ประเสริฐ เปิดผลงาน PDPC แก้ข้อมูลรั่วไหล ลดฮวบเหลือ 1.21 % เร่งเดินหน้าเชิงรุกป้องกันและคุ้มครองข้อมูลส่วนบุคคลครบทุกมิติอย่างเป็นระบบ วางเป้าหมายลดการรั่วไหลเป็นศูนย์ สร้างความปลอดภัยประชาชน
หลาย ๆ ท่านอาจเคยได้ยินว่า Generative AI อาจให้ข้อมูลที่ผิดพลาดหรือไม่ตรงกับความเป็นจริงได้ ดังนั้น ผู้ใช้งานโมเดลภาษาขนาดใหญ่ (LLM: Larger language models) จึงต้องมีความตระหนักรู้ในข้อจำกัดของเทคโนโลยีประกอบด้วย ข้อมูลที่ผิดพลาดอาจจะเป็นข้อเท็จจริงพื้นฐาน หรืออาจจะเป็นข้อมูลเกี่ยวกับบุคคลก็ได้ ลองจินตนาการว่าหาก Generative AI ให้ข้อมูลที่ไม่ถูกต้องเกี่ยวกับตัวท่าน เช่น “วันเดือนปีเกิด” ท่านในฐานะของผู้ใช้งานโมเดลภาษาหเล่านั้นหรือเจ้าของข้อมูลส่วนบุคคลที่ไม่ถูกต้อง และโดยเฉพาะอย่างยิ่งหากมีการให้ข้อมูลที่ไม่ถูกต้องที่อาจสร้างความเสื่อมเสียต่อเจ้าของข้อมูลส่วนบุคคล ท่านจะมีสิทธิตามกฎหมายอย่างไรบ้างหรือไม่ เพื่อจะทำให้ข้อมูลส่วนบุคคลของตนที่ถูกประมวลผลหรือแสดงผลโดย Generative AI นั้นถูกต้อง หรือขอให้ลบข้อมูลเหล่านั้นออกจากการประมวลผลหรือการแสดงผลลัพธ์ การที่ระบบปัญญาประดิษฐ์หรือ AI สร้างข้อมูลหรือเนื้อหาที่ไม่ถูกต้องหรือไม่เป็นความจริง ในทางเทคนนิค เรียกว่า AI Hallucination หรือการประดิษฐ์ภาพหลอนโดย AI คือกรณีนี้เป็นสถานการณ์ที่ AI สร้างข้อมูลหรือเนื้อหาที่ไม่ถูกต้องหรือไม่เป็นความจริง ซึ่งเป็นผลลัพธ์การตอบสนองที่สร้างโดย AI ที่ให้ข้อมูลที่เป็นเท็จหรือทำให้เข้าใจผิดว่าเป็นข้อเท็จจริง เปรียบเสมือนภาพหลอนในจิตวิทยาของมนุษย์ที่อาจเกิดจากข้อจำกัดของโมเดล AI เอง…
วันที่ 28 ม.ค.ของทุกปี เป็น “วันแห่งข้อมูลส่วนตัว” (Data Privacy Day) ซึ่งในยุค “ดิจิทัล” ข้อมูลส่วนบุคคล ถือว่ามีความสำคัญอย่างมาก!! ทุกประเทศต่างมีกฎหมายที่ออกมาคุ้มครองข้อมูลส่วนบุคคล ซึ่งหากเจ้าของข้อมูลไม่ยินยอมให้ข้อมูล หรือเปิดข้อมูล หากมีการละเมิด ก็ถือว่าผิดกฎหมาย!?! ซึ่งจากผลสำรวจโดย Telenor Asia Digital Lives Decoded ปี 2023 พบว่าคนไทยมีความกังวลในเรื่องความเป็นส่วนตัวและความปลอดภัยของข้อมูลเพียง 17% ซึ่งต่ำกว่าค่าเฉลี่ยของภูมิภาคเอเชียที่อยู่ที่ 44% ส่วนกลุ่มที่ระบุว่าไม่กังวลเรื่องนี้มี 21% สูงกว่าค่าเฉลี่ยของเอเชียที่มีเพียง 8% เท่านั้น แสดงให้เห็นว่า คนไทยกังวลเกี่ยวกับข้อมูลส่วนบุคคลต่ำกว่าค่าเฉลี่ยในภูมิภาคเอเชีย!! ภาพ pixabay.com อย่างไรก็ตาม สำหรับประเทศไทย ก็มี พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ ก.ม.พีดีพีเอ ที่ออกมาบังคับใช้เรียบร้อยแล้ว ซึ่งทุกองค์กรไม่ว่าภาครัฐ หรือเอกชน ก็ต้องปฏิบัติตามกฎหมาย สำหรับองค์กรโทรคมนาคมใหญ่อย่าง ทรู ที่หลังมีการควบรวมกับดีแทคแล้ว ยิ่งทำให้มีลูกค้าที่ต้องดูแลเพิ่มมากขึ้น จะมีวิธีจัดการและคุ้มครองข้อมูลส่วนบุคคลของลูกค้าอย่างไร? “มนตรี สถาพรกุล” หัวหน้าฝ่ายคุ้มครองข้อมูลส่วนบุคคล บมจ.ทรู คอร์ปอเรชั่น กล่าวว่า ทรู คอร์ปอเรชั่น ตระหนักถึงการดำเนินธุรกิจอย่างมีความรับผิดชอบและรักษาความปลอดภัยข้อมูลส่วนบุคคลของลูกค้า ถือเป็นการเคารพสิทธิมนุษยชนอีกมิติหนึ่งในยุคดิจิทัล ซึ่งถือเป็นหนึ่งในประเด็นด้านความยั่งยืนที่ทรูให้ความสำคัญในระดับสูงมาก มนตรี สถาพรกุล “หลังการควบรวมระหว่างทรู และดีแทค ทำให้มีฐานลูกค้ากว่า 51 ล้านรายที่ต้องดูแล และหากรวมบริการต่างๆ ทั้งหมดแล้ว จะมีมากกว่า 100 ล้านบัญชีที่ต้องดูแลข้อมูลส่วนบุคคล โดยได้ยึดกลยุทธ์ “Privacy and Security by Design” ซึ่งเป็นการเคารพสิทธิความเป็นส่วนตัวที่ปกป้องข้อมูลลูกค้าให้ปลอดภัย ตั้งแต่ขั้นตอนการออกแบบ พร้อมคุมเข้มความปลอดภัยสารสนเทศ ด้วยมาตรฐานสากล ISO 27001 และเน้นการใช้เทคโนโลยีเพื่อจำกัด การเข้าถึงข้อมูลส่วนบุคคลที่ไม่จำเป็น” นอกจากนี้ยังได้มีการนำเทคโนโลยีปัญญาประดิษฐ์ หรือ เอไอ มาใช้ในการลงทะเบียนซิมเพื่อความแม่นยำและปลอดภัย การเปลี่ยนเอกสารไปเป็นดิจิทัล เลิกใช้กระดาษ 100% นำ เอไอ และแชตบอทเข้ามาเพิ่มประสิทธิภาพในการให้บริการลูกค้า เพื่อลดระยะเวลารอและลดระดับการเข้าถึงข้อมูลส่วนบุคคล หัวหน้าฝ่ายคุ้มครองข้อมูลส่วนบุคคล บอกต่อว่า คนไทยส่วนใหญ่ยังตระหนักถึงความสำคัญของข้อมูลส่วนบุคคลของตนเองน้อย จึงต้องมีการสร้างความเข้าใจถึงความสำคัญของข้อมูลส่วนบุคคล ควรทำในวงกว้าง และต่อเนื่อง เราต้องการให้ผู้ใช้บริการมือถือและเทคโนโลยีดิจิทัลทุกคนเข้าใจสิทธิของการเป็นเจ้าของข้อมูลและรับรู้วัตถุประสงค์ในการใช้ข้อมูล เลือกที่จะให้หรือไม่ให้ความยินยอมในการเข้าถึง เปิดเผย และใช้ข้อมูลส่วนบุคคล มีสิทธิทราบ ขั้นตอนที่ได้มาของข้อมูล และมีสิทธิยกเลิกหรือแจ้งให้ลบทำลายข้อมูลส่วนบุคคลภายใต้กฎหมายเมื่อไหร่ก็ได้ โดยผู้ให้บริการมือถือและดิจิทัล เป็นเพียง “ผู้ควบคุมข้อมูลส่วนบุคคล” เท่านั้น ผู้ใช้บริการซึ่งเป็นเจ้าของข้อมูล สามารถเลือกให้ความยินยอมด้านความเป็นส่วนตัวใน 2…
สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) เร่งทำงานเชิงรุกตรวจสอบเฝ้าระวังการรั่วไหลและการละเมิดข้อมูลส่วนบุคคลของประชาชนอย่างต่อเนื่อง และมาตรการยกระดับการคุ้มครองข้อมูลส่วนบุคคลของประเทศ สกัดการรั่วไหลข้อมูลส่วนบุคคลกว่า 5,000 เคส
การรั่วไหลของ “ข้อมูลส่วนบุคคล” กลายเป็นปัญหาใหญ่ของทั้งธุรกิจองค์กรและบุคคลทั่วไป ทั้งมีแนวโน้มว่าเหตุการณ์จะเกิดขึ้นอย่างต่อเนื่องในปีนี้และต่อๆ ไปในอนาคต เซียง เทียง โยว ผู้จัดการทั่วไปประจำภูมิภาคเอเชียตะวันออกเฉียงใต้ แคสเปอร์สกี้ เปิดมุมมองว่า แม้ว่าการละเมิดข้อมูลจะส่งผลต่อความเป็นส่วนตัวของบุคคลโดยตรง แต่ความปลอดภัยทางไซเบอร์ขององค์กรก็ตกอยู่ในความเสี่ยงเช่นกัน ที่ผ่านมา ผู้ใช้อินเทอร์เน็ตมักจะใช้อีเมลแอดเดรสของบริษัทเพื่อลงทะเบียนกับเว็บไซต์ของบุคคลที่สาม ซึ่งอาจทำให้ข้อมูลรั่วไหลได้เมื่อข้อมูลที่ละเอียดอ่อน เช่น อีเมลแอดเดรส สามารถเข้าถึงได้โดยสาธารณะ ข้อมูลดังกล่าวอาจเรียกความสนใจจากอาชญากรไซเบอร์ และจุดชนวนให้เกิดการสนทนาบนเว็บไซต์ดาร์กเน็ตเกี่ยวกับการโจมตีที่อาจเกิดขึ้นกับองค์กร มากกว่านั้นข้อมูลดังกล่าวยังสามารถใช้ทำฟิชชิงและวิศวกรรมสังคมได้อีกด้วย ไม่ควรไล่ใครออก เมื่อเกิดเหตุ ปัจจุบัน องค์กรต่างๆ ล้วนต้องมีความเสี่ยง ตั้งแต่บริษัทขนาดเล็กที่สุดที่เก็บสำรองข้อมูลแบบออฟไลน์ไว้ห่างจากสำนักงาน ไปจนถึงองค์กรขนาดใหญ่ที่สุดที่ต้องการใช้ชุดโซลูชันการป้องกันขั้นสูง เนื่องจากค่าเสียหายของการละเมิดข้อมูล ไม่ได้มีเพียงค่าใช้จ่ายในการจัดการกับการกู้คืนหลังการโจมตีเท่านั้น แต่ยังรวมถึงความเสียหายต่อชื่อเสียงและการสูญเสียความต่อเนื่องทางธุรกิจ ผู้เชี่ยวชาญของแคสเปอร์สกี้แนะนำรายการตรวจสอบเพื่อให้ธุรกิจสามารถกลับมาดำเนินการได้เร็วยิ่งขึ้น และเพื่อเสริมความแข็งแกร่งให้กับการดำเนินงานด้านความปลอดภัยด้านไอทีหลังจากเกิดการละเมิดข้อมูล ดังนี้ 1. ประเมินสถานการณ์ : ประเมินความเสี่ยงของการละเมิดข้อมูลที่มีต่อลูกค้า การประเมินความเสี่ยงช่วยให้ตัดสินใจขั้นตอนต่อไปและการรายงานการละเมิด หากมีความเสี่ยงสูงจะต้องแจ้งให้ลูกค้าทราบโดยไม่รีรอ 2. ไม่ไล่…
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ มาตรา 37 (4) กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ “แจ้งเหตุการละเมิดข้อมูลส่วนบุคคล” แก่สำนักงานโดยไม่ชักช้าภายใน 72 ชั่วโมง นับแต่ทราบเหตุเท่าที่จะสามารถกระทำได้ เว้นแต่การละเมิดดังกล่าวไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล อย่างไรก็ตาม ในกรณีที่การละเมิดมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคลให้แจ้งเหตุการละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบพร้อมกับแนวทางการเยียวยาโดยไม่ชักช้าด้วย ตามมาตรา 37 (4) แสดงให้เห็นว่า “การประเมินความเสี่ยงต่อสิทธิและเสรีภาพของบุคคล” เป็นเงื่อนไขสำคัญประการหนึ่งที่ทำให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบว่าตนเองนั้นมีหน้าที่ต้องแจ้งหรือไม่ต้องแจ้งเหตุ แก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลและเจ้าของข้อมูลส่วนบุคคลให้ทราบถึงเหตุการละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้น ดังนั้น ผู้ควบคุมข้อมูลส่วนบุคคลจึงจำเป็นต้องพิจารณาปัจจัยต่าง ๆ เพื่อใช้ในการประเมินความเสี่ยงต่อสิทธิและเสรีภาพของบุคคล เมื่อเหตุการละเมิดข้อมูลส่วนบุคคลเกิดขึ้น คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้กำหนดปัจจัยต่าง ๆ ที่ผู้ควบคุมข้อมูลส่วนบุคคลอาจใช้ในการประเมินความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคลไว้ในประกาศฯ เรื่อง หลักเกณฑ์และวิธีการในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลฯ ข้อ 12 โดยผู้ควบคุมข้อมูลส่วนบุคคล อาจพิจารณาจากปัจจัย ดังต่อไปนี้ (1) ลักษณะและประเภทของการละเมิดข้อมูลส่วนบุคคล (2) ลักษณะหรือประเภทของข้อมูลส่วนบุคคลที่เกี่ยวข้องกับการละเมิด (3) ปริมาณของข้อมูลส่วนบุคคลที่เกี่ยวข้องกับการละเมิด ซึ่งอาจพิจารณาจากจำนวนเจ้าของข้อมูลส่วนบุคคลหรือจำนวนรายการ (records)…
เราใช้คุกกี้เพื่อพัฒนาประสิทธิภาพ และประสบการณ์ที่ดีในการใช้เว็บไซต์ของคุณ คุณสามารถศึกษารายละเอียดได้ที่ นโยบายความเป็นส่วนตัว