บทนำ

          การพัฒนาเศรษฐกิจและสังคมของประเทศไทยที่ผ่านมาได้เน้นการกระจายความเจริญและความอยู่ดีกินดีของประชาชน ด้วยการพัฒนาภาคการเกษตรและภาคอุตสาหกรรม การผลิตเป็นหลัก ในขณะที่วิวัฒนาการทางสังคมได้เปลี่ยนแปลงไปอย่างรวดเร็วในรอบหลายทศวรรษที่ผ่านมา โดยเฉพาะอย่างยิ่ง ระบบข่าวสาร ข้อมูลและความรู้ใหม่ๆ ที่หลั่งไหลเข้ามาในภาคเศรษฐกิจและสังคม

          เป็นที่ประจักษ์ชัดว่าปรากฏการณ์ของสังคมสารสนเทศดังกล่าวเกิดขึ้นเนื่องจากความเจริญก้าวหน้าทางเทคโนโลยี โดยเฉพาะอย่างยิ่ง เทคโนโลยีคอมพิวเตอร์ เทคโนโลยีสื่อสารโทรคมนาคม ทำให้ธุรกิจและอุตสาหกรรมต่างๆ จะต้องพึ่งพิงเทคโนโลยีสารสนเทศ (Information Technology) เหล่านี้เพื่อความได้เปรียบ เชิงแข่งขันมากยิ่งขึ้น

          ด้วยเทคโนโลยีการสื่อสารและสารสนเทศทำให้การพาณิชย์อิเลคทรอนิกส์เติบโตขึ้นอย่างรวดเร็ว ส่งผลให้การเสนอขายสินค้า การตกลงทำสัญญาซื้อขายสินค้า และการชำระเงินสามารถทำได้อย่างง่ายทางอิเล็กทรอนิกส์

          ฉะนั้นในยุคสังคมสารสนเทศข้อมูลข่าวสารนับว่ามีบทบาทสำคัญในระบบเศรษฐกิจ ซึ่งกิจกรรมทางเศรษฐกิจส่วนใหญ่จะอาศัยข้อมูลข่าวสารมาเป็นพื้นฐานในการตัดสินใจเพื่อดำเนินการอย่างใดอย่างหนึ่ง ฉะนั้นปัจจุบันข้อมูลที่มีการประมวลผล การส่งหรือการโอนข้อมูลระหว่างกันอย่างแพร่หลายและมีปริมาณที่มากคือ ข้อมูลส่วบุคคล เนื่องจากในการดำเนินการต่างๆไม่ว่าโดยหน่วยงานของรัฐหรือเอกชน ต่างมีความจำเป็นที่ต้องประมวลผล และส่งข้อมูลส่วนบุคคลคนอยู่ตลอดเวลา รวมไปถึงการดำเนินธุรกิจโดยทางพาณิชย์อิเล็กทรอนิกส์มีความสำคัญในการสร้างโอกาสทางการแข่งขัน ทำให้มีความจำเป็นต้องใช้ข้อมูลส่วนบุคคลมาใช้ประกอบกับการดำเนินธุรกรรมต่างๆ ซึ่งก่อให้เกิดการประยุกต์ใช้ทั้งด้านเศรษฐกิจและสังคมอย่างกว้างขวาง อันมีผลทำให้เกิดประสิทธิภาพในการทำงาน รวมถึงทำให้ธุรกิจสามารถเชื่อมโยงการทำงานได้อย่างรวดเร็วและมีการดำเนินงานอย่างเป็นระบบ อย่างไรก็ตามการก็มิได้มีแต่ประโยชน์เท่านั้น แต่อาจเกิดผลเสียได้ เช่นมีการละเมิดข้อมูลส่วนบุคคลเป็นจำนวนมาก  โดยเฉพาะการนำข้อมูลส่วนบุคลไปใช้ให้เกิดความเสียหาย

          ในหลายประเทศทั่วโลกได้มีการตื่นตัวต่อการพัฒนากฎหมายเทคโนโลยีสารสนเทศและได้เล็งเห็นถึงความสำคัญของกฎหมาย จึงได้จัดทำและมีกฎหมายดังกล่าวใช้บังคับเพื่อให้เป็นโครงสร้างพื้นฐาน อย่างไรก็ดีหากพิจารณาถึงสภาพของสังคมไทยในปัจจุบันจะเห็นได้ว่าประเทศไทยมีปัญหาโดยพื้นฐานดังต่อไปนี้
          1. ปัญหาในทางการค้าระหว่างประเทศ เนื่องจากไม่มีโครงสร้างพื้นฐานทางกฎหมายที่จะเอื้ออำนวยให้การทำธุรกรรมทางการค้าสามารถดำเนินไปอย่างสะดวกรวดเร็ว

          2. ปัญหาในการสร้างแรงจูงใจ การที่ประเทศมีกฎหมายที่ได้มาตรฐานในการประกอบพาณิชย์อิเล็กทรอนิกส์ เช่น กฎหมายแลกเปลี่ยนข้อมูลทางอิเล็กทรอนิกส์
          3. ปัญหาในการสร้างความเชื่อมั่น กฎหมายคุ้มครองข้อมูลข่าวสาร (Data Protection Law)

          4. ปัญหาในการพัฒนาเทคโนโลยีและการถ่ายทอดเทคโนโลยี มีความจำเป็นอย่างยิ่งที่ประเทศจะต้องมีกลไกทางกฎหมาย ที่จะเอื้ออำนวยและสนับสนุนให้มีการพัฒนาเทคโนโลยีของชาติ รวมทั้งการส่งเสริมให้มีการถ่ายทอดเทคโนโลยีจากต่างชาติ
          ดังนั้นประเทศไทยในฐานะที่เป็นประเทศหนึ่งที่อยู่ในระหว่างการพัฒนากฎหมายคุ้มครองข้อมูลส่วนบุคคล ซึ่งมีการยกร่างพระราชบัญญัติว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลพ.ศ. แล้ว โดยที่เมื่อวันที่ 1 สิงหาคม 2549 คณะรัฐมนตรีได้อนุมัติหลักการ ร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. .... แล้ว และให้ส่งสำนักงานคณะกรรมการกฤษฎีกาตรวจพิจารณาต่อไป

          สำหรับบทความนี้จะเป็นการพูดถึงความเป็นมา ความคืบหน้า  และเหตุผลความจำเป็นที่ประเทศไทยจะต้องมีการร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลและศึกษาถึงแนวทางคุ้มครองข้อมูลส่วนบุคคลขององค์การระหว่างประเทศและกฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศอื่น เพื่อนำมาเปรียบเทียบและวิเคราะห์ความเห็นจากร่างพระราชบัญญัติดังกล่าว

 

บทที่ 1 ความเป็นมา ความคืบหน้าร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล

          ปัจจุบันประเทศไทยมีการคุ้มครองข้อมูลส่วนบุคคล โดยบทบัญญัติของ พ.ร.บ.ข้อมูลข่าวสารของราชการ พ.ศ.2540 แต่เนื่องจากใช้บังคับเฉพาะในหน่วยงานของรัฐเท่านั้น ไม่ครอบคลุมข้อมูลส่วนบุคคลที่อยู่ในภาคเอกชน เช่น ข้อมูลในธนาคารพาณิชย์ ข้อมูลในโรงพยาบาลเอกชน ข้อมูลพนักงานลูกจ้างในบริษัทห้างร้านเอกชนต่างๆ ข้อมูลลูกค้า ข้อมูลสมาชิกกิจกรรมทางธุรกิจ ข้อมูลของผู้สมัครเป็นสมาชิกบัตรต่างๆ           นอกจากนี้ ในปัจจุบันปัญหาการล่วงละเมิดข้อมูลส่วนบุคคลมีอยู่เป็นจำนวนมาก โดยเฉพาะการนำไปใช้ประโยชน์ เปิดเผยหรือเผยแพร่จนทำให้เกิดความเสียหาย เพื่อให้การคุ้มครองและลดช่องว่างของกฎหมายที่มีอยู่ จึงควรมีบทบัญญัติของกฎหมายที่มีลักษณะเป็นกฎหมายกลาง เพื่อขยายขอบเขตการคุ้มครองสิทธิและเสรีภาพให้ครอบคลุมข้อมูลส่วนบุคคลทั้งหมดโดยเฉพาะ        

คณะกรรมการข้อมูลข่าวสารของราชการ (กขร.) ได้มอบหมายให้ สขร. ศึกษาและเตรียมการดำเนินงานเพื่อการคุ้มครองข้อมูลส่วนบุคคลของประชาชน และได้ยกร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลขึ้นในที่สุดโดย กขร.ได้พิจารณาให้ความเห็นชอบร่างกฎหมายดังกล่าวและได้เสนอต่อคณะรัฐมนตรีเมื่อ 30 กันยายน 2548 โดยร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลมีสาระสำคัญดังนี้

          1. มี "คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล" และอำนาจหน้าที่ของคณะกรรมการ

          2. จัดตั้งสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเป็นสำนักงานใน สขร.

          3. กำหนดหลักเกณฑ์ เงื่อนไข และวิธีการเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล ได้แก่ การเก็บรวบรวม การใช้และการเปิดเผย รวมทั้งการเก็บรักษาการแก้ไขและการโอนข้อมูลส่วนบุคคล

          4. กำหนดสิทธิของเจ้าของข้อมูลส่วนบุคคล

          5. กำหนดความรับผิดทางแพ่ง และบทลงโทษทางอาญาสำหรับผู้ก่อให้เกิดความเสียหายแก่เจ้าของข้อมูลส่วนบุคคล

          เมื่อ 1 สิงหาคม 2549 คณะรัฐมนตรีได้อนุมัติหลักการ ร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. .... แล้ว และให้ส่งสำนักงานคณะกรรมการกฤษฎีกาตรวจพิจารณาต่อไป

สังคมไทยอาจยังมีความรู้ความเข้าใจและมีความตื่นตัวในเรื่องการคุ้มครองสิทธิในข้อมูลส่วนบุคคลค่อนข้างน้อย แต่โดยที่สิทธิความเป็นอยู่ในส่วนตัวเป็นสิทธิขั้นพื้นฐานที่ต้องได้รับการคุ้มครอง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล จึงเป็นกลไกสำคัญในการคุ้มครองสิทธิพื้นฐานของประชาชน

บทที่ 2 สาระสำคัญ เหตุผล และความจำเป็นในการยกร่างกฎหมายคุ้มครองข้อมูลส่วนบุคคล          

  สาระสำคัญของกฎหมายคุ้มครองข้อมูลส่วนบุคคล
          ร่างพระราชบัญญัติว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลได้กำหนดสาระสำคัญในการให้ความคุ้มครองสิทธิในข้อมูลส่วนบุคคลไว้ดังนี้

·        หลักกการประมวลผลข้อมูล           ร่างพระราชบัญญัตินี้ได้กำหนดวิธีการประมวลผลข้อมูลส่วนบุคคล สามารถกระทำได้โดยวิธีการทางอิเล็กทรอนิกส์ วิธีการอัตโนมัติ หรือวิธีการอื่นใดซึ่งหมายถึงวิธีที่มิใช่วิธีการทางอิเล็กทรอนิกส์ ในการจัดเก็บรวบรวม บันทึก จัดหมวดหมู่ ฯลฯ โดยจะกระทำมิได้เว้นแต่ได้รับความยินยอมจากเจ้าของข้อมูลและภายใต้วัตถุประสงค์การประมวลผล

·        ผู้ควบคุมข้อมูล           ร่างพระราชบัญญัตินี้ ได้กำหนดผู้ที่เป็นผู้ควบคุมมีหน้าที่คือต้องเก็บรวบรวมข้อมูลเท่าที่จำเป็นกับวัตถุประสงค์ที่จะใช้หรือเปิดเผย ข้อมูลส่วนบุคคลที่จะใช้หรือเปิดเผยจะต้องถูกต้อง ครบถ้วน ก่อนจะเก็บรวบรวมข้อมูลต้องมีการกำหนดวัตถุประสงค์อย่างใดอย่างหนึ่งที่แน่นอน ชัดเจน ในกรณีที่ใช้หรือเปิดเผยข้อมูลส่วนบุคคลแตกต่างไปจากวัตถุประสงค์ที่เก็บรวบรวมข้อมูลส่วนบุคคลไม่สามารถกระทำได้ เว้นแต่ได้รับความยินยอมของเจ้าของข้อมูลหรือผู้แทน หรือโดยอำนาจของกฎหมาย รักษาความปลอดภัยข้อมูลส่วนบุคคล ต้องเปิดเผยข้อมูลทั่วไปเกี่ยวกับการเก็บรวบรวม การเก็บรักษา และการใช้หรือเปิดเผยข้อมูลส่วนบุคคล ยอมรับสิทธิในการเข้าถึงและสิทธิในการแก้ไขข้อมูลของเจ้าของข้อมูลส่วนบุคคล

·       การประมวลผลข้อมูล

          ร่างพระราชบัญญัตินี้ ได้กำหนดให้มีการประมวลผลโดยชอบ และกำหนดวัตถุประสงค์ ขอบเขต ระยะเวลาฯลฯโดยชัดแจ้ง นอกจากนี้ยังกำหนดให้พยายามที่จัดเก็บข้อมูลโดยตรงจากเจ้าของข้อมูล รวมถึงการประมวลผลโดยมิได้รับความยินยอมจากเจ้าของข้อมูลโดยชัดแจ้งจะกระทำมิได้เว้นแต่มีกฎหมายอื่นกำหนดเป็นการเฉพาะ ผูกพันตามสัญญา เพื่อการวิจัย ฯลฯ

·        การคุ้มครองเจ้าของข้อมูล           ร่างพระราชบัญญัตินี้ ได้กำหนดสิทธิของเจ้าของข้อมูล คือ สิทธิในการรับทราบรายละเอียดบางประการ เช่น สิทธิในการได้รับแจ้งวัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคล สิทธิในการเข้าถึงเพื่อตรวจสอบและแก้ไขข้อมูลส่วนบุคคลของตนเอง สิทธิในการร้องเรียนต่อคณะกรรมการและการเรียกร้องค่าเสียหาย

·        ความปลอดภัยของข้อมูลที่มีการประมวลผล           ร่างพระราชบัญญัตินี้ ได้กำหนดให้ข้อมูลส่วนบุคคลต้องได้รับการประมวลผล จัดเก็บและควบคุมโดยคำนึงถึงมาตรฐานทางเทคโนโลยี และมาตรการความปลอดภัยอย่าวเหมาะสม โดยจะต้องเป็นขั้นต่ำตามที่คณะกรรมการประกาศกำหนดไว้ และการประมวลผลสิ้นสุดลงเมื่อผู้ประมวลผลหยุดการประมวลผลและผู้ควบคุมได้แจ้งให้คณะกรรมการทราบ

·        การเปิดเผยข้อมูลโดยทั่วไปและการเปิเผยข้อมูลเฉพาะเจาะจง           ร่างพระราชบัญญัตินี้ ได้กำหนดมิให้เปิดเผยข้อมูลส่วนบุคคลที่มีการประมวลผลโดยทั่วไปและโดยเฉพาะเจาะจง โดยปราศจากความยินยอมจากเจ้าของข้อมูลโดยชัดแจ้ง เว้นแต่เข้ากรณียกว้นที่สามารถกระทำได้

·        ข้อมูลห้ามประมวลผล           ร่างพระราชบัญญัตินี้ ได้กำหนดให้ข้อมูลบางประเภทไม่สามารถประมวลผลได้ เว้นแต่ได้รับความยินยอมเป็นลายลักษณ์อักษรจากเจ้าของข้อมูลและได้รับอนุญาตจากคณะกรรมการ

·        การส่งและโอนข้อมูลไปประเทศอื่น           ร่างพระราชบัญญัตินี้ ได้กำหนดให้การส่งหรือโอนข้อมูลส่วนบุคคลไปนอกราชอาณาจักรนั้นจะกระทำมิได้ เว้นแต่ผู้ควบคุมจะแจ้งให้คณะกรรมการทราบ และห้ามส่งหรือโอนข้อมูลส่วนบุคคลไปยังประเทศที่มิได้มีบทบัญญัติในการให้ความคุ้มครองข้อมูลส่วนบุคคล แต่ก็มีกรณียกเว้นที่สามารถส่งหรือโอนข้อมูลไปยังนอกราชอาณาจักรได้เช่นได้รับความยินยอมจากเจ้าของข้อมูลโดยชัดแจ้ง หรือรักษาผลประโยชน์สาธารณะ ฯลฯ

·        คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล           ร่างพระราชบัญญัตินี้ ได้กำหนดให้มีคณะกรรมการที่เรียกว่าคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล โดยมีคุณวุฒิหลายสาขาเช่นวิศวกรรม วิทยาการคอมพิวเตอร์ เศรษฐศาสตร์ นิติศาสตร์ ฯลฯ กำหนดคุณสมบัติของกรรมการ และการพ้นจากตำแหน่งของกรรมการ รวมถึงกำหนดอำนาจหน้าที่ของคณะกรรมการ เช่นกำหนดนโยบาย มาตรการ มาตรฐานการประมวลผล ตรวจสอบการดำเนินงานให้เป็นไปตามพระราชบญญัตินี้ และปฏิบัติการอื่นใดเพื่อเป็นไปตามวัตถุประสงค์ของพระราชบัญญัตินี้ ฯลฯ

·        การร้องเรียนและการอุทธรณ์           เป็นการกำหนดหลักเกณฑ์เกี่ยวกับการอุทธรณ์หรือเรียกร้องต่อคณะกรรมการ ในกรณีที่หน่วยงานดำเนินการใดๆกับข้อมูลส่วนบุคคลแล้วก่อให้เกิดความเสียหายต่อเจ้าของข้อมูล รวมทั้งกำหนดให้คณะกรรมการวางหลักเกณฑ์เพิ่มเติมได้ ·        บทกำหนดโทษ           เป็นการวางหลักเกณฑ์ที่เกี่ยวข้องกับความรับผิดทางแพ่งและทางอาญา ในกรณีที่เกิดความเสียหายขึ้นจากการดำเนินการที่มิชอบหรือฝ่าฝืนบทบัญญัติที่กฎหมายกำหนด   

ขอบเขตของร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล

เมื่อพิจารณาจากบทบัญญัติของร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล แล้วพบว่ามิได้ระบุจำกัดเอาไว้ว่าใช้เฉพาะวิธีการอย่างใดอย่างหนึ่ง ดังนั้น จึงตีความได้ว่า ร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ใช้บังคับกับทั้งการดำเนินการ ต่อข้อมูลส่วนบุคคลโดยวิธีการทั่วไปตามปกติโดยบุคคล และวิธีการอัตโนมัติหรือการประมวลผลด้วยอิเล็กทรอนิกส์

เหตุผลและความจำเป็นในการยกร่างกฎหมายคุ้มครองข้อมูลส่วนบุคคล        

    ในหลายประเทศตระหนักถึงความสำคัญและความจำเป็นในการตรากฎหมายหรือแนวทางเพื่อให้ความคุ้มครองสิทธิความเป็นส่วนตัวของประชาชาน ทั้งระดับประเทศหรือองค์การระหว่างประเทศ ฉะนั้นประเทศไทยมีความจำเป็นที่จะต้องบัญญัติกฎหมายคุ้มครองขอ้มูลส่วนบุคคล โดยมีเหตุผลสำคัญคือ
          1. ในปัจจุบันประเทศไทยยังไม่มีกฎหมายคุ้มครองข้อมูลส่วนบุคคล ทำให้ไม่มีหลักประกันในการคุ้มครองข้อมูลส่วนบุคคล ซึ่งเป็นสิทธิพื้นฐาน ในขณะที่หลายประเทศในแถบยุโรป อเมริกาใต้ ได้มีบทบัญญัติกฎหมายเพื่อมาคุ้มครองข้อมูลส่วนบุคคลและเยียวยาความเสียหายอันเกิดจากละเมิดความเป็นส่วนตัว
          2. จัดสร้างกลไกในการปกป้องข้อมูลส่วนบุคคล รักษาดุลยภาพของการคุ้มครองสิทธิของบุคคลในความเป็นส่วนตัว (Right of Privacy) เสรีภาพในการไหลเวียนของข้อมูลข่าวสาร (Free Flow of Information) และความมั่นคงของประเทศ (National Security) เพื่อเป็นโครงสร้างพื้นฐานสารสนเทศที่มั่นคงในยุคแห่งข้อมูลข่าวสารและในการปกครองระบอบประชาธิปไตย เนื่องจากเป็นกฎหมายที่อยู่บนพื้นฐานของเทคโนโลยีสารสนเทศ จึงมีความจำเป็นที่จะต้องอาศัยผู้เชี่ยวชาญในเทคโนโลยีดังกล่าว
          3. เพื่อสนับสนุนการทำธุรกรรมทางอิเล็กทรอนิกส์ ในปัจจุบันการพัฒนาการทางเทคโนโลยีสารสนเทศมีความก้าวหน้าอย่างรวดเร็ว ทำให้มีการนำเอาเทคโนโลยีมาประยุกต์ใช้ให้เกิดประโยชน์กับเศรษฐกิจและสังคมมากมาย โดยเฉพาะการประมวลผลข้อมูลส่วนบุคคลอันสามารถทำได้อย่างสะดวกและรวดเร็ว จึงมีความจำเป็นออกกฎหมายมาคุ้มครองข้อมูลส่วนบุคคล ซึ่งมีการใช้อย่างแพร่หลายในยุคสังคมสารสนเทศ  

บทที่ 3 แนวทางคุ้มครองข้อมูลส่วนบุคคลขององค์การระหว่างประเทศกับต่างประเทศ          

  สำหรับหลักพื้นฐานของกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลในระดับสากลนั้น มีหลักการสำคัญที่เป็นหัวใจของเรื่องอยู่ 9 ประการดังนี้          

          1.หลักข้อจำกัดในการเก็บข้อมูล ในการจัดเก็ยข้อมูลส่วนบุคคล ข้อมูลที่จัดเก็บจะต้องได้มาโดยวิธีการที่ถูกต้องและชอบด้วยกฎหมาย โดยจะต้องให้บุคคลที่เป็นเจ้าของข้อมูลรับทราบและยินยอมในการจัดเก็บข้อมูลนั้น โดยที่ผู้ที่มีอำนาจในการจัดเก็บและประมวลข้อมูลจะต้องกระทำอย่างจำกัดเท่าที่จำเป็น

          2. หลักคุณภาพของข้อมูล ข้อมูลส่วนบุคคลที่จัดเก็บควรมีความเกี่ยวข้องกับวัตถุประสงค์ในการใช้งาน และต้องเป็นข้อมูลถูกต้องสมบูรณ์ และปรับปรุงให้ตรงตามความเป็นจริงเสมอ

          3. หลักการกำหนดวัตถุประสงค์ ต้องมีการกำหนดวัตถุประสงค์ในการจัดเก็บข้อมูลส่วนบุคคลก่อนที่จะมีการจัดเก็บข้อมูลส่วนบุคคลนั้นหรือในเวลาที่ทำการประมวลผล ฉะนั้นการใช้ข้อมูลส่วนบุคคลในภายหลังสามารถกระทำได้เฉพาะเพื่อให้สำเร็จตามวัตถุประสงค์ หรือไม่ขัดกับวัตถุประสงค์

          4. หลักการใช้ข้อมูลอย่างจำกัด การใช้ข้อมูลจะกระทำโดยขัดต่อวัตถุประสงค์ในการจัดเก็บมิได้เว้นแต่ ได้รับความยินยอมจากบุคคลผู้เป็นเจ้าของข้อมูล หรือได้รับอนุญาติตามเงื่อนไขที่กฎหมายกำหนด

          5. หลักการรักษาความปลอดภัย ต้องจัดให้มีมาตรการรักษาความปลอดภัยในการจัดเก็บข้อมูลเพื่อป้องกันความเสี่ยง การเข้าถึง การทำลาย การใช้ เปลี่ยนแปลงแก้ไข หรือการเปิดเผยข้อมูลโดยไม่ได้รับอนุญาต

          6. หลักการเปิดเผยข้อมูล ต้องกำหนดวิธีการทั่วไปนากรเปิดเผยข้อมูล รูปแบบของการเปิดเผยข้อมูล หลักเกณฑ์ในการขอให้มีการเปิดเผยข้อมูล ซึ่งต้องไม่เป็นการกระทบต่อความเป็นอยู่ส่วนตัวของเจ้าของข้อมูล

          7. หลักการมีส่วนร่วมของเจ้าของข้อมูล กำหนดให้มีสิทธิต่างๆ ดังต่อไปนี้

              - ได้รับการแจ้งว่ามีข้อมูลของตนจัดเก็บอยู่

              - ตรวจสอบข้อมูลของตนที่มีผู้จัดเก็บ

              - ขอให้แก้ไขข้อมูลที่ไม่ถูกต้อง

              - ปฏิเสธในการจัดเก็บข้อมูลของตน

          8. หลักความรับผิด กำหนดความรับผิดในกรณีที่มีการละเมิดข้อมูลส่วนบุคคล

          9. หลักข้อจำกัดในการส่งหรือโอนข้อมูลส่วนบุคคลให้แก่บุคคลอื่นข้ามพรมแดน ซึ่งเป็นการป้องกันการโอนข้อมูลส่วนบุคคลไปยังประเทศที่มิได้มีกฎหมายและวิธีปฏิบัติที่สามารถให้หลักประกันและคุ้มครองข้อมูลอย่างเพียงพอ เว้นแต่ได้รับความยินยอมจากเจ้าของข้อมูล  

แนวทางคุ้มครองข้อมูลส่วนบุคคลขององค์การระหว่างประเทศ            องค์การระหว่างประเทศที่สำคัญที่ได้มีหลักกฎหมายในเรื่องการคุ้มครองข้อมูลส่วนบุคคลไว้ ตัวอย่างเช่น           1. Organization for Economic Cooperation and Development (OECD) ได้วางหลักGuidelines on the Protection of Privacy and Guidelines on the Protection of Privacy and Tran border Flows of Personal Data Flows of Personal Data           2. European Union European Union (EU) ได้วางหลัก Directive 95/46/EC of the European Parliament Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 and of the Council of 24 October 1995           3. United Nations United Nations (UN) ได้วางหลัก Guidelines concerning computerized personal data files

 แนวทางคุ้มครองข้อมูลส่วนบุคคลของต่างประเทศ

            นอกจากองค์การระหว่างประเทศที่มีแนวทางในการคุ้มครองข้อมูลส่วนบุคคล ยังมีกฎหมายของแต่ละประเทศที่ได้กำหนดกฎหมายคุ้มครองข้อมูลส่วนบุคคลไว้ ตัวอย่างเช่น

          - ประเทศอิตาลี มีกฎหมาย Protection of individuals and other subjects Protection of individuals and other subjects with regard to the processing of personal with regard to the processing of personal data Act ประกาศใช้เมื่อ 31 ธันวาคม 1996

          - ประเทศอังกฤษ มีกฎหมาย Data Protection Act 1998 ประกาศใช้ 18 สิงหาคม 1998

          - ประเทศเบลเยี่ยม มีกฎหมาย Belgium Law on Privacy Protection in relation to the Processing of Personal Data ประกาศใช้ 8 ธันวาคม 1992

          - ประเทศญี่ปุ่น มีกฎหมาย Personal Information Protection Bills 2003  

          โดยกฎหมายของแต่ละประเทศจะมีขอบเขตการบังคับใช้และหลักการ สาระสำคัญของกฎหมายที่แตกต่างกันออกไปแล้วแต่นโยบายของแต่ละประเทศ อย่างเช่นของประเทศอิตาลีจะมีขอบเขตการบังคับใช้ ถึงการประมวลผลข้อมูลส่วนบุคคลด้วนวิธีการปกติและวิธีการทางอิเล็กทรอนิกส์ และใช้บังคับกับข้อมูลส่วนบุคคลของบุคคลธรรมดาและนิติบุคคล โดยหลักการและสารสำคัญของกฎหมายได้กำหนดขอบเขตของการประมวลผลข้อมูงไว้อย่างกว้าง, กำหนดสิทธิของเจ้าของข้อมูล หน้าที่ของผู้ควบคุมข้อมูล และให้มีคณะกรรมการที่มีอำนาจหน้าที่กว้างขวาง ฉะนั้นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของแต่ละประเทศจะมีความแตกต่างกัน ต่อภาค 2