PDPA ไทยชนะ ข้อมูลรั่ว อะไรน่ากลัวกว่ากัน? - waymagazine.org | นิตยสาร WAY

PDPA ไทยชนะ ข้อมูลรั่ว อะไรน่ากลัวกว่ากัน?

นับตั้งแต่เริ่มผ่อนคลายมาตรการล็อคดาวน์ ประชาชนชาวไทยก็จำเป็นต้องรู้จัก ‘ไทยชนะ’ ซึ่งเป็นเครื่องมือหนึ่งในการป้องกันการแพร่ระบาดของโรคโควิด-19 ทำให้เราต้องหัดเช็คอินเมื่อเข้าไปในสถานที่เสี่ยง และเช็คเอาท์เมื่อจะกลับบ้าน

แนวคิดเบื้องต้นคือเมื่อรู้ว่าผู้ติดเชื้อเดินทางไปที่ไหน คนที่อยู่ในสถานที่และเวลาเดียวกันกับเขาก็อาจเป็นผู้เสี่ยงติดเชื้อได้ การรู้ว่าคนเหล่านั้นเป็นใครก็ทำให้เจ้าหน้าที่ติดตามตัวได้ง่ายขึ้นเพราะมีเบอร์ของผู้ใช้อยู่ในระบบอยู่แล้ว เป็นแนวคิดที่เรียบง่าย ไม่มีอะไรซับซ้อนทั้งสิ้น

แต่คนไทยจำนวนไม่น้อยกลับได้รับข้อความโฆษณาแปลกๆ หลังจากใช้งานไทยชนะ โดยเป็นโฆษณาผ่านข้อความในระบบ iOS ของไอแพดและไอโฟน แต่มาตอนหลัง Android ก็หนีไม่พ้น โดยมีผู้ใช้หลายคนตั้งข้อสังเกตว่าได้รับข้อความดังกล่าวหลังจากลงทะเบียนไทยชนะ ร้อนถึงกระทรวงดิจิทัลฯ ต้องออกมายืนยันว่าเป็นไปไม่ได้ เพราะระบบออกแบบไว้อย่างรัดกุม ไม่มีทางที่ข้อมูลส่วนบุคคลจะรั่วไหลออกไปได้แน่นอน

ในช่วงเวลาใกล้เคียงกันก็มีข่าวเล็กๆ ที่ไม่ได้อยู่ในความสนใจของคนทั่วไปนัก คือผู้ให้บริการมือถือเจ้าหนึ่งปล่อยข้อมูลทราฟฟิคของลูกค้าตัวเองรั่วไหลถึง 8 พันล้านรายการ โดยข้อมูลดังกล่าวบริษัทยืนยันว่าไม่ได้เป็นข้อมูลส่วนบุคคลจึงไม่ต้องตกใจอะไร แล้วข่าวก็เงียบหายไปในเวลาอันรวดเร็ว

แล้วอะไรที่หลุดรั่วไปบ้าง? และในฐานะผู้ใช้บริการตาดำๆ เราควรต้องกังวลอะไรบ้างไหม?

ก็ต้องลองมาดูกันว่ากรณีข้อมูลลูกค้าโทรศัพท์มือถือที่ข้อมูลรั่วยาวถึง 3 อาทิตย์นั่นมีข้อมูลอะไรบ้าง ก็จะพบว่าข้อมูล NetFlow ที่หลุดไปสู่ภายนอกนั้นเปิดโอกาสให้มีคนอ่านได้ว่าลูกค้าของบริษัทดังกล่าวใช้อุปกรณ์อะไรต่ออินเทอร์เน็ต จะเป็นมือถือ แทบเล็ต คอมพิวเตอร์ ทีวี ฯลฯ ก็รู้หมด ใช้ไอโฟนหรือแอนดรอยด์ก็รู้ เพราะมีข้อมูลระบบปฏิบัติการรวมถึงโปรแกรมต่างๆ เช่นแอพสแกนไวรัสเก็บไว้ด้วย ที่สำคัญคือเข้าไปที่เว็บไหนบ้าง จะไปช็อบปิ้งออนไลน์ เข้าเฟซบุ๊ค หรือดูหนังโป๊ก็เห็นหมด รวมถึงตัวสุดท้ายคือเลขไอพีแอดเดรส ซึ่ง ‘อาจ’ ทำให้ระบุตัวตนได้!

แม้บริษัทต้นเหตุจะยืนยันว่าข้อมูลนั้นเป็นเพียงสถิติ ‘ในภาพรวม’ ไม่มีข้อมูลส่วนบุคคลใดๆ ลูกค้าจึงไม่ต้องวิตกกังวล ซึ่งเป็นสูตรสำเร็จของการชี้แจงเรื่องข้อมูลรั่วในบ้านเรา เหมือนกันกับเหตุการณ์เมื่อกลางปี 2018 ที่ผู้ให้บริการมือถืออีกรายหนึ่งก็เคยปล่อยข้อมูล ‘บัตรประชาชน’ ของลูกค้ารั่วไหลถึง 46,000 รายการ ซึ่งบริษัทโทษว่าเป็นเพราะบล็อก certsandprogs.com เข้ามาเจาะระบบ ทั้งๆ ที่ในความเป็นจริงแล้วเจ้าของบล็อกดังกล่าวเป็นคนชี้เบาะแสให้กับผู้ให้บริการรายดังกล่าวต่างหาก

การรั่วไหลของข้อมูลดังกล่าวดูจะประจวบเหมาะกับการเลื่อนการบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล 2562 หรือ PDPA ในบางมาตราออกไปเป็นระยะเวลา 1 ปี เพราะว่ากันตามตรงแล้วเหตุการณ์ที่ผ่านมาทั้งหมดนี้สะท้อนให้เห็นความไม่พร้อมของทั้งตัวเจ้าของข้อมูล และผู้เก็บข้อมูลในบ้านเราต่อกฎหมายฉบับนี้

 

1. ดูตาม้าตาเรือก่อนให้ข้อมูลเสมอ

เพราะความตระหนักในเรื่องข้อมูลส่วนบุคคลของคนไทยเราอยู่ในเกณฑ์ต่ำเตี้ยติดดิน จะเห็นได้จากเว็บหลอกเก็บข้อมูลที่ระบาดในช่วง 2-3 เดือนที่ผ่านมา เพียงแค่หลอกคนทั่วไปว่าแจกคูปองส่วนลดไม่กี่บาทก็มีคนหลงไปกรอกข้อมูลส่วนตัวให้นับล้านคนแล้ว

เช่นเดียวกับเว็บพนันออนไลน์ที่กำลังระบาดหนักในเวลานี้ก็มีรายงานจาก ThaiCERT ระบุว่าข้อมูลส่วนตัวของคนไทย เช่น ชื่อ นามสกุล หมายเลขโทรศัพท์ วันเกิด หมายเลขบัตรประจำตัวประชาชน และหมายเลขบัญชีธนาคารหลุดรั่วไปถึง 41 ล้านรายการ

 

2. ให้ข้อมูลเท่าที่ควรให้ คนเก็บข้อมูลก็เก็บเท่าที่ควรเก็บ

อย่าให้ความโลภบังตา แค่อยากได้ส่วนลด อยากได้เงินที่เขา (หลอก) แจก เลยให้ข้อมูลส่วนตัวไปหมดทุกอย่าง แบบนี้โดนดีแน่นอน คนให้ข้อมูลต้องคิดให้มากขึ้นว่า แค่จะเอาคูปองส่วนลด เขาจะเอาเลขบัญชีเราไปทำไม หรือแม้แต่จะเล่นเกมฟรีจะต้องกรอกข้อมูลเงินเดือนไปเพื่ออะไร

เช่นเดียวกับคนเก็บข้อมูล บางครั้งแค่ต้องการข้อมูลเบื้องต้นเพื่อส่งของ เช่น ชื่อ ที่อยู่ เบอร์โทร แต่ดันอยากได้ข้อมูลรายได้ ข้อมูลคนในครอบครัว ‘เผื่อ’ จะใช้ในวันหน้า ต้องคิดว่ายิ่งเก็บมาก ยิ่งต้องรับผิดชอบมากขึ้นตามไปด้วย

 

3. หมั่น ‘ปิดประตู’ เสมอ

ในระบบคอมพิวเตอร์จะสื่อสารผ่านพอร์ตต่างๆ เพื่อเปิดโอกาสให้คนอื่นๆ เข้ามาตรวจสอบแก้ไขฐานข้อมูลร่วมกันได้ เช่นเปิดให้ฝ่ายการตลาดเข้ามาเพิ่มข้อมูลด้านพฤติกรรมลูกค้า ฝ่ายขายเข้ามาใส่ข้อมูลด้านการขาย เมื่อทำรายการเสร็จสิ้นแล้วก็ต้องปิดพอร์ตเหล่านั้นให้เรียบร้อย เปรียบเสมือนประตูหลังบ้านที่เปิดเอาไว้ ให้แม่บ้าน หรือช่างประปาเข้ามาทำงานในครัวได้

ปัญหาคือคนที่เข้ามาไม่ได้มีแค่ช่างกับแม่บ้าน แต่อาจเป็นโจรที่เห็นว่าประตูเปิดอยู่จึงแอบเข้ามา ถึงแม้ในครัวจะไม่มีทรัพย์สินมีค่า แต่นั่นเป็นช่องทางให้งัดแงะไปยังห้องต่างๆ ภายในบ้านได้ ซึ่งข้อมูลที่รั่วส่วนมากจะเกิดจากการเปิดประตูหรือพอร์ตเหล่านี้ทิ้งเอาไว้

ในมุมมองของแฮคเกอร์ แต่ละพอร์ตที่เปิดอยู่ล้วนเป็นโอกาสในการเข้ามาเจาะระบบได้ทั้งนั้น และทุกวันนี้อุปกรณ์เกือบทุกตัวก็ล้วนเชื่อมต่ออินเทอร์เน็ตและต้องใช้พอร์ตต่างๆ ในการสื่อสาร เราจึงเห็นประกาศเตือนให้ผู้ใช้ปิดพอร์ตต่างๆ ในเครื่องพิมพ์และอุปกรณ์ต่างๆ เสมอ เพราะทั้งหมดเป็นช่องทางให้แฮคเกอร์เข้ามาฝังมัลแวร์ไว้โจมตีระบบคอมพิวเตอร์ของเราได้

 

4. อย่าคิดตื้นๆ ว่าข้อมูลที่มีมันไม่สำคัญอะไร

เมื่อคิดว่าข้อมูลที่มีมันเป็นข้อมูลพื้นๆ เราก็มักจะละเลยในการดูแลรักษา เหมือนเปิดประตูหลังบ้านให้แม่ครัว หากมีโจรเข้ามาก็คิดเองว่าคงเอาอะไรไปไม่ได้ แต่หากโจรคนนั้นเข้ามารื้อถังขยะ พบว่าเจ้าของบ้านกินแต่อาหารขยะ ชอบน้ำอัดลม ขนมหวาน แถมมีขวดยาโรคหัวใจทิ้งอยู่ ก็ย่อมรู้จุดอ่อนเจ้าของบ้านและหาวิธีโจมตีแบบแนบเนียนได้

เช่นกรณีข้อมูลทราฟฟิคของลูกค้ามือถือเจ้าหนึ่ง ซึ่งดูเหมือนจะไม่สลักสำคัญอะไร แต่ลองคิดดูว่าหากผู้ไม่ประสงค์ดีวิเคราะห์ข้อมูลดังกล่าว แล้วเล็งเห็นหมายเลขไอพีนี้ อยู่อาศัยในละแวกนี้ ใช้คอมพิวเตอร์รุ่นนี้ เราเตอร์ตัวนี้ในการเชื่อมต่ออินเทอร์เน็ต ก็อาจจำเพาะเจาะจงได้ว่าเจ้าของไอพีนี้คือใคร และหาวิธีเจาะข้อมูลได้ง่ายขึ้นเพราะเปลือยข้อมูลให้เห็นหมดแล้ว

หน่วยงานของรัฐก็มักมองเห็นข้อมูลเป็นเหมือนขนมหวาน เช่นกรณีไทยชนะที่แม้จะไม่มีข้อมูลสำคัญรั่วไหล แต่คนนอกสามารถเข้ามาดึงเอาข้อมูลร้านค้า ตำแหน่งที่ตั้ง ปริมาณคนเข้าร้านผ่าน API ง่ายๆ เพราะไม่มีการจำกัดการเข้าถึง เพราะถือว่าข้อมูลเหล่านี้ไม่ใช่ข้อมูลส่วนบุคคล

แต่หากข้อมูลเหล่านี้ถูกผู้ไม่ประสงค์ดีนำไปใช้ นั่นหมายความว่าเขาจะมองเห็นจำนวนผู้คนที่อยู่ในแต่ละสถานที่ทันที โดยรู้พิกัดตำแหน่งแล้วสามารถพัฒนาเป็น Heat Map คือจุดที่คนอยู่กันหนาแน่น แล้วก่อเหตุบางอย่างได้ด้วยข้อมูลที่ได้มาฟรีๆ

ความคิดที่ว่าข้อมูลที่เรามีมันไม่สลักสำคัญอะไรเลยอาจต้องคิดใหม่ทั้งหมด

 

5. ข้อมูลจะอยู่กับเราชั่วฟ้าดินสลายไม่ได้อีกแล้ว

จะเป็นข้อมูลพนักงาน ข้อมูลลูกค้า ข้อมูลผู้เกี่ยวข้อง ทั้งชื่อ ที่อยู่ เบอร์โทร ฯลฯ เดิมทีเก็บได้จนกว่าบริษัทจะปิดกิจการ แต่มาถึงวันนี้ต้องบอกชัดๆ ว่าจะจัดเก็บถึงเมื่อไร เช่น ข้อมูลพนักงานที่เราบันทึกประวัติตั้งแต่เข้างาน เมื่อเขาลาออกไปแล้วจะลบออกเมื่อไร หรือข้อมูลลูกค้าที่ซื้อสินค้าของเรา หากเขาเลิกซื้อของเราแล้วจะลบข้อมูลออกภายในกี่เดือน ต้องว่ากันให้ชัดๆ เพราะนี่คือ Life Cycle Data

คนไทยต้องเข้าใจสิทธิในข้อมูลส่วนบุคคล และต้องหมั่นตั้งคำถามต่อผู้เก็บข้อมูลให้มากกว่านี้ จะเก็บไปทำไม เก็บแล้วลบออกเมื่อไร แก้ไขได้หมด แก้อย่างไร มีอะไรป้องกันไม่ให้คนอื่นมาขโมยข้อมูล และหากข้อมูลหลุดรั่วออกไปจะชดเชยคนที่เดือดร้อนอย่างไร ฯลฯ

ภาครัฐก็ต้องโปร่งใสในการใช้ข้อมูลมากกว่าที่เป็นอยู่ จะเก็บข้อมูลประชาชนไปเพื่ออะไร ใช้นานแค่ไหน ประชาชนขอตรวจสอบและแก้ไขได้ไหม อย่างไร ต้องมีระบบที่ชัดเจนทุกขั้นตอน เพราะหากเรายังทำทุกอย่างเหมือนที่เคยทำกันมา ทั้งฝ่ายผู้ให้ข้อมูลและผู้รับข้อมูล พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลก็ไม่มีประโยชน์ใดๆ ทั้งสิ้น

Author

ปฐม อินทโรดม
ด้วยประสบการณ์บริหารบริษัทไอทีหลายแห่ง ทำให้ปฐมเป็นหนึ่งในผู้เชี่ยวชาญด้านไอทีที่มักแสดงความเห็นผ่านสื่อต่างๆ อยู่เสมอ แต่เนื้อแท้แล้วปฐมสนใจเรื่องการเปลี่ยนแปลงของสังคมและการศึกษาไม่แพ้กัน เพราะรู้ว่าโลกดิจิตอลและอนาล็อกที่มาพัวพันกันทุกวันนี้ก่อให้เกิดปรากฏการณ์มากมายที่น่าบันทึกเอาไว้

Illustrator

ณขวัญ ศรีอรุโณทัย
อาร์ตไดเร็คเตอร์ผู้พยายามกระจายอำนาจและกระตุ้นให้ทุกคนโชว์รสนิยมของตนเอง นอกจากทำหน้าที่ออกแบบและหลงใหล 'พื้นผิว' ของเนื้อหา แต่ก็มักทะเลาะกับ text ด้วย นานๆ ทีเมื่อคันมือจะวางเมาส์ และกดจิ้มคีย์บอร์ดเขียนงานสร้างสรรค์ ทุกเช้าเขาจะใช้เวลาเงียบๆ บดกาแฟด้วยแรงมือ แล้วหยดน้ำร้อนรอเวลา