52 ปีที่ 14 ฉบับท่ี 1 มกราคม-มิถุนายน พ.ศ. 2564 วารสารนติ ศิ าสตร์ มหาวิทยาลยั นเรศวร
1. บทน�ำ
พระราชบญั ญตั คิ มุ้ ครองขอ้ มลู สว่ นบคุ คล พ.ศ. 2562 ไดป้ ระกาศในราชกจิ จานเุ บกษา
เมื่อวันท่ี 24 พฤษภาคม 2562 โดยจะมีผลกระทบต่อหน่วยงานรฐั หรอื องคก์ รเอกชน รวมท้ัง
ภาคประชาชน แมว้ า่ กฎหมายมผี ลบงั คบั ใชเ้ พอ่ื ควบคมุ ในการรวบรวมและเกบ็ ขอ้ มลู สว่ นบคุ คล
แล้ว แต่ยังมีประเด็นท่ีน่าสังเกตว่าในทางปฏิบัติ หรือการบังคับใช้กฎหมายในเร่ืองการเก็บ
“ข้อมลู ชวี มาตร (Biometrics)” และการใชเ้ ทคโนโลยีชีวมาตรของหนว่ ยงานรฐั หรอื หน่วยงาน
เอกชนเกยี่ วกับความเสย่ี งท่อี าจมีการละเมิดสทิ ธคิ วามเปน็ สว่ นตวั
ปจั จบุ นั เปน็ ยคุ ขา่ วสารดจิ ทิ ลั อยา่ งไรกต็ าม การนำ� ขอ้ มลู ชวี มาตรไปประมวลผลขอ้ มลู
นน้ั จงึ ขน้ึ อยกู่ บั การรกั ษาความปลอดภยั และการรบั รองความถกู ตอ้ งของระบบไบโอเมตรกิ ซ์ ซงึ่
แตกตา่ งจากการใชร้ หสั ผา่ น หรอื พาสเวริ ด์ (Password) ทสี่ ามารถแกไ้ ขเปลยี่ นแปลงรหสั ผา่ นได้
ในกรณที ่มี ีการแฮค (Hack) ขอ้ มลู ของผู้ใชบ้ รกิ ารออนไลน์ นอกจากน้ี รหสั ผา่ นผใู้ ช้ยงั สามารถ
จดบนั ทกึ ไวไ้ ดด้ ว้ ยตนเอง แตเ่ มอ่ื ขอ้ มลู ชวี มาตรไมส่ ามารถเปลย่ี นแปลงลายนว้ิ มอื หรอื ลกั ษณะ
ใบหนา้ ได้ จงึ ทำ� ใหม้ คี วามเสย่ี งทขี่ อ้ มลู ชวี มาตรถกู แฮค (Hack) สำ� เรจ็ ดงั นน้ั จงึ ตอ้ งควรคำ� นงึ ถงึ
มาตรการป้องกันอย่างรัดกุมของรหัสผ่านที่ดีก็จะไม่ตกอยู่ในสถานการณ์เช่นเดียวกับข้อมูล
ชีวมาตรท่ีบุคคลอื่นสามารถที่จะน�ำไปใช้เพื่อการแสวงหาผลประโยชน์โดยมิชอบ ทั้งน้ี การ
น�ำเทคโนโลยีไบโอเมตริกซ์มาช่วยในการท�ำธุรกรรมต่างๆ หรือการน�ำข้อมูลชีวมาตรมาใช้ใน
ทางการค้าได้อย่างมีประสิทธิภาพ เพียงแค่ใช้ลายน้ิวมือก็สามารถซื้อขายสินค้าได้สะดวกและ
รวดเร็วนั้น ประกอบกับความก้าวหน้าทางเทคโนโลยีท�ำให้การเก็บรวบรวม ใช้ หรือเปิดเผย
ข้อมูลส่วนบคุ คลทำ� ได้โดยง่าย สะดวก รวดเร็ว ซึง่ การใช้ขอ้ มูลชวี มาตรจะไมเ่ หมือนกับการใช้
รหัสผ่านทเ่ี ปน็ ตัวเลข หรือบตั รแถบแมเ่ หลก็ น้นั เอง
เนื่องจากข้อมูลชีวมาตร (Biometrics) น้ีมีลักษณะเฉพาะของแต่ละบุคคลท่ีมี
ความถูกต้องแม่นย�ำสูงและมีความคงสภาพ ซึ่งลอกเลียนแบบได้ยาก จึงมีความน่าเชื่อถือ
เหมาะสมในการพิสูจน์และระบุตัวบุคคล นอกจากนี้ ผู้ประกอบการธุรกิจทางออนไลน์ หรือ
สถาบันทางการเงิน หรืออหน่วยงานภาครัฐ เช่น ส�ำนักงานทะเบียนราษฎร์ได้ถูกน�ำมาใช้กับ
การระบยุ นื ยนั ตวั บคุ คล และไดท้ ำ� การจดั เกบ็ รวบรวมขอ้ มลู ชวี มาตรไวใ้ นระบบฐานขอ้ มลู ของตน2
น�ำระบบไบโอเมตรกิ ซไ์ ปใช้ในการท�ำธุรกรรมต่างๆ ภายในองคก์ ร หรือการใหบ้ ริการกบั ลกู ค้า
เชน่ การสแกนลายน้วิ มอื การสแกนมา่ นตา สแกนใบหน้า เป็นต้น อาจมกี ารเขา้ ถึงข้อมลู ของ
ผใู้ ชบ้ รกิ าร หรือนำ� ขอ้ มลู สว่ นบุคคลไปใช้งานโดยมไิ ด้รับอนญุ าต กอ่ ใหเ้ กดิ การลว่ งละเมิดสทิ ธิ
2 มัณฑณา ศรีพงษ์พันธ์, “ปัญหาทางกฎหมายเก่ียวกับการคุ้มครองข้อมูลส่วนบุคคล:ศึกษาเฉพาะกรณี
ข้อมูลต�ำแหนง่ ของผใู้ ชบ้ ริการ,” (วิทยานพิ นธป์ รญิ ญามหาบณั ฑติ คณะนิตศิ าสตร์ มหาวทิ ยาลยั ศรีปทมุ , 2561): 46.
วารสารนิตศิ าสตร์ มหาวิทยาลยั นเรศวร ปีท่ี 14 ฉบบั ท่ี 1 มกราคม-มิถุนายน พ.ศ. 2564 53
ความเปน็ สว่ นตวั ของเจา้ ของขอ้ มลู สว่ นบคุ คลสรา้ งความเดอื ดรอ้ น รำ� คาญ หรอื กอ่ ความเสยี หาย
ให้แก่เจ้าของข้อมูล หากมีการเข้าถึงข้อมูลชีวมาตรจะไม่สามารถเปลี่ยนแปลงแก้ไขได้และ
มีผลกระทบร้ายแรงต่อชีวิตของผู้ท่ีเป็นเจ้าของข้อมูลส่วนบุคคลเหล่าน้ี ควรต้องค�ำนึงถึง
ความเสี่ยงในการเข้าถึงข้อมูลชีวมาตร จึงจ�ำเป็นต้องมีมาตรการทางกฎหมายเพื่อก�ำหนด
หลกั เกณฑ์ในการกำ� กบั ดูแล และให้ความคมุ้ ครองขอ้ มูลชวี มาตร
ด้วยเหตุน้ี การเก็บรักษาต้องเก็บข้อมูลชีวมาตรได้เฉพาะบางประเภท หรือลดขนาด
ระบบของฐานข้อมูลในการประมวลผลข้อมลู ชวี มาตร (Biometrics) ต้องมกี ารขอความยนิ ยอม
หรอื บงั คบั ใหห้ นว่ ยงานขององคก์ รตา่ งๆ หรอื ผใู้ หบ้ รกิ าร หรอื ผคู้ วบคมุ ขอ้ มลู สว่ นบคุ คลสามารถ
เก็บข้อมูลชีวมาตรประเภทใดได้น้ัน จะต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล
ก่อนอย่างชัดเจน มิใช่การยินยอมโดยอัตโนมัติ และเจ้าของข้อมูลส่วนบุคคลสามารถถอน
ความยินยอมเมื่อไหร่ก็ได้ โดยไม่มีข้อแม้หรือเง่ือนไข เว้นแต่จะมีข้อจ�ำกัดสิทธิโดยบทบัญญัติ
ของกฎหมาย หรือสัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลก่อนที่จะค้นหาข้อมูลชีวมาตร เพ่ือ
ปกป้อง และควบคุมการจัดเก็บ การใช้ หรือการแบ่งปันข้อมูลชีวมาตร โดยจะต้องเปิดเผย
นโยบายแจ้งเตือนก่อนเป็นลายลักษณ์อักษรเก่ียวกับกระบวนการในการดำ� เนินงาน ระยะเวลา
ในการทำ� ลายข้อมูลชวี มาตร และรับรองความโปร่งใส เพื่อใหเ้ กดิ ความเชื่อมนั่ ของประชาชนท่ี
จะได้รับการคุม้ ครองสิทธติ ามพระราชบญั ญตั คิ มุ้ ครองข้อมูลส่วนบคุ คล พ.ศ. 25623 โดยเพิ่ม
บทนยิ ามคำ� วา่ “ขอ้ มลู ชีวมาตร (Biometrics) ในมาตรา 6 เพือ่ ปอ้ งกันผลกระทบจากกฎหมาย
ในการใชข้ ้อมูลชีวมาตร
2. การระบุตัวตนของบุคคลด้วยเทคโนโลยไี บโอเมตริกซ์
ปัจจุบันการบริการต่างๆ ในการท�ำธุรกรรมง่ายข้ึนและรวดเร็วมากข้ึนผู้บริโภคท่ัวไป
สามารถเข้าถึงแหล่งบริการทางออนไลน์ผ่านทางอิเล็กทรอนิกส์ และขณะเดียวกันอยู่ในช่วง
เปลี่ยนถ่ายระบบจากการยืนยันตัวตนด้วยการใส่รหัสผ่านเป็นตัวเลข มาเป็นระบบชีวมาตร
(Biometrics) ซง่ึ สามารถพิจารณาได้ ต่อไปนี้
2.1 ความหมายของชวี มาตร หรือไบโอเมตรกิ ซ์ (Biometrics)
หมายถึง “ลักษณะทางกายภาพ และพฤติกรรมที่สามารถวัดผลได้ ซ่ึงท�ำให้สามารถ
สรา้ งและยนื ยนั ตวั ตนของแตล่ ะบคุ คลได”้ จำ� แนกลกั ษณะเฉพาะ (Identification) ดงั นน้ั ลกั ษณะ
ทางชีวมาตรต้ังแต่การสแกนลายนิ้วมือรวมถึงเคร่ืองสแกนม่านตา หรือการจดจ�ำใบหน้า และ
3 พระราชบญั ญตั ิคุ้มครองข้อมูลสว่ นบุคคล พ.ศ. 2562, มาตรา 23 (3)
54 ปที ่ี 14 ฉบบั ท่ี 1 มกราคม-มิถนุ ายน พ.ศ. 2564 วารสารนติ ศิ าสตร์ มหาวิทยาลยั นเรศวร
การรู้จ�ำเสียง4 แม้ว่าส่ิงเหล่าน้ีจะเป็นลักษณะทางกายภาพท่ีใช้กันมากที่สุดส�ำหรับผู้บริโภค
แต่ก็มีแอปพลิเคชันอื่นๆ ที่มุ่งเน้นไปที่พฤติกรรม เช่น การจดจ�ำเสียง (Voice recognition)
การกดแปน้ พมิ พ์ (Keystroke dynamics) วเิ คราะหก์ ารเดนิ (Gait analysis) การวเิ คราะหล์ ายเซน็
(Signature analysis) ไบโอเมตริกซ์ทางปัญญา (Cognitive biometrics) ลักษณะการใช้เมาส์
(Mouse use characteristics)5 เป็นตน้
2.2 การจัดการข้อมลู ส่วนบุคคลทอี่ ่อนไหวงา่ ย (Sensitive data)
หน่วยงานภาครัฐได้มีการใช้ระบบชีวมาตรนี้ในการลงทะเบียนซิมการ์ด โดยเฉพาะ
อย่างย่ิงธุรกรรมออนไลน์ด้านการเงินการธนาคาร ในการช�ำระเงินผ่านอุปกรณ์สมาร์ตโฟน
หรือการบริการต่างๆ เพื่อเพ่ิมความปลอดภัยในการปลดล็อคแอปพลิเคชัน โดยไม่ต้องใส่
รหัส (Password) หรือใชแ้ ทนการปลดล็อคแอปพลิเคชนั ในกรณลี ืมรหสั เขา้ ใช้งาน หรอื ปอ้ งกนั
การเข้าถึงข้อมูลในระบบสมาร์ตโฟน หากข้อมูลชีวมาตรชนิดน้ีหายไป หรือตกไปอยู่ใน
การครอบครองของบคุ คลอนื่ ได้ ยอ่ มจะไมส่ ามารถแกไ้ ขไดเ้ หมอื นรหสั ผา่ น ดงั นน้ั สทิ ธใิ นขอ้ มลู
สว่ นบคุ คลน้ี ควรใหบ้ คุ คลใดบา้ งมสี ทิ ธทิ จ่ี ะเขา้ ถงึ และใชป้ ระโยชนจ์ ากผเู้ ปน็ เจา้ ของขอ้ มลู เหลา่ นี้
ไดบ้ า้ ง และทส่ี ำ� คญั ประการหนงึ่ กลา่ วคอื การจดั การขอ้ มลู สว่ นบคุ คลทอี่ อ่ นไหวงา่ ย (Sensitive
data)6 ซ่ึงมีความละเอียดอ่อนและสุ่มเส่ียงต่อการน�ำไปใช้เพื่อแสวงหาผลประโยชน์ และ
การเลือกปฏิบัติอย่างไม่เป็นธรรม จึงต้องด�ำเนินการด้วยความระมัดระวังพิเศษ ได้แก่
การจ�ำแนกประเภทข้อมูลชีวมาตร และหรือข้อมูลส่วนบุคคล และการบังคับใช้ ตามประเภท
ของความเสย่ี งและความรา้ ยแรงของผลกระทบตอ่ สทิ ธแิ ละเสรภี าพของบคุ คล ถอื วา่ เปน็ ขอ้ มลู
ส่วนบคุ คลที่เป็นเรื่องส่วนตวั โดยแท้
อยา่ งไรกต็ าม ปญั หาการนำ� ขอ้ มลู สว่ นบคุ คลไปใชโ้ ดยมไิ ดร้ บั ความยนิ ยอมกอ่ น หรอื แม้
กระทงั้ ใหค้ วามยนิ ยอมแลว้ กต็ าม กต็ อ้ งคำ� นงึ ถงึ สทิ ธสิ ว่ นตวั ของบคุ คลทผี่ อู้ นื่ จะลว่ งละเมดิ มไิ ด้
อันเป็นสิทธิในความเป็นส่วนตัวของแต่ละบุคคล อันน�ำมาซึ่งการศึกษาเปรียบเทียบกฎหมาย
ที่เกี่ยวกับการควบคุมการใช้ข้อมูลชีวมาตร รวมถึง พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
พ.ศ. 2562 และพระราชบญั ญตั คิ มุ้ ครองขอ้ มลู ไบโอเมตรกิ ซข์ องรฐั อลิ ลนิ อยส์ Illinois Biometric
Information Privacy Act: 2008 (BIPA) แหง่ สหรัฐอเมรกิ า ซง่ึ มีความสอดคลอ้ งกบั กฎ ระเบียบ
4 อภชิ ยั แผลงศร, เอกสารประกอบการบรรยาย การระบบุ คุ คล (Identification) (กรงุ เทพฯ: ภาควชิ านติ เิ วชวทิ ยา
คณะแพทยศาสตร์ มหาวทิ ยาลยั ศรนี ครนิ ทรวโิ รฒ, 2559), 52.
5 เอกรินทร์ ซื่อธานุวงศ์, “ระบบตรวจสอบลายนิ้วมือฝังตัว,” (วิทยานิพนธ์ปริญญามหาบัณฑิต
คณะวศิ วกรรมศาสตร์ มหาวทิ ยาลยั สงขลานครนิ ทร,์ 2548), 23.
6 ศิริกุล ภู่พันธ์, “ข้อความคิดว่าด้วยข้อมูลข่าวสารส่วนบุคคล,” (วิทยานิพนธ์ปริญญามหาบัณฑิต
คณะนติ ศิ าสตร์ มหาวทิ ยาลยั ธรรมศาสตร์, 2548), 83.
วารสารนติ ศิ าสตร์ มหาวิทยาลัยนเรศวร ปีที่ 14 ฉบบั ท่ี 1 มกราคม-มถิ นุ ายน พ.ศ. 2564 55
ขอ้ บงั คบั ของ General Data Protection Regulation: 2018 (GDPR) แหง่ สหภาพยโุ รปอนั เปน็ ตน้
แบบของมาตรการทางกฎหมาย ซ่ึงคุ้มครองและป้องกันสิทธิในความเป็นส่วนตัวของเจ้าของ
ข้อมูลส่วนบคุ คล โดยจะน�ำไปใชไ้ ดต้ อ่ เมอ่ื ได้รบั ความยินยอมจากผู้เปน็ เจ้าของขอ้ มลู กอ่ นโดย
ชดั แจง้ หากมกี ารเกบ็ รวบรวม การใช้ การประมวลผลขอ้ มลู หรอื จำ� เปน็ ตอ่ การปฏบิ ตั งิ าน หรอื
จำ� เปน็ สำ� หรบั การปกปอ้ งผลประโยชนท์ ส่ี ำ� คญั ของแตล่ ะบคุ คล โดยหลกั การสำ� คญั ของกฎหมาย
(BIPA) หา้ มประมวลผลขอ้ มลู เปดิ เผย เชา่ ซอ้ื ซอื้ ขาย เวน้ แต่ กระทำ� ไปเพอ่ื ความมน่ั คงปลอดภยั
ของสงั คม หรือมีกฎหมายบญั ญตั ิให้กระท�ำได้ ตาม 740 ILCS 14/15 (c)7
ประวัติโดยย่อของกฎหมายข้อมูลชีวมาตรแห่งรัฐอิลลินอยส์ (Biometric Information
Privacy:BIPA) ซ่ึงบังคับเม่ือปี ค.ศ 2008 เป็นครั้งแรกท่ีรัฐอิลลินอยส์ให้ความส�ำคัญเก่ียวกับ
ลายนิ้วมอื และมีการบังคับใชก้ ฎหมายดงั กล่าวเพมิ่ อีกในสองรฐั คอื รัฐเทก็ ซสั กฎหมายการใช้
กฎระเบยี บการระบตุ วั ตนทางชวี มาตร (Texas Biometric Identifier Statute: BIS) และรฐั วอชงิ ตนั
กฎหมายการระบตุ ัวตนทางชวี มาตรของวอชิงตนั (Washington Biological Identification Law:
BI) จากการศกึ ษามาตรการทงั้ สามรฐั ขา้ งตน้ พบวา่ รฐั อลิ ลนิ อยส์ (BIPA) หา้ มมใิ หอ้ งคก์ รตา่ งๆ
ที่มีข้อมูลชีวมาตรเปิดเผยข้อมูลส่วนบุคคลดังกล่าว เว้นแต่จะได้รับความยินยอมจากเจ้าของ
ข้อมูลกอ่ น ซ่งึ ตอ้ งแจง้ “ล่วงหนา้ ” ตั้งแต่ครง้ั แรกที่เรม่ิ ใช้ ตาม 740 ILCS 10/15 (b)8 หลกั ความ
ยินยอม มิใช่เพียงแค่ “แจ้ง” หากองค์กรผู้ให้บริการไม่แจ้งขอให้ความยินยอมล่วงหน้าเป็น
ลายลกั ษณอ์ กั ษรแกเ่ จา้ ของขอ้ มลู ทราบกอ่ น และควบคมุ การจดั เกบ็ รวบรวมขอ้ มลู ชวี มาตร โดย
ไบโอเมตริกซ์ (Biometrics) รวมถึงลายน้ิวมือ (DNA) ทา่ ทางการเดนิ จงั หวะการพมิ พ์ การพมิ พ์
เสียง รูปแบบหลอดเลือดด�ำและรูปทรงของใบหน้า หรือเพียงแค่ช่ือไม่กี่ชื่อ เป็นต้น ส�ำหรับ
ผู้ให้บริการด้านการดูแลสุขภาพรวบรวมข้อมูลที่ระบุตัวตนเก่ียวกับผู้ป่วยนั้น ซึ่งโดยปกติจะ
รวมถงึ ข้อมลู พันธุกรรม (DNA)9 เมอื่ มกี ารละเมิดกเ็ พยี งพอทีจ่ ะนำ� คดขี น้ึ สศู่ าล แมว้ า่ เจ้าของ
ขอ้ มลู สว่ นบคุ คลจะไมไ่ ดร้ บั ผลกระทบจากการไมแ่ จง้ ความยนิ ยอมดงั กลา่ วนน้ั กต็ าม ผเู้ สยี หาย
ไมจ่ ำ� เปน็ ตอ้ งแสดงความเสยี หายเพมิ่ เตมิ กฎหมายกถ็ อื วา่ ละเมดิ กฎหมาย ผเู้ สยี หายสามารถเรยี ก
คา่ เสยี หายไดเ้ องตามความเหมาะสม ซง่ึ มเี ฉพาะมลรฐั อลิ ลนิ อยส์ ซง่ึ มลรฐั อนื่ ตอ้ งไดร้ บั อนญุ าต
7 740 ILCS 14/15 (c) No private entity in possession of a biometric identifier or biometric
information may sell, lease, trade, or otherwise profit from a person’s or a customer’s biometric identifier or
biometric information.
8 (740 ILCS 14/15)
Sec. 15. Retention; collection; disclosure; destruction.
(b) No private entity may collect, capture, purchase, receive through trade, or otherwise obtain a
person’s or a customer’s biometric identifier or biometric information, unless it first:
9 Hannah Zimmerman, “The Data of You: Regulating Private Industry’s Collection of Biometric Information,”
Kansas Law Reviews 66 (2018): 637-617.
56 ปที ี่ 14 ฉบับท่ี 1 มกราคม-มถิ ุนายน พ.ศ. 2564 วารสารนติ ศิ าสตร์ มหาวิทยาลัยนเรศวร
จากศาลกอ่ น ดว้ ยเหตนุ ี้ จงึ มคี วามจำ� เปน็ ในการแกไ้ ขมาตรการทางกฎหมาย เพอ่ื คมุ้ ครองสทิ ธิ
ในความเป็นส่วนตัวน้ีต้องอาศัยบทบัญญัติของกฎหมายที่เกี่ยวข้องคุ้มครอง และป้องกันสิทธิ
ในความเป็นสว่ นตวั ของเจ้าของข้อมูลสว่ นบุคคล เช่น ตัวอย่าง คดี Rosenbach v. Six Flags
เมื่อวันที่ 25 มกราคม 201910 ศาลฎีกาแห่งรัฐอิลลินอยส์ได้กลับค�ำพิพากษาของ
ศาลอุทธรณ์ของรัฐไว้ว่าเป็นการละเมิดกฎหมายความเป็นส่วนตัวด้านข้อมูลทางชีวมาตรของ
รฐั อลิ ลินอยส์ “BIPA” 740 ILL COMP. STAT 14 (2008) คดี โจทก์ Rosenbach และ Six Flags
จำ� เลย โดย Rosenbach โจทกไ์ ดท้ ำ� การซอ้ื บตั รผา่ นเขา้ สซู่ ซี นั สวนสนกุ ใหบ้ ตุ รชายวยั 14 ปี ของ
โจทก์ ซ่ึงเป็นส่วนหนงึ่ ของการทศั นศกึ ษาทีส่ วนสนกุ Six Flags Amusement Park โดยบุตรชาย
ของโจทก์จะต้องถูกส่งสแกนลายน้ิวมือเพ่ือใช้บัตรผ่านเข้าสวนสนุก โดยบุตรชายของโจทก์
ก่อนหน้าน้ีเคยพยายามเปิดใช้งานบัตรผ่านดังกล่าวแล้ว แต่ไม่สามารถใช้งานได้ โดยโจทก์
ไมไ่ ดร้ บั การแจง้ เกยี่ วกบั ขอ้ กำ� หนดการสแกนลายนวิ้ มอื หรอื วธิ กี ารใช้ หรอื จดั เกบ็ ขอ้ มลู ทสี่ ำ� คญั
แตอ่ ยา่ งใด แมว้ า่ โจทกจ์ ะไมไ่ ดก้ ลา่ วอา้ งวา่ การละเมดิ ครง้ั นกี้ อ่ ใหเ้ กดิ ความเสยี หายทางการเงนิ
หรือด้านอื่นๆ ใดก็ตาม แต่จากการตรวจสอบข้อเท็จจริงเหล่านี้แล้ว ศาลฎีการัฐอิลลินอยส์
ได้ยอมรับข้อโต้แย้งของโจทก์ว่านโยบายของจ�ำเลย ซ่ึงไม่ได้แจ้งเก่ียวกับการใช้ข้อมูลชีวมาตร
ก็เป็นการเพียงพอในการละเมดิ กฎหมาย (BIPA) แล้ว
ดังนั้น จะเห็นได้ว่ารัฐอิลลินอยส์ได้บัญญัติกฎหมายเพื่อคุ้มครองให้บุคคลสามารถ
ควบคุมขอ้ มูลชีวมาตร หรอื ไบโอเมตริกซข์ องตนได้ โดยบัญญัตกิ ฎหมายให้มีการ “แจ้ง” เตอื น
ให้เจ้าของข้อมลู ทราบในการใชข้ ้อมูลชีวมาตร เช่น ลายน้ิวมือ ดีเอน็ เอ การสแกนใบหน้า และ
ขอ้ มูลทางชีววทิ ยาอนื่ ๆ พระราชบัญญัติข้อมูลไบโอเมตริกซ์ (BIPA) ห้ามมิให้หน่วยงานตา่ งๆ
หรือบริษทั เอกชนรวบรวมขอ้ มลู ชวี มาตรของบุคคล ตาม 740 ILCS 14/25 (d) และระยะเวลา
ในการเก็บรักษาข้อมูล กฎหมายยังก�ำหนดให้ บริษัทต่างๆ ต้องปกป้องความลับของข้อมูล
ชวี มาตร ตาม 740 ILCS 14/25 (e)11
มาตรการกฎหมาย (BIPA) กำ� หนดใหอ้ งคก์ รธรุ กจิ ทร่ี วบรวม หรอื จดั เกบ็ ขอ้ มลู ชวี มาตร
ตอ้ งด�ำเนนิ การดงั ตอ่ ไปน้ี
1. ก�ำหนดนโยบายเป็นลายลักษณ์อักษรพร้อมวิธีการเก็บรักษาข้อมูล และแนวทาง
ในการท�ำลายตวั ระบชุ วี มาตรอย่างถาวร
10 Illinois Official Reports Supreme Court, “Rosenbach v. Six Flags Entertainment Corp., 2019 IL
123186,” accessed July 29, 2020, https://courts.illinois.gov/Opinions/SupremeCourt/2019/123186.pdf.
11 740 ILCS 14/25 (e) Nothing in this Act shall be construed to apply to a contractor, subcontractor,
or agent of a State agency or local unit of government when working for that State agency or local unit of
government.
วารสารนติ ิศาสตร์ มหาวทิ ยาลยั นเรศวร ปีที่ 14 ฉบับที่ 1 มกราคม-มถิ นุ ายน พ.ศ. 2564 57
2. นโยบายแจ้งเตือนให้เจ้าของข้อมมูลชีวมาตรทราบเป็นลายลักษณ์อักษรว่าข้อมูล
ชีวมาตรกำ� ลงั จะถกู รวบรวม หรอื จดั เกบ็ ตามวตั ถุประสงคแ์ ละระยะเวลาที่จะจดั เก็บและการใช้
ตวั ระบชุ วี มาตร
3. ไดต้ อบรับการให้ความยนิ ยอมเป็นลายลักษณ์อักษรจากเจา้ ของขอ้ มูล และ
4. ไม่ส่งต่อข้อมูลชีวมาตร หรือเปิดเผยข้อมูลชีวมาตรให้กับบุคคลท่ีสามโดยไม่ได้รับ
ความยนิ ยอมจากเจ้าของข้อมลู เสียกอ่ น
เมื่อน�ำหลักการดังกล่าวมาพิจารณาเปรียบเทียบกับพระราชบัญญัติคุ้มครองข้อมูล
สว่ นบคุ คล พ.ศ. 2562 พบวา่ ยังมิไดม้ มี าตรการกำ� หนดใหผ้ ปู้ ระกอบธุรกิจต่างๆ แจง้ เตือนให้
บุคคลทราบถึง “มาตรฐานการดูแลที่เหมาะสม” ในการจัดเก็บ รวบรวม ส่ง หรือการปกป้อง
ข้อมูลชีวมาตร หรือไบโอเมตริกซ์ เพ่ือปกป้องความเป็นส่วนตัวของบุคคลท่ีให้ใช้ข้อมูล โดย
ก�ำหนดให้หน่วยงานธุรกิจท่ีรวบรวม หรือจัดเก็บข้อมูลชีวมาตรจะต้องด�ำเนินการอย่างไร
ภายใตบ้ ทบัญญตั ิของกฎหมาย
3. วเิ คราะห์พระราชบัญญัติคมุ้ ครองขอ้ มูลสว่ นบคุ คล พ.ศ. 2562
ความเปน็ สว่ นตัวของข้อมลู ชวี มาตร (Biometrics)
ควรจะมคี วามหมายอย่างไร
เมอื่ วนั ที่ 7 ตลุ าคม 2557 โดยสำ� นกั งานคณะกรรมการขอ้ มลู ขา่ วสารของราชการ (สขร.)
เสนอร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ถูกบรรจุเข้าไปในวาระของสภานิติบัญญัติ
แห่งชาติ (สนช.) ไปแล้วหน่ึงฉบับ ซ่ึงเป็นกฎหมายที่เสนอโดยส�ำนักนายกรัฐมนตรี ได้ค้าง
พิจารณามาจากสภา ซ่ึงสภานิติบัญญัติแห่งชาติได้เสนอร่างกฎหมายพระราชบัญญัติคุ้มครอง
ข้อมลู ส่วนบุคคล พ.ศ...สองฉบับภายใตช้ ่อื เดียวกันทผี่ า่ นการพจิ ารณาแลว้ เร่ืองท่ี 1135/2558
เมอื่ เปรยี บเทยี บรา่ งพระราชบญั ญตั คิ มุ้ ครองขอ้ มลู สว่ นบคุ คล พ.ศ...ทงั้ สองฉบบั จะพบหลกั การ
ทเ่ี ปล่ียนแปลงไปในรา่ งพระบญั ญตั คิ ุม้ ครองข้อมูลสว่ นบุคคลฉบับใหม่ ดงั นี้
3.1 ปัญหาคำ� จ�ำกัดความของคำ� นิยามศพั ท์ “ข้อมูลชวี มาตร (Biometrics)
แก้ไขนิยามศัพท์ ของค�ำว่า “ข้อมูลส่วนบุคคล” ใหม่ให้ส้ันลงแต่ตีความได้กว้างข้ึน
จากขอ้ มลู สว่ นบคุ คลทเ่ี กย่ี วกบั สงิ่ เฉพาะตวั ของบคุ คล เชน่ การศกึ ษา ฐานะการเงนิ ประวตั สิ ขุ ภาพ
ประวตั อิ าชญากรรม ประวตั กิ ารทำ� งาน หรอื ประวตั กิ จิ กรรม และเลขหมาย รหสั หรอื สง่ิ ทบี่ ง่ บอก
ลกั ษณะอน่ื ทจ่ี ะทำ� ใหร้ ตู้ วั บคุ คลนนั้ ได้ เชน่ ลายนวิ้ มอื แผน่ บนั ทกึ ลกั ษณะ เสยี งของคน รปู ถา่ ย
58 ปที ่ี 14 ฉบบั ท่ี 1 มกราคม-มิถุนายน พ.ศ. 2564 วารสารนิตศิ าสตร์ มหาวิทยาลยั นเรศวร
เหลือเพียงข้อมูลเก่ียวข้องกับบุคคล12 ซ่ึงท�ำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือ
ทางออ้ ม ตามนยั มาตรา 6 ฉบบั ปจั จบุ นั ซง่ึ เปน็ การบญั ญตั คิ ำ� นยิ ามแบบกวา้ ง และเปน็ การทวั่ ไป
จากปญั หาคำ� จำ� กัดความของค�ำนิยาม “ขอ้ มลู ชีวมาตร (Biometrics)”13 ซึ่งเป็นข้อมูล
ลบั เฉพาะของบคุ คลที่มคี วามอ่อนไหวง่าย อกี ทั้ง มไิ ด้จ�ำแนกประเภทของข้อมลู ส่วนบคุ คลให้
มคี วามชดั เจน อาจสง่ ผลกระทบในทางปฏบิ ตั แิ กผ่ คู้ วบคมุ หรอื ผปู้ ระมวลผลขอ้ มลู และเจา้ ของ
ขอ้ มลู สว่ นบคุ คล อาจตคี วามหมายตามเจตนาของตนวา่ เปน็ ขอ้ มลู ทวั่ ไป หรอื หากเกดิ ขอ้ พพิ าท
จำ� ตอ้ งใชด้ ลุ ยพนิ จิ ในการตคี วามหมายเพอื่ การบงั คบั ใชก้ ฎหมายใหเ้ ปน็ ตามบทบญั ญตั ิ จงึ ตอ้ ง
พิจารณาความหมายของ “ขอ้ มูลชีวมาตร (Biometrics)” ดงั น้ี
“ข้อมูลชีวมาตร (Biometrics)” ซึ่งเป็นข้อมูลที่เกิดจากเทคโนโลยีด้านชีวมาตรและ
ทางการแพทย์ และเทคโนโลยีทางคอมพวิ เตอรเ์ ขา้ ด้วยกัน เพ่อื ยืนยนั ในการระบุความเป็นตัว
ตน (Individual’s Identity) จึงเปน็ ขอ้ มูลลับเฉพาะของบคุ คลท่มี คี วามออ่ นไหวงา่ ย จะต้องไดร้ บั
การคมุ้ ครองเป็นกรณพี ิเศษเฉพาะเจาะจง และจ�ำแนกประเภทออกจากข้อมลู ทัว่ ไป
จากการศกึ ษาผเู้ ขยี นเหน็ วา่ ควรใหค้ วามสำ� คญั คำ� นยิ ามศพั ทข์ อ้ มลู ชวี มาตร ซงี่ มคี วาม
แตกตา่ งกนั ในประเภทของขอ้ มลู สว่ นบคุ คล โดยทำ� การเปรยี บเทยี บกบั พระราชบญั ญตั คิ มุ้ ครอง
ข้อมลู ไบโอเมตริกซข์ องสหรฐั อเมรกิ าดงั นี้
พระราชบญั ญตั คิ มุ้ ครองขอ้ มลู ไบโอเมตรกิ ซข์ องสหรฐั อเมรกิ า (Biometric Information
Privacy Act 2008: BIPA) ได้บัญญัติค�ำนิยามประเภท “ข้อมูลชีวมาตร (Biometrics)” โดย
จ�ำแนกประเภทของข้อมูลชีวมาตรให้ชัดเจนออกจากประเภทข้อมูลทั่วไป เว้นแต่ ข้อมูลท่ี
ได้จากการรวบรวม หรือขั้นตอนที่ได้รับการยกเว้นภายใต้ค�ำจ�ำกัดความ ตาม Section 1014
ท�ำให้ผู้ปฏิบัติหน้าที่เก่ียวกับข้อมูลส่วนบุคคลดังกล่าวน้ี ไม่จ�ำต้องตีความหมายว่าข้อมูลที่
เกิดจากผลทางเทคโนโลยีตามพระราชบัญญัติทางกายวิภาคแห่งรัฐอิลลินอยส์เป็นข้อมูล
ประเภทใด กฎหมายไมเ่ พยี งกำ� หนดใหต้ อ้ งปฏบิ ตั ติ าม “เกณฑม์ าตรฐานในการดแู ลทเี่ หมาะสม
ในองค์กรเอกชน” กฎหมายยงั ไดอ้ ธบิ ายการใช้เทคโนโลยี (Biometrics) อีกดว้ ย ดงั น้ัน องค์กร
12 ร่างพระราชบัญญัติคุม้ ครองข้อมูลส่วนบคุ คล ผ่านการพิจารณาแล้ว เรือ่ งที่1135/2558
13 นัยนา มาแสง, “เทคโนโลยีไบโอเมตริกซ์,” วารสารวชิ าการ มหาวิทยาลัยธนบุรี 2, ฉ.1 (2551): 3-6.
14 (740 ILCS 14/10) Section. 10. Definitions. In this Act. reads:
“Biometric information” means any information, regardless of how it is captured, converted,
stored, or shared, based on an individual’s biometric identifier used to identify an individual, “Biometric
information does not include information derived from items or procedures excluded under the definition
of biometric identifiers,” accessed December 24, 2019, http://gtclawgroup.com/wp-content/uploads/
2017/11/Illinois-2017-law-Biometric-Information-Privacy-Act.pdf.
วารสารนติ ิศาสตร์ มหาวิทยาลยั นเรศวร ปที ี่ 14 ฉบบั ท่ี 1 มกราคม-มถิ นุ ายน พ.ศ. 2564 59
ท่ีอยูภ่ ายใต้ BIPA จงึ ตอ้ งตรวจสอบใหแ้ น่ใจวา่ “ข้อมลู ชีวมาตร” ไดร้ ับการปกปอ้ งและค้มุ ครอง
มใิ หถ้ กู ละเมิดเปน็ กรณพี ิเศษ
เมื่อเปรยี บเทยี บคำ� นิยามศัพท์ พระราชบัญญตั ิคุ้มครองข้อมลู สว่ นบุคคล พ.ศ. 2562
ผเู้ ขยี น พบวา่ มเี จตนามงุ่ ใหเ้ ปน็ กฎหมายกลางและตคี วามไดก้ วา้ งนนั้ อาจเพราะมกี ฎหมายอน่ื ๆ
บัญญัติเก่ียวกับการคุ้มครองข้อมูลส่วนบุคคลในลักษณะใดไว้เป็นการเฉพาะแล้ว แต่ก็มิได้
บญั ญตั คิ �ำนยิ ามศัพท์ไวใ้ นมาตรา 6 บทนิยามแต่อย่างใด จงึ มิอาจทราบความหมายเฉพาะได้
วา่ “ขอ้ มลู ชวี มาตร” เปน็ ขอ้ มลู ทเ่ี กดิ จากเทคนคิ และเทคโนโลยที างการแพทยท์ ม่ี คี วามละเอยี ด
ออ่ น และเป็นขอ้ มูลลับเฉพาะของบุคคล ซึง่ ต้องระวังเป็นกรณีพิเศษ และตอ้ งจำ� แนกประเภท
ข้อมูลชวี มาตรออกจากข้อมลู ท่วั ไป เมื่อพิจารณากฎหมาย BIPA ของสหรฐั อเมรกิ าได้บญั ญตั ิ
“ข้อมูลชีวมาตร” ไว้ในบทนิยามค�ำศัพท์ และจ�ำแนกประเภทข้อมูลชีวมาตรออกจากข้อมูล
สว่ นบคุ คลทวั่ ไปไว้อยา่ งชดั เจน ตาม 740 ILCS 14/10 จงึ สามารถทราบ และเขา้ ใจได้วา่ ข้อมูล
ใดมีความละเอยี ดออ่ นไหวงา่ ย และขอ้ มูลใดเปน็ ขอ้ มูลทัว่ ไป เพ่ือประโยชน์ในการท�ำธุรกรรม
ตา่ งๆ หรอื ในการพิสจู นย์ ืนยนั ตวั ตนของบคุ คล ในระบบดจิ ิทัล
ผู้เขียนพบขอ้ สงั เกตว่า พระราชบัญญตั คิ ุม้ ครองขอ้ มลู ส่วนบุคคล พ.ศ.2562 ตามนัย
มาตรา 24 “ห้ามมิใหผ้ ู้ควบคมุ ข้อมลู ส่วนบุคคลท�ำการเก็บรวบรวมข้อมูลส่วนบคุ คล โดยไม่ได้
รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่มีความจ�ำเป็นเพื่อการปฏิบัติหน้าที่เพ่ือ
ประโยชน์สาธารณะ.....”
มาตรา 27 ห้ามมใิ หผ้ ู้ควบคุมข้อมูลสว่ นบุคคลใช้ หรือเปิดเผยข้อมลู ส่วนบคุ คล โดย
ไมไ่ ด้รับความยินยอมจากเจ้าของขอ้ มลู ส่วนบุคคล เวน้ แต่ข้อมูลส่วนบคุ คลที่เก็บรวบรวมไดร้ บั
การยกเวน้ โดยไม่ตอ้ งขอความยินยอมตาม มาตรา 24 หรอื มาตรา 26
แมป้ รากฏวา่ มาตรา 26 บญั ญัติหา้ มมใิ หเ้ ก็บรวบรวมข้อมูลสว่ นบุคคลเกีย่ วกับข้อมลู
ชีวมาตร โดยไม่ได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคลก่อนนั้นก็ตาม แต่
ก็ยงั มีประเดน็ ในเรอ่ื งการบงั คับใช้กฎหมายของหน่วยงานรฐั หลายแห่ง อาจใช้อ�ำนาจรฐั ในการ
บังคับการเก็บขอ้ มูลชวี มาตรของประชาชน โดยไม่คำ� นึงถึงผลกระทบท่ีจะเกดิ กบั เจ้าของขอ้ มูล
ชีวมาตรในกรณีท่ีเกิดการร่ัวไหล หรือถูกน�ำข้อมูลชีวมาตรไปใช้ในทางที่มิชอบโดยเจ้าหน้าท่ี
ของรัฐเอง15
ดังนัน้ การบญั ญัติคำ� นิยามศพั ท์ “ขอ้ มูลชวี มาตร (Biometrics)” สามารถท�ำให้ทราบ
ถึงประเภทข้อมูลที่เกิดจากเทคโนโลยีทางการแพทย์ซึ่งเป็นข้อมูลลับเฉพาะของบุคคลโดยแท้
15 ประชาไทย, “กลมุ่ นักวชิ าการยนื่ หนังสอื นายกฯ หว่ งรฐั เก็บขอ้ มูลชวี มาตรไม่โปร่งใส ไมม่ ธี รรมาภิบาล,”
สืบค้นเมือ่ 9 สงิ หาคม 2562, https://prachatai.com/journal/2019/08/83824.
60 ปีท่ี 14 ฉบบั ที่ 1 มกราคม-มิถุนายน พ.ศ. 2564 วารสารนิตศิ าสตร์ มหาวทิ ยาลยั นเรศวร
ทีต่ ้องระมัดระวงั เป็นกรณพี ิเศษ ในทางปฏิบัตจิ ะท�ำให้ผู้ควบคุม หรือผปู้ ระมวลผลขอ้ มูล และ
เจา้ ของขอ้ มลู เขา้ ใจถงึ ความหมายของ “ขอ้ มลู ชวี มาตร” ตรงกนั รวมถงึ เขา้ ใจวา่ ขอ้ มลู ประเภทใด
เป็นข้อมูลท่ัวไป และหากเกิดข้อพิพาทไม่จ�ำต้องใช้ดุลยพินิจของศาลในการตีความ เพ่ือการ
บงั คบั ใชก้ ฎหมาย เนอ่ื งจากมบี ทบญั ญตั ซิ ง่ึ กำ� หนดประเภทของ “ขอ้ มลู ชวี มาตร” ไวอ้ ยา่ งชดั แจง้
3.2 หลักการความยนิ ยอม (Consent) ข้อมูลชวี มาตร (Biometrics)
ส�ำหรับธุรกิจออนไลน์ต้องให้แน่ใจว่าความเป็นส่วนตัวของผู้ใช้บริการที่เข้าเว็บไซต์น้ัน
จะตอ้ งไดร้ บั ความคมุ้ ครอง กลา่ วคอื กอ่ นทข่ี อ้ มลู สว่ นบคุ คลจะถกู เกบ็ รวบรวม ใช้ การเผยแพร่
ผู้ใช้บริการต้องได้รับแจ้งเตือนการให้ความยินยอมเป็นลายลักษณ์อักษรก่อน จึงจ�ำเป็นต้องมี
นโยบายความเป็นส่วนตัวน้ี สิทธิความเป็นส่วนตัวของผู้ใช้บริการต้องมีมาตรการป้องกัน
การเข้าถงึ จากสาธารณะเป็นสง่ิ ส�ำคญั แต่ต้องอยภู่ ายใตก้ ฎหมายในการถกู จำ� กดั สทิ ธิ อนั เปน็
ข้อยกเว้นของกฎระเบียบ ข้อบังคับในการประมวลผลข้อมูลส่วนบุคคล โดย Biometric
Information Privacy Act 2008 (BIPA) ของสหรัฐอเมริกา มุง่ เน้นความสำ� คญั เช่นเดียวกันกบั
GDPR ของสหภาพยุโรป ดังน1ี้ 6
1. ความยนิ ยอมอยา่ งอสิ ระ (Freely given) ดำ� เนนิ การตรวจสอบไดช้ ดั เจนและยนื ยนั ได้
(Verified using a clear, affirmative action) แจง้ เตือนความยนิ ยอม (Informed) เฉพาะเจาะจง
(Specific) ไมค่ ลุมเคลือ (Unambiguous)
2. แนวทางปฏิบัติของผู้ประกอบการธุรกิจในบางประการต้องท�ำเพื่อหลีกเลี่ยง
การละเมิดความเป็นส่วนตัว ต้องมิใช่การให้ความยินยอมโดยอัตโนมัติในรูปแบบของการเว้น
ชอ่ งว่างให้ผูใ้ ช้บรกิ ารทำ� เครือ่ งหมาย17 เชน่
1) ผู้ให้บริการต้องต้องไม่ท�ำเคร่ืองหมาย ใดๆ ในช่องก่อนได้รับความยินยอม หาก
ผใู้ ชบ้ รกิ ารไมค่ ลกิ ยอมรบั นโยบายอยา่ งอสิ ระเสรี หรอื ไมค่ ลมุ เครอื การขอความยนิ ยอมทถี่ กู ตอ้ ง
ตาม GDPR ผูใ้ ชบ้ รกิ ารจะต้องตกลงใหค้ วามยนิ ยอมดว้ ยตนเอง เชน่ การเลือกเครอื่ งหมายถูก
ในช่อง เพอื่ เปดิ การใช้งาน ดงั นน้ั ระบบจงึ ไม่ควรต้งั ค่าเร่ิมตน้ ให้มีเครอื่ งหมายใดๆ ให้เลือกใน
ชอ่ งขอความยนิ ยอมไว้ตั้งแต่แรก โดยจะถอื วา่ การที่ผูใ้ ช้บรกิ ารน่ิงเฉยเป็นการใหค้ วามยินยอม
ไมไ่ ด้ ดงั นัน้ จึงไม่เปน็ ความยนิ ยอมท่ถี กู ต้องภายใต้กฎของ GDPR
16 GDPR, “General Data Protection Regulation,” accessed July 29, 2020, https://www.privacypolicies.
com/blog/gdpr/.
17 PrivacyPolicies, “Blog Effectively Using an “I Agree to Privacy Policy” Checkbox,” accessed July
29, 2020, https://www.privacypolicies.com/blog/agree-privacy-policy-checkbox/.
วารสารนิติศาสตร์ มหาวิทยาลยั นเรศวร ปีที่ 14 ฉบบั ที่ 1 มกราคม-มิถนุ ายน พ.ศ. 2564 61
2) เมื่อใดก็ตามท่ีเป็นการลงทะเบียนผู้ใช้บริการใหม่ต้องไม่ด�ำเนินการยืนยันข้อมูล
เพม่ิ เตมิ โดยอตั โนมตั ิ แมว้ า่ จะเปน็ แนวทางปฏบิ ตั ทิ ท่ี ำ� กนั ทว่ั ไปของผใู้ หบ้ รกิ ารเพอ่ื หลกี เลย่ี งรบั
ความยินยอมโดยอัตโนมตั ิ
3) ผู้ให้บริการต้องไม่ผูกมัดด้วยการท�ำช่องเครื่องหมายประเภทต่างๆ เช่นเดียวกับ
การยอมรับนโยบาย และไดร้ ับความยนิ ยอมรว่ มกันดว้ ย
หลกั เกณฑด์ งั กลา่ ว ผปู้ ระกอบธรุ กจิ ควรใชช้ อ่ งแยกสำ� หรบั แตล่ ะสงิ่ ทต่ี อ้ งการขอความ
ยินยอมและใช้ช่องท�ำเคร่ืองหมายยอมรับนโยบายเพื่อต้องการให้ได้รับความยินยอมก่อนตาม
ข้อตกลงของสัญญาน้ัน ๆ
หลักความยินยอมตามพระราชบัญญัติข้อมูลความเป็นส่วนตัวทางชีวมาตรของ
สหรัฐอเมริกา (Biometric Information Privacy Act 2008: BIPA) ในการเปิดเผยข้อมูลส่วน
บุคคล กฎหมายห้ามมิให้องค์กรต่างๆ ที่มีข้อมูลส่วนบุคคลเปิดเผยข้อมูลส่วนบุคคลนั้น
เว้นแต่ ได้รบั ความยินยอมจากเจ้าของข้อมลู กอ่ น ซ่ึงตอ้ งแจง้ “ลว่ งหนา้ ” ต้งั แต่ครงั้ แรกที่เริม่ ใช้
หลักความยินยอม มิใช่เพียงแค่ “แจ้ง” หากองค์กรผู้ให้บริการไม่แจ้งขอให้ความยินยอม
ล่วงหน้าเป็นลายลักษณ์อักษรและวัตถุประสงค์เฉพาะส�ำหรับการเก็บรวบรวม รักษา เปิดเผย
ใช้ การลบ หรือการท�ำลายอย่างถาวรเมื่อไม่ประสงค์แก่เจ้าของข้อมูลทราบก่อน และ
ไม่สามารถรับข้อมูลดังกล่าวได้โดยอัตโนมัติ เมื่อมีการละเมิดก็เพียงพอที่จะน�ำคดีข้ึนสู่ศาล
แม้ว่าเจ้าของข้อมูลส่วนบุคคลจะไม่ได้รับผลกระทบจากการไม่แจ้งเตือนขอให้ความยินยอม
ดังกล่าวน้ันก็ตาม จึงแสดงให้เห็นว่ากฎหมายของ BIPA ในเรื่องการขอให้ความยินยอมโดย
มไิ ดแ้ จง้ เตอื นลว่ งหนา้ เปน็ ลายลกั ษณอ์ กั ษร และตอ้ งตอบรบั ความยนิ ยอมเปน็ ลายลกั ษณอ์ กั ษร
ทใ่ี ห้ความสำ� คญั ตงั้ แต่ครงั้ แรกเริมใช้
หลักการให้ความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ตามพระราชบัญญัติคุ้มครอง
ขอ้ มลู สว่ นบคุ คล พ.ศ. 2562 ภายใตม้ าตรา 19 วรรคสอง18 โดยบญั ญตั คิ วามยนิ ยอมดงั น้ี “เวน้ แต่
โดยสภาพไมอ่ าจขอความยนิ ยอมได”้ ซง่ึ ผู้เขยี นเหน็ วา่ เปน็ การให้ความยินยอม “โดยปริยาย”19
18 พระราชบญั ญตั ิคุม้ ครองข้อมลู สว่ นบคุ คล พ.ศ. 2562.
มาตรา 19 ผู้ควบคมุ ขอ้ มลู สว่ นบุคคลจะกระทำ� การเกบ็ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไมไ่ ด้
หากเจา้ ของข้อมูลสว่ นบคุ คลไม่ไดใ้ หค้ วามยนิ ยอมไว้กอ่ นหรอื ในขณะน้นั เวน้ แตบ่ ทบัญญัตแิ ห่งพระราชบัญญัตนิ ้ีหรือ
กฎหมายอืน่ บัญญตั ิใหก้ ระทำ� ได้
การขอความยนิ ยอมตอ้ งทำ� โดยชดั แจง้ เปน็ หนงั สอื หรอื ทำ� โดยผา่ นระบบอเิ ลก็ ทรอนกิ ส์ เวน้ แต่ โดยสภาพ
ไมอ่ าจขอความยินยอมดว้ ยวธิ กี ารดังกล่าวได้
19 นรนิ ทร์ จมุ่ ศร,ี “มาตรการทางกฎหมายในการคมุ้ ครองขอ้ มลู สว่ นบคุ คลจากการใชบ้ รกิ ารเครอื ขา่ ยสงั คม
ออนไลน์,” (วิทยานพิ นธป์ รญิ ญามหาบณั ฑิต คณะนิติศาสตร์ปรดี ี พนมยงค์ มหาวิทยาลัยธุรกจิ บัณฑติ ย,์ 2555), 36.
62 ปที ี่ 14 ฉบับที่ 1 มกราคม-มถิ นุ ายน พ.ศ. 2564 วารสารนติ ิศาสตร์ มหาวิทยาลัยนเรศวร
หากเป็นการบัญญัติการขอให้ความยินยอมโดยปริยายจะเป็นการเปิดช่องกว้างจนเกินไปใน
การขอให้ความยินยอม20 เชน่ น้ี อาจส่งกระทบตอ่ เจ้าของข้อมูลสว่ นบคุ คลโดยตรง
หลักความยินยอม (Consent) ในการปฏิบัติตามสัญญาต้องมิใช่การให้ความยินยอม
โดยปริยาย หรอื มิใช่การใหค้ วามยนิ ยอมโดยอตั โนมัติ และตอ้ งแจง้ ผลกระทบ “ก่อน” ให้ถอน
ความยนิ ยอมให้เจ้าของข้อมูลทราบตัง้ แต่ครัง้ แรก
โดยควรพิจารณาเปรยี บเทยี บตามหลกั ความยินยอม ดังน้ี
1) หลกั ความเหมาะสมในการเกบ็ ขอ้ มลู หมายถงึ การเกบ็ รวบรวมขอ้ มลู ตอ้ งแจง้ เตอื น
ในการขอความยนิ ยอมและมกี ารแจง้ ถงึ วตั ถปุ ระสงคใ์ นการนำ� ขอ้ มลู ไปใชจ้ ากเจา้ ของขอ้ มลู กอ่ น
เสมอ (หลัก Consent)
2) หลกั ข้อจำ� กัดในการน�ำไปใช้ หมายถงึ ขอ้ มูลสว่ นบุคคลจะต้องไม่ถกู น�ำไปเปดิ เผย
เกินจากขอบวัตถุประสงค์ที่ได้ขอความยินยอมจากเจ้าของข้อมูล (เว้นแต่ได้รับความยินยอม
จากเจา้ ของข้อมลู หรือตามบทบัญญตั ิของกฎหมาย)
ดังนั้น หลักความยินยอม (Consent) โดยผู้ให้บริการต้องประกาศแจ้งเตือนเป็น
ลายลักษณ์อักษรท่ีเก่ียวข้องในการขอให้ความยินยอม และต้องแจ้งวัตถุประสงค์ในเร่ืองน้ันๆ
โดยไม่จ�ำกัดวา่ จะอยู่ในรปู แบบใดๆ ที่เข้าใจได้ และเข้าถึงได้ง่ายโดยใชภ้ าษาทชี่ ดั เจน
เม่ือเปรียบเทียบกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ยังมิได้ให้
ความสำ� คญั ในเรอื่ งหลกั การแจง้ เตอื นขอใหค้ วามยนิ ยอมและตอ้ งไดร้ บั ความยนิ ยอมจากเจา้ ของ
ข้อมูลก่อนและต้องแจ้งถึงวัตถุประสงค์ในการน�ำข้อมูลไปใช้ให้ผู้เป็นเจ้าของข้อมูลทราบก่อน
โดยตอ้ งมใิ ช่การให้ความยนิ ยอมโดยปรยิ ายเชน่ ตามนยั มาตรา 19 วรรคสอง
3.3 ระยะเวลาในการเกบ็ รักษาขอ้ มลู ชวี มาตร (Biometrics)
มาตรการในการเก็บรักษาข้อมูลชีวมาตร ซึ่งถูกบันทึกไว้ในระบบฐานข้อมูลน้ัน เช่น
ระบบสมาร์ตโฟน อาจถูกคุกคามผ่านระบบการประมวลผลข้อมูลและอาจเช่ือมโยงไปยัง
ฐานข้อมูลได้ ผู้เขียน ตั้งข้อสังเกตว่า การเก็บรักษาข้อมูลส่วนบุคคลมีผลกระทบโดยตรงต่อ
ผลประโยชน์ส่วนตัวของบุคคล โดยเฉพาะในยุคสังคมข่าวสาร อาจส่งผลกระทบโดยตรงต่อ
ผลประโยชน์ส่วนตัวของบุคคล และไม่ค�ำนึงว่าจะมีการใช้ข้อมูลในคร้ังต่อไปจะเกิดข้ึนหรือไม่
ก็ตาม ซ่ึงข้อมูลส่วนบุคคลที่ถูกรวบรวมบนเครือข่ายอินเทอร์เน็ตสามารถสืบค้นได้ง่าย
20 พระราชบัญญตั คิ มุ้ ครองขอ้ มูลสว่ นบุคคล พ.ศ. 2562
ในกรณีท่ีการถอนความยินยอมส่งผลกระทบต่อเจ้าของข้อมูลส่วนบุคคลในเร่ืองใด ผู้ควบคุมข้อมูล
สว่ นบคุ คลต้องแจง้ ให้เจา้ ของขอ้ มลู สว่ นบุคคลทราบถึงผลกระทบจากการถอนความยินยอมน้ัน
วารสารนติ ิศาสตร์ มหาวิทยาลยั นเรศวร ปที ี่ 14 ฉบบั ท่ี 1 มกราคม-มิถนุ ายน พ.ศ. 2564 63
(Searchable) ท�ำให้การจัดเก็บข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
พ.ศ. 2562 มิได้มีมาตรการแจ้งเตือนเกี่ยวกับระยะเวลาในการเก็บรวบรวมข้อมูลส่วนบุคคล
ไวไ้ ดน้ านเท่าใด
แตป่ รากฏวา่ ไดบ้ ญั ญตั ริ ะยะเวลาในการเกบ็ รกั ษาขอ้ มลู สว่ นบคุ คลไวภ้ ายใตม้ าตรา 23 (3)
โดยบญั ญตั ไิ วด้ งั น้ี “อาจคาดหมายไดต้ ามมาตรฐานของการเกบ็ รวบรวม” การบญั ญตั ริ ะยะเวลา
ที่อาจคาดหมายได้ เช่นนี้ เป็นการกำ� หนดระยะเวลาท่ไี มช่ ดั เจนแตอ่ ย่างใด ในเร่อื งระยะเวลา
ในการจดั เกบ็ รกั ษาขอ้ มลู สว่ นบคุ คล อาจทำ� ใหผ้ ใู้ หบ้ รกิ ารกำ� หนดระยะเวลานานเทา่ ใดกไ็ ดต้ าม
อ�ำเภอใจ ขณะเดียวกันวิธีการเก็บรักษาในรูปแบบใหม่ๆ เกิดข้ึนเสมอและสะดวก ซ่ึงง่ายต่อ
การจัดเก็บข้อมูลส่วนบุคคลดังกล่าว อาจเป็นการเอื้อประโยชน์ให้แก่ผู้ให้บริการในการเก็บ
รวบรวมข้อมูลส่วนบุคคลดังกล่าวตามเจตนารมณ์ของตนได้ ด้วยเหตุน้ี จะกระท�ำอย่างไรให้
ข้อมลู ส่วนบุคคลถกู ลบเลือนเพอื่ มิให้มีขอ้ มลู คา้ งอยู่ในระบบ (Digital footprint) ในการป้องกัน
สทิ ธิความเป็นสว่ นตัวภายใตก้ ฎหมายฉบบั น2้ี 1 ดงั จะไดศ้ กึ ษากับกฎมายของ (BIPA) ต่อไปนี้
พระราชบญั ญตั คิ มุ้ ครองขอ้ มลู ไบโอเมตรกิ ซ์ (Biometric Information Privacy Act 2008:
BIPA) ก�ำหนดให้หน่วยงานและองค์กรต่างๆ ต้องปฏิบัติตามกฎหมาย โดยห้ามจัดเก็บข้อมูล
ชวี มาตรในกรณมี ีวตั ถปุ ระสงคเ์ พ่ือทางการค้า ซง่ึ ข้อมูลชีวมาตรอยใู่ นความครอบครองของตน
โดยปราศจากการแจ้งเตือนในการขอให้ความยินยอมก่อนและระยะเวลาในการเก็บรวบรวม
ข้อมูลชีวมาตรได้บางประเภท เพื่อลดขนาดของฐานข้อมูลในการจัดเก็บข้อมูลส่วนบุคคล ซึ่ง
ตามกฎท่วั ไปขอ้ มูลจะต้องถูกทำ� ลายทนั ทที ่ีไมจ่ ำ� เป็นส�ำหรบั วตั ถุประสงค์อีกตอ่ ไป หรอื ภายใน
3 ปี นับแต่เรม่ิ แรกเก็บข้อมลู ชวี มาตร ตาม 740 ILCS 14/1522 จงึ จะต้องประกาศแจ้งนโยบาย
เป็นลายลกั ษณอ์ ักษร รวมถงึ ชี้แจงวัตถุประสงค์ และแจ้งเตือนระยะเวลาให้เจ้าของขอ้ มูลทราบ
ล่วงหน้าก่อนท่ีจะท�ำการรวบรวมในรูปแบบตารางและระบุรายละเอียดว่าจะเก็บข้อมูลอย่างไร
21 อธพิ ร สทิ ธธิ รี รตั น,์ “ปญั หากฎหมายการคมุ้ ครองขอ้ มลู สว่ นบคุ คลในบรบิ ทอเิ ลก็ ทรอนกิ ส,์ ” (วทิ ยานพิ นธ์
ปรญิ ญามหาบณั ฑิต คณะนิตศิ าสตร์ มหาวทิ ยาลยั ธรรมศาสตร,์ 2558), 24.
22 740 ILCS 14/15
Sec. 15. Retention; collection; disclosure; destruction
(a) A private entity in possession of biometric identifiers or biometric information must develop a
written policy, made available to the public, establishing a retention schedule and guidelines for permanently
destroying biometric identifiers and biometric information when the initial purpose for collecting or obtaining such
identifiers or information has been satisfied or within 3 years of the individual’s last interaction with the private
entity, whichever occurs first. Absent a valid warrant or subpoena issued by a court of competent jurisdiction,
a private entity in possession of biometric identifiers or biometric information must comply with its established
retention schedule and destruction guidelines.
64 ปีที่ 14 ฉบบั ที่ 1 มกราคม-มถิ ุนายน พ.ศ. 2564 วารสารนติ ิศาสตร์ มหาวิทยาลัยนเรศวร
และเมอ่ื ใดขอ้ มูลส่วนบุคคลจะถูกทำ� ลายอย่างถาวร หรอื ตามข้อสัญญาขึ้นอยู่กับว่าระยะเวลา
ใดจะถึงก�ำหนดกอ่ น
แม้ว่าการก�ำหนดระยะเวลาของกฎหมาย (BIPA) ได้ก�ำหนดให้หน่วยงานและองค์กร
ต่างๆ ในการแจ้งเตือนการขอให้ความยินยอมก่อนและระยะเวลาในการเก็บรวบรวมข้อมูล
ชีวมาตรได้ภายในเวลา 3 ปี ดงั กล่าวนนั้ อาจเปน็ ระยะเวลานานจนเกินไปส�ำหรบั ประเทศไทย
เมอ่ื พจิ ารณาพระราชบญั ญตั คิ มุ้ ครองขอ้ มลู สว่ นบคุ คล พ.ศ. 2562 มาตรา 23 (3) มไิ ดม้ มี าตรการ
แจ้งเตือนเกี่ยวกับระยะเวลาในการเก็บรวบรวมข้อมูลส่วนบุคคลไว้ได้นานเท่าใด การบัญญัติ
ระยะเวลาทอี่ าจคาดหมายได้ อาจทำ� ใหผ้ ใู้ หบ้ รกิ ารกำ� หนดระยะเวลานานเทา่ ใดกไ็ ดต้ ามอำ� เภอ
ใจ จงึ ควรกำ� หนดใหผ้ ใู้ หบ้ รกิ าร หรอื ผคู้ วบคมุ ขอ้ มลู มหี นา้ ทแ่ี จง้ เตอื นระยะเวลาการจดั เกบ็ ขอ้ มลู
โดยบัญญัติเรื่องระยะเวลาให้เป็นการแน่นอนเป็นลายลักษณ์อักษรให้เจ้าของข้อมูลส่วนบุคคล
ทราบก่อน หรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคลทราบถึงรายละเอียดและระยะเวลาใน
การจดั เกบ็ ใช้ เปิดเผย ลบ หรอื ทำ� ลายขอ้ มลู หรอื เมือ่ สิ้นสดุ ตามวัตถุประสงค์ทางธุรกิจ หรอื
ตามขอ้ ตกลงของสญั ญา” เวน้ แตว่ ตั ถปุ ระสงคข์ องกฎหมาย ดงั นน้ั “ขอ้ มลู สว่ นบคุ คลควรเกบ็ ไว้
ได้ภายใน 6 เดือน ซึ่งเป็นระยะเวลาไม่มาก หรือน้อยจนเกินไปเมื่อเปรียบเทียบกับกฎหมาย
ของสหรฐั อเมรกิ าแลว้
4. การบังคับใชก้ ฎหมายเพ่อื ให้เปน็ ไปตามบทบัญญัติ
มาตรการป้องกันไว้ดีกว่าแก้ (Proactive not reactive; preventative not remedial)
ปัจจบุ ันเทคโนโลยสี ามารถพฒั นาแอปพลเิ คชันสำ� หรบั สมาร์ตโฟน เพอ่ื ท�ำธรุ กรรมทางการเงนิ
การธนาคารในระบบออนไลน์ หรืออุปกรณ์อิเล็กทรอนิกส์ เพียงแค่นิ้วเดียว เน่ืองจากข้อมูล
ดจิ ทิ ลั แพรห่ ลายสามารถจะเชอ่ื มโยงกบั ผลประโยชนส์ ว่ นตวั เจา้ ของขอ้ มลู ไดโ้ ดยตรง จงึ จำ� ตอ้ ง
มีการป้องกันความปลอดภัยสิ่งทจ่ี ะท�ำให้เชื่อมโยงถึงขอ้ มูลสว่ นบคุ คลน้นั ได้
ผเู้ ขียน จึงนำ� คดี K Box Entertainment Group เพ่อื ศึกษาเป็นแนวทางกบั กฎหมาย
ประเทศไทย เพ่ือผู้ให้บริการต้องด�ำเนินการตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
พ.ศ. 2562 มาตรา 22 ซง่ึ กำ� หนดใหก้ ารจดั เกบ็ รวบรวมขอ้ มลู สว่ นบคุ คลนนั้ ไวไ้ ดเ้ ทา่ ทจ่ี ำ� เปน็ ตาม
มาตรา 23 ในการเก็บรวบรวมขอ้ มูลสว่ นบุคคลของผใู้ หบ้ รกิ าร หรอื ผ้คู วบคมุ ข้อมูลส่วนบุคคล
ตอ้ งแจง้ เตอื นใหเ้ จา้ ของขอ้ มลู ทราบกอ่ น หรอื ขณะเกบ็ ขอ้ มลู ถงึ วตั ถปุ ระสงคข์ องการเกบ็ รวบรวม
และต้องมมี าตรการเพยี งพอและเหมาะสมกับความเส่ยี งวา่ จะถกู ละเมดิ ขอ้ มูลชวี มาตรได้ เพือ่
จำ� กดั สิทธผิ ู้ใหบ้ รกิ ารได้ตระหนกั ถงึ การจัดการให้องคก์ ร หรือธรุ กจิ ของตนมีมาตรการทถ่ี กู ตอ้ ง
วารสารนติ ิศาสตร์ มหาวิทยาลยั นเรศวร ปีท่ี 14 ฉบับท่ี 1 มกราคม-มถิ ุนายน พ.ศ. 2564 65
เหมาะสมเพอ่ื ให้เป็นไปตามบทบัญญัตกิ ฎหมาย เช่น กรณี K Box Entertainment Group23
ศาลส่ังปรับคา่ เสียหายหนว่ ยงาน (K Box Entertainment Group) ที่ขอ้ มูลส่วนตวั ของ
ลกู ค้ามีการร่ัวไหลออกไป โดยถูกสงั่ ปรบั 50,000 ดอลลาร์สงิ คโปร์ เน่อื งจากถกู โจมตีในระบบ
ฐานข้อมูล เม่ือปี 2014 และระบบฐานข้อมูลลูกค้ามีการรั่วไหล นอกจากนี้ คณะกรรมการ
คุ้มครองข้อมูลส่วนบุคคลของสาธารณรัฐสิงคโปร์ (Personal Data Protection Commission:
PDPC) ดำ� เนนิ การแจง้ เตอื นไปยังหนว่ ยงานและบรษิ ัทอื่นๆ อกี 7 แห่ง ให้เพม่ิ มาตรการรักษา
ข้อมูลของลูกค้า เนื่องจาก พบว่า หลายหน่วยงานมีการรักษาความปลอดภัยของข้อมูลที่ยัง
ไม่ดีพอ ด้วยเหตุนี้ จึงท�ำให้ทราบถึงมาตรการในการแจ้งเตือนเม่ือมีการร่ัวไหลของข้อมูล
สว่ นบคุ คลทอ่ี ยใู่ นความครอบครองของหนว่ ยงานตา่ งๆ เพอื่ ความปลอดภยั ตอ้ งทำ� การแจง้ ทนั ที
ที่ทราบส�ำหรับข้อมูลของผู้ใช้บริการมีการรั่วไหล อย่างไรก็ตาม PDPC แจ้งให้ภาคธุรกิจปรับ
การเก็บข้อมูลในแบบอ่ืนๆ เช่น การเก็บเลขบัตรประชาชนบางส่วนไว้เท่านั้น หรือการเก็บ
ชื่อผู้ใช้บริการจะถูกเก็บเฉพาะช่ือเท่าน้ัน ซึ่งถูกก�ำหนดขึ้นโดยหน่วยงานของ PDPC ดังน้ัน
จงึ มคี วามจำ� เปน็ ทภ่ี าคธรุ กจิ ของประเทศไทยทต่ี อ้ งลดการเกบ็ ขอ้ มลู สว่ นตวั ของประชาชน หรอื
เกบ็ ขอ้ มลู โดยไมส่ มเหตสุ มผล โดยเฉพาะขอ้ มลู ชวี มาตร ทม่ี คี วามเสยี่ งในปญั หาดา้ นความเปน็
ส่วนตวั ของขอ้ มลู สว่ นบคุ คล
โดยพระราชบัญญตั คิ ุ้มครองข้อมลู ไบโอเมตรกิ ซ์ (Biometric Information Privacy Act
2008: BIPA) ของสหรัฐอเมริกาให้ความส�ำคัญในเร่ืองข้อจ�ำกัดเฉพาะข้อมูลชีวมาตรให้ได้รับ
การลงทะเบียน หรือลดรูปแบบในระบบฐานข้อมูล และต้องแจ้งเกี่ยวกับข้อก�ำหนดการสแกน
ลายนว้ิ มือ หรือวธิ ีการใช้ หรอื จัดเก็บข้อมูลท่สี �ำคญั และหา้ มเชา่ ซ้อื ซอื้ ขายขอ้ มูลชวี มาตร ซึ่ง
มมี าตรการในการกำ� หนดใหต้ อ้ งประกาศแจง้ เตอื นนโยบายเกย่ี วกบั การเกบ็ รกั ษาและการเขา้ ถงึ
ข้อมูลชีวมาตรในรูปแบบของตารางให้เจ้าของข้อมูลทราบ “ล่วง” หน้า และการแจ้งเตือนถึง
เหตุละเมิด ตาม 740 ILCS 14/15 แกเ่ จ้าของข้อมูลส่วนบคุ คลทราบและทำ� ลายข้อมลู ชวี มาตร
เมอ่ื หมดวัตถปุ ระสงค์อย่างถาวร ภายในเวลา 3 ปี นบั ต้ังแต่เร่ิมเก็บข้อมลู ชีวมาตร ซึง่ จะต้องมี
มาตรการรกั ษาความปลอดภัยอย่างเครง่ ครดั เป็นพิเศษ โดย BIPA กำ� หนดโทษปรับการละเมิด
ความเปน็ สว่ นตวั ทางขอ้ มลู ชวี มาตร หรอื ขอ้ มลู ไบโอเมตรกิ ซ์ ตามกฎหมายปรบั 1,000 ดอลลาร์
ในความเสียหายทต่ี อ้ งจ่าย หรอื ความเสยี หายทีเ่ กดิ ขน้ึ จรงิ ส�ำหรับการละเมดิ โดยประมาท ซึง่
โทษปรบั สูงสุด 5,000 ดอลลาร์ ส�ำหรับการละเมดิ โดยเจตนา หรอื โดยประมาท และกฎหมาย
บัญญัติให้สิทธิของผู้เสียหายสามารถเรียกค่าธรรมเนียมและค่าเยียวยาในการจ้างทนายความ
23 ETDA สพธอ., “ขา่ วสน้ั กฎหมายคมุ้ ครองขอ้ มลู สว่ นบคุ คล,” สบื คน้ เมอื่ 2 กนั ยายน 2562, https://www.
thaicert.or.th/newsbite/2016-04-22-03.html.
66 ปที ่ี 14 ฉบบั ท่ี 1 มกราคม-มิถนุ ายน พ.ศ. 2564 วารสารนติ ิศาสตร์ มหาวิทยาลัยนเรศวร
ได้ตามความเหมาะสม ซึ่งสิทธิน้ีมีเฉพาะรัฐอิลลินอยส์เท่านั้น โดยปกติจะต้องได้รับอนุญาต
จากศาลก่อน
ดังนั้น หลักส�ำคัญในการคุ้มครองความปลอดภัยของความเป็นส่วนตัวของข้อมูล
ชวี มาตร (Biometrics) ซ่ึงเปน็ ขอ้ มูลสว่ นบุคคลท่ีมลี ักษณะลบั เฉพาะ หรือมีความอ่อนไหวง่าย
เป็นพเิ ศษ (Sensitive data) น้นั จึงเปน็ ประเดน็ ทีส่ ำ� คัญต้องใหก้ ารคมุ้ ครองอย่างเคร่งครัด โดย
ห้ามประมวลผลขอ้ มูล เวน้ แต่ไดร้ ับความยนิ ยอมก่อน และเจ้าของขอ้ มูลสามารถเขา้ ถงึ ขอ้ มลู
ของตนไดต้ ลอดเพอื่ ตรวจการจดั เกบ็ รวบรวม หรอื สามารถปฏเิ สธขอ้ มลู ทไ่ี ดใ้ หค้ วามยนิ ยอมไว้
ไดต้ ลอด ซงึ่ พระราชบญั ญตั คิ มุ้ ครองขอ้ มลู สว่ นบคุ คล พ.ศ 2562 ยงั มไิ ดม้ มี าตรการแจง้ เตอื นให้
ทราบกอ่ นในการขอใหค้ วามยนิ ยอม และแจง้ เตอื นระยะเวลาในการเกบ็ รวบรวมไวไ้ ดน้ านเทา่ ใด
นัน้ จงึ ควรมมี าตรการปอ้ งกนั ความปลอดภยั ในระดบั มาตรฐานทน่ี า่ พอใจ ซ่งึ ในขณะเดียวกนั
สังคมได้มีการเปล่ียนแปลงการส่ือสารผ่านทางระบบอิเล็กทรอนิกส์เป็นอย่างมากในปัจจุบัน
จงึ ตอ้ งมีมาตรการทางกฎหมายในระดับท่ีไดม้ าตรฐาน จงึ นำ� ไปส่ขู อ้ เสนอแนะ
5. บทสรุปและขอ้ เสนอแนะ
5.1 สรุป
จากการศึกษามาตรการทางกฎหมายท่ีเกี่ยวกับการคุ้มครองข้อมูลชีวมาตรของ
สหรัฐอเมรกิ า และปัญหาท่จี ะน�ำไปปรับใชก้ บั ข้อมลู ชีวมาตร (Biometrics) ไดใ้ หค้ วามหมายไว้
โดยเฉพาะเจาะจง จงึ ไดร้ บั การคมุ้ ครองเปน็ กรณพี เิ ศษเฉพาะตามพระราชบญั ญตั คิ มุ้ ครองขอ้ มลู
ไบโอเมตริกซ์ (Biometric Information Privacy Act 2008: BIPA) เม่ือพจิ ารณาพระราชบัญญตั ิ
คมุ้ ครองขอ้ มลู สว่ นบคุ คล พ.ศ. 2562 ตามมาตรา 6 ไดใ้ หค้ วามหมาย “ขอ้ มลู สว่ นบคุ คล” หมายถงึ
ขอ้ มลู เกย่ี วขอ้ งกบั บคุ คลซง่ึ ทำ� ใหส้ ามารถระบตุ วั บคุ คลนน้ั ไดไ้ มว่ า่ ทางตรงหรอื ทางออ้ ม แตม่ ไิ ด้
ใหค้ วามหมาย ข้อมลู ชวี มาตร (Biometrics) จงึ เปน็ การใหค้ วามค้มุ ครองข้อมูลทั่วไป กล่าวคือ
ข้อมูลชีวมาตรเป็นข้อมูลส่วนบุคคลเกี่ยวกับร่างกายของมนุษย์ทส่ี ามารถเก็บรวบรวมได้ง่าย
และเปน็ การยากทเ่ี จา้ ของขอ้ มลู ชวี มาตรจะระวงั ตวั ได้ เชน่ การถา่ ยรปู หรอื กลอ้ งวงจรปดิ หรอื
ลายน้ิวจากเจ้าของจับต้องส่ิงของ และเม่ือมีความนิยมในการน�ำข้อมูลชีวมาตรมาใช้ใน
การยนื ยนั ตวั บคุ คลทำ� ใหบ้ คุ คลทมี่ ขี อ้ มลู ชวี มาตรของผอู้ นื่ นนั้ จงึ สามารถทจ่ี ะนำ� มาใชเ้ พอื่ แสดงตน
เป็นเจ้าของข้อมูลชีวมาตรได้ จากความหมายดังกล่าวจะเห็นได้ว่าข้อมูลชีวมาตรไม่ได้รวมอยู่
ในความหมายของขอ้ มลู ส่วนบคุ คลแต่อยา่ งใด ส่งผลใหก้ ารเก็บรวบรวม ใช้ หรือเปดิ เผยนนั้ ไม่
ได้รับความคุ้มครองเท่าท่ีควร หากผู้เก็บรวบรวมข้อมูลชีวมาตรไม่ทราบประเภทของข้อมูลใด
วารสารนิตศิ าสตร์ มหาวทิ ยาลัยนเรศวร ปีท่ี 14 ฉบบั ที่ 1 มกราคม-มิถนุ ายน พ.ศ. 2564 67
ทจ่ี ะตอ้ งใชค้ วามระมดั ระวงั ตามทกี่ ฎหมายบญั ญตั ไิ ว้ อาจสง่ ผลกระทบตอ่ เจา้ ของขอ้ มลู ชวี มาตร
ดังนั้น จึงเป็นสาเหตุที่กล่าวมาแล้วข้างต้นว่า ข้อมูลชีวมาตร (Biometrics) ซึ่งเป็นข้อมูลที่มี
ความออ่ นไหวง่าย และสามารถถูกละเมิดความเป็นส่วนตวั ของเจา้ ของข้อมูลได้ตลอด
ผู้เขียนเสนอแนะควรแกไ้ ขพระราชบัญญัติคุม้ ครองข้อมลู ส่วนบุคคล พ.ศ. 2562 โดย
เพม่ิ ค�ำนยิ ามศัพท์ “ขอ้ มูลชวี มาตร” ไวใ้ นมาตรา 6 ซ่ึงเป็นขอ้ มลู ลับเฉพาะของบุคคล (Sensitive
data) และมาตรการแจง้ เตอื นในการขอใหค้ วามยนิ ยอมก่อน และแจง้ เตอื นระยะเวลาการเก็บ
รวบรวม ใช้ เปิดเผย ลบ หรือท�ำลาย หรอื สทิ ธทิ ่ีจะถูกลืม (Right to be forgotten) ควรบัญญัติ
ระยะเวลาให้เป็นการท่ีแน่นอนว่าเก็บได้นานเท่าใด โดยข้อมูลส่วนบุคคลควรเก็บไว้ได้ภายใน
6 เดือน ในมาตรา 23 (3) และแจ้งเตือนการเข้าถึงข้อมูลได้ตลอดระยะเวลาในขณะการเก็บ
รวบรวม หรอื การประมวลผลยงั คงด�ำเนินต่อไปให้เจ้าของขอ้ มลู ทราบ เพ่อื ใหผ้ ูป้ ระกอบธรุ กจิ
ตระหนักในการแจ้งเตือนการขอให้ความยินยอม เพื่อป้องกันการละเมิดข้อมูลส่วนบุคคลใน
ภาคธุรกิจดิจิทลั
ดังน้ัน กฎหมาย BIPA ของสหรัฐอเมริกา จึงให้ความส�ำคัญกับผลกระทบด้านสิทธิ
ในความเป็นส่วนตัว (The right to privacy) ที่เจ้าของข้อมูลสามารถเข้าถึงข้อมูลส่วนบุคคล
ของตนได้ หากขอ้ มลู นนั้ ผดิ พลาด หรอื บกพรอ่ งสามารถทำ� การแกไ้ ขขอ้ มลู นนั้ ไดต้ าม 740 ILCS
14/25 และความปลอดภยั ของขอ้ มลู ส่วนบุคคล ซึง่ ข้อมูลส่วนบคุ คลท่เี กดิ จากการประมวลผล
ทางเทคนิค หรือการยืนยนั อตั ลักษณข์ องบุคคลนัน้ ๆ หรอื สามารถเชื่อมโยงไปยงั บุคคลได้ ซ่งึ
หากพิจารณาจากความสอดคล้องกับกฎหมายของ GDPR แล้ว โดยหลักการต้องแจ้งเตือน
การขอความยนิ ยอม และแจง้ เตอื นผลกระทบกอ่ นถอนการใหค้ วามยนิ ยอม โดยหา้ มผใู้ หบ้ รกิ าร
ระบบออนไลนใ์ ชค้ วามยนิ ยอมโดยวธิ อี ัตโนมัติ ซ่ึงจะตอ้ งประกาศแจง้ หลักเกณฑ์และนโยบาย
ในรูปแบบตารางเป็นลายลักษณ์อักษรอย่างชัดเจน ในการขอความยินยอมให้เจ้าของข้อมูล
ทราบก่อน รวมทั้งมาตรการในการท�ำลายข้อมูลชีวมาตร (Biometrics) หรือสิทธิที่จะขอ
ลบขอ้ มลู (Right to erasure) หรอื สทิ ธทิ จี่ ะถกู ลมื (Right to be forgotten) เมอ่ื สน้ิ สดุ วตั ถปุ ระสงค์
ทางธรุ กิจทันที ผู้ใหบ้ รกิ ารต้องค�ำนงึ ถึงมาตรการความเปน็ สว่ นตวั ของข้อมลู ชีวมาตรให้เป็นไป
ตามบทบญั ญัติของกฎหมายและรับรองความโปร่งใส
5.2 ข้อเสนอแนะ
จากการศึกษาวิเคราะห์พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ 2562 ผู้เขียน
พบว่า มิไดบ้ ัญญตั ิค�ำนยิ ามของ “ข้อมูลชวี มาตร” ไว้ในมาตรา 6 แต่อย่างใด เนอื่ งจากข้อมลู
ชีวิมาตรนั้นเป็นข้อมูลลับเฉพาะของบุคคลโดยแท้ จึงจ�ำเป็นต้องบัญญัติค�ำนิยามเพื่อให้
ประชาชนเข้าใจความหมายของข้อมูลชีวมาตรตรงกัน และจ�ำแนกประเภทของข้อมูลแต่ละ
68 ปที ่ี 14 ฉบับท่ี 1 มกราคม-มถิ นุ ายน พ.ศ. 2564 วารสารนิติศาสตร์ มหาวิทยาลยั นเรศวร
ประเภท เพือ่ ให้ไดร้ ับความคุม้ ครองกรณีพิเศษออกจากข้อมลู ส่วนบคุ คลท่ัวไป เนือ่ งจากข้อมูล
ชวี มาตรนน้ั หา้ มประมวลผล เวน้ แต่ จะไดร้ บั ความยนิ ยอมจากเจา้ ของขอ้ มลู กอ่ นเพอ่ื ประโยชน์
ของบุคคลน้ัน หรือเว้นแต่วัตถุประสงค์ของกฎหมายบัญญัติไว้ รวมท้ังยังไม่มีมาตรการในการ
แจ้งเตือนถึงสิทธิต่างๆ ก่อนที่จะด�ำเนินการใดๆ ให้เจ้าของข้อมูลทราบก่อนไว้แต่อย่างใด
เช่น สทิ ธทิ จี่ ะได้รับการแจง้ การเก็บขอ้ มูล สิทธิทจ่ี ะได้รบั แจ้งการเข้าถึง สิทธิในการแกไ้ ข สทิ ธิ
ในการจำ� กัดการประมวลผลขอ้ มลู สทิ ธใิ นการถ่ายโอนข้อมลู สทิ ธิในการปฏเิ สธไมใ่ ห้ใช้ข้อมูล
สทิ ธิท่ีจะไมใ่ ชก้ ารตดั สนิ ใจดว้ ยวธิ ีการอัตโนมัตใิ นการประมวลผล สทิ ธิในการลบ อันเปน็ สทิ ธทิ ่ี
ควรคำ� นงึ ถงึ ลำ� ดบั ตน้ ๆ เมอื่ เปรยี บเทยี บกบั พระราชบญั ญตั คิ มุ้ ครองขอ้ มลู สว่ นบคุ คล พ.ศ. 2562
มไิ ดม้ มี าตรการในการแจง้ เตอื นระยะเวลาในการเกบ็ รวบรวมขอ้ มลู นานเทา่ ใด รวมทงั้ มาตรการ
ในการป้องกันการตอบแบบอัตโนมัติ ซึ่งเจ้าของข้อมูลน้ันควรเข้าถึงข้อมูลได้ในระยะเวลา
เท่าใด และสามารถจ�ำกดั ขอบเขตการใหใ้ ช้ หรือปฏิเสธการใหใ้ ช้ขอ้ มลู ของตนได้ โดยต้องค�ำนงึ
ถึงแนวทางในการปฏิบัติให้สอดคล้องกับกฎหมาย GDPR ของสหภาพยุโรป ซึ่งประเทศไทย
ไม่สามารถหลีกเล่ียงท่ีจะต้องติดต่อรับส่งข้อมูลกับสหภาพยุโรปได้ ด้วยเหตุน้ี จึงต้องมีการ
ปรับปรุงแก้ไขกฎหมายในการบังคับใช้กฎหมายเพ่ือป้องกันการถูกละเมิดความเป็นส่วนตัว
ในข้อมูลชีวมาตร
อย่างไรก็ตาม ผู้เขียนขอเสนอแนะแก้ไขเพ่ิมเติมบทบัญญัติของกฎหมายในเรื่อง
การ ค�ำนิยามของ “ขอ้ มูลชีวมาตร (Biometrics)” การแจ้งเตอื นสิทธิในการขอความยนิ ยอมและ
ผลกระทบในการถอนความยินยอม การเข้าถึงข้อมูลส่วนบุคคลของตนได้เพ่ือแก้ไขข้อมูลท่ี
ผิดพลาด หรือบกพร่อง ซ่ึงยังมิได้มีการบัญญัติไว้ และการก�ำหนดระยะเวลาในการเก็บรักษา
ข้อมูลส่วนบุคคลได้นานเท่าใด ซึ่งมาตรการดังกล่าว จะต้องแจ้งเตือนสิทธิให้แก่เจ้าของข้อมูล
ทราบกอ่ น ดังนี้
1) เพิม่ ค�ำนิยามศัพท์ “ขอ้ มลู ชีวมาตร หรอื ขอ้ มลู ไบโอเมตรกิ ซ์ (Biometrics)” เพอื่ ให้
เข้าใจความหมายตรงกัน และจ�ำแนกประเภทของข้อมูลส่วนบุคคลที่มีความละเอียดอ่อนไว้
อยา่ งชดั เจนใน มาตรา 6
2) การแจ้งเตือนสิทธิในการขอให้ความยินยอมก่อน ซึ่งมิใช่ความยินยอมโดยปริยาย
หรือความยินยอมโดยอัตโนมัติ และต้องแจ้งผลกระทบ ให้เพ่ิม “ก่อน” ถอนความยินยอมใน
มาตรา 19 วรรคหก
3) การแจง้ เตอื นสทิ ธกิ ารเขา้ ถงึ ขอ้ มลู สว่ นบคุ คลไดต้ ลอดในขณะทถี่ กู เกบ็ รวบรวม หรอื
ประมวลผลขอ้ มลู ยงั ดำ� เนนิ ต่อไปไวใ้ น มาตรา 30
4) การแจง้ เตอื นสทิ ธใิ นเรอ่ื งระยะเวลาในการเกบ็ รวบรวมขอ้ มลู สว่ นบคุ คล และกำ� หนด
วารสารนติ ศิ าสตร์ มหาวทิ ยาลัยนเรศวร ปที ่ี 14 ฉบบั ท่ี 1 มกราคม-มิถุนายน พ.ศ. 2564 69
ระยะเวลาใหเ้ ป็นการทีแ่ นน่ อนไว้ไดภ้ ายใน 6 เดอื น ในมาตรา 23 (3)
5) เพม่ิ บทบัญญตั สิ ทิ ธใิ นการแกไ้ ข (Rights to be rectification) เพ่ือใหส้ ิทธิผ้คู วบคมุ
ขอ้ มูลสว่ นบุคคลสามารถแกไ้ ขข้อมูลสว่ นบคุ คลท่ผี ดิ พลาดไดต้ าม มาตรา 29 (2)
ดงั นน้ั เมอื่ พจิ ารณา พบวา่ การคมุ้ ครองความเปน็ สว่ นตวั ของพระราชบญั ญตั คิ มุ้ ครอง
ข้อมูลชีวมาตร (Biometric Information Privacy Act 2008: BIPA) ของสหรัฐอเมริกา ได้ให้
การคมุ้ ครองขอ้ มลู ชวี มาตร หรอื ประเภทขอ้ มลู ทม่ี คี วามละเอยี ดออ่ น โดยจำ� แนกประเภทขอ้ มลู
แตล่ ะประเภทไดอ้ ยา่ งชดั เจน “หา้ มเกบ็ รวบรวมขอ้ มลู ทม่ี คี วามออ่ นไหว” (Sensitive data) เวน้ แต่
ไดร้ บั ความยนิ ยอมจากเจา้ ของขอ้ มลู กอ่ น หรอื ตามวตั ถปุ ระสงคข์ องกฎหมาย อนั เปน็ แนวทางท่ี
สากลประเทศปฏบิ ตั นิ น้ั ซง่ึ ปญั หาทเี่ กยี่ วขอ้ งกบั การละเมดิ ความเปน็ สว่ นตวั ของขอ้ มลู ชวี มาตร
ถือวา่ เป็นภัยทใี่ กล้ตวั ที่ส�ำคัญของผู้บรโิ ภค โดยต้องตระหนกั และใหค้ วามสำ� คัญเป็นอย่างมาก
เน่ืองจากข้อมูลชีวมาตรจะไม่สามารถเปลี่ยนแปลงข้อมูลใดๆ ได้เช่นเดียวกันกับ
รหัสผา่ น (Password) ในการเขา้ ระบบแอปพลเิ คชันเพอื่ ใช้บริการตา่ งๆ หากมีการละเมิดจะสง่
ผลกระทบรา้ ยแรงตอ่ ชวี ติ สว่ นบคุ คลผทู้ เี่ ปน็ เจา้ ของขอ้ มลู ชวี มาตร ดว้ ยเหตนุ ี้ ควรมกี ารประเมนิ
ผลกระทบดา้ นการปกปอ้ งขอ้ มลู ชวี มาตร หากขอ้ มลู ดงั กลา่ วมคี วามเสยี่ งสงู ตอ่ สทิ ธแิ ละเสรภี าพ
ขั้นพ้ืนฐานของบุคคลตามกฎหมาย โดยมิได้พิจารณาถึง “เหตุผลและความจ�ำเป็น” อย่าง
รอบคอบตอ่ ผลกระทบทอ่ี าจเกดิ ขน้ึ กบั เจา้ ของขอ้ มลู ชวี มาตร ในกรณที ี่ “ขอ้ มลู รว่ั ไหลและถกู นำ�
ไปใช้โดยมชิ อบ” ซง่ึ เป็นสาระสำ� คญั ตามพระราชบญั ญัติคมุ้ ครองข้อมลู ส่วนบคุ คล พ.ศ. 2562
จงึ จำ� เปน็ ตอ้ งตรากฎหมายใหส้ อดคลอ้ งกบั กฎหมายยคุ ดจิ ทิ ลั โดยประเทศไทยมอิ าจหลกี เลย่ี ง
ในการติดต่อส่ือสารรับส่งข้อมูลสว่ นบคุ คลของผใู้ ชบ้ รกิ ารซ่ึงมอี ย่ทู ่วั โลกได้
70 ปที ี่ 14 ฉบบั ที่ 1 มกราคม-มิถนุ ายน พ.ศ. 2564 วารสารนติ ศิ าสตร์ มหาวิทยาลัยนเรศวร
Reference
A Group of Academics Submitting the Prime Minister ‘s Letter, The State Concerned about
Collecting Biometrics Data was not Transparent, Lacking of Good Governance. 20
Akarin Suthanuwong. “The Fingerprint Authentication System Embedded.” Master’s thesis,
Faculty of Engineering, Prince of Songkla University, 2005. [in Thai].
Apichai Plaengsorn. Lecture Document (Identification). Bangkok: Department of
Forensic Science, Faculty of Medicine, Srinakharinwirot University, 2016.
[in Thai].
Athiporn Sitthitheerarat. “Issues of Personal Data Protection Laws in the Electronic
Context.” Master’s thesis, Faculty of Law, Thammasat University, 2015.
[in Thai].
Atthakorn Sukpunaphan. “Right to be Forgotten: From a Ruling to a New Dimension
Under the EU Data Protection Law.” Balance Health 64, no.3 (2017): 46.
[in Thai].
ETDA PAD. “Short News, Personal Information Protection Law.” Accessed September
29, 2020. https://www.thaicert.or.th/newsbite/2016-04-22-03.html.
GDPR. “General Data Protection Regulation.” Accessed July 29, 2020, https://www.
privacypolicies.com/blog/gdpr/.
Illinois Official Reports Supreme Court. “Rosenbach v. Six Flags Entertainment Corp.,
2019 IL 123186.” Accessed July 29, 2020, https://courts.illinois.gov/Opinions/
SupremeCourt/2019/123186.pdf.
Litigation Under Illinois Biometric Information Privacy Act Highlights Biometric Data Risks.
24,2019.
Mantana Sripongphan. “Legal Issues Regarding the Protection of Personal Data: Study
a Specific Case of the User’s Location Information.” Master’s thesis, Faculty of
Law, Sripatum University, 2018. [in Thai].
วารสารนิตศิ าสตร์ มหาวิทยาลยั นเรศวร ปีท่ี 14 ฉบบั ที่ 1 มกราคม-มถิ นุ ายน พ.ศ. 2564 71
Naiyana Masaeng. “Biometric Technology.” Academic Journal Thonburi University 2, no.1
(2008): 3-6. [in Thai].
Privacy Policies. “Blog Effectively Using an “I Agree to Privacy Policy” Checkbox.”
Accessed July 29, 2020. https://www.privacypolicies.com/blog/agree-privacy-
policy-checkbox/.
Sirikul Phuphan. “The Message is Thought with Personal Information.” Master’s thesis,
Faculty of Law, Thammasat University, 2005 [in Thai].
Zimmerman, Hannah. “The Data of You: Regulating Private Industry’s Collection of
Biometric Information.” Kansas Law Reviews 66 (2018): 637-671.
วารสารนติ ศิ าสตร์ มหาวิทยาลยั นเรศวร ปที ่ี 14 ฉบับท่ี 1 มกราคม-มิถุนายน พ.ศ. 2564 49
การค้มุ ครองข้อมูลชีวมาตรภายใต้พระราชบญั ญตั ิ
คุ้มครองข้อมลู สว่ นบุคคล พ.ศ. 2562
Biometric Data Protection
under the Personal Data Protection Act 2019
เมธิชา ยบุ ลชิต1
คณะนิติศาสตร์ มหาวทิ ยาลัยศรีปทุม 2410/2 ถนนพหลโยธนิ แขวงเสนานคิ ม เขตจตจุ ักร กรงุ เทพฯ 10900
เมล์ตดิ ตอ่ : [email protected]
Methicha Yuboolchit
School of Law, Sripatum University, 2410/2 Phahonyothin Road, Sena Nikhom, Chatuchak, Bangkok
10900, E-mail: [email protected]
Received: July 9, 2020; Revised: April 7, 2021; Accepted: April 27, 2021
บทคัดย่อ
บทความฉบบั นี้ มวี ตั ถปุ ระสงคเ์ พอื่ ศกึ ษามาตรการทางกฎหมายและความเปน็ สว่ นตวั
ของชวี มาตร ปจั จบุ นั ชวี มาตร (Biometrics) ถกู นำ� มาใชพ้ ฒั นาเทคโนโลยดี า้ นวทิ ยาศาสตร์ หรอื
ใช้กับแอปพลิเคชันต่างๆ การเก็บรักษาข้อมูลชีวมาตรในรูปดิจิทัลจะถูกบันทึกไว้ในระบบฐาน
ขอ้ มลู ของผใู้ หบ้ รกิ าร จงึ เสย่ี งตอ่ การถกู คกุ คามและไวตอ่ ความเสยี หายมากกวา่ ขอ้ มลู ในรปู แบบ
อื่นๆ อย่างไรก็ตามภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 6
บญั ญตั ใิ หค้ วามคมุ้ ครองขอ้ มลู สว่ นบคุ คลเปน็ การทว่ั ไป แตม่ ไิ ดใ้ หค้ วามคมุ้ ครองขอ้ มลู ชวี มาตร
ทชี่ ดั เจนและครอบคลมุ เพยี งพอ เชน่ รอ่ งรอยเทา้ ดจิ ทิ ลั (Digital footprints) ซง่ึ ขอ้ มลู ตา่ งๆ ของ
ผใู้ ชบ้ รกิ ารคา้ งอยใู่ นระบบออนไลนแ์ ละอาจถกู นำ� ไปใชร้ ะบตุ วั ตนในอนาคตไดต้ ลอด ซง่ึ เจา้ ของ
ข้อมูลมี “สทิ ธิทจี่ ะถูกลืม” (Right to be forgotten) เพราะว่ารอ่ งรอยเท้าดิจิทัลยงั คงอยู่เสมอ
ผเู้ ขยี นจงึ ขอเสนอแนะใหม้ กี ารแกไ้ ขคำ� นยิ ามวา่ ดว้ ยการคมุ้ ครองขอ้ มลู ชวี มาตรไวเ้ ปน็ การเฉพาะ
1 นักวจิ ัยอิสระ (Researcher)
50 ปีที่ 14 ฉบบั ท่ี 1 มกราคม-มถิ ุนายน พ.ศ. 2564 วารสารนติ ศิ าสตร์ มหาวทิ ยาลัยนเรศวร
โดยเพม่ิ คำ� นยิ ามคำ� วา่ “ขอ้ มลู ชวี มาตร (Biometrics)” ไวใ้ นมาตรา 6 เพอ่ื ใหไ้ ดร้ บั การคมุ้ ครองใน
การใชเ้ ทคโนโลยชี วี มาตร (Biometrics) ตามทกี่ ฎหมายบญั ญตั ไิ วใ้ หเ้ ทยี บเทา่ กบั มาตรฐานสากล
ค�ำสำ� คัญ: ขอ้ มลู สว่ นบุคคล ข้อมลู ชีวมาตร ขอ้ มลู ทล่ี ะเอียดออ่ น ความเปน็ สว่ นตวั
วารสารนิตศิ าสตร์ มหาวิทยาลยั นเรศวร ปีที่ 14 ฉบบั ท่ี 1 มกราคม-มิถนุ ายน พ.ศ. 2564 51
Abstract
The purpose of this abstract is to study the legal and privacy measures of
biometric systems. At present, biometrics are used throughout for technology
development and various applications. The retention of biometric data in digital format
by the service provider may be vulnerable to threats and damage than other forms of
information. However, under the Personal Data Protection Act 2019, Section 6 provides
for general protection of personal information, but it does not provide adequate and
clear biometric data protection, such as digital footprints where the user’s information is
stuck online and may be used to identify that particular person in the future. The data
subject has “Right to be forgotten” because digital footprints are always intact. Therefore,
the author recommends a specific revision of the definition of biometric data protection.
By adding the word definition “Biometric data (Biometrics)” in Section 6 to be protected
in the use of biometric technology (Biometrics) as provided by law to be equivalent to
that of international standards.
Keywords: Personal Data, Biometric Data, Sensitive Data, Privacy
52 ปีที่ 14 ฉบับท่ี 1 มกราคม-มิถุนายน พ.ศ. 2564 วารสารนติ ศิ าสตร์ มหาวิทยาลยั นเรศวร
1. บทน�ำ
พระราชบญั ญตั คิ มุ้ ครองขอ้ มลู สว่ นบคุ คล พ.ศ. 2562 ไดป้ ระกาศในราชกจิ จานเุ บกษา
เมื่อวันท่ี 24 พฤษภาคม 2562 โดยจะมีผลกระทบต่อหน่วยงานรฐั หรอื องคก์ รเอกชน รวมท้ัง
ภาคประชาชน แมว้ า่ กฎหมายมผี ลบงั คบั ใชเ้ พอ่ื ควบคมุ ในการรวบรวมและเกบ็ ขอ้ มลู สว่ นบคุ คล
แล้ว แต่ยังมีประเด็นท่ีน่าสังเกตว่าในทางปฏิบัติ หรือการบังคับใช้กฎหมายในเร่ืองการเก็บ
“ข้อมลู ชวี มาตร (Biometrics)” และการใชเ้ ทคโนโลยีชีวมาตรของหนว่ ยงานรฐั หรอื หน่วยงาน
เอกชนเกยี่ วกับความเสย่ี งท่อี าจมีการละเมิดสทิ ธคิ วามเปน็ สว่ นตวั
ปจั จบุ นั เปน็ ยคุ ขา่ วสารดจิ ทิ ลั อยา่ งไรกต็ าม การนำ� ขอ้ มลู ชวี มาตรไปประมวลผลขอ้ มลู
นน้ั จงึ ขน้ึ อยกู่ บั การรกั ษาความปลอดภยั และการรบั รองความถกู ตอ้ งของระบบไบโอเมตรกิ ซ์ ซงึ่
แตกตา่ งจากการใชร้ หสั ผา่ น หรอื พาสเวริ ด์ (Password) ทสี่ ามารถแกไ้ ขเปลยี่ นแปลงรหสั ผา่ นได้
ในกรณที ่มี ีการแฮค (Hack) ขอ้ มลู ของผู้ใชบ้ รกิ ารออนไลน์ นอกจากน้ี รหสั ผา่ นผใู้ ช้ยงั สามารถ
จดบนั ทกึ ไวไ้ ดด้ ว้ ยตนเอง แตเ่ มอ่ื ขอ้ มลู ชวี มาตรไมส่ ามารถเปลย่ี นแปลงลายนว้ิ มอื หรอื ลกั ษณะ
ใบหนา้ ได้ จงึ ทำ� ใหม้ คี วามเสย่ี งทขี่ อ้ มลู ชวี มาตรถกู แฮค (Hack) สำ� เรจ็ ดงั นน้ั จงึ ตอ้ งควรคำ� นงึ ถงึ
มาตรการป้องกันอย่างรัดกุมของรหัสผ่านที่ดีก็จะไม่ตกอยู่ในสถานการณ์เช่นเดียวกับข้อมูล
ชีวมาตรท่ีบุคคลอื่นสามารถที่จะน�ำไปใช้เพื่อการแสวงหาผลประโยชน์โดยมิชอบ ทั้งน้ี การ
น�ำเทคโนโลยีไบโอเมตริกซ์มาช่วยในการท�ำธุรกรรมต่างๆ หรือการน�ำข้อมูลชีวมาตรมาใช้ใน
ทางการค้าได้อย่างมีประสิทธิภาพ เพียงแค่ใช้ลายน้ิวมือก็สามารถซื้อขายสินค้าได้สะดวกและ
รวดเร็วนั้น ประกอบกับความก้าวหน้าทางเทคโนโลยีท�ำให้การเก็บรวบรวม ใช้ หรือเปิดเผย
ข้อมูลส่วนบคุ คลทำ� ได้โดยง่าย สะดวก รวดเร็ว ซึง่ การใช้ขอ้ มูลชวี มาตรจะไมเ่ หมือนกับการใช้
รหัสผ่านทเ่ี ปน็ ตัวเลข หรือบตั รแถบแมเ่ หลก็ น้นั เอง
เนื่องจากข้อมูลชีวมาตร (Biometrics) น้ีมีลักษณะเฉพาะของแต่ละบุคคลท่ีมี
ความถูกต้องแม่นย�ำสูงและมีความคงสภาพ ซึ่งลอกเลียนแบบได้ยาก จึงมีความน่าเชื่อถือ
เหมาะสมในการพิสูจน์และระบุตัวบุคคล นอกจากนี้ ผู้ประกอบการธุรกิจทางออนไลน์ หรือ
สถาบันทางการเงิน หรืออหน่วยงานภาครัฐ เช่น ส�ำนักงานทะเบียนราษฎร์ได้ถูกน�ำมาใช้กับ
การระบยุ นื ยนั ตวั บคุ คล และไดท้ ำ� การจดั เกบ็ รวบรวมขอ้ มลู ชวี มาตรไวใ้ นระบบฐานขอ้ มลู ของตน2
น�ำระบบไบโอเมตรกิ ซไ์ ปใช้ในการท�ำธุรกรรมต่างๆ ภายในองคก์ ร หรือการใหบ้ ริการกบั ลกู ค้า
เชน่ การสแกนลายน้วิ มอื การสแกนมา่ นตา สแกนใบหน้า เป็นต้น อาจมกี ารเขา้ ถึงข้อมลู ของ
ผใู้ ชบ้ รกิ าร หรือนำ� ขอ้ มลู สว่ นบุคคลไปใช้งานโดยมไิ ด้รับอนญุ าต กอ่ ใหเ้ กดิ การลว่ งละเมิดสทิ ธิ
2 มัณฑณา ศรีพงษ์พันธ์, “ปัญหาทางกฎหมายเก่ียวกับการคุ้มครองข้อมูลส่วนบุคคล:ศึกษาเฉพาะกรณี
ข้อมูลต�ำแหนง่ ของผใู้ ชบ้ ริการ,” (วิทยานพิ นธป์ รญิ ญามหาบณั ฑติ คณะนิตศิ าสตร์ มหาวทิ ยาลยั ศรีปทมุ , 2561): 46.
วารสารนิตศิ าสตร์ มหาวิทยาลยั นเรศวร ปีท่ี 14 ฉบบั ท่ี 1 มกราคม-มิถุนายน พ.ศ. 2564 53
ความเปน็ สว่ นตวั ของเจา้ ของขอ้ มลู สว่ นบคุ คลสรา้ งความเดอื ดรอ้ น รำ� คาญ หรอื กอ่ ความเสยี หาย
ให้แก่เจ้าของข้อมูล หากมีการเข้าถึงข้อมูลชีวมาตรจะไม่สามารถเปลี่ยนแปลงแก้ไขได้และ
มีผลกระทบร้ายแรงต่อชีวิตของผู้ท่ีเป็นเจ้าของข้อมูลส่วนบุคคลเหล่าน้ี ควรต้องค�ำนึงถึง
ความเสี่ยงในการเข้าถึงข้อมูลชีวมาตร จึงจ�ำเป็นต้องมีมาตรการทางกฎหมายเพื่อก�ำหนด
หลกั เกณฑ์ในการกำ� กบั ดูแล และให้ความคมุ้ ครองขอ้ มูลชวี มาตร
ด้วยเหตุน้ี การเก็บรักษาต้องเก็บข้อมูลชีวมาตรได้เฉพาะบางประเภท หรือลดขนาด
ระบบของฐานข้อมูลในการประมวลผลข้อมลู ชวี มาตร (Biometrics) ต้องมกี ารขอความยนิ ยอม
หรอื บงั คบั ใหห้ นว่ ยงานขององคก์ รตา่ งๆ หรอื ผใู้ หบ้ รกิ าร หรอื ผคู้ วบคมุ ขอ้ มลู สว่ นบคุ คลสามารถ
เก็บข้อมูลชีวมาตรประเภทใดได้น้ัน จะต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล
ก่อนอย่างชัดเจน มิใช่การยินยอมโดยอัตโนมัติ และเจ้าของข้อมูลส่วนบุคคลสามารถถอน
ความยินยอมเมื่อไหร่ก็ได้ โดยไม่มีข้อแม้หรือเง่ือนไข เว้นแต่จะมีข้อจ�ำกัดสิทธิโดยบทบัญญัติ
ของกฎหมาย หรือสัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลก่อนที่จะค้นหาข้อมูลชีวมาตร เพ่ือ
ปกป้อง และควบคุมการจัดเก็บ การใช้ หรือการแบ่งปันข้อมูลชีวมาตร โดยจะต้องเปิดเผย
นโยบายแจ้งเตือนก่อนเป็นลายลักษณ์อักษรเก่ียวกับกระบวนการในการดำ� เนินงาน ระยะเวลา
ในการทำ� ลายข้อมูลชวี มาตร และรับรองความโปร่งใส เพื่อใหเ้ กดิ ความเชื่อมนั่ ของประชาชนท่ี
จะได้รับการคุม้ ครองสิทธติ ามพระราชบญั ญตั คิ มุ้ ครองข้อมูลส่วนบคุ คล พ.ศ. 25623 โดยเพิ่ม
บทนยิ ามคำ� วา่ “ขอ้ มลู ชีวมาตร (Biometrics) ในมาตรา 6 เพือ่ ปอ้ งกันผลกระทบจากกฎหมาย
ในการใชข้ ้อมูลชีวมาตร
2. การระบุตัวตนของบุคคลด้วยเทคโนโลยไี บโอเมตริกซ์
ปัจจุบันการบริการต่างๆ ในการท�ำธุรกรรมง่ายข้ึนและรวดเร็วมากข้ึนผู้บริโภคท่ัวไป
สามารถเข้าถึงแหล่งบริการทางออนไลน์ผ่านทางอิเล็กทรอนิกส์ และขณะเดียวกันอยู่ในช่วง
เปลี่ยนถ่ายระบบจากการยืนยันตัวตนด้วยการใส่รหัสผ่านเป็นตัวเลข มาเป็นระบบชีวมาตร
(Biometrics) ซง่ึ สามารถพิจารณาได้ ต่อไปนี้
2.1 ความหมายของชวี มาตร หรือไบโอเมตรกิ ซ์ (Biometrics)
หมายถึง “ลักษณะทางกายภาพ และพฤติกรรมที่สามารถวัดผลได้ ซ่ึงท�ำให้สามารถ
สรา้ งและยนื ยนั ตวั ตนของแตล่ ะบคุ คลได”้ จำ� แนกลกั ษณะเฉพาะ (Identification) ดงั นน้ั ลกั ษณะ
ทางชีวมาตรต้ังแต่การสแกนลายนิ้วมือรวมถึงเคร่ืองสแกนม่านตา หรือการจดจ�ำใบหน้า และ
3 พระราชบญั ญตั ิคุ้มครองข้อมูลสว่ นบุคคล พ.ศ. 2562, มาตรา 23 (3)
54 ปที ่ี 14 ฉบบั ท่ี 1 มกราคม-มิถนุ ายน พ.ศ. 2564 วารสารนติ ศิ าสตร์ มหาวิทยาลยั นเรศวร
การรู้จ�ำเสียง4 แม้ว่าส่ิงเหล่าน้ีจะเป็นลักษณะทางกายภาพท่ีใช้กันมากที่สุดส�ำหรับผู้บริโภค
แต่ก็มีแอปพลิเคชันอื่นๆ ที่มุ่งเน้นไปที่พฤติกรรม เช่น การจดจ�ำเสียง (Voice recognition)
การกดแปน้ พมิ พ์ (Keystroke dynamics) วเิ คราะหก์ ารเดนิ (Gait analysis) การวเิ คราะหล์ ายเซน็
(Signature analysis) ไบโอเมตริกซ์ทางปัญญา (Cognitive biometrics) ลักษณะการใช้เมาส์
(Mouse use characteristics)5 เป็นตน้
2.2 การจัดการข้อมลู ส่วนบุคคลทอี่ ่อนไหวงา่ ย (Sensitive data)
หน่วยงานภาครัฐได้มีการใช้ระบบชีวมาตรนี้ในการลงทะเบียนซิมการ์ด โดยเฉพาะ
อย่างย่ิงธุรกรรมออนไลน์ด้านการเงินการธนาคาร ในการช�ำระเงินผ่านอุปกรณ์สมาร์ตโฟน
หรือการบริการต่างๆ เพื่อเพ่ิมความปลอดภัยในการปลดล็อคแอปพลิเคชัน โดยไม่ต้องใส่
รหัส (Password) หรือใชแ้ ทนการปลดล็อคแอปพลิเคชนั ในกรณลี ืมรหสั เขา้ ใช้งาน หรอื ปอ้ งกนั
การเข้าถึงข้อมูลในระบบสมาร์ตโฟน หากข้อมูลชีวมาตรชนิดน้ีหายไป หรือตกไปอยู่ใน
การครอบครองของบคุ คลอนื่ ได้ ยอ่ มจะไมส่ ามารถแกไ้ ขไดเ้ หมอื นรหสั ผา่ น ดงั นน้ั สทิ ธใิ นขอ้ มลู
สว่ นบคุ คลน้ี ควรใหบ้ คุ คลใดบา้ งมสี ทิ ธทิ จ่ี ะเขา้ ถงึ และใชป้ ระโยชนจ์ ากผเู้ ปน็ เจา้ ของขอ้ มลู เหลา่ นี้
ไดบ้ า้ ง และทส่ี ำ� คญั ประการหนงึ่ กลา่ วคอื การจดั การขอ้ มลู สว่ นบคุ คลทอี่ อ่ นไหวงา่ ย (Sensitive
data)6 ซ่ึงมีความละเอียดอ่อนและสุ่มเส่ียงต่อการน�ำไปใช้เพื่อแสวงหาผลประโยชน์ และ
การเลือกปฏิบัติอย่างไม่เป็นธรรม จึงต้องด�ำเนินการด้วยความระมัดระวังพิเศษ ได้แก่
การจ�ำแนกประเภทข้อมูลชีวมาตร และหรือข้อมูลส่วนบุคคล และการบังคับใช้ ตามประเภท
ของความเสย่ี งและความรา้ ยแรงของผลกระทบตอ่ สทิ ธแิ ละเสรภี าพของบคุ คล ถอื วา่ เปน็ ขอ้ มลู
ส่วนบคุ คลที่เป็นเรื่องส่วนตวั โดยแท้
อยา่ งไรกต็ าม ปญั หาการนำ� ขอ้ มลู สว่ นบคุ คลไปใชโ้ ดยมไิ ดร้ บั ความยนิ ยอมกอ่ น หรอื แม้
กระทงั้ ใหค้ วามยนิ ยอมแลว้ กต็ าม กต็ อ้ งคำ� นงึ ถงึ สทิ ธสิ ว่ นตวั ของบคุ คลทผี่ อู้ นื่ จะลว่ งละเมดิ มไิ ด้
อันเป็นสิทธิในความเป็นส่วนตัวของแต่ละบุคคล อันน�ำมาซึ่งการศึกษาเปรียบเทียบกฎหมาย
ที่เกี่ยวกับการควบคุมการใช้ข้อมูลชีวมาตร รวมถึง พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
พ.ศ. 2562 และพระราชบญั ญตั คิ มุ้ ครองขอ้ มลู ไบโอเมตรกิ ซข์ องรฐั อลิ ลนิ อยส์ Illinois Biometric
Information Privacy Act: 2008 (BIPA) แหง่ สหรัฐอเมรกิ า ซง่ึ มีความสอดคลอ้ งกบั กฎ ระเบียบ
4 อภชิ ยั แผลงศร, เอกสารประกอบการบรรยาย การระบบุ คุ คล (Identification) (กรงุ เทพฯ: ภาควชิ านติ เิ วชวทิ ยา
คณะแพทยศาสตร์ มหาวทิ ยาลยั ศรนี ครนิ ทรวโิ รฒ, 2559), 52.
5 เอกรินทร์ ซื่อธานุวงศ์, “ระบบตรวจสอบลายนิ้วมือฝังตัว,” (วิทยานิพนธ์ปริญญามหาบัณฑิต
คณะวศิ วกรรมศาสตร์ มหาวทิ ยาลยั สงขลานครนิ ทร,์ 2548), 23.
6 ศิริกุล ภู่พันธ์, “ข้อความคิดว่าด้วยข้อมูลข่าวสารส่วนบุคคล,” (วิทยานิพนธ์ปริญญามหาบัณฑิต
คณะนติ ศิ าสตร์ มหาวทิ ยาลยั ธรรมศาสตร์, 2548), 83.
วารสารนติ ศิ าสตร์ มหาวิทยาลัยนเรศวร ปีที่ 14 ฉบบั ท่ี 1 มกราคม-มถิ นุ ายน พ.ศ. 2564 55
ขอ้ บงั คบั ของ General Data Protection Regulation: 2018 (GDPR) แหง่ สหภาพยโุ รปอนั เปน็ ตน้
แบบของมาตรการทางกฎหมาย ซ่ึงคุ้มครองและป้องกันสิทธิในความเป็นส่วนตัวของเจ้าของ
ข้อมูลส่วนบคุ คล โดยจะน�ำไปใชไ้ ดต้ อ่ เมอ่ื ได้รบั ความยินยอมจากผู้เปน็ เจ้าของขอ้ มลู กอ่ นโดย
ชดั แจง้ หากมกี ารเกบ็ รวบรวม การใช้ การประมวลผลขอ้ มลู หรอื จำ� เปน็ ตอ่ การปฏบิ ตั งิ าน หรอื
จำ� เปน็ สำ� หรบั การปกปอ้ งผลประโยชนท์ ส่ี ำ� คญั ของแตล่ ะบคุ คล โดยหลกั การสำ� คญั ของกฎหมาย
(BIPA) หา้ มประมวลผลขอ้ มลู เปดิ เผย เชา่ ซอ้ื ซอื้ ขาย เวน้ แต่ กระทำ� ไปเพอ่ื ความมน่ั คงปลอดภยั
ของสงั คม หรือมีกฎหมายบญั ญตั ิให้กระท�ำได้ ตาม 740 ILCS 14/15 (c)7
ประวัติโดยย่อของกฎหมายข้อมูลชีวมาตรแห่งรัฐอิลลินอยส์ (Biometric Information
Privacy:BIPA) ซ่ึงบังคับเม่ือปี ค.ศ 2008 เป็นครั้งแรกท่ีรัฐอิลลินอยส์ให้ความส�ำคัญเก่ียวกับ
ลายนิ้วมอื และมีการบังคับใชก้ ฎหมายดงั กล่าวเพมิ่ อีกในสองรฐั คอื รัฐเทก็ ซสั กฎหมายการใช้
กฎระเบยี บการระบตุ วั ตนทางชวี มาตร (Texas Biometric Identifier Statute: BIS) และรฐั วอชงิ ตนั
กฎหมายการระบตุ ัวตนทางชวี มาตรของวอชิงตนั (Washington Biological Identification Law:
BI) จากการศกึ ษามาตรการทงั้ สามรฐั ขา้ งตน้ พบวา่ รฐั อลิ ลนิ อยส์ (BIPA) หา้ มมใิ หอ้ งคก์ รตา่ งๆ
ที่มีข้อมูลชีวมาตรเปิดเผยข้อมูลส่วนบุคคลดังกล่าว เว้นแต่จะได้รับความยินยอมจากเจ้าของ
ข้อมูลกอ่ น ซ่งึ ตอ้ งแจง้ “ล่วงหนา้ ” ตั้งแต่ครง้ั แรกที่เรม่ิ ใช้ ตาม 740 ILCS 10/15 (b)8 หลกั ความ
ยินยอม มิใช่เพียงแค่ “แจ้ง” หากองค์กรผู้ให้บริการไม่แจ้งขอให้ความยินยอมล่วงหน้าเป็น
ลายลกั ษณอ์ กั ษรแกเ่ จา้ ของขอ้ มลู ทราบกอ่ น และควบคมุ การจดั เกบ็ รวบรวมขอ้ มลู ชวี มาตร โดย
ไบโอเมตริกซ์ (Biometrics) รวมถึงลายน้ิวมือ (DNA) ทา่ ทางการเดนิ จงั หวะการพมิ พ์ การพมิ พ์
เสียง รูปแบบหลอดเลือดด�ำและรูปทรงของใบหน้า หรือเพียงแค่ช่ือไม่กี่ชื่อ เป็นต้น ส�ำหรับ
ผู้ให้บริการด้านการดูแลสุขภาพรวบรวมข้อมูลที่ระบุตัวตนเก่ียวกับผู้ป่วยนั้น ซึ่งโดยปกติจะ
รวมถงึ ข้อมลู พันธุกรรม (DNA)9 เมอื่ มกี ารละเมิดกเ็ พยี งพอทีจ่ ะนำ� คดขี น้ึ สศู่ าล แมว้ า่ เจ้าของ
ขอ้ มลู สว่ นบคุ คลจะไมไ่ ดร้ บั ผลกระทบจากการไมแ่ จง้ ความยนิ ยอมดงั กลา่ วนน้ั กต็ าม ผเู้ สยี หาย
ไมจ่ ำ� เปน็ ตอ้ งแสดงความเสยี หายเพมิ่ เตมิ กฎหมายกถ็ อื วา่ ละเมดิ กฎหมาย ผเู้ สยี หายสามารถเรยี ก
คา่ เสยี หายไดเ้ องตามความเหมาะสม ซง่ึ มเี ฉพาะมลรฐั อลิ ลนิ อยส์ ซง่ึ มลรฐั อนื่ ตอ้ งไดร้ บั อนญุ าต
7 740 ILCS 14/15 (c) No private entity in possession of a biometric identifier or biometric
information may sell, lease, trade, or otherwise profit from a person’s or a customer’s biometric identifier or
biometric information.
8 (740 ILCS 14/15)
Sec. 15. Retention; collection; disclosure; destruction.
(b) No private entity may collect, capture, purchase, receive through trade, or otherwise obtain a
person’s or a customer’s biometric identifier or biometric information, unless it first:
9 Hannah Zimmerman, “The Data of You: Regulating Private Industry’s Collection of Biometric Information,”
Kansas Law Reviews 66 (2018): 637-617.
56 ปที ี่ 14 ฉบับท่ี 1 มกราคม-มถิ ุนายน พ.ศ. 2564 วารสารนติ ศิ าสตร์ มหาวิทยาลัยนเรศวร
จากศาลกอ่ น ดว้ ยเหตนุ ี้ จงึ มคี วามจำ� เปน็ ในการแกไ้ ขมาตรการทางกฎหมาย เพอ่ื คมุ้ ครองสทิ ธิ
ในความเป็นส่วนตัวน้ีต้องอาศัยบทบัญญัติของกฎหมายที่เกี่ยวข้องคุ้มครอง และป้องกันสิทธิ
ในความเป็นสว่ นตวั ของเจ้าของข้อมูลสว่ นบุคคล เช่น ตัวอย่าง คดี Rosenbach v. Six Flags
เมื่อวันที่ 25 มกราคม 201910 ศาลฎีกาแห่งรัฐอิลลินอยส์ได้กลับค�ำพิพากษาของ
ศาลอุทธรณ์ของรัฐไว้ว่าเป็นการละเมิดกฎหมายความเป็นส่วนตัวด้านข้อมูลทางชีวมาตรของ
รฐั อลิ ลินอยส์ “BIPA” 740 ILL COMP. STAT 14 (2008) คดี โจทก์ Rosenbach และ Six Flags
จำ� เลย โดย Rosenbach โจทกไ์ ดท้ ำ� การซอ้ื บตั รผา่ นเขา้ สซู่ ซี นั สวนสนกุ ใหบ้ ตุ รชายวยั 14 ปี ของ
โจทก์ ซ่ึงเป็นส่วนหนงึ่ ของการทศั นศกึ ษาทีส่ วนสนกุ Six Flags Amusement Park โดยบุตรชาย
ของโจทก์จะต้องถูกส่งสแกนลายน้ิวมือเพ่ือใช้บัตรผ่านเข้าสวนสนุก โดยบุตรชายของโจทก์
ก่อนหน้าน้ีเคยพยายามเปิดใช้งานบัตรผ่านดังกล่าวแล้ว แต่ไม่สามารถใช้งานได้ โดยโจทก์
ไมไ่ ดร้ บั การแจง้ เกยี่ วกบั ขอ้ กำ� หนดการสแกนลายนวิ้ มอื หรอื วธิ กี ารใช้ หรอื จดั เกบ็ ขอ้ มลู ทสี่ ำ� คญั
แตอ่ ยา่ งใด แมว้ า่ โจทกจ์ ะไมไ่ ดก้ ลา่ วอา้ งวา่ การละเมดิ ครง้ั นกี้ อ่ ใหเ้ กดิ ความเสยี หายทางการเงนิ
หรือด้านอื่นๆ ใดก็ตาม แต่จากการตรวจสอบข้อเท็จจริงเหล่านี้แล้ว ศาลฎีการัฐอิลลินอยส์
ได้ยอมรับข้อโต้แย้งของโจทก์ว่านโยบายของจ�ำเลย ซ่ึงไม่ได้แจ้งเก่ียวกับการใช้ข้อมูลชีวมาตร
ก็เป็นการเพียงพอในการละเมดิ กฎหมาย (BIPA) แล้ว
ดังนั้น จะเห็นได้ว่ารัฐอิลลินอยส์ได้บัญญัติกฎหมายเพื่อคุ้มครองให้บุคคลสามารถ
ควบคุมขอ้ มูลชีวมาตร หรอื ไบโอเมตริกซข์ องตนได้ โดยบัญญัตกิ ฎหมายให้มีการ “แจ้ง” เตอื น
ให้เจ้าของข้อมลู ทราบในการใชข้ ้อมูลชีวมาตร เช่น ลายน้ิวมือ ดีเอน็ เอ การสแกนใบหน้า และ
ขอ้ มูลทางชีววทิ ยาอนื่ ๆ พระราชบัญญัติข้อมูลไบโอเมตริกซ์ (BIPA) ห้ามมิให้หน่วยงานตา่ งๆ
หรือบริษทั เอกชนรวบรวมขอ้ มลู ชวี มาตรของบุคคล ตาม 740 ILCS 14/25 (d) และระยะเวลา
ในการเก็บรักษาข้อมูล กฎหมายยังก�ำหนดให้ บริษัทต่างๆ ต้องปกป้องความลับของข้อมูล
ชวี มาตร ตาม 740 ILCS 14/25 (e)11
มาตรการกฎหมาย (BIPA) กำ� หนดใหอ้ งคก์ รธรุ กจิ ทร่ี วบรวม หรอื จดั เกบ็ ขอ้ มลู ชวี มาตร
ตอ้ งด�ำเนนิ การดงั ตอ่ ไปน้ี
1. ก�ำหนดนโยบายเป็นลายลักษณ์อักษรพร้อมวิธีการเก็บรักษาข้อมูล และแนวทาง
ในการท�ำลายตวั ระบชุ วี มาตรอย่างถาวร
10 Illinois Official Reports Supreme Court, “Rosenbach v. Six Flags Entertainment Corp., 2019 IL
123186,” accessed July 29, 2020, https://courts.illinois.gov/Opinions/SupremeCourt/2019/123186.pdf.
11 740 ILCS 14/25 (e) Nothing in this Act shall be construed to apply to a contractor, subcontractor,
or agent of a State agency or local unit of government when working for that State agency or local unit of
government.
วารสารนติ ิศาสตร์ มหาวทิ ยาลยั นเรศวร ปีที่ 14 ฉบับที่ 1 มกราคม-มถิ นุ ายน พ.ศ. 2564 57
2. นโยบายแจ้งเตือนให้เจ้าของข้อมมูลชีวมาตรทราบเป็นลายลักษณ์อักษรว่าข้อมูล
ชีวมาตรกำ� ลงั จะถกู รวบรวม หรอื จดั เกบ็ ตามวตั ถุประสงคแ์ ละระยะเวลาที่จะจดั เก็บและการใช้
ตวั ระบชุ วี มาตร
3. ไดต้ อบรับการให้ความยนิ ยอมเป็นลายลักษณ์อักษรจากเจา้ ของขอ้ มูล และ
4. ไม่ส่งต่อข้อมูลชีวมาตร หรือเปิดเผยข้อมูลชีวมาตรให้กับบุคคลท่ีสามโดยไม่ได้รับ
ความยนิ ยอมจากเจ้าของข้อมลู เสียกอ่ น
เมื่อน�ำหลักการดังกล่าวมาพิจารณาเปรียบเทียบกับพระราชบัญญัติคุ้มครองข้อมูล
สว่ นบคุ คล พ.ศ. 2562 พบวา่ ยังมิไดม้ มี าตรการกำ� หนดใหผ้ ปู้ ระกอบธุรกิจต่างๆ แจง้ เตือนให้
บุคคลทราบถึง “มาตรฐานการดูแลที่เหมาะสม” ในการจัดเก็บ รวบรวม ส่ง หรือการปกป้อง
ข้อมูลชีวมาตร หรือไบโอเมตริกซ์ เพ่ือปกป้องความเป็นส่วนตัวของบุคคลท่ีให้ใช้ข้อมูล โดย
ก�ำหนดให้หน่วยงานธุรกิจท่ีรวบรวม หรือจัดเก็บข้อมูลชีวมาตรจะต้องด�ำเนินการอย่างไร
ภายใตบ้ ทบัญญตั ิของกฎหมาย
3. วเิ คราะห์พระราชบัญญัติคมุ้ ครองขอ้ มูลสว่ นบคุ คล พ.ศ. 2562
ความเปน็ สว่ นตัวของข้อมลู ชวี มาตร (Biometrics)
ควรจะมคี วามหมายอย่างไร
เมอื่ วนั ที่ 7 ตลุ าคม 2557 โดยสำ� นกั งานคณะกรรมการขอ้ มลู ขา่ วสารของราชการ (สขร.)
เสนอร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ถูกบรรจุเข้าไปในวาระของสภานิติบัญญัติ
แห่งชาติ (สนช.) ไปแล้วหน่ึงฉบับ ซ่ึงเป็นกฎหมายที่เสนอโดยส�ำนักนายกรัฐมนตรี ได้ค้าง
พิจารณามาจากสภา ซ่ึงสภานิติบัญญัติแห่งชาติได้เสนอร่างกฎหมายพระราชบัญญัติคุ้มครอง
ข้อมลู ส่วนบุคคล พ.ศ...สองฉบับภายใตช้ ่อื เดียวกันทผี่ า่ นการพจิ ารณาแลว้ เร่ืองท่ี 1135/2558
เมอื่ เปรยี บเทยี บรา่ งพระราชบญั ญตั คิ มุ้ ครองขอ้ มลู สว่ นบคุ คล พ.ศ...ทงั้ สองฉบบั จะพบหลกั การ
ทเ่ี ปล่ียนแปลงไปในรา่ งพระบญั ญตั คิ ุม้ ครองข้อมูลสว่ นบุคคลฉบับใหม่ ดงั นี้
3.1 ปัญหาคำ� จ�ำกัดความของคำ� นิยามศพั ท์ “ข้อมูลชวี มาตร (Biometrics)
แก้ไขนิยามศัพท์ ของค�ำว่า “ข้อมูลส่วนบุคคล” ใหม่ให้ส้ันลงแต่ตีความได้กว้างข้ึน
จากขอ้ มลู สว่ นบคุ คลทเ่ี กย่ี วกบั สงิ่ เฉพาะตวั ของบคุ คล เชน่ การศกึ ษา ฐานะการเงนิ ประวตั สิ ขุ ภาพ
ประวตั อิ าชญากรรม ประวตั กิ ารทำ� งาน หรอื ประวตั กิ จิ กรรม และเลขหมาย รหสั หรอื สง่ิ ทบี่ ง่ บอก
ลกั ษณะอน่ื ทจ่ี ะทำ� ใหร้ ตู้ วั บคุ คลนนั้ ได้ เชน่ ลายนวิ้ มอื แผน่ บนั ทกึ ลกั ษณะ เสยี งของคน รปู ถา่ ย
58 ปที ่ี 14 ฉบบั ท่ี 1 มกราคม-มิถุนายน พ.ศ. 2564 วารสารนิตศิ าสตร์ มหาวิทยาลยั นเรศวร
เหลือเพียงข้อมูลเก่ียวข้องกับบุคคล12 ซ่ึงท�ำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือ
ทางออ้ ม ตามนยั มาตรา 6 ฉบบั ปจั จบุ นั ซง่ึ เปน็ การบญั ญตั คิ ำ� นยิ ามแบบกวา้ ง และเปน็ การทวั่ ไป
จากปญั หาคำ� จำ� กัดความของค�ำนิยาม “ขอ้ มลู ชีวมาตร (Biometrics)”13 ซึ่งเป็นข้อมูล
ลบั เฉพาะของบคุ คลที่มคี วามอ่อนไหวง่าย อกี ทั้ง มไิ ด้จ�ำแนกประเภทของข้อมลู ส่วนบคุ คลให้
มคี วามชดั เจน อาจสง่ ผลกระทบในทางปฏบิ ตั แิ กผ่ คู้ วบคมุ หรอื ผปู้ ระมวลผลขอ้ มลู และเจา้ ของ
ขอ้ มลู สว่ นบคุ คล อาจตคี วามหมายตามเจตนาของตนวา่ เปน็ ขอ้ มลู ทวั่ ไป หรอื หากเกดิ ขอ้ พพิ าท
จำ� ตอ้ งใชด้ ลุ ยพนิ จิ ในการตคี วามหมายเพอื่ การบงั คบั ใชก้ ฎหมายใหเ้ ปน็ ตามบทบญั ญตั ิ จงึ ตอ้ ง
พิจารณาความหมายของ “ขอ้ มูลชีวมาตร (Biometrics)” ดงั น้ี
“ข้อมูลชีวมาตร (Biometrics)” ซึ่งเป็นข้อมูลที่เกิดจากเทคโนโลยีด้านชีวมาตรและ
ทางการแพทย์ และเทคโนโลยีทางคอมพวิ เตอรเ์ ขา้ ด้วยกัน เพ่อื ยืนยนั ในการระบุความเป็นตัว
ตน (Individual’s Identity) จึงเปน็ ขอ้ มูลลับเฉพาะของบคุ คลท่มี คี วามออ่ นไหวงา่ ย จะต้องไดร้ บั
การคมุ้ ครองเป็นกรณพี ิเศษเฉพาะเจาะจง และจ�ำแนกประเภทออกจากข้อมลู ทัว่ ไป
จากการศกึ ษาผเู้ ขยี นเหน็ วา่ ควรใหค้ วามสำ� คญั คำ� นยิ ามศพั ทข์ อ้ มลู ชวี มาตร ซงี่ มคี วาม
แตกตา่ งกนั ในประเภทของขอ้ มลู สว่ นบคุ คล โดยทำ� การเปรยี บเทยี บกบั พระราชบญั ญตั คิ มุ้ ครอง
ข้อมลู ไบโอเมตริกซข์ องสหรฐั อเมรกิ าดงั นี้
พระราชบญั ญตั คิ มุ้ ครองขอ้ มลู ไบโอเมตรกิ ซข์ องสหรฐั อเมรกิ า (Biometric Information
Privacy Act 2008: BIPA) ได้บัญญัติค�ำนิยามประเภท “ข้อมูลชีวมาตร (Biometrics)” โดย
จ�ำแนกประเภทของข้อมูลชีวมาตรให้ชัดเจนออกจากประเภทข้อมูลทั่วไป เว้นแต่ ข้อมูลท่ี
ได้จากการรวบรวม หรือขั้นตอนที่ได้รับการยกเว้นภายใต้ค�ำจ�ำกัดความ ตาม Section 1014
ท�ำให้ผู้ปฏิบัติหน้าที่เก่ียวกับข้อมูลส่วนบุคคลดังกล่าวน้ี ไม่จ�ำต้องตีความหมายว่าข้อมูลที่
เกิดจากผลทางเทคโนโลยีตามพระราชบัญญัติทางกายวิภาคแห่งรัฐอิลลินอยส์เป็นข้อมูล
ประเภทใด กฎหมายไมเ่ พยี งกำ� หนดใหต้ อ้ งปฏบิ ตั ติ าม “เกณฑม์ าตรฐานในการดแู ลทเี่ หมาะสม
ในองค์กรเอกชน” กฎหมายยงั ไดอ้ ธบิ ายการใช้เทคโนโลยี (Biometrics) อีกดว้ ย ดงั น้ัน องค์กร
12 ร่างพระราชบัญญัติคุม้ ครองข้อมูลส่วนบคุ คล ผ่านการพิจารณาแล้ว เรือ่ งที่1135/2558
13 นัยนา มาแสง, “เทคโนโลยีไบโอเมตริกซ์,” วารสารวชิ าการ มหาวิทยาลัยธนบุรี 2, ฉ.1 (2551): 3-6.
14 (740 ILCS 14/10) Section. 10. Definitions. In this Act. reads:
“Biometric information” means any information, regardless of how it is captured, converted,
stored, or shared, based on an individual’s biometric identifier used to identify an individual, “Biometric
information does not include information derived from items or procedures excluded under the definition
of biometric identifiers,” accessed December 24, 2019, http://gtclawgroup.com/wp-content/uploads/
2017/11/Illinois-2017-law-Biometric-Information-Privacy-Act.pdf.
วารสารนติ ิศาสตร์ มหาวิทยาลยั นเรศวร ปที ี่ 14 ฉบบั ท่ี 1 มกราคม-มถิ นุ ายน พ.ศ. 2564 59
ท่ีอยูภ่ ายใต้ BIPA จงึ ตอ้ งตรวจสอบใหแ้ น่ใจวา่ “ข้อมลู ชีวมาตร” ไดร้ ับการปกปอ้ งและค้มุ ครอง
มใิ หถ้ กู ละเมิดเปน็ กรณพี ิเศษ
เมื่อเปรยี บเทยี บคำ� นิยามศัพท์ พระราชบัญญตั ิคุ้มครองข้อมลู สว่ นบุคคล พ.ศ. 2562
ผเู้ ขยี น พบวา่ มเี จตนามงุ่ ใหเ้ ปน็ กฎหมายกลางและตคี วามไดก้ วา้ งนนั้ อาจเพราะมกี ฎหมายอน่ื ๆ
บัญญัติเก่ียวกับการคุ้มครองข้อมูลส่วนบุคคลในลักษณะใดไว้เป็นการเฉพาะแล้ว แต่ก็มิได้
บญั ญตั คิ �ำนยิ ามศัพท์ไวใ้ นมาตรา 6 บทนิยามแต่อย่างใด จงึ มิอาจทราบความหมายเฉพาะได้
วา่ “ขอ้ มลู ชวี มาตร” เปน็ ขอ้ มลู ทเ่ี กดิ จากเทคนคิ และเทคโนโลยที างการแพทยท์ ม่ี คี วามละเอยี ด
ออ่ น และเป็นขอ้ มูลลับเฉพาะของบุคคล ซึง่ ต้องระวังเป็นกรณีพิเศษ และตอ้ งจำ� แนกประเภท
ข้อมูลชวี มาตรออกจากข้อมลู ท่วั ไป เมื่อพิจารณากฎหมาย BIPA ของสหรฐั อเมรกิ าได้บญั ญตั ิ
“ข้อมูลชีวมาตร” ไว้ในบทนิยามค�ำศัพท์ และจ�ำแนกประเภทข้อมูลชีวมาตรออกจากข้อมูล
สว่ นบคุ คลทวั่ ไปไว้อยา่ งชดั เจน ตาม 740 ILCS 14/10 จงึ สามารถทราบ และเขา้ ใจได้วา่ ข้อมูล
ใดมีความละเอยี ดออ่ นไหวงา่ ย และขอ้ มูลใดเปน็ ขอ้ มูลทัว่ ไป เพ่ือประโยชน์ในการท�ำธุรกรรม
ตา่ งๆ หรอื ในการพิสจู นย์ ืนยนั ตวั ตนของบคุ คล ในระบบดจิ ิทัล
ผู้เขียนพบขอ้ สงั เกตว่า พระราชบัญญตั คิ ุม้ ครองขอ้ มลู ส่วนบุคคล พ.ศ.2562 ตามนัย
มาตรา 24 “ห้ามมิใหผ้ ู้ควบคมุ ข้อมลู ส่วนบุคคลท�ำการเก็บรวบรวมข้อมูลส่วนบคุ คล โดยไม่ได้
รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่มีความจ�ำเป็นเพื่อการปฏิบัติหน้าที่เพ่ือ
ประโยชน์สาธารณะ.....”
มาตรา 27 ห้ามมใิ หผ้ ู้ควบคุมข้อมูลสว่ นบุคคลใช้ หรือเปิดเผยข้อมลู ส่วนบคุ คล โดย
ไมไ่ ด้รับความยินยอมจากเจ้าของขอ้ มลู ส่วนบุคคล เวน้ แต่ข้อมูลส่วนบคุ คลที่เก็บรวบรวมไดร้ บั
การยกเวน้ โดยไม่ตอ้ งขอความยินยอมตาม มาตรา 24 หรอื มาตรา 26
แมป้ รากฏวา่ มาตรา 26 บญั ญัติหา้ มมใิ หเ้ ก็บรวบรวมข้อมูลสว่ นบุคคลเกีย่ วกับข้อมลู
ชีวมาตร โดยไม่ได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคลก่อนนั้นก็ตาม แต่
ก็ยงั มีประเดน็ ในเรอ่ื งการบงั คับใช้กฎหมายของหน่วยงานรฐั หลายแห่ง อาจใช้อ�ำนาจรฐั ในการ
บังคับการเก็บขอ้ มูลชวี มาตรของประชาชน โดยไม่คำ� นึงถึงผลกระทบท่ีจะเกดิ กบั เจ้าของขอ้ มูล
ชีวมาตรในกรณีท่ีเกิดการร่ัวไหล หรือถูกน�ำข้อมูลชีวมาตรไปใช้ในทางที่มิชอบโดยเจ้าหน้าท่ี
ของรัฐเอง15
ดังนัน้ การบญั ญัติคำ� นิยามศพั ท์ “ขอ้ มูลชวี มาตร (Biometrics)” สามารถท�ำให้ทราบ
ถึงประเภทข้อมูลที่เกิดจากเทคโนโลยีทางการแพทย์ซึ่งเป็นข้อมูลลับเฉพาะของบุคคลโดยแท้
15 ประชาไทย, “กลมุ่ นักวชิ าการยนื่ หนังสอื นายกฯ หว่ งรฐั เก็บขอ้ มูลชวี มาตรไม่โปร่งใส ไมม่ ธี รรมาภิบาล,”
สืบค้นเมือ่ 9 สงิ หาคม 2562, https://prachatai.com/journal/2019/08/83824.
60 ปีท่ี 14 ฉบบั ที่ 1 มกราคม-มิถุนายน พ.ศ. 2564 วารสารนิตศิ าสตร์ มหาวทิ ยาลยั นเรศวร
ทีต่ ้องระมัดระวงั เป็นกรณพี ิเศษ ในทางปฏิบัตจิ ะท�ำให้ผู้ควบคุม หรือผปู้ ระมวลผลขอ้ มูล และ
เจา้ ของขอ้ มลู เขา้ ใจถงึ ความหมายของ “ขอ้ มลู ชวี มาตร” ตรงกนั รวมถงึ เขา้ ใจวา่ ขอ้ มลู ประเภทใด
เป็นข้อมูลท่ัวไป และหากเกิดข้อพิพาทไม่จ�ำต้องใช้ดุลยพินิจของศาลในการตีความ เพ่ือการ
บงั คบั ใชก้ ฎหมาย เนอ่ื งจากมบี ทบญั ญตั ซิ ง่ึ กำ� หนดประเภทของ “ขอ้ มลู ชวี มาตร” ไวอ้ ยา่ งชดั แจง้
3.2 หลักการความยนิ ยอม (Consent) ข้อมูลชวี มาตร (Biometrics)
ส�ำหรับธุรกิจออนไลน์ต้องให้แน่ใจว่าความเป็นส่วนตัวของผู้ใช้บริการที่เข้าเว็บไซต์น้ัน
จะตอ้ งไดร้ บั ความคมุ้ ครอง กลา่ วคอื กอ่ นทข่ี อ้ มลู สว่ นบคุ คลจะถกู เกบ็ รวบรวม ใช้ การเผยแพร่
ผู้ใช้บริการต้องได้รับแจ้งเตือนการให้ความยินยอมเป็นลายลักษณ์อักษรก่อน จึงจ�ำเป็นต้องมี
นโยบายความเป็นส่วนตัวน้ี สิทธิความเป็นส่วนตัวของผู้ใช้บริการต้องมีมาตรการป้องกัน
การเข้าถงึ จากสาธารณะเป็นสง่ิ ส�ำคญั แต่ต้องอยภู่ ายใตก้ ฎหมายในการถกู จำ� กดั สทิ ธิ อนั เปน็
ข้อยกเว้นของกฎระเบียบ ข้อบังคับในการประมวลผลข้อมูลส่วนบุคคล โดย Biometric
Information Privacy Act 2008 (BIPA) ของสหรัฐอเมริกา มุง่ เน้นความสำ� คญั เช่นเดียวกันกบั
GDPR ของสหภาพยุโรป ดังน1ี้ 6
1. ความยนิ ยอมอยา่ งอสิ ระ (Freely given) ดำ� เนนิ การตรวจสอบไดช้ ดั เจนและยนื ยนั ได้
(Verified using a clear, affirmative action) แจง้ เตือนความยนิ ยอม (Informed) เฉพาะเจาะจง
(Specific) ไมค่ ลุมเคลือ (Unambiguous)
2. แนวทางปฏิบัติของผู้ประกอบการธุรกิจในบางประการต้องท�ำเพื่อหลีกเลี่ยง
การละเมิดความเป็นส่วนตัว ต้องมิใช่การให้ความยินยอมโดยอัตโนมัติในรูปแบบของการเว้น
ชอ่ งว่างให้ผูใ้ ช้บรกิ ารทำ� เครือ่ งหมาย17 เชน่
1) ผู้ให้บริการต้องต้องไม่ท�ำเคร่ืองหมาย ใดๆ ในช่องก่อนได้รับความยินยอม หาก
ผใู้ ชบ้ รกิ ารไมค่ ลกิ ยอมรบั นโยบายอยา่ งอสิ ระเสรี หรอื ไมค่ ลมุ เครอื การขอความยนิ ยอมทถี่ กู ตอ้ ง
ตาม GDPR ผูใ้ ชบ้ รกิ ารจะต้องตกลงใหค้ วามยนิ ยอมดว้ ยตนเอง เชน่ การเลือกเครอื่ งหมายถูก
ในช่อง เพอื่ เปดิ การใช้งาน ดงั นน้ั ระบบจงึ ไม่ควรต้งั ค่าเร่ิมตน้ ให้มีเครอื่ งหมายใดๆ ให้เลือกใน
ชอ่ งขอความยนิ ยอมไว้ตั้งแต่แรก โดยจะถอื วา่ การที่ผูใ้ ช้บรกิ ารน่ิงเฉยเป็นการใหค้ วามยินยอม
ไมไ่ ด้ ดงั นัน้ จึงไม่เปน็ ความยนิ ยอมท่ถี กู ต้องภายใต้กฎของ GDPR
16 GDPR, “General Data Protection Regulation,” accessed July 29, 2020, https://www.privacypolicies.
com/blog/gdpr/.
17 PrivacyPolicies, “Blog Effectively Using an “I Agree to Privacy Policy” Checkbox,” accessed July
29, 2020, https://www.privacypolicies.com/blog/agree-privacy-policy-checkbox/.
วารสารนิติศาสตร์ มหาวิทยาลยั นเรศวร ปีที่ 14 ฉบบั ที่ 1 มกราคม-มิถนุ ายน พ.ศ. 2564 61
2) เมื่อใดก็ตามท่ีเป็นการลงทะเบียนผู้ใช้บริการใหม่ต้องไม่ด�ำเนินการยืนยันข้อมูล
เพม่ิ เตมิ โดยอตั โนมตั ิ แมว้ า่ จะเปน็ แนวทางปฏบิ ตั ทิ ท่ี ำ� กนั ทว่ั ไปของผใู้ หบ้ รกิ ารเพอ่ื หลกี เลย่ี งรบั
ความยินยอมโดยอัตโนมตั ิ
3) ผู้ให้บริการต้องไม่ผูกมัดด้วยการท�ำช่องเครื่องหมายประเภทต่างๆ เช่นเดียวกับ
การยอมรับนโยบาย และไดร้ ับความยนิ ยอมรว่ มกันดว้ ย
หลกั เกณฑด์ งั กลา่ ว ผปู้ ระกอบธรุ กจิ ควรใชช้ อ่ งแยกสำ� หรบั แตล่ ะสงิ่ ทต่ี อ้ งการขอความ
ยินยอมและใช้ช่องท�ำเคร่ืองหมายยอมรับนโยบายเพื่อต้องการให้ได้รับความยินยอมก่อนตาม
ข้อตกลงของสัญญาน้ัน ๆ
หลักความยินยอมตามพระราชบัญญัติข้อมูลความเป็นส่วนตัวทางชีวมาตรของ
สหรัฐอเมริกา (Biometric Information Privacy Act 2008: BIPA) ในการเปิดเผยข้อมูลส่วน
บุคคล กฎหมายห้ามมิให้องค์กรต่างๆ ที่มีข้อมูลส่วนบุคคลเปิดเผยข้อมูลส่วนบุคคลนั้น
เว้นแต่ ได้รบั ความยินยอมจากเจ้าของข้อมลู กอ่ น ซ่ึงตอ้ งแจง้ “ลว่ งหนา้ ” ต้งั แต่ครงั้ แรกที่เริม่ ใช้
หลักความยินยอม มิใช่เพียงแค่ “แจ้ง” หากองค์กรผู้ให้บริการไม่แจ้งขอให้ความยินยอม
ล่วงหน้าเป็นลายลักษณ์อักษรและวัตถุประสงค์เฉพาะส�ำหรับการเก็บรวบรวม รักษา เปิดเผย
ใช้ การลบ หรือการท�ำลายอย่างถาวรเมื่อไม่ประสงค์แก่เจ้าของข้อมูลทราบก่อน และ
ไม่สามารถรับข้อมูลดังกล่าวได้โดยอัตโนมัติ เมื่อมีการละเมิดก็เพียงพอที่จะน�ำคดีข้ึนสู่ศาล
แม้ว่าเจ้าของข้อมูลส่วนบุคคลจะไม่ได้รับผลกระทบจากการไม่แจ้งเตือนขอให้ความยินยอม
ดังกล่าวน้ันก็ตาม จึงแสดงให้เห็นว่ากฎหมายของ BIPA ในเรื่องการขอให้ความยินยอมโดย
มไิ ดแ้ จง้ เตอื นลว่ งหนา้ เปน็ ลายลกั ษณอ์ กั ษร และตอ้ งตอบรบั ความยนิ ยอมเปน็ ลายลกั ษณอ์ กั ษร
ทใ่ี ห้ความสำ� คญั ตงั้ แต่ครงั้ แรกเริมใช้
หลักการให้ความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ตามพระราชบัญญัติคุ้มครอง
ขอ้ มลู สว่ นบคุ คล พ.ศ. 2562 ภายใตม้ าตรา 19 วรรคสอง18 โดยบญั ญตั คิ วามยนิ ยอมดงั น้ี “เวน้ แต่
โดยสภาพไมอ่ าจขอความยนิ ยอมได”้ ซง่ึ ผู้เขยี นเหน็ วา่ เปน็ การให้ความยินยอม “โดยปริยาย”19
18 พระราชบญั ญตั ิคุม้ ครองข้อมลู สว่ นบคุ คล พ.ศ. 2562.
มาตรา 19 ผู้ควบคมุ ขอ้ มลู สว่ นบุคคลจะกระทำ� การเกบ็ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไมไ่ ด้
หากเจา้ ของข้อมูลสว่ นบคุ คลไม่ไดใ้ หค้ วามยนิ ยอมไว้กอ่ นหรอื ในขณะน้นั เวน้ แตบ่ ทบัญญัตแิ ห่งพระราชบัญญัตนิ ้ีหรือ
กฎหมายอืน่ บัญญตั ิใหก้ ระทำ� ได้
การขอความยนิ ยอมตอ้ งทำ� โดยชดั แจง้ เปน็ หนงั สอื หรอื ทำ� โดยผา่ นระบบอเิ ลก็ ทรอนกิ ส์ เวน้ แต่ โดยสภาพ
ไมอ่ าจขอความยินยอมดว้ ยวธิ กี ารดังกล่าวได้
19 นรนิ ทร์ จมุ่ ศร,ี “มาตรการทางกฎหมายในการคมุ้ ครองขอ้ มลู สว่ นบคุ คลจากการใชบ้ รกิ ารเครอื ขา่ ยสงั คม
ออนไลน์,” (วิทยานพิ นธป์ รญิ ญามหาบณั ฑิต คณะนิติศาสตร์ปรดี ี พนมยงค์ มหาวิทยาลัยธุรกจิ บัณฑติ ย,์ 2555), 36.
62 ปที ี่ 14 ฉบับที่ 1 มกราคม-มถิ นุ ายน พ.ศ. 2564 วารสารนติ ิศาสตร์ มหาวิทยาลัยนเรศวร
หากเป็นการบัญญัติการขอให้ความยินยอมโดยปริยายจะเป็นการเปิดช่องกว้างจนเกินไปใน
การขอให้ความยินยอม20 เชน่ น้ี อาจส่งกระทบตอ่ เจ้าของข้อมูลสว่ นบคุ คลโดยตรง
หลักความยินยอม (Consent) ในการปฏิบัติตามสัญญาต้องมิใช่การให้ความยินยอม
โดยปริยาย หรอื มิใช่การใหค้ วามยนิ ยอมโดยอตั โนมัติ และตอ้ งแจง้ ผลกระทบ “ก่อน” ให้ถอน
ความยนิ ยอมให้เจ้าของข้อมูลทราบตัง้ แต่ครัง้ แรก
โดยควรพิจารณาเปรยี บเทยี บตามหลกั ความยินยอม ดังน้ี
1) หลกั ความเหมาะสมในการเกบ็ ขอ้ มลู หมายถงึ การเกบ็ รวบรวมขอ้ มลู ตอ้ งแจง้ เตอื น
ในการขอความยนิ ยอมและมกี ารแจง้ ถงึ วตั ถปุ ระสงคใ์ นการนำ� ขอ้ มลู ไปใชจ้ ากเจา้ ของขอ้ มลู กอ่ น
เสมอ (หลัก Consent)
2) หลกั ข้อจำ� กัดในการน�ำไปใช้ หมายถงึ ขอ้ มูลสว่ นบุคคลจะต้องไม่ถกู น�ำไปเปดิ เผย
เกินจากขอบวัตถุประสงค์ที่ได้ขอความยินยอมจากเจ้าของข้อมูล (เว้นแต่ได้รับความยินยอม
จากเจา้ ของข้อมลู หรือตามบทบัญญตั ิของกฎหมาย)
ดังนั้น หลักความยินยอม (Consent) โดยผู้ให้บริการต้องประกาศแจ้งเตือนเป็น
ลายลักษณ์อักษรท่ีเก่ียวข้องในการขอให้ความยินยอม และต้องแจ้งวัตถุประสงค์ในเร่ืองน้ันๆ
โดยไม่จ�ำกัดวา่ จะอยู่ในรปู แบบใดๆ ที่เข้าใจได้ และเข้าถึงได้ง่ายโดยใชภ้ าษาทชี่ ดั เจน
เม่ือเปรียบเทียบกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ยังมิได้ให้
ความสำ� คญั ในเรอื่ งหลกั การแจง้ เตอื นขอใหค้ วามยนิ ยอมและตอ้ งไดร้ บั ความยนิ ยอมจากเจา้ ของ
ข้อมูลก่อนและต้องแจ้งถึงวัตถุประสงค์ในการน�ำข้อมูลไปใช้ให้ผู้เป็นเจ้าของข้อมูลทราบก่อน
โดยตอ้ งมใิ ช่การให้ความยนิ ยอมโดยปรยิ ายเชน่ ตามนยั มาตรา 19 วรรคสอง
3.3 ระยะเวลาในการเกบ็ รักษาขอ้ มลู ชวี มาตร (Biometrics)
มาตรการในการเก็บรักษาข้อมูลชีวมาตร ซึ่งถูกบันทึกไว้ในระบบฐานข้อมูลน้ัน เช่น
ระบบสมาร์ตโฟน อาจถูกคุกคามผ่านระบบการประมวลผลข้อมูลและอาจเช่ือมโยงไปยัง
ฐานข้อมูลได้ ผู้เขียน ตั้งข้อสังเกตว่า การเก็บรักษาข้อมูลส่วนบุคคลมีผลกระทบโดยตรงต่อ
ผลประโยชน์ส่วนตัวของบุคคล โดยเฉพาะในยุคสังคมข่าวสาร อาจส่งผลกระทบโดยตรงต่อ
ผลประโยชน์ส่วนตัวของบุคคล และไม่ค�ำนึงว่าจะมีการใช้ข้อมูลในคร้ังต่อไปจะเกิดข้ึนหรือไม่
ก็ตาม ซ่ึงข้อมูลส่วนบุคคลที่ถูกรวบรวมบนเครือข่ายอินเทอร์เน็ตสามารถสืบค้นได้ง่าย
20 พระราชบัญญตั คิ มุ้ ครองขอ้ มูลสว่ นบุคคล พ.ศ. 2562
ในกรณีท่ีการถอนความยินยอมส่งผลกระทบต่อเจ้าของข้อมูลส่วนบุคคลในเร่ืองใด ผู้ควบคุมข้อมูล
สว่ นบคุ คลต้องแจง้ ให้เจา้ ของขอ้ มลู สว่ นบุคคลทราบถึงผลกระทบจากการถอนความยินยอมน้ัน
วารสารนติ ิศาสตร์ มหาวิทยาลยั นเรศวร ปที ี่ 14 ฉบบั ท่ี 1 มกราคม-มิถนุ ายน พ.ศ. 2564 63
(Searchable) ท�ำให้การจัดเก็บข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
พ.ศ. 2562 มิได้มีมาตรการแจ้งเตือนเกี่ยวกับระยะเวลาในการเก็บรวบรวมข้อมูลส่วนบุคคล
ไวไ้ ดน้ านเท่าใด
แตป่ รากฏวา่ ไดบ้ ญั ญตั ริ ะยะเวลาในการเกบ็ รกั ษาขอ้ มลู สว่ นบคุ คลไวภ้ ายใตม้ าตรา 23 (3)
โดยบญั ญตั ไิ วด้ งั น้ี “อาจคาดหมายไดต้ ามมาตรฐานของการเกบ็ รวบรวม” การบญั ญตั ริ ะยะเวลา
ที่อาจคาดหมายได้ เช่นนี้ เป็นการกำ� หนดระยะเวลาท่ไี มช่ ดั เจนแตอ่ ย่างใด ในเร่อื งระยะเวลา
ในการจดั เกบ็ รกั ษาขอ้ มลู สว่ นบคุ คล อาจทำ� ใหผ้ ใู้ หบ้ รกิ ารกำ� หนดระยะเวลานานเทา่ ใดกไ็ ดต้ าม
อ�ำเภอใจ ขณะเดียวกันวิธีการเก็บรักษาในรูปแบบใหม่ๆ เกิดข้ึนเสมอและสะดวก ซ่ึงง่ายต่อ
การจัดเก็บข้อมูลส่วนบุคคลดังกล่าว อาจเป็นการเอื้อประโยชน์ให้แก่ผู้ให้บริการในการเก็บ
รวบรวมข้อมูลส่วนบุคคลดังกล่าวตามเจตนารมณ์ของตนได้ ด้วยเหตุน้ี จะกระท�ำอย่างไรให้
ข้อมลู ส่วนบุคคลถกู ลบเลือนเพอื่ มิให้มีขอ้ มลู คา้ งอยู่ในระบบ (Digital footprint) ในการป้องกัน
สทิ ธิความเป็นสว่ นตัวภายใตก้ ฎหมายฉบบั น2้ี 1 ดงั จะไดศ้ กึ ษากับกฎมายของ (BIPA) ต่อไปนี้
พระราชบญั ญตั คิ มุ้ ครองขอ้ มลู ไบโอเมตรกิ ซ์ (Biometric Information Privacy Act 2008:
BIPA) ก�ำหนดให้หน่วยงานและองค์กรต่างๆ ต้องปฏิบัติตามกฎหมาย โดยห้ามจัดเก็บข้อมูล
ชวี มาตรในกรณมี ีวตั ถปุ ระสงคเ์ พ่ือทางการค้า ซง่ึ ข้อมูลชีวมาตรอยใู่ นความครอบครองของตน
โดยปราศจากการแจ้งเตือนในการขอให้ความยินยอมก่อนและระยะเวลาในการเก็บรวบรวม
ข้อมูลชีวมาตรได้บางประเภท เพื่อลดขนาดของฐานข้อมูลในการจัดเก็บข้อมูลส่วนบุคคล ซึ่ง
ตามกฎท่วั ไปขอ้ มูลจะต้องถูกทำ� ลายทนั ทที ่ีไมจ่ ำ� เป็นส�ำหรบั วตั ถุประสงค์อีกตอ่ ไป หรอื ภายใน
3 ปี นับแต่เรม่ิ แรกเก็บข้อมลู ชวี มาตร ตาม 740 ILCS 14/1522 จงึ จะต้องประกาศแจ้งนโยบาย
เป็นลายลกั ษณอ์ ักษร รวมถงึ ชี้แจงวัตถุประสงค์ และแจ้งเตือนระยะเวลาให้เจ้าของขอ้ มูลทราบ
ล่วงหน้าก่อนท่ีจะท�ำการรวบรวมในรูปแบบตารางและระบุรายละเอียดว่าจะเก็บข้อมูลอย่างไร
21 อธพิ ร สทิ ธธิ รี รตั น,์ “ปญั หากฎหมายการคมุ้ ครองขอ้ มลู สว่ นบคุ คลในบรบิ ทอเิ ลก็ ทรอนกิ ส,์ ” (วทิ ยานพิ นธ์
ปรญิ ญามหาบณั ฑิต คณะนิตศิ าสตร์ มหาวทิ ยาลยั ธรรมศาสตร,์ 2558), 24.
22 740 ILCS 14/15
Sec. 15. Retention; collection; disclosure; destruction
(a) A private entity in possession of biometric identifiers or biometric information must develop a
written policy, made available to the public, establishing a retention schedule and guidelines for permanently
destroying biometric identifiers and biometric information when the initial purpose for collecting or obtaining such
identifiers or information has been satisfied or within 3 years of the individual’s last interaction with the private
entity, whichever occurs first. Absent a valid warrant or subpoena issued by a court of competent jurisdiction,
a private entity in possession of biometric identifiers or biometric information must comply with its established
retention schedule and destruction guidelines.
64 ปีที่ 14 ฉบบั ที่ 1 มกราคม-มถิ ุนายน พ.ศ. 2564 วารสารนติ ิศาสตร์ มหาวิทยาลัยนเรศวร
และเมอ่ื ใดขอ้ มูลส่วนบุคคลจะถูกทำ� ลายอย่างถาวร หรอื ตามข้อสัญญาขึ้นอยู่กับว่าระยะเวลา
ใดจะถึงก�ำหนดกอ่ น
แม้ว่าการก�ำหนดระยะเวลาของกฎหมาย (BIPA) ได้ก�ำหนดให้หน่วยงานและองค์กร
ต่างๆ ในการแจ้งเตือนการขอให้ความยินยอมก่อนและระยะเวลาในการเก็บรวบรวมข้อมูล
ชีวมาตรได้ภายในเวลา 3 ปี ดงั กล่าวนนั้ อาจเปน็ ระยะเวลานานจนเกินไปส�ำหรบั ประเทศไทย
เมอ่ื พจิ ารณาพระราชบญั ญตั คิ มุ้ ครองขอ้ มลู สว่ นบคุ คล พ.ศ. 2562 มาตรา 23 (3) มไิ ดม้ มี าตรการ
แจ้งเตือนเกี่ยวกับระยะเวลาในการเก็บรวบรวมข้อมูลส่วนบุคคลไว้ได้นานเท่าใด การบัญญัติ
ระยะเวลาทอี่ าจคาดหมายได้ อาจทำ� ใหผ้ ใู้ หบ้ รกิ ารกำ� หนดระยะเวลานานเทา่ ใดกไ็ ดต้ ามอำ� เภอ
ใจ จงึ ควรกำ� หนดใหผ้ ใู้ หบ้ รกิ าร หรอื ผคู้ วบคมุ ขอ้ มลู มหี นา้ ทแ่ี จง้ เตอื นระยะเวลาการจดั เกบ็ ขอ้ มลู
โดยบัญญัติเรื่องระยะเวลาให้เป็นการแน่นอนเป็นลายลักษณ์อักษรให้เจ้าของข้อมูลส่วนบุคคล
ทราบก่อน หรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคลทราบถึงรายละเอียดและระยะเวลาใน
การจดั เกบ็ ใช้ เปิดเผย ลบ หรอื ทำ� ลายขอ้ มลู หรอื เมือ่ สิ้นสดุ ตามวัตถุประสงค์ทางธุรกิจ หรอื
ตามขอ้ ตกลงของสญั ญา” เวน้ แตว่ ตั ถปุ ระสงคข์ องกฎหมาย ดงั นน้ั “ขอ้ มลู สว่ นบคุ คลควรเกบ็ ไว้
ได้ภายใน 6 เดือน ซึ่งเป็นระยะเวลาไม่มาก หรือน้อยจนเกินไปเมื่อเปรียบเทียบกับกฎหมาย
ของสหรฐั อเมรกิ าแลว้
4. การบังคับใชก้ ฎหมายเพ่อื ให้เปน็ ไปตามบทบัญญัติ
มาตรการป้องกันไว้ดีกว่าแก้ (Proactive not reactive; preventative not remedial)
ปัจจบุ ันเทคโนโลยสี ามารถพฒั นาแอปพลเิ คชันสำ� หรบั สมาร์ตโฟน เพอ่ื ท�ำธรุ กรรมทางการเงนิ
การธนาคารในระบบออนไลน์ หรืออุปกรณ์อิเล็กทรอนิกส์ เพียงแค่นิ้วเดียว เน่ืองจากข้อมูล
ดจิ ทิ ลั แพรห่ ลายสามารถจะเชอ่ื มโยงกบั ผลประโยชนส์ ว่ นตวั เจา้ ของขอ้ มลู ไดโ้ ดยตรง จงึ จำ� ตอ้ ง
มีการป้องกันความปลอดภัยสิ่งทจ่ี ะท�ำให้เชื่อมโยงถึงขอ้ มูลสว่ นบคุ คลน้นั ได้
ผเู้ ขียน จึงนำ� คดี K Box Entertainment Group เพ่อื ศึกษาเป็นแนวทางกบั กฎหมาย
ประเทศไทย เพ่ือผู้ให้บริการต้องด�ำเนินการตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
พ.ศ. 2562 มาตรา 22 ซง่ึ กำ� หนดใหก้ ารจดั เกบ็ รวบรวมขอ้ มลู สว่ นบคุ คลนนั้ ไวไ้ ดเ้ ทา่ ทจ่ี ำ� เปน็ ตาม
มาตรา 23 ในการเก็บรวบรวมขอ้ มูลสว่ นบุคคลของผใู้ หบ้ รกิ าร หรอื ผ้คู วบคมุ ข้อมูลส่วนบุคคล
ตอ้ งแจง้ เตอื นใหเ้ จา้ ของขอ้ มลู ทราบกอ่ น หรอื ขณะเกบ็ ขอ้ มลู ถงึ วตั ถปุ ระสงคข์ องการเกบ็ รวบรวม
และต้องมมี าตรการเพยี งพอและเหมาะสมกับความเส่ยี งวา่ จะถกู ละเมดิ ขอ้ มูลชวี มาตรได้ เพือ่
จำ� กดั สิทธผิ ู้ใหบ้ รกิ ารได้ตระหนกั ถงึ การจัดการให้องคก์ ร หรือธรุ กจิ ของตนมีมาตรการทถ่ี กู ตอ้ ง
วารสารนติ ิศาสตร์ มหาวิทยาลยั นเรศวร ปีท่ี 14 ฉบับท่ี 1 มกราคม-มถิ ุนายน พ.ศ. 2564 65
เหมาะสมเพอ่ื ให้เป็นไปตามบทบัญญัตกิ ฎหมาย เช่น กรณี K Box Entertainment Group23
ศาลส่ังปรับคา่ เสียหายหนว่ ยงาน (K Box Entertainment Group) ที่ขอ้ มูลส่วนตวั ของ
ลกู ค้ามีการร่ัวไหลออกไป โดยถูกสงั่ ปรบั 50,000 ดอลลาร์สงิ คโปร์ เน่อื งจากถกู โจมตีในระบบ
ฐานข้อมูล เม่ือปี 2014 และระบบฐานข้อมูลลูกค้ามีการรั่วไหล นอกจากนี้ คณะกรรมการ
คุ้มครองข้อมูลส่วนบุคคลของสาธารณรัฐสิงคโปร์ (Personal Data Protection Commission:
PDPC) ดำ� เนนิ การแจง้ เตอื นไปยังหนว่ ยงานและบรษิ ัทอื่นๆ อกี 7 แห่ง ให้เพม่ิ มาตรการรักษา
ข้อมูลของลูกค้า เนื่องจาก พบว่า หลายหน่วยงานมีการรักษาความปลอดภัยของข้อมูลที่ยัง
ไม่ดีพอ ด้วยเหตุนี้ จึงท�ำให้ทราบถึงมาตรการในการแจ้งเตือนเม่ือมีการร่ัวไหลของข้อมูล
สว่ นบคุ คลทอ่ี ยใู่ นความครอบครองของหนว่ ยงานตา่ งๆ เพอื่ ความปลอดภยั ตอ้ งทำ� การแจง้ ทนั ที
ที่ทราบส�ำหรับข้อมูลของผู้ใช้บริการมีการรั่วไหล อย่างไรก็ตาม PDPC แจ้งให้ภาคธุรกิจปรับ
การเก็บข้อมูลในแบบอ่ืนๆ เช่น การเก็บเลขบัตรประชาชนบางส่วนไว้เท่านั้น หรือการเก็บ
ชื่อผู้ใช้บริการจะถูกเก็บเฉพาะช่ือเท่าน้ัน ซึ่งถูกก�ำหนดขึ้นโดยหน่วยงานของ PDPC ดังน้ัน
จงึ มคี วามจำ� เปน็ ทภ่ี าคธรุ กจิ ของประเทศไทยทต่ี อ้ งลดการเกบ็ ขอ้ มลู สว่ นตวั ของประชาชน หรอื
เกบ็ ขอ้ มลู โดยไมส่ มเหตสุ มผล โดยเฉพาะขอ้ มลู ชวี มาตร ทม่ี คี วามเสยี่ งในปญั หาดา้ นความเปน็
ส่วนตวั ของขอ้ มลู สว่ นบคุ คล
โดยพระราชบัญญตั คิ ุ้มครองข้อมลู ไบโอเมตรกิ ซ์ (Biometric Information Privacy Act
2008: BIPA) ของสหรัฐอเมริกาให้ความส�ำคัญในเร่ืองข้อจ�ำกัดเฉพาะข้อมูลชีวมาตรให้ได้รับ
การลงทะเบียน หรือลดรูปแบบในระบบฐานข้อมูล และต้องแจ้งเกี่ยวกับข้อก�ำหนดการสแกน
ลายนว้ิ มือ หรือวธิ ีการใช้ หรอื จัดเก็บข้อมูลท่สี �ำคญั และหา้ มเชา่ ซ้อื ซอื้ ขายขอ้ มูลชวี มาตร ซึ่ง
มมี าตรการในการกำ� หนดใหต้ อ้ งประกาศแจง้ เตอื นนโยบายเกย่ี วกบั การเกบ็ รกั ษาและการเขา้ ถงึ
ข้อมูลชีวมาตรในรูปแบบของตารางให้เจ้าของข้อมูลทราบ “ล่วง” หน้า และการแจ้งเตือนถึง
เหตุละเมิด ตาม 740 ILCS 14/15 แกเ่ จ้าของข้อมูลส่วนบคุ คลทราบและทำ� ลายข้อมลู ชวี มาตร
เมอ่ื หมดวัตถปุ ระสงค์อย่างถาวร ภายในเวลา 3 ปี นบั ต้ังแต่เร่ิมเก็บข้อมลู ชีวมาตร ซึง่ จะต้องมี
มาตรการรกั ษาความปลอดภัยอย่างเครง่ ครดั เป็นพิเศษ โดย BIPA กำ� หนดโทษปรับการละเมิด
ความเปน็ สว่ นตวั ทางขอ้ มลู ชวี มาตร หรอื ขอ้ มลู ไบโอเมตรกิ ซ์ ตามกฎหมายปรบั 1,000 ดอลลาร์
ในความเสียหายทต่ี อ้ งจ่าย หรอื ความเสยี หายทีเ่ กดิ ขน้ึ จรงิ ส�ำหรับการละเมดิ โดยประมาท ซึง่
โทษปรบั สูงสุด 5,000 ดอลลาร์ ส�ำหรับการละเมดิ โดยเจตนา หรอื โดยประมาท และกฎหมาย
บัญญัติให้สิทธิของผู้เสียหายสามารถเรียกค่าธรรมเนียมและค่าเยียวยาในการจ้างทนายความ
23 ETDA สพธอ., “ขา่ วสน้ั กฎหมายคมุ้ ครองขอ้ มลู สว่ นบคุ คล,” สบื คน้ เมอื่ 2 กนั ยายน 2562, https://www.
thaicert.or.th/newsbite/2016-04-22-03.html.
66 ปที ่ี 14 ฉบบั ท่ี 1 มกราคม-มิถนุ ายน พ.ศ. 2564 วารสารนติ ิศาสตร์ มหาวิทยาลัยนเรศวร
ได้ตามความเหมาะสม ซึ่งสิทธิน้ีมีเฉพาะรัฐอิลลินอยส์เท่านั้น โดยปกติจะต้องได้รับอนุญาต
จากศาลก่อน
ดังนั้น หลักส�ำคัญในการคุ้มครองความปลอดภัยของความเป็นส่วนตัวของข้อมูล
ชวี มาตร (Biometrics) ซ่ึงเปน็ ขอ้ มูลสว่ นบุคคลท่ีมลี ักษณะลบั เฉพาะ หรือมีความอ่อนไหวง่าย
เป็นพเิ ศษ (Sensitive data) น้นั จึงเปน็ ประเดน็ ทีส่ ำ� คัญต้องใหก้ ารคมุ้ ครองอย่างเคร่งครัด โดย
ห้ามประมวลผลขอ้ มูล เวน้ แต่ไดร้ ับความยนิ ยอมก่อน และเจ้าของขอ้ มูลสามารถเขา้ ถงึ ขอ้ มลู
ของตนไดต้ ลอดเพอื่ ตรวจการจดั เกบ็ รวบรวม หรอื สามารถปฏเิ สธขอ้ มลู ทไ่ี ดใ้ หค้ วามยนิ ยอมไว้
ไดต้ ลอด ซงึ่ พระราชบญั ญตั คิ มุ้ ครองขอ้ มลู สว่ นบคุ คล พ.ศ 2562 ยงั มไิ ดม้ มี าตรการแจง้ เตอื นให้
ทราบกอ่ นในการขอใหค้ วามยนิ ยอม และแจง้ เตอื นระยะเวลาในการเกบ็ รวบรวมไวไ้ ดน้ านเทา่ ใด
นัน้ จงึ ควรมมี าตรการปอ้ งกนั ความปลอดภยั ในระดบั มาตรฐานทน่ี า่ พอใจ ซ่งึ ในขณะเดียวกนั
สังคมได้มีการเปล่ียนแปลงการส่ือสารผ่านทางระบบอิเล็กทรอนิกส์เป็นอย่างมากในปัจจุบัน
จงึ ตอ้ งมีมาตรการทางกฎหมายในระดับท่ีไดม้ าตรฐาน จงึ นำ� ไปส่ขู อ้ เสนอแนะ
5. บทสรุปและขอ้ เสนอแนะ
5.1 สรุป
จากการศึกษามาตรการทางกฎหมายท่ีเกี่ยวกับการคุ้มครองข้อมูลชีวมาตรของ
สหรัฐอเมรกิ า และปัญหาท่จี ะน�ำไปปรับใชก้ บั ข้อมลู ชีวมาตร (Biometrics) ไดใ้ หค้ วามหมายไว้
โดยเฉพาะเจาะจง จงึ ไดร้ บั การคมุ้ ครองเปน็ กรณพี เิ ศษเฉพาะตามพระราชบญั ญตั คิ มุ้ ครองขอ้ มลู
ไบโอเมตริกซ์ (Biometric Information Privacy Act 2008: BIPA) เม่ือพจิ ารณาพระราชบัญญตั ิ
คมุ้ ครองขอ้ มลู สว่ นบคุ คล พ.ศ. 2562 ตามมาตรา 6 ไดใ้ หค้ วามหมาย “ขอ้ มลู สว่ นบคุ คล” หมายถงึ
ขอ้ มลู เกย่ี วขอ้ งกบั บคุ คลซง่ึ ทำ� ใหส้ ามารถระบตุ วั บคุ คลนน้ั ไดไ้ มว่ า่ ทางตรงหรอื ทางออ้ ม แตม่ ไิ ด้
ใหค้ วามหมาย ข้อมลู ชวี มาตร (Biometrics) จงึ เปน็ การใหค้ วามค้มุ ครองข้อมูลทั่วไป กล่าวคือ
ข้อมูลชีวมาตรเป็นข้อมูลส่วนบุคคลเกี่ยวกับร่างกายของมนุษย์ทส่ี ามารถเก็บรวบรวมได้ง่าย
และเปน็ การยากทเ่ี จา้ ของขอ้ มลู ชวี มาตรจะระวงั ตวั ได้ เชน่ การถา่ ยรปู หรอื กลอ้ งวงจรปดิ หรอื
ลายน้ิวจากเจ้าของจับต้องส่ิงของ และเม่ือมีความนิยมในการน�ำข้อมูลชีวมาตรมาใช้ใน
การยนื ยนั ตวั บคุ คลทำ� ใหบ้ คุ คลทมี่ ขี อ้ มลู ชวี มาตรของผอู้ นื่ นนั้ จงึ สามารถทจ่ี ะนำ� มาใชเ้ พอื่ แสดงตน
เป็นเจ้าของข้อมูลชีวมาตรได้ จากความหมายดังกล่าวจะเห็นได้ว่าข้อมูลชีวมาตรไม่ได้รวมอยู่
ในความหมายของขอ้ มลู ส่วนบคุ คลแต่อยา่ งใด ส่งผลใหก้ ารเก็บรวบรวม ใช้ หรือเปดิ เผยนนั้ ไม่
ได้รับความคุ้มครองเท่าท่ีควร หากผู้เก็บรวบรวมข้อมูลชีวมาตรไม่ทราบประเภทของข้อมูลใด
วารสารนิตศิ าสตร์ มหาวทิ ยาลัยนเรศวร ปีท่ี 14 ฉบบั ที่ 1 มกราคม-มิถนุ ายน พ.ศ. 2564 67
ทจ่ี ะตอ้ งใชค้ วามระมดั ระวงั ตามทกี่ ฎหมายบญั ญตั ไิ ว้ อาจสง่ ผลกระทบตอ่ เจา้ ของขอ้ มลู ชวี มาตร
ดังนั้น จึงเป็นสาเหตุที่กล่าวมาแล้วข้างต้นว่า ข้อมูลชีวมาตร (Biometrics) ซึ่งเป็นข้อมูลที่มี
ความออ่ นไหวง่าย และสามารถถูกละเมิดความเป็นส่วนตวั ของเจา้ ของข้อมูลได้ตลอด
ผู้เขียนเสนอแนะควรแกไ้ ขพระราชบัญญัติคุม้ ครองข้อมลู ส่วนบุคคล พ.ศ. 2562 โดย
เพม่ิ ค�ำนยิ ามศัพท์ “ขอ้ มูลชวี มาตร” ไวใ้ นมาตรา 6 ซ่ึงเป็นขอ้ มลู ลับเฉพาะของบุคคล (Sensitive
data) และมาตรการแจง้ เตอื นในการขอใหค้ วามยนิ ยอมก่อน และแจง้ เตอื นระยะเวลาการเก็บ
รวบรวม ใช้ เปิดเผย ลบ หรือท�ำลาย หรอื สทิ ธทิ ่ีจะถูกลืม (Right to be forgotten) ควรบัญญัติ
ระยะเวลาให้เป็นการท่ีแน่นอนว่าเก็บได้นานเท่าใด โดยข้อมูลส่วนบุคคลควรเก็บไว้ได้ภายใน
6 เดือน ในมาตรา 23 (3) และแจ้งเตือนการเข้าถึงข้อมูลได้ตลอดระยะเวลาในขณะการเก็บ
รวบรวม หรอื การประมวลผลยงั คงด�ำเนินต่อไปให้เจ้าของขอ้ มลู ทราบ เพ่อื ใหผ้ ูป้ ระกอบธรุ กจิ
ตระหนักในการแจ้งเตือนการขอให้ความยินยอม เพื่อป้องกันการละเมิดข้อมูลส่วนบุคคลใน
ภาคธุรกิจดิจิทลั
ดังน้ัน กฎหมาย BIPA ของสหรัฐอเมริกา จึงให้ความส�ำคัญกับผลกระทบด้านสิทธิ
ในความเป็นส่วนตัว (The right to privacy) ที่เจ้าของข้อมูลสามารถเข้าถึงข้อมูลส่วนบุคคล
ของตนได้ หากขอ้ มลู นนั้ ผดิ พลาด หรอื บกพรอ่ งสามารถทำ� การแกไ้ ขขอ้ มลู นนั้ ไดต้ าม 740 ILCS
14/25 และความปลอดภยั ของขอ้ มลู ส่วนบุคคล ซึง่ ข้อมูลส่วนบคุ คลท่เี กดิ จากการประมวลผล
ทางเทคนิค หรือการยืนยนั อตั ลักษณข์ องบุคคลนัน้ ๆ หรอื สามารถเชื่อมโยงไปยงั บุคคลได้ ซ่งึ
หากพิจารณาจากความสอดคล้องกับกฎหมายของ GDPR แล้ว โดยหลักการต้องแจ้งเตือน
การขอความยนิ ยอม และแจง้ เตอื นผลกระทบกอ่ นถอนการใหค้ วามยนิ ยอม โดยหา้ มผใู้ หบ้ รกิ าร
ระบบออนไลนใ์ ชค้ วามยนิ ยอมโดยวธิ อี ัตโนมัติ ซ่ึงจะตอ้ งประกาศแจง้ หลักเกณฑ์และนโยบาย
ในรูปแบบตารางเป็นลายลักษณ์อักษรอย่างชัดเจน ในการขอความยินยอมให้เจ้าของข้อมูล
ทราบก่อน รวมทั้งมาตรการในการท�ำลายข้อมูลชีวมาตร (Biometrics) หรือสิทธิที่จะขอ
ลบขอ้ มลู (Right to erasure) หรอื สทิ ธทิ จี่ ะถกู ลมื (Right to be forgotten) เมอ่ื สน้ิ สดุ วตั ถปุ ระสงค์
ทางธรุ กิจทันที ผู้ใหบ้ รกิ ารต้องค�ำนงึ ถึงมาตรการความเปน็ สว่ นตวั ของข้อมลู ชีวมาตรให้เป็นไป
ตามบทบญั ญัติของกฎหมายและรับรองความโปร่งใส
5.2 ข้อเสนอแนะ
จากการศึกษาวิเคราะห์พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ 2562 ผู้เขียน
พบว่า มิไดบ้ ัญญตั ิค�ำนยิ ามของ “ข้อมูลชวี มาตร” ไว้ในมาตรา 6 แต่อย่างใด เนอื่ งจากข้อมลู
ชีวิมาตรนั้นเป็นข้อมูลลับเฉพาะของบุคคลโดยแท้ จึงจ�ำเป็นต้องบัญญัติค�ำนิยามเพื่อให้
ประชาชนเข้าใจความหมายของข้อมูลชีวมาตรตรงกัน และจ�ำแนกประเภทของข้อมูลแต่ละ
68 ปที ่ี 14 ฉบับท่ี 1 มกราคม-มถิ นุ ายน พ.ศ. 2564 วารสารนิติศาสตร์ มหาวิทยาลยั นเรศวร
ประเภท เพือ่ ให้ไดร้ ับความคุม้ ครองกรณีพิเศษออกจากข้อมลู ส่วนบคุ คลท่ัวไป เนือ่ งจากข้อมูล
ชวี มาตรนน้ั หา้ มประมวลผล เวน้ แต่ จะไดร้ บั ความยนิ ยอมจากเจา้ ของขอ้ มลู กอ่ นเพอ่ื ประโยชน์
ของบุคคลน้ัน หรือเว้นแต่วัตถุประสงค์ของกฎหมายบัญญัติไว้ รวมท้ังยังไม่มีมาตรการในการ
แจ้งเตือนถึงสิทธิต่างๆ ก่อนที่จะด�ำเนินการใดๆ ให้เจ้าของข้อมูลทราบก่อนไว้แต่อย่างใด
เช่น สทิ ธทิ จี่ ะได้รับการแจง้ การเก็บขอ้ มูล สิทธิทจ่ี ะได้รบั แจ้งการเข้าถึง สิทธิในการแกไ้ ข สทิ ธิ
ในการจำ� กัดการประมวลผลขอ้ มลู สทิ ธใิ นการถ่ายโอนข้อมลู สทิ ธิในการปฏเิ สธไมใ่ ห้ใช้ข้อมูล
สทิ ธิท่ีจะไมใ่ ชก้ ารตดั สนิ ใจดว้ ยวธิ ีการอัตโนมัตใิ นการประมวลผล สทิ ธิในการลบ อันเปน็ สทิ ธทิ ่ี
ควรคำ� นงึ ถงึ ลำ� ดบั ตน้ ๆ เมอื่ เปรยี บเทยี บกบั พระราชบญั ญตั คิ มุ้ ครองขอ้ มลู สว่ นบคุ คล พ.ศ. 2562
มไิ ดม้ มี าตรการในการแจง้ เตอื นระยะเวลาในการเกบ็ รวบรวมขอ้ มลู นานเทา่ ใด รวมทงั้ มาตรการ
ในการป้องกันการตอบแบบอัตโนมัติ ซึ่งเจ้าของข้อมูลน้ันควรเข้าถึงข้อมูลได้ในระยะเวลา
เท่าใด และสามารถจ�ำกดั ขอบเขตการใหใ้ ช้ หรือปฏิเสธการใหใ้ ช้ขอ้ มลู ของตนได้ โดยต้องค�ำนงึ
ถึงแนวทางในการปฏิบัติให้สอดคล้องกับกฎหมาย GDPR ของสหภาพยุโรป ซึ่งประเทศไทย
ไม่สามารถหลีกเล่ียงท่ีจะต้องติดต่อรับส่งข้อมูลกับสหภาพยุโรปได้ ด้วยเหตุน้ี จึงต้องมีการ
ปรับปรุงแก้ไขกฎหมายในการบังคับใช้กฎหมายเพ่ือป้องกันการถูกละเมิดความเป็นส่วนตัว
ในข้อมูลชีวมาตร
อย่างไรก็ตาม ผู้เขียนขอเสนอแนะแก้ไขเพ่ิมเติมบทบัญญัติของกฎหมายในเรื่อง
การ ค�ำนิยามของ “ขอ้ มูลชีวมาตร (Biometrics)” การแจ้งเตอื นสิทธิในการขอความยนิ ยอมและ
ผลกระทบในการถอนความยินยอม การเข้าถึงข้อมูลส่วนบุคคลของตนได้เพ่ือแก้ไขข้อมูลท่ี
ผิดพลาด หรือบกพร่อง ซ่ึงยังมิได้มีการบัญญัติไว้ และการก�ำหนดระยะเวลาในการเก็บรักษา
ข้อมูลส่วนบุคคลได้นานเท่าใด ซึ่งมาตรการดังกล่าว จะต้องแจ้งเตือนสิทธิให้แก่เจ้าของข้อมูล
ทราบกอ่ น ดังนี้
1) เพิม่ ค�ำนิยามศัพท์ “ขอ้ มลู ชีวมาตร หรอื ขอ้ มลู ไบโอเมตรกิ ซ์ (Biometrics)” เพอื่ ให้
เข้าใจความหมายตรงกัน และจ�ำแนกประเภทของข้อมูลส่วนบุคคลที่มีความละเอียดอ่อนไว้
อยา่ งชดั เจนใน มาตรา 6
2) การแจ้งเตือนสิทธิในการขอให้ความยินยอมก่อน ซึ่งมิใช่ความยินยอมโดยปริยาย
หรือความยินยอมโดยอัตโนมัติ และต้องแจ้งผลกระทบ ให้เพ่ิม “ก่อน” ถอนความยินยอมใน
มาตรา 19 วรรคหก
3) การแจง้ เตอื นสทิ ธกิ ารเขา้ ถงึ ขอ้ มลู สว่ นบคุ คลไดต้ ลอดในขณะทถี่ กู เกบ็ รวบรวม หรอื
ประมวลผลขอ้ มลู ยงั ดำ� เนนิ ต่อไปไวใ้ น มาตรา 30
4) การแจง้ เตอื นสทิ ธใิ นเรอ่ื งระยะเวลาในการเกบ็ รวบรวมขอ้ มลู สว่ นบคุ คล และกำ� หนด
วารสารนติ ศิ าสตร์ มหาวทิ ยาลัยนเรศวร ปที ่ี 14 ฉบบั ท่ี 1 มกราคม-มิถุนายน พ.ศ. 2564 69
ระยะเวลาใหเ้ ป็นการทีแ่ นน่ อนไว้ไดภ้ ายใน 6 เดอื น ในมาตรา 23 (3)
5) เพม่ิ บทบัญญตั สิ ทิ ธใิ นการแกไ้ ข (Rights to be rectification) เพ่ือใหส้ ิทธิผ้คู วบคมุ
ขอ้ มูลสว่ นบุคคลสามารถแกไ้ ขข้อมูลสว่ นบคุ คลท่ผี ดิ พลาดไดต้ าม มาตรา 29 (2)
ดงั นน้ั เมอื่ พจิ ารณา พบวา่ การคมุ้ ครองความเปน็ สว่ นตวั ของพระราชบญั ญตั คิ มุ้ ครอง
ข้อมูลชีวมาตร (Biometric Information Privacy Act 2008: BIPA) ของสหรัฐอเมริกา ได้ให้
การคมุ้ ครองขอ้ มลู ชวี มาตร หรอื ประเภทขอ้ มลู ทม่ี คี วามละเอยี ดออ่ น โดยจำ� แนกประเภทขอ้ มลู
แตล่ ะประเภทไดอ้ ยา่ งชดั เจน “หา้ มเกบ็ รวบรวมขอ้ มลู ทม่ี คี วามออ่ นไหว” (Sensitive data) เวน้ แต่
ไดร้ บั ความยนิ ยอมจากเจา้ ของขอ้ มลู กอ่ น หรอื ตามวตั ถปุ ระสงคข์ องกฎหมาย อนั เปน็ แนวทางท่ี
สากลประเทศปฏบิ ตั นิ น้ั ซง่ึ ปญั หาทเี่ กยี่ วขอ้ งกบั การละเมดิ ความเปน็ สว่ นตวั ของขอ้ มลู ชวี มาตร
ถือวา่ เป็นภัยทใี่ กล้ตวั ที่ส�ำคัญของผู้บรโิ ภค โดยต้องตระหนกั และใหค้ วามสำ� คัญเป็นอย่างมาก
เน่ืองจากข้อมูลชีวมาตรจะไม่สามารถเปลี่ยนแปลงข้อมูลใดๆ ได้เช่นเดียวกันกับ
รหัสผา่ น (Password) ในการเขา้ ระบบแอปพลเิ คชันเพอื่ ใช้บริการตา่ งๆ หากมีการละเมิดจะสง่
ผลกระทบรา้ ยแรงตอ่ ชวี ติ สว่ นบคุ คลผทู้ เี่ ปน็ เจา้ ของขอ้ มลู ชวี มาตร ดว้ ยเหตนุ ี้ ควรมกี ารประเมนิ
ผลกระทบดา้ นการปกปอ้ งขอ้ มลู ชวี มาตร หากขอ้ มลู ดงั กลา่ วมคี วามเสยี่ งสงู ตอ่ สทิ ธแิ ละเสรภี าพ
ขั้นพ้ืนฐานของบุคคลตามกฎหมาย โดยมิได้พิจารณาถึง “เหตุผลและความจ�ำเป็น” อย่าง
รอบคอบตอ่ ผลกระทบทอ่ี าจเกดิ ขน้ึ กบั เจา้ ของขอ้ มลู ชวี มาตร ในกรณที ี่ “ขอ้ มลู รว่ั ไหลและถกู นำ�
ไปใช้โดยมชิ อบ” ซง่ึ เป็นสาระสำ� คญั ตามพระราชบญั ญัติคมุ้ ครองข้อมลู ส่วนบคุ คล พ.ศ. 2562
จงึ จำ� เปน็ ตอ้ งตรากฎหมายใหส้ อดคลอ้ งกบั กฎหมายยคุ ดจิ ทิ ลั โดยประเทศไทยมอิ าจหลกี เลย่ี ง
ในการติดต่อส่ือสารรับส่งข้อมูลสว่ นบคุ คลของผใู้ ชบ้ รกิ ารซ่ึงมอี ย่ทู ่วั โลกได้
70 ปที ี่ 14 ฉบบั ที่ 1 มกราคม-มิถนุ ายน พ.ศ. 2564 วารสารนติ ศิ าสตร์ มหาวิทยาลัยนเรศวร
Reference
A Group of Academics Submitting the Prime Minister ‘s Letter, The State Concerned about
Collecting Biometrics Data was not Transparent, Lacking of Good Governance. 20
Akarin Suthanuwong. “The Fingerprint Authentication System Embedded.” Master’s thesis,
Faculty of Engineering, Prince of Songkla University, 2005. [in Thai].
Apichai Plaengsorn. Lecture Document (Identification). Bangkok: Department of
Forensic Science, Faculty of Medicine, Srinakharinwirot University, 2016.
[in Thai].
Athiporn Sitthitheerarat. “Issues of Personal Data Protection Laws in the Electronic
Context.” Master’s thesis, Faculty of Law, Thammasat University, 2015.
[in Thai].
Atthakorn Sukpunaphan. “Right to be Forgotten: From a Ruling to a New Dimension
Under the EU Data Protection Law.” Balance Health 64, no.3 (2017): 46.
[in Thai].
ETDA PAD. “Short News, Personal Information Protection Law.” Accessed September
29, 2020. https://www.thaicert.or.th/newsbite/2016-04-22-03.html.
GDPR. “General Data Protection Regulation.” Accessed July 29, 2020, https://www.
privacypolicies.com/blog/gdpr/.
Illinois Official Reports Supreme Court. “Rosenbach v. Six Flags Entertainment Corp.,
2019 IL 123186.” Accessed July 29, 2020, https://courts.illinois.gov/Opinions/
SupremeCourt/2019/123186.pdf.
Litigation Under Illinois Biometric Information Privacy Act Highlights Biometric Data Risks.
24,2019.
Mantana Sripongphan. “Legal Issues Regarding the Protection of Personal Data: Study
a Specific Case of the User’s Location Information.” Master’s thesis, Faculty of
Law, Sripatum University, 2018. [in Thai].
วารสารนิตศิ าสตร์ มหาวิทยาลยั นเรศวร ปีท่ี 14 ฉบบั ที่ 1 มกราคม-มถิ นุ ายน พ.ศ. 2564 71
Naiyana Masaeng. “Biometric Technology.” Academic Journal Thonburi University 2, no.1
(2008): 3-6. [in Thai].
Privacy Policies. “Blog Effectively Using an “I Agree to Privacy Policy” Checkbox.”
Accessed July 29, 2020. https://www.privacypolicies.com/blog/agree-privacy-
policy-checkbox/.
Sirikul Phuphan. “The Message is Thought with Personal Information.” Master’s thesis,
Faculty of Law, Thammasat University, 2005 [in Thai].
Zimmerman, Hannah. “The Data of You: Regulating Private Industry’s Collection of
Biometric Information.” Kansas Law Reviews 66 (2018): 637-671.
วารสารนติ ศิ าสตร์ มหาวิทยาลยั นเรศวร ปที ่ี 14 ฉบบั ท่ี 1 มกราคม-มถิ นุ ายน พ.ศ. 2564 73
การมสี ว่ นรว่ มของชมุ ชนในการดูแลผกู้ ระท�ำความผิด
ท่เี ปน็ เด็กและเยาวชน
Community Participation in Child and Juvenile
Delinquents Care
ปพนธีร์ ธีระพันธ1์
คณะนติ ศิ าสตร์ มหาวิทยาลยั ทักษณิ วทิ ยาเขตสงขลา 140 หมู่ 4 ต�ำบลเขารูปชา้ ง อำ� เภอเมอื ง
จังหวัดสงขลา 90000 เมลต์ ิดตอ่ : [email protected]
Papontee Teeraphan
Faculty of Law Thaksin University, Songkhla Campus, 140, Moo 4, Khoa-Roob-Chang,
Muang, Songkhla, 90000, E-mail: [email protected]
ภาณวุ ฒั น์ ปานแกว้ 2
คณะนิตศิ าสตร์ มหาวิทยาลยั ทกั ษิณ วทิ ยาเขตพัทลงุ 222 หมู่ 2 ตำ� บลบา้ นพรา้ ว อ�ำเภอปา่ พะยอม
จงั หวดั พัทลุง 93210 เมลต์ ิดตอ่ : [email protected]
Panuwat Pankaew
Faculty of Law Thaksin University, Phatthalung Campus, 222, Moo 2, Ban Phao, Pa Pha Yom,
Phatthalung, 93210, E-mail: [email protected]
Received: August 4, 2020; Revised: January 14, 2021; Accepted: January 29, 2021
บทคดั ย่อ
พระราชบัญญัติศาลเยาวชนและครอบครัวและวิธีพิจารณาคดีเยาวชนและครอบครัว
พ.ศ. 2553 ไดก้ �ำหนดใหช้ มุ ชนมีส่วนรว่ มในข้ันตอนการประชุมเพอ่ื จัดท�ำแผนแก้ไขบ�ำบดั ฟื้นฟู
เดก็ และเยาวชนท้ังในช้ันก่อนฟ้องคดแี ละหลงั ฟ้องคดี อยา่ งไรกต็ าม การมีสว่ นรว่ มของชมุ ชน
1 ผชู้ ว่ ยศาสตราจารยป์ ระจำ� คณะนติ ศิ าสตร์ มหาวทิ ยาลยั ทกั ษณิ วทิ ยาเขตสงขลา (Faculty of Law Thaksin
University, Songkhla Campus).
2 อาจารยป์ ระจำ� คณะนติ ศิ าสตร์ มหาวทิ ยาลยั ทกั ษณิ วทิ ยาเขตพทั ลงุ (Faculty of Law Thaksin University,
Phatthalung Campus).
74 ปที ี่ 14 ฉบับท่ี 1 มกราคม-มิถุนายน พ.ศ. 2564 วารสารนิติศาสตร์ มหาวิทยาลยั นเรศวร
ตามพระราชบัญญัติศาลเยาวชนและครอบครัวและวิธีพิจารณาคดีเยาวชนและครอบครัว
พ.ศ. 2553 ยงั คงมีปัญหา 3 ประการ คอื (1) ปัญหาการให้ดลุ ยพินิจแก่ผ้อู �ำนวยการสถานพินิจ
และคุ้มครองเด็กและเยาวชนในการเชิญผู้แทนชุมชนเข้ามามีส่วนร่วมในการกำ� หนดแผนแก้ไข
บ�ำบัดฟื้นฟู (2) ปัญหารูปแบบการมีส่วนร่วมของชุมชนในการดูแลผู้กระท�ำความผิดที่เป็นเด็ก
และเยาวชน (3) ปัญหาระดับการมีส่วนร่วมของชุมชนในการดูแลผู้กระท�ำความผิดท่ีเป็นเด็ก
และเยาวชน ด้วยเหตุนี้จึงควรแก้ไขเพิ่มเติมพระราชบัญญัติศาลเยาวชนและครอบครัวและ
วิธีพิจารณาคดีเยาวชนและครอบครัว พ.ศ. 2553 โดยก�ำหนดให้ผู้อ�ำนวยการสถานพินิจและ
คุ้มครองเด็กและเยาวชนไม่มีดุลยพินิจในการเชิญผู้แทนชุมชนเข้าร่วมในการประชุมเพ่ือจัดท�ำ
แผนแก้ไขบ�ำบัดฟื้นฟู แต่ควรก�ำหนดให้ผู้แทนชุมชนเป็นกรรมการและเข้าร่วมในการประชุม
เพ่ือจัดทำ� แผนแกไ้ ขบ�ำบัดฟนื้ ฟูได้โดยตรง และไมจ่ ำ� กดั รปู แบบของการมีสว่ นรว่ มไว้ในขั้นตอน
ของการวางแผนและการปฏิบัติเท่าน้ัน แต่ควรให้ชุมชนสามารถมีส่วนร่วมในขั้นตอนของ
การติดตามและประเมินผลด้วย รวมทั้ง ควรปรับปรุงหรือพัฒนากฎหมายเพื่อให้ชุมชนมี
ส่วนร่วมในการดูแลผู้กระท�ำความผิดท่ีเป็นเด็กและเยาวชนดังเช่นที่ชุมชนมีความคาดหวังและ
มคี วามพร้อม
คำ� สำ� คัญ: กฎหมายเดก็ และเยาวชน การมีสว่ นรว่ ม ชุมชน
วารสารนติ ิศาสตร์ มหาวิทยาลยั นเรศวร ปที ี่ 14 ฉบบั ท่ี 1 มกราคม-มิถนุ ายน พ.ศ. 2564 75
Abstract
Juvenile and Family Court and Procedure Act B.E. 2553 (2010), allows a community
to participate in the process of rehabilitation plan-making in both pre-trial and post-trail.
Public participation under the law, however, still has 3 problems. Firstly, it is the problem that
the discretion of the director of juvenile observation and protection center is allowed to use to
invite the community representative to join the rehabilitation plan making meeting. Secondly,
it is the problem of the form of participation to care for the child and juvenile delinquents.
Thirdly, it is the level of that community participation in child and juvenile delinquents’ care.
Therefore, Juvenile and Family Court and Procedure Act B.E. 2553 (2010) should
be amended to develop and encourage community participation in child and juvenile
delinquents care by not giving the discretion to the director of juvenile observation and
protection center. It should order the community representative to be a committee and
to join the rehabilitation plan making meeting. There also should not be a limitation in the
process of plan-making and action taking only, but following-up and assessment should
be freely allowed. The law, moreover, should be amended or developed to allow the
community to care for the child and juvenile delinquents as they expected and are ready.
Keywords: Juvenile Law, Participation, Community
76 ปีที่ 14 ฉบบั ท่ี 1 มกราคม-มถิ ุนายน พ.ศ. 2564 วารสารนิตศิ าสตร์ มหาวทิ ยาลัยนเรศวร
1. บทนำ�
กระบวนการยุติธรรมทางอาญาส�ำหรับเด็กและเยาวชนซึ่งเป็นผู้กระท�ำความผิด
(Juvenile Justice) ของประเทศไทยแยกออกจากกระบวนการยุติธรรมทางอาญาทั่วไปต้ังแต่
ปี พ.ศ. 24943 กระท่ังปัจจุบันเป็นเวลากว่าหกสิบปีแล้วท่ีกระบวนการยุติธรรมทางอาญาอัน
มีลักษณะเฉพาะนี้ได้พัฒนาและเปล่ียนแปลงรูปแบบและมาตรการให้เหมาะสมและเป็นไป
โดยสอดคล้องกับวัตถุประสงค์ของกระบวนการยุติธรรมทางอาญาส�ำหรับเด็กและเยาวชน
โดยเป็นท่ียอมรับท่ัวไปว่ากระบวนการยุติธรรมทางอาญาส�ำหรับเด็กและเยาวชนมีลักษณะ
เฉพาะ เน่ืองจากวัตถุประสงค์หรือจุดมุ่งหมายของกระบวนการยุติธรรมทางอาญาส�ำหรับเด็ก
และเยาวชนนั้นไม่ได้มีข้ึนเพ่ือการแก้แค้นทดแทนหรือข่มขู่ยับย้ังเป็นหลัก แต่มีขึ้นเพื่อแก้ไข
บ�ำบัดฟื้นฟูผู้กระท�ำความผิดท่ีเป็นเด็กและเยาวชนซึ่งยังขาดด้วยวัยวุฒิ คุณวุฒิ ความยับยั้ง
ชงั่ ใจ รวมถงึ มคี วามรเู้ ทา่ ไมถ่ งึ การณ์ การใชก้ ารลงโทษทางอาญาแกผ่ กู้ ระทำ� ความผดิ ทเ่ี ปน็ เดก็
และเยาวชนจึงไม่ใช่สิ่งท่ีพึงปรารถนาเพ่ือยับย้ังการกระท�ำความผิด4 แต่กลับก่อให้เกิดผลเสีย
เช่น เปน็ ตราบาป หรือเปน็ การตดั อนาคตของเด็กและเยาวชนทีจ่ ะกา้ วขึน้ เป็นก�ำลงั สำ� คัญของ
ประเทศในอนาคตอกี ด้วย
ปัจจุบันกระบวนการยุติธรรมทางอาญาส�ำหรับเด็กและเยาวชนของประเทศไทยได้
บญั ญตั ไิ วใ้ นพระราชบญั ญตั ศิ าลเยาวชนและครอบครวั และวธิ พี จิ ารณาคดเี ยาวชนและครอบครวั
พ.ศ. 2553 เป็นหลัก โดยมีการก�ำหนดมาตรการพิเศษต่าง ๆ เพ่ือแก้ไขบ�ำบัดฟื้นฟูผู้กระท�ำ
ความผดิ ทเ่ี ปน็ เดก็ และเยาวชนและรกั ษาความสงบเรยี บรอ้ ยของสงั คมสว่ นรวมไป พรอ้ ม ๆ กนั
มาตรการทางกฎหมายท่ีโดดเด่นในพระราชบัญญัติศาลเยาวชนและครอบครัวและ
วธิ พี จิ ารณาคดเี ยาวชนและครอบครวั พ.ศ. 2553 มหี ลายมาตรการดว้ ยกนั เชน่ การเบย่ี งเบนคดี
ในช้ันสอบสวน (Diversion in Investigation Stage)5 มาตรการพเิ ศษแทนการดำ� เนินคดีอาญา
(Special Measure in lieu of Criminal Prosecution) อันประกอบด้วยการจัดท�ำแผนแก้ไข
บำ� บัดฟ้ืนฟูกอ่ นฟอ้ งคดแี ละการจดั ท�ำแผนแกไ้ ขบ�ำบัดฟ้ืนฟูหลงั ฟอ้ งคดี (Rehabilitation Plan)6
3 ผา่ นการประกาศใชก้ ฎหมาย 2 ฉบบั ไดแ้ ก่ พระราชบญั ญตั จิ ดั ตง้ั ศาลคดเี ดก็ และเยาวชน พ.ศ. 2494 และ
พระราชบัญญตั ิวธิ ีพิจารณาคดีเดก็ และเยาวชน พ.ศ. 2494.
4 หยดุ แสงอุทัย, คำ� อธิบายกฎหมายศาลเดก็ (พระนคร: สำ� นกั งานประชานติ ,ิ 2494), 4-6.
5 โปรดดพู ระราชบัญญตั ศิ าลเยาวชนและครอบครัวและวิธพี ิจารณาคดีเยาวชนและครอบครัว พ.ศ. 2553,
มาตรา 69/1.
6 โปรดดพู ระราชบัญญัติศาลเยาวชนและครอบครวั และวิธพี ิจารณาคดเี ยาวชนและครอบครวั พ.ศ. 2553,
มาตรา 86 และ 90.
วารสารนิติศาสตร์ มหาวทิ ยาลัยนเรศวร ปที ่ี 14 ฉบับที่ 1 มกราคม-มิถุนายน พ.ศ. 2564 77
การเปลี่ยนโทษและการใช้วิธีการส�ำหรับเด็กและเยาวชน (Commutation and Application of
Measures for Child and Juvenile)7 เปน็ ตน้ มาตรการตา่ ง ๆ เช่นวา่ นล้ี ้วนแต่เป็นผลมาจาก
การพัฒนาผ่านประสบการณ์ของผู้มีส่วนเก่ียวข้องในองค์กรต่าง ๆ ท้ังต�ำรวจ อัยการ ศาล
สถานพินิจและคุ้มครองเด็กและเยาวชน และศูนย์ฝึกและอบรมเด็กและเยาวชน ตลอดระยะ
เวลาเกือบเจด็ สิบปที ง้ั ส้นิ
มาตรการทางกฎหมายส�ำคัญประการหนึ่งภายใต้พระราชบัญญัติศาลเยาวชนและ
ครอบครัวและวิธีพิจารณาคดีเยาวชนและครอบครัว พ.ศ. 2553 คือ การเปิดโอกาสให้ชุมชน
เขา้ มามสี ว่ นรว่ มในการดแู ลแกไ้ ขบำ� บดั ฟน้ื ฟผู กู้ ระทำ� ความผดิ ทเี่ ปน็ เดก็ และเยาวชนดว้ ยเชน่ กนั
โดยได้บญั ญัติอยา่ งชัดเจนในมาตรา 87 วรรคแรก ซงึ่ เปน็ บทบัญญัติสำ� คญั หนงึ่ ในกระบวนการ
จดั ทำ� แผนแกไ้ ขบำ� บดั ฟน้ื ฟใู นชน้ั กอ่ นฟอ้ งคดแี ละหลงั ฟอ้ งคดี โดยกำ� หนดวา่ “ในการจดั ทำ� แผน
แก้ไขบำ� บัดฟ้นื ฟูตามมาตรา 86 ให้ผ้อู �ำนวยการสถานพินจิ เชญิ ฝา่ ยเด็กหรือเยาวชนซึง่ ต้องหา
วา่ กระท�ำความผดิ ฝ่ายผเู้ สียหาย และนักจติ วิทยาหรือนกั สงั คมสงเคราะหเ์ ข้าร่วมประชุม และ
หากเหน็ สมควรอาจเชญิ ผแู้ ทนชมุ ชนหรอื หนว่ ยงานทม่ี หี นา้ ทเี่ กยี่ วขอ้ งหรอื ไดร้ บั ผลกระทบจาก
การกระท�ำความผดิ หรอื พนกั งานอัยการดว้ ยกไ็ ด้ ทง้ั นี้ จะตอ้ งจดั ท�ำแผนแก้ไขบ�ำบดั ฟ้นื ฟใู ห้
แล้วเสร็จและเสนอให้พนักงานอัยการพิจารณาภายในสามสิบวันนับแต่วันที่เด็กหรือเยาวชน
ส�ำนึกในการกระท�ำ” อาจกลา่ วได้วา่ บทบญั ญตั ิดงั กลา่ วถือเปน็ ความกา้ วหน้าในทางกฎหมาย
ที่อาศยั กลไกของการมีสว่ นร่วมของประชาชนและชมุ ชนทางหน่ึง
การมีส่วนร่วมของประชาชนและชุมชนก่อให้เกิดประโยชน์หลายประการ เช่น ช่วย
เพิ่มคุณภาพการตัดสินใจ ชว่ ยใหไ้ ด้ขอ้ มลู ประกอบการตดั สินใจทค่ี รบถว้ นรอบคอบมากขึน้ ลด
ค่าใช้จ่ายและการสูญเสียเวลา และช่วยให้สมาชิกในชุมชนไม่วางเฉยและมีความกระตือรือร้น
ในการชว่ ยให้เกิดผลในทางปฏิบตั ิ รวมถงึ ช่วยทำ� ให้ผูใ้ ช้อ�ำนาจรฐั มีความใกล้ชดิ กับประชาชน
เป็นตน้ 8
อย่างไรกต็ าม ในทางปฏบิ ัตบิ ทบญั ญตั ขิ องการมสี ว่ นรว่ มในกระบวนการยุติธรรมทาง
อาญาส�ำหรับเด็กและเยาวชนของประเทศไทยมีสภาพปัญหา 3 ประการ คือ ปัญหาการให้
ดุลยพนิ ิจแกเ่ จ้าหนา้ ทีร่ ฐั ในการเชญิ ผูแ้ ทนชุมชน เพ่อื เขา้ มามสี ว่ นรว่ มในการก�ำหนดแผนแก้ไข
7 โปรดดูพระราชบัญญตั ศิ าลเยาวชนและครอบครวั และวธิ พี ิจารณาคดีเยาวชนและครอบครัว พ.ศ. 2553,
มาตรา 142-145.
8 สิทธิโชค เดชภิบาล, “การมีส่วนร่วมของชุมชนท้องถ่ินในการจัดการและรักษาคุณภาพส่ิงแวดล้อม
บริเวณพ้นื ทปี่ า่ ชายเลน: ศกึ ษาเฉพาะชมุ ชนทอ้ งถ่ินในจงั หวัดภเู ก็ต,” (วทิ ยานิพนธ์ปริญญามหาบัณฑติ มหาวทิ ยาลยั
ธรรมศาสตร,์ 2554), 27-28.
78 ปีที่ 14 ฉบับท่ี 1 มกราคม-มิถุนายน พ.ศ. 2564 วารสารนติ ิศาสตร์ มหาวทิ ยาลยั นเรศวร
บำ� บดั ฟน้ื ฟู ปญั หารปู แบบการมสี ว่ นรว่ มของประชาชนหรอื ชมุ ชนในการดแู ลผกู้ ระทำ� ความผดิ ท่ี
เปน็ เดก็ และเยาวชน และปญั หาระดบั ของการมสี ว่ นรว่ มของชมุ ชนในการดแู ลผกู้ ระทำ� ความผดิ
ที่เป็นเด็กและเยาวชน ปัญหาดังกล่าวส่งผลให้กระบวนการยุติธรรมทางอาญาส�ำหรับเด็กและ
เยาวชนของประเทศไทยดำ� เนนิ ไปอยา่ งไมเ่ ตม็ ประสทิ ธภิ าพ อนั จะสง่ ผลตอ่ การรกั ษาสวสั ดภิ าพ
ของเดก็ และเยาวชนผกู้ ระทำ� ความผดิ การรกั ษาความสงบเรยี บรอ้ ยของชมุ ชนและประเทศชาติ
ในทา้ ยทสี่ ุด9 คณะผูว้ ิจัย จึงมีข้อเสนอแนะในการแกไ้ ขปัญหาดังกล่าวเพอื่ พฒั นาประสิทธภิ าพ
ของกระบวนการยตุ ธิ รรมทางอาญาสำ� หรบั เดก็ และเยาวชนของประเทศไทย รกั ษาสวสั ดภิ าพของ
เดก็ และเยาวชน และรกั ษาความสงบเรยี บรอ้ ยของสงั คม รวมถงึ ลดการกระทำ� ความผดิ ซำ้� ตอ่ ไป
การวิจัยคร้ังนี้ มีวตั ถปุ ระสงค์ ดงั นี้ (1) เพ่อื ศึกษาความเป็นมา แนวคดิ และหลกั เกณฑ์
ทางกฎหมายเกี่ยวกับกระบวนการยุติธรรมทางอาญาส�ำหรับเด็กและเยาวชนและการมี
ส่วนร่วมของชุมชนในการดูแลผู้กระท�ำความผิดท่ีเป็นเด็กและเยาวชน (2) เพ่ือศึกษาและ
วิเคราะห์ปัญหาเก่ียวกับการมีส่วนร่วมของชุมชนในการดูแลผู้กระท�ำความผิดที่เป็นเด็กและ
เยาวชนของประเทศไทย และ (3) เพ่ือหาข้อเสนอแนะในการพัฒนากฎหมายเพื่อส่งเสริม
การมีส่วนร่วมของชุมชนในการดูแลผู้กระท�ำความผิดท่ีเป็นเด็กและเยาวชน ซ่ึงเป็นไปตาม
เจตนารมณข์ องกระบวนการยตุ ธิ รรมทางอาญาส�ำหรบั เด็กและเยาวชนทแ่ี ทจ้ ริง
การวิจัยน้ี เปน็ การวิจยั แบบผสม (Mixed Method) ซ่งึ มีท้งั การเกบ็ ขอ้ มูลเชิงคุณภาพ
และเชงิ ปริมาณ โดยเริ่มต้นจากการศกึ ษาเชงิ คุณภาพ (Qualitative Research) ซ่งึ เนน้ การวจิ ัย
เอกสาร (Documentary Research) ศกึ ษาคน้ ควา้ จากหนังสือ เอกสาร บทความ วทิ ยานิพนธ์
รายงานการประชุม เว็บไซต์ และบทบัญญัติแห่งกฎหมายที่เก่ียวข้องกับกระบวนการยุติธรรม
ทางอาญาส�ำหรับเด็กและเยาวชนและการมีส่วนร่วมของชุมชนในการดูแลผู้กระท�ำความผิดที่
เปน็ เด็กและเยาวชนทง้ั ท่ีเป็นภาษาไทยและภาษาตา่ งประเทศ และด�ำเนินการสมั ภาษณเ์ ชงิ ลกึ
(In-depth Interview) ผู้แทนชุมชน ซึ่งประกอบด้วยก�ำนันหรือผู้ใหญ่บ้านในภาคต่าง ๆ
ทงั้ 6 ภาคทว่ั ประเทศ จำ� นวน 6 คน โดยเนน้ การคน้ หาขอ้ มลู และความเหน็ เกย่ี วกบั ประสบการณ์
และบทบาทของการมีส่วนร่วมของชุมชนในการดูแลผู้กระท�ำความผิดท่ีเป็นเด็กและเยาวชน
นอกจากนี้ ยงั ไดด้ ำ� เนนิ การสมั ภาษณเ์ ชงิ ลกึ เจา้ หนา้ ทข่ี องรฐั ทใี่ ชอ้ ำ� นาจในกระบวนการยตุ ธิ รรม
ทางอาญาสำ� หรับเด็กและเยาวชน จำ� นวน 6 คน อันประกอบด้วย ผพู้ ิพากษาศาลเยาวชนและ
ครอบครวั จำ� นวน 2 คน อยั การคดเี ยาวชนและครอบครวั จำ� นวน 2 คน ผอู้ ำ� นวยการสถานพนิ จิ
และคุ้มครองเด็กและเยาวชน จ�ำนวน 2 คน โดยเน้นการค้นหาข้อมูลและความเห็นเก่ียวกับ
9 Steven M. Cox, Jennifer M. Allen, Robert D. Hanser, and John J. Conrad, Juvenile Justice: A Guide
to Theory, Policy, and Practice, 7th ed. (California: SAGE Publications, 2011), 4.
วารสารนติ ศิ าสตร์ มหาวิทยาลัยนเรศวร ปีท่ี 14 ฉบับที่ 1 มกราคม-มถิ ุนายน พ.ศ. 2564 79
การเปิดโอกาสให้ชุมชนมีส่วนร่วมในการดูแลผู้กระท�ำความผิดที่เป็นเด็กและเยาวชนภายใต้
กฎหมายของประเทศไทยฉบับปัจจุบัน จากนั้นจึงใช้การศึกษาเชิงปริมาณเก็บรวบรวมข้อมูล
จากแบบสอบถาม (Questionnaire) จากกลุ่มตัวอยา่ ง โดยในการวจิ ยั ครงั้ น้ี ได้ก�ำหนดขอบเขต
เชงิ พื้นท่ไี ว้ ได้แก่ พนื้ ท่ีประเทศไทย โดยมปี ระชากรและกลุม่ ตัวอยา่ ง คือ ประชากรทีอ่ าศัยใน
ประเทศไทย จำ� นวน 66,413,979 คน10 และมกี ลมุ่ ตัวอย่าง คำ� นวณตัวอย่างจากสูตรของ Taro
Yamane11 ท่ีระดบั ความเชอื่ มั่นที่ 95% ได้จ�ำนวนกล่มุ ตวั อยา่ งท้งั ส้นิ 399.9975 ตวั อย่าง โดย
คณะผวู้ ิจัยปัดเปน็ จ�ำนวน 400 ตัวอยา่ ง การสุม่ ตวั อยา่ งส�ำหรบั กล่มุ ตัวอยา่ งใช้วธิ กี ารสุ่มตาม
สัดส่วนประชากรในแต่ละภาค และเลือกตัวแทนครัวเรือนที่จะตอบแบบสอบถามตามความ
สมคั รใจของตวั อยา่ ง
ตาราง 1 จำ� นวนกลุ่มตวั อย่าง แยกตามภาค
ภาค จำ� นวนประชากร (คน) จำ� นวนกลุ่มตัวอย่างทีส่ ุ่ม (คน)
เหนอื 6,341,973 38
กลาง 20,352,208 122
ตะวนั ออกเฉยี งเหนือ 22,015,239 133
ใต้ 9,454,193 57
ตะวนั ออก 4,795,912 29
ตะวนั ตก 3,454,454 21
รวม 66,413,979 400
ข้อมูลท่ไี ดร้ ับถกู น�ำมาแสดงผล แลว้ น�ำมาวเิ คราะห์ร่วมกับขอ้ มลู เชงิ คุณภาพ
ขอ้ มลู ทไี่ ด้จากการรวบรวมท้ัง 3 วธิ ี คณะผ้วู จิ ยั ใช้การวเิ คราะห์โดยน�ำขอ้ มูลที่ได้จาก
เอกสารมาวิเคราะห์แยกแยะและสรุปหาสาระส�ำคัญตามขอบเขตเนื้อหาท่ีเกี่ยวข้องกับการมี
ส่วนร่วมของชุมชนในการดูแลผู้กระท�ำความผิดที่เป็นเด็กและเยาวชน และน�ำข้อมูลท่ีได้จาก
การสัมภาษณ์เชิงลึกมาใช้วิเคราะห์ประกอบกับข้อมูลจากเอกสารตามประเด็นหัวข้อท่ีก�ำหนด
ไว้ในวัตถุประสงค์ของงานวิจัย แล้วจึงน�ำข้อมูลที่ได้จากแบบสอบถามมาวิเคราะห์โดยใช้สถิติ
10 ราชกิจจานุเบกษา, “ประกาศส�ำนักทะเบียนกลาง เรื่อง จ�ำนวนราษฎรทั่วราชอาณาจักรตามหลักฐาน
การทะเบยี นราษฎร ณ วนั ท่ี 31 ธนั วาคม 2561,” 8 เมษายน 2562.
11 Taro Yamane, Statistics: An Introductory Analysis, 2nd ed. (New York: Harper and Row, 1973),
727-728.
The words you are searching are inside this book. To get more targeted content, please make full-text search by clicking here.
ปีที่ 14 ฉบับที่ 1 มกราคม - มิถุนายน 2564
Discover the best professional documents and content resources in AnyFlip Document Base.
Search