บทความพิเศษ / ทีมงานหญ้าแห้งปากคอก(ท้องถิ่น)
ในกลุ่มประเทศสหภาพยุโรปหรือ EU (The European Union) จะมีความเคร่งครัดในเรื่องความโปร่งใสตรวจสอบข้อมูลเพื่อเอื้ออำนวยต่อนักธุรกิจเอกชนผู้ประกอบการค้าและการลงทุนมาก ที่หน่วยงานของรัฐต้องมีระบบนี้ขึ้นให้เกิดความมั่นใจแก่นักธุรกิจเอกชนทั่วๆ ไป เช่น การเปิดเผยข้อมูล หลักธรรมาภิบาลในการทำงาน รวมถึงมาตรการต่างๆ เพื่อการป้องกันการทุจริตคอรัปชั่นด้วย ฯลฯ เป็นต้น นอกจากนี้ยังรวมไปถึงกฎหมายที่คุ้มครองสิทธิของประชาชนทั่วๆ ไปด้วย เช่น กฎหมายกำกับดูแลความปลอดภัยของสินค้า (Product Safety Law) หรือ ร่วมตกลงเป็นเขตการค้าเสรี (FTA : Free Trade Area) กับกลุ่มประเทศต่างๆ เป็นต้น ซึ่งกลุ่มสหภาพยุโรปหรือประชาคมยุโรปได้มีการตรากฎหมายเหล่านี้ไว้นานแล้ว แต่ระบบกฎหมายของยุโรปเป็นระบบ Soft Law ที่เพียงข้อตกลงระหว่างประเทศก็ถือเป็นกฎหมายบังคับใช้แก่ประเทศต่างๆ ได้ ไม่จำเป็นต้องไปตรากฎหมายภายในของแต่ละประเทศอีก ซึ่งใช้ไม่ได้กับประเทศไทยที่เป็นระบบกฎหมายลายลักษณ์อักษรเช่นประเทศไทย กฎหมายที่ใช้บังคับทุกฉบับต้องผ่านรัฐสภา ยกเว้นกฎหมายที่ออกโดยอำนาจรัฐประหาร นอกจากนี้มาตรการต่างๆดังกล่าว นำไปสู่ “การกีดกันทางการค้า” อันเป็นผลกระทบในทางลบต่อการแข่งขันทางการค้าได้ หากประเทศต่างๆ ไม่ถือปฏิบัติตามได้
กล่าวอีกนัยหนึ่ง คือ เมื่อมีการเปิดเผยข้อมูลข่าวสารได้ตามกรอบของกฎหมายแล้ว ในทางกลับกันก็ต้องมีการคุ้มครองข้อมูลข่าวสารของบุคคลไว้ด้วย ให้มีความสมดุลกันตามกรอบ ตามสิทธิของกฎหมาย เพื่อมิให้ไปละเมิดสิทธิเสรีภาพของบุคคลเกินสมควรได้ ซึ่งระยะหลังอาจเป็นกฎหมายแปลกที่ตราขึ้นใหม่ๆ หรือมีการเรียกร้องให้ตราขึ้นในหลายๆ ฉบับ เช่น กฎหมายข้อมูลข่าวสารต่างๆ กฎหมายอากาศสะอาด (Clean Air) กฎหมายข้อมูลการปล่อยและการเคลื่อนย้ายสารมลพิษสู่สิ่งแวดล้อม (PRTR : Pollutant Release and Transfer Register) แม้จะเป็นเรื่องที่ไกลตัวไป แต่หากย้อนไปดูความเชื่อมสัมพันธ์ของ “การจัดระเบียบโลกใหม่” ให้เป็นระบบโลกหนึ่งเดียว (New World Orders) โดยเฉพาะโลกฝ่ายเสรีนิยมแล้วจะเห็นว่าระบบการค้า ระบบข้อมูลข่าวสารต่างๆ มันเชื่อมสัมพันธ์กันไปหมด
ที่กล่าวข้างต้นเป็นเรื่องไกลตัวมาดูกฎหมายที่ใกล้ตัวดีกว่า ในที่นี้คือ “พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562” หรือ กฎหมาย PDPA : Personal Data Protection Act B.E.2019 ซึ่งมีผลบังคับใช้ตามกฎหมายทั้งฉบับ หลังจากที่เลื่อนการบังคับใช้ไว้ 1 ปี ตั้งแต่วันที่ 1 มิถุนายน 2565 เป็นต้นไป
เจตนารมณ์ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล
มีคำอธิบายที่เข้าใจง่าย (ดร.ธีร์รัฐ บุนนาค, 24 มิถุนายน 2565) โดยสรุป คือ กฎหมายต้องการคุ้มครองข้อมูลส่วนตัวของประชาชน ที่ตกไปอยู่ในมือขององค์กร มิให้องค์กรนำไปใช้แสวงหาประโยชน์ หรือในทางที่มิชอบ กฎหมายจึงกำหนด “หน้าที่” ขององค์กร ผู้ประกอบการ ผู้ประกอบธุรกิจ นิติบุคคล ธนาคาร บริษัท และหน่วยงานของรัฐ ที่ได้ข้อมูลส่วนบุคคลของเราไป เช่น รูปถ่าย และอีเมล(จดหมายอิเล็กทรอนิกส์) ตอนเราไปกรอกใบสมัครงานกับบริษัท, สำเนาบัตรประชาชน เบอร์โทรศัพท์ และที่อยู่ที่เราให้ธนาคารตอนที่ไปขอเปิดบัญชีเงินฝาก, รูปภาพเราที่กล้องวงจรปิดของหน่วยงานรัฐบันทึกไว้ตอนเราไปติดต่อราชการ
องค์กรเหล่านั้น มีหน้าที่ เก็บรักษาไว้ หรือนำไปใช้ตามวัตถุประสงค์ของเรา หรือเพื่อการอื่นที่เราให้ความยินยอมได้ ถ้าเขานำข้อมูลส่วนบุคคลของเราไปใช้นอกวัตถุประสงค์ หรือโดยเราไม่ยินยอม องค์กรเหล่านั้น จะต้องรับผิดชอบ ผู้เขียนเข้าใจว่า กฎหมายนี้ ไม่มีเจตนารมณ์ที่จะกำหนดหน้าที่ให้กับ “บุคคลธรรมดาทั่วไป” เพราะเขาไม่มีหน้าที่ควบคุม หรือรวบรวมข้อมูลส่วนบุคคลไว้
“รูปถ่าย” ตัวเราที่เป็นกรรมสิทธิ์ของเรา คือ ข้อมูลส่วนบุคคลของเรา แต่ “การถ่ายรูป” ไม่ใช่ข้อมูล เป็นการกระทำ ถ้าเราไปถ่ายรูปที่ร้าน ร้านเขาเก็บต้นฉบับรูปถ่ายของเราและลูกค้าอื่นไว้ แม้ร้านถ่ายรูป จะเป็นเจ้าของกรรมสิทธิ์ต้นฉบับ “รูปถ่าย”นั้น แต่ถือว่าร้านถ่ายรูป เป็นผู้ประกอบการ เป็นผู้ควบคุมและรวบรวมข้อมูลส่วนบุคคล ที่เป็นรูปถ่ายของคนอื่น ร้านถ่ายรูป จึงมีหน้าที่ต้องปฏิบัติตามกฎหมายข้อมูลส่วนบุคคล ร้านถ่ายรูป ต้องไม่เอาต้นฉบับ “รูปถ่าย” เราไปขาย ส่งเข้าประกวด ใช้ประโยชน์ หรือเผยแพร่ให้คนอื่นดู เว้นแต่ เราจะให้ความยินยอมก่อน ณ ตอนถ่ายรูป หรือภายหลังก็ได้
“การถ่ายรูป” คือ พฤติกรรมของมนุษย์ที่อาจใช้กล้อง หรือโทรศัพท์มือถือ ถ่ายรูปตนเอง เพื่อนฝูง หรือคนอื่นทั่วไปได้ กฎหมายไม่ได้กำหนดห้ามเรื่อง “การถ่ายรูป” คนอื่น เราจึงมีเสรีภาพในการถ่ายรูปคนอื่นได้ “การถ่ายรูป” ของประชาชนในชีวิตประจำวันตามปกติ จึงไม่ใช่ “ข้อมูล” และไม่เกี่ยวกับกฎหมายข้อมูลส่วนบุคคลเลย เพราะรูปถ่ายที่เราถ่ายภาพคนอื่น อาจจะเป็นข้อมูลส่วนบุคคลของเขา แต่เราไม่ใช่องค์กร ไม่ใช่ผู้ประกอบการ ไม่ใช่หน่วยงานของรัฐ เราอยู่นอกเหนือเจตนารมณ์ของกฎหมายนี้ เราจึงไม่มีหน้าที่ และความรับผิดชอบตามกฎหมายฉบับนี้
แต่ถ้าเราเอา “รูปถ่าย” ซึ่งมีภาพคนอื่น ไปใช้ประโยชน์ เอาไปเผยแพร่โดยไม่ได้รับอนุญาต ไม่ว่าเราจะถ่ายมาโดยความตั้งใจหรือไม่ตั้งใจ ทำให้เขาเสียหาย หรือเสียประโยชน์ที่เขาควรได้ เราอาจต้องรับผิดชดใช้ค่าเสียหายทางแพ่ง ฐานละเมิดได้ และถ้าเราเอา “รูปถ่าย” คนอื่นนั้น โพสต์ หรือเผยแพร่ ให้คนอื่นดู ถ้าคนดูรูปนั้นแล้ว รู้สึกเกลียดชังเขา ดูถูกเขา มองว่า เขาเป็นคนไม่ดี เราอาจมีความผิดทางอาญา ฐานหมิ่นประมาทด้วยการโฆษณาได้
การอยู่ในสังคม ย่อมมีอะไรที่กระทบกันบ้างเป็นธรรมดา ไม่ว่ากฎหมายจะเขียนไว้อย่างไร จะมีความผิดหรือไม่ ก็เป็นเรื่องของกฎหมาย “แต่การอยู่ร่วมกันในสังคมให้เกิดความสงบสุขนั้น นอกจากต้องยึดกฎหมายแล้ว คนในสังคมควรมี “มารยาท” ต่อกันด้วย ให้เกียรติกัน และยอมรับสิ่งที่ควรปฏิบัติต่อผู้อื่น” ถ้าอยากจะถ่ายภาพคนอื่น ขออนุญาตเขาสักนิดเถอะ ถ้าจะถ่ายภาพแอบถ่าย (candid) เพื่อเอาไปเผยแพร่ หาประโยชน์ ก็ควรแจ้งให้เขาทราบในทันที และแบ่งปันประโยชน์ที่ควรได้ให้เขาด้วย หากเขาไม่ยินยอม ก็ลบ ขอให้สังคมเรา อยู่ร่วมกัน ด้วยความเข้าใจ และมีมารยาทที่ดีต่อกัน
สรุปความรู้กฎหมาย PDPA ฉบับง่าย
กฎหมาย PDPA อาจทำให้คนทั่วไป เอกชน องค์กรห้างร้าน รวมถึงหน่วยราชการ ตื่นตระหนก เพื่อความเข้าใจอย่างง่าย ขอนำข้อสรุปอย่างง่ายนี้มาเผยแพร่ (โดย SCB) PDPA คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ซึ่งเป็นกฎหมายที่ถูกสร้างมาเพื่อป้องกันการละเมิดข้อมูลส่วนบุคคลของทุกคน รวมถึงการจัดเก็บข้อมูลและนำไปใช้โดยไม่ได้แจ้งให้ทราบ และไม่ได้รับความยินยอมจากเจ้าของข้อมูลเสียก่อน เพื่อแก้ไขปัญหาการถูกล่วงละเมิดข้อมูลส่วนบุคคลที่เพิ่มมากขึ้นเรื่อยๆ ในปัจจุบัน เช่น การซื้อขายข้อมูลเบอร์โทรศัพท์และข้อมูลส่วนตัวอื่นๆ โดยที่เจ้าของข้อมูลไม่ยินยอม ที่มักพบได้มากในรูปแบบการโทรมาโฆษณา หรือล่อลวง
เป็นกฎหมายที่ให้ความคุ้มครองข้อมูลส่วนบุคคล เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ รูปถ่าย บัญชีธนาคาร อีเมล ไอดีไลน์ บัญชีผู้ใช้ของเว็บไซต์ ลายนิ้วมือ ประวัติสุขภาพ เป็นต้น ซึ่งข้อมูลเหล่านี้สามารถระบุถึงตัวเจ้าของข้อมูลนั้นได้ อาจเป็นได้ทั้งข้อมูลในรูปแบบเอกสาร กระดาษ หนังสือ หรือจัดเก็บในรูปแบบอิเล็กทรอนิกส์ก็ได้ ดังนั้น ให้ระวังการเผยแพร่ข้อมูลโดยไม่ได้รับอนุญาตจะมีความผิด
บุคคลที่เกี่ยวข้องกับข้อมูลส่วนบุคคล 3 ฝ่าย คือ
(1) เจ้าของข้อมูลส่วนบุคคล (Data Subject) คือ บุคคลที่ข้อมูลระบุไปถึง (2) ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) คือ บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ “ตัดสินใจ” เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (3) ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) คือ บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล “ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล” ทั้งนี้บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าว ต้องไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล
5 หลักการของ PDPA
(1) การเก็บรวบรวมข้อมูล ที่คำนึงถึง “ความจำเป็น” จริงๆ ถึงจะจัดเก็บ การจัดเก็บแบบเผื่อไว้ก่อนแบบเดิมที่เคยทำมาใช้ไม่ได้ต่อไป นอกจากนี้ต้องคำนึงถึงเรื่อง “ความเป็นส่วนตัว” ของลูกค้าด้วยว่าการเก็บข้อมูลจะไม่กระทบกับความเป็นส่วนตัว แต่หากมี “ความจำเป็น” ต้องเก็บข้อมูลนั้นต้องชี้แจงเหตุผลให้ได้ และหากต้องขอความยินยอมจากลูกค้าเป็นลายลักษณ์อักษร ก็ควรทำให้ถูกต้องตามกฎหมาย
(2) การจัดเก็บ มีข้อจำกัดในการจัดเก็บมากขึ้น เพราะต้อง “มีเหตุจำเป็น” ในการจัดเก็บ และบอกสาเหตุที่มาที่ไปได้ชัดเจนว่าจัดเก็บไปทำอะไร และมีมาตรการรักษาความปลอดภัยไม่ให้ข้อมูลรั่วไหลได้อย่างไร (3) การนำข้อมูลไปใช้ ผู้เก็บข้อมูลต้องสามารถบอกวัตถุประสงค์ในการนำไปใช้งานได้อย่างชัดเจน (4) การเปิดเผย การนำข้อมูลไปใช้ต้องเป็นข้อตกลงที่มีกระบวนการที่เปิดเผย (5) การทำลาย เมื่อนำข้อมูลไปใช้เรียบร้อยแล้วก็ต้องมีการทำลาย ผู้เก็บข้อมูลก็ต้องมีระเบียบวิธีปฏิบัติที่ชัดเจนว่าจะเก็บข้อมูลไว้เป็นระยะเวลาเท่าใด และทำไมถึงมีความจำเป็นที่ต้องเก็บข้อมูลไว้นานเช่นนั้น และเมื่อถึงกำหนดเวลาจะมีวิธีการทำลายข้อมูลนั้นอย่างไร เพื่อสร้างความมั่นใจแก่ผู้ให้ข้อมูลว่าข้อมูลส่วนตัวของเขาจะไม่ถูกนำมาเปิดเผยหรือถูกนำมาใช้งานในอนาคต
บทลงโทษหากไม่ปฏิบัติตาม PDPA
เพื่อให้ข้อมูลส่วนบุคคล หรือ (PDPA พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล) ถูกนำไปใช้ในทางที่เหมาะสมและเป็นประโยชน์มากกว่าโทษ การให้ข้อมูลแต่ละครั้งจึงต้องพิจารณาอย่างรอบคอบก่อนให้ข้อมูล เช่นการให้ข้อมูลเพื่อจัดส่งสินค้า หากมีการขอข้อมูลที่ไม่เกี่ยวกับการจัดส่ง เจ้าของข้อมูลก็มีสิทธิปฏิเสธการให้ข้อมูลนั้น และในส่วนของผู้เก็บข้อมูล ก็ต้องรู้ขอบเขตในการเข้าถึงข้อมูลส่วนบุคคล มีระบบในการควบคุม/ยืนยันตัวตนในการเข้าถึงข้อมูล และจำเป็นต้องมีการกำหนดนโยบายองค์กรเพื่อให้บุคคลที่เกี่ยวข้องปฏิบัติตาม เพราะหากไม่ทำตาม PDPA อาจได้รับโทษดังนี้
(1) ความรับผิดทางแพ่ง ตามความเสียหายที่เกิดขึ้นจริง และอาจต้องชดใช้ค่าสินไหมทดแทนเพิ่มขึ้นอีก โดยสูงสุดไม่เกิน 2 เท่าของค่าเสียหายที่แท้จริง (2) โทษทางอาญา จำคุกสูงสุดไม่เกิน 1 ปี หรือปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ (3) โทษทางปกครอง ปรับสูงสุดไม่เกิน 5 ล้านบาท เช่น มาตรา 27 ห้ามมิให้ผู้ควบคุมข้อมูลฯ ใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล… (กรณีการโพสรูปหรือคลิปที่ถ่ายติดคนอื่นโดยเขาไม่ยินยอม) เป็นต้น
แต่กฎหมาย PDPA นี้ "ไม่ใช้บังคับ" กับกรณี การเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูล เพื่อประโยชน์ของตนเอง/เพื่อกิจกรรมในครอบครัว เพราะกฎหมาย PDPA ฉบับนี้ มีวัตถุประสงค์เพื่อใช้ควบคุมองค์กร/หน่วยงาน/ผู้ประกอบการที่จะต้องมีการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลเป็นหลัก มิได้มุ่งหมายเพื่อควบคุมการดำเนินชีวิตของคนทั่วไปเป็นหลัก เพียงแต่อาจจะกระทบต่อการใช้ชีวิตบ้าง ยังมีกรณีที่ไม่จำเป็นต้องขอความยินยอมกัน เช่น กรณีที่ไม่จำเป็น ต้องขอความยินยอม หากการใช้ข้อมูลดังกล่าว เป็นกรณี
(1) การทำตามสัญญา (2) การใช้ที่มีกฎหมายให้อำนาจ (3) การใช้เพื่อรักษาชีวิตและ/หรือ ร่างกายของบุคคล (4) การใช้เพื่อการค้นคว้าวิจัยทางสถิติ (5) การใช้เพื่อประโยชน์สาธารณะ (6) การใช้เพื่อปกป้องผลประโยชน์ หรือสิทธิของตนเอง ซึ่ง บุคคล นิติบุคคล หน่วยงานทั้งภาครัฐ ภาคเอกชนต้องอยู่ภายใต้บังคับตามกฎหมายนี้ ไม่ว่า โรงเรียน โรงพยาบาล โรงแรม ฯลฯ เช่น โรงพยาบาลมีประกาศนโยบายการคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy) ของผู้ป่วย รวมบุคคล นิติบุคคลที่เกี่ยวข้องกับโรงพยาบาล หรือ โรงเรียนมีประกาศนโยบายการคุ้มครองข้อมูลส่วนบุคคล นักเรียนและผู้ปกครอง เป็นต้น
ยกตัวอย่างกรณีโรงแรม
PDPA สำหรับภาคธุรกิจโรงแรมควรเร่งมือทำอะไรบ้างเพื่อลดความเสี่ยงในระหว่างที่รอกฎหมายลูกที่จะออกมาเพิ่มเติมในรายละเอียด และอาจมีข้อยกเว้นบางประการสำหรับธุรกิจขนาดเล็กที่ต้องรอการตีความ หรือนำคำจำกัดความอ้างอิงกฎหมายฉบับอื่นมาปรับใช้กับ PDPA ในวงจรโรงแรมเริ่มตั้งแต่ก่อนลูกค้าเข้ามาใช้บริการจนถึงหลังเช็คเอ้าท์ และการติดตามการตลาด เป็นต้น โรงแรมควรเตรียมการในส่วนนี้ อย่างไร มีอะไรบ้าง ยกตัวอย่างขั้นตอนเช่น ขั้นตอนที่ 1 การเก็บรวบรวมข้อมูลส่วนบุคคล ขั้นตอนที่ 2 การจำแนกประเภทของข้อมูล ขั้นตอนที่ 3 การระบุวัตถุประสงค์ ขั้นตอนที่ 4 การกำหนดฐานทางกฎหมาย ได้แก่ หน้าที่ตามกฎหมาย ตามสัญญา ตามประโยชน์อันชอบธรรม หรือ ความยินยอม ขั้นตอนที่ 5 การวิเคราะห์ความเสี่ยงตามกฎหมาย
ข้อห่วงใยในการบังคับใช้กฎหมายเป็นดาบสองคมหรือไม่
(1) มีข้อสังเกตในมุมกลับกันว่า หลักฐานส่วนบุคคลที่ทำนิติกรรม ธุรกรรมต่างๆ ทั้งการสมัครงาน เข้า รพ. ซื้อขายของ ซิมการ์ดโทรศัพท์ ฯลฯ แต่ขาด “ให้มีข้อยกเว้น หรือ การกระทำโดยปราศจากเจตนาที่แสวงหาผลประโยชน์หรือทำลายสิทธิเสรีภาพหรือประโยชน์ในทางไม่ดี” หากเจตนาร้ายก็ต้องรับโทษ มิใช่การปกป้อง “คนไม่ดีทำร้ายคนเจตนาบริสุทธิ์” ที่แปลกเพราะหากคนไม่ดีนำไปใช้ในทางที่ผิด ข่มขู่ แบคเมล์ แฮกเกอร์ฯ จะเอาผิดได้อย่างไรบ้าง หน่วยราชการผู้บังคับใช้กฎหมาย เจ้าหน้าที่ ปอท. ต้องค่อยชี้แจงและทำความเข้าใจต่อประชาชนในข่าวปลอมต่างๆ เช่น การแชร์รูปภาพสวัสดีกลุ่มไลน์ยังทำได้ปกติ เพียงแต่มีข้อจำกัดบ้าง เป็นต้น
(2) ข้อมูลที่เสิร์ชเอนจิ้น (Search Engine) ต่างๆ นำไปใช้ เช่น กูเกิล บิง เบราว์เซอร์ (Google Bing Browser) ทุกประเภท ที่ใช้ CPU นับล้านตัว ข้อมูลที่หลุดไปนี้ จะแก้อย่างไร หรือ bing (บิ้ง เว็บบริการค้นหาออนไลน์) บนอินเตอร์เน็ตของเครื่องคอมพิวเตอร์จากไมโครซอฟท์ (Microsoft) รวมทั้งแอพพลิเคชั่น (Application) ต่างๆ ที่ให้โหลดใช้งานได้บนอุปกรณ์เคลื่อนที่ด้วย
(3) เกี่ยวกับการก่อการร้ายรวมทั้งการใช้โซเชียลมีเดียในทางที่ผิดในรูปแบบต่างๆ และความเป็นห่วงรับไม้ต่อของรัฐบาลชุดต่อๆ ไปในเรื่อง “ธรรมาภิบาล” แม้จะมีการตั้ง "คณะกรรมการ" เพื่อมากำหนดมาตรการด้านความมั่นคงปลอดภัยไซเบอร์ของประเทศอย่างมีประสิทธิภาพ และเกิดผลสัมฤทธิ์ อาจเป็นการ "ละเมิดสิทธิส่วนบุคคล" โดยผ่านกระบวนการทางกฎหมาย หรือเป็น "เครื่องมือทางการเมือง" ของรัฐหรือไม่ อย่างไร
ยังคงเป็นเรื่องที่น่าเป็นห่วง และน่ากังขา เพราะตราบใดที่โลกโซเซียลออนไลน์ก้าวหน้าไปมากเท่าใด แฮกเกอร์ สปายแวร์ ไอโอ ก็ย่อมก้าวหน้าเป็นเงาตามตัวเช่นกัน นี่ยังไม่นับข่าวปลอม (Fake news) และพวกหลอกลวงมิจฉาชีพ แก๊งค์ call center ที่สับสนและทำลายระบบเศรษฐกิจเสรีให้พังอีก