30 บาท และกฎหมายสุขภาพดิจิทัล โดย แมน-สหัสวรรษ วีระมงคลกุล ผู้เชี่ยวชาญด้านกฎหมายกำกับดูแลการใช้ AI

-1-

ถ้าวันหนึ่งชื่อ นามสกุล อีเมล เบอร์โทรศัพท์ และข้อมูลสุขภาพต่างๆ ไม่ว่าจะเป็นกรุ๊ปเลือด โรคประจำตัว และประวัติการรักษาของท่าน ไปปรากฏอยู่บนถนนถุงขนมโตเกียว ท่านคิดว่าความเสี่ยง และผลกระทบที่จะเกิดขึ้นตามมาจะมากแค่ไหน นี่คือประเด็น 

และอย่างทราบกันว่า AI จะไม่มีทางเกิดขึ้นได้เลย ถ้าไม่มีฐานข้อมูล และปัญหาเชิงโครงสร้างในปัจจุบันคือเรื่องของกฎหมาย 

แม้ว่าทางโรงพยาบาล A กับโรงพยาบาล B จะบอกว่ามีการทำฐานข้อมูลที่แตกต่างกัน แต่จริงๆ แล้วปัญหาคือ ไทยยังไม่มีกฎหมายที่ให้อำนาจรัฐในการรวบรวมข้อมูลสุขภาพจากโรงพยาบาลในกระทรวงสาธารณสุข นอกกระทรวงสาธารณสุข โรงพยาบาลเอกชน และคลินิกต่างๆ 

เมื่อไม่มีกฎหมายแล้ว ก็ไม่มีความจำเป็นใดๆ ที่โรงพยาบาลเอกชนจะให้ความร่วมมือ เพราะไม่มีแรงจูงใจใดๆ อีกทั้งข้อมูลถือเป็นฐานทรัพยากรที่สำคัญมากๆ ฉะนั้นกฎหมายจึงเป็นสิ่งสำคัญที่จะทำให้รัฐสามารถดึงข้อมูลสุขภาพที่กระจัดกระจายอยู่มารวมเป็นฐานข้อมูลสุขภาพอิเล็กทรอนิกส์แห่งชาติได้ 

-2-

อย่างไรก็ตาม สิ่งที่เหนือไปกว่ากฎหมาย การประสานความร่วมมือเพื่อให้เกิดการเชื่อมโยงข้อมูลให้มาอยู่ในมือของรัฐได้คือ การสร้างความไว้วางใจในตัวระบบ 

เพราะหากมีกฎหมายแล้ว แต่ขาดความเชื่อมั่นในตัวระบบ แม้จะมีการบังคับให้หน่วยงานต่างๆ ส่งข้อมูลเข้าสู่ส่วนกลางได้ แต่ผลลัพธ์ที่ออกมาก็อาจจะไม่ดีเท่าที่ควร 

กฎหมายที่เรามีอยู่ในปัจจุบันที่เกี่ยวข้องกับเรื่องนี้คือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) มาตรา 26 ซึ่งเป็นกฎหมายหลักที่กำกับข้อมูลด้านสุขภาพ พ.ร.บ.สุขภาพแห่งชาติ มาตรา 7 ซึ่งระบุว่าห้ามเปิดเผยข้อมูลด้านสุขภาพของประชาชนโดยไม่ได้รับความยินยอม นอกจากนี้ก็จะมีกฎหมายเฉพาะโรคอื่นๆ  

-3-

พอเราพูดถึงกฎหมาย ปัจจุบันกฎหมายที่เรามีอยู่มีช่องว่างอะไรบ้าง ซึ่งช่องว่างในเรื่องนี้อาจแบ่งเป็นสองส่วนหลัก คือหนึ่งในเรื่องของการบังคับใช้ และการปฏิบัติตามกฎหมาย และสองคือเรื่องของตัวบทกฎหมาย

ในไทย กฎหมาย PDPA ถูกเลื่อนการบังคับใช้มาแล้ว 2 ปี เพราะความไม่พร้อมของคนที่ถูกกำกับ แสดงให้เห็นถึงปัญหาว่า แม้มีกฎหมาย แต่ในเมื่อบุคลากรในหน่วยงานที่เกี่ยวข้องไม่พร้อมที่จะปฏิบัติตามก็ทำให้เกิดช่องว่างได้

-4-

จริงๆ ตัวประกอบหลักในเรื่องของการบังคับใช้ มีสามส่วนหลักคือ คน องค์กร และหน่วยงานกำกับดูแล 

หน่วยงานที่กำกับดูแล PDPA ในปัจจุบันชื่อสำนักงานคุ้มครองข้อมูลส่วนบุคคล (สคส.) 

ส่วนเรื่องของคน อันนี้เป็นสิ่งสำคัญที่สุด ช่วงที่ผ่านมามีข่าวในโรงพยาบาลเพชรบูรณ์ว่ามีการโจรกรรมข้อมูลคนไข้ และถูกเอาไปขายในราคา 500 ดอลลาร์สหรัฐ 

เรื่องนี้ทางโรงพยาบาลเองไม่ได้อยากที่จะไม่ปฏิบัติตามกฎหมาย PDPA แต่เราต้องมองลึกลงไปอีก เพราะแท้จริงแล้วมันคือปัญหาโครงสร้าง ทรัพยากรต่างๆ ที่ไม่มีความพร้อมไม่ว่าจะเป็นบุคลากร จำนวนบุคลากร และความเข้าใจในตัวกฎหมาย รวมทั้งงบประมาณของโรงพยาบาล ปัญหาเคสนี้จึงเป็นเรื่องทางไซเบอร์ที่ทำให้เกิดช่องโหว่ จนทำให้เกิดการโจรกรรมข้อมูลเกิดขึ้น

-5-

ประเด็นคือ เราจะอุดช่องโหว่ตรงนี้อย่างไร ผมคิดว่าหน่วยงานกำกับดูแลภาครัฐต้องเข้ามาสนับสนุนเรื่องนี้โดยตรง 

เช่น สคส. ในปัจจุบันมีการจัดทำ e-learning platform ก็จะให้บุคลากรในหน่วยงานต่างๆ ที่อยู่ภายใต้การกำกับของกฎหมาย PDPA เข้ามาเรียนรู้มาตรการการรักษาข้อมูลส่วนบุคคล

สำหรับกฎหมาย PDPA ของไทย ถือเป็นกฎหมายที่เลียนแบบมาจากกฎหมาย GDPR ของสหภาพยุโรป ศัพท์ทางเทคนิคกฎหมาย GDPR ถือว่ามีลักษณะที่ครอบจักรวาล ไม่ได้มีความเฉพาะเจาะจงไปที่ข้อมูลด้านสุขภาพเพียงอย่างเดียวเท่านั้น เรื่องนี้ทำให้เกิดช่องโหว่ 

เพราะข้อมูลส่วนบุคคลอย่างชื่อนามสกุล เมื่อเทียบกับข้อมูลด้านสุขภาพ หากมันหลุดออกไปความเสี่ยงที่จะเกิดขึ้น หรือผลกระทบก็มีความแตกต่างกัน เพราะฉะนั้นเมื่อความเสี่ยงแตกต่างกัน การคุ้มครองของกฎหมายก็จำเป็นที่จะต้องต่างกัน

-6-

แต่ในปัจจุบันกฎหมาย PDPA ของไทยแยกข้อมูลส่วนบุคคลแบ่งออกเป็นสองประเภท คือข้อมูลส่วนบุคคลธรรมดา เช่น ชื่อ นามสกุล วันเดือนปีเกิด เลขบัตรประจำตัวประชาชน กับข้อมูลอ่อนไหว ซึ่งข้อมูลด้านสุขภาพของประชาชนก็ถูกจัดอยู่ในกลุ่มข้อมูลอ่อนไหวด้วยเช่นกัน

ปัญหาคือข้อมูลอ่อนไหวภายใต้กฎหมายนี้ไม่ได้มีแค่ข้อมูลสุขภาพอย่างเดียว แต่รวมถึงศาสนา ความคิดเห็นทางการเมือง ประวัติอาชญากรรม ซึ่งในความเป็นจริงแล้วธรรมชาติของข้อมูลเหล่านี้มีความแตกต่างกันอย่างสิ้นเชิงกับข้อมูลสุขภาพ

ตามกฎหมาย PDPA ได้ให้การคุ้มครองข้อมูลส่วนบุคคลและข้อมูลอ่อนไหว แต่อาจจะมีข้อมูลสุขภาพ และข้อมูลชีวมิติบางส่วนที่อาจจะยังไม่ได้รับการคุ้มครอง 

-7-

สหรัฐอเมริกามีกฎหมายเฉพาะสำหรับข้อมูลด้านสุขภาพ และมีกฎหมายย่อยลงมาในระดับมลรัฐ ซึ่งไม่เพียงให้ความคุ้มครองเฉพาะข้อมูลด้านสุขภาพ แต่ครอบคลุมไปถึงเรื่องข้อมูลชีวมิติด้วย

สำหรับพรรคเพื่อไทย เราได้เตรียมร่างพระราชบัญญัติสุขภาพดิจิทัล ซึ่งแบ่งออกเป็นสองส่วนหลัก คือในส่วนของการให้อำนาจรัฐ เพื่อที่จะดึงข้อมูลสุขภาพของประชาชนมารวมศูนย์ และสองในเรื่องของการกำกับดูแลข้อมูล การรวบรวมข้อมูล การใช้ข้อมูลสุขภาพให้มีธรรมาภิบาล ความปลอดภัย และเป็นไปตามมาตรฐานสากล

-8-

ร่างพระราชบัญญัติที่พรรคเพื่อไทยพยายามจะผลักดันนี้ จะเป็นกฎหมายที่คอยป้องกันผลกระทบและความเสี่ยงที่อาจจะเกิดขึ้นต่อข้อมูลสุขภาพและข้อมูลชีวมิติ โดยเรามีการออกแบบให้กระทรวงสาธารณสุข และกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เป็นหน่วยงานรับผิดชอบหลัก

จะมีการตั้งให้มีหน่วยงานในการกำกับดูแลคือสำนักงานสุขภาพดิจิทัลแห่งชาติ มีอำนาจหน้าที่ในการวางโครงสร้างพื้นฐานกลาง และแพลตฟอร์มสำหรับการบันทึกข้อมูลสุขภาพ ส่งเสริม กำกับ และตรวจสอบให้เป็นไปตามมาตรฐาน 

ดำเนินการจัดทำทะเบียนของระบบ Health ID และ Provider ID รวมทั้งพิจารณาและกำกับ การใช้ข้อมูลทุติยภูมิ เช่น งานวิจัย

-9-

ส่วนรายละเอียดในตัวพระราชบัญญัตินี้ จะแบ่งออกเป็นสามส่วนหลัก คือ ส่วนแรกที่สำคัญที่สุดคือสิทธิ์ของเจ้าของข้อมูล โดยค่าเริ่มต้นของกฎหมายนี้ให้ถือว่าทุกคนเข้าร่วมในการให้ข้อมูล แต่ก็เปิดโอกาสให้ประชาชนมีสิทธิ์เลือกที่จะไม่ให้ข้อมูลก็ได้ และประชาชนมีสิทธิ์ที่จะเข้ามาตรวจสอบว่ามีใครเข้าถึงข้อมูลของตนเองบ้าง เป็นการเข้าถึงในช่วงเวลาใด และเข้าถึงด้วยเหตุผลใด

ส่วนที่สองเป็นเรื่องของการจัดการข้อมูลสุขภาพ เราจะมีการออกแบบให้มีการอุดช่องโหว่ต่างๆ โดยการใช้มาตรการรักษาความปลอดภัย ที่มีมาตรฐานและได้รับการยอมรับในระดับสากล มีการควบคุมการเข้าถึงข้อมูลระดับการเข้าถึงข้อมูล  เช่น เจ้าหน้าที่ในระบบธุรการ จะไม่มีความจำเป็นที่จะต้องเข้าถึงข้อมูลด้านสุขภาพของประชาชน เพราะไม่ได้มีอำนาจหน้าที่ที่เกี่ยวข้อง 

และส่วนที่สามเป็นเรื่องการกำหนดบทลงโทษ

-10-

สุดท้ายแล้วเรื่องการใช้ AI เข้ามายกระดับระบบ 30 บาทรักษาทุกโรค การวางโครงสร้างพื้นฐานของข้อมูล การออกแบบกฎหมาย ทั้งหมดนี้ไม่ใช่ความท้าทายหลัก แต่สิ่งที่ท้าทายที่สุดคือวิกฤตของความไว้ใจ และการขาดความร่วมมือ ทั้งที่เกิดขึ้นจากความไม่พร้อมในการปฏิบัติตามกฎหมาย การบังคับใช้กฎหมาย และช่องว่างทางกฎหมาย 

-11-

ทั้งหมดนี้เป็นสิ่งที่พรรคเพื่อไทยพยายามที่จะจัดการ ทำให้ข้อมูลด้านสุขภาพของประชาชนไม่ไปปรากฏอยู่บนถุงขนมโตเกียว

หมายเหตุ – เรียบเรียงจาก MOONSHOT FORUM ครั้งที่ 1 หัวข้อ “ยกเครื่อง 30 บาทด้วย AI : รักษาดี อยู่ดี ตายดี” วันที่ 10 พ.ย. 2568