา้ ของขอ้ มูลโดยตรง
256 พระราชบัญญัติคุม้ ครองข้อมูลส่วนบคุ คล พ.ศ. 2562 มาตรา 29 วรรคสาม
257 GDPR, Article 46.
258 GDPR, Article 46 para 2 (a).
259 GDPR, Article 46 para 2 (c).
260 GDPR, Article 46 para 2 (e).
256 Thailand Data Protection Guidelines 3.0
- [Certification mechanism] คำรับรองที่ได้รับการยอมรับโดยสำนักงาน
คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล:261 ซงึ่ ประกอบกับคำมัน่ สัญญาท่มี ผี ล
บังคับผูกพันผู้ควบคุมข้อมูลและผู้ประมวลข้อมูลในประเทศที่สามที่จะปรับใช้
มาตรการที่เหมาะสมเกี่ยวกับสิทธิของเจ้าของข้อมูล โดยสำนักงาน
คณะกรรมการคุ้มครองข้อมลู ส่วนบคุ คลสามารถสร้างกระบวนการ/กลไกในการ
ให้คำรับรองเพื่อยืนยันการปฏิบัติตามมาตรฐานการคุ้มครองข้อมูลส่วนบุคคล
ตามกฎหมายของผู้ควบคมุ ขอ้ มลู ส่วนบคุ คล
ตวั อยา่ งนโยบายคุ้มครองขอ้ มลู สว่ นบุคคลของเครอื กจิ การ
(Binding Corporate Rules)
[ชื่อบรษิ ทั ] ข้อมลู ของ BCR
Binding Corporate Rules
ฉบบั ท่ี (version) สรปุ รายละเอยี ด
(เช่นกรณมี ีการแกไ้ ข)
อารัมภบท
[บริษัทผู้ควบคุมหรือประมวลผลข้อมูล] และบริษัทในเครือธุรกิจ หรือสาขาประกอบธุรกิจเกี่ยวกับ
[รายละเอยี ดของธุรกิจและลักษณะของการประกอบธุรกจิ ]
เพอ่ื ประโยชน์ในการประกอบธรุ กิจดังกล่าว บรษิ ัทฯ มคี วามจำเปน็ ท่จี ะต้องทำการรวบรวม ใช้ เกบ็ รักษา
และโอนไปยังต่างประเทศ ซึ่งข้อมูลส่วนบคุ คลที่เกี่ยวข้องกับบุคคลทีเ่ ปน็ เจ้าของข้อมลู ซึ่งอาจส่งเป็นการยืนยันถึง
ตัวตนของเจ้าของข้อมลู ไม่วา่ โดยตรงหรือโดยออ้ มได้
บริษทั ฯ ใหค้ ำมน่ั สญั ญาท่จี ะรกั ษาความเปน็ สว่ นตัวของขอ้ มลู ส่วนบุคคล (ไม่วา่ ณ ท่แี ห่งใด) และคาดหวัง
(หรือกำหนดให้) ลูกจ้างและคู่ค้าทางธุรกิจกำหนดให้มีมาตรการที่จำเป็นเพื่อคุ้มครองข้อมูลส่วนบุคคลที่ถูกเก็บ
รวบรวม ใช้ และเปดิ เผยโดยบริษัทฯ [ทง้ั น้ี เพื่อเปน็ การยืนยนั การมีผลบังคบั ทางกฎหมายของคำมั่นสัญญาดังกล่าว
บรษิ ัทฯ จึงได้กำหนดหนา้ ท่ีในการคุ้มครองข้อมูลสว่ นบคุ คลในประมวลข้อปฏิบตั สิ ำหรับพนกั งานของบรษิ ัทฯ]
เอกสารฉบบั นี้ ทำหน้าท่ีกำหนดมาตรฐานขั้นต่ำสำหรบั การใช้ เปิดเผย และโอนขอ้ มลู ไปยงั ตา่ งประเทศซงึ่
ตกอยู่ในบงั คับของพระราชบญั ญตั ิคุ้มครองขอ้ มลู สว่ นบุคคล พ.ศ. 2562 ตลอดจนกฎหมายและประกาศ และระเบียบ
อื่นท่ีเกย่ี วขอ้ ง
เอกสารฉบับน้ีประกอบด้วยตัว BCR ฉบบั นี้ เอกสารแนบทา้ ย และนโยบายการค้มุ ครองข้อมูลส่วนบุคคล
(ถ้าม)ี ในกรณีที่เอกสารดงั กลา่ วมขี ้อความที่ขดั หรือแยง้ กนั ให้บังคับตาม BCR
261 GDPR, Article 46 para 2 (f). 257
ศูนย์วจิ ัยกฎหมายและการพฒั นา คณะนติ ศิ าสตร์ จุฬาลงกรณ์มหาวทิ ยาลัย
1. นยิ าม
คำศพั ท์ ความหมาย
กฎเกณฑก์ ารใหค้ วามคุ้มครอง หมายถึง กฎเกณฑ์ภายในองค์กรและเอกสารเกี่ยวกับการคุ้มครองข้อมูลส่วน
ข้อมูลส่วนบุคคลภายในองค์กร บุคคลโดยเฉพาะอย่างยิ่งในประเด็นทีเ่ กี่ยวกับการโอนข้อมูลส่วนบุคคลไปยัง
(“BCR”) ต่างประเทศภายในกลมุ่ บรษิ ัทฯ
เจ้าของขอ้ มูลสว่ นบคุ คล หมายถึง เจ้าของข้อมูลสว่ นบุคคลซง่ึ ถูกบริษทั ฯ เกบ็ รวบรวม ใช้ หรือเปิดเผย
ขอ้ มลู ส่วนบุคคล
การสง่ หรือโอน หมายถงึ การส่งข้อมลู สว่ นบุคคลจากประเทศไทยโดยมีการดำเนินการให้ข้อมูล
ส่วนบุคคลเข้าสู่ระบบเพื่อให้ปรากฏผลหรือเข้าถึงได้บนอุปกรณ์ที่อยู่นอก
ข้อมูลส่วนบุคคลที่มีความ ประเทศไทย
ออ่ นไหว หมายถึง ข้อมูลส่วนบุคคลที่ได้รับการคุ้มครองเป็นพิเศษตามมาตรา 26 ของ
พระราชบญั ญตั คิ ุ้มครองขอ้ มลู สว่ นบคุ คล พ.ศ. 2562 ซงึ่ หมายความรวมถึงแต่
ขอ้ มลู ส่วนบุคคล ไม่จำกัดเพียงข้อมูลส่วนบุคคลที่เก่ียวกับ เชื้อชาติ ความคิดเห็นทางการเมือง
ความเชื่อทางศาสนาหรือปรัชญา หรอื การเป็นสมาชิกสหภาพแรงงาน และการ
บรษิ ัทในเครอื ประมวลผลขอ้ มลู เก่ยี วกับสขุ ภาพ เพศสภาพ และการถูกลงโทษทางอาญา
การประมวลผลข้อมลู หมายถงึ ขอ้ มลู เกี่ยวกับบุคคลซ่งึ ทำให้สามารถระบตุ ัวบคุ คลนน้ั ได้ไมว่ ่าทางตรง
เจา้ หนา้ ท่ีผมู้ อี ำนาจ หรอื ทางอ้อม แต่ไมร่ วมถึงข้อมูลของผถู้ งึ แกก่ รรมโดยเฉพาะ
บริษัททม่ี ีรายช่อื ตามนโยบายนี้
พนักงานคมุ้ ครองข้อมลู การเกบ็ รวบรวม ใช้ หรอื เปิดเผยขอ้ มลู ส่วนบุคคล
เจ้าหน้าที่ผู้อำนาจในการคุ้มครองข้อมูลส่วนบุคคล เช่น เจ้าหน้าที่ของ
สำนักงานคณะกรรมการคุม้ ครองขอ้ มลู ส่วนบคุ คล
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลที่ตั้งขึ้นตามกฎหมาย เช่น เจ้าหน้าท่ี
คุ้มครองข้อมลู ส่วนบุคคลที่ตั้งข้ึนตามมาตรา 41 ของพระราชบัญญัติคุ้มครอง
ข้อมลู ส่วนบุคคล พ.ศ. 2562
2. ขอบเขตการใชบ้ ังคบั
2.1 BCR นี้ใช้บงั คบั กับการสง่ หรือโอนขอ้ มูลไปยังผูค้ วบคุมข้อมลู หรือผู้ประมวลผลขอ้ มูลลซึง่ อยู่ตา่ งประเทศ
และอย่ใู นเครอื กิจการหรอื เครือธรุ กจิ เดยี วกันเพ่อื การประกอบกิจการหรือธุรกิจรว่ มกัน ซ่งึ ไดแ้ ก่นติ ิบุคคลดังที่ปรากฏ
ในเอกสารแนบท้ายหมายเลข 1 ซง่ึ จะมกี ารปรับปรุงแกไ้ ขให้เป็นปัจจุบันโดยบรษิ ัทฯ (หรือเจ้าหน้าที่คุ้มครองข้อมูล
สว่ นบคุ คลของบริษัท)
2.2 ในการประมวลผลและส่งหรือโอนข้อมูลส่วนบุคคลไปที่ใด ๆ บริษัทในเครือฯ จะดำเนินการให้มี
มาตรการที่จำเปน็ เพอ่ื ปฏบิ ัติตามกฎหมายวา่ ด้วยการคุ้มครองขอ้ มลู สว่ นบุคคล
258 Thailand Data Protection Guidelines 3.0
2.3 ในกรณีที่ไม่มีกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลของประเทศผู้รับโอนใช้บังคับกับการ
ประมวลผลข้อมลู สว่ นบคุ คล หรือเปน็ กรณีท่กี ฎหมายของประเทศนัน้ มมี าตรฐานต่ำกว่าท่ีกำหนดในเอกสารนี้ บริษัท
ในเครอื ฯ จะตอ้ งปฏิบัตติ ามเงือ่ นไขที่กำหนดใน BCR ฉบับน้ี
2.4 ในกรณีที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลของประเทศผู้รับโอนมีมาตรฐานการคุ้มครอง
ข้อมูลสว่ นบุคคลสงู กว่าท่กี ำหนดใน BCR ฉบับนี้ ใหบ้ ริษทั ในเครือฯ ปฏิบตั ิตามกฎหมายดังกลา่ ว
2.5 ลูกจ้างของบรษิ ัทในเครอื ฯ สามารถดำเนินการประมวลและส่งหรอื โอนข้อมูลส่วนบุคคลตามที่ระบุใน
เอกสารแนบทา้ ยหมายเลข 2 ได้ตามเงอื่ นไขทกี่ ำหนดใน BCR และกฎหมายท่มี ผี ลใช้บงั คบั กบั กรณีเท่านัน้
หน้าที่ที่กำหนดใน BCR ฉบับนี้ ถือเป็นหน้าทีต่ ามสัญญาจา้ งแรงงานของลูกจ้างทกุ คนของบริษัทในเครือฯ
ลูกจ้างคนใดทฝ่ี ่าฝืน BCR ฉบบั น้จี ะต้องดำเนนิ การทางวนิ ยั ซงึ่ รวมถงึ การไลอ่ อก
3. หลักการทั่วไปในการประมวลผลและส่งหรอื โอนขอ้ มลู ระหว่างบรษิ ทั ในเครอื ฯ
3.1. ประมวลข้อมูลของเจ้าของขอ้ มูลโดยชอบด้วยกฎหมาย เปน็ ธรรม และโดยมคี วามโปรง่ ใส โดยบริษัทฯ
และบริษัทในเครือฯ มีหน้าที่ต้องอธิบายแก่เจ้าของข้อมูลส่วนบุคคลถึงเวลาที่มีการเก็บรวบรวมข้อมูลส่วนบุคคล
ลกั ษณะการประมวลผลขอ้ มลู สว่ นบุคคล และกรอบในการส่งหรอื โอนข้อมลู ส่วนบุคคล ทั้งนี้ จะตอ้ งมีการให้ข้อมูลที่
เข้าใจง่ายในรูปของนโยบายการคุม้ ครองข้อมูลส่วนบุคคล (data protection policies) หรือหนงั สอื แจง้ เตอื นในเรื่อง
การคมุ้ ครองขอ้ มูลสว่ นบคุ คล (data protection notice)
3.2 การประมวลผลข้อมูลและการส่งหรือโอนข้อมูลส่วนบุคคลจะต้องเป็นไปโดยชอบด้วยกฎหมายและ
เปน็ ไปตามท่กี ำหนดโดยชดั แจ้งในเอกสารแนบท้ายหมายเลข 2
ในกรณีท่ีจะมกี ารสง่ หรือโอนขอ้ มูลสว่ นบคุ คลนอกเหนือจากท่กี ำหนดในเอกสารแนบทา้ ยหมายเลข 2 บริษัท
และบริษทั ในเครอื ฯ จะต้องแจง้ เจ้าของข้อมูลส่วนบุคคล
3.3 บรษิ ัทฯ และบริษัทในเครอื จะจำกัดการประมวลผลข้อมูลส่วนบคุ คลเทา่ มีจำเป็นตอ่ วัตถปุ ระสงค์ตามที่
กำหนดในเอกสารแนบทา้ ยหมายเลข 2
3.4 บริษัทฯ และบริษัทในเครือฯ จะใช้มาตรการตามสมควรในการเก็บรักษาข้อมูลส่วนบุคคลให้มีความ
ถูกตอ้ ง เป็นปจั จบุ ัน และเชอื่ ถือได้
3.5 บรษิ ทั ฯ และบริษทั ในเครือฯ จะเก็บรักษาขอ้ มลู สว่ นบคุ คลเฉพาะเท่าทจี่ ำเป็นสำหรบั การประกอบธุรกิจ
โดยชอบตามวตั ถุประสงค์ทขี่ ้อมลู สว่ นบคุ คลถกู เกบ็ รวบรวม
3.6 การประมวลผลข้อมลู ส่วนบคุ คลทมี่ คี วามออ่ นไหวนน้ั จะทำได้กต็ ่อเมอื่ ได้รบั ความยนิ ยอมโดยชัดแจ้งจาก
เจ้าของข้อมูลแล้วเท่านั้น เว้นแต่กรณีที่กำหนดในมาตรา 26 ของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.
2562
3.7 การประมวลผลข้อมูลส่วนบุคคลจำกัดเฉพาะลูกจ้างของบริษัทฯ หรือบริษัทในเครือฯ ซึ่งมีความ
รบั ผดิ ชอบหรือมีความจำเปน็ เท่านน้ั
ศนู ย์วิจัยกฎหมายและการพัฒนา คณะนิตศิ าสตร์ จุฬาลงกรณ์มหาวิทยาลัย 259
4. ความโปร่งใสและสทิ ธิอ่ืนของเจา้ ของข้อมูล
4.1 บริษทั ฯ และบรษิ ัทในเครือฯ จะเผยแพร่ BCR ฉบบั นีใ้ นเว็บไซต์ตอ่ เจา้ ของขอ้ มลู ทุกคนซ่งึ มีขอ้ มลู สว่ น
บคุ คลทตี่ กอยู่ในบงั คับของ BCR โดยเจา้ ของข้อมูลสามารถเรยี กใหบ้ ริษทั ฯ และบริษัทในเครอื ฯ ส่งสำเนา BCR ได้
4.2 ในกรณที บี่ รษิ ัทฯ และบรษิ ทั ฯ ในเครอื เก็บรวบรวมข้อมูลสว่ นบุคคลโดยตรงจากเจา้ ของขอ้ มลู บริษัท
ฯ และบรษิ ทั ในเครอื จะต้องส่งหนังสือแจ้งเตอื นเป็นลายลักษณ์อกั ษรทมี่ ีความชัดเจนและเข้าใจง่ายแก่เจ้าของข้อมูล
ก่อน โดยหนังสือแจ้งเตือนดังกลา่ วจะต้องประกอบด้วยรายละเอียดข้ันต่ำ ดงั ตอ่ ไปนี้
4.2.1 ตัวตนและข้อมูลการตดิ ตอ่ ของผคู้ วบคมุ ข้อมลู และตวั แทนของผู้ควบคมุ ข้อมลู (ถ้าม)ี
4.2.2 ขอ้ มลู ของเจ้าหนา้ ทค่ี ุ้มครองข้อมลู
4.2.3 วัตถุประสงค์และฐานทางกฎหมายในการประมวลผลข้อมูลตามความประสงค์ของเจ้าของ
ขอ้ มูล
4.2.4 ในกรณที ่ีการประมวลผลนั้นตง้ั อยู่บนฐานของประโยชน์อันชอบธรรม (legitimate interest)
ของผู้ประมวลผลขอ้ มูลหรือบุคคลทส่ี าม จะตอ้ งมีการสอ่ื สารอย่างชดั แจง้ วา่ ประโยชน์อันชอบธรรมเหลา่ นั้นคอื อะไร
4.2.5 (ถา้ ม)ี ประเภทของผูร้ บั ข้อมูล
4.2.6 (ถ้ามี) ข้อเทจ็ จรงิ เก่ยี วกับการทีผ่ คู้ วบคมุ ขอ้ มูลประสงคจ์ ะส่งหรือโอนข้อมูลส่วนบุคคลไปยัง
ประเทศอื่น หรือองค์กรระหว่างประเทศ ตลอดจนคำอธิบายและการอ้างอิงถึงมาตรการป้องกันที่เหมาะสมสำหรับ
การส่งหรือโอนนัน้
4.2.7 ระยะเวลาที่ข้อมลู สว่ นบคุ คลจะถูกเก็บรวบรวม
4.2.8 สทิ ธขิ องเจ้าของขอ้ มลู ในการเข้าถึงข้อมลู ส่วนบุคคล การเรยี กให้ผคู้ วบคมุ ขอ้ มูลแก้ไขข้อมูล
ส่วนบคุ คล หรือการคดั ค้านการประมวลผลข้อมลู
4.2.9 สิทธใิ นการถอนความยนิ ยอมของเจา้ ของขอ้ มูลไมว่ า่ ในเวลาใด ๆ
4.2.10 สิทธขิ องเจา้ ของขอ้ มูลในการยนื่ คำรอ้ งต่อเจา้ หน้าทีผ่ ู้มอี ำนาจ
4.3 บริษทั ฯ และบรษิ ัทในเครอื ฯ มีหนา้ ทีใ่ นการรบั รองและคุม้ ครองสิทธดิ ังตอ่ ไปน้ีของเจา้ ของขอ้ มลู
4.3.1 สิทธขิ อเขา้ ถึงและขอรับสำเนาข้อมลู สว่ นบคุ คลท่ีเก่ยี วกบั ตนซึ่งอย่ใู นความรับผิดชอบของผู้
ควบคมุ ขอ้ มลู สว่ นบคุ คล หรอื ขอใหเ้ ปดิ เผยถึงการได้มาซึง่ ขอ้ มูลส่วนบคุ คลดงั กล่าวทต่ี นไมไ่ ดใ้ ห้ความยินยอม
4.3.2 สิทธขิ อรบั ข้อมูลส่วนบคุ คลทีเ่ กีย่ วกับตนจากผู้ควบคมุ ข้อมลู ส่วนบคุ คลได้
4.3.3 สิทธิคดั คา้ นการเก็บรวบรวม ใช้ หรอื เปิดเผยขอ้ มูลสว่ นบคุ คลท่เี ก่ียวกบั ตนเมอ่ื ใดกไ็ ด้
4.3.4 สิทธิขอใหผ้ ู้ควบคมุ ข้อมูลสว่ นบุคคลดำเนินการลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคล
เป็นข้อมลู ที่ไม่สามารถระบตุ ัวบุคคลท่เี ป็นเจ้าของข้อมลู สว่ นบุคคลได้
4.3.5 สทิ ธิขอให้ผคู้ วบคมุ ข้อมูลส่วนบุคคลระงับการใช้ขอ้ มูลสว่ นบคุ คลได้
4.3.6 สิทธิในการร้องขอให้มีการทำให้ข้อมูลส่วนบุคคลนัน้ ถกู ต้อง เป็นปัจจุบัน สมบูรณ์ และไม่
กอ่ ให้เกิดความเข้าใจผดิ
260 Thailand Data Protection Guidelines 3.0
5. ความรบั ผิดชอบและมาตรการรักษาความปลอดภยั
5.1 บริษัทฯ และบริษัทในเครือฯ มีหน้าที่เก็บบันทึกรายการกิจกรรมเกี่ยวกับการประมวลผลข้อมูลส่วน
บคุ คล และสง่ ใหเ้ จา้ หน้าทผ่ี ูม้ ีอำนาจตรวจสอบในกรณีทม่ี ีการเรียกให้ส่งมอบบนั ทกึ ดังกล่าว
5.2 บริษัทฯ และบริษัทในเครือฯ มีหน้าที่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อ
ปอ้ งกันการสญู หาย เข้าถึง ใช้ เปลยี่ นแปลง แก้ไข หรอื เปิดเผยขอ้ มลู สว่ นบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ
และต้องทบทวนมาตรการดงั กล่าวเมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปล่ียนแปลงไปเพื่อใหม้ ปี ระสิทธิภาพในการ
รักษาความม่ันคงปลอดภยั ที่เหมาะสม
6. ความสมั พันธ์ในกรณที บ่ี ริษัทในเครือฯ เป็นผู้ประมวลผลขอ้ มลู
6.1 ในกรณีทีบ่ รษิ ัทฯ หรอื บริษัทในเครือฯ ทำหน้าท่ปี ระมวลผลขอ้ มลู ส่วนบคุ คลเพอื่ บริษทั ฯ หรือบริษัทใน
เครือฯ อื่น บริษัทผู้ประมวลผลข้อมูลมีหน้าที่จะต้องประมวลผลข้อมลู ตามคำสั่งเท่านั้น และผู้ควบคุมขอ้ มูลจะทำ
สัญญาประมวลผลขอ้ มูล (data processing agreement) กบั ผู้ประมวลผลขอ้ มลู
6.2 บริษัทฯ หรือบริษทั ในเครือฯ ทำหน้าท่ีทำหน้าทีป่ ระมวลผลขอ้ มูลจะต้องจัดให้มีมาตรการรักษาความ
มัน่ คงปลอดภยั ทเ่ี หมาะสม เพ่ือป้องกันการสูญหาย เข้าถึง ใช้ เปล่ยี นแปลง แกไ้ ข หรือเปดิ เผยขอ้ มูลส่วนบุคคลโดย
ปราศจากอำนาจหรอื โดยมิชอบ รวมท้งั แจง้ ให้ผคู้ วบคุมขอ้ มูลสว่ นบคุ คลทราบถึงเหตกุ ารณ์ละเมิดขอ้ มูลส่วนบุคคลที่
เกดิ ขนึ้
7. การอบรม
7.1 เพ่อื ให้พนักงานทกุ คนของบรษิ ัทฯ และบริษัทในเครอื ฯ ได้รบั ขอ้ มลู ท่ีเพยี งพอ บริษทั ฯ จะใช้ดำเนินการ
ตามท่ีจำเปน็ เพ่อื ใหพ้ นักงานได้รบั ทราบและตะหนักถึงข้ันตอนเกี่ยวกับการคมุ้ ครองขอ้ มูลส่วนบุคคล
7.2 พนกั งานของบรษิ ทั ฯ หรอื บริษทั ในเครือฯ หรอื บคุ คลท่ีสามซึง่ มหี น้าท่ตี อ้ งเขา้ ถงึ ข้อมลู ส่วนบุคคลอย่าง
สมำ่ เสมอ หรอื มสี ว่ นเกีย่ วข้องกบั การเกบ็ รวบรวมขอ้ มูลหรือการพฒั นาระบบสารสนเทศ จะตอ้ งไดร้ ับการอบรมและ
สร้างความตระหนักรูเ้ ก่ยี วกบั การคุ้มครองข้อมลู ส่วนบคุ คล
8. การปฏิบตั ติ ามและการตรวจสอบ
บริษัทฯ ไดท้ ำการแต่งต้งั พนกั งานคุ้มครองขอ้ มูลเพ่ือตรวจสอบการคุม้ ครองความเป็นส่วนตวั ซ่ึงรวมถึงการ
ปฏิบัตติ าม BCR โดยพนกั งานคมุ้ ครองขอ้ มลู มหี นา้ ที่ตอ้ งรายงานผลการตรวจสอบไปยงั ผูบ้ ริหารของบรษิ ทั ฯ
9. กระบวนการรอ้ งเรียนและขั้นตอนทเี่ กยี่ วขอ้ ง
9.1 เจ้าของข้อมูลซ่ึงเชื่อว่าข้อมูลส่วนบุคคลของตนตามที่ระบุในเอกสารแนบท้ายหมายเลข 2 ถูกเก็บ
รวบรวม ใช้ หรือเปิดเผยโดยฝ่าฝืน BCR โดยบริษัทฯ หรือบริษัทในเครือฯ และมีความประสงค์ที่จะใช้สิทธิตามท่ี
กำหนดในข้อ 4. ของตน สามารถยืน่ คำร้องตอ่ เจ้าหน้าที่คุ้มครองขอ้ มูล (หรือเจ้าหน้าที่คุ้มครองมูลประจำท้องถิ่น)
ของตนไดโ้ ดยผ่านจดหมายหรืออเี มล์
ศนู ย์วิจยั กฎหมายและการพัฒนา คณะนิติศาสตร์ จุฬาลงกรณม์ หาวิทยาลัย 261
9.2 พนักงานของบรษิ ัทฯ หรือบริษัทในเครือฯ ซึ่งเชื่อว่าข้อมูลส่วนบุคคลของตนถกู เก็บรวบรวม ใช้ หรือ
เปดิ เผยอยา่ งไมเ่ หมาะสม สามารถตดิ ต่อกับฝา่ ยงานทรัพยากรบคุ คลประจำท้องถน่ิ ได้
9.3 คำรอ้ งตามข้อ 9.1 และ 9.2 จะตอ้ งระบถุ ึงบรษิ ัทฯ หรอื บรษิ ทั ในเครือฯ ทีถ่ ูกสงสยั ว่ามีส่วนในการเก็บ
รวบรวม ใช้ หรือเปดิ เผยขอ้ มูลสว่ นบุคคล โดยจะตอ้ งมหี ลักฐานและเอกสารทสี่ นับสนุนคำรอ้ งอีกด้วย
9.4 บุคคลผรู้ บั คำรอ้ งจะพจิ ารณาเพื่อที่จะส่งคำรอ้ งต่อไปยังพนักงานคุ้มครองข้อมูลหรือฝ่ายกฎหมายเพ่ือ
การพจิ ารณาตามทเ่ี หน็ วา่ เหมาะสม
9.5 พนักงานคุ้มครองข้อมูล (หรือพนักงานคุ้มครองข้อมูลประจำท้องถิ่น) หรือฝ่ายงานทรัพยากรบุคคล
ประจำท้องถ่ินที่เก่ียวข้องจะทำการสืบสวนสอบสวนเพ่อื พิจารณาคำร้อง โดยพนกั งานคมุ้ ครองข้อมูล (หรือพนักงาน
คมุ้ ครองขอ้ มูลประจำท้องถิ่น) หรือฝ่ายงานทรพั ยากรบคุ คลประจำท้องถิน่ ที่เกยี่ วขอ้ งจะทำตอบสนองต่อคำร้องโดย
ไมช่ ักช้า และไมเ่ กิน 1 เดือนนับแต่วนั ทไ่ี ด้รบั คำร้อง
9.6 ในกรณีที่ผู้ร้องไม่เห็นด้วยกับการตอบสนองตามข้อ 9.5 ผู้ร้องสามารถอุทธรณ์การตอบสนองต่อเจ้า
พนักงานคมุ้ ครองขอ้ มลู เจ้าพนักงานคมุ้ ครองขอ้ มลู มีหน้าท่ีตอ้ งตรวจสอบคำรอ้ ง (ดั้งเดมิ ) ซึ่งเปน็ เหตขุ องการอุทธรณ์
โดยพนกั งานคมุ้ ครองข้อมูลจะตอบสนองต่อการอุทธรณ์ในเวลาอันสมควร และไม่เกิน 3 เดือนนับแต่วันท่ีได้รับการ
อุทธรณ์
9.7 ถ้าคำร้องมีมูล พนักงานคุ้มครองข้อมูล (หรือพนักงานคุ้มครองข้อมูลประจำท้องถิ่น) หรือฝ่ายงาน
ทรัพยากรบคุ คลประจำท้องถนิ่ ทีเ่ ก่ียวขอ้ งจะตอ้ งดำเนินการใดๆทจ่ี ำเปน็ ซง่ึ หมายรวมถึงแต่ไมจ่ ำกดั เพยี งสิทธิของเขา้
ของข้อมูลในการเข้าถึงข้อมูล ตลอดจนการลบข้อมูล หรือหยุดการประมวลผลข้อมูล นอกจากนี้ การมีการลงโทษ
พนักงานตามกฎหมายทีใ่ ชบ้ ังคบั กบั ทอ้ งถ่ินนนั้ ๆ
9.8 ถา้ ผรู้ ้องไม่พอใจกับผลการพจิ ารณาคำรอ้ ง พนักงานค้มุ ครองข้อมูล (หรอื พนกั งานค้มุ ครองข้อมูลประจำ
ท้องถ่นิ ) หรอื ฝ่ายงานทรพั ยากรบุคคลประจำท้องถิน่ จะต้องให้เหตุผลในการปฏิเสธคำร้องและให้เหตุผลท่ีเก่ียวข้อง
และแจ้งถึงสทิ ธิของผู้รอ้ งในการทำคำร้องต่อเจ้าหนา้ ท่ผี มู้ อี ำนาจหรอื การใชส้ ิทธิทางศาลตอ่ ไป
10. ความรับผิด
10.1 บริษัทฯ และบริษัทในเครือฯ ที่ตั้งอยู่ในประเทศไทยมีหน้าที่รับผดิ ชอบต่อการฝ่าฝืนบทบัญญตั ิตาม
มาตรา 77 ถึง มาตรา 90 ของพระราชบญั ญัตคิ มุ้ ครองข้อมลู สว่ น พ.ศ. 2562
10.2 สำหรบั ขอ้ มลู ส่วนบุคคลทถ่ี กู ทำข้ึนจากประเทศไทย (เชน่ ข้อมลู สว่ นบคุ คลทถ่ี ูกเก็บรวบรวมในประเทศ
ไทย) และถกู ส่งหรอื โอนไปยังต่างประเทศ บริษัทฯ จะรับผดิ และทำหนา้ ทเี่ ยียวยาการกระทำของบริษัทในเครือฯ ของ
ต้ังอย่นู อกประเทศไทย และชดใชค้ า่ สินไหมทดแทนให้กับเจ้าของข้อมูลในประเทศไทยทีไ่ ด้รบั ความเสียหายจากการ
ฝ่าฝืน BCR ท่เี กิดขน้ึ โดยบริษทั ในเครอื ฯ ท่ตี ัง้ อยู่นอกประเทศไทย
11. การปรบั ปรุง BCR
11.1 พนักงานคุ้มครองขอ้ มลู มีหน้าที่แจ้งต่อเจ้าหน้าทีผ่ ู้มีอำนาจถงึ การแก้ไขปรับปรุง BCR โดยบริษัทฯ มี
หนา้ ท่ีทำใหเ้ จ้าของข้อมลู ไดร้ บั ทราบถึงการเปลยี่ นแปลงใดๆ ของ BCR
262 Thailand Data Protection Guidelines 3.0
11.2 ห้ามมิให้มกี ารส่งหรือโอนข้อมลู สว่ นบุคคลตามที่ระบุในเอกสารแนบท้ายหมายเลข 2 ไปยังบริษัทฯ
หรือบริษัทในเครือฯ ที่ถูกระบุในเอกสารแนบท้ายหมายเลข 1 จนกว่าบริษัทฯ และบริษัทในเครือฯ จะผูกพันตาม
BCR และมคี วามสามารถท่ีจะปฏิบัตติ าม BCR
12. การมผี ลบังคบั และระยะเวลาของ BCR
12.1 BCR ฉบับนี้มีผลใช้บังคับต่อบริษัทฯ และ บริษัทในเครือฯ เมื่อบริษัทฯ และบริษัทในเครือฯ ได้ทำ
สญั ญาระหวา่ งกัน (intragroup agreement) แล้ว
12.2 BCR มีผลใช้บงั คบั โดยไมม่ ีกำหนดเวลาส้นิ สุด
12.3 ในกรณที ี่มกี ารเลกิ สญั ญาระหว่างกัน (intragroup agreement) ของบริษทั ฯ หรือบรษิ ทั ในเครอื ฯ ให้
BCR หยดุ การมีผลบังคับผกู พันการเกบ็ รวบรวม ใช้ และเปดิ เผยตลอดจนการส่งหรือโอนข้อมูลส่วนบุคคลหลังมีการ
เลิกสญั ญา
เอกสารแนบท้ายหมายเลข 1
รายช่ือบริษทั ในเครอื ฯ
ประเทศ ชอื่ บริษัท/ที่อยู่
เอกสารแนบทา้ ยหมายเลข 2
ขอ้ มลู ส่วนบุคคล วตั ถุประสงค์ในการเกบ็ รวบรวม ใช้ และเปิดเผย
ตลอดจนการส่งหรอื โอนข้อมลู ที่ตกอยูใ่ นบังคบั ของ BCR
1. ประเภทของข้อมูลส่วนบุคคลที่จะถูกเก็บ (เช่น)
รวบรวม ใช้ และเปิดเผย ตลอดจนการส่งหรือ - ข้อมลู เกี่ยวกับพนักงาน
โอน - ข้อมูลทีเ่ กยี่ วกับการประกอบธรุ กิจ
2. วัตถุประสงค์ของการเก็บรวบรวม ใช้ และ (เช่น)
เปิดเผยตลอดจนการส่งหรือโอนข้อมูลส่วน - เพือ่ วตั ถุประสงคใ์ นการบรหิ ารงานทรพั ยากรบุคคล
บคุ คล - เพื่อการศึกษาและวิจยั
- เพอ่ื วัตถปุ ระสงค์ในเชงิ พาณชิ ย์
ศูนย์วิจยั กฎหมายและการพัฒนา คณะนิติศาสตร์ จฬุ าลงกรณ์มหาวทิ ยาลยั 263
3. ลักษณะของการสง่ หรือโอนข้อมูลส่วนบุคคล เพอ่ื ให้บรษิ ทั ฯ และบริษทั ในเครือฯ สามารถประกอบธรุ กิจได้
ระหวา่ งบริษัทในเครือฯ การเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบคุ คลอาจมีความ
เกี่ยวข้องกับการส่งหรือโอนข้อมูลส่วนบุคคลของพนักงาน
หรือข้อมูลส่วนบุคคลอื่นที่ระบุใน ข้อ 1. และ ข้อ 2.ไปยัง
ต่างประเทศจากบริษัทฯ หรือบริษัทในเครือฯ รายหนึ่งไปยัง
อกี รายหนงึ่
264 Thailand Data Protection Guidelines 3.0
G. แนวปฏิบัตเิ กี่ยวกบั การการจัดทำขอ้ มลู นิรนาม
(Guideline for Anonymization)
ผคู้ วบคมุ ขอ้ มลู สว่ นบุคคลและผู้ประมวลผลขอ้ มลู ส่วนบุคคล มหี น้าทต่ี ามกฎหมายในการจัด
ใหม้ มี าตรการรักษาความมน่ั คงปลอดภยั ที่เหมาะสม เพอื่ ป้องกันการสญู หาย เขา้ ถงึ ใช้ เปลย่ี นแปลง
แกไ้ ข หรอื เปดิ เผยขอ้ มูลสว่ นบคุ คลโดยปราศจากอำนาจหรือโดยมชิ อบ 262 หากผ้คู วบคุมข้อมูลส่วน
บุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคลบกพร่องในการรักษาความมั่นคงปลอดภัยที่เหมาะสม
ดงั กล่าว ยอ่ มมีความผิด ซง่ึ อาจนำไปสบู่ ทลงโทษตามกฎหมายได้
การจดั ทำขอ้ มลู นิรนามนัน้ หากไม่ได้กระทำโดยผคู้ วบคมุ ขอ้ มูลส่วนบคุ คลเอง แตม่ อบหมาย
ให้แก่ผู้ประมวลผลขอ้ มูลส่วนบุคคลเป็นผู้กระทำ ในกรณดี งั กลา่ วต้องพจิ ารณาว่าการจัดทำข้อมูลนิร
นามก็เป็นกระบวนการอย่างใดอย่างหนึ่งที่กระทำต่อข้อมูลเช่นเดียวกัน และจำเป็นที่จะต้องนำ
บทบญั ญตั ทิ ี่เกี่ยวกบั การเปิดเผยขอ้ มูลสว่ นบคุ คลมาใช้
ในส่วนนี้มีความมุ่งหมายที่จะแสดงให้เห็นถึงกรอบความคิดในการพิจารณาเลื อกใช้วิธีที่
เหมาะสมในการจดั ทำขอ้ มูลนิรนาม โดยประเมินจากปัจจยั ทเี่ กี่ยวข้องทั้งท่ีเก่ยี วข้องกับตัวข้อมูลเอง
และที่เกี่ยวข้องกับสิ่งแวดล้อมของข้อมูล เพื่อให้ผู้ควบคุมข้อมูล และผู้ประมวลผลข้อมูลสามารถ
ปฏิบัติตามหลักการตามบทบัญญัติของมาตรา 37 พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.
2562
“จัดให้มีมาตรการรักษาความม่ันคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถงึ
ใช้ เปลย่ี นแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ”
โดยถึงแมจ้ ะเป็นไปไม่ได้ทีจ่ ะลดความน่าจะเปน็ ในการระบุตัวตนของเจา้ ของข้อมูลย้อนกลับ
ได้ แตก่ ารลดความเสีย่ งดงั กล่าวด้วยวิธกี าร และมาตรการที่ถูกตอ้ งเหมาะสม ยอ่ มสามารถคมุ้ ครองผู้
ควบคุม และผูป้ ระมวลผลข้อมลู จากความรบั ผิดทีอ่ าจเกิดขึ้นได้ในกรณที ่มี ี
หลักการสำคัญของการจัดทำข้อมูลนิรนาม คือ หากเป็นกรณีที่การใช้ประโยชน์จากการใช้
ข้อมลู น้นั ไม่จำเป็นต้องทำการระบุตัวเจ้าของข้อมลู แต่เปน็ ประโยชนท์ ี่ไดม้ าจากการวิเคราะห์ข้อมูล
262 พระราชบญั ญัตคิ ุ้มครองข้อมลู ส่วนบคุ คล พ.ศ.2562 มาตรา 37 และ 40 265
ศนู ย์วจิ ยั กฎหมายและการพฒั นา คณะนิตศิ าสตร์ จฬุ าลงกรณ์มหาวิทยาลยั
ทุกฉบับ ก็ควรจัดทำข้อมูลให้อยู่ในลักษณะท่ีเป็นการยากที่จะระบตุ ัวตนย้อนกลับมายังตัวเจ้าของ
ขอ้ มูลได้ โดยท่ยี ังคงรกั ษาประโยชนข์ องข้อมลู ในการวเิ คราะหเ์ พ่อื ทำความเขา้ ใจในภาพรวมดังกล่าว
ไว้อยูใ่ นระดบั ที่เหมาะสม 263 ดังน้นั ในการเคลือ่ นยา้ ยข้อมลู ส่วนบคุ คล จำเป็นต้องมีการทำให้แน่ใจ
ว่ามีมาตรการ หรือกระบวนการในการป้องกันการละเมิดข้อมูลส่วนบคุ คล โดยเฉพาะหากเป็นการ
เคล่ือนย้ายข้อมูลไปในต่างประเทศที่มีกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่ไม่เข้มแข็ง ในกรณี
ดังกล่าว ผู้ควบคุมข้อมูลสามารถจัดทำกระบวนการทำข้อมูลนิรนามเพื่อให้เป็นไปตามเงื่อนไข
ดังกล่าวได้ หลักการดังกลา่ วสามารถปรบั ใช้ไดก้ ับกรณีทีข่ ้อมูลส่วนบคุ คลน้ันจะถูกเปดิ เผย หรือส่ง
ต่อไปยงั บุคคลทสี่ าม ซ่งึ อาจเป็นผ้ปู ระมวลผลขอ้ มลู หรือไม่กไ็ ด้
ตัวอยา่ ง
❖ มคี ดใี นต่างประเทศท่ตี ดั สินวา่ การเปิดเผยขอ้ มลู ทางสถิติของการทำแทง้ ไมเ่ ปน็ การเปดิ เผยขอ้ มูลส่วนบุคคล
ของผู้ทำแท้ง เพราะเป็นการเปลี่ยนแปลงของข้อมูลดิบไปเป็นข้อมูลทางสถิติ เช่น ค่าเฉลี่ย หรือค่าการ
กระจายพืน้ ฐาน ถือไดว้ ่าเปน็ กระบวนการจัดทำขอ้ มลู ส่วนบุคคลนริ นามท่ีทำให้เมือ่ พิจารณาถึงวธิ กี ารใด ๆ ที่
สมเหตุสมผลในขณะน้ันแล้ว ผ้ทู ่ไี ดร้ ับข้อมลู ทางสถติ ดิ งั กล่าว จะไมส่ ามารถระบุตัวตนของเจ้าของข้อมูลคน
ใดคนหน่งึ ท่ีเกย่ี วขอ้ งข้อมูลทางสถติ ิดงั กลา่ วได้ 264
❖ อย่างไรก็ดกี รณีดังกล่าวน้ันจำเปน็ ตอ้ งพจิ ารณาใหถ้ ีถ่ ้วนกวา่ น้ี เพราะการเปดิ เผยข้อมลู ทางสถติ กิ ็อาจนำไปสู่
การระบุตัวตนย้อนหลงั ไดเ้ ช่นกนั (รายละเอียดเพิม่ เติมในหวั ขอ้ differential privacy ในสว่ นทา้ ยของบท)
263 ขณะน้ีได้เรม่ิ มกี ารเรียกร้องให้ เจา้ ของขอ้ มลู มสี ทิ ธใิ นการได้รบั การอนุมานจากขอ้ มูลอยา่ งสมเหตสุ มผล (Right
to Reasonable Inference) ซง่ึ เปน็ การให้สทิ ธิแกเ่ จา้ ของข้อมลู ในการเรียกรอ้ งให้การนำข้อมูลส่วนบคุ คลไปใชใ้ น
การอนุมาน (inference) น้ันเป็นไปตามทีผ่ ทู้ รงสิทธติ อ้ งการ ดว้ ยเหตผุ ลว่าการอนมุ านเหล่านสี้ ามารถนำมาใชใ้ นการ
สง่ อิทธพิ ลตอ่ ความชอบ (preferences) จุดออ่ น (weaknesses) คุณสมบัตทิ ีอ่ ่อนไหว (sensitive attributes) และ
ความเหน็ (opinion) อย่างที่อาจเหน็ ไดจ้ ากเหตกุ ารณ์ตา่ ง ๆ อาทิ Cambridge Analytica Scandal (ดรู ายละเอียด
ที่ A Right to Reasonable Inferences: Re-thinking Data Protection Law in the Age of Big Data and AI,
Columbia Business Law Review, 2019)
264 R (on the application of the Department of Health) v Information Commissioner [2011] EWHC
1430 (Admin)
266 Thailand Data Protection Guidelines 3.0
G1. การจัดทำข้อมูลนิรนาม
G1.1 การจดั ทำขอ้ มลู นริ นาม คอื กระบวนการทท่ี ำให้ความเส่ียงในการระบุตัวตนของเจ้าของ
ขอ้ มูลนน้ั น้อยมากจนแทบไมต่ ้องใหค้ วามสำคญั กับความเสยี่ ง (negligible risk)
G1.2 ความเสย่ี งในการระบุตวั ตนของเจ้าของขอ้ มลู (disclosure risk) นั้นขึน้ อย่กู ับปัจจัยสอง
ประการ ได้แก่ ตวั ขอ้ มลู เอง และสภาพแวดล้อมของขอ้ มูล
ข้อมลู สภาพแวดล้อม ข้อมูลนิรนาม
G1.3 ลำพังเพียงการลบขอ้ มูลทีเ่ ป็นข้อมูลที่ระบุตัวเจ้าของข้อมูลโดยตรง (direct identifiers)
มักไม่เพียงพอต่อการรับประกันว่าผู้ใช้จะไม่สามารถระบุตัวตนของเจ้าของข้อมูลได้
โดยเฉพาะอยา่ งยิ่งในกรณีท่ีขอ้ มูลน้นั เปน็ ขอ้ มูลที่มคี วามออ่ นไหว (sensitive data)
G1.4 การจัดทำข้อมูลนิรนาม (data anonymization) นั้นอาจมองได้ว่าเป็นการรักษาความ
ม่ันคงปลอดภัยของขอ้ มลู (data security) เพอื่ ให้บรรลุวัตถปุ ระสงค์ในแงข่ องการรักษา
ความลบั ของข้อมูล (confidentiality) 265
G1.5 ความเสย่ี งในการระบุตัวตนของเจา้ ของข้อมลู น้ัน นอกจากจะข้นึ อยกู่ ับตัวข้อมูลเองแล้ว
ยงั ข้ึนอยู่กบั สภาพแวดลอ้ มของข้อมลู ดว้ ย ขอ้ มูลชุดหน่ึงๆ จึงอาจเปน็ ได้ท้งั ข้อมูลนิรนาม
สำหรับบคุ คลหนงึ่ แตเ่ ปน็ ข้อมูลส่วนบคุ คลสำหรับอีกบุคคลหนึ่ง ยกตวั อย่างเช่น หากมี
การเปิดเผยวนั เกดิ และประวัติอาการเจ็บป่วยของผู้ป่วยกลุม่ หนึ่ง เช่นนี้อาจเปน็ ข้อมูล
265 การรักษาความปลอดภัยของข้อมลู นั้นคลอบคลมุ 3 วัตถุประสงคห์ ลกั คอื การรักษาความลบั ของเจา้ ของขอ้ มูล
(confidentiality) ความสมบูรณข์ องข้อมูล (Integrity) และการมีอยขู่ องข้อมูล (availability)
ศนู ย์วจิ ยั กฎหมายและการพฒั นา คณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย 267
นิรนามสำหรบั บคุ คลท่ัวไป แตห่ ากข้อมลู ดงั กล่าวตกไปอยู่กับบุคคลท่ที ราบถึงวนั เกิดของ
ผู้ป่วยกลุ่มนั้น และข้อมูลส่วนตัวของผู้ป่วยทุกคน ก็ย่อมต้องถือว่าข้อมูลดังกล่าวเป็น
ข้อมูลสว่ นบคุ คลของผู้ป่วย ทง้ั ยงั เป็นขอ้ มลู ทมี่ ีความออ่ นไหว และจำเปน็ ตอ้ งมีมาตรการ
ที่เหมาะสมเพื่อปอ้ งกัน และดแู ลรกั ษาข้อมูลดังกลา่ ว เป็นตน้
G1.6 หลักการสำคัญสำหรบั การจัดทำข้อมูลนิรนามคือ การทำให้ไมอ่ าจระบุคุณลักษณะของ
ตัวเจ้าของข้อมูลได้จากข้อมูลดังกล่าว (non-attributable) เพราะในบางกรณีเจ้าของ
ข้อมูลอาจถูกระบุคณุ ลกั ษณะได้ โดยทีไ่ มจ่ ำเป็นตอ้ งมีการระบุตวั ตนอยา่ งชดั เจน
ตวั อย่าง
❖ หากผูเ้ ขา้ ถงึ ขอ้ มูลทราบได้แน่นอนวา่ เจ้าของขอ้ มลู น้นั อยู่ในกลุ่มตัวอย่างท่ีถกู เก็บข้อมูล และเปน็ เพศชาย หาก
มกี ารเปดิ เผยขอ้ มูลดงั กล่าว และทุกคนที่เปน็ เพศชายน้นั มีลักษณะใดลกั ษณะหน่ึงที่เหมอื นกัน เชน่ มีกรุป๊ เลือด
AB เหมือนกันหมด เชน่ นก้ี ต็ อ้ งถือว่ามกี ารเปิดเผยขอ้ มลู สว่ นบคุ คลแล้ว ถงึ แม้วา่ ผู้เขา้ ถึงข้อมลู จะไม่ทราบได้ว่า
เจ้าของขอ้ มลู นั้นเปน็ คนใดในกลุ่มตวั อย่างก็ตาม
❖ แนวทางการแกไ้ ขในเบ้อื งตน้ คือ การส่มุ กล่มุ ตวั อย่างย่อยออกมาจากข้อมลู ทง้ั หมดอกี ทีหน่ึงเพ่ือเพิ่ม ‘ความไม่
แน่นอน’ ในกรณีที่มีผู้พยายามระบตุ ัวตนของเจ้าของขอ้ มูลย้อนหลงั โดยพิจารณาจากข้อมูลตัวอย่างที่เป็น
เพียงส่วนหนึง่ ของข้อมลู เท่าน้นั
G1.7 [Anonymization] วธิ ีการจัดทำข้อมลู นริ นามอาจแบง่ ออกเป็น 4 วิธี คือ
G1.7.1. [Formal anonymization] การจัดทำข้อมูลนิรนามแบบเป็นทางการ คือ การกำจัด
หรอื ซอ่ นตวั ระบเุ จ้าของข้อมูลโดยตรง (direct identifier หรือ formal identifier) ออก
จากตัวข้อมูล โดยตัวระบุนี้อาจเป็นตัวเลขที่ถูกสร้างขึ้นมาเพือ่ ระบุตัวบุคคลโดยเฉพาะ
อาทิ เลขประจำตัวประชาชน หรอื serial number อาจเปน็ ขอ้ มูลชีวมิติทีเ่ ป็นเอกลักษณ์
(Digitised unique biometrics) เช่น ลายนิ้วมือ ม่านตา ใบหน้า ดีเอ็นเอ หรือลายมือ
ช่อื เปน็ ตน้ อาจเป็นตวั ระบุท่ีเกีย่ วข้อง (Associational unique identifiers) เช่น เบอร์
โทรศัพท์ หมายเลขบัตรเครดิต หรือ static IP address ของเครือ่ งใช้ของบคุ คลหนึ่ง ๆ
เปน็ ต้น อาจเป็นตัวระบอุ ันเปน็ เอกลักษณ์ท่ีเกย่ี วข้องกบั ธุรกรรมหนงึ่ ๆ (Transactional
unique identifiers) ก็ได้ เช่น cookies หรือ dynamic IP address เป็นต้น และ
สุดท้ายอาจเป็นตัวระบุอันเป็นเอกลักษณ์ที่สามารถใช้งานได้ (Functional Unique
268 Thailand Data Protection Guidelines 3.0
Identifiers, FUIs) เชน่ ช่ือ นามสกลุ และท่อี ยู่ ของคน ๆ หนง่ึ กม็ ักเป็นตวั ระบุที่ชัดเจน
มากพอในการระบุตวั บุคคลได้ แม้จะมีความเป็นไปได้ท่ีจะมีคนชื่อเหมอื นกันอาศัยอยู่ท่ี
เดียวกัน แต่ในหลายๆบริบท อาทิ ประเทศไทย ที่ชื่อนามสกุลนั้นมักมีความเป็น
เอกลักษณ์ในตัวสูง เช่นนี้ก็ย่อมสามารถจัดตัวระบุประเภทนี้เข้าเป็นตัวระบุโดยตรงได้
เช่นเดียวกนั โดยตัวระบเุ จ้าของข้อมูลนน้ั อาจเปน็ ไปตามตวั อย่างดังต่อไปนี้
ก. ชอ่ื นามสกุล
ข. รหสั ไปรษณีย์ และเมือง
ค. เบอรโ์ ทรศัพท์
ง. รหัสประจำตัวตา่ ง ๆ อาทิ รหัสประจำตัวประชาชน รหัสประกันสงั คม
หมายเลขบัญชีธนาคาร หมายเลขบัตรเครดิต
จ. ฯลฯ
G1.7.2. [Guaranteed anonymization] การจดั ทำข้อมลู นิรนามแบบได้รบั การรับรอง
(1) การจัดทำข้อมูลนิรนามแบบได้รับการรับรอง (Guaranteed anonymization)
เป็นการจัดทำข้อมูลนิรนามโดยชุดของสมมติฐานใดสมมติฐานหนึ่ง โดยเฉพาะ
อย่างยิ่งสมมติฐานบนความรู้เบื้องต้นของผู้ล่วงละเมิด ซึ่งการจัดทำข้อมูลใน
รปู แบบดงั กลา่ วจะทำใหไ้ ม่มคี วามเสี่ยงในการระบุตัวตนของบคุ คล
(2) ปัจจุบันวธิ ีที่เป็น Guaranteed anonymization นั้นยากทีจ่ ะสามารถรับรองได้
100% แต่อยา่ งไรกต็ าม วธิ ีทใี่ กล้เคียงกับบทนยิ ามที่สุดคือ differential privacy
ซ่งึ จะไดก้ ล่าวถึงในรายละเอยี ดในส่วนต่อไป
G1.7.3. [Statistical anonymization] การจัดทำขอ้ มลู นริ นามทางสถิติ
(1) การจดั ทำขอ้ มูลนิรนามทางสถิติ เป็นการจดั ทำข้อมลู นริ นามท่ีลดความน่าจะเป็น
ในการระบุตัวตนของเจ้าของข้อมลู ย้อนหลังให้ต่ำลงแตไ่ ม่ถงึ กับทำให้ความน่าจะ
เป็นดังกล่าวเป็นศูนย์แต่ประการใด โดยการจัดทำข้อมูลนิรนามทางสถิติมี
หลักการคิดทีว่ ่า เป็นการยาก และไม่เป็นประโยชน์ท่ีจะทำให้ความเสี่ยงในการ
ระบุตวั เจา้ ของขอ้ มลู นน้ั เป็นศูนย์ ดังนั้นผู้มหี น้าที่จึงจำเป็นเพยี งแต่ลดความเสี่ยง
ของข้อมลู ใหถ้ งึ ระดับที่เหมาะสมเทา่ น้ัน
ศูนยว์ ิจยั กฎหมายและการพฒั นา คณะนติ ศิ าสตร์ จุฬาลงกรณม์ หาวทิ ยาลัย 269
(2) อาจมองการจัดทำข้อมูลนิรนามแบบเป็นทางการ และการจัดทำข้อมูล นิรนาม
แบบได้รับการรับรอง เป็นกรณีพิเศษของการจัดทำข้อมูลทางสถิติ ที่ลดความ
เส่ยี งให้ตำ่ ลงจากคา่ สูงสดุ หรอื ใหเ้ ท่ากบั ศูนยต์ ามลำดับ ตามตารางดังต่อไปนี้
วิธีในการจัดทำขอ้ มลู นริ นาม ความน่าจะเปน็ ในการระบตุ วั ตนยอ้ นกลบั (P(RI))
Formal anonymization P(RI) < 1
Statistical anonymization 0 < P(RI) < 1
Guaranteed anonymization P(RI) --> 0
(3) ขอ้ มูลทร่ี ะบตุ วั บุคคลอาจถกู เปดิ เผยไดใ้ น 2 กรณี ไดแ้ ก่
ก. กรณีที่เป็นการเปิดเผยโดยไม่ได้ตั้งใจ (inadvertent disclosure) เป็น
กรณีที่ผู้ลุกล้ำข้อมูลนั้นไม่ได้ตั้งใจที่จะระบุตัวตนเจ้าของข้อมูล แต่ด้วย
ความบังเอิญ ประกอบกับความรู้เบื้องต้น (response knowledge)
เกี่ยวกับเจ้าของข้อมูลจึงสามารถระบุตวั ตนเจ้าของข้อมูลได้ ซึ่งแน่นอน
ว่าความน่าจะเป็นท่ีจะเกิดเหตุการณ์ดังกล่าวขึน้ นั้นย่อมต่ำลงในกรณีที่
ข้อมูลมีขนาดใหญพ่ อ ตัวอยา่ งทีอ่ าจเกดิ ปัญหานี้ได้ก็คือ กรณีท่ีเป็นการ
เก็บข้อมูลภายในหน่วยงาน ที่คนในหน่วยงานรู้จกั กันดี และมีจำนวนไม่
มาก เปน็ ตน้
ข. กรณีที่เป็นการตั้งใจโจมตีของผู้รุกล้ำข้อมูล (deliberate attack of
data intruder) ซึ่งเป็นกรณีที่มีโอกาสเกิดมากที่สุด และเป็นกรณีที่ผู้
ควบคมุ ขอ้ มลู และผ้ปู ระเมนิ ผลขอ้ มลู จำเป็นต้องให้ความสำคัญเปน็ อยา่ ง
มาก
(4) วิธกี ารจัดทำข้อมูลนริ นามท่ไี ด้รบั ความนยิ ม ไดแ้ ก่
ก. [Scrambling] การผสมขอ้ มลู เป็นการสลับลำดับของตัวอักษรในข้อมูล
ดว้ ยกฎเกณฑ์หนงึ่ ๆ อาทิ กำหนดกฎเกณฑว์ ่าใหส้ ลบั ตัวอกั ษรตัวแรกกับ
ตวั ทีส่ ามของทุกชอ่ งขอ้ มูล ยกตวั อยา่ งเชน่ คำวา่ กามเทพ กจ็ ะเปน็ มาก
เทพ หรือคำวา่ วษิ ณุ กจ็ ะเป็นคำว่า ณิษวุ เปน็ ต้น
ข. [Masking] การปิดทับขอ้ มูล การเปลีย่ นสว่ นใดสว่ นหนึ่งของข้อมูลโดย
การใช้กลุ่มของตัวอกั ษรทไี่ ด้จากการส่มุ หรือขอ้ มูลอนื่ ๆ เช่น ลบขอ้ มูลที่
270 Thailand Data Protection Guidelines 3.0
เปน็ ชอื่ แล้วนำชอื่ แต่ละคนไปจับคูก่ บั ข้อมลู ตัวอกั ษรท่ีสร้างข้ึนโดยสุ่มไว้
ต่างหาก หลงั จากน้ันจึงเอาข้อมลู ตัวอักษรดงั กล่าวมาแทนที่ชื่อในข้อมูล
ปัจจุบนั แทน เปน็ ต้น วิธีท่ไี ด้รบั ความนิยมใชใ้ นการเปลี่ยนข้อมูลดังกล่าว
ก็คือการใช้ฟังก์ชั่นแฮช (Hash function) ซึ่งเป็นการใช้ฟังก์ชั่นทาง
คณิตศาสตร์ในการเปลี่ยนค่าต่าง ๆ ไปเป็นอีกค่าที่ต่างออกไป และเป็น
การยาก หรือแทบจะเปน็ ไปไม่ไดเ้ ลยท่จี ะสามารถเปล่ยี นขอ้ มูลย้อนกลับ
ได้ ดังนนั้ ผทู้ จี่ ะสามารถสืบทราบถึงการระบุตัวตนท่ีถูกเปลี่ยนแปลงไปได้
นั้น จะต้องเป็นผูท้ ี่สามารถเข้าถึงข้อมูลที่ถูกเทียบเคียงไวก้ ับข้อมูลทีถ่ ูก
เปลี่ยนแปลงโดยฟังก์ชั่นแฮชไว้เท่านั้น การมีข้อมูลภายหลังจากที่ผ่าน
การแปลงข้อมูลจากฟังก์ชั่นแฮชแต่เพียงอย่างเดียวนั้นไม่สามารถทำให้
ระบตุ ัวตนของเจา้ ของขอ้ มลู ได้
ค. [Personalised anonymization] การจัดทำข้อมูลนริ นามโดยเจา้ ของ
ข้อมูล คือการให้เจ้าของขอ้ มูลเลอื กวธิ ี หรือรูปแบบของตนในการทำให้
ขอ้ มลู กลายเปน็ ข้อมลู นิรนาม โดยเสมือนใหเ้ จ้าของขอ้ มลู เปน็ ผู้ถือกุญแจ
และกำหนดความปลอดภยั ของการเขา้ รหัส (encryption) ในการเข้าถึง
ข้อมูลด้วยตนเอง
ง. [Blurring or Noising] การลดความชัดเจนของข้อมูลลง เป็นการใช้
ข้อมูลโดยประมาณแทนที่ข้อมูลดั้งเดิม เพื่อลดความเฉพาะเจาะจงของ
ข้อมูลลง วิธีดังกล่าวนั้นทวีความนิยมมากขึ้นในภาครัฐ ภาคเอกชนท่ัว
โลก หรือที่อาจรู้จักกันในชื่อของการใช้ differential privacy ซึ่งจะได้
กลา่ วถึงในรายละเอยี ดในภายหลัง
G1.7.4. [Functional anonymization] การจัดทำข้อมูลนิรนามในเชิงการใช้งาน โดยท่ีการ
จัดทำขอ้ มูลนิรนามในเชิงสถิตินน้ั เป็นการจำกดั อยู่เพยี งแต่ลักษณะของขอ้ มลู ซึง่ ในความ
เป็นจรงิ แลว้ ยังมปี ัจจยั อ่ืนๆทอ่ี าจสง่ ผลตอ่ ความเสีย่ งของการระบุตวั เจ้าของข้อมูลเช่นกัน
ซึ่งอาจหมายรวมถึง แรงจูงใจของผู้รุกล้ำข้อมูลส่วนบุคคล (Intruder’s motivation)
ผลกระทบของการถูกเปิดเผยของข้อมลู นิรนาม (Consequence of re-identification)
โอกาสท่ีจะเกิดเหตุการณ์ที่ขอ้ มูลถกู เปิดเผยโดยไม่ตัง้ ใจ (Spontaneous identification)
ความสมั พันธ์ระหว่างความเสี่ยงในการระบุตัวตนเจ้าของขอ้ มูลกับการจัดการข้อมลู ของผู้
ศูนย์วจิ ยั กฎหมายและการพัฒนา คณะนติ ิศาสตร์ จุฬาลงกรณม์ หาวทิ ยาลยั 271
มีหน้าที่ เป็นต้น ปัจจัยเหล่านี้หากสามารถนำมาร่วมพิจารณาควบคู่ไปกับการจัดทำ
ข้อมูลนิรนามในเชิงสถิติ ก็จะก่อให้เกิดการจัดทำข้อมลู นิรนามในเชิงการใช้งานขึ้น ซึ่ง
นอกจากพิจารณาตัวขอ้ มลู เองแลว้ ยังพิจารณาสภาพแวดล้อมของข้อมูลอกี ด้วย (data
environment) 266
ตัวอย่าง
❖ นาย ก เป็นเจา้ ของเว็บไซต์ท่ีเก็บรวบรวมข้อมูลพฤติกรรมการใช้งานของผู้ทเ่ี ข้ามาใช้บรกิ ารในหน้าเว็บไซต์
ของตัวเอง ถึงแม้นาย ก จะมีการเก็บข้อมูลที่เป็นตัวแปรหลัก (key variables) เช่น IP address และ
ประเทศของผใู้ ช้บรกิ ารไว้แยกตา่ งหากจากข้อมลู อื่นๆ โดยใชข้ อ้ มลู ทเี่ ปน็ ชุดตวั อักษรท่ีสรา้ งขึ้นมาเป็น user
ID มาแทนที่ เช่นนี้ นาย ก ก็ยังต้องถือว่าข้อมูลดังกล่าวนั้นเป็นขอ้ มูลสว่ นบุคคล เพราะอาจสามารถระบุ
ตวั ตนได้ (identifiable) แต่ถ้าหากนาย ก ส่งขอ้ มลู ให้นาย ข โดยที่นาย ข ไม่มที างเข้าถงึ ข้อมลู อกี ชุดหน่ึงได้
เช่นนี้ ข้อมูลชุดดังกลา่ วย่อมไม่ถอื เป็นขอ้ มูลส่วนบุคคลสำหรบั นาย ข กลับกัน หาก นาย ข ส่งข้อมูลดงั กล่าว
ไปให้นาย ค และนาย ค นั้นสามารถเข้าถึงข้อมูลที่จะสามารถนำมาพจิ ารณาประกอบกับข้อมูลชุดดงั กลา่ ว
และระบุถงึ ตัวตนของเจา้ ของข้อมลู ได้ เช่นนี้ ข้อมูลชุดดังกล่าว ย่อมเปน็ ข้อมลู สว่ นบคุ คลสำหรบั นาย ค แม้
จะไม่เป็นขอ้ มลู ส่วนบคุ คลของนาย ข ก็ตาม
G1.8 [Pseudonymisation] การแฝงข้อมูล เป็นวิธีการในการแทนที่สิ่งที่ระบุตัวตนของ
เจ้าของข้อมูลโดยตรง เช่น ชื่อ ที่อยู่ หรือ รหัสประจำตัวตา่ ง ๆ ด้วยชื่อหรือรหสั ท่สี ร้าง
ขึ้นมาด้วยวิธีการใดวิธีการหนึ่งอันเป็นเอกลักษณ์ และผู้ควบคุมข้อมูล หรือประมวลผล
ข้อมูลได้เกบ็ รกั ษาข้อมลู ทงั้ สองชุดไว้แยกจากกนั 267
266 Elaine Mackey and Mark Elliot. 2013. Understanding the Data Environment. XRDS 20, 1
(September 2013), 36-39. DOI: https://doi.org/10.1145/2508973
267 GDPR ให้คำนยิ ามการแฝงขอ้ มูลสว่ นบุคคล (Pseudonymisation) ไวใ้ นมาตรา 3 ว่าเป็น “การประมวลผลข้อมูล
ส่วนบุคคลในทางที่จะทำให้ข้อมูลดังกล่าวไม่สามารถที่จะถูกระบุตัวผู้เป็นเจ้าของข้อมูลได้โดยปราศจากข้อมูล
เพิ่มเติม” ซึ่งหมายถึงการลดทอนความสามารถในการเชื่อมโยงข้อมูล (linkability) สอดคล้องกันกับความเห็นใน
WP29 Opinion 05/2014 on Anonymisation Techniques ทีร่ ะบเุ ชน่ เดยี วกนั การแฝงข้อมูลจงึ เป็นเพียงวิธีการ
หน่ึงในการรกั ษาความปลอดภยั แต่การแฝงขอ้ มลู แต่เพียงอยา่ งเดียวไม่เพยี งพอท่ีจะทำใหเ้ ปน็ ขอ้ มูลนิรนาม
272 Thailand Data Protection Guidelines 3.0
G1.9 [De-identification] การขจัดตวั ตน คือการลบข้อมลู ในสว่ นท่ีจะทำให้มีการระบุตัวตน
ใหม่ (re-identification) ออกจากตัวข้อมูลเอง โดยพิจารณาถึงตัวข้อมูลเป็นหลัก ซึ่ง
หมายรวมถงึ การแฝงข้อมูลด้วย 268
ตวั อยา่ ง
❖ ในปี 2017 Netflix ได้ปลอ่ ยข้อมูลการให้คะแนนของผู้ใช้ออกมา เพอ่ื ใหม้ ีผ้เู ขา้ แข่งขันได้พยายามหาข้อมูล
ของผู้ใช้ซึ่งถกู ลบออกหมดแล้วในชุดขอ้ มูลดังกล่าว ซึ่งเป็นส่วนหน่ึงในการทดสอบระบบการควบคุมขอ้ มูล
ส่วนบุคคลของตน ในทีส่ ุดผ้ชู นะสามารถระบุตัวเจ้าของข้อมูลไดถ้ ึงรอ้ ยละ 99 โดยใชข้ อ้ มูลจาก IMDB
G1.10 การทำข้อมูลนริ นามนั้น หมายความรวมถงึ การขจดั ตัวตน และการลดความเสี่ยงในการ
ระบตุ วั ตนใหมโ่ ดยพจิ ารณาถึงสง่ิ แวดล้อมของข้อมูลด้วย นอกเหนือไปจากการพิจารณา
ตัวขอ้ มลู หลกั แต่เพยี งอยา่ งเดียว
การจดั ทํา
ข้อมลู นิรนาม
(Anonymisation)
การขจดั ตวั ตน การปอ้ งกนั การระบุ
(De- ตัวตนโดยพจิ ารณา
identification) ถึงสิ่งแวดล้อมของ
ขอ้ มลู ดว้ ย
การแฝงข้อมูล ขอ้ มูลแบบ วิธกี ารอ่ืน ๆ
(Pseudony- รวมกล่มุ
misation) (Aggregation)
G1.11 กระบวนการทำข้อมูลนิรนามนั้นโดยหลกั การแลว้ เป็นการชง่ั น้ำหนกั ระหว่าง
(1) คณุ ค่าจากการใชป้ ระโยชนข์ องขอ้ มลู (Value)
(2) การรักษาความลบั ของเจา้ ของขอ้ มูล (Confidentiality)
หากในกรณนี น้ั ๆ ผูท้ ่จี ดั ทำข้อมูลนริ นามสามารถแสดงให้เห็นวา่ ได้ดำเนินการตามสมควรใน
การรักษาความลับของเจ้าของข้อมูลนั้น (confidentiality) โดยไม่สูงเกินไปกว่าคุณค่าจากการใช้
268 MARK ELLIOT ET AL., THE ANONYMISATION DECISION MAKING FRAMEWORKMARK ELLIOT, 15 (2016). 273
ศนู ย์วิจยั กฎหมายและการพฒั นา คณะนติ ศิ าสตร์ จุฬาลงกรณม์ หาวิทยาลัย
ประโยชน์ของข้อมูล (value) ดังกล่าวแลว้ ก็ย่อมถือว่ามีการจัดทำขอ้ มูลนริ นามในระดับท่ีเหมาะสม
โดยท่กี ารจัดทำข้อมูลนริ นามน้ันแม้จะเพิ่มการรกั ษาความลับ แตใ่ นขณะเดียวกันก็จะลดคุณค่าของ
ข้อมูลด้วยเช่นกัน
ตัวอย่าง
❖ หากโรงเรียนแห่งหนึ่งมีหน้าที่เก็บข้อมูลของนักเรียนทั้งชั้น พร้อมทั้งข้อมูลส่วนบุคคลของนักเรียน และมี
นายหยก เปน็ ผลู้ ว่ งละเมิดขอ้ มูลทีม่ ีข้อมลู ของเกรด โดยทราบเพยี งแต่วันเกิดของนักเรยี นคนดังกล่าว เช่นน้ี
นายหยก ย่อมสามารถรวมข้อมูลสองชุดเข้าด้วยกันผ่านตัวแปรวันเกิด ก็จะสามารถทราบได้ว่านักเรียนคน
นน้ั ซึง่ คอื นาย ข ได้เกรด C โดยในกรณีดงั กลา่ วน้ันตัวแปรหลัก (key variable) คือ ‘วันเกิด’
ขอ้ มลู ท่โี รงเรยี นเกบ็ วนั เกดิ คะแนน
ชือ่ 7 สิงหาคม 2550 A
ก 23 มนี าคม 2550 C
ข 25 มกราคม 2551 B
ค
ดว้ ยเหตุน้ที างโรงเรียนจึงเปล่ียนข้อมูลดังกล่าวเพื่อใหแ้ นใ่ จวา่ จะไมม่ กี ารละเมิดขอ้ มูลส่วนบคุ คล
ก - A-C
ข - A-C
ค - A-C
อย่างไรก็ตาม ตัวอยา่ งข้างต้นทำใหเ้ หน็ ไดช้ ัดเจนวา่ แมจ้ ะสามารถรักษาความเปน็ ส่วนตัวได้อย่างดีท่ีสุด แตข่ ้อมูล
ชุดดงั กล่าวกไ็ มม่ ีประโยชนป์ ระการใดในการนำไปใช้ โดยหากยงั อยากทจี่ ะรกั ษาสิทธิข้อมูลสว่ นบคุ คลไว้ พรอ้ มท้ัง
ประโยชนใ์ นการนำไปใช้ ก็อาจเปลย่ี นตารางเปน็ กรณตี อ่ ไปนี้
ก 2550 - 2551 A
ข- -
ค 2550 - 2551 B
เชน่ นีก้ ็จะสามารถเพมิ่ ระดบั การรักษาสทิ ธใิ นข้อมูลส่วนบคุ คล และในขณะเดยี วกันกย็ งั รกั ษาอรรถประโยชน์ของ
การใช้ขอ้ มูลไว้ได้
274 Thailand Data Protection Guidelines 3.0
G1.12 จะเห็นได้ว่าการรักษาความลับของเจ้าของข้อมูลนั้นเกิดจากการลดความเสี่ยงของการ
เปิดเผยขอ้ มูล (disclosure risk) ซ่งึ มปี จั จยั สำคญั คือ
(1) ลักษณะของข้อมูล เช่น เป็นข้อมูลที่มีความอ่อนไหวหรือไม่ (sensitive data)
เปน็ ต้น และ
(2) สิ่งแวดล้อมของข้อมูล เช่น มีข้อมูลสาธารณะเป็นจำนวนมากที่อาจนำมา
เทียบเคียงเพอ่ื ระบุตัวตนของเจา้ ของข้อมลู ได้ เป็นตน้
กล่าวโดยง่ายก็คือ ยิ่งข้อมูลมีลักษณะที่ผู้พยายามเข้าถึงข้อมูล (data intruder) มี
แรงจูงใจ (incentive) ในการระบตุ ัวตนของเจ้าของข้อมูลมาก เช่น เป็นข้อมูลท่ีมีความ
ออ่ นไหว และอาจนำไปใช้ใหเ้ กดิ ผลกระทบตอ่ เจา้ ของขอ้ มูลได้มาก และมคี วามเป็นไปได้
(likelihood) ที่จะสามารถระบุตัวตนได้มาก ซึ่งอาจเกิดจากลักษณะของข้อมูล หรือ
ข้อมูลอื่นที่เกี่ยวข้อง รวมไปถึงจำนวนผู้ที่สามารถเข้าถึงข้อมูลได้ ก็ยิ่งต้องใช้ความ
พยายามในการจัดทำข้อมลู นริ นามมากขึ้นเท่านนั้
G1.13 ในขณะเดียวกันคณุ ค่าของข้อมูลก็ย่อมข้ึนอยู่กับการใช้ประโยชนใ์ นข้อมูลที่ใกล้เคียงกับ
ข้อมูลดั้งเดิมที่มากที่สุด โดยเฉพาะอย่างยิ่งหากข้อมูลนั้นอาจนำไปใช้ในการก่อให้เกิด
ประโยชน์ต่อสาธารณะ หรือการวิจยั ท่ีรายละเอยี ดของข้อมลู นนั้ สง่ ผลตอ่ ผลลัพธ์ของการ
วิเคราะห์ข้อมูล ดังนั้นจะเห็นได้ว่าหากมีการวิเคราะห์ปัจจัยที่ส่งผลต่อทั้งการรักษา
ความลับของเจ้าของข้อมูล และปัจจัยที่ส่งผลต่อคุณค่าของข้อมูลอย่างถี่ถ้วน และใช้
ก ร ะ บ ว น ก า ร จ ั ด ท ำ ข ้ อ ม ู ล น ิ ร น า ม ท ี ่ เ พ ิ ่ ม ก า ร ร ั ก ษ า ค ว า ม ล ั บ ข อ ง เ จ ้ า ข อ ง ข ้ อ มู ล
(confidentiality) ได้มากที่สุด ในขณะเดียวกันก็ลดคุณค่าของข้อมูล (value) ได้น้อย
ที่สดุ ก็ยอ่ มทำให้การจดั ทำขอ้ มลู นริ นามนนั้ เป็นประโยชนต์ ่อทุกฝา่ ยอยา่ งสงู สุด 269
G1.14 ทั้งนี้แนน่ อนว่าคงเปน็ การยากที่จะคำนวณ และเปรียบเทียบระหว่างการรกั ษาความลบั
และคุณค่าของข้อมูล ซึ่งอาจจำเป็นต้องอาศัยโมเดลทางคณิตศาสตร์ที่มีคุณสมบัติ
พน้ื ฐาน อาทิ ฟังกช์ นั อรรถประโยชน์ (utility function) ของทงั้ เจา้ ของข้อมลู ผคู้ วบคุม
หรือประมวลผลข้อมูล และสังคมโดยส่วนรวม เพื่อเป็นประโยชน์ในการเปรียบเทียบ
269 หากพิจารณาว่ามีวิธี i ในการทำ anonymization เราจะเลอื กวธิ ีท่ี i = argi max (confidentiality + value)
ศนู ยว์ จิ ยั กฎหมายและการพัฒนา คณะนติ ิศาสตร์ จฬุ าลงกรณ์มหาวิทยาลัย 275
ระดับของการรักษาความลับ และคุณค่าของข้อมูล เป็นต้น ซึ่งผู้ควบคุมข้อมูล หรือ
ประมวลผลขอ้ มลู อาจพิจารณาจัดทำข้นึ ไวใ้ น DPIA ก็ได้
G1.15 กระบวนการในการจดั ทำขอ้ มลู นริ นามอาจแบ่งออกได้เป็น 2 ขั้นตอน 270 คอื
(1) การพิจารณาสถานการณ์ของขอ้ มลู
(2) การวิเคราะห์ความเสีย่ ง และมาตรการจัดการความเสีย่ ง
G2. การพิจารณาสถานการณข์ องข้อมลู 271
ผจู้ ัดทำขอ้ มลู นิรนามจะต้องสามารถจัดทำผังการเคลื่อนท่ีขอ้ มลู (data flowchart) โดยระบุ
ถึงสง่ิ แวดล้อมทัง้ หมดที่ข้อมูลอาจมกี ารเคลื่อนยา้ ย โดยอาจระบุถงึ
- บุคคลท่มี ีสว่ นเก่ียวขอ้ งกับข้อมลู ในส่ิงแวดล้อมนั้น ๆ
- การกระทำอันเกย่ี วข้องกบั ขอ้ มูล
- วิธีการในการเคล่อื นยา้ ย
- ระบุลักษณะของขอ้ มูลท่ีเคลื่อนย้ายดังกล่าวว่าเป็นขอ้ มลู ดั้งเดิม หรือเป็นข้อมูลท่ี
มีการเปลยี่ นแปลงประการใด
ตวั อย่าง
❖ บรษิ ทั ก เก็บขอ้ มลู ของผ้ใู ช้บริการทงั้ หมด สมมตวิ า่ มีกฎหมายบงั คบั ใหบ้ รษิ ัท ก นนั้ เปิดเผยข้อมูลดังกล่าว
กับกระทรวงกลาโหม เพื่อประโยชน์ในด้านความมั่นคง อย่างไรก็ตามข้อมูลดังกล่าวนั้นอาจมีประโยชนใ์ น
ด้านการวิจัย จึงมีการนำข้อมูลที่ได้ถูกลบตัวบ่งชี้ออกหมดแล้ว (de-identified data) เพื่อให้นักวจิ ัย ข ที่
ไดร้ บั การรบั รองจากสถาบันทก่ี ฎหมายกำหนด ใชภ้ ายใตร้ ะบบทีป่ อ้ งกนั การนำขอ้ มูลไปใช้เกินขอบเขตของ
วตั ถปุ ระสงคใ์ นการวจิ ยั ท่ขี อไวล้ ่วงหนา้ หลังจากน้ันนักวิจยั ข ที่มาขออนญุ าตจงึ ได้นำข้อมูลไปวเิ คราะห์ และ
ตีพิมพ์ผลการวิจัยเพื่อเปิดเผยต่อสาธารณชนต่อไป สถานการณ์ดังกล่าวอาจเขยี นเปน็ ผังการเคลื่อนที่ของ
ขอ้ มลู ได้ดังต่อไปน้ี
270 กระบวนการดังกลา่ วน้นั สอดคล้องกับ ISO/IEC 27701 Security techniques — Extension to ISO/IEC
27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines ซ่งึ
เป็นคมู่ อื ในการจดั ทำมาตรฐานอุตสาหกรรมทส่ี ำคญั (International Standard Organisation, ISO)
271 ดูรายละเอียดเพิม่ เติมในส่วน E แนวปฏิบตั ิเพ่ือการประเมินผลกระทบของข้อมูลส่วนบุคคล (Data Protection
Impact Assessment)
276 Thailand Data Protection Guidelines 3.0
บรษิ ัท ก ผู้ควบคุมขอ้ มูล
เกบ็ ข้อมลู และแบ่งปนั กบั กระทรวงกลาโหม
กระทรวงกลาโหม ผ้คู วบคุมข้อมลู
ทาํ การขจัดตัวตน และสุม่ เลือกข้อมูลบางสว่ นเพื่อให้แกน่ กั วิจยั
นกั วจิ ยั ท่ีมคี ุณสมบตั ติ ามทีก่ ฎหมายกาํ หนด
ทําการวิเคราะห์ข้อมลู ในระบบที่ควบคมุ ความปลอดภัย ผคู้ วบคุมข้อมลู /ผูป้ ระมวลผลข้อมลู
สาธารณชน
เข้าถึงขอ้ มลู ผลการวิจัย ผูใ้ ชข้ อ้ มูล
G2.1 [การพิจารณาความรับผิดทางกฎหมาย] ผู้ควบคุมข้อมูลต้องพิจารณาดังต่อไปนี้ ซ่ึง
รายละเอียดไดก้ ล่าวไว้แล้วในส่วนอื่นโดยตลอดของแนวปฏบิ ัติน้ี
(1) ขอ้ มลู ทีอ่ ยู่ในความครอบครองน้นั เปน็ ขอ้ มูลสว่ นบุคคลหรือไม่?
(2) ตนมีหนา้ ที่เป็นผ้คู วบคุม หรือผู้ประมวลผลขอ้ มูลหรอื ไม่ อย่างไร?
อย่างไรก็ตามการพิจารณาสถานการณ์ของข้อมูลในส่วน น้ีมีประโยชน์อย่างยิ่งใ นการ
พจิ ารณาความรับผิดทางกฎหมายในข้อนี้
G2.2 [การพจิ ารณาตัวข้อมลู ] ผู้ควบคมุ ข้อมูลต้องพิจารณาถึงคุณสมบัติหลักๆท่ีเกี่ยวข้องกับ
ขอ้ มลู ดงั ตอ่ ไปนี้
(1) ใครเปน็ ผ้เู ป็นเจา้ ของข้อมูล?
- เป็นบุคคลธรรมดา หรือเป็นหน่วยข้อมูลที่อาจทำให้ระบุบุคคลธรรมดา
หรือกลมุ่ บคุ คลธรรมดาใด ๆ ได้หรอื ไม่ (เชน่ บ้าน หรอื องคก์ ร เปน็ ตน้ )
- เป็นกลมุ่ บุคคลทีม่ คี วามเป็นไปได้วา่ จะถูกละเมิดสิทธใิ นข้อมูลส่วนบุคคล
มากกว่ากลุ่มบุคคลอืน่ (vulnerable group)
(2) ขอ้ มลู เป็นข้อมลู ประเภทใด?
- เปน็ ขอ้ มลู ที่เปน็ ตวั เลข ตวั อักษร หรือรูปภาพ
ศนู ยว์ จิ ัยกฎหมายและการพัฒนา คณะนิตศิ าสตร์ จฬุ าลงกรณม์ หาวิทยาลัย 277
- หากเป็นข้อมูลตัวเลขเป็นข้อมูลทีอ่ ยู่ในมาตรวัดแบบใด เช่น เป็นข้อมูล
มาตรสัดส่วน (ratio scale) หรือเป็นข้อมูลมาตรวัดนามบัญญัติ
(nominal scale) เปน็ ตน้
- เปน็ ขอ้ มูลในระดบั ใด เชน่ เป็นข้อมลู รายบคุ คล หรือเป็นข้อมูลรวมกลุม่
- เปน็ ขอ้ มลู ออ่ นไหว (sensitive data) หรือไม่
(3) ตัวแปรในขอ้ มูลเปน็ ตวั แปรประเภทใดบ้าง?
- ตวั แปรใดเปน็ ตัวแปรที่ระบตุ วั ตนของเจ้าของขอ้ มลู ได้โดยตรง
- ตวั แปรใดเป็นตัวแปรทีอ่ าจระบุตัวตนของเจ้าของขอ้ มูลไดโ้ ดยออ้ ม
(4) คณุ สมบัตขิ องชุดขอ้ มูล
- คุณภาพของการวัด (measurement quality) กล่าวคือ ค่าของตัวแปร
ในชุดขอ้ มลู นนั้ มีความแมน่ ยำ และความสมำ่ เสมอมากนอ้ ยเพียงใด
- อายุของข้อมูล (age of data) ยิ่งขอ้ มลู มีอายมุ ากเท่าใด ย่ิงเป็นการยาก
ท่ีจะระบุตวั ตนของเจา้ ของข้อมูลมากเท่านนั้
- โครงสรา้ งของขอ้ มูล โดยอาจเปน็ ข้อมลู ทเี่ ป็นการศกึ ษาข้อมูลของเจา้ ของ
ข้อมูลหลายๆคนในระยะเวลาหนงึ่ (longitudinal data) หรอื เป็นข้อมูล
ที่ศึกษาข้อมูลของเจ้าของข้อมูลหลาย ๆ คนที่อยู่ต่างกลุ่มกัน
(hierarchical data) นอกจากนน้ั ยังอาจพจิ ารณาได้อีกว่าข้อมูลดังกล่าว
เป็นขอ้ มูลประชากร หรอื กลุ่มตัวอยา่ ง (population or sample)
G2.3 [การพิจารณาการใช้งานของข้อมูล] ผู้ครอบครองข้อมูลจะต้องพิจารณาว่าข้อมูลนัน้
อาจจะนำไปใชไ้ ด้ในกรณใี ดบ้าง โดยต้งั คำถามดงั ต่อไปนี้
(1) ทำไม? ต้องมีคำตอบที่ชัดเจนว่าทำไมถึงอยากที่จะเปิดเผยข้อมูล หรือเปิดเผย
ขอ้ มูลใหก้ บั ผู้อนื่ หรือสาธารณะ
- เพ่ือใหข้ อ้ มูลกบั ผ้มู สี ว่ นไดเ้ สีย
- เพ่ือให้ขอ้ มูลอันเฉพาะเจาะจงทเ่ี กยี่ วกับเรอื่ งใดเร่ืองหนงึ่
- เพอื่ เอ้ือประโยชน์ใหก้ บั ผ้มู สี ิทธเิ ขา้ ถึงข้อมลู
- จำเป็นต้องทำด้วยผลของกฎหมาย อาทิ กฎหมายที่ว่าด้วยการเปิดเผย
ขอ้ มูลของรฐั
(2) ใคร? ต้องระบใุ หช้ ัดเจนวา่ ใครบา้ งทจ่ี ะมสี ิทธิเข้าถึงข้อมลู
278 Thailand Data Protection Guidelines 3.0
- บคุ คล
- องคก์ ร
- กลุ่มบคุ คล หรอื กลุม่ องค์กร
(3) อย่างไร? ต้องอธิบายให้ได้อย่างละเอียดว่า ผู้ที่จะเข้าถงึ ข้อมูลจะนำขอ้ มูลไปใช้
อยา่ งไรบ้าง
- สัมภาษณผ์ ทู้ ีอ่ าจมีสทิ ธเิ ข้าถงึ ขอ้ มลู โดยตรง
- ศึกษาจากการให้ใช้ข้อมูลจำลอง หรอื ข้อมลู ตวั อยา่ งทีม่ ขี นาดเลก็ กอ่ น
การพิจารณาการใช้งานของข้อมูลมีความจำเป็นในการกำหนดวิธีการในการ
เปิดเผยข้อมลู ซ่ึงจะได้พิจารณาในภายหลงั ตอ่ ไป
G2.4 [การพิจารณาการขอใช้ขอ้ มูลโดยชอบแมข้ ้อมูลนั้นจะเป็นข้อมูลนริ นามแล้วก็ตาม]
แม้ในกรณีที่ข้อมูลนั้นถูกจดั ทำเป็นข้อมลู นิรนามแลว้ แต่มาตรฐานต่างๆในการขอความ
ยินยอม การแสดงความโปร่งใสในการใช้ข้อมูล และการมีระบบธรรมาภิบาลในด้าน
ข้อมูลที่ดี มาตรฐานดังที่กล่าวเหล่านี้ก็ควรเป็นข้อปฏิบัติที่ผู้ควบคุม หรือประมวลผล
ข้อมูลควรที่จะปฏิบตั ิตาม กล่าวคือ มาตรฐานอื่นใดที่ได้อธิบาย และให้คำแนะนำไว้ใน
หนังสือคู่มือฉบบั นี้ ในกรณีที่เป็นข้อมูลส่วนบุคคล หากเป็นไปได้ก็ควรนำมาปรับใชก้ ับ
ข้อมูลนริ นามดว้ ยเชน่ กัน
G3. การวิเคราะหค์ วามเส่ยี งและมาตรการจดั การความเสย่ี ง
G3.1 [พิจารณาภาพรวมของข้อมูล] จากที่ได้อธิบายไปในหัวข้อ G2.2 ในเรื่องของการ
พิจารณาตัวข้อมูล ข้อมูลต่างลักษณะย่อมมีความเสี่ยงต่อการเปิดเผยข้อมูลส่วนบุคคล
ต่างกัน โดยหากมีข้อมูลหลายชุดในความควบคุม ผู้ควบคุมข้อมูล หรือผู้ประมวลผล
ข้อมลู กค็ วรใหค้ วามสำคัญกับข้อมลู ท่อี าจมีความเสีย่ งมากกว่า
ศนู ยว์ จิ ยั กฎหมายและการพัฒนา คณะนิตศิ าสตร์ จุฬาลงกรณ์มหาวิทยาลยั 279
คุณภาพของขอ้ มูล ความเสี่ยงตำ่ ความเส่ียงสงู
อายขุ องขอ้ มูล ตำ่ สงู
โครงสรา้ งของข้อมลู เกา่ ใหม่
มมี ิติเดียว (e.g. cross-sectional หรอื มหี ลายมิติ (e.g. longitudinal หรอื
ระดับของขอ้ มูล time-series) hierarchical data)
ขอ้ มูลรวมกล่มุ (aggregated data) ข้อมูลรายบุคคล หรือรายหน่วยย่อย
ความครบถ้วนข้อมลู (microdata)
ขอ้ มลู ทม่ี ีความออ่ นไหว ข้อมลู ตวั อยา่ ง ข้อมูลประชากร
จำนวนตวั แปรหลกั นอ้ ย มาก
นอ้ ย มาก
หากพิจารณาแลว้ จะเห็นไดว้ ่าสามารถเลือกใช้ข้อมูลท่ีมีความเส่ียงต่ำได้ โดยไม่กระทบ
ต่อวัตถปุ ระสงค์ของการเกบ็ ข้อมูลหรือการใช้ข้อมูล อาทิ ในกรณีขอ้ มูลทม่ี ีมิติเดียว หากการเลือกใช้
ข้อมลู มิตเิ ดยี วมีความสมบูรณเ์ พียงพอในการวิเคราะหแ์ ลว้ กค็ วรพจิ ารณาเกบ็ แตข่ อ้ มลู มติ เิ ดยี วนั้นไว้
แทนการเก็บข้อมูลที่มีหลายมิติกว่า เนื่องจากการเลือกเก็บข้อมูลที่มีหลายมิตินั้นเกินต่อความ
เพียงพอในการวิเคราะห์ ซึ่งการเลือกเก็บข้อมูลหลายมิติดังกล่าวจะก่อให้เกิดความเสี่ยงในการ
เปิดเผยข้อมูลส่วนบคุ คลมากข้ึน
G3.2 [การวิเคราะหส์ ถานการณ์] เป็นการวเิ คราะห์ว่าถ้าหากข้อมูลชุดหน่ึง ๆ นั้นถูกเปิดเผย
ออกไป จะมคี วามเส่ยี งเพยี งใดท่ขี อ้ มูลชดุ อืน่ ๆ ทส่ี ามารถหาไดใ้ นทีส่ าธารณะจะสามารถ
ถูกนำมาใชใ้ นการระบตุ ัวตนย้อนกลบั ได้ (re-identification)
G3.2.1 [The motivated intruder test] การทดสอบผูล้ ่วงละเมดิ ข้อมูลท่มี ีแรงจงู ใจ คือ การ
ตรวจสอบความเสี่ยงในการระบุตัวยอ้ นกลบั ไปยังเจา้ ของข้อมูลวิธหี น่งึ ท่ไี ดร้ บั การแนะนำ
คือ การใช้การทดสอบ ‘ผู้ล่วงละเมิดข้อมูลที่มีแรงจูงใจ’ (The motivated intruder
280 Thailand Data Protection Guidelines 3.0
test) 272 โดยพิจารณาว่าหากมีบุคคลหนึ่ง หรือกลุ่มใดกลุ่มหนึ่ง ที่มีความสามารถอัน
สมควร (reasonably competent) ที่จะสามารถเข้าถึงทรัพยากรต่าง ๆ ที่จำเป็นได้
รวมไปถึงระบบอินเทอร์เน็ต ห้องสมุด หรือเอกสารสาธารณะต่าง ๆ และสามารถใช้
เทคนิคในการสืบสวนหาเจ้าของข้อมูลส่วนบุคคลได้ตามสมควร เช่น สอบถามจาก
หลากหลายผู้คนทเี่ กีย่ วกับขอ้ มูลนัน้ ๆ หรอื ประกาศต่อสาธารณะเพอ่ื หาผู้คนที่อาจทราบ
เกี่ยวกับข้อมูลดังกล่าว อย่างไรก็ตามผู้ล่วงละเมิดที่มีแรงจูงใจนั้นไม่จำเป็นต้องเป็นถึง
ขนาดนักเจาะระบบข้อมูลคอมพิวเตอร์ (hacker) หรือมีเครื่องมือพิเศษ หรือเป็นโจร
ขโมยที่สามารถงัดเข้าไปในสถานท่ีอันเป็นทีร่ โหฐานได้แตป่ ระการใด หากแต่บคุ คล หรือ
กลุ่มบุคคลดังกล่าวมีความเป็นไปได้ที่จะสามารถระบุตัวตนของเจ้าของข้อมูลได้จาก
ข้อมูลส่วนบุคคลดังกล่าวแล้ว ก็ย่อมไม่อาจถือได้ว่าข้อมูลส่วนบุคคลนั้น เป็นข้อมูลนิร
นาม
(1) สิ่งที่จำเป็นต้องถามเกี่ยวกับผู้ล่วงละเมิดข้อมูลนั้น อาจเป็นไปตามหัวข้อ
ดังต่อไปน้ี
ก. แรงจูงใจของผู้ลว่ งละเมดิ ข้อมลู คอื อะไร
ข. ผลู้ ว่ งละเมิดขอ้ มูลนน้ั มีทรพั ยากร และความรู้ความสามารถในการลว่ งละเมิด
ข้อมูลได้มากนอ้ ยเพียงใด
ค. ผลู้ ว่ งละเมดิ ขอ้ มลู จะสามารถเข้าถึงขอ้ มลู ได้โดยทางใดบา้ ง
ง. มีตัวแปรใดบ้างที่ผู้ล่วงละเมิดข้อมูลน่าจะพยายามที่จะเข้าถึง (target
variables)
(2) วิธกี ารทดสอบโดยง่ายอาจทำไดโ้ ดยวิธดี ังต่อไปนี้
ก. ทดสอบโดยการลองค้นหาข้อมูลในเว็บไซต์ที่เป็น Search Engine หรือ
Social Networks เพื่อดูว่าข้อมูลนิรนามนั้นสามารถนำไปสู่ผลลัพธ์ที่อาจ
ทราบตวั ตนของเจ้าของข้อมูลได้หรือไม่
ข. ทดสอบโดยการค้นหาจากเอกสารสาธารณะเช่น หนังสือพิมพ์ ว่าข้อมูลนิร
นามที่มีอยู่ อาทิ สถานที่ และวันที่ จะสามารถทำให้ทราบได้หรือไม่ว่าใคร
272 ‘Anonymisation: managing data protection risk code of practice,’ Information Commissioner’s
Office, https://ico.org.uk/media/for-organisations/documents/1061/anonymisation-code.pdf
Accessed 2019
ศูนยว์ จิ ัยกฎหมายและการพัฒนา คณะนติ ศิ าสตร์ จุฬาลงกรณ์มหาวทิ ยาลยั 281
เป็นเจ้าของข้อมูลนั้น ๆ เช่น ประวัติของผู้เสียหาย ที่อาจทราบได้จากข่าว
อาชญากรรมเม่ือทราบวันที่ และสถานทเ่ี กิดเหตุ เป็นต้น
ค. นอกเหนือจากนัน้ อีกสิ่งหน่ึงท่ีต้องระวังก็คอื ระดับความรู้เบื้องต้นเกีย่ วกับ
เจา้ ของขอ้ มลู (response knowledge) ทมี่ คี วามแตกต่างกัน ซ่ึงเปน็ ข้อควร
ระวัง โดยเฉพาะอย่างย่ิง ถ้าหากข้อมูลดังกล่าวเป็นข้อมูลที่มคี วามอ่อนไหว
(sensitive information) หรือเป็นข้อมูลในระดับบุคคล (microdata) ซึ่งมี
ความเสย่ี งตอ่ การที่จะถูกใช้ความรเู้ บื้องต้นเกี่ยวกบั เจ้าของขอ้ มูลในการระบุ
ตัวเจา้ ของขอ้ มูลได้
G3.2.2 [การเทียบเคียงจากกรณีใกล้เคียง] หากผู้ควบคุมข้อมูลสามารถแสดงให้เห็นว่ามีผู้
ควบคุมข้อมูลในลักษณะเดียวกันอยู่ และได้เปิดเผยข้อมูลดังกล่าวมาระยะหนึ่งแล้ว
ภายใต้บริบทที่เหมือนหรือคลา้ ยคลึงกัน ก็ย่อมสามารถวางใจได้ในระดบั หนึ่งว่าเจ้าของ
ข้อมูลจะไมถ่ กู ระบตุ ัวตนจากข้อมลู ส่วนบคุ คลน้ัน และหนั ไปให้ความสำคัญกับชุดข้อมูล
อืน่ ๆ ที่ไมส่ ามารถใชก้ ารเทยี บเคียงไดม้ ากยิ่งขนึ้
G3.2.3 [Key variables] ตัวแปรหลัก คือตัวแปรที่อาจมีอยู่ในข้อมูลชุดอื่น ๆ ซึ่งจะสามารถ
นำมาเทียบเคียงกบั ขอ้ มลู ชดุ น้เี พ่ือทราบถงึ ข้อมลู สว่ นบคุ คลได้ โดยตัวแปรหลักนั้นมักจะ
มลี ักษณะไม่ตา่ งกันมากนกั ไม่วา่ จะเปน็ ขอ้ มูลท่ีเก่ยี วกบั เรอ่ื งใดก็ตาม ยกตัวอยา่ งเช่น
- ชื่อ นามสกลุ
- รหัสไปรษณยี ์ และเมอื ง
- เบอรโ์ ทรศพั ท์
- เชอื้ ชาติ
- อายุ
- เพศ
- รหัสประจำตวั ต่าง ๆ อาทิ รหสั ประจำตวั ประชาชน รหัสประกนั สังคม หมายเลข
บญั ชธี นาคาร หมายเลขบัตรเครดิต
G3.2.4 [ผลลัพธ์ที่ควรได้การวิเคราะห์] คือ วิธีการในการเข้าถึงข้อมูลของผู้ล่วงละเมิดข้อมลู
(Attack type) และตัวแปรหลัก (Key variables) ซ่ึงทงั้ สองส่ิงน้ีจะส่งผลต่อความน่าจะ
282 Thailand Data Protection Guidelines 3.0
เป็นในการพยายาม และความน่าจะเป็นที่การล่วงละเมิดข้อมูลส่วนบุคคลจะประสบ
ความสำเร็จ รวมไปถึงผลลัพธ์ของการล่วงละเมิดข้อมูลดังกล่าว ซึ่งย่อมส่งผลต่อการ
กำหนดมาตรการในการควบคมุ ความเส่ยี งในลำดับต่อไป
G3.2.5 [วธิ ีในการล่วงละเมิดขอ้ มลู ]
(1) วิธีในการล่วงละเมิดข้อมูลนั้นมีหลากหลายวิธี และแต่ละวิธีก็มีความซับซ้อน
แตกต่างกันไป แต่โดยหลักการแลว้ การลว่ งละเมิดขอ้ มูลทีม่ ีการทำใหเ้ ป็นขอ้ มูล
นิรนามแล้วน้ัน ก็มักเกดิ จากการนำข้อมลู ภายนอกมาเทียบเคียงเพื่อหาจดุ เกาะ
เกยี่ วจนสามารถนำไปสู่การระบตุ ัวตนของเจา้ ของข้อมูลได้ในที่สดุ
(2) การใช้ความเชื่อมโยงของข้อมูลหลายชุดผ่านตัวแปรหลัก (re-identification
through linkage of key variables)
ตวั อย่าง
❖ หากโรงเรียนแห่งหนึ่งมีหน้าท่ีเก็บข้อมูลของนักเรียนทั้งชั้น พร้อมทั้งข้อมูลส่วนบคุ คลของนักเรียน และมี
นายหยก เป็นผู้ล่วงละเมิดข้อมลู ท่ีมีข้อมลู ของเกรด โดยทราบเพยี งแตว่ ันเกิดของนักเรยี นคนดังกล่าว เช่นน้ี
นายหยก ยอ่ มสามารถรวมข้อมลู สองชดุ เข้าด้วยกันผ่านตวั แปรวันเกิด ก็จะสามารถทราบได้ว่านกั เรียนคนนั้น
คอื นาย ค และไดเ้ กรด B โดยในกรณีดังกล่าวน้ันตวั แปรหลกั (key variable) คือ ‘วนั เกิด’
ข้อมลู ทโี่ รงเรียนเก็บ วนั เกิด คะแนน
ชอ่ื 7 สิงหาคม 2550 A
ก 23 มีนาคม 2550 C
ข 25 มกราคม 2551 B
ค
ขอ้ มลู ทน่ี ายหยก มี
วันเกดิ ของนกั เรียนเปา้ หมาย
25 มกราคม 2551
นายหยก ย่อมทราบได้ทันทวี ่า นกั เรยี นเปา้ หมายคอื นาย ค ซึ่งได้คะแนน B
ศนู ยว์ ิจยั กฎหมายและการพัฒนา คณะนิติศาสตร์ จฬุ าลงกรณม์ หาวทิ ยาลยั 283
(3) การล่วงละเมิดข้อมูลผ่านการสรุปคุณลักษณะร่วมกันของคนกลุ่มหนึ่ง
(attribution attack)
ตวั อยา่ ง
❖ นาย หยก รวบรวมข้อมลู แล้วมานับจำนวนนักเรียนที่ได้แต่ละระดบั คะแนน แล้วจึงทราบว่า นักเรียนท่เี กิด
เดือนสิงหาคมทุกคน ซึ่งมีจำนวน 2 คนนั้นได้เกรด A ในวิชาดงั กล่าว เช่นนี้แม้ นาย หยก จะไม่ทราบไดว้ ่า
ข้อมูลแถวใดเป็นของนักเรยี นคนไหน แต่กส็ ามารถรูไ้ ดว้ า่ หากนกั เรียนเกิดเดอื นสิงหาคมแล้วก็เกรด A ในวิชา
ดังกลา่ ว
ขอ้ มูลท่โี รงเรยี นเกบ็ คะแนน
วันเกิด A
A
สิงหาคม 2550 B
สงิ หาคม 2550
มกราคม 2551
ขอ้ มลู ทีน่ าย หยก มี
รวู้ ่า ข เกิดเดอื นสิงหาคม
เช่นนี้ นาย หยก ยอ่ มรวู้ ่า นาย ข ไดเ้ กรด A แน่นอนแม้ไมท่ ราบว่าเปน็ คนใด
(4) การล่วงละเมิดข้อมูลผ่านการสรุปจากการตัดกรณีที่เป็นไปไม่ได้ออกไป
(subtraction attack)
284 Thailand Data Protection Guidelines 3.0
ตวั อย่าง
❖ หาก นาย ก ซึ่งเป็นหนึง่ ในนักเรยี นหอ้ งดังกล่าวเสียเองอยากทราบเกรดของนาย ข และนาย ก ทราบดีวา่
นาย ข ได้เกิดเดือนสิงหาคมเช่นเดยี วกับตน ยอ่ มหมายความวา่ นาย ก จะทราบเกรดของนาย ข ดว้ ยเชน่ กัน
หากสามารถเข้าถึงขอ้ มูลท่โี รงเรียนเกบ็ ไวไ้ ด้
ขอ้ มูลที่โรงเรยี นเกบ็ คะแนน
วันเกดิ A
A
สิงหาคม 2550 B
สิงหาคม 2550
มกราคม 2551
ข้อมูลทนี่ าย ก มี
รูว้ า่ ตนได้ A
รู้วา่ นาย ข เกิดเดือนสงิ หาคมเช่นเดียวกับตน
เช่นนี้นาย ก เมื่อตัดกรณีของตนซึ่งเป็นไปไม่ได้ออกไป ก็ย่อมสามารถทราบได้ว่านาย ข ได้เกรด A
เชน่ เดียวกนั
G3.3 [การกำหนดมาตรการในการควบคุมความเสี่ยง] โดยพึงกำหนดให้สอดคล้องกับ
สถานการณข์ องข้อมูลท่ไี ด้วิเคราะห์มาท้งั หมดกอ่ นหน้านี้ ทัง้ น้ี การกำหนดมาตรการใน
การควบคุมความเส่ยี งนน้ั อาจทำไดส้ องวธิ ี กล่าวคือ
- การเปลย่ี นขอ้ มลู
- การปรับสง่ิ แวดลอ้ ม
G3.3.1 [การเปลย่ี นขอ้ มูล]
(1) การเปลย่ี นขอ้ มูลน้นั ต้องคำนงึ ถงึ สองปจั จยั คือ
ก. ความงา่ ยตอ่ การเปดิ เผยข้อมลู ส่วนบุคคลของขอ้ มูล (disclosiveness)
ข. ความอ่อนไหวของข้อมลู สว่ นบคุ คลในชดุ ข้อมูลน้ัน ๆ (sensitivity)
(2) หากเปน็ ไปได้นน้ั สิง่ ทีค่ วรทำประการแรกคอื การเปลี่ยนข้อมลู ในระดับภาพรวม
(meta level) ก่อน อาทิ การทำให้ข้อมูลเปน็ แบบรวมกลุม่ (aggregation) การ
ศูนยว์ ิจยั กฎหมายและการพัฒนา คณะนติ ศิ าสตร์ จฬุ าลงกรณ์มหาวทิ ยาลัย 285
เอาตัวแปรบางอย่างออก (variable drop) หรือ การสุ่มตัวอย่าง (random
sampling) โดยวิธกี ารดังกล่าวไม่ได้เป็นการเปลี่ยนแปลงค่าของข้อมูลรายตัวแต่
ประการใด และถงึ แม้จะลดความเส่ยี งตอ่ การถูกเปิดเผยได้ไม่มาก แตก่ ็ยังคงไว้ซง่ึ
คณุ ค่าของข้อมูลในระดบั ที่สงู
(3) แตห่ ากวธิ ีการในระดบั ภาพรวม น้ันไม่สามารถใช้ไดผ้ ล ผูค้ วบคมุ ขอ้ มูลอาจเลือก
ที่จะเปลี่ยนแปลงข้อมูลโดยตรง (data distortion) ก็ได้เพื่อลดความเส่ียงลงอกี
ระดับ โดยเฉพาะอย่างยิ่งหากสามารถระบุส่วนของข้อมูลที่มีความเสี่ยงมากได้
และแกไ้ ขแตเ่ ฉพาะจดุ (targeted distortion) โดยอาจพิจารณาวธิ กี ารที่อธิบาย
ไว้ในหวั ข้อ G.1.5.3.7
(4) มาตรฐานทนี่ ยิ มใช้ในการตรวจสอบว่าตัวข้อมูลนั้นมีความปลอดภัยจากการระบุ
ตัวตนมากน้อยเพียงใด คือ k-anonymization กล่าวคือ การรับประกนั ว่า หาก
มีตวั แปรกลุ่มหน่ึง (X) จะไมม่ ีกลุ่มของตัวแปรดงั กล่าว (Xj X) ท่ีจะสามารถทำ
ให้ระบุตัวบุคคลได้นอ้ ยลงไปกว่า k คน ยกตัวอย่างเช่น หากมขี อ้ มลู ของผปู้ ว่ ยอยู่
ชุดหนึ่ง ซึ่งมีตัวแปรคือ อายุ เพศ และส่วนสูง แล้วตัดสินใจใช้วิธี k-
anonymization โดยการให้มีค่า k เท่ากับ 100 ย่อมหมายความว่า ไม่ว่าจะใช้
อายุ เพศ ส่วนสูง หรือกลุ่มของตัวแปรเหล่านี้อย่างไร ก็ไม่สามารถที่จะทำใหม้ ี
ข้อมูลทมี่ ีลักษณะเหมือนกันน้อยกวา่ 100 หนว่ ยข้อมูลได้ เช่น หากเลือกอายุมา
ก็จะต้องมคี นทีอ่ ายุเท่ากันมากกว่า 100 คน หรอื หากเลือกอายแุ ละเพศมา ก็ต้อง
มคี นทม่ี ีอายุและเพศเทา่ กันมากกวา่ 100 คน เพราะฉะน้นั ถ้าผู้ใช้ข้อมูลน้ันรู้จัก
คนทม่ี ีข้อมลู ในลักษณะดังกล่าวน้อยกว่า 100 คน กจ็ ะไม่สามารถระบุได้วา่ ขอ้ มูล
ดงั กล่าวหมายถงึ บคุ คลใด และถือเปน็ การจดั ทำข้อมูลนิรนามทเี่ หมาะสมแล้ว
286 Thailand Data Protection Guidelines 3.0
ตวั อย่าง
❖ บริษัท ก มีข้อมูลชื่อลูกค้าทุกคนที่ส่งข้อมูลมาร่วมสนุกทายผลฟุตบอล ซึ่งรวมถึงข้อมูล อายุ และเบอร์
โทรศัพท์ ปรากฏวา่ เมื่อจบั ฉลากหาผู้โชคดี ผลปรากฏว่ามผี โู้ ชคดีท้ังหมด 4 คน คือ นาย A นางสาว B และ
นางสาว C ปรากฏวา่ นาย ก ซ่งึ ตอ้ งการทราบขอ้ มูลส่วนบคุ คลของนางสาว B เพอื่ นำไปแอบอา้ งเปน็ นางสาว
B และทราบวา่ นางสาว B เป็นหนง่ึ ในผู้โชคดี นาย ก น้ันทราบดีวา่ นางสาว C อายุ 28 ปีในปนี ี้ หากบริษัท
ประกาศผลผโู้ ชคดีเป็นขอ้ มลู โดยไมเ่ ปิดเผยชอื่ ดงั ต่อไปน้ี
ช่อื อายุ เบอร์โทรศัพท์
X 29 0901234567
X 28 0919342342
X 27 0931342341
X 26 0943123213
เช่นนี้นาย ก ซึ่งมีข้อมูลว่า นางสาว C มีอายุ 28 ปี ก็สามารถทราบได้ว่าเบอร์โทรศัพท์ 0819342342
ตอ้ งเปน็ ของนางสาว C
หากทางบรษิ ทั สมหมาย ทราบได้วา่ อาจมคี นอยา่ งนาย ก ทีท่ ราบอายขุ องบคุ คลเป้าหมายอยู่ จึงเห็นว่า
ควรใหม้ ีการจัดทำข้อมูลนิรนาม โดยมเี งอื่ นไขคอื ถ้ามีข้อมลู อายุ หรือ อายุและเบอร์โทรศพั ทข์ องคนน้อยกว่า 2
คนจะไม่สามารถบอกได้ว่าเปน็ ใคร (k = 2 หรอื 2-anonymous) กอ็ าจเลอื กทีจ่ ะเปิดเผยข้อมูลว่า
ช่อื อายุ เบอร์โทรศพั ท์
X 28-30 09XXXXXXXX
X 28-30 09XXXXXXXX
X 25-27 09XXXXXXXX
X 25-27 09XXXXXXXX
เช่นน้ี นาย ก ย่อมไมอ่ าจทราบไดว้ ่า นางสาว C คือคนใด ข้อสงั เกตก็คือ จะตอ้ งไม่ใชม่ เี พยี งแตข่ ้อมูลใด
ข้อมลู หน่งึ แต่เป็นการรวมกนั ของขอ้ มลู ทั้งหมด แต่จะเหน็ ได้วา่ ในกรณีดังกล่าว การจะเลือก k ให้ถูกต้องได้น้ัน
ต้องขน้ึ อยู่กับว่า
1. บรษิ ัทสมหมาย ทราบวา่ นาย ก มีขอ้ มูลประเภทใด และมากน้อยเพยี งใด
2. บริษทั สมหมาย ยังต้องระวงั การท่ีแมแ้ ต่ตัวเจ้าของขอ้ มูลเอง กไ็ มอ่ าจได้รบั ทราบขา่ วดังกล่าว (สมมติ
วา่ การประกาศเปน็ วธิ ีเดยี วทแ่ี จ้งขา่ วได้) กล่าวคือหากมีระดบั ของ k ทสี่ งู เกินไปเม่ือเทยี บกบั จำนวนของข้อมูล ก็
อาจทำให้ขอ้ มูลเปน็ ข้อมลู ทไ่ี มเ่ ปน็ ประโยชน์ได้
3. หากมีจำนวนผูถ้ กู รางวัลจำนวนมากกว่านี้ ก็อาจมีจำนวน k มากกว่านีไ้ ด้ และเป็นการยากที่นาย ก
จะทราบได้วา่ ใครเป็นนางสาว C เช่นถา้ มีคนถกู รางวัล 10 คนดงั ต่อไปนี้
ศูนยว์ ิจัยกฎหมายและการพฒั นา คณะนิตศิ าสตร์ จุฬาลงกรณ์มหาวทิ ยาลยั 287
ชอ่ื อายุ เบอร์โทรศัพท์
X 29-30 0901234567
X 27-28 0819342342
X 27-28 0931342341
X 29-30 0901235612
X 31-32 0819342342
X 31-32 0962342321
X 29-30 0561341231
X 31-32 0612341153
X 27-28 0933412322
X 29-30 0135123432
หากเชือ่ วา่ อายเุ ปน็ ข้อมลู ท่ีคนภายนอกมีได้ ยอ่ มเปน็ การยากที่นาย ก จะเดาถูกวา่ ข้อมูลใดเป็นข้องมูล
ของนางสาว C เพราะในขอ้ มลู น้เี ปน็ ขอ้ มูลท่มี คี ่า k เท่ากับ 3 แต่ถา้ พิจารณาวา่ เบอร์โทรศพั ท์นั้นกอ็ าจถูกนำมาหา
อายไุ ด้ ขอ้ มูลชุดนจ้ี ะมีคา่ k เทา่ กับ 1 เทา่ นนั้
(5) k-anonymization นั้นอาจสามารถอธิบายได้โดยง่ายโดยการใช้หลักการเรื่อง
ของ identification ในวิชาพีชคณิตเชิงเส้น กล่าวคือหากมีแถวของข้อมูลที่เป็น
อสิ ระในเชงิ เส้นจากกัน (linearly independent rows) น้อยกวา่ จำนวนตัวแปร
เชน่ นยี้ อ่ มเป็นกรณที อี่ าจเป็นข้อมูลของใครก็ได้ทเ่ี ป็นแบบนั้น เชน่ หากมีผู้ทราบ
ว่าคนที่ป่วยนั้นมีผลรวมของอายุ กับสี่เท่าของวันเกิดเป็น 100 เช่นนี้มีความ
นา่ จะเปน็ มากมายที่
x + 4y = 100
เช่นนี้ จะมีข้อมูลของคู่ตัวแปร x หรือ y ได้ไม่จำกัดจำนวนที่เป็นไปตามข้อมูล
ดังกล่าว แต่ถ้าเกิดมีข้อมูลที่เป็นอิสระในเชิงเส้นจากกันเท่ากับจำนวนของคู่ตัว
แปร เชน่
288 Thailand Data Protection Guidelines 3.0
x + 2y = 7
3x – y = 7
กรณีดังกล่าวเราย่อมสามารถกลา่ วได้โดยงา่ ยว่า x = 3 และ y = 2 และสามารถ
หาเจา้ ของข้อมลู ทีม่ ีลักษณะดังกลา่ วได้ทันที
(6) นอกจากหลักการ k-anonymization แล้ว ก็ยงั มี l-diversity and t-closeness
ที่อาจพิจารณานำมาใช้เมื่อมีข้อมูลอ่อนไหวอยู่ในข้อมูลด้วย กล่าวโดยเร็วก็คือ
แมจ้ ะสามารถทำให้มีข้อมลู ท่ีไม่เป็นเอกลักษณ์มากจนเกินไป (มมี ากกว่า k แถว
ของข้อมูลที่เหมือนกัน ไม่ว่าจะเป็นการพิจารณาตัวแปรแบบใด) แต่ก็อาจทำให้
เกดิ ปญั หาทีต่ ามมาคอื เมอื่ เราบอกวา่ มี k คนในทุกๆกลุ่ม แตป่ รากฏว่าทุกคนใน
นัน้ มีลกั ษณะในข้อมูลท่ีเป็น sensitive data ซึ่งเหมือนกนั หมด ก็อาจมีปัญหาที่
ทำให้เราทราบได้ว่าคนกลุ่มนั้น ๆ มีลักษณะข้อมูลที่เป็นข้อมูลอ่อนไหว (เช่น
ป่วยเป็นโรคหนึ่ง ๆ) เหมือนกันหมด เพราะฉะนั้น นอกจากจะทำ k-
anonymization แลว้ ก็อาจต้องทำใหม้ ี l-diversity ภายใน k แถวของข้อมูลน้ัน
ดว้ ย เพราะ k-anonymization น้ัน แมจ้ ะช่วยใหแ้ น่ใจในเรื่องของการระบตุ ัวตน
แต่อย่างที่เราได้ทราบกันดีตามตัวอย่างข้างต้นแล้วว่า ถึงแม้จะไม่สามารถระบุ
ตัวตนได้ แต่ก็สามารถบอกคุณลักษณะของคน ๆ หนึ่งได้ (unidentifiable yet
attributable)
ตัวอยา่ ง
❖ ในข้อมลู ชุดหนงึ่ ๆ ภายหลงั จากไดม้ ีการทำ k-anonymization process แลว้ ปรากฏวา่ ทุกคนทเี่ ปน็ เพศ
ชาย และอายุมากกว่า 50 ปี ในกลมุ่ น้ีเปน็ มะเร็ง แม้จะไมส่ ามารถบอกไดว้ า่ คนที่เราสนใจเป็นคนไหน (เพราะ
มีคา่ k มากกวา่ 1) หรอื บอกได้วา่ เบอรโ์ ทรศพั ท์ หรือขอ้ มลู สว่ นบคุ คลอ่นื ๆ ของเคา้ คอื อะไร แตก่ ็ยังอาจ
บอกไดว้ า่ คนๆนต้ี ้องเปน็ มะเรง็ ซึ่งถือเปน็ ขอ้ มูลท่มี ีความอ่อนไหว เชน่ น้ี ผู้ควบคมุ ข้อมูลอาจจะต้องทำ l-
diversity โดยเพ่ิมระดับความละเอียดของขอ้ มูล เช่น อาจบอกเป็นประเภทของข้อมูล (ประเภทของมะเรง็ )
หรือเลือกทจ่ี ะไมแ่ สดงขอ้ มลู บางสว่ น เป็นต้น
(7) อกี หลกั การหนงึ่ ที่เป็นท่นี ิยม เมอื่ การเปิดเผยขอ้ มูลเป็นการเปดิ เผยข้อมูลค่าสถิติ
หรือผลลัพธ์ของการวิเคราะห์ข้อมูล และไม่ใชก่ รณีของการเปิดเผยตัวข้อมลู เอง
เปน็ วธิ ใี นการจัดทำข้อมลู นิรนามทเ่ี รยี กวา่ differential privacy โดยสาระสำคญั
ศูนย์วจิ ัยกฎหมายและการพัฒนา คณะนิติศาสตร์ จุฬาลงกรณม์ หาวิทยาลยั 289
ของวิธีการดังกล่าวคอื การเพิ่มค่าโดยสุ่ม (random number) เข้าไปในขั้นตอน
ใดขนั้ ตอนหนง่ึ ของกระบวนการเปดิ เผยขอ้ มูลก่อนทจ่ี ะไปถงึ ตวั ผรู้ บั ข้อมูล ซง่ึ การ
ขอขอ้ มูลโดยผรู้ บั ขอ้ มูลแต่ละครงั้ จะต้องมีการสุ่มคา่ ใหมเ่ ปน็ การเฉพาะในการขอ
ข้อมูลครั้งนั้น ๆ เข้าไปด้วย เพื่อลดความแน่นอนในการระบุตัวตนของเจ้าของ
ข้อมูลย้อนกลับ โดยวิธีการดังกล่าวจะได้อธิบายในรายละเอียดในส่วนสุดท้าย
ของบทต่อไป
G3.3.2 [การปรับสิง่ แวดลอ้ ม]
(1) การปรับสิ่งแวดล้อมนัน้ โดยหลักการก็คอื การควบคุมการเขา้ ถึงข้อมูล ทั้งในแง่
ของบุคคลทส่ี ามารถเข้าถึงข้อมูลได้ วธิ ีการในการเข้าถงึ ข้อมลู และวัตถุประสงค์
ของการเขา้ ถึงขอ้ มลู
ก. ในแง่ของบุคคลทส่ี ามารถเข้าถงึ ขอ้ มูลได้น้ัน ผคู้ วบคุมข้อมูลอาจกำหนด
มาตรฐานบางประการที่บคุ คลดังกล่าวจำเป็นต้องกระทำก่อนท่ีจะมีสิทธิ
เขา้ ถึงขอ้ มลู 273 อาทิ
• แสดงความเก่ยี วข้องกบั หน่วยงาน หรอื องคก์ รทีส่ ามารถรบั รองว่า
บุคคลดังกล่าวจะสามารถปฏิบตั ิตามมาตรการต่าง ๆ ทผ่ี คู้ วบคุม
ข้อมลู กำหนดไว้ได้
• แสดงหลักฐานการฝึกอบรมที่เป็นมาตรฐาน อันแสดงถึงความรู้
ความเข้าใจในการเข้าถึง และนำไปใช้ซึ่งข้อมูลส่วนบุคคลใน
ระดับที่เหมาะสมกับข้อมลู ส่วนบุคคลประเภทท่ีบคุ คลนัน้ ๆ จะ
เข้าถงึ
ข. ในแง่ของการวิเคราะห์ข้อมลู ท่ีอาจทำได้
• ผู้ควบคุมข้อมูลอาจกำหนดวิธีการวิเคราะห์ข้อมูลไว้ในขณะที่มี
การเปิดเผยขอ้ มูลให้แกผ่ ู้ประมวลผล หรอื ผูใ้ ช้ข้อมูล ตวั อยา่ งเช่น
- การใช้สมการถดถอยที่มีทั้งตารางของค่าสัมประสิทธิ์
(coefficients) และรูปของส่วนเหลือ (residual plot)
ยอ่ มอาจทำใหส้ ามารถเขา้ ถึงข้อมูลดง้ั เดมิ ได้
273 MARK ELLIOT ET AL (2016), supra note 268
290 Thailand Data Protection Guidelines 3.0
- การเปิดเผยข้อมูลที่ผ่านการทำตารางไขว้ (cross-
tabulated data) แล้ว ซึ่งก็คือข้อมูลที่มีการนับจำนวน
ค่าของขอ้ มูลทจี่ ัดเปน็ กลุม่ (categorical data) ซึง่ หากมี
ข้อมูลดังกล่าว หลาย ๆ ตาราง ก็อาจทำให้สามารถนำ
ตารางท้งั หลายดังกล่าวมารวมกันเพ่ือหาตารางด้ังเดิมได้
โดยงา่ ย
• หรือหากข้อมูลมีความอ่อนไหว หรือมีลักษณะที่มีความเสี่ยงใน
การถูกระบุตวั บคุ คลสงู เช่น มีตวั แปรหลกั อยมู่ าก กอ็ าจจำเป็นท่ี
จะต้องมีการให้ผู้ที่จะเข้าถึงขอ้ มูลต้องทำการขออนุมัติโครงการ
ก่อนท่ีจะมีการเปดิ เผยขอ้ มลู 274
(2) หากต้องการลดความเสีย่ งลง ผูค้ วบคมุ ขอ้ มลู อาจกำหนดมาตรการดงั ต่อไปน้ี
ก. ให้การเข้าถึงข้อมูลสามารถทำได้เฉพาะภายใต้ระบบที่ตั้งไว้เพื่อความ
ปลอดภยั ทงั้ ในออนไลน์ หรือแมแ้ ต่ออฟไลน์
ข. กำหนดเง่ือนไขทเ่ี พม่ิ มากขนึ้ ก่อนทจ่ี ะสามารถเข้าถงึ ขอ้ มูลได้
ค. Elliot, M. et al (2016) เสนอว่ามี 4 วิธีในการเปิดเผยข้อมูลให้แก่
บุคคลภายนอก โดยลำดับตามความสามารถในการควบคุมการเข้าถึง
และใช้ข้อมลู โดยวิธีดังกลา่ วนี้เรียงตามความจำเป็นในการปกป้องข้อมูล
สว่ นบุคคลจากน้อยไปมาก
• การเปิดให้ใช้ข้อมูลโดยทั่วไป (open access) ข้อมูลเหลา่ น้คี วร
เป็นข้อมูลที่ไม่ใช่ข้อมูลส่วนบุคคล (apersonal) เช่น ข้อมูล
อากาศ ข้อมูลทางภูมิศาสตร์ หรือหากเป็นข้อมูลส่วนบุคคล ก็
ต้องผ่านกระบวนการจัดทำข้อมูลนิรนามที่ถูกต้องครบถ้วน
เสียก่อน
• การจัดส่งข้อมูลให้เป็นรายกรณี (delivered access) โดยอาจ
เปน็ การให้ผู้ใช้ทำการร้องขอมาเพ่ือพิจารณา แล้วจงึ จัดส่งข้อมูล
ผ่านระบบอินเทอรเ์ น็ต หรอื ผา่ นอีเมล์ท่มี กี ารเขา้ รหัสกไ็ ด้
274 Id.
ศนู ย์วิจยั กฎหมายและการพฒั นา คณะนติ ศิ าสตร์ จฬุ าลงกรณม์ หาวิทยาลยั 291
• การใช้ข้อมูล ณ สถานที่ที่จัดเตรียมไว้ (on-site safe settings)
หรือในระบบท่ีจัดเตรียมไว้ (virtual access) ซึ่งผู้ควบคมุ ข้อมูล
จะสามารถกำหนดข้อห้ามในการใช้งานข้อมูล ซึ่งอาจหมาย
รวมถึงการสร้างส่วนของการวิเคราะห์ข้อมูลที่มีฟังก์ชั่นเท่าที่ ผู้
ควบคุมข้อมลู จะมั่นใจได้วา่ ไม่มีการเปิดเผยขอ้ มูลท่อี าจทำให้ระบุ
ตัวเจ้าของข้อมูลได้ เช่น มีการสร้างเครื่องมือในการดูภาพรวม
ของข้อมูล ไม่ว่าจะเป็นค่าเฉลี่ย ค่าการกระจาย หรือแผนภูมิ
รูปภาพของกล่มุ ย่อยทกี่ ำหนดไว้ เป็นต้น
• การใช้ใบอนุญาต (Licenses) โดยกำหนดถึงโครงสร้างทางข้อมูล
และการจัดการของข้อมลู ที่ผูท้ ่ีไดร้ บั ใบอนุญาตจะต้องมี
ตัวอยา่ งใบอนญุ าต (Elliot, M. et al., 2016)
1. ขอ้ มลู จะตอ้ งถูกจดั เก็บในระบบท่ีมีความปลอดภยั ไดม้ าตรฐานสากล
2. ผู้รับใบอนุญาตต้องจัดให้ผู้มีรหัสผ่านในการเข้าสู่ระบบฐานข้อมูลที่เป็นรหัสผ่านของตนเอง และไม่ใช้
รว่ มกบั ระบบอน่ื ๆ หรอื หากเปน็ ห้องในทางการภาพทเ่ี ปน็ ทเ่ี กบ็ ข้อมลู ก็ต้องมกี ุญแจ หรือระบบการเขา้ ถึง
ที่เปน็ อสิ ระของตนเองเชน่ เดียวกนั
3. ผู้รบั ใบอนุญาตตอ้ งจดั ให้มรี ะบบรักษาความปลอดภัยของหอ้ งที่เป็นทเ่ี กบ็ คอมพิวเตอร์ซง่ึ บนั ทกึ ข้อมูลเป็น
พเิ ศษอยา่ งยง่ิ กวา่ หอ้ งท่ัว ๆ ไป
4. ผู้รบั ใบอนุญาตจะต้องมีการตง้ั คา่ รหสั ผา่ น มากกวา่ หนึ่งช้นั ข้นึ ไป
5. ขอ้ มลู ท่ถี กู ขอจะตอ้ งไมถ่ ูกนำออกจากสถานทเี่ กบ็ ข้อมลู ไมว่ ่าโดยวิธใี ดวธิ หี นง่ึ และถูกกำจัดทันทีเม่ือใชง้ าน
เสร็จแลว้
6. การเขา้ สสู่ ถานท่ีเก็บข้อมูลตอ้ งจำกัดแต่เฉพาะเปน็ เจา้ หนา้ ที่ หรอื ผไู้ ดร้ ับอนญุ าตเทา่ น้นั
7. ผรู้ บั ใบอนญุ าตต้องทำการเก็บข้อมูลการใช้งาน (log) ไว้เพอ่ื การตรวจสอบเสมอ
292 Thailand Data Protection Guidelines 3.0
G4. การตัดสินใจถึงระดบั ของการจัดทำขอ้ มลู นิรนาม 275
หลังจากที่ผู้จัดทำขอ้ มลู นิรนามได้พจิ ารณาถงึ ตัวขอ้ มูลและสิง่ แวดล้อมแล้ว ก็จำเป็นต้องถึง
ตัดสนิ ใจถึงระดบั ของการจดั ทำข้อมลู นริ นาม โดยอาจพิจารณาเปน็ รายวิธีที่ใชจ้ ดั ทำขอ้ มูลนริ นาม ซ่ึง
แน่นอนว่าแต่ละวิธีก็มีประสิทธิภาพ และคุณลักษณะในการป้องกันข้อมูลส่วนบุคคลที่แตกต่างกนั
โดยในทีน่ จ้ี ะได้อธบิ ายถงึ 3 วิธี คือ
- วธิ ีแรก การขจัดขอ้ มลู บง่ ชต้ี ัวบคุ คลโดยตรง (de-identification)
- วิธีทส่ี อง การใช้วธิ ี k-anonymization และ
- วธิ ที ่ีสาม การใช้ -differential privacy
โดยพจิ ารณาปจั จยั สำคัญสามประการคอื
- การคมุ้ ครองข้อมูลสว่ นบุคคล (privacy, P)
- การใชป้ ระโยชน์ของขอ้ มลู สว่ นบคุ คล (utility, U)
- และความง่ายในการจดั ทำข้อมูลนิรนาม276 (easiness, E)
โดยหากพจิ ารณาจากตัวข้อมลู และส่ิงแวดลอ้ มแล้ว มคี วามจำเป็นทจ่ี ะต้องทำการคุ้มครอง
ข้อมูลส่วนบคุ คลที่สงู อาทิ เปน็ ข้อมลู ออ่ นไหว กต็ ้องพิจารณาวิธีทีม่ ีค่า P สูงกว่าวิธีอื่น ๆ แต่ท้ังนี้ก็
ต้องขึ้นอยกู่ บั ขอบเขตความสามารถในการจดั การดว้ ย เพราะหากเปน็ วธิ ที ี่มีความยากในการจัดทำสูง
(ค่า E ต่ำ) กย็ อ่ มหมายถงึ ว่าเป็นวิธีท่ีมีต้นทุนในการจัดทำสูงด้วย เชน่ นผ้ี ู้ควบคุมข้อมูลก็พึงพิจารณา
วา่ ควรจะเก็บขอ้ มลู สว่ นบุคคลดังกลา่ วตั้งแต่ต้นหรอื ไม่ ทั้งน้ที งั้ น้ัน ในทุกๆวิธที ใ่ี ช้ในการจัดทำข้อมูล
นิรนาม การเพ่มิ ระดับของการคมุ้ ครองขอ้ มูลส่วนบคุ คล ย่อมทำให้เกิดการสูญเสียอรรถประโยชน์ที่
ไดจ้ ากการใชข้ ้อมลู (ค่า U ต่ำ) โดยอาจอาศยั รปู ดงั ตอ่ ไปน้ปี ระกอบการพจิ ารณาโดยสงั เขป
275 กรอบความคดิ ท่นี ำเสนอ รวมถึงวธิ ีทอ่ี ธบิ ายในสว่ นน้ีเป็นเพยี งคำแนะนำเบ้ืองต้นเทา่ นน้ั ผ้คู วบคมุ ขอ้ มลู หรอื ผู้
ประมวลผลข้อมลู ไมม่ คี วามจำเปน็ ตอ้ งปฏบิ ัติตามหากพจิ ารณาถึงความเสยี่ งโดยถถ่ี ้วนตามกรอบความคดิ ในเบ้อื งต้น
แล้ว และมองวา่ วธิ ที ม่ี อี ธิบายไวใ้ นส่วนอืน่ หรือมาตรการท่ีตำ่ กว่าท่อี ธบิ ายในสว่ นน้มี คี วามเพยี งพอแลว้ กบั การลด
ความเสีย่ งของการระบตุ วั ตนย้อนกลบั น้อยลงจนอยใู่ นระดับทีไ่ มส่ ำคัญอกี ต่อไป
276 easiness อาจมองไดว้ ่าเปน็ inverse function ของตน้ ทุนในการจัดทำข้อมลู นิรนามกไ็ ด้ (easiness = 1/cost)
ศูนย์วิจัยกฎหมายและการพฒั นา คณะนิติศาสตร์ จฬุ าลงกรณม์ หาวทิ ยาลัย 293
P
U
E
กรณี de-identification หรือพรางขอ้ มลู แบบอนื่ ๆ
P
U
E
กรณี k-anonymisation
P
U
E
กรณี epsilon-differential privacy
ในที่นี้จะได้ขยายความต่อไปว่า การเลือกค่า k ในวิธี k-anonymization และ ค่า epsilon
ในวิธี epsilon-differential privacy นนั้ ควรมหี ลกั การพิจารณาอยา่ งไร
294 Thailand Data Protection Guidelines 3.0
k-anonymization
G4.1 การใช้คา่ k ในกระบวนการ k-anonymization
G4.1.1 ในการพิจารณาปัจจัยที่ส่งผลต่อระดับที่เหมาะสมของการจัดทำข้อมูลนิรนาม ผู้จัดทำ
ข้อมลู นิรนามอาจพิจารณาปัจจัยหลักได้ 2 ประการกล่าวคือ
(1) ความเสีย่ งในการถกู เปดิ เผยของข้อมูล (Data disclosiveness)
(2) ความออ่ นไหวของข้อมลู (Data sensitivity)
โดยเฉพาะในเรื่องที่ความเสี่ยงในการถูกเปิดเผยของข้อมูลนั้นขึ้นอยู่กับปัจจัยอื่นเป็น
จำนวนมาก ทั้งตัวขอ้ มลู เอง และสงิ่ แวดล้อมของข้อมูลท่ีได้อธิบายข้างต้น ซ่ึงอาจรวมถึง ขนาดของ
ข้อมูล (data size) จำนวนตัวแปรหลัก (key variables) ความยากงา่ ยในการหาข้อมูลภายนอกทีม่ ี
ตัวแปรหลักเพื่อเทียบเคียง จำนวนคนที่อาจเข้าถึงทั้งข้อมูลของผู้จัดทำข้อมูลนิรนาม และข้อมูล
ภายนอกดังกลา่ ว เปน็ ตน้ โดยผูจ้ ดั ทำน้ันจำเป็นตอ้ งกำหนดปัจจัยสำคัญท่ีสดุ 3 ปจั จัยที่จะส่งผลต่อ
ความเส่ียงในการถกู เปิดเผยข้อมูล โดยควรเปน็ ทงั้ ปัจจัยที่เปน็ ตัวขอ้ มูลเอง และสง่ิ แวดล้อม หลังจาก
นนั้ จึงพจิ ารณาโดยอาศัยกรอบแนวคดิ ดงั ตอ่ ไปนี้
ขั้นตอนที่ 1 กำหนดปัจจยั ที่สำคัญท่ีสุด 3 ปจั จยั ในท่ีนี้ ขอแสดงตวั อยา่ งโดยสมมติว่าปัจจัยสามประการไดแ้ ก่
- ความเส่ยี งในการมขี อ้ มูลภายนอกทเ่ี กยี่ วขอ้ ง
- ความเสย่ี งในการมีความรู้เกี่ยวกบั เจา้ ของข้อมูล และ
- ขนาดของขอ้ มูล
ข้ันตอนที่ 2 ใหน้ ้ำหนักแกป่ จั จัยท้ัง 3 ปจั จัย ตัง้ แต่ 1 – 10 โดยคะแนนของแต่ละปัจจัยนั้น จะต้องรวมกันได้ 10
และให้พิจารณาถึงความสำคัญของปัจจัยที่ส่งผลต่อการระบุตัวตนของเจ้าของข้อมูลเป็นหลัก หลักจากนั้นให้
คำนวณน้ำหนักของแตล่ ะปจั จยั โดยสตู รดังต่อไปน้ี
นำ้ หนักของปัจจัย ( ) = 1 + คะแนน
10
ขั้นตอนที่ 3 ให้กำหนดค่า k ของข้อมูลที่มีความเสี่ยงต่ำที่สุด ซึ่งแน่นอนว่าค่า k นั้นย่อมขึ้นอยู่กับ ขนาดของ
ข้อมูล เช่นกัน โดยใหย้ ึดตามตารางที่ 1 ดังตอ่ ไปน้ี
ศนู ยว์ ิจยั กฎหมายและการพฒั นา คณะนติ ศิ าสตร์ จฬุ าลงกรณ์มหาวทิ ยาลยั 295
ขนาด จำนวนบคุ คลทีอ่ ยู่ในขอ้ มลู นำ้ หนกั
เลก็ (S) น้อยกว่า 20% ของขอ้ มูลในลักษณะคลา้ ยกันทีม่ กี ารครอบครองโดยผู้ Ws = 1.5
ควบคุมข้อมูลในบริบททใี่ กล้เคยี งกัน หรือ น้อยกว่า 100,000 คน
กลาง (M) รอ้ ยละ 20 - 80 ของข้อมลู ในลักษณะคล้ายกนั ที่มีการครอบครองโดยผู้ WM = 1.5
ควบคมุ ข้อมูลในบริบททใี่ กลเ้ คยี งกัน หรือ 100,000 – 1,000,000 คน
ใหญ่ (L) มากกว่า 80% ของขอ้ มูลในลักษณะคลา้ ยกนั ทม่ี ีการครอบครองโดยผู้ -
ควบคุมข้อมูลในบริบททใี่ กลเ้ คยี งกัน หรอื มากกว่า 1,000,000 คน
ข้ันตอนที่ 4 เมือ่ ทราบปัจจยั ท่สี ำคัญทง้ั หมด และขนาดของข้อมูลแลว้ กใ็ ห้พิจารณาตารางท่ี 2 พร้อมท้ังคำนวณ
ออกมาเปน็ ระดับของ k ทเ่ี หมาะสม โดยนบั เปน็ รอ้ ยละ ของขนาดของข้อมูลทม่ี ีระดับข้อมลู ทร่ี ะดับบุคคล (ถา้ เป็น
ระดบั อ่ืนใหน้ บั แต่ระดบั บคุ คล) โดยหากคิดแล้วไมไ่ ด้เป็นจำนวนเต็ม ให้ใชผ้ ลลัพธส์ ุดทา้ ยแล้วปัดเศษเป็นจำนวน
เต็มที่ใกล้เคียงที่สุด เช่น หากมีความเสี่ยงในการมีข้อมูลภายนอกที่เกี่ยวข้องต่ำ มีความเสี่ยงในการมีความรู้
เกี่ยวกับเจา้ ของข้อมลู ท่ีตำ่ และมขี นาดของขอ้ มูลท่ีเลก็ สมมตวิ ่ามี 100 แถว กอ็ าจสามารถระบจุ ำนวน K ได้เป็น
k = Vs = 1 x 1.5 x 1.5 = 2.25 % ก็ย่อมหมายความว่า ผู้จัดทำข้อมูลจะต้องจัดทำข้อมูลให้มีคุณสมบัติ k =
(2.25 x 100)/100 = 2.25 ซงึ่ เมื่อปดั ทศนยิ มแล้วก็คิดเปน็ k = 2 หรือ 2-anonymization เปน็ ตน้ แตห่ ากสมมุติ
ว่าให้ความสำคัญกับปัจจัยทั้ง 2 อย่างโดยให้คะแนน 3 และ 7 คะแนนสำหรับปัจจัยที่ 1 และ ปัจจัยที่ 2
ตามลำดับ ก็จะทำให้ W1 = 1.3 และ W2 = 1.7 สมมติว่าความเสี่ยงของข้อมูลทั้งหมดมีระดับที่สูง k = (2.25 x
1.3 x 1.7 x 100)/100 = 4.95 หรอื ประมาณ 5 นน่ั เอง เพราะฉะนั้น k = 5 หรือ 5-anonymization
ปัจจยั ท่ี 2: ความเส่ียงในการมีความรเู้ กย่ี วกบั เจา้ ของขอ้ มูล (W2)
ระดับต่ำ ระดับสูง
ปจั จัยที่ 1: ระดับต่ำ S Vs = Vl x Wm x WL % S Vs x W2%
VM x W2%
ความเส่ียงใน M VM = Vs x WM% M VL x W2%
Vs x W1 x W2%
การมีข้อมลู L Vl = 1% L VM x W1 x W2%
VL x W1 x W2%
ภายนอกท่ี ระดบั สงู S Vs x W1% S
เกย่ี วขอ้ ง M VM x W1% M
(W1) L VL x W1% L
จะสงั เกตไดว้ ่า ถ้าข้อมูลมขี นาดเลก็ (S) และมคี วามเสีย่ งในระดบั ทสี่ งู ก็ย่อมสง่ ผลใหม้ รี ะดบั ของ K ท่ีสูง
ที่สุดด้วยเช่นกัน ทั้งนี้ก็เพื่อป้องกันไม่ให้เกิดการระบุตัวตนใหม่ได้โดยง่าย ซึ่งหลักการดังกล่าวน้ันอาจสามารถ
แสดงความสมั พันธร์ ะหวา่ งระดับของ k และความสูญเสยี ของขอ้ มูล กับประโยชนท์ ่ีได้รบั จากการจัดทำข้อมูลนิร
นามไดโ้ ดยรูปดงั ตอ่ ไปนี้
296 Thailand Data Protection Guidelines 3.0
100 Low Medium High
90
80
70
60
50
40
30
20
10
0
0
Information Loss Anonymisation
โดยที่ระดับ K ที่เหมาะสมนัน้ ถูกกำหนดโดยจุดที่เราสามารถให้มีระดบั ของความสามารถในการจัดทำ
ข้อมูลนริ นามที่เพ่ิมข้นึ เทียบเทา่ กบั ระดับทีเ่ ราสญู เสยี ข้อมลู เพิ่มขึ้นจากการจัดทำข้อมูลนิรนามดงั กลา่ ว ในกราฟ
ข้างล่างจะเห็นได้ว่า ขนาดของข้อมูลท่ีต่างกนั ย่อมได้ผลลัพธ์ในการจัดทำข้อมูลนิรนามที่ต่างกัน และส่งผลตอ่
ระดบั ทเ่ี หมาะสมของ K เชน่ เดยี วกนั โดยจะเหน็ ไดว้ ่าเพ่อื ใหไ้ ดร้ ะดบั Anonymization ท่เี ท่ากัน ขอ้ มลู ขนาดเล็ก
นนั้ อาจต้องใช้ระดบั ของ k ทสี่ งู กวา่ ขอ้ มูลขนาดกลาง หรอื ขนาดใหญ่มากพอสมควรหากคำนึงถึงแต่เฉพาะการทำ
ใหเ้ ป็นขอ้ มูลนิรนาม โดยอาจแสดงระดบั ของ k ท่เี หมาะสมเมือ่ พจิ ารณาเฉพาะประโยชน์ท่ีได้จากการจัดทำข้อมูล
นริ นามไดต้ ามรปู ตอ่ ไปน้ี
ศนู ยว์ จิ ยั กฎหมายและการพัฒนา คณะนิตศิ าสตร์ จุฬาลงกรณม์ หาวทิ ยาลัย 297
100 Low Medium High
90 Gain (small) Gain (medium) Gain (large)
80
70
60
50
40
30
20
10
0
0
Loss
อยา่ งไรกด็ คี วามสญู เสียข้อมูลจากการจัดทำข้อมูลนิรนามน้ันกม็ ีมากกวา่ สำหรบั ข้อมลู ขนาดเล็กเช่นกัน
ซง่ึ อาจส่งผลในการจดั ทำข้อมูลนริ นาม ดงั น้นั จงึ ไมอ่ าจพิจารณาแต่เพยี งประโยชนท์ ่ไี ดร้ ับจากการทำข้อมูลนิรนาม
ได้ โดยอาจแสดงระดบั ทเ่ี หมาะสมของการจัดทำข้อมูลนิรนามเม่ือพจิ ารณาถงึ ความสูญเสีย (loss) และประโยชน์
ทไี่ ด้ (gain) ได้ดังรูปต่อไปนี้
100 Low Medium High
90 Gain (small) Gain (medium) Gain (large)
80
70
60
50
40
30
20
10
0
0
Loss
อย่างไรกด็ ี information loss น้ันย่อมทวีความสำคญั มากขึ้น หากขอ้ มูลเหลา่ น้ันเป็นข้อมูลที่มีเหตุอัน
ควรนำไปใช้ได้ เช่น มีความสำคัญต่อประโยชน์สาธารณะอย่างยิ่ง เช่นนี้ก็จะยิ่งทำให้การเพ่ิม ระดับของการทำ
298 Thailand Data Protection Guidelines 3.0
The words you are searching are inside this book. To get more targeted content, please make full-text search by clicking here.
TDPG3.0-Extension-20210413
Discover the best professional documents and content resources in AnyFlip Document Base.
Search
TDPG3.0-Extension-20210413
- 1 - 50
- 51 - 100
- 101 - 150
- 151 - 200
- 201 - 250
- 251 - 300
- 301 - 350
- 351 - 400
- 401 - 450
- 451 - 500
- 501 - 550
- 551 - 600
- 601 - 650
- 651 - 686
Pages: