ข่าวสารและบทความล่าสุด

กฎหมายคุ้มครองข้อมูลส่วนบุคคลถูกออกแบบมาเพื่อคุ้มครองสิทธิในความเป็นส่วนตัวผ่านการสร้างหลักเกณฑ์หรือมาตรฐานขั้นต่ำให้ผู้ควบคุมข้อมูลส่วนบุคคล ทว่าในบางครั้งกฎหมายคุ้มครองข้อมูลส่วนบุคคลกลับถูกนำมาใช้เป็นเครื่องมือใหม่ในการฟ้องปิดปากหรือ SLAPP (Strategic Litigation Against Public Participation) โดยผู้ควบคุมข้อมูลซึ่งมีอำนาจทั้งทางการเมืองและทางธุรกิจ ผ่านการอาศัยช่องโหว่จากการตีความข้อกฎหมายที่กำกวม หรือการตีความข้อยกเว้นทางกฎหมายอย่างแคบจนเกินไป อาทิ ข้อยกเว้นสำหรับกิจการเพื่อสื่อสารมวลชนที่ถูกกำหนดหรือตีความอย่างแคบ กระทั่งกลายเป็นเครื่องมือในการกดดัน ขัดขวาง หรือลงโทษการรายงานข่าวเชิงวิพากษ์วิจารณ์แทนที่จะทำหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามเจตนารมณ์หลัก

ทำความรู้จัก SLAPP

การฟ้องปิดปาก (SLAPP) คือการใช้กระบวนการยุติธรรมเป็นเครื่องมือเชิงกลยุทธ์เพื่อสร้างภาระทางคดี ความกดดันทางจิตใจ และต้นทุนทางการเงินแก่ผู้ถูกฟ้อง มีจุดมุ่งหมายหลักเพื่อยับยั้งการแสดงความคิดเห็นหรือการตรวจสอบจากภาคประชาชน สื่อมวลชน และนักสิทธิมนุษยชน การดำเนินคดีในลักษณะนี้อาศัยความเหลื่อมล้ำด้านอำนาจและทรัพยากรเพื่อสร้างสภาวะหวาดกลัว จนผู้ถูกฟ้องและบุคคลอื่นที่มีจุดยืนในทิศทางเดียวกันยุติการตรวจสอบหรือการมีส่วนร่วมสาธารณะในที่สุด ปรากฏการณ์นี้เรียกว่า Chilling Effect

ด้วยเหตุที่การฟ้องปิดปาก (SLAPP) ไม่ได้มุ่งหมายเพื่อชนะคดีเป็นสำคัญ หากแต่แฝงเจตนาสร้างภาระและกดดันข่มขู่คู่กรณีเป็นหลัก ประกอบกับผู้ควบคุมข้อมูลมักเป็นองค์กรขนาดใหญ่ที่มีความได้เปรียบทางเศรษฐกิจหรือการเมืองเหนือกว่าคู่กรณีอย่างมีนัยสำคัญ และบทลงโทษตามกฎหมายที่มีความรุนแรง จึงทำให้กฎหมายคุ้มครองข้อมูลส่วนบุคคลกลายเป็นเครื่องมืออีกประการหนึ่งที่ถูกนำมาใช้เพื่อการฟ้องปิดปาก (SLAPP)

PDPA ต่างจากกฎหมายหมิ่นประมาทอย่างไร?

โดยส่วนใหญ่แล้ว เรามักจะเห็นการนำกฎหมายหมิ่นประมาทมาใช้ในการฟ้องปิดปาก (SLAPP) แต่กฎหมายคุ้มครองข้อมูลส่วนบุคคลได้กลายเป็นเครื่องมือที่สะดวกและมีประสิทธิภาพในการฟ้องปิดปาก (SLAPP) ด้วยเหตุผลสำคัญ ดังต่อไปนี้

1) ไม่สามารถใช้ความจริงเป็นข้อต่อสู้ได้

ในคดีหมิ่นประมาท ข้อเท็จจริงที่เป็นความจริง หรือความเห็นโดยสุจริต มักได้รับความคุ้มครอง แต่ภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคล การเปิดเผยความจริงเกี่ยวกับพฤติกรรมทุจริตของบุคคลสาธารณะอาจยังถือว่าฝ่าฝืนกฎหมายคุ้มครองข้อมูลส่วนบุคคลได้ หากผู้เผยแพร่ถูกพิจารณาว่าเป็นผู้ควบคุมข้อมูลที่ไม่ปฏิบัติตามกฎหมาย

2) มีโทษทางปกครองที่บังคับใช้ได้

กฎหมายหมิ่นประมาทดำเนินการผ่านศาลซึ่งอาจใช้เวลานาน แต่กฎหมายคุ้มครองข้อมูลส่วนบุคคลเปิดช่องให้ร้องเรียนต่อหน่วยงานกำกับดูแล ซึ่งมีอำนาจสั่งระงับการเผยแพร่หรือกำหนดบทลงโทษทางปกครองได้อย่างรวดเร็ว โดยไม่ต้องรอกระบวนการพิจารณาของศาล

โดยจะขอยกตัวอย่างเคสจากสหภาพยุโรปภายใต้กฎหมาย GDPR ที่แสดงให้ว่ากฎหมายคุ้มครองข้อมูลส่วนบุคคลอาจถูกนำมาใช้เป็นเครื่องมือในการฟ้องปิดปาก (SLAPP) ได้ดังนี้

• โรมาเนีย : โครงการ RISE

กลุ่มนักข่าวถูกหน่วยงานกำกับดูแลด้านการคุ้มครองข้อมูลส่วนบุคคลของโรมาเนียส่งจดหมายเรียกให้เปิดเผยแหล่งที่มาของข้อมูล หลังจากมีการเผยแพร่วิดีโอการทุจริตเงินอุดหนุนจากสหภาพยุโรป โดยหน่วยงานกำกับดูแลฯ กล่าวว่าจะลงโทษปรับเป็นเงินสูงถึง 20 ล้านยูโร หากไม่มีการเปิดเผยแหล่งที่มาของข้อมูล จะเห็นได้ว่ามีการใช้อำนาจทางปกครองโดยอาศัยกฎหมาย GDPR เพื่อกดดันการทำงานของสื่อโดยตรง

• ฮังการี : Hell Energy

บริษัทเครื่องดื่มชูกำลังรายใหญ่ในฮังการีฟ้องร้องนิตยสาร Forbes Hungary และ Magyar Narancs โดยอ้างว่าสื่อทั้งสองประมวลผลข้อมูลส่วนบุคคลโดยไม่มีฐานทางกฎหมายเพื่อรายงานข่าวเรื่องการเติบโตของบริษัทและความสัมพันธ์กับรัฐบาล ต่อมาศาลฮังการีได้มีคำสั่งคุ้มครองชั่วคราวให้มีการเรียกเก็บนิตยสารออกจากแผงและเซ็นเซอร์เนื้อหาบางส่วน ถือว่าคำสั่งของศาลที่เกิดขึ้นก่อนการพิจารณาคดีและคำพิพากษาได้ขัดขวางไม่ให้สังคมได้รับรู้ข้อมูลซึ่งอาจเป็นประโยชน์ต่อสาธารณะแล้วผ่านการอาศัยกลไกของกฎหมายคุ้มครองข้อมูลส่วนบุคคล

จากตัวอย่างข้างต้นแสดงให้เห็นอย่างชัดเจนถึงเหตุการณ์ที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลถูกนำมาใช้เป็นเครื่องมือในการฟ้องปิดปาก (SLAPP) โดยไม่จำกัดเพียงแต่การฟ้องต่อศาล แต่รวมถึงการร้องเรียนหน่วยงานกำกับดูแลให้ใช้อำนาจทางปกครองในการปิดปากสื่อมวลชนด้วย ทั้งนี้ เพื่อให้เห็นภาพชัดเจนในบริบทสังคมไทย บทความนี้จึงได้ศึกษาความเป็นไปได้ของการนำกฎหมายคุ้มครองข้อมูลส่วนบุคคลของไทยมาใช้เป็นเครื่องมือในการฟ้องผิดปาก (SLAPP) ผ่านการตีความข้อยกเว้นไม่ให้นำพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลมาบังคับใช้ มาตรา 4 (1) และ มาตรา 4 (3) โดยอาศัยกรณีศึกษาจาก GDPR

1. การตีความอย่างแคบของข้อยกเว้นการประมวลผลข้อมูลส่วนบุคคลเพื่อประโยชน์ส่วนตน

หนึ่งในข้อยกเว้นการบังคับใช้ GDPR คือ การประมวลผลข้อมูลส่วนบุคคลโดยบุคคลธรรมดาเพื่อประโยชน์ส่วนตนอันแท้จริงหรือกิจกรรมในครัวเรือน โดยการประมวลผลนั้นต้องไม่มีความเกี่ยวข้องกับวิชาชีพหรือกิจกรรมเชิงพาณิชย์ ซึ่งตัวอย่างที่เห็นได้ชัด คือ กิจกรรมการติดต่อสื่อสาร การบันทึกข้อมูลเบอร์โทรศัพท์ในสมุดเหลืองหรือในโทรศัพท์มือถือ กิจกรรมทางออนไลน์ภายใต้ขอบเขตส่วนตัว และที่มาของข้อยกเว้นนี้มี 2 เหตุผลหลัก ได้แก่

1) การคุ้มครองสิทธิในความเป็นส่วนตัว (Right to Privacy) เนื่องจากกิจกรรมส่วนตัวและในครอบครัวถือว่าอยู่ภายใต้ขอบเขตสิทธิในความเป็นส่วนตัวที่ได้รับการรับรองในมาตรา 8 ของอนุสัญญาว่าด้วยสิทธิมนุษยชนแห่งยุโรป (ECHR) และเป้าหมายของกฎหมายคุ้มครองข้อมูลส่วนบุคคลคือการเสริมสร้างความเป็นส่วนตัวของพลเมือง จึงไม่ควรเข้าไปแทรกแซงพื้นที่ส่วนตัวของบุคคล

2) ความเสี่ยงต่อความเสียงหายอยู่ในระดับต่ำ (Minimal Harm) เนื่องจากในช่วงที่มีการริเริ่มกฎหมายคุ้มครองข้อมูลส่วนบุคคล ปี ค.ศ. 1995 มีความเชื่อว่าการประมวลผลข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ส่วนตัวนั้นไม่น่าก่อให้เกิดความเสียหายอย่างมีนัยสำคัญต่อเจ้าของข้อมูลส่วนบุคคล

อย่างไรก็ตาม กฎหมายต้นฉบับของ GDPR คือ Data Protection Directive โดยศาลยุติธรรมแห่งสหภาพยุโรป (CJEU) ได้วางหลักการ "ตีความอย่างแคบ" ไว้โดยกำหนดว่าข้อยกเว้นนี้จะใช้ได้เฉพาะขอบเขตที่จำเป็นอย่างยิ่งเท่านั้น (“only in so far as is strictly necessary”) โดยมีแนวคำพิพากษาที่เป็นบรรทัดฐาน ดังนี้

1) Lindqvist Doctrine: หลักการผู้รับสารที่ไม่จำกัด (Bodil Lindqvist, 2003)

ข้อวินิจฉัยเกี่ยวกับการจัดทำหน้าเว็บไซต์เพื่อให้สมาชิกคริสตจักรที่กำลังเตรียมเข้ารับศีลมหาสนิทสามารถเข้าถึงข้อมูลที่ต้องการได้ โดยหน้าเว็บดังกล่าวได้เปิดเผยข้อมูลส่วนบุคคลของเพื่อนร่วมงานของผู้จัดทำเว็บไซต์ ซึ่งศาล CJEU ได้ตัดสินว่ากรณีนี้ไม่เข้าข้อยกเว้นการประมวลผลข้อมูลส่วนบุคคลเพื่อประโยชน์ส่วนตน เนื่องจากเป็นการเปิดเผยสู่อินเตอร์เน็ตและสามารถเข้าถึงได้โดยไม่จำกัดจำนวนผู้เข้าชม (“indefinite number of people”)

2) กล้องวงจรปิดของนาย Rynes (František Ryneš, 2014)

ข้อวินิจฉัยเกี่ยวกับการติดตั้งกล้องวงจรปิดบริเวณนอกบ้านบุคคลด้วยวัตถุประสงค์เพื่อหาตัวคนร้ายที่เข้ามาทุบกระจกบ้านของตนเอง ซึ่งศาล CJEU ตัดสินว่า หากการเฝ้าระวัง (Surveillance) ครอบคลุมไปถึงพื้นที่สาธารณะเพียงบางส่วนและมีทิศทางออกไปจากพื้นที่ส่วนตัวก็ไม่เข้าข้อยกเว้นการประมวลผลข้อมูลส่วนบุคคลเพื่อประโยชน์ส่วนตน

3) การโพสต์วิดีโอการทำงานของตำรวจลง YouTube (Buivids, 2019)

ชายผู้หนึ่งได้บันทึกวิดีโอขณะที่เขากำลังให้การในคดีที่ถูกฟ้องภายในสถานีตำรวจแห่งชาติลัตเวีย และต่อมาได้เผยแพร่วิดีโอดังกล่าวซึ่งปรากฏภาพเจ้าหน้าที่ตำรวจขณะกำลังปฏิบัติหน้า ลงบน YouTube โดยศาล CJEU ได้ยืนยันหลักการ Lindqvist Doctrine ว่ากรณีนี้ไม่เข้าข้อยกเว้น เนื่องจากเป็นการบันทึกวิดีโอในบริบทที่ไม่ใช่เรื่องส่วนตัว (Non-private Setting) และถูกเผยแพร่ให้กับผู้ชมจำนวนไม่จำกัด (“unlimited number of people”)

จากตัวอย่างคดีที่ได้กล่าวมาข้างต้น ทำให้เห็นแนวทางการตีความข้อยกเว้นนี้ของศาลไปในทิศทางค่อนข้าง “แคบ” ทำให้เกิดความเสี่ยงที่ข้อยกเว้นนี้อาจถูกนำไปเป็นเครื่องมือสำหรับข่มขู่ให้ผู้คนหวาดกลัว ไม่กล้าแสดงออกทางความคิดหรือความเห็น เนื่องจากผู้ฟ้องคดีปิดปากสามารถอ้างหลักการตีความอย่างแคบว่า การแสดงออกทางความเห็นผ่านสื่อสังคมออนไลน์ซึ่งไม่สามารถจำกัดจำนวนผู้เข้าชมได้นั้นย่อมไม่เข้าข้อยกเว้นการประมวลผลเพื่อประโยชน์ส่วนตัว จึงอาจมีความรับผิดตามกฎหมายได้

2. การตีความอย่างกว้างของข้อยกเว้นการประมวลผลข้อมูลส่วนบุคคลในกิจกรรมสื่อสารมวลชน (Journalism)

ข้อยกเว้นนี้มีหลักการที่แตกต่างจากข้อยกเว้นการประมวลผลเพื่อประโยชน์ส่วนตน เนื่องจาก GDPR ได้กำหนดให้รัฐสมาชิกต้องไปกำหนดในกฎหมายภายในว่าถึงขอบเขตของข้อยกเว้นกิจการสื่อสารมวลชน โดยกรอบจะต้องกำหนดเท่าที่จำเป็นเพื่อให้ยังคงมีความสมดุลระหว่างสิทธิในการคุ้มครองข้อมูลส่วนบุคคลและเสรีภาพในการแสดงออก เนื่องจากสิทธิในการคุ้มครองข้อมูลส่วนบุคคลนั้นไม่ใช่สิทธิเด็ดขาด จึงต้องสมดุลกับสิทธิขั้นพื้นฐานต่าง ๆ ตามหลักความได้สัดส่วน

อย่างไรก็ตามข้อยกเว้นกิจการสื่อสารมวลชนนั้นมีวัตถุประสงค์เพื่อคุ้มครองบทบาทของสื่อในฐานะ "สุนัขเฝ้าบ้าน" (Public Watchdog) ที่สอดส่องดูแลการปฏิบัติหน้าที่ของหน่วยงานรัฐ และเผยแพร่ข้อมูลข่าวสารทางการเมือง โดยในบริบทของสังคมดิจิทัล ศาลยุติธรรมแห่งสหภาพยุโรป (CJEU) ได้วางหลักการในการตีความคำว่า "การสื่อสารมวลชน" (Journalism) อย่างกว้าง เพื่อให้ครอบคลุมถึง "สื่อพลเมือง" (Citizen Journalism) ที่มุ่งผลิตเนื้อหาเพื่อผลักดันให้เกิดการถกเถียงในประเด็นสาธารณะ โดยมีแนวคำพิพากษาที่เป็นบรรทัดฐาน ดังนี้

1) การรวบรวมข้อมูลภาษีเพื่อเผยแพร่สาธารณะ (Satamedia, 2008)

ข้อวินิจฉัยเกี่ยวกับการรวบรวมข้อมูลภาษีมาเผยแพร่ผ่านสื่อสิ่งพิมพ์และระบบ SMS โดยศาลวินิจฉัยว่าแม้จะมีการแสวงหาผลกำไรจากข้อมูลดังกล่าว แต่หากมีวัตถุประสงค์เพื่อเผยแพร่ข้อมูลหรือความคิดเห็นสู่สาธารณะ การประมวลผลนี้ย่อมได้รับยกเว้นในฐานะกิจกรรมสื่อสารมวลชน

2) การโพสต์วิดีโอการทำงานของตำรวจลง Youtube (Buivids, 2019)

ข้อวินิจฉัยเกี่ยวกับการบันทึกวิดีโอการปฏิบัติหน้าที่ของเจ้าหน้าที่ตำรวจและเผยแพร่บน YouTub โดยศาลวินิจฉัยว่า กิจกรรมนี้อาจถือเป็นกิจกรรมสื่อสารมวลชนได้ หากการกระทำนั้นมีเจตนาเพื่อเปิดโปงความผิดปกติหรือกระตุ้นให้เกิดการวิพากษ์วิจารณ์การทำงานของหน่วยงานรัฐ ประมวลผลนี้ย่อมได้รับยกเว้นในฐานะกิจกรรมสื่อสารมวลชน ทั้งนี้ต้องผ่านการชั่งน้ำหนักความได้สัดส่วนระหว่างเสรีภาพในการแสดงออกกับสิทธิในความเป็นส่วนตัวโดยศาลภายในประเทศด้วย

อย่างไรก็ตาม ความไม่แน่นอนในการปรับใช้ข้อยกเว้นนี้ยังคงเป็นช่องทางให้เกิดการฟ้องคดีปิดปาก (SLAPP) เนื่องจากแต่ละรัฐสมาชิกของสหภาพยุโรปมีมาตรฐานที่แตกต่างกัน เช่น ออสเตรียที่ยังคงจำกัดนิยามสื่อไว้เพียงสื่อกระแสหลัก หรือสหราชอาณาจักรที่กำหนดเกณฑ์พิจารณาสามประการ ได้แก่ (1) ข้อมูลที่เกี่ยวข้องจะต้องได้รับการประมวลผลโดยมีวัตถุประสงค์เพื่อการเผยแพร่เนื้อหาข่าวสาร (2) ผู้ควบคุมข้อมูลต้องเชื่อโดยสมเหตุสมผลว่าการเผยแพร่จะเป็นประโยชน์ต่อสาธารณะ โดยคำนึงถึงความสำคัญเป็นพิเศษของผลประโยชน์สาธารณะในเสรีภาพในการแสดงออก และ (3) ผู้ควบคุมข้อมูลต้องเชื่อโดยสมเหตุสมผลว่า การบังคับใช้บทบัญญัติ GDPR ที่ระบุไว้จะไม่สอดคล้องกับวัตถุประสงค์ทางข่าวสารของตน

3. การตีความข้อยกเว้นไม่ให้นำพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลมาบังคับใช้ตามมาตรา 4 (1) และ มาตรา 4 (3)

เจตนารมณ์ของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ไม่ได้มุ่งเน้นเพียงเพื่อคุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคลผ่านการรับรองสิทธิต่าง ๆ ตามกฎหมายเท่านั้น หากแต่ยังรวมถึงการสถาปนาหลักเกณฑ์กลางในการกำกับดูแลข้อมูลส่วนบุคคลโดยรวมให้มีประสิทธิภาพ อย่างไรก็ตาม ในบริบทของการฟ้องคดีปิดปาก (SLAPP) ซึ่งมีลักษณะเฉพาะในการไม่ได้มุ่งหวังผลแพ้ชนะในเนื้อหาของคดีเป็นสำคัญ แต่กลับมุ่งหมายสร้างภาระทางกฎหมายและต้นทุนในการดำเนินคดีให้แก่ผู้ถูกฟ้อง บทบัญญัติว่าด้วยข้อยกเว้นตามพระราชบัญญัติดังกล่าวจึงมีความเสี่ยงที่จะถูกนำมาใช้เป็นเครื่องมือในการข่มขู่หรือคุกคามผ่านการตีความที่ไม่แน่นอน โดยเฉพาะอย่างยิ่งในข้อยกเว้นเรื่องการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อประโยชน์ส่วนตนหรือเพื่อกิจกรรมในครอบครัวตามมาตรา 4 (1) และข้อยกเว้นด้านกิจการสื่อสารมวลชนตามมาตรา 4 (3)

ปัจจุบัน ประเทศไทยยังไม่ปรากฏคำพิพากษาของศาลที่ชัดเจนซึ่งเกี่ยวข้องกับการปรับใช้ข้อยกเว้นตามมาตราดังกล่าว มีเพียงแนวทางจากข้อหารือของสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ซึ่งสามารถอาศัยเป็นบรรทัดฐานเบื้องต้นได้ โดยเฉพาะในประเด็นการประมวลผลข้อมูลส่วนบุคคลเพื่อประโยชน์ส่วนตน ซึ่ง สคส. ได้วางเกณฑ์พิจารณาไว้ว่า หากการกระทำนั้นไม่ได้มีลักษณะเป็นการประมวลผลที่มีระบบหรือมีความสม่ำเสมอเป็นประจำ เพื่อวัตถุประสงค์อย่างใดอย่างหนึ่งในฐานะผู้ควบคุมข้อมูลส่วนบุคคล กิจกรรมนั้นย่อมได้รับยกเว้นไม่อยู่ภายใต้บังคับของพระราชบัญญัติฉบับนี้

ประเด็นที่น่าสังเกตประการหนึ่งคือ จุดยืนของ สคส. ต่อกรณีการเผยแพร่ข้อมูลทะเบียนราษฎร์ของบุคคลบนสื่อสังคมออนไลน์โดยบุคคลใกล้ชิดของผู้ดำรงตำแหน่งรัฐมนตรีว่าการกระทรวงดิจิทัลฯ สะท้อนให้เห็นว่าหน่วยงานกำกับดูแลของประเทศไทยมีแนวโน้มที่จะตีความข้อยกเว้นตามมาตรา 4 (1) ในทางกว้าง ซึ่งแตกต่างจากแนวทางของสหภาพยุโรปที่ตีความข้อยกเว้นในลักษณะเดียวกันโดยแคบ ขณะที่ข้อยกเว้นด้านกิจการสื่อมวลชนตามมาตรา 4 (3) นั้น แม้จะยังไม่มีข้อหารือที่วางแนวทางไว้โดยตรง แต่เมื่อพิจารณาจากตัวบทกฎหมายที่กำหนดเงื่อนไขว่าต้องเป็นไปตาม “จริยธรรมแห่งการประกอบวิชาชีพ” ย่อมแสดงให้เห็นถึงเจตนารมณ์ที่มุ่งหมายจะจำกัดขอบเขตการใช้สิทธิดังกล่าวให้อยู่ภายใต้มาตรฐานวิชาชีพ ซึ่งอาจส่งผลให้การปรับใช้มาตรานี้ถูกตีความอย่างเคร่งครัดและแคบกว่าแนวทางของสหภาพยุโรป และอาจไม่รวมถึงสื่อพลเมือง (Citizen Journalism)

ตารางสรุปแนวทางการตีความข้อยกเว้นไม่ให้นำกฎหมายคุ้มครองข้อมูลส่วนบุคคลมาบังคับใช้

บทสรุป

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) มีความเสี่ยงที่จะถูกนำมาใช้เป็นเครื่องมือในการฟ้องปิดปาก (SLAPP) เนื่องจากการวิพากษ์วิจารณ์หรือตรวจสอบประเด็นสาธารณะมักมีการอ้างอิงถึงข้อมูลส่วนบุคคลอย่างหลีกเลี่ยงไม่ได้ ประกอบกับ PDPA มีบทลงโทษที่รุนแรงกว่ากฎหมายหมิ่นประมาททั่วไป ปัจจัยเหล่านี้จึงจูงใจให้ผู้ฟ้องใช้กฎหมายดังกล่าวเป็นเครื่องมือสร้างภาระทางคดีเพื่อยับยั้งการแสดงความคิดเห็น

อย่างไรก็ตาม การกระทำดังกล่าวนับว่าขัดต่อเจตนารมณ์ที่แท้จริงของกฎหมาย เนื่องจาก PDPA มุ่งเน้นที่จะวางมาตรฐานในการกำกับดูแลและคุ้มครองข้อมูลส่วนบุคคลให้มีประสิทธิภาพ มิใช่มีไว้เพื่อปิดกั้นการตรวจสอบหรือการเคลื่อนไหวทางสังคมและเมือง ดังนั้น กลไกสำคัญจึงอยู่ที่หน่วยงานกำกับดูแล (สคส.) ผู้บังคับใช้กฎหมาย PDPA ซึ่งมีบทบาทในการประชาสัมพันธ์และสร้างความเข้าใจที่ถูกต้องเกี่ยวกับวัตถุประสงค์ของกฎหมายฉบับนี้ เพื่อป้องกันมิให้เกิดการนำกระบวนการยุติธรรมมาใช้โดยไม่สุจริตในอนาคต

นอกจากนี้ ในยุคสังคมดิจิทัลที่เส้นแบ่งระหว่างพื้นที่ส่วนตัวและพื้นที่สาธารณะเริ่มเลือนลางจากการขยายตัวของอินเทอร์เน็ต บุคคลธรรมดาย่อมสามารถเผยแพร่ข้อเท็จจริงผ่านสื่อสังคมออนไลน์ในลักษณะที่คาบเกี่ยวระหว่างข้อยกเว้น "เพื่อประโยชน์ส่วนตน" และ "กิจการสื่อมวลชน" ได้ ผู้เขียนจึงมีความเห็นว่า หน่วยงานกำกับดูแลหรือศาลควรพิจารณาตีความข้อยกเว้นทั้งสองนี้ให้สอดคล้องกัน เพื่อสร้างความสมดุลระหว่างสิทธิในความเป็นส่วนตัวและเสรีภาพของประชาชนในยุคสังคมดิจิทัล

แหล่งอ้างอิง:

• Legislative Note to the Personal Data Protection Act B.E. 2562 (2019).
• Melinda Rucz, The GDPR Enters the SLAPP Scene: GDPR Proceedings as Emerging Forms of Strategic Litigation against Public Participation, EUR. LAW BLOG (2022), https://www.europeanlawblog.eu/pub/the-gdpr-enters-the-slapp-scene-gdpr-proceedings-as-emerging-forms-of-strategic-litigation-against-public-participation/release/1.
• Sarinee Achavanuntakul, SLAPP Suits and Corporate Responsibilities under UNGPs, iLaw (Oct. 16, 2025).
• Section 330 of the Criminal Code provides that, In case of defamation, if the person prosecuted for defamation can prove that the imputation made by him is true, he shall not be punished. But he shall not be allowed to prove if such imputation concerns personal matters, and such proof will not be benefit to the public.
• Section 329 of the Criminal Code provides that, a person, in good faith, expresses any opinion or a statement: (1) by way of self-justification or defense, or for the protection of a legitimate interest; (2) in the status of being an official in the exercise of his functions; (3) by way of fair comment on any person or thing subjected to public criticism; or (4) by way of fair report of the open proceeding of any Court or meeting, shall not be guilty of defamation.
• OCCRP Strongly Objects to Romania’s Misuse of GDPR to Muzzle Media, OCCRP, https://www.occrp.org/en/announcement/occrp-strongly-objects-to-romanias-misuse-of-gdpr-to-muzzle-media (last visited Feb. 27, 2026).
• English Translation of the Letter from the Romanian Data Protection Authority to RISE Project, OCCRP, https://www.occrp.org/en/feature/english-translation-of-the-letter-from-the-romanian-data-protection-authority-to-rise-project (last visited Feb. 27, 2026).
• IPI Contributor Márton Bede, In Hungary, GDPR Is the New Weapon against Independent Media, IPI.MEDIA (Nov. 2, 2020), https://ipi.media/in-hungary-gdpr-is-the-new-weapon-against-independent-media-2/.
• Article 2(2)(c), GDPR.
• Recital 18, GDPR.
• Bart van de Sloot, Home Is Where the Heart Is: The Household Exemption in the 21st Century, 14 JIPITEC – J. INTELLECT. PROP. INF. TECHNOL. E-COMMER. LAW 34 (2023).
• František Ryneš v Úřad pro ochranu osobních údajů, Case C-212/13.
• Bodil Lindqvist v Åklagarkammaren i Jönköping, Case C-101/01.
• František Ryneš v Úřad pro ochranu osobních údajů, Case C-212/13.
• Sergejs Buivids v Datu valsts inspekcija, Case C-345/17.
• Article 85, GDPR.
• Recital 153, GDPR.
• Recital 4, GDPR.
• Observer and Guardian v. the United Kingdom (ECtHR 1991).
• Natalija Bitiukova, Journalistic Exemption under the European Data Protection Law (Jan. 30, 2020), https://papers.ssrn.com/abstract=3531977.
• Recital 153, GDPR.
• Tietosuojavaltuutettu v Satakunnan Markkinapörssi Oy and Satamedia Oy, Case C-73/07.
• Sergejs Buivids v Datu valsts inspekcija, Case C-345/17.
• Legislative Note to the Personal Data Protection Act B.E. 2562 (2019).
• Advisory Opinion No. 8/2567, Re: Police Station H's Inquiry Regarding Compliance with the Personal Data Protection Act.
• https://www.facebook.com/share/p/1BUtiADWYk/