แค่ธนาคาร หรือ หน่วยงานที่เกี่ยวข้อง แสดงความรับผิดชอบว่าจะคืนเงินหายให้คุณ คุณคิดว่าเรื่องจะจบไหม...?
ความจริงอันแสนเจ็บปวด กรณี “เงินหายไปจากบัญชี” หรือ ภาษาบ้านๆ เรียกว่า โดนดูดเงินออกไป โดยมิจฉาชีพ ซึ่งกระทำการได้อย่างอิสระซึ่งส่วนใหญ่อาศัยช่องว่างทางกฎหมาย และเทคนิคต่างๆ ในต่างประเทศ
เรื่องของเรื่องคือ บริษัทเอกชน รวมไปถึงหน่วยงานภาครัฐของไทย ก็ยังอ่อนด้อยเรื่องความปลอดภัยในด้านนี้ หากย้อนข่าวเก่าๆ ไปดูภายในปีนี้ก็จะรู้ว่า ประชาชนหลายล้านตกเป็นเหยื่อการทำข้อมูลหลุด
นายไพบูลย์ อมรภิญโญเกียรติ ผู้เชี่ยวชาญด้านกฎหมาย พ.ร.บ.คอมพิวเตอร์ และไซเบอร์ กล่าวว่า ในเชิงกฎหมาย การจัดเก็บข้อมูลส่วนบุคคลทั้งภาครัฐและเอกชน ถือว่ายังไม่ได้มาตรฐาน เนื่องจากกฎหมาย พ.ร.บ.ข้อมูลส่วนบุคคล ทั้งบริษัทแสวงหากำไร และไม่แสวงหากำไร ได้มีการขยายเวลาบังคับใช้ออกไปจนถึงวันที่ 31 พ.ค.2565
“พอกฎหมายถูกขยายเวลาบังคับใช้ออกไป ส่งผลให้บริษัทหรือหน่วยงานใดก็ตามที่เก็บข้อมูลแล้วเกิดรั่วไหลออกไป ทำให้ไม่สามารถดำเนินการทางอาญาหรือทางปกครอง (ปรับ) ได้”
ถึงแม้จะมีการขยายเวลาการบังคับใช้กฎหมายนี้ แต่ในช่วงรอยต่อก่อนที่ถึงวันที่ 31 พ.ค. 65 กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (DES) ได้มีประกาศให้เอกชนทั้งหมด รวมถึงกิจการที่ได้รับการยกเว้นต้องมีมาตรการดูแลข้อมูลส่วนบุคคล ป้องกันการรั่วไหลของข้อมูลอย่างเพียงพอ นี่คือ “ประกาศกระทรวง”
แต่ประกาศออกไปแล้วยังไง....?
...
ผู้เชี่ยวชาญด้านกฎหมายไซเบอร์ ให้ความเห็นว่า ในทางปฏิบัติ กลับสวนทางกับประกาศ เพราะปีที่ผ่านมาปรากฏว่ามีข้อมูลรั่วไหลออกมาเยอะมาก...!
มากแค่ไหนหรือ เราขอหยุดแค่ตรงนี้ก่อน...
ทีมข่าวฯ ได้ทำการสืบค้นข่าวย้อนหลังตั้งแต่วันที่ 1 มกราคม 2564 จนถึง 20 ตุลาคม 2564 พบว่ามีข้อมูลส่วนบุคคลรั่วครั้งใหญ่หลายครั้ง และครั้งที่ใหญ่ที่สุด น่าจะเป็นของ “เฟซบุ๊ก” ที่รั่วไหลในเดือนเมษายน ถึง 533 ล้านบัญชี
ส่วนปัญหาข้อมูลรั่วไหลของไทย ก็เกิดขึ้นหลายครั้ง ทั้งการถูกแฮก และไม่เปิดเผยสาเหตุ มีทั้งบริษัทเอกชน รัฐวิสาหกิจ และหน่วยงานภาครัฐ โดยเฉพาะการถูกแฮกข้อมูลด้านสาธารณสุขครั้งใหญ่ 16 ล้านคน ซึ่งกระทรวง DES ได้ทราบปัญหาแล้ว ที่เป็นข่าวดังก็คือ ข่าวการถูกแฮกข้อมูลของ รพ.เพชรบูรณ์ ที่ทำข้อมูลคนไข้หลุด 10,095 ราย ในช่วงเดือนกันยายน นอกจากนี้ ยังมีบริษัทขนส่งสินค้า ทำข้อมูลลูกค้าหลุดกว่า 4 หมื่นราย ซึ่งได้มีการชี้แจงในเวลาต่อมาว่าเป็นข้อมูลเก่า และยังมีการหลุดของแอปช็อปปิ้ง แอปแนะนำอาหาร ที่หลุดมากกว่า 4 ล้านราย
จากการตรวจสอบข้อมูลเว็บไซต์ต่างประเทศ ที่ติดตามเรื่องการซื้อขายข้อมูลส่วนบุคคล บัญชีการเงิน บัตรเครดิต คริปโตเคอร์เรนซี หรือแม้แต่การแฮกข้อมูลเพื่อเข้าใช้บริการต่างๆ เช่น Netflix
ซึ่งจากรายงานดังกล่าว จากการเก็บข้อมูลตั้งแต่เดือนตุลาคม 2020 ถึงเดือนกุมภาพันธ์ 2021 ระบุว่า ช่วงที่ผ่านมา ถือเป็นเวลาที่แย่ที่สุดของประเด็นปัญหา “ข้อมูลรั่วไหล” โดยเฉพาะจากการแฮกข้อมูล แล้วนำข้อมูลไปขายใน Dark Web โดยมีการเปิดเผยราคาอย่างชัดเจน อาทิ การ Cloned Mastercard และ VISA ขายต่อ Pin $25 โดยหากเปรียบเทียบในช่วงก่อนหน้านั้นมีการขาย $15 นอกจากนี้ยังมีแฮกแอคเคาต์อื่นๆ เพื่อขาย เช่น อินเทอร์เน็ตแบงกิ้ง ที่ขายเริ่มต้นในราคา $40 หรือแม้แต่บริการ Netflix ยังมีการแฮก แอคเคาต์ละ $4 ต่อปี
DES ดูดาย? ใช้ประกาศกระทรวง แต่ไม่เคยเรียกบริษัทที่ทำข้อมูลหลุดมาสอบสวนเลย
กลับมาที่เราค้างคา เรื่องประกาศของ กระทรวง DES ผู้เชี่ยวชาญด้านกฎหมาย พ.ร.บ.คอมพิวเตอร์ และไซเบอร์ ย้ำว่า “กระทรวง DES ไม่เคยบังคับใช้ประกาศกระทรวงนี้เลย แม้ในทางกฎหมายจะงดเว้น (เพราะยังไม่ประกาศใช้) แต่ก็สามารถเรียกมาตรวจสอบได้ อาทิ ที่เกิดขึ้นกับ ลาซาด้า (ข้อมูลคนไทยถูกขายในตลาดมืดกว่า 13 ล้านคน) โดยสามารถเรียกบริษัทเหล่านี้มาชี้แจงว่า ข้อมูลรั่วไหล หลุดไปที่ไหน เคยบอกเจ้าของข้อมูลส่วนบุคคลหรือไม่ และจะป้องกันไม่ให้เกิดซ้ำยังไง....
“สำนักงานป้องกันข้อมูลส่วนบุคคล ที่อยู่ภายใต้การดูแลของ DES ไม่ได้ดำเนินการอะไรเลย พอไม่ทำอะไร ก็กลายสภาพเป็นว่า “ไม่มีการบังคับใช้กฎหมาย”
...
หลังวันที่ 31 พ.ค. ทำข้อมูลหลุดหรือรั่ว โทษปรับหนัก
นายไพบูลย์ เผยว่า บริษัทใหญ่ๆ อาจจะมี DATA Management ดีระดับหนึ่ง เพราะต้องเข้ามาตรฐานสากล ISO 27001 ซึ่งโดยหลักการเขาต้องดูแล 2 ส่วน คือ ป้องการโจมตี คือ ถูกแฮก และป้องกันข้อมูลส่วนบุคคล
หากมีการบังคับใช้กฎหมายข้อมูลส่วนบุคคลจริงๆ การทำข้อมูลหลุด โดยเฉพาะข้อมูลทางการเงิน จะมีโทษปรับค่อนข้างหนัก คือ ปรับข้อมูลละ 5 ล้าน จำคุก 1 ปี / การรั่วไหลข้อมูล 1 ครั้ง ซึ่งถือเป็นเรื่องที่น่ากังวล หากมีการรั่วไหลจริง เช่น ธนาคาร จะต้องแจ้งไปยังบุคคลนั้นๆ ภายใน 72 ชั่วโมง ถ้าไม่แจ้งก็มีโทษปรับเช่นเดียวกัน
“ที่ผ่านมา แม้กฎหมายจะมีระบุไว้ แต่บริษัทใหญ่ๆ บางแห่งก็ไม่ได้นำสิ่งที่ตัวเองมีบังคับใช้อย่างจริงจัง กลายเป็นว่า ระบบป้องกันมี แต่ไม่ได้เอามาบริหารจัดการอย่างเต็มประสิทธิภาพ ในขณะเดียวกัน สำนักงานป้องกันข้อมูลส่วนบุคคล ก็ไม่ได้เรียกชี้แจงอย่างที่ระบุไว้ กลายเป็นเรื่องที่ถูกละเลย เพิกเฉย ปล่อยเลยตามเลยไป”
...
อีกหนึ่งปัญหา ที่นักกฎหมายด้านไซเบอร์ เน้นย้ำต้องแก้ไขโดยด่วน คือ เรื่อง attitude คือ ทัศนคติ ในการคุ้มครองข้อมูลส่วนบุคคล
“ผมว่าต้องเร่งแก้ไข attitude โดยเฉพาะผู้ที่บังคับใช้กฎหมาย หน่วยงานที่กำกับดูแลด้านข้อมูลส่วนบุคคล และบริษัทเอกชน เพราะที่ผ่านมาไม่มีการตระหนักรู้เลยว่า ข้อมูลหลุดมันเสียหายอย่างไรบ้าง เช่น เลขบัตรประชาชน ขายกันในราคา 500 บาท แถมยังมีการเปิดบริการปลอมตัวตนมากมาย”
บางครั้งคนบางคนหน่วยงานที่บังคับใช้กฎหมายเหล่านี้ ทั้ง พ.ร.บ.คอมพิวเตอร์ พ.ร.บ.ข้อมูลส่วนบุคคล และ พ.ร.บ.ไซเบอร์ ยังไม่เข้าใจเนื้อหากฎหมายเลย หรือเข้าใจประมาณเพียง 30% เท่านั้น ส่วนประชาชนทั่วไปนี่แทบไม่เข้าใจเลย เมื่อประชาชนไม่เข้าใจ ก็จะไม่ทราบว่าตัวเองมีสิทธิอะไรบ้าง หากเกิดการรั่วไหลของข้อมูล ก็จะไม่ไปฟ้องร้องเลย พอเข้าลักษณะแบบนี้ คนที่ถูกละเมิดก็ไม่รู้ว่าจะต้องไปหาหน่วยงานไหนให้ช่วย
ข้อมูลรั่ว เงินหายจากบัญชีกว่า 4 หมื่นคน สะท้อนประชาชนไร้ที่พึ่ง
นายไพบูลย์ ยังยกตัวอย่าง กรณี เงินหายจากบัญชีกว่า 4 หมื่นคน เป็นสิ่งสะท้อน 3 เรื่องสำคัญคือ
...
1. ประชาชนไม่รู้จะไปหาหน่วยงานไหนช่วยเหลือ
2. ประชาชนไม่รู้ว่ามีสิทธิเรียกร้องอะไรบ้าง
3. ธนาคารที่มีหน้าที่ดูแลข้อมูลส่วนบุคคลจากเคสนี้ แก้ปัญหาแบบเป็นครั้งๆ ไป
“ตั้งแต่ต้นปีที่ผ่านมา บริษัทใหญ่ๆ โดนแฮกข้อมูลไปทุกวัน แต่ก็ปล่อยไปตามสายลมแสงแดด สิ่งที่รัฐควรทำคือ กระทรวง DES, สำนักงานป้องกันข้อมูลส่วนบุคคล และสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ต้องเรียกบริษัทที่ถูกแฮกมาชี้แจง แล้วบอกว่าคุณมีวิธีการแก้ไขอย่างไร ถ้าเกิดขึ้นซ้ำอีก จะต้องมีโทษปรับตาม พ.ร.บ.ไซเบอร์ จากนั้นก็ต้องรีบนำข้อมูลมาชี้แจงให้ประชาชนทราบ”
“การคืนเงินแล้วจบ ปัญหามันไม่ได้จบไปด้วย ปัญหาคือข้อมูลยังรั่วไหลอยู่ รัฐควรจะจริงจังในเรื่องนี้ โดยเฉพาะสถาบันการเงิน ควรเดินหน้าแก้ปัญหาอย่างจริงจัง
1. ต้องแถลงให้ประชาชนเกิดความมั่นใจว่าข้อมูลจะไม่รั่วหรือหลุดอีก ด้วยวิธีการแบบไหน กระบวนการอย่างไร
2. สร้างความรู้และความเข้าใจกับลูกค้า ซึ่งภาครัฐต้องให้ฟังก์ชันกับประชาชนในการป้องกัน หากรอประชาชนมาป้องกันตัวเองก็คงไม่ทัน
3. ภาครัฐต้องส่งเสริมให้การคุ้มครองข้อมูลส่วนบุคคลเป็นวาระแห่งชาติ ที่ทุกคนต้องใส่ใจ..
4. ประชาชนต้องรู้สิทธิตัวเอง ว่าข้อมูลรั่วไหลต้องไปแจ้งใคร
“เรื่องที่เกิดขึ้นมันตลกนะ ถ้าเราจะต้องเป็นฝ่ายแก้ปัญหาเอง เปลี่ยนเบอร์โทรศัพท์ ปิดบัญชีธนาคาร ลบการเชื่อมต่อออกจากแอปฯ ทั้งที่ธนาคารเองเปิดบริการรับเงินฝากจากเรา เก็บค่าบริการเรา แต่พอเกิดปัญหาเรากลับต้องแก้ปัญหาด้วยตัวเอง ซึ่งในความเป็นจริงมันควรจะมีศูนย์ปฏิบัติการในการเชื่อมในการแก้ปัญหา ในขณะที่เอกชนก็ต้องเตรียมการได้แล้ว และสิ่งที่น่ากลัวคือ เมื่อกฎหมาย พ.ร.บ.ข้อมูลส่วนบุคคลบังคับใช้จริงๆ เอกชน หรือหน่วยงานภาครัฐ จะปรับตัวไม่ทัน”
การขายข้อมูลส่วนบุคคลที่มีการเผยแพร่กันทางสื่อนั้นเป็นเรื่องจริง แต่เชื่อว่าหลังจากมีการบังคับใช้กฎหมาย ในวันที่ 31 พ.ค. 65 มันจะค่อยๆ หายไป เพราะทั่วโลกเขาบังคับใช้กฎหมายเรื่องนี้อย่างจริงจังแล้ว เหลือประเทศไทยที่ยังไม่ใช้ เพราะการขายข้อมูล ยกตัวอย่าง บัตรเครดิต ราคา $15 หรือ $25 จะกลายเป็นจำคุก 5 ปี เพราะถือเป็นการซื้อขายที่เป็นโมฆะและขัดต่อกฎหมาย
“ปัจจุบันเราใช้อินเทอร์เน็ตมากขึ้น เราจึงมีความเสี่ยงที่จะถูกเจาะหรือแฮกข้อมูลมากขึ้นตาม ดังนั้น ประชาชนจึงต้องระมัดระวังมากขึ้น และอนาคตจะมีระบบ AI เข้ามา หากเรายังอยู่ในสภาพแบบนี้ เราลำบากแน่ๆ” นายไพบูลย์ กล่าวทิ้งท้าย
ผู้เขียน : อาสาม
อ่านสกู๊ปที่น่าสนใจ