ข้อมูลส่วนบุคคล Archives

Slick แอปวัยรุ่นอินเดียทำฐานข้อมูลผู้ใช้นับแสนรายหลุดบนโลกออนไลน์

การรักษาความลับ, ข่าวประจำวัน, สถานการณ์ไซเบอร์By Admin S.10 12 February 2023

Slick แอปพลิเคชันโซเชียลมีเดียสัญชาติอินเดียที่ขณะนี้กำลังมาแรงทำฐานข้อมูลผู้ใช้งานหลุดสู่สาธารณะเป็นเวลาหลายเดือน ในจำนวนนี้มีข้อมูลเด็กนักเรียนด้วย ฐานข้อมูลนี้หลุดออกมาตั้งแต่เมื่อวันที่ 11 ธันวาคม มีทั้งชื่อนามสกุล เบอร์โทร วันเกิด และรูปโปรไฟล์ของผู้ใช้งานมากกว่า 153,000 คน ผู้ที่เจอฐานข้อมูลที่หลุดออกมานี้คือ อนุรัก เซ็น (Anurag Sen) จาก CloudDefense.ai ซึ่งได้ขอให้เว็บไซต์ TechCrunch ช่วยแจ้งเตือนไปยัง Slick ซึ่งทาง Slick ก็ได้แก้ไขเรียบร้อยแล้ว เซ็นยังได้จากแจ้งไปยังหน่วยตอบโต้เหตุฉุกเฉินทางคอมพิวเตอร์อินเดีย (CERT-In) ให้ทราบด้วยแล้ว TechCrunch พบว่าการหลุดรั่วของฐานข้อมูลในครั้งนี้เกิดจากการตั้งค่าที่ผิดพลาด ทำให้ใครก็ตามที่รู้เลขไอพีของฐานข้อมูลก็จะสามารถเข้าไปดูข้อมูลได้หมด Slick เปิดให้ใช้งานครั้งแรกเมื่อเดือนพฤศจิกายน 2022 ก่อตั้งโดย อาจิต นันดา (Archit Nanda) อดีตผู้บริหาร Unacademy โดย Slick เป็นแพลตฟอร์มสำหรับนักเรียนและนักศึกษามาพูดคุยกันได้แบบไม่เปิดเผยตัวตน ในปัจจุบันมีผู้ดาวน์โหลดถึง 100,000 ครั้ง…

แนวทางประเมินความเสี่ยงและแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล

บทความน่าสนใจBy Admin S.10 6 February 2023

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ มาตรา 37 (4) กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ “แจ้งเหตุการละเมิดข้อมูลส่วนบุคคล” แก่สำนักงานโดยไม่ชักช้าภายใน 72 ชั่วโมง นับแต่ทราบเหตุเท่าที่จะสามารถกระทำได้ เว้นแต่การละเมิดดังกล่าวไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล อย่างไรก็ตาม ในกรณีที่การละเมิดมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคลให้แจ้งเหตุการละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบพร้อมกับแนวทางการเยียวยาโดยไม่ชักช้าด้วย ตามมาตรา 37 (4) แสดงให้เห็นว่า “การประเมินความเสี่ยงต่อสิทธิและเสรีภาพของบุคคล” เป็นเงื่อนไขสำคัญประการหนึ่งที่ทำให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบว่าตนเองนั้นมีหน้าที่ต้องแจ้งหรือไม่ต้องแจ้งเหตุ แก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลและเจ้าของข้อมูลส่วนบุคคลให้ทราบถึงเหตุการละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้น ดังนั้น ผู้ควบคุมข้อมูลส่วนบุคคลจึงจำเป็นต้องพิจารณาปัจจัยต่าง ๆ เพื่อใช้ในการประเมินความเสี่ยงต่อสิทธิและเสรีภาพของบุคคล เมื่อเหตุการละเมิดข้อมูลส่วนบุคคลเกิดขึ้น คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้กำหนดปัจจัยต่าง ๆ ที่ผู้ควบคุมข้อมูลส่วนบุคคลอาจใช้ในการประเมินความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคลไว้ในประกาศฯ เรื่อง หลักเกณฑ์และวิธีการในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลฯ ข้อ 12 โดยผู้ควบคุมข้อมูลส่วนบุคคล อาจพิจารณาจากปัจจัย ดังต่อไปนี้ (1) ลักษณะและประเภทของการละเมิดข้อมูลส่วนบุคคล (2) ลักษณะหรือประเภทของข้อมูลส่วนบุคคลที่เกี่ยวข้องกับการละเมิด (3) ปริมาณของข้อมูลส่วนบุคคลที่เกี่ยวข้องกับการละเมิด ซึ่งอาจพิจารณาจากจำนวนเจ้าของข้อมูลส่วนบุคคลหรือจำนวนรายการ (records)…

รู้จักกับ Phishing การขโมยข้อมูลทางไซเบอร์

บทความน่าสนใจBy Admin S.10 27 January 2023

รู้จักกับ Phishing การขโมยข้อมูลทางไซเบอร์และวิธีการรับมือรูปแบบต่าง ๆ ปัจจุบันความปลอดภัยของข้อมูลส่วนบุคคลบนโลกไซเบอร์เป็นสิ่งสำคัญเป็นอย่างมาก เนื่องจากเกี่ยวข้องกับรูปแบบการใช้ชีวิตของบุคคลนั้น ๆ เช่น การทำงานและการเงิน เมื่อข้อมูลอยู่บนโลกออนไลน์ที่สามารถเข้าถึงได้ทำให้ผู้ไม่ประสงค์ดีอาจใช้ช่องทางดังกล่าวแสวงหาประโยชน์จากข้อมูลส่วนบุคคล เช่น การหลอกให้โอนเงินและการขโมยเงินในบัญชีธนาคาร ช่องทางการขโมยข้อมูลทางไซเบอร์ 1. ปลอมอีเมล วิธีการปลอมอีเมลติดต่อให้ดูเหมือนเป็นอีเมลของธนาคารหรือบริษัทที่ถูกแอบอ้าง หากได้รับอีเมลแปลก ๆ ให้สังเกตชื่อที่อยู่ด้านหลังของอีเมลว่าเป็นชื่อของเว็บไซต์ของหน่วยงานนั้น ๆ จริงหรือไม่ 2. เว็บไซต์ปลอมหลอกให้กรอกข้อมูล การปลอมเว็บไซต์และข้อมูลใหม่ทั้งระบบโดยลอกเลียนแบบมาจากเว็บไซต์ของธนาคารหรือบริษัทที่ถูกแอบอ้าง อย่างไรก็ตามจุดสังเกตเว็บไซต์ปลอมมีหลายจุด เช่น เมนูที่คลิกไม่ได้ การออกแบบที่ไม่สมส่วนหรือกระจัดกระจายไม่มีระเบียบ รวมไปถึง URL ชื่อที่อยู่ของเว็บไซต์ที่ใช้ชื่อแปลก ๆ 3. โทรศัพท์ (Call Center) รูปแบบการหลอกขอข้อมูลและโอนเงินที่ระบาดมากที่สุดทั้งในประเทศไทยและต่างประเทศ มักใช้วิธีปลอมตัวเป็นธนาคารและเจ้าหน้าที่ของรัฐ โทรมาสอบถามและแจ้งเหตุด่วนให้เหยื่อรีบโอนเงินกลับไป 4. ข้อความสั้น SMS การส่งข้อความไปยังโทรศัพท์ของเหยื่อโดยตรงเพื่อหลอกให้คลิกลิงก์แปลก ๆ และกรอกข้อมูลต่าง ๆ…

“กสทช.”เตือนอย่าหลงเชื่อกรอกข้อมูลแอบอ้างช่วยขยายเวลาทดลองออกอากาศวิทยุ

การรักษาความลับ, ข่าวประจำวัน, สถานการณ์ไซเบอร์By Admin S.10 26 January 2023

สำนักงาน กสทช. เผยไม่เคยให้ข้อมูลข่าวสารเกี่ยวกับการลงทะเบียนขยายเวลาทดลองออกอากาศวิทยุชุมชน และไม่เคยขอให้กรอกข้อมูลส่วนบุคคลของผู้ลงทะเบียน ตามที่มีการแชร์ข้อมูลในกลุ่มไลน์ต่าง ๆ พลอากาศโท ธนพันธุ์ หร่ายเจริญ กรรมการ กสทช. เปิดเผยว่า ตามที่ปรากฏข้อมูลหรือข่าวสารเกี่ยวกับการลงทะเบียน ขอขยายเวลาการทดลองออกอากาศวิทยุกระจายเสียง ในระบบเอฟเอ็ม โดยมีการอ้างอิงประกาศ กสทช. เรื่อง หลักเกณฑ์ ว่าด้วยการทดลองออกอากาศวิทยุกระจายเสียง ในระบบเอฟเอ็ม และกำหนดให้มีการกรอกข้อมูลส่วนบุคคล ของผู้ลงทะเบียน รวมทั้งมีการนำเสนอข้อมูลที่มีการพาดพิงถึงสำนักงาน กสทช. ในกลุ่มไลน์ นั้น ขอชี้แจ้งว่า การดำเนินการดังกล่าวไม่ได้มีส่วนเกี่ยวข้องกับ กสทช. และสำนักงาน กสทช. แต่อย่างใด ทั้งนี้การทดลองออกอากาศวิทยุกระจายเสียง ระบบเอฟเอ็มนั้น กสทช. ยังคงมีนโยบายที่จะเร่งรัดปรับปรุงหลักเกณฑ์ ที่เกี่ยวข้องให้แล้วเสร็จโดยเร็ว เพื่อรองรับให้มีการออกใบอนุญาตประกอบกิจการวิทยุกระจายเสียงแก่ผู้ที่ประสงค์ จะดำเนินกิจการวิทยุกระจายเสียงต่อไป ให้มีความต่อเนื่องกับการยุติการทดลองออกอากาศวิทยุกระจายเสียง ระบบเอฟเอ็ม ในวันที่ 31 ธ.ค. 67 “กสทช. ให้ความสำคัญกับการแก้ไขปัญหาการทดลองออกอากาศวิทยุกระจายเสียง ระบบเอฟเอ็ม เพื่อให้ผู้ทดลอง…

แนวทางในการคัดเลือก เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)

บทความน่าสนใจBy Admin S.10 16 January 2023

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer:DPO) ถือเป็นบุคคลสำคัญในการกำกับดูแลด้านการคุ้มครองข้อมูลส่วนบุคคลขององค์กร พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จึงได้กำหนดหน้าที่ในการจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลไว้ โดยให้ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลต้องจัดให้มี DPO ในกรณีดังต่อไปนี้ (1) ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเป็นหน่วยงานของรัฐตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด หรือ (2) การดำเนินกิจกรรมของผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคลในการเก็บรวบรวม ใช้ หรือเปิดเผย จำเป็นต้องตรวจสอบข้อมูลส่วนบุคคลหรือระบบอย่างสม่ำเสมอโดยเหตุที่มีข้อมูลส่วนบุคคลเป็นจำนวนมากตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด หรือ (3) “กิจกรรมหลัก” ของผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคลเป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามมาตรา 26 ในปัจจุบัน คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลยังไม่ได้มีการออกประกาศตามข้อ (1) และ (2) ดังกล่าวข้างต้น ในส่วนของบุคคลที่จะทำหน้าที่ DPO กฎหมายกำหนดว่าอาจเป็นพนักงานของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล หรือเป็นผู้รับจ้างให้บริการตามสัญญาก็ได้เช่นกัน หน้าที่หลัก ๆ ของ DPO คือ การให้คำแนะนำและตรวจสอบองค์กรนั้น ๆ ในการปฏิบัติและดำเนินการให้สอดคล้องกับพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ…

กฎหมาย PDPA ที่หลายหน่วยงาน ยังไม่มีความตระหนัก

บทความน่าสนใจBy Admin S.10 9 January 2023

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ประกาศมาตั้งแต่เดือนพ.ค. พ.ศ. 2562 และเลื่อนการบังคับใช้มาหลายรอบ จนกระทั่งเริ่มบังคับใช้กันอย่างจริงจังเมื่อวันที่ 1 มิ.ย.ปีที่ผ่านมา แม้หลายหน่วยงาน โดยเฉพาะองค์กรขนาดใหญ่จะเตรียมตัวกันอย่างจริงจัง และตระหนักต่อกฎหมาย PDPA นี้ วันหนึ่งนิติบุคคลของหมู่บ้านแจ้งในไลน์กลุ่มว่า ขณะนี้นิติบุคคลได้เปลี่ยนบริษัทที่ทำหน้าที่รักษาความปลอดภัย หรือ รปภ. ซึ่งไม่เพียงแต่เก็บบัตรประชาชนของผู้มาติดต่อไว้ชั่วคราวในการแลกบัตรเข้าออกหมู่บ้าน แต่จะเพิ่มมาตรการให้มีระบบถ่ายรูปทะเบียนรถพร้อมบัตรประชาชนผู้ที่มาติดต่ออีกด้วย เมื่อเห็นข้อความเช่นนี้ ผมก็ตกใจเพราะเพียงแค่เก็บบัตรประชาชนไว้ชั่วคราวโดยไม่ได้มีการขออนุญาตก็ถือว่าเป็นการละเมิดกฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA) แล้ว แต่ยังจะถ่ายรูปเก็บไว้อีกด้วย ซึ่งเมื่อติงไปว่าอาจผิดกฎหมาย PDPA คำตอบที่ได้รับคือ ที่อื่น ๆ ก็ทำกัน ข้อสำคัญเราแค่เก็บไว้ในเครื่องคอมพิวเตอร์ ความเห็นคนในหมู่บ้านในเรื่องนี้ก็ค่อนข้างจะหลากหลาย แต่ส่วนหนึ่งก็คิดว่าต้องการจะเก็บข้อมูลเพื่อเอาไว้ตรวจสอบผู้มาติดต่อในหมู่บ้าน ไม่น่าจะมีปัญหาว่าขัดต่อกฎหมาย เพราะหลายหมู่บ้านก็ทำกัน เช่นกันกับการเข้าออกอาคารสำนักงานต่าง ๆ ส่วนใหญ่ก็ต้องแลกบัตร รวมทั้งบางคนก็มองว่ากฎหมาย PDPA น่าจะหมายถึงการห้ามนำข้อมูลคนอื่นมาทำให้เกิดความเสียหายหรือก่อความรำคาญแก่เจ้าของข้อมูล และคิดว่าการเก็บข้อมูลเพื่อความปลอดภัยและตรวจสอบน่าจะทำได้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ประกาศมาตั้งแต่เดือน พ.ค. พ.ศ. 2562 และเลื่อนการบังคับใช้มาหลายรอบ จนกระทั่งเริ่มบังคับใช้กันอย่างจริงจังเมื่อวันที่…

Tag Archives: ข้อมูลส่วนบุคคล