Big Brother is Calling You

bbcallingyou-01

หากคุณเคยได้รับ SMS สาวสวยเซ็กซี่ ข่าวประจำวัน เช็คดวงวันนี้ คอลเซ็นเตอร์เสียงหวานโทรชวนมาสมัครเรียนกวดวิชาภาษาอังกฤษ ฯลฯ คุณนึกสงสัยบ้างไหมคนพวกนี้ได้เบอร์คุณมาจากไหนหนอ โทร/ส่งข้อความมาหาได้ยังไง ทั้งที่เราไม่เคยรู้จักกัน หรือเป็นพรหมลิขิตสุ่มเบอร์ผิดแบบในละคร หรือความจริงแล้วมีคนเฝ้ามองคุณอยู่เหมือนในนิยาย sci-fi 1984 ของจอร์จ ออร์เวล

ในยุคที่ทุกคนใช้สมาร์ทโฟน มักมีข่าวตามหนังสือพิมพ์และสื่อโทรทัศน์เกี่ยวกับการโจรกรรมข้อมูลส่วนบุคคลเสมอ ส่วนมากมักสร้างความเสียหายด้านทรัพย์สิน เช่น การ skimming รหัสเครดิต หรือรหัสบัตรประชาชน คุณอาจคิดว่าเพราะคนพวกนั้นไม่ใช่คนช่างสังเกตถึงความผิดปกติจึงตกอยู่ในสถานการณ์เช่นนั้น แต่…เราจะมั่นใจได้อย่างไรว่าวิถีปฏิบัติของเราเป็นการกระทำที่ปลอดภัยอย่างแท้จริง

ทำไมข้อมูลถึงรั่วไหล

อนึ่ง เราลองมาพิจารณาระบบในองค์กรก่อนว่าเมื่อเราได้สมัครใช้บริการค่ายโทรศัพท์ต่างๆ เราย่อมต้องกรอกข้อมูลส่วนตัวให้แก่บริษัทมือถือค่ายนั้นๆ เช่น ที่อยู่เพื่อเรียกเก็บค่าใช้บริการ และเมื่อเรายกหูโทรศัพท์แต่ละครั้งพนักงานในองค์กรย่อมถูกบันทึกประวัติการโทรไว้ว่าเราคุยกับ ‘ใคร’ นานเท่าไหร่ ตอนไหน หมายเลขที่โทรอยู่ในค่ายไหน ฯลฯ ซึ่งข้อมูลเหล่านี้ ‘ใคร’ รับรู้ได้บ้าง

จะว่าหน้าต่างมีหูประตูมีช่องก็ได้ แต่ทั้งหมดที่เรากระทำล้วนเป็น ‘ข้อมูลส่วนบุคคล’ ซึ่งเราจะรู้ได้อย่างไรว่า ‘ข้อมูลส่วนบุคคล’ เหล่านี้จะอยู่ในมือคนที่ปลอดภัย

ผศ.ดร.สุดสงวน งามสุริยโรจน์ อาจารย์ประจำคณะเทคโนโลยีสารสนเทศและการสื่อสาร มหาวิทยาลัยมหิดล ให้ข้อมูลแก่เราว่า ข้อมูลส่วนตัวที่เก็บโดยโอเปอร์เรเตอร์มีหลายประเภท เราต้องรู้ว่าข้อมูลส่วนบุคคลเหล่านี้เก็บไปเพื่ออะไร ลูกค้ามีสิทธิ์แก้ไขข้อมูลหรือไม่ ใคร (พนักงานผู้ให้บริการ) สามารถเข้าถึงข้อมูลได้บ้าง ข้อมูลนี้ต้องส่งต่อให้ใคร เก็บได้นานเท่าไหร่ มีการรักษาความปลอดภัยหรือไม่ และทำลายข้อมูลนี้อย่างไร ทำลายในเวลาสามเดือนตามข้อกฎหมายที่ระบุหรือไม่ นอกจากนี้ ดร.สุดสงวน ได้ออกความคิดเห็นในเรื่องผู้ใช้ข้อมูลในทางข้อกฎหมายไว้ดังนี้

“ผู้ใช้ข้อมูลมีใครบ้าง ในบริษัทต้องมีตั้งแต่คนที่เป็นผู้บริหาร คนที่เป็นผู้จัดการ พนักงานเข้าใหม่ คนจากภาครัฐที่มีสัญญาด้วย รวมถึงบรรดาคนที่มีสัญญา out sourcing ถ้าข้อมูลของรัฐรั่วไหลออกไป แล้วเรามีสัญญาต่อไปไหมว่าถ้าเขาเอาข้อมูลของเราออกไปแล้วต้องรับผิดชอบด้วย อยากให้มีระบุเรื่องนี้ชัดเจนในกฎหมาย เพราะฉะนั้นในส่วนของ job function ต้องมีแบ่งเลเวลชัดเจน”

เมืองนอกเมืองนาเขาจัดการกันอย่างไร

ฝั่งเอเชีย

จองบอง ปาร์ค (Jongbong Park) ผู้พัฒนาโครงการโทรคมนาคมเอเชีย-แปซิฟิก (Director Project Development, Asia-Pacific Telecommunity) เล่าปัญหาในประเทศเกาหลีใต้ให้ฟังสามตัวอย่างดังนี้ว่า

  • ตัวอย่างที่หนึ่ง ร้านขายโทรศัพท์มือถือ ผู้ใช้บริการต้องกรอกข้อมูลส่วนบุคคลไว้ในคอมพิวเตอร์ มีพนักงานคนหนึ่งแอบคัดลอกข้อมูลส่วนตัวของผู้ใช้บริการไปขายต่อบริษัทมาร์เก็ตติง
  • ตัวอย่างที่สอง ผู้ลงเลือกตั้งต้องการหาเสียงกับคนที่มีสิทธิ์เลือกตั้งโดยตรง จึงขอซื้อข้อมูลส่วนบุคคลจากพนักงานที่เก็บรักษาข้อมูล
  • ตัวอย่างที่สาม มีข่าวโศกนาฏกรรมเกิดขึ้น เมื่อคู่รักคู่หนึ่งเลิกรากัน ฝ่ายชายมีเพื่อนเป็นพนักงานเครือข่ายโทรศัพท์ที่ฝ่ายหญิงใช้บริการอยู่ จึงขอที่อยู่ปัจจุบันของผู้หญิง และตามไปฆาตกรรมแฟนสาวจนเป็นข่าวน่าสลด

จองบอง ปาร์ค ยกตัวอย่างให้พวกเราฟังว่า หน่วยงานของเกาหลีมีการแก้ปัญหาอย่างไรบ้าง

  1. ในกรณีที่มีพนักงานแอบคัดลอกข้อมูลส่วนบุคคลจากคอมพิวเตอร์หรือ iPad ของร้านขายโทรศัพท์ ทางบริษัทได้เปลี่ยนวิธีการโดยไม่เก็บข้อมูลอย่างเช่น รูปถ่ายบัตรประชาชน ไว้ในอุปกรณ์ที่ร้าน เมื่อกรอกข้อมูลแล้วสิ่งที่กรอกจะไปเก็บอยู่ในเซิร์ฟเวอร์ของทางบริษัทแทน
  2. ทางผู้ให้บริการทั้งหมดต้องระบุหน้าที่ของพนักงานแต่ละคนว่าใครรับผิดชอบอะไร สามารถเข้าถึงหรือลบข้อมูลอะไรได้บ้าง และจัดตั้งพนักงานภายในไว้ดูแลรักษาสิทธิความเป็นส่วนตัวของผู้ใช้บริการ และมีการตั้งรหัสผ่านและบันทึกการเข้าใช้ของพนักงานอย่างรัดกุม
  3. อบรมพนักงานที่เกี่ยวข้องทุกวันทุกปี อย่างน้อยปีละสองครั้ง พร้อมตรวจสอบมาตรการใหม่ๆ เป็นประจำ
  4. ระบุในสัญญากับผู้ให้บริการชัดเจนว่าหากมีการละเมิดเกิดขึ้น ทางบริษัทจะรับผิดชอบอย่างไร

ฝั่งตะวันตก

ถ้าคุณพบปัญหากับบริการ SMS กวนใจหรือคอลเซ็นเตอร์ชวนเชื่อขายประกันชีวิตหรือขายของอยู่เป็นประจำ เราขอถามต่อว่าคุณรับมือกับปัญหานี้อย่างไร คุณอาจจะบล็อกเบอร์เหล่านี้ไม่ให้โทรหาคุณอีกเป็นครั้งที่สอง แต่นั่นก็เป็นการแก้ปัญหาที่ปลายเหตุ หาก ‘ผู้ไม่ประสงค์ดี’ แทรกแซงระบบไปแล้ว เขาก็สามารถนำเบอร์โทรศัพท์ของคุณไปดำเนินการต่อได้ใช่หรือไม่

ด้วยเหตุเช่นนี้ทางโลกฝั่งตะวันตกจึงออกกฎหมายแบบ Opt in และ Opt out และใช้ในหลายประเทศไม่ว่าจะเป็นในสหรัฐอเมริกา อังกฤษ แคนาดา ออสเตรเลีย

ในระบบ Opt in และ Opt out จะมีการตั้งเว็บไซต์ National Do Not Call Registry ซึ่งใครไม่ประสงค์จะรับบริการหรือโฆษณาใดๆ ก็สามารถลงทะเบียนได้ในเว็บไซต์นี้ และหากบริษัทการค้าใดโทรไปอีกก็ถือว่าเป็นการละเมิดสิทธิผู้บริโภค ซึ่งโครงการนี้เป็นหนึ่งในขั้นตอนการป้องกันสิทธิผู้บริโภค แต่ในอาเซียนก็มีประเทศที่เข้าร่วมบริการลักษณะนี้ เช่น สิงคโปร์ มาเลเซีย ฟิลิปปินส์

ส่วนระบบ Opt in และ Opt out ต่างกันอย่างไรมาดูกัน

  • Opt in คือ ไม่สามารถโทรหรือส่งข้อความได้ นอกจากผู้ใช้บริการจะยินยอมด้วยตนเอง (นิยมในประเทศแถบยุโรป)
  • Opt out คือ ต้องขออนุญาตผู้ใช้บริการก่อน แต่ถ้าผู้บริโภคปฏิเสธก็ห้ามโทรหรือส่งข้อความในครั้งถัดไป (นิยมใช้ระบบนี้มาก โดยเฉพาะในสหรัฐอเมริกา)

แต่ในส่วนของสหภาพยุโรปก็มีกฎหมายใหม่ที่จะใช้ร่วมกันคือ EU Directive 2002/58/EC ซึ่งจะมีผลใช้ 25 พฤษภาคม 2018 นี้ กฎหมายใหม่เช่น

มาตราที่ 17 สิทธิ์ที่จะถูกลืม (right to be forgotten) หรือสิทธิ์ที่จะลบข้อมูลของเรา คือผู้บริโภคมีสิทธิ์ที่จะขอให้ผู้ควบคุมข้อมูลลบหรือถอนข้อมูลได้ทันที เพราะนับเป็นสิทธิส่วนบุคคล

มาตราที่ 21 สิทธิ์ที่จะคัดค้าน (right to object) คือ ผู้รับบริการมีสิทธิ์ที่จะปฏิเสธบรรดาการโฆษณาสินค้าและบริการทางโทรศัพท์ได้ทันที โดยไม่ต้องมีเหตุผล และไม่มีข้อยกเว้น หากผู้ให้บริการยังติดต่อมาอีกถือว่าผิด ซึ่งกฎหมายฉบับนี้มีโทษรุนแรงมาก ผู้รับบริการจะต้องได้รับการแจ้งเบื้องต้นว่ามีสิทธิ์เหล่านี้ เพราะถือเป็นสิทธิ์ที่ผู้ใช้มีสิทธิ์ที่จะปฏิเสธ ทั้งในบริการแบบออนไลน์ด้วย

มาตราที่ 44 ข้อมูลในสหภาพยุโรปจะถ่ายโอนไปยังประเทศอื่นๆ ก็ต่อเมื่อในประเทศนั้นมีกฎหมายมาตรฐานแบบเดียวกับยุโรป ถ้ามีมาตรฐานต่ำกว่า บริษัทที่ถ่ายโอนข้อมูลต้องถูกปรับประมาณ 20 ล้านยูโร กฎหมายนี้อาจมีผลกระทบต่อธุรกิจโรงแรม ธุรกิจสายการบิน หรืออื่นๆ

รู้หรือไม่

รศ.คณาธิป ทองรวีวงศ์ คณบดีคณะนิติศาสตร์ มหาวิทยาลัยเซนต์จอห์น และนักวิชาการเชี่ยวชาญเฉพาะด้านกฎหมายข้อมูลส่วนบุคคลและสังคมออนไลน์ ให้ข้อมูลแก่เราว่า บางครั้งคนที่ทำหน้าที่คอลเซ็นเตอร์ที่โทรหาเราอาจไม่รู้อะไรด้วยซ้ำว่าเบอร์ที่ได้มานี้มีต้นตอมาจากที่ใด แต่เหตุที่ข้อมูลส่วนนี้เผยแพร่ออกไปอาจเกิดจาก ‘คน’ ในองค์กร ‘อาจ’ เป็น broker ถ่ายโอนข้อมูลส่วนบุคคลที่เราใช้งานอยู่ไปยังบริษัทอื่นๆ

จึงเป็นข้อสงสัยว่าหากเราต้องให้ข้อมูลส่วนบุคคลของเรา ผู้ให้บริการก็ควรส่งข้อมูลนี้ไปยังหน่วยงานที่เกี่ยวข้องในกิจธุระนั้นๆ หากเราเลือกที่จะไม่ไว้ใจผู้ให้บริการ เรามีสิทธิ์เลือกไม่ให้ข้อมูลส่วนบุคคลนี้ได้หรือไม่

แสดงว่าสื่อสารด้วยโลกออนไลน์ปลอดภัยกว่า?

อาทิตย์ สุริยะวงศ์กุล ผู้ประสานงานเครือข่ายพลเมืองเน็ต ให้ข้อมูลแก่เราว่า ปัจจุบันเทคโนโลยีก้าวหน้าไปมาก เช่น ระบบบันทึกประวัติการโทรเข้าออก เราอาจจะไม่ได้รู้ข้อมูลรายละเอียดทั้งหมดก็จริง แต่ในยุคนี้ก็การสืบค้นจนมีเทคนิคการทำงานที่เรียกว่า ‘การระบุกลับอัตลักษณ์บุคคล’ เช่น สมมุติว่าเราลงทะเบียนสมัครเป็นสมาชิกเว็บบอร์ดแห่งหนึ่ง ในเว็บบอร์ดนั้นให้เราระบุวัน-เดือน-ปีเกิด ซึ่งหากผู้ไม่ปรารถนาดีรู้ข้อมูลวัน-เดือน-ปีเกิดนี้ ก็อาจหาจุดเชื่อมโยงข้อมูลจากที่ต่างๆ ได้ว่ามีใครเกิดวัน-เดือน-ปีนี้บ้างจนพบผู้ใช้ข้อมูล ขั้นตอนเหล่านี้คือ ‘การระบุกลับอัตลักษณ์บุคคล’ ซึ่งเมื่อผู้ไม่ประสงค์ดีรู้ว่าเราเป็นใคร ก็อาจนำไปสู่การเข้าถึงข้อมูลอื่นได้

ประเทศไทยไปถึงไหนแล้ว

ปัจจุบันประเทศไทยยังไม่มีกฎหมายคุ้มครองข้อมูลส่วนบุคคลอย่างชัดเจน แต่กำลังผลักดันร่าง พ.ร.บ.ข้อมูลส่วนบุคคลนี้ต่อไป แต่มีประกาศ กสทช. เรื่องมาตรการคุ้มครองสิทธิ์ของผู้ใช้บริการโทรคมนาคมเกี่ยวกับข้อมูลส่วนบุคคลฯ และกฎหมายเฉพาะมารองรับ เช่น พ.ร.บ.ข้อมูลข่าวสารของราชการ พ.ศ. 2540 ประกาศคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย (คปภ.) เรื่อง กำหนดหลักเกณฑ์ วิธีการเสนอขายกรมธรรม์ประกันภัยผ่านทางโทรศัพท์ พ.ศ 2552 พ.ร.บ.การประกอบข้อมูลเครดิต พ.ศ. 2545 (ฉบับที่ 2 พ.ศ. 2549, ฉบับที่ 3 พ.ศ. 2551, ฉบับที่ 4 พ.ศ. 2559)

ทั้งนี้ ตัวแทนสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ องค์การมหาชน (สพทอ.) กล่าวถึงเหตุที่ประเทศไทยยังไม่มีระบบ National Do Not Call Registry อาจเพราะไม่มีหน่วยงานกลางที่จะเป็นผู้รับผิดชอบโครงการนี้ ส่วนการปรับปรุงมาตรฐานการถ่ายโอนข้อมูลส่วนบุคคลแบบ EU Directive ตนมองว่าไม่จำเป็น จากตัวอย่างในประเทศสหรัฐอเมริกาที่ไม่ได้ตั้งกฎหมายตาม EU Directive แต่ก็ยังจัดตั้งข้อตกลงร่วมกันจนออกมาเป็น Privacy Shield และเป็นที่ยอมรับในสหภาพยุโรปได้

 


ตัวอย่างกฎหมายเฉพาะด้านประกันภัย
http://www.oic.or.th/sites/default/files/intermediaries-file/638-5355.pdf

 

2016-10-19-new-banner

Editorial StaffBig Brother is Calling You

Related Posts

WAY 70 CHINESE DREAM

แม้จะมีปัญหาเรื่องสิทธิมนุษยชน ความเหลื่อมล้ำ คอรัปชั่น รวมถึงนักท่องเที่ยวที่ไร้มารยาท แต่ยักษ์ที่หลับใหลได้ลืมตาตื่นมาพักใหญ่แล้ว คราวนี้ยักษ์ตัวนั้นกำลังขยับตัว เตรียมแต่งองค์ทรงเครื่องใหม่ ถือเป็นการกลับมาของ ‘จักรวรรดิจีน’ ที่โลกต้องจับตา

ยุโรปห้ามบอลจอดำ

ศาลยุติธรรมยุโรปปัดการยื่นอุทธรณ์ของ FIFA และ UEFA กรณีขายลิขสิทธิ์ถ่ายทอดสดฟุตบอลระดับโลก และมีคำสั่งให้ถ่ายทอดสดกีฬานัดสำคัญผ่านฟรีทีวี หรือ ‘ห้ามจอดำ’ ทั่วยุโรปนั่นเอง