หากคุณเคยได้รับ SMS สาวสวยเซ็กซี่ ข่าวประจำวัน เช็คดวงวันนี้ คอลเซ็นเตอร์เสียงหวานโทรชวนมาสมัครเรียนกวดวิชาภาษาอังกฤษ ฯลฯ คุณนึกสงสัยบ้างไหมคนพวกนี้ได้เบอร์คุณมาจากไหนหนอ โทร/ส่งข้อความมาหาได้ยังไง ทั้งที่เราไม่เคยรู้จักกัน หรือเป็นพรหมลิขิตสุ่มเบอร์ผิดแบบในละคร หรือความจริงแล้วมีคนเฝ้ามองคุณอยู่เหมือนในนิยาย sci-fi 1984 ของจอร์จ ออร์เวล
ในยุคที่ทุกคนใช้สมาร์ทโฟน มักมีข่าวตามหนังสือพิมพ์และสื่อโทรทัศน์เกี่ยวกับการโจรกรรมข้อมูลส่วนบุคคลเสมอ ส่วนมากมักสร้างความเสียหายด้านทรัพย์สิน เช่น การ skimming รหัสเครดิต หรือรหัสบัตรประชาชน คุณอาจคิดว่าเพราะคนพวกนั้นไม่ใช่คนช่างสังเกตถึงความผิดปกติจึงตกอยู่ในสถานการณ์เช่นนั้น แต่…เราจะมั่นใจได้อย่างไรว่าวิถีปฏิบัติของเราเป็นการกระทำที่ปลอดภัยอย่างแท้จริง
ทำไมข้อมูลถึงรั่วไหล
อนึ่ง เราลองมาพิจารณาระบบในองค์กรก่อนว่าเมื่อเราได้สมัครใช้บริการค่ายโทรศัพท์ต่างๆ เราย่อมต้องกรอกข้อมูลส่วนตัวให้แก่บริษัทมือถือค่ายนั้นๆ เช่น ที่อยู่เพื่อเรียกเก็บค่าใช้บริการ และเมื่อเรายกหูโทรศัพท์แต่ละครั้งพนักงานในองค์กรย่อมถูกบันทึกประวัติการโทรไว้ว่าเราคุยกับ ‘ใคร’ นานเท่าไหร่ ตอนไหน หมายเลขที่โทรอยู่ในค่ายไหน ฯลฯ ซึ่งข้อมูลเหล่านี้ ‘ใคร’ รับรู้ได้บ้าง
จะว่าหน้าต่างมีหูประตูมีช่องก็ได้ แต่ทั้งหมดที่เรากระทำล้วนเป็น ‘ข้อมูลส่วนบุคคล’ ซึ่งเราจะรู้ได้อย่างไรว่า ‘ข้อมูลส่วนบุคคล’ เหล่านี้จะอยู่ในมือคนที่ปลอดภัย
ผศ.ดร.สุดสงวน งามสุริยโรจน์ อาจารย์ประจำคณะเทคโนโลยีสารสนเทศและการสื่อสาร มหาวิทยาลัยมหิดล ให้ข้อมูลแก่เราว่า ข้อมูลส่วนตัวที่เก็บโดยโอเปอร์เรเตอร์มีหลายประเภท เราต้องรู้ว่าข้อมูลส่วนบุคคลเหล่านี้เก็บไปเพื่ออะไร ลูกค้ามีสิทธิ์แก้ไขข้อมูลหรือไม่ ใคร (พนักงานผู้ให้บริการ) สามารถเข้าถึงข้อมูลได้บ้าง ข้อมูลนี้ต้องส่งต่อให้ใคร เก็บได้นานเท่าไหร่ มีการรักษาความปลอดภัยหรือไม่ และทำลายข้อมูลนี้อย่างไร ทำลายในเวลาสามเดือนตามข้อกฎหมายที่ระบุหรือไม่ นอกจากนี้ ดร.สุดสงวน ได้ออกความคิดเห็นในเรื่องผู้ใช้ข้อมูลในทางข้อกฎหมายไว้ดังนี้
“ผู้ใช้ข้อมูลมีใครบ้าง ในบริษัทต้องมีตั้งแต่คนที่เป็นผู้บริหาร คนที่เป็นผู้จัดการ พนักงานเข้าใหม่ คนจากภาครัฐที่มีสัญญาด้วย รวมถึงบรรดาคนที่มีสัญญา out sourcing ถ้าข้อมูลของรัฐรั่วไหลออกไป แล้วเรามีสัญญาต่อไปไหมว่าถ้าเขาเอาข้อมูลของเราออกไปแล้วต้องรับผิดชอบด้วย อยากให้มีระบุเรื่องนี้ชัดเจนในกฎหมาย เพราะฉะนั้นในส่วนของ job function ต้องมีแบ่งเลเวลชัดเจน”
เมืองนอกเมืองนาเขาจัดการกันอย่างไร
ฝั่งเอเชีย
จองบอง ปาร์ค (Jongbong Park) ผู้พัฒนาโครงการโทรคมนาคมเอเชีย-แปซิฟิก (Director Project Development, Asia-Pacific Telecommunity) เล่าปัญหาในประเทศเกาหลีใต้ให้ฟังสามตัวอย่างดังนี้ว่า
- ตัวอย่างที่หนึ่ง ร้านขายโทรศัพท์มือถือ ผู้ใช้บริการต้องกรอกข้อมูลส่วนบุคคลไว้ในคอมพิวเตอร์ มีพนักงานคนหนึ่งแอบคัดลอกข้อมูลส่วนตัวของผู้ใช้บริการไปขายต่อบริษัทมาร์เก็ตติง
- ตัวอย่างที่สอง ผู้ลงเลือกตั้งต้องการหาเสียงกับคนที่มีสิทธิ์เลือกตั้งโดยตรง จึงขอซื้อข้อมูลส่วนบุคคลจากพนักงานที่เก็บรักษาข้อมูล
- ตัวอย่างที่สาม มีข่าวโศกนาฏกรรมเกิดขึ้น เมื่อคู่รักคู่หนึ่งเลิกรากัน ฝ่ายชายมีเพื่อนเป็นพนักงานเครือข่ายโทรศัพท์ที่ฝ่ายหญิงใช้บริการอยู่ จึงขอที่อยู่ปัจจุบันของผู้หญิง และตามไปฆาตกรรมแฟนสาวจนเป็นข่าวน่าสลด
จองบอง ปาร์ค ยกตัวอย่างให้พวกเราฟังว่า หน่วยงานของเกาหลีมีการแก้ปัญหาอย่างไรบ้าง
- ในกรณีที่มีพนักงานแอบคัดลอกข้อมูลส่วนบุคคลจากคอมพิวเตอร์หรือ iPad ของร้านขายโทรศัพท์ ทางบริษัทได้เปลี่ยนวิธีการโดยไม่เก็บข้อมูลอย่างเช่น รูปถ่ายบัตรประชาชน ไว้ในอุปกรณ์ที่ร้าน เมื่อกรอกข้อมูลแล้วสิ่งที่กรอกจะไปเก็บอยู่ในเซิร์ฟเวอร์ของทางบริษัทแทน
- ทางผู้ให้บริการทั้งหมดต้องระบุหน้าที่ของพนักงานแต่ละคนว่าใครรับผิดชอบอะไร สามารถเข้าถึงหรือลบข้อมูลอะไรได้บ้าง และจัดตั้งพนักงานภายในไว้ดูแลรักษาสิทธิความเป็นส่วนตัวของผู้ใช้บริการ และมีการตั้งรหัสผ่านและบันทึกการเข้าใช้ของพนักงานอย่างรัดกุม
- อบรมพนักงานที่เกี่ยวข้องทุกวันทุกปี อย่างน้อยปีละสองครั้ง พร้อมตรวจสอบมาตรการใหม่ๆ เป็นประจำ
- ระบุในสัญญากับผู้ให้บริการชัดเจนว่าหากมีการละเมิดเกิดขึ้น ทางบริษัทจะรับผิดชอบอย่างไร
ฝั่งตะวันตก
ถ้าคุณพบปัญหากับบริการ SMS กวนใจหรือคอลเซ็นเตอร์ชวนเชื่อขายประกันชีวิตหรือขายของอยู่เป็นประจำ เราขอถามต่อว่าคุณรับมือกับปัญหานี้อย่างไร คุณอาจจะบล็อกเบอร์เหล่านี้ไม่ให้โทรหาคุณอีกเป็นครั้งที่สอง แต่นั่นก็เป็นการแก้ปัญหาที่ปลายเหตุ หาก ‘ผู้ไม่ประสงค์ดี’ แทรกแซงระบบไปแล้ว เขาก็สามารถนำเบอร์โทรศัพท์ของคุณไปดำเนินการต่อได้ใช่หรือไม่
ด้วยเหตุเช่นนี้ทางโลกฝั่งตะวันตกจึงออกกฎหมายแบบ Opt in และ Opt out และใช้ในหลายประเทศไม่ว่าจะเป็นในสหรัฐอเมริกา อังกฤษ แคนาดา ออสเตรเลีย
ในระบบ Opt in และ Opt out จะมีการตั้งเว็บไซต์ National Do Not Call Registry ซึ่งใครไม่ประสงค์จะรับบริการหรือโฆษณาใดๆ ก็สามารถลงทะเบียนได้ในเว็บไซต์นี้ และหากบริษัทการค้าใดโทรไปอีกก็ถือว่าเป็นการละเมิดสิทธิผู้บริโภค ซึ่งโครงการนี้เป็นหนึ่งในขั้นตอนการป้องกันสิทธิผู้บริโภค แต่ในอาเซียนก็มีประเทศที่เข้าร่วมบริการลักษณะนี้ เช่น สิงคโปร์ มาเลเซีย ฟิลิปปินส์
ส่วนระบบ Opt in และ Opt out ต่างกันอย่างไรมาดูกัน
- Opt in คือ ไม่สามารถโทรหรือส่งข้อความได้ นอกจากผู้ใช้บริการจะยินยอมด้วยตนเอง (นิยมในประเทศแถบยุโรป)
- Opt out คือ ต้องขออนุญาตผู้ใช้บริการก่อน แต่ถ้าผู้บริโภคปฏิเสธก็ห้ามโทรหรือส่งข้อความในครั้งถัดไป (นิยมใช้ระบบนี้มาก โดยเฉพาะในสหรัฐอเมริกา)
แต่ในส่วนของสหภาพยุโรปก็มีกฎหมายใหม่ที่จะใช้ร่วมกันคือ EU Directive 2002/58/EC ซึ่งจะมีผลใช้ 25 พฤษภาคม 2018 นี้ กฎหมายใหม่เช่น
มาตราที่ 17 สิทธิ์ที่จะถูกลืม (right to be forgotten) หรือสิทธิ์ที่จะลบข้อมูลของเรา คือผู้บริโภคมีสิทธิ์ที่จะขอให้ผู้ควบคุมข้อมูลลบหรือถอนข้อมูลได้ทันที เพราะนับเป็นสิทธิส่วนบุคคล
มาตราที่ 21 สิทธิ์ที่จะคัดค้าน (right to object) คือ ผู้รับบริการมีสิทธิ์ที่จะปฏิเสธบรรดาการโฆษณาสินค้าและบริการทางโทรศัพท์ได้ทันที โดยไม่ต้องมีเหตุผล และไม่มีข้อยกเว้น หากผู้ให้บริการยังติดต่อมาอีกถือว่าผิด ซึ่งกฎหมายฉบับนี้มีโทษรุนแรงมาก ผู้รับบริการจะต้องได้รับการแจ้งเบื้องต้นว่ามีสิทธิ์เหล่านี้ เพราะถือเป็นสิทธิ์ที่ผู้ใช้มีสิทธิ์ที่จะปฏิเสธ ทั้งในบริการแบบออนไลน์ด้วย
มาตราที่ 44 ข้อมูลในสหภาพยุโรปจะถ่ายโอนไปยังประเทศอื่นๆ ก็ต่อเมื่อในประเทศนั้นมีกฎหมายมาตรฐานแบบเดียวกับยุโรป ถ้ามีมาตรฐานต่ำกว่า บริษัทที่ถ่ายโอนข้อมูลต้องถูกปรับประมาณ 20 ล้านยูโร กฎหมายนี้อาจมีผลกระทบต่อธุรกิจโรงแรม ธุรกิจสายการบิน หรืออื่นๆ
รู้หรือไม่
รศ.คณาธิป ทองรวีวงศ์ คณบดีคณะนิติศาสตร์ มหาวิทยาลัยเซนต์จอห์น และนักวิชาการเชี่ยวชาญเฉพาะด้านกฎหมายข้อมูลส่วนบุคคลและสังคมออนไลน์ ให้ข้อมูลแก่เราว่า บางครั้งคนที่ทำหน้าที่คอลเซ็นเตอร์ที่โทรหาเราอาจไม่รู้อะไรด้วยซ้ำว่าเบอร์ที่ได้มานี้มีต้นตอมาจากที่ใด แต่เหตุที่ข้อมูลส่วนนี้เผยแพร่ออกไปอาจเกิดจาก ‘คน’ ในองค์กร ‘อาจ’ เป็น broker ถ่ายโอนข้อมูลส่วนบุคคลที่เราใช้งานอยู่ไปยังบริษัทอื่นๆ
จึงเป็นข้อสงสัยว่าหากเราต้องให้ข้อมูลส่วนบุคคลของเรา ผู้ให้บริการก็ควรส่งข้อมูลนี้ไปยังหน่วยงานที่เกี่ยวข้องในกิจธุระนั้นๆ หากเราเลือกที่จะไม่ไว้ใจผู้ให้บริการ เรามีสิทธิ์เลือกไม่ให้ข้อมูลส่วนบุคคลนี้ได้หรือไม่
แสดงว่าสื่อสารด้วยโลกออนไลน์ปลอดภัยกว่า?
อาทิตย์ สุริยะวงศ์กุล ผู้ประสานงานเครือข่ายพลเมืองเน็ต ให้ข้อมูลแก่เราว่า ปัจจุบันเทคโนโลยีก้าวหน้าไปมาก เช่น ระบบบันทึกประวัติการโทรเข้า–ออก เราอาจจะไม่ได้รู้ข้อมูลรายละเอียดทั้งหมดก็จริง แต่ในยุคนี้ก็การสืบค้นจนมีเทคนิคการทำงานที่เรียกว่า ‘การระบุกลับอัตลักษณ์บุคคล’ เช่น สมมุติว่าเราลงทะเบียนสมัครเป็นสมาชิกเว็บบอร์ดแห่งหนึ่ง ในเว็บบอร์ดนั้นให้เราระบุวัน-เดือน-ปีเกิด ซึ่งหากผู้ไม่ปรารถนาดีรู้ข้อมูลวัน-เดือน-ปีเกิดนี้ ก็อาจหาจุดเชื่อมโยงข้อมูลจากที่ต่างๆ ได้ว่ามีใครเกิดวัน-เดือน-ปีนี้บ้างจนพบผู้ใช้ข้อมูล ขั้นตอนเหล่านี้คือ ‘การระบุกลับอัตลักษณ์บุคคล’ ซึ่งเมื่อผู้ไม่ประสงค์ดีรู้ว่าเราเป็นใคร ก็อาจนำไปสู่การเข้าถึงข้อมูลอื่นได้
ประเทศไทยไปถึงไหนแล้ว
ปัจจุบันประเทศไทยยังไม่มีกฎหมายคุ้มครองข้อมูลส่วนบุคคลอย่างชัดเจน แต่กำลังผลักดันร่าง พ.ร.บ.ข้อมูลส่วนบุคคลนี้ต่อไป แต่มีประกาศ กสทช. เรื่องมาตรการคุ้มครองสิทธิ์ของผู้ใช้บริการโทรคมนาคมเกี่ยวกับข้อมูลส่วนบุคคลฯ และกฎหมายเฉพาะมารองรับ เช่น พ.ร.บ.ข้อมูลข่าวสารของราชการ พ.ศ. 2540 ประกาศคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย (คปภ.) เรื่อง กำหนดหลักเกณฑ์ วิธีการเสนอขายกรมธรรม์ประกันภัยผ่านทางโทรศัพท์ พ.ศ 2552 พ.ร.บ.การประกอบข้อมูลเครดิต พ.ศ. 2545 (ฉบับที่ 2 พ.ศ. 2549, ฉบับที่ 3 พ.ศ. 2551, ฉบับที่ 4 พ.ศ. 2559)
ทั้งนี้ ตัวแทนสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ องค์การมหาชน (สพทอ.) กล่าวถึงเหตุที่ประเทศไทยยังไม่มีระบบ National Do Not Call Registry อาจเพราะไม่มีหน่วยงานกลางที่จะเป็นผู้รับผิดชอบโครงการนี้ ส่วนการปรับปรุงมาตรฐานการถ่ายโอนข้อมูลส่วนบุคคลแบบ EU Directive ตนมองว่าไม่จำเป็น จากตัวอย่างในประเทศสหรัฐอเมริกาที่ไม่ได้ตั้งกฎหมายตาม EU Directive แต่ก็ยังจัดตั้งข้อตกลงร่วมกันจนออกมาเป็น Privacy Shield และเป็นที่ยอมรับในสหภาพยุโรปได้
ตัวอย่างกฎหมายเฉพาะด้านประกันภัย
http://www.oic.or.th/sites/default/files/intermediaries-file/638-5355.pdf