เมื่อวันที่ 13 ธันวาคม 2566 หน่วยงานกำกับดูแลด้านการคุ้มครองข้อมูลส่วนบุคคลของประเทศอังกฤษ (UK Information Commissioners’ Office: ICO) ได้เผยแพร่คำสั่งปรับทางปกครองกระทรวงกลาโหมของประเทศอังกฤษเป็นเงินจำนวน 350,000 ปอนด์ (ประมาณ 15.6 ล้านบาท)
อันเนื่องมากจากการเปิดเผยข้อมูลส่วนบุคคลของพลเมืองอัฟกานิสถาน ที่จะทำการอพยพย้ายถิ่นฐานจากประเทศอัฟกานิสถานไปยังประเทศอังกฤษในช่วงปี 2564 โดยไม่ชอบด้วยกฎหมาย UK GDPR (UK General Data Protection Regulation)
เหตุการณ์นี้เกิดขึ้นในช่วงเวลาที่กลุ่มตาลิบาน (Taliban) ได้เข้าควบคุมประเทศอัฟกานิสถานในปี 2564 กระทรวงกลาโหมในขณะนั้นได้ดำเนินนโยบาย UK’s Afghan Relocations and Assistance Policy (ARAP) เพื่อช่วยเหลือในการจัดหาที่อยู่ให้กับชาวอัฟกานิสถานที่ร่วมปฏิบัติการกับรัฐบาลอังกฤษที่ต้องการลี้ภัย โดยให้ยื่นคำร้องขอและส่งข้อมูลต่าง ๆ ผ่านช่องทางอีเมล
จากการดำเนินการตามนโยบายดังกล่าว ก่อให้เกิดการเปิดเผยข้อมูลส่วนบุคคลโดยไม่ชอบด้วยกฎหมายขึ้นเมื่อวันที่ 20 สิงหาคม 2564 เมื่อกระทรวงกลาโหมได้ส่งอีเมลไปยังผู้รับจำนวน 245 คนซึ่งเป็นพลเมืองอัฟกานิสถานผู้มีสิทธิลี้ภัยไปยังประเทศอังกฤษ
โดยเป็นการส่งในลักษณะของ “Bulk email” คือเป็นการส่งจดหมายจำนวนมากที่ดำเนินการส่งไปยังกลุ่มผู้รับทุกคนโดยใช้ “To: (ถึง)” ซึ่งการส่งอีเมลโดยวิธีดังกล่าวทำให้ผู้ลี้ภัยหรือผู้ที่สามารถเข้าถึงข้อมูลนั้นเห็นอีเมลของผู้รับทั้งหมดได้
และภายในอีเมลเหล่านั้นมีจำนวน 55 บัญชีอีเมลที่มีรูปภาพในลักษณะโพรไฟล์ส่วนบุคคลด้วย และมีเจ้าของอีเมล 2 คนได้ตอบกลับโดยแจ้งตำแหน่งที่ที่อยู่ของตน
จากเหตุการณ์ดังกล่าว ICO เห็นว่าถ้าข้อมูลอีเมลเหล่านี้รั่วไหลไปถึงกลุ่มตาลิบานก็อาจส่งผลถึงชีวิตของชาวอัฟกานิสถานที่ขอลี้ภัยได้
จากกรณีดังกล่าวมีประเด็นในทางกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่น่าสนใจดังนี้
1. ข้อมูลส่วนบุคคลที่ถูกละเมิด/รั่วไหล ประกอบด้วย 3 ลักษณะ ได้แก่ ที่อยู่อีเมล (245 บัญชี), ที่อยู่อีเมลและรูปภาพ (55 บัญชี) และ ที่อยู่อีเมลและที่อยู่ (2 บัญชี) ซึ่งข้อมูลส่วนบุคคลแต่ละกลุ่มนี้มีความเสี่ยงต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคลไม่เท่ากัน
2. ความเสี่ยงต่อชีวิต กรณีนี้ ICO เห็นว่าการเปิดเผยข้อมูลส่วนบุคคลโดยไม่ชอบด้วยกฎหมายดังกล่าว อาจก่อให้เกิดความเสี่ยงต่อชีวิตของบุคคล (life-threatening)
อันเนื่องมาจากบริบทของการประมวลผลข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ในการขออพยพ/บุคคล ที่มีสิทธิเป็นผู้ช่วยงานของรัฐบาลอังกฤษซึ่งอยู่ฝ่ายตรงข้ามกับกลุ่มตาลิบาน เพราะเจ้าของ “อีเมล” ที่ได้รับอีเมลจากกระทรวงกลาโหมทุกคนย่อมถูกสันนิษฐานได้ว่าทำงานให้กับรัฐบาลอังกฤษ
จากบริบทนี้ คนกลุ่มนี้จึงมีความเสี่ยงถึงชีวิตได้ และมีความเสี่ยงมากขึ้นหากสามารถระบุตัวบุคคลได้ง่ายขึ้น เช่น มีข้อมูลภาพถ่าย หรือสถานที่อยู่ประกอบด้วย ลักษณะและบริบทของการประมวผลข้อมูลส่วนบุคคลนี้จึงมีความเสี่ยงสูง (high risk) ต่อสิทธิและเสรีภาพของบุคคล
3. มาตรการด้านความมั่นคงปลอดภัยที่ไม่เหมาะสม ICO เห็นว่าการละเมิดการเป็นความลับของข้อมูลส่วนบุคคลในกรณีนี้เกิดจากความผิดพลาดของคน (human error) อันเนื่องมากจากการขาดมาตรการเชิงองค์กรและเชิงเทคนิคที่เหมาะสมของกระทรวงกลาโหม ดังนี้
(1) มาตรการเชิงองค์กร (Organizational measures) ไม่มีนโยบายเฉพาะด้านการส่งอีเมลที่อาจมีความเสี่ยงสูง และเจ้าหน้าที่ไม่ได้รับการฝึกอบรมหรือสร้างความตระหนักรู้เกี่ยวกับการส่งหรือเปิดเผยข้อมูลที่อาจมีความเสี่ยงสูง
(2) มาตรการเชิงเทคนิค (Technical measures) การใช้ “blind carbon copy” หรือ BCC มีความเสี่ยงอย่างมากจากข้อผิดพลาดของบุคคลที่ส่งอีเมล เมื่อคำนึงถึงความเสี่ยงที่อาจมีจากลักษณะการประมวลผลของข้อมูลเกี่ยวกับการขออพยพ หน่วยงานจึงควรนำเทคโนโลยีอื่น ๆ มาใช้เพื่อทำให้การส่งอีเมลมีความมั่นคงปลอดภัยมากขึ้น
4. กฎหมายใช้บังคับนอกเขตแดนแห่งรัฐ กิจกรรมการประมวลผลนี้เกิดขึ้นในประเทศอัฟกานิสถาน นอกประเทศอังกฤษ แต่ UK GDPR มีผลใช้บังคับเพราะถือว่ากระทรวงกลาโหมเป็นผู้ควบคุมข้อมูลส่วนบุคคลที่ต้องอยู่ภายใต้บังคับของ UK GDPR และแม้ว่าเจ้าของข้อมูลส่วนบุคคลจะเป็นพลเมืองอัฟกานิสถานก็ตาม ข้อมูลส่วนบุคคลของพลเมืองอัฟกานิสถาน ที่ถูกเก็บรวบรวม ใช้ หรือเปิดเผยโดยกระทรวงกลาโหมย่อมได้รับความคุ้มครองตาม UK GDPR
5. วัตถุประสงค์ของการกำหนดค่าปรับ ค่าปรับจำนวน 350,000 ปอนด์ (ประมาณ 15.6 ล้านบาท) ทำหน้าที่เพื่อยับยั้ง (deterrent) การละเมิดข้อมูลส่วนบุคคล และทำให้มั่นใจได้ว่าทั้งกระทรวงกลาโหมและหน่วยงานอื่น ๆ จะมีนโยบายและการฝึกอบรมที่เหมาะสมเพื่อลดความเสี่ยงที่ข้อมูลของประชาชนจะถูกเปิดเผยอย่างไม่เหมาะสมหรือโดยไม่ชอบด้วยกฎหมายทางอีเมล
6. การดำเนินการของกระทรวงกลาโหม หลังจากมีเหตุการละเมิดข้อมูลส่วนบุคคลดังกล่าว กระทรวงกลาโหมของอังกฤษได้ดำเนินการเพื่อเยียวยาผลกระทบต่อผู้เสียหาย ดังนี้
(1) ติดต่อผู้ที่ได้รับผลกระทบดังกล่าวให้ทำการลบอีเมลที่ได้รับจากกระทรวงกลาโหมและขอให้เปลี่ยนอีเมลที่ใช้ในการติดต่อใหม่
(2) ปรับปรุงกระบวนการส่งข้อมูลให้มีความมั่นคงปลอดภัยมากขึ้น
(3) แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลมายัง ICO ตามเงื่อนไขของกฎหมาย
(4) รายงานต่อรัฐสภาเกี่ยวกับเหตุการละเมิดข้อมูลส่วนบุคคล
(5) ปรับปรุง Bulk Email Policy ให้มีการจัดการที่มีความปลอดมั่นคงภัยมากขึ้น อาทิ หากกรณีที่มีการส่งอีเมลให้กับผู้รับหลาย ๆ คนก็จะให้มีการตรวจสอบซ้ำ (second pair of eyes’ policy) เพื่อหลีกเลี่ยงการเปิดเผยข้อมูลที่ไม่เหมาะสม รวมถึงการนำระบบการส่งอีเมลจำนวนมากมาใช้ (bulk email service)
หากพิจารณากรณีดังกล่าวตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จะพบว่ากฎหมายไทยกำหนดหน้าที่ขององค์กรต่าง ๆ ในทำนองเดียวกันกับมาตรฐานของ UK GDPR เช่นเดียวกัน ทั้งในด้านการจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม
หน้าที่แจ้งสํานักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) และแจ้งเจ้าของข้อมูลส่วนบุคคล รวมถึงหน้าที่ในการดำเนินการตามมาตรการที่จําเป็นและเหมาะสมเพื่อระงับ ตอบสนอง แก้ไข หรือฟื้นฟูสภาพจากเหตุการละเมิดข้อมูลส่วนบุคคลดังกล่าว
รวมทั้งป้องกันและลดผลกระทบจากการเกิดเหตุการละเมิดข้อมูลส่วนบุคคลในลักษณะเดียวกันในอนาคต ซึ่งรวมถึงการทบทวนมาตรการรักษาความมั่นคงปลอดภัยเพื่อให้มี ประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม.
อ้างอิง: ICO fines Ministry of Defence for Afghan evacuation data breach
บทความโดย ระวีวรรณ ขันติวิริยะพานิช | บริษัท ดีพีโอเอเอเอส จำกัด
ศุภวัชร์ มาลานนท์ | บัณฑิตวิทยาลัยการจัดการและนวัตกรรม (KMUTT/มจธ.)
คอลัมน์ Tech, Law and Security
————————————————————————————————————————————-
ที่มา : กรุงเทพธุรกิจออนไลน์ / วันที่เผยแพร่ 20 ม.ค.67
Link : https://www.bangkokbiznews.com/tech/gadget/1109242