กสทช. ร่วมกับเครือข่ายพลเมืองเน็ต (Thai Netizen Network) จัดประชุม NBTC Public Forum ครั้งที่ ๖/๒๕๕๙ เรื่อง “ข้อมูลส่วนบุคคลผู้ใช้มือถือ บริหารอย่างไรให้ปลอดภัย” เมื่อวันที่ ๑๓ ตุลาคม ๒๕๕๙ ณ โรงแรมเอเชีย กรุงเทพฯ สรุปสาระสำคัญ ดังนี้
๑. หลักการป้องกันข้อมูลที่ต้องคำนึงถึง ได้แก่
- ๑) วัตถุประสงค์และรูปแบบ/วิธีการเก็บข้อมูล
- ๒) ความถูกต้องของข้อมูลและกำหนดระยะเวลาการเก็บรักษาข้อมูล
- ๓) วิธีการใช้ข้อมูลส่วนบุคคล
- ๔) การรักษาความปลอดภัยข้อมูลส่วนบุคคล เช่น การเข้ารหัส (Encryption) การซ่อนข้อมูล (Masking/Hiding)
- ๕) ข้อมูลข่าวสารพร้อมใช้งานทั่วไป และ
- ๖) การเข้าถึงข้อมูลส่วนบุคคล
ทุกประเด็นที่กล่าวมามีใจความสำคัญด้านการรักษาความปลอดภัย คือ
- ๑) การรักษาความปลอดภัยข้อมูลส่วนบุคคล
- ๒) การเก็บรักษาข้อมูล
- ๓) การลบข้อมูล โดยหน่วยงานต้องมีการจำกัดระดับ (Level) และกำหนดสิทธิ์ของผู้ใช้งาน นอกจากนั้นผู้ดูแลระบบ (Admin) ก็ต้องมีการเฝ้าสังเกต/ติดตาม (Monitor) และมีการตรวจประเมินตามมาตรฐาน (Audit) สม่ำเสมอเพื่อตรวจจับการรั่วไหลและการละเมิดข้อมูลได้อย่างรวดเร็ว
๒. ในต่างประเทศมีการกำหนดมาตรการคุ้มครองนโยบายผู้บริโภค ๒ แบบ คือ
- ๑) ไม่อนุญาตให้มีการโทร (OPT-Out System) ได้แก่ สหรัฐอเมริกาฯ แคนาดา ออสเตรเลีย สิงคโปร์ ฟิลิปปินส์ และมาเลเซีย
- ๒) อนุญาตให้มีการโทรก่อนเลือกตอบรับหรือปฏิเสธ (OPT-In System)
หน่วยงานระดับกระทรวงของเกาหลีใต้ Ministry of Science, ICT and Future Planning (MSIP) ได้ออกมาตรการและแนวปฏิบัติการบริหารจัดการข้อมูลส่วนบุคคล คือ
๑) ผู้ให้บริการโทรศัพท์จะต้องมี Master Plan กำหนดตำแหน่งผู้บริหาร ผู้ดูแลข้อมูล และผู้รับผิดชอบกรณีเกิดปัญหา มีการอบรมพนักงานด้านการ รปภ.ข้อมูลฯ อย่างน้อยปีละ ๒ ครั้ง และมีการตรวจสอบสม่ำเสมอ (Audit)
๒) บริษัทต้องจัดตั้งคณะกรรมการดูแลข้อมูลส่วนบุคคลและความเป็นส่วนตัวของผู้ใช้บริการ
๓) มีการจำกัดสิทธิ์การเข้าถึงและกำหนดสิทธิ์ผู้ใช้ข้อมูล
๔) การดูแลข้อมูลส่วนบุคคลของคู่สัญญาของบริษัทฯ ต้องมีมาตรฐานเดียวกัน
๕) การลงทะเบียนข้อมูลส่วนบุคคลของผู้ใช้บริการมือถือจะให้ทำผ่านแท็บเล็ตของบริษัทฯ โดยไม่ใช้กระดาษซึ่งข้อมูลต่างๆ จะไม่ถูกเก็บในแท็บเล็ตแต่จะถูกส่งเข้าไปเก็บในเซิฟเวอร์กลางทันที ฯลฯ เรื่องที่รัฐบาลเกาหลีใต้ให้ความสำคัญเป็นพิเศษ ได้แก่ ๑) การป้องกันทางไซเบอร์ (Cyber Security) ๒) การโอนข้อมูลข้ามพรมแดน/ข้อมูลออนไลน์ระหว่างประเทศ ๓) การทำธุรกรรมการเงินผ่านโทรศัพท์มือถือ ๔) การยืนยันตัวตนผู้ใช้บริการ
มุมมองด้านการรักษาความปลอดภัย
ประเทศไทย กฎหมายคุ้มครองข้อมูลส่วนบุคคลอยู่ระหว่างการรอพิจารณา (ร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ที่เสนอโดยสำนักงานคณะกรรมการข้อมูลข่าวสารของราชการ ถูกบรรจุเข้าไปในวาระของสภานิติบัญญัติแห่งชาติ เมื่อ ๗ ต.ค.๕๗) ไม่มีระบบจัดการการเสนอสินค้า/บริการทางโทรศัพท์ มีเพียงกฎหมายเฉพาะด้าน เช่น พ.ร.บ.ข้อมูลข่าวสารของราชการ พ.ศ.๒๕๔๐ พ.ร.บ.การประกอบธุรกิจข้อมูลเครดิต พ.ศ.๒๕๔๕ ประกาศ กสทช. คำประกาศสิทธิผู้ใช้บริการโทรศัพท์เคลื่อนที่ และประกาศ คปภ.เรื่องกำหนดเกณฑ์วิธีการเสนอขายกรมธรรม์ประกันภัยผ่านโทรศัพท์ พ.ศ.๒๕๕๒ เป็นต้น
สาเหตุการรั่วไหลและการละเมิดข้อมูลส่วนบุคคล ได้แก่ ๑) การหลอกลวงทางโทรศัพท์หรืออินเตอร์เน็ต (Scamming) ๒) การส่งข้อความถึงผู้ที่ไม่ต้องการรับ (Spam) ๓) แอพพลิเคชัน (Application) แนวโน้มการละเมิดข้อมูลส่วนบุคคล สิทธิความเป็นส่วนตัวและการรั่วไหลของข้อมูลส่วนบุคคลของผู้ใช้บริการมือถือและอินเตอร์เน็ตมีเพิ่มมากขึ้น โดยจากสถิติการร้องเรียนในช่วงมกราคมถึงกันยายน ๒๕๕๙ ของสำนักรับเรื่องร้องเรียนและคุ้มครองผู้บริโภคในกิจการโทรคมนาคม สังกัดสำนักงานคณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์และกิจการโทรคมนาคมแห่งชาติ (กสทช.) มีจำนวนกว่าสามพันเรื่อง
มาตรการรักษาความปลอดภัยข้อมูลส่วนบุคคล แม้จะมีการป้องกันการดึงข้อมูลส่วนบุคคลโดยการเข้ารหัสข้อมูล เช่น Encryption, Encoding แต่ปัจจุบันแฮกเกอร์สามารถถอดรหัสข้อมูลกลับ เรียกว่า การระบุกลับอัตลักษณ์บุคคลหรือการยืนยันตัวตนย้อนกลับ (Re-Identification/ De-Anonymization) โดย ๑) การถอดรหัสลับ (Decrypt) ๒) การถอดรูปแบบข้อมูล (Decode) และ ๓) การเชื่อมโยงข้อมูลจากหลายฐานข้อมูล (Linking) แฮกเกอร์สามารถหาตัวบุคคลได้โดยใช้ข้อมูลส่วนบุคคลที่ทับซ้อนกันอยู่ (Overlap) เพียง ๓ อย่าง คือ รหัสไปรษณีย์ วันเดือนปีเกิด และเพศเท่านั้น ซึ่งข้อมูลที่ได้นั้นมีความถูกต้องราว ๗๐-๙๐ เปอร์เซ็นต์ ดังนั้นการทำฐานข้อมูลให้ปลอดภัย อาจเพิ่มข้อมูลรบกวน (Noise) เป็นข้อมูลปลอมที่แทรกเข้าไปแต่ในเชิงสถิติยังสามารถใช้ประโยชน์ได้
รัฐบาลควรพิจารณาใช้ระบบ OPT-In หรือ OPT-Out และให้มีหน่วยงานกลางทำหน้าที่กำกับ/ดูแลผู้ใช้บริการ นอกจากนั้นควรกำหนดมาตรการคุ้มครองข้อมูลส่วนบุคคล โดยคำนึงถึงมาตรการป้องกันการใช้อินเตอร์เน็ตของคนไทย อาทิ การกดตกลงโดยที่ไม่ได้อ่านข้อความก่อน และคุ้มครองกลุ่มผู้ใช้บริการที่เป็นเด็กและผู้สูงอายุที่ไม่รู้เท่าทันต่อเทคโนโลยี เป็นต้น
กิจการโทรคมนาคม กิจการธนาคาร ฯลฯ ซึ่งถือเป็นผู้ให้บริการขนาดใหญ่ที่ต้องเก็บข้อมูลส่วนบุคคลของผู้ใช้บริการ ควรมีนโยบายคุ้มครองข้อมูลส่วนบุคคลในมาตรฐานเดียวกันหรือไปในทิศทางเดียวกัน และต้องมีข้อตกลงยินยอมให้ผู้ให้บริการใช้ข้อมูลส่วนบุคคลชี้แจงทำความเข้าใจต่อผู้ใช้บริการก่อนการตัดสินใจใช้บริการ โดยไม่เป็นการยินยอมแบบบังคับหรือไม่มีทางเลือก เช่น กำหนดเงื่อนไขในการอนุมัติเพื่อรับบริการให้ผู้ใช้บริการยินยอมให้ผู้ให้บริการใช้ข้อมูลเพื่อเสนอสินค้าอื่นในเครือ เป็นต้น
