แอพช่วยติดตามผู้เข้าใกล้เชื้อโควิด 19 กับประเด็นความเป็นส่วนตัวของสหภาพยุโรป

Loading

สหภาพยุโรปได้ชื่อว่าเป็นผู้นำของโลกเรื่องการปกป้องคุ้มครองข้อมูลและความเป็นส่วนตัวของบุคคลโดยเฉพาะอย่างยิ่งข้อมูลในระบบดิจิตอล แต่ปัญหาการระบาดของโรคโควิด-19 รวมทั้งความจำเป็นเพื่อติดตามและเก็บข้อมูลเกี่ยวกับบุคคลผู้สัมผัสใกล้ชิดกับผู้ติดเชื้อกำลังทำให้เกิดคำถามและข้อโต้แย้งเกี่ยวกับเรื่องนี้ เพราะโดยปกติแล้วการสืบสวนโรคและติดตามผู้ได้ติดต่อสัมผัสกับผู้ที่มีเชื้อ หรือที่เรียกว่า contact tracing เพื่อการแจ้งเตือนและแยกตัวเองนั้นต้องใช้ทั้งเวลาและกำลังคนเป็นจำนวนมาก ดังนั้นขณะนี้หลายประเทศในยุโรปจึงหันมาพิจารณาใช้เทคโนโลยีในสมาร์ทโฟนเพื่อแก้ปัญหาดังกล่าว โดยวิธีที่ได้รับความสนใจมากที่สุดในปัจจุบันคือการใช้ระบบส่งสัญญาณบลูทูธจากโทรศัพท์มือถือเพื่อติดตามและเก็บข้อมูลเกี่ยวกับเจ้าของโทรศัพท์ผู้อาจเคยสัมผัสใกล้ชิดกับผู้ที่มีเชื้อ และขณะนี้ก็มีระบบซึ่งเป็นทางเลือกใหญ่ๆ อยู่สองระบบด้วยกันในยุโรป โดยระบบหนึ่งซึ่งสนับสนุนโดยเยอรมนีมีชื่อเรียกย่อว่า PEPP-PT อาศัยการเก็บข้อมูลแบบรวมศูนย์เข้าไว้ที่เซิฟเวอร์ส่วนกลาง ในขณะที่อีกระบบหนึ่งซึ่งมีสวิตเซอร์แลนด์เป็นผู้นำและมีชื่อว่า DP3T นั้นไม่ใช้วิธีเก็บข้อมูลแบบรวมไว้ที่ศูนย์กลางแต่อย่างใด ผู้ที่สนับสนุนเรื่องการปกป้องความเป็นส่วนตัวเห็นด้วยกับระบบของสวิตเซอร์แลนด์ที่ไม่เก็บข้อมูลแบบรวมศูนย์เข้าส่วนกลางเพราะข้อมูลซึ่งไม่มีการระบุตัวตนผู้ใช้นี้จะถูกเก็บไว้เฉพาะในเครื่องโทรศัพท์เท่านั้น แต่ก็มีรัฐบาลของบางประเทศในยุโรปที่สนับสนุนระบบการเก็บข้อมูลแบบรวมเข้าที่เซิร์พเวอร์ส่วนกลางเพราะเห็นว่าฐานข้อมูลดังกล่าวจะเป็นประโยชน์สำหรับการตัดสินใจเชิงนโยบาย ดูเหมือนว่าขณะนี้ประเทศต่างๆ ในยุโรปกำลังแบ่งเป็นสองกลุ่มใหญ่ๆ ในแง่การใช้ระบบเพื่อเก็บรวบรวมข้อมูลเพื่อช่วยติดตามการสัมผัสใกล้ชิดกับผู้ป่วย กล่าวคือสวิตเซอร์แลนด์ ออสเตรีย ไอร์แลนด์ และเอสโตเนียเป็นตัวอย่างของประเทศที่สนับสนุนการเก็บข้อมูลแบบไม่รวมศูนย์เข้าส่วนกลาง และมีอิตาลีกับเยอรมนีที่เริ่มเห็นด้วยในช่วงหลังนี้ขณะที่ฝรั่งเศสต้องการใช้ระบบเก็บข้อมูลแบบรวมศูนย์ของตนเอง แต่ก็มีบางประเทศอย่างเช่นนอรเวย์ซึ่งพัฒนาแอพของตนที่ไปไกลกว่านั้นคืออาศัยข้อมูลทั้งจากระบบ GPS และบลูทูธเพื่อเก็บรวบรวมข้อมูลจากผู้ใช้โทรศัพท์และอัพโหลดเข้าไปที่เซิร์ฟเวอร์ส่วนกลางทุกๆชั่วโมงเป็นต้น แต่สเปนนั้นกำลังพิจารณาจะผ่อนคลายมาตรการล็อคดาวน์และอาจไม่นำเทคโนโลยีเพื่อช่วยติดตามผู้สัมผัสใกล้ชิดดังกล่าวนี้มาใช้เลย การมีมาตรฐานที่แตกต่างกันระหว่างประเทศต่างๆ ในยุโรปในขณะนี้ทำให้ผู้เชี่ยวชาญด้านเทคโนโลยีเตือนว่าปัญหาหนึ่งที่จะเกิดขึ้นคือแอพที่ใช้กับโทรศัพท์มือถืออาจจะไม่สื่อสารหรือส่งผ่านข้อมูลระหว่างกันเมื่อพลเมืองของประเทศหนึ่งเดินทางข้ามพรมแดนเข้าไปในอีกประเทศหนึ่ง และเห็นได้ชัดว่าความกังวลของกลุ่มที่สนับสนุนเรื่องการปกป้องความเป็นส่วนตัวก็คือถ้ารัฐบาลนำเทคโนโลยีช่วยด้าน contact tracing มาใช้เกินความจำเป็น เรื่องนี้ก็อาจนำไปสู่การติดตามสอดส่องความเคลื่อนไหวของประชาชนในวงกว้างโดยรัฐบาลที่นิยมใช้อำนาจเผด็จการได้ และถึงแม้ว่าโอกาสของการใช้แอพในโทรศัพท์มือถืออย่างเช่นที่เคยใช้ในเกาหลีใต้หรือฮ่องกงเพื่อติดตามเฝ้าระวังการแพร่ระบาดของโรคโควิด-19 จะเกิดขึ้นได้ยากในยุโรปนั้น นักวิเคราะห์ก็หวังว่าระบบที่สามารถตกลงกันได้ในกลุ่มสหภาพยุโรปจะช่วยสร้างมาตรฐานเรื่องการคุ้มครองความเป็นส่วนตัว ซึ่งประเทศอื่นๆในทวีปอื่นๆ จะสามารถนำมาใช้ได้เช่นกัน ————————————————————————– ที่มา : VOA Thai / 5 พฤษภาคม 2563 Link :…

‘ดีอีเอส’ ถกเลื่อน ‘กฎหมายข้อมูลส่วนบุคคล’

Loading

ดีอีเอส เร่งถกยืดบังคับใช้กฎหมายข้อมูลส่วนบุคคล หลังพบ ‘โควิด’ ทำพิษ หลายบริษัทพ่วงเอสเอ็มอียังไม่พร้อมปรับใช้ ระบุไม่เกินสิ้นเดือนนี้ได้ข้อสรุปจะเลื่อนไปเป็นช่วงไหน “พุทธิพงษ์” ชี้จะต้องดำเนินการให้เหมาะสม ทั้งการออกกฎหมายลูก หรือระเบียบที่จำเป็น เพื่อให้กฎหมายคุ้มครองข้อมูลส่วนบุคคลนำไปบังคับใช้ให้เกิดประโยชน์กับทุกฝ่าย นายพุทธิพงษ์ ปุณณกันต์ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอีเอส) กล่าวถึง ตามที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 มีประกาศใช้ใช้ไปเมื่อ 27 พ.ค. 2562 และจะมีผลบังคับใช้ในปลายเดือนนี้คือ 28 พ.ค. 2563 โดยกฎหมายบัญญัติให้มีการจัดตั้งสำนักคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และออกระเบียบและกฎหมายลูกในการปฏิบัติตามกฎหมายซึ่งทั้งหมดอยู่ระหว่างการดำเนินการ ตามบทบัญญัติของกฎหมายไม่สามารถเลื่อนการมีผลบังคับใช้ออกไปได้ แต่เมื่อพิจารณาถึงสถานการณ์ปัจจุบัน ประกอบกับการเตรียมความพร้อมของหน่วยงานภาครัฐและเอกชน ตนเห็นตรงกับหลายฝ่ายว่าควรหาช่องทางบรรเทาการบังคับใช้ด้วยการยืดระยะเวลาออกไปอย่างน้อย 1 ปี โดยได้รับฟังข้อเสนอจากกรรมการผู้ทรงคุณวุฒิ ในคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (กมช.) ที่เสนอให้ รัฐบาลตราพระราชกฤษฎีกายกเว้นการนำบทบัญญัติของพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลทั้งหมดหรือบางส่วนมาบังคับใช้ โดยตนได้นำเรื่องนี้เข้าหารือกับนายวิษณุเครืองามรองนายกรัฐมนตรีเพื่อพิจารณาถึงความเป็นไปได้และเหตุผลความจำเป็นในการออกพระราชกฤษฎีกา “เราพยายามจะให้ยืดระยะเวลาออกไป เพื่อให้ การบังคับใช้กฎหมายเหมาะสมกับสถานการณ์ปัจจุบันเพราะถ้าหากรีบใช้อาจจะไม่เกิดประโยชน์กับทุกคน และความพร้อมทั้งหน่วยงานรัฐและเอกชนที่ต้องปฏิบัติ เพราะในสถานการณ์การแพร่ระบาดของไวรัสโคโรนา 2019 (โควิด-19) ต้องยอมรับว่ามีหลายบริษัทรวมไปถึงเอสเอ็มอีเอง ปรับตัวเพราะให้เข้ากับกฎหมายไม่ทัน จึงก็ต้อง พิจารณาให้ดี” นายพุท ธิพงษ์ กล่าว…

แนวทางการปฎิบัติสำหรับการประมวลผลและจัดเก็บข้อมูลชีวภาพ (Biometrics) โดย ดร.มนต์ศักดิ์ โซ่เจริญธรรม

Loading

บทความนี้เรียบเรียง สรุป (และอธิบายขยายความเพิ่มเติม) จากเอกสาร Guidelines on processing of personal data through video devices Version 2.0 (เผยแพร่เมื่อ มกราคม 2020) โดยมีวัตถุประสงค์เพื่อใช้เป็นเอกสารแนะนำการทำงานเกี่ยวกับกล้อง CCTV และข้อมูล Biometrics (ข้อมูลชีวมิติ/ชีวภาพ) การเรียบเรียงเอกสารฉบับนี้ ไม่ใช่การแปลตรง ๆ แต่เป็นการเขียนสรุปความ และเรียบเรียงขึ้นใหม่ในสำนวนและภาษาของผู้เขียนเอง คำอธิบายและตัวอย่างบางส่วนมิได้มาจากเอกสารข้างต้นที่อ้างถึง แต่หยิบยกจากประสบการณ์และความรู้ของผู้เขียนเอง โดยเฉพาะอย่างยิ่ง เนื้อหาในหัวข้อแรก “พื้นฐานความเข้าใจเบื้องต้น” ที่อธิบายเพื่อปูพื้นฐานให้ผู้อ่านเข้าใจความเชื่อมโยงระหว่างเทคโนโลยีดิจิทัล ปัญญาประดิษฐ์ และข้อมูลส่วนบุคคล ว่าเชื่อมโยงไปที่ Biometrics อย่างไร เพื่อให้ผู้อ่านสามารถอ่านติดตามทำความเข้าใจได้ดียิ่งขึ้น 1. พื้นฐานความเข้าใจเบื้องต้น ข้อมูลชีวภาพ ใน พรบ. คุ้มครองข้อมูลส่วนบุคคล  เทียบได้กับคำว่า Biometric ใน GDPR (General Data Protection Regulation) ทั้งนี้…

Linksys แจ้งเตือนผู้ใช้เปลี่ยนรหัสผ่านบัญชี Smart Wi-Fi หลังพบเราเตอร์จำนวนมากถูกแฮกแพร่กระจายมัลแวร์ COVID-19

Loading

บริษัท Linksys ผู้ผลิตเราเตอร์ ได้แจ้งเตือนให้ผู้ใช้เปลี่ยนรหัสผ่านของบัญชี Smart Wi-Fi ให้เป็นรหัสผ่านที่ไม่ซ้ำกับที่เคยใช้ในบริการอื่น เนื่องจากพบว่าบัญชี Smart Wi-Fi จำนวนมากถูกแฮกแล้วผู้ไม่หวังดีได้เข้าไปแก้ไขการตั้งค่าเราเตอร์เพื่อพาไปยังหน้าเว็บไซต์ที่หลอกให้ดาวน์โหลดแอปพลิเคชันมัลแวร์ที่อ้างว่าใช้ติดตามข้อมูลไวรัส COVID-19 เราเตอร์ของ Linksys รุ่นใหม่ ๆ นั้นสามารถผูกเข้ากับบัญชี Smart Wi-Fi เพื่อให้สามารถตั้งค่าและจัดการเราเตอร์ได้ผ่านเว็บไซต์ www.linksyssmartwifi.com ซึ่งบริการนี้สามารถช่วยให้ผู้ดูแลระบบสามารถจัดการเราเตอร์หลายเครื่องพร้อมกันได้จากระยะไกล อย่างไรก็ตาม หากผู้ไม่หวังดีสามารถล่วงรู้อีเมลและรหัสผ่านสำหรับเข้าถึงบริการดังกล่าว ก็สามารถเข้ามาแก้ไขการตั้งค่าเราเตอร์ที่ผู้กับบัญชีนั้นได้ เมื่อช่วงปลายเดือนมีนาคม 2563 มีรายงานการโจมตีเราเตอร์ตามบ้านเพื่อแก้ไขการตั้งค่า DNS ให้พาไปยังเว็บไซต์ที่หลอกแพร่กระจายมัลแวร์โดยอ้างว่าเป็นแอปพลิเคชันสำหรับติดตามข่าวสารเรื่องไวรัส COVID-19 (ข่าวเก่า https://www.thaicert.or.th/newsbite/2020-03-24-02.html) ต่อมาทางบริษัท Bitdefender ได้วิเคราะห์ข้อมูลเพิ่มเติมแล้วพบว่าเราเตอร์ส่วนใหญ่ที่ถูกโจมตีนั้นเป็นยี่ห้อ Linksys โดยในบทความได้วิเคราะห์ว่าสาเหตุของการโจมตีน่าจะมาจากการแฮกบัญชี Smart Wi-Fi จากเหตุการณ์ดังกล่าว ทาง Linksys ได้เผยแพร่แถลงการณ์แจ้งเตือนให้ผู้ใช้เปลี่ยนรหัสผ่านของบัญชี Smart Wi-Fi เนื่องจากพบการโจมตีในลักษณะ credential stuffing ซึ่งเป็นการนำรหัสผ่านที่รั่วไหลจากบริการอื่นมาทดลองล็อกอิน หากผู้ใช้ตั้งรหัสผ่านเดียวกันในหลายบริการ ก็มีโอกาสที่จะถูกแฮกบัญชีของบริการอื่น ๆ ที่ใช้อีเมลและรหัสผ่านเดียวกันด้วย ทาง Linksys…

กรณีศึกษา ข้อควรพิจารณาก่อนโพสต์ภาพการประชุม video conference ออกสู่อินเทอร์เน็ต

Loading

จากกรณีไวรัสโคโรน่าหรือ COVID-19 แพร่ระบาด ทำให้หลายองค์กรได้มีมาตรการ work from home เพื่อให้พนักงานทำงานจากที่บ้านได้ โดยอาจมีการประชุมออนไลน์แบบ video conference เป็นระยะๆ อย่างไรก็ตาม การนำภาพในขณะที่มีการประชุมออนไลน์มาเผยแพร่ออกสู่อินเทอร์เน็ตนั้นอาจมีความเสี่ยงทั้งด้านความมั่นคงปลอดภัยไซเบอร์และความเป็นส่วนตัวได้ โดยตัวอย่างนี้จะเป็นการยกกรณีศึกษาการประชุมรัฐสภาของประเทศอังกฤษ เมื่อวันที่ 31 มีนาคม 2563 นายกรัฐมนตรีของประเทศอังกฤษได้โพสต์ภาพในบัญชี Twitter (https://twitter.com/BorisJohnson/status/1244985949534199808) ซึ่งเป็นภาพที่ใช้กล้องถ่ายหน้าจอคอมพิวเตอร์ที่เปิดโปรแกรม Zoom เพื่อใช้ในการทำ video conference เหตุการณ์ดังกล่าวผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยไซเบอร์หลายรายได้แสดงความเห็นว่าในหน้าจอนั้นมีข้อมูลหลายอย่างที่ผู้ไม่หวังดีอาจนำไปใช้เพื่อการโจมตีได้ ตัวอย่างเช่น ใน title bar ของโปรแกรม Zoom ได้มีการระบุหมายเลข ID ของห้องประชุม ซึ่งผู้ประสงค์ร้ายอาจเชื่อมต่อเข้าไปยังห้องประชุมนี้ได้หากไม่ได้มีการตั้งรหัสผ่านที่ปลอดภัยเพียงพอ ในหน้าจอคอมพิวเตอร์ที่ใช้ประชุม แสดงให้เห็นว่าระบบปฏิบัติการที่ใช้งานคือ Windows 10 ที่ติดตั้ง Google Chrome, Microsoft Powerpoint, และ Microsoft Outlook ซึ่งผู้ประสงค์ร้ายอาจโจมตีผ่านช่องโหว่ของโปรแกรมเหล่านั้นได้ (หากมี) หรืออาจใช้วิธีโจมตีแบบ social engineering…

8 ข้อควรรู้เกี่ยวกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

Loading

พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection Act: PDPA) จะเริ่มมีผลบังคับใช้ในวันที่ 27 พฤษภาคมนี้ สาระสำคัญของ พ.ร.บ. นี้มีอะไรบ้างและเราต้องเตรียมตัวอย่างไร Cisco ได้ออกมาสรุปประเด็นคำถามที่พบบ่อยรวม 8 ข้อ ดังนี้ 1. ความสำคัญของ PDPA PDPA เป็นกฎหมายที่ทั้งบุคคลและนิติบุคคลในประเทศไทยต้องปฏิบัติตาม หากฝ่าฝืนจะมีโทษปรับสูงสุด 5 ล้านบาท จำคุกสูงสุด 1 ปี และต้องจ่ายค่าเสียหายตามจริง ในขณะที่กรรมการของนิติบุคคลอาจต้องรับผิดชอบต่อเหตุการณ์ที่เกิดขึ้นด้วย 2. ใครต้องปฏิบัติตาม บุคคลและนิติบุคคลที่จัดตั้งในราชอาณาจักรไทย รวมไปถึงนิติบุคคลที่จัดตั้งในต่างประเทศที่มีการเก็บ ใช้ เปิดเผย หรือถ่ายโอนข้อมูลส่วนบุคคลของบุคคลในประเทศไทยจะต้องปฏิบัติตามกฎหมายดังกล่าว 3. ข้อมูลที่ได้รับความคุ้มครอง PDPA มีวัตถุประสงค์เพื่อคุ้มครองข้อมูลส่วนบุคคล ซึ่งหมายถึง ข้อมูลใดๆ ที่ทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าจะทางตรงหรือทางอ้อม รวมไปถึงข้อมูลลูกค้า พนักงาน หุ้นส่วนทางธุรกิจ เป็นต้น 4. สาระสำคัญของ PDPA…