การปกป้องข้อมูลส่วนบุคคล ต้องไม่ปกป้องแค่ข้อมูลภายในประเทศ หรือข้อมูลของพลเมืองประเทศนั้นๆ แต่จะต้องครอบคลุมไปยังประเทศอื่นๆทั่วโลก โดยเฉพาะอย่างยิ่งบริษัทหรือองค์กรที่ต้องดูแลข้อมูลส่วนบุคคล ซึ่งจำเป็นต้องมีกฎหมายที่ครอบคลุมตามแต่ละภาคธุรกิจ

CBPR คืออะไร 

Cross-Border Privacy Rules (CBPR) เป็นระบบ หรือ มาตรการที่ APEC นำมาใช้อำนวยความสะดวกให้กับนักธุรกิจและผู้ประกอบการ ระหว่างเดินทางไปยังประเทศต่าง ๆ เพื่อดำเนินธุรกิจ ซึ่งชาติสมาชิก APEC ได้ให้การรับรองเพื่อปกป้องข้อมูลส่วนตัวของผู้เดินทาง โดยมาตรการคุ้มครองความเป็นส่วนตัวนี้มีการรับรองในที่ประชุมผู้นำ APEC ตั้งแต่ปี 2548 และมีการปรับปรุงระเบียบล่าสุดเมื่อปี 2558

CBPR คือ ระบบสำหรับการคุ้มครองข้อมูลส่วนบุคคลระหว่างการข้ามแดนไปยังประเทศต่าง ๆ ที่รัฐบาลในแต่ละประเทศให้การรับรอง ซึ่งแม้ประเทศที่มีกฎหมายต่างกัน แต่ระบบ CBPR ก็ยังมีผลคุ้มครองเพื่อปกป้องข้อมูลส่วนบุคคลและข้อมูลทางการค้า ให้เป็นความลับทางธุรกิจ 

หลายประเทศทั่วโลกมีการใช้ระบบ CBPR อย่างกว้างขวาง ไม่จำกัดเฉพาะในกลุ่มชาติ APEC แต่ยังมีการใช้งานระบบนี้ในประเทศอื่นๆ เช่น ประเทศที่มีการตกลงทางการค้าระหว่าง สหรัฐอเมริกา เม็กซิโก ญี่ปุ่น แคนาดา เกาหลีใต้ ออสเตรเลีย และไต้หวัน ที่มีการใช้ระบบ CBPR เพื่อปกป้องการส่งข้อมูลข้ามแดน

หลักการให้การคุ้มครองของ CBPR 

หลักการคุ้มครองตามระบบ CBPR มี 6 ข้อ ประกอบด้วย

1. มาตรฐาน CBPR ประเทศสมาชิกต้องให้การยอมรับข้อกำหนดของ CBPR สากล ว่าด้วยเรื่องกฎหมายและการบังคับใช้เมื่อนักธุรกิจหรือผู้ประกอบเดินทางข้ามแดนไปยังประเทศที่มีการรับรอง CBPR ผู้เดินทางจะได้รับการคุ้มครองและปกป้องข้อมูลตามมาตรฐาน CBPR

2. ความรับผิดชอบ ประเทศปลายทางจะมีการระบุหน่วยงานที่รับผิดชอบ ซึ่งอาจเป็นหน่วยงานรัฐหรือเอกชน แล้วแต่กรณี

3. การป้องกันตามระดับความเสี่ยง หน่วยงานรัฐหรือเอกชนที่ทำหน้าที่คุ้มครองผู้เดินทางจะต้องดำเนินการป้องกันความปลอดภัยสำหรับข้อมูลส่วนบุคคลตามระดับความรุนแรงของการถูกคุกคามหรือลักษณะที่เป็นความลับ หรือ ความอ่อนไหวของข้อมูล เช่น ข้อมูลส่วนตัว ครอบครัว รายได้ และความลับทางธุรกิจ เป็นต้น

4. การจัดการปัญหาข้อร้องเรียน หน่วยงานรัฐหรือเอกชนที่ถูกกำหนดให้ทำหน้าที่คุ้มครองผู้เดินทาง จะต้องดำเนินการตรวจสอบข้อร้องเรียนและไกล่เกลี่ยข้อพิพาทระหว่างผู้เดินทางกับคู่กรณีและเร่งแก้ไขปัญหา

5. สิทธิผู้บริโภค นักธุรกิจหรือผู้ประกอบการที่เดินทางข้ามแดน ได้รับสิทธิให้แก้ไขข้อมูลส่วนบุคคลได้ ตามระเบียบที่ CBPR กำหนด

6. การปฏิบัติของรัฐ ประเทศสมาชิกจะต้องปฏิบัติตามข้อบังคับว่าด้วยการคุ้มครองและปกป้องข้อมูล ซึ่งมีอย่างน้อย 50 ข้อ เพื่ออำนวยความสะดวกแก่ผู้เดินทางข้ามแดน

ความแตกต่างระหว่าง PDPA กับ CBPR 

ทั้งนี้ PDPA กับ CBPR มีความแตกต่างกันตรงที่ PDPA คือกฎหมายที่เน้นการคุ้มครองข้อมูลส่วนบุคคลภายในประเทศไทย  โดยองค์กรที่จัดเก็บหรือประมวลผลข้อมูลส่วนบุคคลต้องปฏิบัติตาม 

ขณะที่  CBPR  คือ ระบบหรือมาตรการที่เน้นการคุ้มครองแก่ประเทศที่เข้าเป็น สมาชิกและใช้งานระบบ CBPR ซึ่งรับรองมาตรฐานให้กับองค์กรที่ผ่านการรับรอง ทำให้โอนข้อมูลส่วนบุคคลระหว่างกันได้ ประเทศที่ใช้ข้อกำหนดนี้ อาทิ ประเทศในกลุ่ม APEC ทั้งหมด สหรัฐอเมริกา เม็กซิโก ญี่ปุ่น แคนาดา สิงคโปร์ เกาหลีใต้ ออสเตรเลีย และไต้หวัน 

ที่มา : Law for ASEAN, CBPR

สอบถามข้อมูลผลิตภัณฑ์ “OneFence”

Tel. : 061-462-6414, 02-103-6462
Line : @securitypitch
Email : [email protected]

บทความที่น่าสนใจ

• ภาคการเงินปรับตัวใช้ AI ใน Fraud Detection
• E-commerce เจ้าดัง ข้อมูลหลุด 87 ล้านบัญชี
• จริงหรือ? เพจเจอร์ระเบิด เพราะโดนแฮ็ก