เมื่อหน่วยข่าวกรองของอังกฤษไม่มีอำนาจในการใช้มาตรการการเฝ้าระวัง
แม้คดีนี้จะเกิดขึ้นในสหภาพยุโรป แต่ท่านผู้อ่านจะเห็นได้ว่ามีหลาย ๆ ประเทศที่เป็นต้นแบบประชาธิปไตย และระบบกฎหมายมหาชนเข้าเป็นคู่กรณี
Cap & Corp Forum
การเฝ้าติดตามพฤติกรรมโดยรัฐ : เมื่อหน่วยข่าวกรองของอังกฤษไม่มีอำนาจในการใช้มาตรการการเฝ้าระวัง
- คดีนี้เป็นการต่อสู้ระหว่าง “มาตรการทางกฎหมายเพื่อความมั่นคงและความปลอดภัยสาธารณะ” กับ “การคุ้มครองสิทธิขั้นพื้นฐานของประชาชน และสิทธิในความเป็นส่วนตัวของข้อมูลส่วนบุคคล” ซึ่งศาลต้องชั่งประโยชน์สาธารณะข้างต้นว่า มาตรการของหน่วยงานรัฐนั้นอยู่ในกรอบและนโยบายของกฎหมายที่เหมาะสมหรือไม่
- หน่วยงานของรัฐมีอำนาจก้าวล่วงสิทธิขั้นพื้นฐานของประชาชนได้ แต่มาตรการดังกล่าว ต้องอยู่ภายใต้การคุ้มครองสิทธิขั้นพื้นฐานของประชาชนอย่างเหมาะสมด้วย และกฎหมายเพื่อความมั่นคงดังกล่าว ต้องได้สัดส่วนและไม่ละเมิดสาระสำคัญแห่งสิทธิขั้นพื้นฐานของบุคคลเกินสมควร
- การดำเนินการตามกฎหมายฉบับหนึ่ง อาจละเมิดคุณค่าที่เหนือกว่ากฎหมายฉบับนั้นที่บัญญัติไว้ในกฎหมายฉบับอื่น ๆ ได้
เมื่อวันที่ 6 ตุลาคม 2563 ศาลยุติธรรมแห่งสหภาพยุโรป (European Court of Justice, ECJ)โดยที่ประชุมใหญ่ (Grand Chamber) ได้วินิจฉัยในประเด็นสำคัญของคดี ที่ศาลแห่งรัฐสมาชิกได้ส่งคำร้องขอให้ศาลวินิจฉัยปัญหาข้อกฎหมายเบื้องต้น (preliminary reference)ในประเด็นความชอบด้วยกฎหมายของกฎหมายภายในของรัฐสมาชิกเกี่ยวกับการใช้มาตรการเฝ้าติดตามพฤติกรรม (public surveillance)โดยกำหนดให้ผู้ให้บริการโทรคมนาคม (electronic communication service providers) ต้องจัดส่งข้อมูลการใช้งาน (traffic data) และข้อมูลสถานที่ (location data) ของผู้ใช้บริการไปให้หน่วยงานที่มีอำนาจในลักษณะของการเก็บข้อมูลจำนวนมากโดยไม่ระบุตัวบุคคลและเป็นการทั่วไป (mass surveillancein a general or indiscriminate way) ซึ่งศาลวินิจฉัยว่ามาตรการตามกฎหมายดังกล่าว ขัดกับหลักการพื้นฐานด้านสิทธิมนุษยชน และมาตรการดังกล่าวไม่มีความเหมาะสม และไม่มีความจำเป็นและเหมาะสมในความหมายอย่างแคบ (strictly necessary)
National Security v. Data Privacy
การสอดส่องข้อมูลของประชาชน และการใช้มาตรการเฝ้าระวัง เป็นเครื่องมือที่หลาย ๆ ประเทศนำมาใช้มากขึ้นเรื่อย ๆ โดยมีวัตถุประสงค์เพื่อการป้องกัน และป้องปรามอาชญากรรม (crime prevention) หรือการป้องกันภัยคุกคามจากการก่อการร้าย หรือความปลอดภัยของชาติ (national security) เป็นต้น เพื่อให้บรรลุวัตถุประสงค์ข้างต้นวิธีการที่หลายประเทศดำเนินการ คือ การให้ผู้ให้บริการโทรคมนาคมด้านอินเทอร์เน็ตและโทรศัพท์ ต้องจัดส่งข้อมูลของผู้ใช้บริการในปริมาณมาก (bulk collection) มายังหน่วยงานรัฐ โดยข้อมูลจำนวนมากของผู้ใช้บริการนั้นไม่มีการระบุตัวบุคคล และไม่มีการเลือกกลุ่มเป้าหมายแต่อย่างใด (general and indiscriminate)โดยกรณีศึกษานี้นำมาจากข้อเท็จจริงในคดี C-623/17 Privacy International (6 ตุลาคม 2563) ที่ศาลยุติธรรมแห่งสหภาพยุโรป วินิจฉัยปัญหาข้อกฎหมายที่เกิดขึ้นในประเทศอังกฤษว่ากฎหมายของประเทศอังกฤษ ชอบด้วยกฎหมายของสหภาพยุโรปหรือไม่ โดยรัฐบาลอังกฤษอ้างว่า ประเด็นความปลอดภัยของชาติ (national security) ไม่อยู่ภายใต้เงื่อนไขของ Directive on privacy and electronic communications (Directive) ซึ่งเป็นกฎหมายว่าด้วยการคุ้มครองความเป็นส่วนตัวของข้อมูลการสื่อสารในระบบโทรคมนาคม
ข้อเท็จจริงในคดีนี้ สืบเนื่องจากการที่หน่วยข่าวกรองและหน่วยงานด้านความมั่นคงของอังกฤษ อาทิ Secret Intelligence Service หรือ MI6 และ Security Service หรือ MI5 ได้ใช้อำนาจตามกฎหมายของอังกฤษได้แก่ Telecommunications Act 1984 และ Regulation of Investigatory Powers Act 2000 ในการสั่งให้ผู้ให้บริการโทรคมนาคมส่งมอบข้อมูลของผู้ใช้บริการทั้งหมดเกี่ยวกับการใช้ อาทิ ปลายทางที่ติดต่อ สถานที่ติดต่อ ระยะเวลาการสนทนา เป็นต้น ให้กับหน่วยงานเหล่านั้นโดยเป็นลักษณะของการขอที่ไม่ระบุวัตถุประสงค์ของการนำไปใช้งาน ไม่ได้ระบุกลุ่มเป้าหมาย อีกทั้งไม่มีกำหนดระยะเวลาการดำเนินการ และระยะเวลาที่ต้องการเก็บข้อมูลดังกล่าวไว้ (bulk communication data) ซึ่งในทางปฏิบัติแล้ว ข้อมูลการใช้งานเหล่านี้จะถูกนำมาตรวจสอบด้วยกระบวนการทางเทคโนโลยี เพื่อตรวจหาความผิดปกติของการใช้งาน พฤติกรรมน่าสงสัย หรือข้อมูลที่อาจชี้ไปยังผู้ก่อการร้ายได้ ซึ่งข้อเท็จจริงในคดีปรากฎว่า MI6 ได้ดำเนินการขอข้อมูลลักษณะดังกล่าวมาตั้งแต่ปี 2544 ในขณะที่ MI5 เริ่มดำเนินการมาตั้งแต่ปี 2548
การดำเนินการของหน่วยงานด้านความมั่นคงของอังกฤษข้างต้น เพิ่งถูกเผยแพร่เมื่อต้นปี 2558 เมื่อคณะกรรมาธิการคณะหนึ่งในสภาผู้แทนราษฎรของอังกฤษได้เปิดเผยข้อเท็จจริงข้างต้นต่อสาธารณะ ต่อมาเมื่อวันที่ 8 มิถุนายน 2558 Privacy International ซึ่งเป็นองค์กรเอกชนที่ไม่แสวงหากำไรได้นำประเด็นดังกล่าวร้องต่อ Investigatory Powers Tribunal ซึ่งมีสถานะเป็นองค์กรตุลาการ มีอำนาจในการพิจารณาข้อร้องเรียนเกี่ยวกับการกระทำของหน่วยงานรัฐที่เกี่ยวเนื่องกับการใช้มาตรการสอดแนม และการเฝ้าระวัง โดยในการร้องเรียนครั้งนี้ มีทั้ง MI5 และ MI6 และหน่วยงานด้านความมั่นคงอื่น ๆ ของอังกฤษตกเป็นคู่กรณีถึงพฤติกรรมการสอดแนมโดยไม่ชอบด้วยกฎหมายดังกล่าว ด้วยการเข้าถึง ใช้ เปิดเผย เก็บรวบรวมและลบข้อมูลต่าง ๆ ของผู้ใช้บริการโทรคมนาคมจำนวนมาก โดย Privacy International ยกประเด็นต่อสู้สำคัญว่า หน่วยงานรัฐดำเนินการดังกล่าวข้างต้นโดยไม่มีมาตรการที่เหมาะสมในการคุ้มครองสิทธิของผู้ใช้บริการตามที่กำหนดใน Directive และแนวคำวินิจฉัยของศาลในคดีก่อน ในขณะที่ฝ่ายรัฐบาลอังกฤษอ้างว่า ในกรณีนี้เป็นมาตรการด้านความมั่นคงของชาติ อยู่นอกกรอบของกฎหมายสหภาพยุโรปที่ใช้บังคับ และในระหว่างกระบวนการพิจารณาเมื่อวันที่ 8 กันยายน 2560 Investigatory Powers Tribunal ได้ส่งคำร้องไปยังศาลยุติธรรมแห่งสหภาพยุโรปเพื่อพิจารณาว่า กฎหมายของอังกฤษขัดหรือแย้งกับกฎหมายสหภาพยุโรปหรือไม่
มีข้อน่าสังเกตว่า ในคดีนี้ (C-623/17) นอกจากคู่กรณีจะมีฝ่ายรัฐบาลอังกฤษ และ Privacy International แล้ว ยังมีรัฐบาลของอีกหลายประเทศในสหภาพยุโรปได้ยื่นคำร้องเข้ามาในคดี เพื่อให้ข้อเท็จจริงต่อศาลประกอบการพิจารณา อาทิ รัฐบาลฝรั่งเศส ฮังการี โปแลนด์ ไอร์แลนด์ และสวีเดน เป็นต้น โดยต่างสนับสนุนความเห็นของรัฐบาลอังกฤษว่า รัฐสมาชิกสามารถตรากฎหมาย และกำหนดมาตรการเพื่อความมั่นคงปลอดภัยของชาติได้ (national security) และกฎหมายดังกล่าวไม่อยู่ในอำนาจของกฎหมายของสหภาพยุโรป และมีอีกหลาย ๆ ประเทศที่ร้องสอดเข้ามาในคดี เนื่องจากผลแห่งคดีย่อมกระทบต่อกฎหมายภายในของประเทศตนเองเช่นกัน อาทิ เยอรมัน สเปน เนเธอร์แลนด์ นอรเวย์ เบลเยี่ยม ฯลฯ
ศาลยุติธรรมแห่งสหภาพยุโรป พิจารณากฎหมายต่าง ๆ ของสหภาพยุโรปที่เกี่ยวข้อง และกฎหมายภายในของอังกฤษที่ให้อำนาจแก่หน่วยงานรัฐในการเข้าถึงข้อมูลของประชาชนแล้ว มีความเห็นว่า ประเทศสมาชิกอาจใช้มาตรการที่ต่างไปจากหลักการที่ว่า “การสื่อสารและข้อมูลการสื่อสารที่เกี่ยวข้องต้องเป็นความลับ” (communications and the related traffic data are to be confidential) ในกรณีที่มาตรการนั้น “จำเป็น เหมาะสม และได้สัดส่วน” (necessary, appropriate and proportionate) ภายใต้หลักการของสังคมประชาธิปไตยตามวัตถุประสงค์ที่กำหนดไว้อย่างชัดแจ้ง โดยมาตรการนั้นต้องได้สัดส่วนอย่างเคร่งครัดตามวัตถุประสงค์ที่กำหนดไว้ (strictlyproportionate to the intended purpose) และเพื่อให้เป็นไปตามหลักความได้สัดส่วน กฎหมายที่ให้อำนาจแก่เจ้าหน้าที่รัฐในการประมวลข้อมูลส่วนบุคคลนั้น ต้องกำหนดหลักเกณฑ์ที่ชัดเจนและมีมาตรการป้องกัน เพื่อให้บุคคลที่ข้อมูลส่วนบุคคลได้รับผลกระทบ มีหลักประกันเพียงพอว่า การแทรกแซงหรือก้าวล่วงความเป็นส่วนตัว จะจำกัดเฉพาะในสิ่งที่จำเป็น เท่านั้น
GDPR v. National security
ศาลยุติธรรมแห่งสหภาพยุโรปได้ยืนยันในหลักการอีกครั้งด้วยว่า แม้ว่าตามมาตรา 23 ของ GDPR กำหนดให้รัฐสมาชิกอาจผ่อนคลายเงื่อนไขหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล และผู้ประมวลผลข้อมูลส่วนบุคคล และการคุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคลลงได้บางประการ หากเป็นกรณีเกี่ยวกับความปลอดภัยของชาติ การทหาร หรือการป้องกันอาชญากรรม เป็นต้น แต่มาตรการใด ๆ ของหน่วยงานรัฐ หรือกฎหมายเหล่านั้นที่ให้อำนาจ ก็ยังคงต้องคำนึงถึงสาระสำคัญของสิทธิขั้นพื้นฐาน และเสรีภาพของประชาชนด้วย อีกทั้งต้องเป็นไปตามหลักความจำเป็น และได้สัดส่วนในสังคมประชาธิปไตย
คดีนี้ยังเป็นการยืนยันด้วยว่า การที่หน่วยงานของรัฐจะปฏิบัติต่อบุคคลใดในฐานะผู้ต้องสงสัยนั้น กระบวนการรวบรวม หรือการเก็บข้อมูลส่วนบุคคลของประชาชนจำนวนมากนั้น ก็ต้องเคารพสิทธิขั้นพื้นฐานในด้านความเป็นส่วนตัว การปกป้องข้อมูลส่วนบุคคล เสรีภาพในการแสดงความคิดเห็นตามที่รับรองไว้ในกฎบัตรสิทธิขั้นพื้นฐานของสหภาพยุโรปด้วย
ผลกระทบจากคำตัดสินในภาพรวม
ในวันเดียวกันนี้ นอกจากหน่วยข่าวกรอง และหน่วยงานด้านความมั่นคงของอังกฤษ จะต้องเผชิญกับข้อจำกัดในการใช้มาตรการสอดแนมประชาชนแล้ว คดีนี้ก็ยังมีผลทำให้ประเทศอื่น ๆ ในสหภาพยุโรป ไม่สามารถใช้มาตรการสอดแนมแบบเป็นการทั่วไป และไม่จำกัดเงื่อนไข และช่วงเวลาได้อีกด้วย นอกจากนี้ในวันเดียวกันนี้ การใช้มาตรการสอดแนม หรือขอข้อมูลจากผู้ให้บริการโทรคมนาคมเพื่อวัตถุประสงค์ในการป้องกันและป้องปรามอาชญากรรม โดยหน่วยงานของรัฐบาลฝรั่งเศส ก็ถูกศาลตัดสินว่า ทำไม่ได้เช่นกัน โดยเหตุผลทำนองเดียวกันกับคดีที่กล่าวมาข้างต้น
ผู้อำนวยฝ่ายกฎหมายของ Privacy International กล่าวว่า การตัดสินของศาลในวันนี้ ช่วยตอกย้ำหลักนิติธรรมในนสหภาพยุโรปในช่วงเวลาที่ยุ่งเหยิง คดีนี้ ถือเป็นเครื่องเตือนใจว่า ไม่มีรัฐบาลใดอยู่เหนือกฎหมาย ในสังคมประชาธิปไตย รัฐต้องกำหนดขอบเขต และควบคุมอำนาจการสอดส่องของตำรวจ และหน่วยข่าวกรอง แม้ว่าตำรวจ และหน่วยข่าวกรองจะมีบทบาทสำคัญมากในการรักษาความปลอดภัยให้ประชาชน แต่หน่วยงานเหล่านี้ ก็ต้องปฏิบัติตามมาตรการป้องกันบางอย่าง เพื่อป้องกันการใช้อำนาจในทางที่บิดเบือน ระบบเฝ้าระวังนั้น ต้องมีประสิทธิภาพ และกำหนดกลุ่มเป้าหมาย ซึ่งจะเป็นการปกป้องทั้งความปลอดภัย และสิทธิขั้นพื้นฐานของประชาชน
แม้คดีนี้จะเกิดขึ้นในสหภาพยุโรป แต่ท่านผู้อ่านจะเห็นได้ว่ามีหลาย ๆ ประเทศที่เป็นต้นแบบประชาธิปไตย และระบบกฎหมายมหาชนเข้าเป็นคู่กรณี ซึ่งแม้ประเทศเหล่านั้นจะให้ความสำคัญกับการคุ้มครองสิทธิของประชาชนเป็นอย่างมากแล้วก็ตาม ก็ยังอาจดำเนินมาตรการที่ฝ่าฝืนต่อคุณค่าของสิทธิขั้นพื้นฐานของประชาชนได้ การมีองค์กรศาลที่เป็นอิสระ เพื่อทำการตรวจสอบการใช้อำนาจ จึงเป็นเรื่องสำคัญอย่างยิ่ง และสังคมต้องร่วมกันสร้างความตระหนักรู้ว่า การมีกฎหมายให้กระทำการก้าวล่วงสิทธิของบุคคลได้ ไม่ได้หมายความว่า หน่วยงานรัฐจะไม่ต้องคำนึงถึงสิทธิขั้นพื้นฐาน หรือชั่งประโยชน์อื่น ๆ เพื่อใช้มาตรการทางกฎหมายที่เหมาะสมเลย
…
ศุภวัชร์ มาลานนท์
คณะนิติศาสตร์ มหาวิทยาลัยสงขลานครินทร์
Max Planck Institute Luxembourg
ชิโนภาส อุดมผล
Optimum Solution Defined (OSDCo., Ltd.)