ในวันที่ “ข้อมูลหลุด” วิ่งเร็วกว่าการป้องกัน ชีวิตของคนจำนวนมากอาจเปลี่ยนไปในชั่วข้ามคืน บางคนโดนหลอกโอนเงิน บางคนถูกปลอมตัวตน บางหน่วยงานต้องรับแรงสั่นสะเทือนจากความไม่ไว้วางใจ และบางครั้ง “ต้นตอ” ก็ไม่ได้อยู่ไกลอย่างที่คิด หากแทรกอยู่ในความเคยชินเล็ก ๆ ที่ปล่อยให้ข้อมูลไหลไปในที่ที่ไม่ควรไป
นี่คือเหตุผลที่ พ.ต.อ.สุรพงศ์ เปล่งขำ เลขาธิการคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล มองกฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA) ไม่ใช่เอกสารที่ทำให้คนทำงานลำบากขึ้น แต่เป็น “โครงสร้างพื้นฐาน” ที่ประเทศต้องมี และต้องทำให้แข็งแรงพอ ๆ กับโครงสร้างอื่น เพราะในยุคที่ข้อมูลส่วนบุคคลกลายเป็นทรัพยากรสำคัญไม่ต่างจากพลังงานหรือเงินทุน “การคุ้มครองข้อมูล” จึงไม่ใช่เรื่องกฎหมายล้วน ๆ อีกต่อไป หากเป็นเรื่องยุทธศาสตร์ที่เชื่อมโยงโดยตรงกับความปลอดภัยของประชาชน ความสามารถในการแข่งขันของภาคธุรกิจ และความเชื่อมั่นของประเทศในสายตานานาชาติ
เลขาธิการ สคส. พูดชัดว่า PDPA จะมีความหมายก็ต่อเมื่อ “ปกป้องประชาชนได้จริง” ควบคู่กับการไม่สร้างภาระเกินจำเป็นแก่หน่วยงานรัฐและภาคธุรกิจ และที่สำคัญต้องไม่กลายเป็นแรงฉุดการพัฒนาเศรษฐกิจดิจิทัล เพราะถ้ากฎหมายถูกมองว่าเป็นเรื่องซับซ้อน ต้นทุนสูง และต้องพึ่งพาคนนอกตลอดเวลา สุดท้ายมันจะไม่ฝังรากอยู่ในสังคม และจะเหลือเพียงคำว่า “ต้องทำ” ที่คนทำไปเพื่อให้ผ่าน ๆ ไปเท่านั้น
สิ่งที่ทำให้วิธีคิดของเขามีน้ำหนัก ไม่ได้อยู่ที่ถ้อยคำสวยหรู แต่อยู่ที่เส้นทางชีวิตที่พาเขามาถึงงานด้านข้อมูลส่วนบุคคลในวันที่สังคมไทยกำลังต้องการ “คนทำงานเชิงรุก” มากกว่า “คนรอรับเรื่อง” เขารับราชการตำรวจยาวนานกว่า 25 ปี ผ่านงานสอบสวน สืบสวน งานบริหารที่ต้องตัดสินใจเร็วภายใต้แรงกดดัน และงานเหล่านั้นทำให้เขาเข้าใจว่า หากระบบปล่อยให้ปัญหาสะสม การเยียวยาจะยิ่งยาก ต้นทุนยิ่งสูง และความเสียหายมักขยายวงเกินกว่าจะควบคุมได้ง่าย
“ภารกิจของ สคส. จึงไม่ควรรอให้ปัญหาเกิด” เพราะสิ่งที่ พ.ต.อ.สุรพงศ์ อยากผลักดันให้เป็นรูปธรรม คือกรอบการทำงานที่จับต้องได้ คือทำให้การคุ้มครองข้อมูลช่วยประชาชนได้ครบวงจรทั้ง ก่อนเกิดเหตุ (ลดความเสี่ยงและสร้างความตระหนักรู้), ขณะเกิดเหตุ (แจ้งเตือน–ระงับเหตุ–อุดช่องโหว่ให้เร็วที่สุด), และหลังเกิดเหตุ (มีช่องทางร้องเรียนและมาตรการบังคับใช้ที่ทำให้ผู้ควบคุมข้อมูลต้องรับผิดชอบ) เพราะถ้ารอให้เรื่องเกิดแล้วค่อยเริ่มต้น สคส. ก็จะวิ่งตามความเสียหายไม่ทัน และสุดท้ายประชาชนจะไม่รู้ว่าควรพึ่งใคร
จากวิธีคิดเชิงป้องกันที่ถูกนำมาใช้กับการขับเคลื่อน ได้เปลี่ยนให้ สคส. เป็นหน่วยงาน “เชิงรุก” มากขึ้น หนึ่งในกลไกสำคัญคือการใช้เทคโนโลยีเข้ามาช่วยเฝ้าระวังการเผยแพร่ข้อมูลส่วนบุคคลบนสื่อออนไลน์ หากพบการเปิดเผยข้อมูลอ่อนไหวหรือข้อมูลที่เกินความจำเป็น สำนักงานจะเร่งประสานและแจ้งเตือนไปยังหน่วยงานเจ้าของข้อมูลให้แก้ไขและระงับเหตุ เพื่อหยุดความเสียหายไม่ให้ลุกลาม โดยเฉพาะ “ช่วงต้น” ที่ทุกนาทีมีความหมาย
เขาอธิบายว่าเหตุละเมิดข้อมูลมักไม่จบในวันเดียว บางเคสต้องใช้เวลาสรุปเป็นเดือน แต่ใน 24 ชั่วโมงแรก ต้องทำให้ได้สองอย่างพร้อมกัน คือชี้แจงสาเหตุให้ชัด และ “อุดรูรั่ว–หยุดความเสียหาย” ให้ได้ก่อน เพราะข้อมูลที่หลุดไปแล้วอาจถูกส่งต่อหรือถูกนำไปใช้ซ้ำได้เรื่อย ๆ แต่ถ้ารู้ตัวว่าข้อมูลหลุด เขาให้หลักง่าย ๆ ที่คนทั่วไปทำตามได้ทันที: เริ่มจากรู้ให้ได้ก่อนว่าหลุดจากสาเหตุอะไรและมาจากใคร ถ้าหลุดจากการกระทำของเราเองก็รีบแก้ทันที แต่ถ้าหลุดจากหน่วยงานที่เราเคยให้ข้อมูลไว้ ให้แจ้งหน่วยงานนั้นเพื่อแก้ไขและระงับความเสียหายก่อน หากหน่วยงานไม่ดำเนินการหรือความเสียหายรุนแรง สามารถร้องเรียนหรือขอคำปรึกษาจาก สคส. ได้ เพื่อพิจารณามาตรการตามกฎหมาย เพราะการหยุดความเสียหายให้ไว สำคัญกว่าการถกเถียงว่าใครผิดใครถูกในชั่วโมงแรก ๆ
อีกความท้าทายของ สคส. คือทำให้ทุกคน “เข้าใจตรงกัน” ว่าหน้าที่ด้านข้อมูลส่วนบุคคลไม่ใช่ภาระของหน่วยงานใดหน่วยงานหนึ่ง แต่เป็นความรับผิดชอบร่วมของทุกคนที่เกี่ยวข้องกับข้อมูล ทั้งรัฐ เอกชน และประชาชน ดังนั้น คำว่า “สมดุล” จึงเป็นคำที่เขาพูดบ่อย เพราะถ้าเน้นส่งเสริมอย่างเดียว คนจำนวนหนึ่งจะไม่ระวังจนเกิดเหตุขึ้นกับตัวเอง แต่ถ้าเน้นบังคับใช้อย่างเข้มเกินไป ก็จะกลายเป็นแรงกดดันที่ทำให้ระบบเดินต่อยาก เป้าหมายของ สคส. ไม่ใช่การทำให้คนกลัวกฎหมาย แต่ทำให้เกิดความร่วมมือทั้งระบบ ลดผู้กระทำผิดไปพร้อมกับยกระดับมาตรฐานการดูแลข้อมูลให้เป็น “วัฒนธรรมการทำงาน”
ดังนั้น เมื่อสร้างวัฒนธรรมให้เกิดขึ้นได้แล้ว หมุดหมายสำคัญที่สุดที่ เลขาธิการ สคส. มอง คือการผลักดันให้ประเทศไทยเข้าใกล้มาตรฐานการโอนย้ายข้อมูลระหว่างประเทศ โดยเฉพาะการผลักดันสู่การเป็นภาคี Global Cross-Border Privacy Rules (Global CBPR) ซึ่งเขามองว่าไม่ใช่เพียงเรื่องของกฎหมาย แต่คือการยกระดับโครงสร้างพื้นฐานของเศรษฐกิจดิจิทัลทั้งระบบ—เมื่อประเทศมีมาตรฐานที่ชัดเจนและเป็นที่ยอมรับ ความเชื่อมั่นของนักลงทุนและคู่ค้าจะเพิ่มขึ้น ความกังวลในการนำเทคโนโลยีและนวัตกรรมใหม่เข้ามาดำเนินธุรกิจในไทยจะลดลง และขีดความสามารถในการแข่งขันของประเทศจะถูกยกระดับอย่างเป็นรูปธรรม
ในวันข้างหน้า สิ่งที่เขาอยากเห็นคือ “ความเปลี่ยนแปลงที่จับต้องได้” ทั้งในเชิงมาตรฐานด้านกฎหมายและจำนวนหน่วยงานที่ได้รับการรับรองด้านความปลอดภัยของข้อมูล เพราะนั่นจะเป็นหลักฐานว่าประเทศไทยสามารถให้ความสำคัญกับการคุ้มครองข้อมูลได้จริง โดยไม่สร้างภาระเกินจำเป็น และทำให้คำว่า PDPA ไม่ถูกมองเป็นอุปสรรค แต่เป็นเครื่องมือที่พาประเทศเดินหน้า
ท้ายที่สุด สิ่งที่ทำให้คำพูดของ พ.ต.อ.สุรพงศ์ มีน้ำหนัก ไม่ได้อยู่ที่ความตั้งใจสร้าง “โครงสร้างพื้นฐาน” เพียงอย่างเดียว แต่อยู่ที่คติชีวิตที่เขาพูดเรียบ ๆ ว่า ถ้าเกิดมาแล้วได้ทำงานที่เป็นประโยชน์กับสังคมมากเท่าไหร่ ชีวิตก็ยิ่งมีคุณค่ามากเท่านั้น
และในสายตาของเขา งานคุ้มครองข้อมูลส่วนบุคคลคือ “การสร้างประโยชน์อย่างแท้จริง” เพราะเกี่ยวกับเศรษฐกิจ สังคม และเทคโนโลยีในคราวเดียว เป็นงานที่ป้องกันความเสียหายตั้งแต่ต้นทาง ทำให้การค้าและนวัตกรรมเดินหน้าได้อย่างมั่นใจ และทำให้ประเทศมี “ทุนความเชื่อมั่น” เพียงพอสำหรับโลกดิจิทัลที่เปลี่ยนเร็วขึ้นทุกวัน
