ระบบกฎหมายคุ้มครองข้อมูลของสหภาพยุโรปอิงตามข้อกำหนดการคุ้มครองข้อมูล ค.ศ. 1995 Data Protection Directive 1995 และข้อกำหนดการสื่อสารอิเล็กทรอนิกส์และสิทธฺความเป็นส่วนตัว ค.ศ. 2002 Privacy and Electronic Communications Directive 2002 หรือนิยมเรียกว่า “ePrivacy Directive” ข้อกำหนด ค.ศ. 1995 กำหนดกรอบการคุ้มครองข้อมูลส่วนบุคคลอย่างครอบคลุมและบังคับใช้กับผู้ที่ควบคุมข้อมูล (data controllers) เช่น องค์กรที่กำหนดวิธีการและเหตุผลในการประมวลผลข้อมูลส่วนบุคคลที่เกี่ยวกับชีวิตความเป็นอยู่ของแต่ละคน ข้อกำหนดส่วนบุคคลอิเล็กทรอนิกส์ใช้บังคับเฉพาะกับภาคอุตสาหกรรมสื่อสารอิเล็กทรอนิกส์ เช่น ผู้ให้บริการโทรคมนาคมหรืออินเทอร์เน็ต เป็นต้น และผู้ที่ประมวลผลข้อมูลส่วนบุคคลในระบบการสื่อสารอิเล็กทรอนิกส์ ทั้งนี้ มีข้อกำหนดเฉพาะตามมาตรา 17 ชองข้อกำหนดปี 1995 ที่กำหนดให้ประเทศสมาชิกต้องปฏิบัติตามมาตรการด้านเทคนิคและองค์กรที่เหมาะสมในการคุ้มครองข้อมูลส่วนบุคคลเพื่อให้เกิดความสูญหายหรือเปิดเผยโดยไม่ได้รับอนุญาตและประกันว่ามาตรการดังกล่าวสามารถรักษาระดับความมั่นคงปลอดภัยที่เหมาะสมต่อความเสี่ยงที่อาจเกิดจากการประมวลผลและลักษณะของข้อมูลที่ได้รับความคุ้มครอง ในการดำเนินการดังกล่าว มีพันธกรณีที่ชัดเจนว่าให้มีการใช้เทคโนโลยีเข้ารหัสในบางสถานการณ์ ข้อกำหนดว่าด้วยสิทธิส่วนบุคคลอิเล็กทรอนิกส์กำหนดพันธกรณีที่สำคัญหลายประการแก่องค์กรเพื่อวัตถุประสงค์ในการปรับปรุงความมั่นคงปลอดภัยของข้อมูล ผู้ให้บริการต้องประกันว่าข้อมูลส่วนบุคคลสามารถเข้าถึงได้โดยบุคคลที่ได้รับอนุญาตเท่านั้นและภายใต้ขอบวัตถุประสงค์ที่ได้รับอนุญาตเท่านั้นด้วยและต้องคุ้มครองข้อมูลส่วนบุคคลที่จัดเก็บไว้และการส่งต่อในกรณีที่เกิดเหตุการณ์ทำลายโดยมิชอบหรืออุบัติเหตุ หรือเกิดการสูญหายหรือมีการแก้ไขเปลี่ยนแปลงโดยอุบัติเหตุและการจัดเก็บรักษา ประมวลผล การเข้าถึง หรือเปิดเผยโดยไม่ได้รับอนุญาตหรือไม่ชอบด้วยกฎหมาย
นอกจากนี้ ผู้ให้บริการต้องแจ้งบุคคลที่ข้อมูลส่วนบุคคลถูกละเมิดที่ได้รับผลกระทบดังกล่าวโดยไม่ชักช้ควร เว้นแต่ผู้ให้บริการสามารถพิสูจน์ได้ว่าได้ดำเนินการตามมาตรการทางเทคโนโลยีที่เหมาะสมแล้วที่อาจยอมให้ข้อมูลที่ไม่สำคัญแก่บุคคลที่สามหรือกล่าวอีกนัยหนึ่ง หากมีการละเมิดข้อมูลส่วนบุคคลเกิดขึ้น ก็ไม่มีหน้าที่แจ้งบุคคลที่ที่รับผลกระทบหากข้อมูลดังกล่าวได้มีการเข้ารหัสไว้ ข้อยกเว้นเรื่องความปลอดภัยในการเข้ารหัสของสหภาพยุโรปขยายไปยังการเข้ารหัสฐานข้อมูลและการใช้งาน อนึ่งกฎหมายสหภาพยุโรปกำหนดหลักการความเป็นกลางของเทคโนโลยีไว้ในเรื่องเทคโนโลยีเข้ารหัส ทั้งนี้เพื่อหลีกเลี่ยงความซ้ำซ้อนในทางกฎหมายเนื่องจากเทคโนโลยีสามารถล้าสมัยได้ ดังนั้น องค์กรที่ประกอบกิจการในสหภาพยุโรปต้องเตรียมการตามพันธกรณีของกฎหมายดังกล่าวด้วย
แต่กฎหมายเกี่ยวกับการเข้ารหัสในสหภาพยุโรปไม่ได้ไม่มีความชัดเจนและมีหลักการที่ชัดเจน โดยในบางกฎหมายของประเทศสมาชิกได้ระบุชัดเจนถึงการเข้ารหัส แม้ว่ากฎหมายส่วนใหญ่จะไม่ได้ระบุอ้างไว้ชัดเจนก็ตาม รายละเอียดของกฎหมายถูกกำหนดโดยองค์กรกำกับดูแลและศาลที่พัฒนากฎหมายตามมุมมองของตน หน่วยงานกำกับดูแลคุ้มครองข้อมูลของสหภาพยุโรปคาดหวังให้องค์กรต่างๆ ใช้เทคโนโลยีเข้ารหัสในการคุ้มครองข้อมูลส่วนบุคคล โดยเฉพาะข้อมูลที่มีความอ่อนไหวสูงหรือเป๋นความลับ เพื่อลดความเสียที่อาจเกิดขึ้นเมื่อมีการละเมิดความมั่นคงปลอดภัย องค์กรกำกับดุแลข้อมูลของหสภาพยุโรปยังไม่ได้มีการวิเคราะห์รูปแบบของการเข้ารหัสที่มีอยู่ในตลาดอย่างจริงจังรวมทั้งในทุกสถานการณ์ที่สามารถใช้การเข้ารหัสได้ เพราะการกำกับดุแลได้พัฒนาแบบแยกส่วน แต่ก็มีความชัดเจนว่ากฎหมายได้รับการพัฒนาและใช้กับองค์กรที่ประมวลผลข้อมูลส่วนบุคคลที่ต้องไปปรับใช้กับสถานการณ์เอง จึงพอสรุปได้ว่ากฎหมายครอบคลุมการใช้เทคโนโลยีเข้ารหัส การเข้ารหัสฐานข้อมูล ระบบคราวด์ อุปกรณ์พกพาที่ประมวลผลได้ เช่น โทรศัพท์เคลือนที่ แลปท๊อป เป็นต้น โโยครอบคลุมทั้งข้อมูลในเครื่องและข้อมูลที่ส่งผ่านบนโครงข่ายสื่อสาร ปัจจุบันนี้ กรอบกฎหมายกาคุ้มครองข้อมูลของสหภาพยุโรปอยู่ระหว่างการปรับปรุงให้สอดคล้องกับพัฒนาการที่ก้าวหน้าของเทคโนโลยี
สำหรับการคุ้มครองข้อมูลของประเทศสมาชิกในสหภาพยุโรปมีดังนี้
สหราชอาณาจักร : กฎหมายคุ้มครองข้อมูลปี 1998 ของสหราชอาณาจักรกำหนดให้ผู้ควบคุมข้อมูลดำเนินมาตรการทางเทคนิคและองค์กรในการเก้บรักษาข้อมูลให้มีความปลอดภัยและมั่นคง โดยต้องคำนึงถึงพัฒนาการของเทคโนโลยีและต้นทุนของการดำนเนินมาตรการดังกล่าว ทั้งนี้ มาตรการดังกล่าวต้องประกันระดับความมั่นคงปลอดภัยที่เหมาะสมกับ (ก) อันตรายที่อาจเกิดจากการประมวลผลที่ไม่ชอบด้วยกฎหมายหรือไม่ได้รับอนุญาตหรือการสูญหาย การทำลาย หรือเสียหายโดยอุบัติเหตุ และ (ข) ลักษณะของข้อมูลทีไ่ด้รับการคุ้มครอง กฎกำหนดให้มีการเข้ารหัสเนื่องจากอยู่ในขอบเขตของความก้าวหน้าทางเทคโนโลยีและควรต้องดำเนินการในสถานการณ์ที่เหมาะสม
กฎหมายคุ้มครองข้อมูลถูกกำกับดูแลและบังคับใช้คณะกรรมการข้อมูลข่าวสารที่จะตีพิมพ์แนวปฏิบัติเพื่อส่งเสริมแนวปฏิบัติที่ดีและอธิบายนโยบายและวิธีการดำเนินการแก่ภาคส่วนที่เกี่ยวข้อง เป้นที่ชัดเจนว่าคณะกรรมการข้อมูลข่าวสารได้กำหนดให้มีการใช้การเข้ารหัส โดยมีเอกสารเผยแพร่เรื่องการเข้ารหัสในเดือนพฤศจิกายน 2007 และแนวปฏิบัติด้านความมั่นคงปลอดภัยทางเทคโนโลยีสารสนเทศในปี 2012 การเข้ารหัสถือเป็นนโยบายและประเด็นสำคัญในฐานะเป้นวิะีการประกันว่าข้อมูลสามารถเข้าถึงโดยผู้ใช้ที่ได้รับอนุญาตเท่านั้น แนวปฏิบัติมีผลทางกฎหมายและสร้างรูปแบบการบังคับทางปกครองกับผู้ควบคุมข้อมูล ที่ผ่านมาการบังคับใช้กฎหมายไม่ได้ถูกท้าทายและมีการยอมรับว่าผู้ควบคุมข้อมูลเห็นด้วยกับความจำเป้นต้องเข้ารหัสข้อมูลส่วนบุคคล ซึ่งต่อมาได้ขยายขอบเขตการบังคับใช้ไปยังคอมพิวเตอร์ประเภทพกพาหรือแลบท๊อป ฮาร์ดดิสก์ และเมมโมรี่สติ๊ก รวมทั้งอีเมล์ อุปกรณ์สื่อสารอื่นๆ และเซิร์ฟเวอร์ด้วย
ในด้านบริการทางการเงิน ผู้ควบคุมข้อมูลที่ประกอบธุรกิจด้านการเงินที่อยู่ภายใต้การกำกัลด฿แลขององค์กรกำกับดูแลบริการการเงิน Finanacial Services Authority หรือ FSA) ตามกฎหมายบริการและตลาดการเงิน (Finanacial Services and Markets Act 2000 หรือ FSMA) กรอบกฎหมายดังกล่าวกำหนดให้บริษัทที่ให้บริการการเงินต้องคำนึงถึงความเสี่ยงในการดำเนิธุรกิจและมีหน้าที่ลดความเสี่ยงจากอาชญากรรมทางการเงิน โดยต้องจัดให้มีการเข้ารหัสข้อมูล ส่วนที่แตกต่างจากกฎหมายคุ้มครองข้อมูลคือการคุ้มครองและเข้ารหัสข้อมูลนั้นไม่เฉพาะข้อมูลส่วนบุคคลเท่านั้นและมีการบังคับใช้ค่อนข้างเข้ม กล่าวคือ ในเดือนกุมภาพันธ์ 2007 คณะกรรมการการเงินได้สั่งปรับสมาคมก่อสร้างเป้นจำนวนเงิน 980000 ปอนด์ในกรณีทำเครื่องคอมพิวเตอร์แบบพกพาสูญหายซึ่งบรรจุข้อมูลของลูกค้าโดยไม่ได้เข้ารหัสไว้ ในเดือนเมษายน 2008 คณะกรรมการการเงินได้ออกรายงานอาณชญากรรมทางการเงินและการคุ้มครองข้อมูลและกระตุ้นให้บริษัทต้องเข้ารหัสข้อมูลบนอุปกรณ์พกพาและสื่อต่างๆ ในปี 2010 บริษัทประกันถูกปรับเป็นจำนวนเงิน 2,275,000 ปอนด์จากกรณีเทปสำรองข้อมูลที่ไม่ได้มีการเข้ารหัสสูญหาย
ฝรั่งเศส: กฎหมายคุ้มครองข้อมูลเลขที่ 78-17 เรื่องการประมวลผลข้อมูล ไฟล์ข้อมูล และเสรีภาพส่วนบุคคล 1978 กำหนดให้ผู้ควบคุมข้อมูลดำเนินมาตรการระมัดระวังโดยคำนึงถึงลักษณะของข้อมูลและความเสี่ยงจากกระทบวนการประมวลผล การจัดเก็บรักษาข้อมูล และการป้องกันการเปลี่ยนแปลงแก้ไขและสร้างความเสียหายของข้อมูล รวมทั้งการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาตจากบุคคลที่สาม (มาตรา 34) กฎหมายนี้อยู่ภายใต้การกำกับดูแลของคณะกรรมการเสรีภาพข้อมูลข่าวสารแห่งชาติ (Commission Nationale
de l’Informatique et des Libertés หรือ “CNIL”) ซึ่งได้ออกแนวปฏิบัติสำหรับการบริหารและป้องกัยภัยคุกคามจากระบบเทคโนโลยีสารสนเทศและโครงข่ายสื่อสาร รวมทั้งการฉ้อโกงทางคอมพิวเตอร์ การจัดเก็บรวบรวมข้อมูล การสูญหายของข้อมูลและการกระจายข้อมูลที่เป็นความลับ และส่งเสริมให้ผู้ควบคุมข้อมูลจัดการกับภัยคุกคามอย่างจริงจัง
ล่าสุดคณะกรรมการฯให้ความสำคัญกับเทคโนโลยีคลาวด์และความจำเป็นในมาตรฐานความปลอดภัยใหม่ที่ยกระดับการคุ้มครองข้อมูลส่วนบุคคล คณะกรรมการฯ ยังให้ความสำคัญกับการเข้าใช้การเชื่อมโยงอินเทอร์เน็ตที่มีการเข้ารหัสสำหรับการแลกเปลี่ยนข้อมูลทางอิเล็กทรอนิกส์ โดยได้กำหนดให้มีการเข้ารหัสข้อมูลที่ฝากไว้บนคลาวด์ หากมีการละเมิดหรือเปิดเผยข้อมูลเกิดขึ้น ผู้ให้บริการดังกล่าวมีหน้าที่ต้องแจ้งคณะกรรมการฯและผู้ที่มีส่วนเกี่ยวข้องโดยทันที เว้นแต่คณะกรรมการฯ เห็นว่ามีมาตรการคุ้มครองข้อมูลที่เหมาะสมแล้ว คณะกรรมการฯ เห็นว่าความเสี่ยงต่อบุคคลอาจจำกัด เช่น หากมีการถูกแฮกไฟล์บนคอมพิวเตอร์ และหากข้อมูลถูกเข้ารหัสไว้ แฮกเกอร์อาจไม่สามารถเปิดอ่านข้อมูลได้หากไม่มีรหัส นอกจากนี้ องค์กรบริการการเงินในฝรั่งเศสต้องปฏิบัติตามพันธกรณีความลับของวิชาชีพอยู่แล้วตามกฎหมายการธนาคาร 1984 กฎหมายพัฒนากิจกรรมการเงิน 1996 และกฎหมายการเงิน 2010 และมีหน้าที่ต้องประกันว่าต้องจัดให้มีมาตรการที่เหมาะสมในการปฏิบัติตาม
เยอร์มันนี: กฎหมายคุ้มครองข้อมูลของสหพันธรัฐ (Federal Data Protection Act sหรือ “BDSG”) กำหนดหน้าที่ต่อหน่วยงานที่ประมวลผลข้อมูลส่วนบุคคลในการดำเนินมาตรการทางเทคนิคและองค์กรที่เหมาะสม และการรักษาความมั่นคงปลอดภัยขอ้มูล และการใช้เทคโนโลยีเข้ารหัส เพื่อป้องกันการเข้าถึงและเปิดเผยข้อมูลโดยไม่ได้รับอนุญาตคล้ายกับประเทศฝรั่งเศสและสหราชอาณาจักร ที่น่าสนใจคือการกำหนดพันธะหน้าที่ให้มีมาตรการเพื่อประกันว่าผู้ควบคุมข้อมูลแบ่งแยกข้อมูลในการประมวลผลหากการประมวลผลมีวัตถุประสงค์ที่แตกต่างกัน ในขณะที่กฎหมายฝรั่งเศสกำหนดเพียงว่าผู้ควบคุมข้อมูลต้องมีมาตรการระมัดระวังเท่านั้น แต่ในเรื่องของเทคโนโลยีการเข้ารหัสในการคุ้มครองข้อมูลส่วนบุคคลเหมือนกัน คณะกรรมการคุ้มครองข้อมูลของสหพันธรัฐของเยอร์มันทำหน้าที่คล้ายกับคณะกรรมการเสรีภาพข่าวสารของฝรั่งเศสที่หน้าที่ออกหลักเกณฑ์และแนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ที่น่าสนใจคือคณะกรรมการฯส่งเสริมการเข้ารหัสข้อมูลส่วนบุคคลบนระบบคลาวด์ สำหรับธุรกิจการเงินนั้น องค์กรกำกับดูแลการเงินของสหพันธรัฐ (Federal Financial Supervisory
Authority หรือ “BaFin”) และธนาคารชาติเยอรมันนีได้ร่วมกันออกหลักเกณฑ์กำกับดูแลในเรื่องนี้ด้วยเหมือนทั้งสองประเทศข้างต้น
ไม่มีความคิดเห็น:
แสดงความคิดเห็น