ชำแหละร่าง กฎหมายคุ้มครองข้อมูลส่วนบุคคล เมื่อข้อมูล ปชช. รั่วตั้งแต่ เฟซบุ๊ก – True จนถึง KBank และ KTB

ทุกวันนี้ข้อมูลของผู้ใช้ (Users) กลายเป็น Big Data สำคัญให้ภาคธุรกิจนำไปใช้เป็นประโยชน์มากขึ้น โดยเฉพาะในการทำการตลาดดิจิทัล เนื่องจากข้อมูลของลูกค้าที่หลากหลายจำนวนมากนั้น หากสามารถจัดเก็บได้เป็นระบบ จะสามารถนำมาวิเคราะห์เพื่อเป็นประโยชน์ต่อการวางกลยุทธ์ในธุรกิจได้

อย่างที่กล่าว หากสามารถจัดเก็บได้เป็นระบบ

การพัฒนาที่รวดเร็ว แต่ไร้ระบบป้องกันอย่างรัดกุมกำลังกลายเป็นภัยคุกคามทางไซเบอร์ให้กับผู้บริโภคอย่างเลี่ยงไม่ได้ ตั้งแต่ต้นปี 2018 ไม่ใช่แค่ในไทย แต่ทั่วโลกกำลังต้องเจอกับวิกฤต เมื่อแบรนด์ที่เราไว้ใจกลับพบการรั่วไหลของข้อมูลส่วนบุคคลของผู้ใช้บริการ

สรุปเหตุการณ์ข้อมูลผู้บริโภครั่วไหล

  • ข้อมูลของผู้ใช้เฟซบุ๊ก กว่า 50 ล้านรายถูกนำไปใช้ในแคมเปญโฆษณาในการเลือกตั้งประธานาธิบดีสหรัฐฯ และในการลงคะแนน ‘Brexit’ ในสหราชอาณาจักร โดยบริษัทที่ปรึกษาด้านการเมือง บริษัท Cambridge Analytica
  • ข้อมูลรูปสำเนาบัตรประชาชน ใบขับขี่ และพาสปอร์ต ลูกค้าบริษัท Tue Corporation (Truemove H) ที่ถูกจัดเก็บบน Amazon Web Service S3 ถูกตั้งค่าข้อมูลทั้งหมดเป็น ‘สาธารณะ’ ทุกคนสามารถเข้าถึงข้อมูลดังกล่าว และสามารถดาวน์โหลดออกไปใช้ได้ทันทีผ่าน URL
  • ข้อมูลลูกค้ารายย่อยธนาคารกรุงไทย (KTB) 120,000 รายถูกแฮกฯ
  • ธนาคารกสิกรไทย (KBank) พบร่องรอย Hacker เจาะเว็บที่ให้บริการหนังสือค้ำประกัน โดยมีข้อมูลรายชื่อลูกค้าองค์กรของธนาคารประมาณ 3,000 รายที่ใช้เว็บที่ให้บริการหนังสือค้ำประกัน อาจหลุดออกไปภายนอก

คำถามคือ… ผู้บริโภคจะเป็นอย่างไรต่อไป เมื่อทุกอย่าง  Transformation ไปเร็วมาก?

ต้องกลับมาดูกันที่กฎหมาย

เพราะการเข้ามาของดิจิทัลกำลังสร้างความเปลี่ยนแปลงหลายอย่างๆ และสิ่งหนึ่งที่เป็นปัญหามาตลอดในประเทศไทยก็คือ ‘กฎหมาย’

กฎหมายของไทยตามไม่ทันเทคโนโลยี เห็นได้ชัดจากกรณีของธุรกิจสตาร์ทอัพ หลายเหตุผลที่โตได้ไม่ดีในไทยเพราะกฎหมายไม่เอื้ออำนวยเท่าไร (กฎหมายค่อนข้างสนับสนุนธุรกิจระดับ Corporate มากกว่า ซึ่งเรื่องนี้เราอาจจะกลับมาพูดกันอีกทีคราวหลังในครั้งถัดไป) ส่วนกฎหมาย พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ดูเหมือนจะเข้าเค้ามากที่สุด เพราะเพิ่งจะถูกเสนอโดยกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เดือนเมษายน 2018 ที่ผ่านมาและผ่านความเห็นชอบในที่ประชุมคณะรัฐมนตรีแล้วเมื่อเดือนพฤษภาคม

โดยสาระสำคัญนั้น เข้มงวดมากขึ้นกว่าเดิมมีและครอบคลุม

  • “ข้อมูลส่วนบุคคล” มีการนิยามให้ชัดเจนมากขึ้น โดยนิยามว่าเป็นข้อมูลที่ทำให้ระบุตัวบุคคลนั้นได้ไม่ว่าจะทางตรงหรือทางอ้อม
  • ให้สิทธิของเจ้าของข้อมูลในการเข้าถึงข้อมูลตนเองขอให้เปิดเผยการได้มาสิทธิขอให้ระงับการใช้ หรือทำลายข้อมูล สิทธิในการขอแก้ข้อมูลให้ถูกต้อง และเป็นปัจจุบัน
  • คุ้มครองและเยียวยา เมื่อมีการละเมิดข้อมูลส่วนบุคคลโดยผู้ควบคุมข้อมูลต้องแจ้งให้เจ้าของข้อมูลทราบ พร้อมรายงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลถึงมาตรการเยียวยา เช่น การเก็บรวบรวมใช้ หรือเปิดเผยข้อมูลต้องได้รับความยินยอม รวมถึงหน้าที่ในการลบ หรือทำลายข้อมูลเมื่อพ้นระยะเวลา
  • กำหนดให้ผู้ควบคุมข้อมูลเป็นผู้มีหน้าที่ในการดูแลข้อมูลส่วนบุคคล
  • กำหนดให้ผู้ประมวลผลข้อมูลทำการประมวลผล (ซึ่งหมายความรวมถึงการเก็บ รวบรวม ใช้ หรือเปิดเผย ตามคำสั่งของผู้ควบคุมข้อมูลส่วนบุคคล รวมถึงต้องมีมาตรการดูแลความมั่นคงปลอดภัยในการประมวลผล)
  • มาตรการความปลอดภัยในการเก็บข้อมูล ให้ผู้ควบคุมข้อมูลส่วนบุคคล และผู้ประมวลผลข้อมูลส่วนบุคคลจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม

*อย่างไรก็ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล จะมีการปรับแก้หลังเปิดรับฟังความคิดเห็น และเข้ากระบวนการนิติบัญติต่อไป และยังไม่มีกำหนดแน่ชัดว่าจะเริ่มบังคับใช้ตอนไหน

แสดงความคิดเห็น