เรื่อง+ภาพ: ชมพูนิกข์ ณ นคร
ในยุคโลกาภิวัตน์ที่อินเทอร์เน็ตกลายเป็นส่วนหนึ่งในชีวิตประจำวันของเราไปแล้ว จะทำอย่างไรหากข้อมูลส่วนตัวที่เราเข้าไปลงทะเบียนใช้งานไว้ในบริการออนไลน์ต่างๆ รั่วไหลออกไปได้ง่ายๆ แม้หลายคนที่เลือกความสะดวกสบายในการทำธุรกรรมออนไลน์ต่างๆ ยังอดหนาวๆ ร้อนๆ ไม่ได้ว่าจะถึงคราวเคราะห์ของตัวเองขึ้นมาเมื่อไหร่
ความวิตกกังวลเรื่องความปลอดภัยและการรักษาความเป็นส่วนตัวให้กับผู้บริโภคนี้เอง เป็นส่วนหนึ่งที่จุดประเด็นให้เกิดงานสัมมนาสาธารณะเทคโนโลยีและสังคม เรื่อง ‘บริการออนไลน์ไทยปลอดภัยแค่ไหน?: มาตรการทางกฎหมายและทางเทคโนโลยีที่เกี่ยวกับการจัดเก็บและการคุ้มครองข้อมูลส่วนบุคคลในประเทศไทย’
มีการนำเสนอผลงานวิจัย ‘มาตรการคุ้มครองความปลอดภัยและความเป็นส่วนตัวออนไลน์ไทย’ โดย ธิติมา อุรพีพัฒนพงศ์ มีผู้ร่วมการอภิปราย ได้แก่ รศ.สุดา วิศรุตพิชญ์, ฐิติรัตน์ ทิพย์สัมฤทธิ์กุล คณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์ และ กิติศักดิ์ จิรวรรณกูล ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยทางคอมพิวเตอร์ สำนักงานรัฐบาลอิเล็กทรอนิกส์ และประธานกลุ่ม Open Web Application Security Project (OWASP) ประเทศไทย โดยมี อาทิตย์ สุริยะวงศ์กุล ผู้ประสานงานเครือข่ายพลเมืองเน็ต ดำเนินรายการ
+ บริการออนไลน์ใด ปลอดภัยสุด?
โครงการวิจัยความเป็นส่วนตัวออนไลน์ เครือข่ายพลเมืองเน็ต เริ่มสำรวจมาตรการรักษาความปลอดภัยและการคุ้มครองความเป็นส่วนตัวผู้ให้บริการออนไลน์ต่างๆ ของประเทศไทย ในระดับ ‘เบื้องต้น’ เพื่อเป็นข้อมูลให้ผู้บริโภคสามารถตัดสินใจได้ว่าควรใช้บริการใด ด้วยการพิจารณาผู้ให้บริการออนไลน์ไทยจำนวน 45 เว็บไซต์ แบ่งเป็น 6 หมวดย่อยๆ คือ หน่วยงานรัฐ ธนาคาร มหาวิทยาลัย ซื้อขายสินค้า บริการขนส่งสาธารณะ และบริการรับสมัครงาน
ที่มา: เครือข่ายพลเมืองเน็ต (thainetizen.org)
รายงานการวิจัยเป็นการรวบรวมข้อมูลและตรวจสอบการเข้ารหัสเชื่อมต่อและนโยบายข้อมูลของผู้ให้บริการออนไลน์ไทย และพิจารณาว่าผู้ให้บริการออนไลน์เหล่านี้คุ้มครองความปลอดภัยและความเป็นส่วนตัวของผู้ใช้มากเพียงใด โดยวิเคราะห์จาก 7 ปัจจัยดังต่อไปนี้
- เข้ารหัส HTTPS (Hypertext Transrer Protocol Secure) พิจารณาจากการเชื่อมต่อ HTTPS รุ่น TLS (รุ่น 2 – ยิ่งอัพเกรดยิ่งมีความปลอดภัยมากขึ้น)
- รหัสผ่านปลอดภัย พิจารณาจากเงื่อนไขความยาวของรหัสผ่าน การบังคับใช้อักษรและตัวเลข การขอรหัสผ่านใหม่
- ยอมให้ใช้ Do Not Track พิจารณาจากการใช้งานได้เมื่อเปิดการใช้งานแบบ Do not track (ว่าเว็บไซต์ยอมให้เราใช้โปรแกรมที่ไม่ยอมให้เว็บไซต์ติดตามหรือไม่)
- บังคับใช้เลขประจำตัวประชาชน
- แจ้งว่าเก็บข้อมูลอะไร พิจารณาจากการแจ้งว่าเก็บข้อมูลคุกกี้ (cookies-การเก็บข้อมูลของเว็บไซต์เก็บ ว่ามีการใช้บริการจากที่ไหน ใช้บราวเซอร์อะไรในการเก็บข้อมูลทางคอมพิวเตอร์) การแจ้งรายละเอียดข้อมูล ที่จัดเก็บ การแจ้งวัตถุประสงค์การเก็บข้อมูล
- แจ้งว่าส่งข้อมูลต่ออย่างไร พิจารณาจากการแจ้งให้ทราบถึงการส่งต่อข้อมูลให้บุคคลที่สามอย่างชัดเจน การแจ้งถึงวิธีปฏิบัติเมื่อเจ้าหน้าที่ขอข้อมูลส่วนบุคคล
- นโยบายอ่านง่าย พิจารณาจากภาษาและรูปแบบของหน้านโยบายส่วนตัว
ผลการสำรวจพบว่า มีเพียงร้อยละ 31 ของเว็บไซต์กลุ่มตัวอย่างที่ได้คะแนนเกินครึ่ง (13 เว็บไซต์จากทั้งหมด 45 เว็บไซต์) เว็บไซต์ที่ได้คะแนนมากที่สุดคือ เว็บแอร์เอเชีย ส่วนเว็บธนาคารจัดอยู่ในกลุ่มเว็บไซต์ที่ได้คะแนนสูง เมื่อเทียบกับบริการออนไลน์ประเภทอื่นๆ ส่วนหน่วยงานรัฐและมหาวิทยาลัยอยู่ในกลุ่มคะแนนต่ำสุด
เมื่อเทียบกับบริการประเภทอื่นๆ เว็บไซต์สายการบินให้ความสำคัญกับนโยบายด้านข้อมูลมากที่สุด เนื่องจากเป็นธุรกิจที่ดำเนินการระหว่างประเทศ แม้ในประเทศไทยจะยังไม่มีกฎหมายกลางด้านการคุ้มครองข้อมูลส่วนบุคคล แต่ธุรกิจสายการบินจำเป็นต้องปฏิบัติตามกฎหมายคุ้มครองส่วนบุคคลของประเทศอื่นๆ จึงทำให้ต้องมีมาตรการที่ครอบคลุมความปลอดภัยและความเป็นส่วนตัวของข้อมูลตามไปด้วย
หน่วยงานรัฐและมหาวิทยาลัยให้ความสำคัญกับการปกป้องความปลอดภัยด้านเทคนิคมากกว่าการคุ้มครองข้อมูลส่วนตัวของผู้ใช้บริการ ดังจะเห็นได้จากระดับคะแนนด้านนโยบายข้อมูลซึ่งเกือบทั้งหมดเป็น 0 คะแนน ซึ่งชัดเจนว่าไม่มีนโยบายด้านความเป็นส่วนตัวเลย
เว็บไซต์จำนวนหนึ่งแม้จะมีลิงก์แสดงนโยบายข้อมูลส่วนบุคคล แต่เมื่อคลิกเข้าไปกลับไม่ปรากฏหน้านโยบายความเป็นส่วนตัว ขณะที่บางเว็บไซต์ให้ข้อมูลเป็นภาษาอังกฤษ ขณะที่ทุกเว็บไซต์มีการเก็บข้อมูลคุกกี้ ซึ่งเป็นการเก็บข้อมูลการเข้าชมหน้าเว็บไซต์ มีบางเว็บไซต์เท่านั้นที่แจ้งให้ทราบอย่างละเอียดว่าเก็บข้อมูลอะไรบ้าง เช่น เว็บไซต์ Zalora
บางเว็บไซต์ระบุอย่างกว้างๆ ว่าจะจัดเก็บข้อมูลส่วนบุคคลที่ผู้ใช้บริการมอบให้อย่างปลอดภัย โดยไม่ชี้แจงรายละเอียดว่ามีวิธีเก็บอย่างไร อีกทั้งยังอ้างความเป็นเจ้าของข้อมูลด้วย เช่น เว็บไซต์ตลาดดอทคอม
การนำข้อมูลไปใช้ของผู้ให้บริการบางรายไม่มีระยะเวลาสิ้นสุด แม้การใช้บริการจะสิ้นสุดแล้วก็ตาม เมื่อยอมรับข้อตกลงแล้วผู้ให้บริการถือว่าความยินยอมนี้มีผลผูกพันตลอดไป เช่น ธนาคารธนชาต
ในข้อตกลงการให้บริการ หรือนโยบายความเป็นส่วนตัวของบางเว็บไซต์ได้ระบุว่า ไม่รับรองความปลอดภัยของข้อมูลส่วนบุคคล เมื่อเกิดความบกพร่องทางเทคนิค เว็บไซต์จะปฏิเสธความรับผิดทั้งหมด เช่น เว็บไซต์ตลาดงานของกรมจัดหางาน
จากข้อมูลทั้งหมดแสดงให้เห็นว่ามีการปกป้องคุ้มครองข้อมูลความเป็นส่วนตัวของผู้ใช้บริการมากแค่ไหน ซึ่งเป็นตัวชี้วัดที่หวังว่าผู้ให้บริการออนไลน์ไทยจะคำนึงถึงประเด็นเรื่องความปลอดภัยละความเป็นส่วนตัวของผู้ใช้บริการด้วย และต้องการให้ผู้ใช้บริการมีข้อมูลว่าเว็บไซต์ใดที่ปลอดภัย มีระบบการจัดการข้อมูลอย่างไร เพื่อให้ผู้บริโภคสามารถนำเกณฑ์การประเมินไปใช้ในชีวิตประจำวันได้
+ ข้อแตกต่างของ HTTP และ HTTPS
โดยส่วนใหญ่ในการใช้งานอินเทอร์เน็ต เมื่อมีการเข้าเว็บไซต์จะปรากฏ URL ของเว็บไซต์ต่างๆ ซึ่งจะใช้วิธีการส่งข้อมูลที่เรียกว่า http ซึ่งการส่งข้อมูลแบบนี้ข้อมูลจะไม่ถูกเข้ารหัส หากมีคนมาดักจับข้อมูลของผู้ใช้ (user) ซึ่งเปรียบได้กับการส่งโปสการ์ด ที่คนภายนอกสามารถเห็นรายละเอียดเนื้อหาที่เราส่ง ทำให้สูญเสียความเป็นส่วนตัว และรู้สึกไม่ปลอดภัยในการใช้งาน
ขณะที่การส่งข้อมูลแบบ https จะมีการเข้ารหัสข้อมูลจากต้นทางไปถึงปลายทาง ทำให้การส่งข้อมูลมีความปลอดภัยขึ้น คล้ายๆ กับจดหมายปิดผนึก คนที่อยู่ภายนอกจะเห็นว่ามีการส่งจดหมายขึ้นแต่ไม่สามารถทราบถึงข้อมูลข้างในได้ จึงมีความปลอดภัยมากกว่า แต่ผู้บริโภคส่วนใหญ่อาจไม่มีความรู้ในเรื่องนี้ ส่งผลให้เกิดความไม่ปลอดภัยต่อข้อมูลส่วนตัวของผู้บริโภคเอง
สุดากล่าวว่า ตนเองไม่ใช่คนยุคดิจิตอล ซึ่งเป็นยุคที่ไว้ใจใครหรืออะไรไม่ได้เลย ถ้าเลี่ยงบริการออนไลน์ได้ ก็พยายามหลีกเลี่ยงเพราะกังวลเรื่องความปลอดภัยต่างๆ เนื่องจากอินเทอร์เน็ตมีความรวดเร็ว กดคลิกเพียงไม่นาน เราก็อยู่บนความเสี่ยงมากมาย
สำหรับในแง่ของคนใช้บริการ อยากฝากเรื่องการทำความเข้าใจของผู้ใช้บริการ เพื่อให้มีความรู้ความเข้าใจเรื่องความปลอดภัยมากขึ้น อย่างเรื่องการใช้ http และ https ซึ่งคนส่วนใหญ่อาจยังไม่ทราบ
“เหมือนกับเรายอมรับในสิ่งที่มันมีอยู่ แต่เราไม่ได้อ่าน ตรงนี้ ถ้าลองสำรวจดูจะพบว่า การทำธุรกรรมต่างๆ บนอินเทอร์เน็ต ที่ตัวเองไม่มีความรู้ในเรื่องความปลอดภัย คิดว่าจะมีสัดส่วนไม่น้อยเลยทีเดียว” สุดากล่าว และเสนอต่อว่า เป็นไปได้หรือไม่ที่ภาครัฐจะทำให้เว็บไซต์มีการเข้ารหัส https ทั้งหมด
ขณะที่กิตติศักดิ์แย้งว่า การทำให้เว็บไซต์เข้ารหัส https ทั้งหมดมีค่าให้จ่ายและชี้ให้เห็นว่าการใช้งานบางประเภทอาจไม่จำเป็นต้องใช้การเข้ารหัส https โดยยกตัวอย่าง เมื่อผู้บริโภคต้องการอ่านข่าว เว็บไซต์สำนักข่าวเป็นเพียงการอ่านข้อมูลทั่วไปที่ไม่จำเป็นต้องมีการล็อคอิน ซึ่งการเข้ารหัส https ไม่ใช่จุดสิ้นสุดของการรักษาความปลอดภัย แต่ก็ช่วยรักษาความปลอดภัยขึ้นมาระดับหนึ่ง
กิติศักดิ์มองว่า ต้องมีการปรับให้เกิดความสมดุลระหว่าง security กับ privacy และ privacy กับความสะดวกสบายของคน ซึ่งเป็นจุดที่ยากต่อการตัดสินใจว่าเว็บไหนมีความปลอดภัย เพราะคนที่จะตัดสินใจคือตัวผู้ใช้บริการเอง เนื่องจากความสำคัญของข้อมูลส่วนตัวของผู้บริโภคมีไม่เท่ากัน
ผู้บริโภคบางคนอาจเห็นว่าเบอร์โทรศัพท์มือถือมีความสำคัญ แต่ในทางกลับกันบางคนกลับไม่กังวลในจุดนี้ นอกจากนั้น กิติศักดิ์ยังกล่าวอีกว่า ความปลอดภัยบนเว็บไซต์ไม่ได้มีแต่การใช้ https เพียงอย่างเดียว ยังมีกลไกอีกหลายส่วน ไม่ว่าจะเป็นเรื่องของเซิร์ฟเวอร์ที่ต้องมีการอัพเดท แก้ไข และป้องกัน หรือส่วนของโปรแกรมที่เขียนในการเก็บข้อมูลของเรา
“เว็บส่วนใหญ่เมื่อถูกแฮ็ค หน่วยงานมักจะซื้อไฟร์วอลใหม่ ซื้ออุปกรณ์เครือข่ายใหม่ ซึ่งตรงนี้ไม่ได้ช่วยแก้ไขปัญหา เพราะจุดอ่อนอยู่ที่เนื้อหาตัวโปรแกรมของเว็บ” กิติศักดิ์กล่าว
เมื่อเปรียบเว็บไซต์เป็นบ้านหลังใหญ่ราคาแพงสักหลัง เมื่อถูกโจรบุกปล้น เจ้าบ้านกลับพุ่งเป้าไปที่ประตูบ้าน แต่ลืมไปว่าโจรยังสามารถเข้าได้อีกหลายทาง ไม่ว่าจะเป็น หน้าต่าง หลังคา หรือผนังที่อาจถูกเจาะเป็นรูโหว่
+ ข้อมูลส่วนตัวไร้พรมแดน
รายงานของกลุ่มประสานงานการรักษาความมั่นคงปลอดภัยในระบบอินเทอร์เน็ตประเทศไทย (ThaiCERT) ว่ามีสถิติการแจ้งถูกคุกคามและมีความไม่ปลอดภัยจากการใช้อินเทอร์เน็ตเพิ่มขึ้นจากเดิมถึง 2 เท่า จากปี 2013 มี 792 กรณี แต่ว่าปีนี้กลับปรากฏถึง 1,745 รายการ
ฐิติรัตน์ให้ข้อมูลว่า ตัวงานวิจัยสะท้อนสถานการณ์การคุ้มครองข้อมูลทางธุรกรรมที่มีการติดต่อกับต่างประเทศ ซึ่งในส่วนนี้จะได้รับการคุ้มครองค่อนข้างดี เพราะกลไกแต่ละประเทศต่อการคุ้มครองข้อมูลส่วนบุคคลมีไม่เท่ากัน เมื่อการใช้อินเทอร์เน็ตเป็นข้อมูลไร้พรมแดน เมื่อเกิดการส่งต่อข้อมูล ความเสียหายที่อาจเกิดขึ้นจากความเสี่ยงและการใช้ข้อมูลก็อาจจะไหลผ่านไปด้วย ดังนั้นกฎหมายในแต่ละประเทศก็พยายามเอื้อมมือไปคุ้มครองข้อมูลของคนในประเทศตนเอง ถึงแม้ว่าข้อมูลนั้นจะถูกนำไปใช้ในประเทศอื่นๆ
ฐิติรัตน์ยังชี้ว่าการมีมาตรฐานสูงในอีกแง่หนึ่งไม่ใช่เรื่องของการคุ้มครองสิทธิผู้บริโภคเพียงอย่างเดียว แต่ยังเป็นเรื่องของการลดต้นทุนในการทำธุรกิจในฝั่งผู้ให้บริการด้วย
“กรณีของแอร์เอเชียที่เห็นได้ชัดจากงานวิจัยครั้งนี้ว่ามีจุดเขียว (ปลอดภัย) มากที่สุดแล้ว ดูแลมากที่สุด บริษัทแม่ของเขาอยู่ในประเทศมาเลเซีย ซึ่งมีกฎหมายคุ้มครองข้อมูลส่วนบุคคลตัวใหม่ออกมา ทำให้ธุรกิจในมาเลเซียค่อนข้างตื่นตัวมาก มีมาตรา 129 พูดถึงการส่งข้อมูลไปต่างประเทศ ซึ่งห้ามชัดเจนเลยว่า ห้ามส่งข้อมูลไปต่างประเทศ ยกเว้นประเทศที่ได้รับความน่าเชื่อถือว่ามีมาตรฐานเดียวกันในการคุ้มครอง”
การกำหนดมาตรฐานให้สูงถือเป็นการเพิ่มโอกาสในการทำธุรกิจ เพราะเมื่อมาตรฐานสูงก็สามารถให้บริการลูกค้าจากหลายๆ ประเทศได้มากขึ้น ผู้ประกอบการที่มีความปลอดภัยน้อยก็จะเสียโอกาสไป เนื่องจากผู้บริโภคที่กังวลกับเรื่องข้อมูลส่วนบุคคล อาจเลือกไม่ใช้หรือทำธุรกรรมกับประเทศที่มีมาตรฐานกฎหมายต่ำ ซึ่งจะเชื่อมต่อไปยังตัวเลือกของผู้บริโภคด้วย เพราะเมื่อเริ่มทำธุกรรมบางอย่างก็จะต้องกรอกข้อมูลมากมาย ซึ่งผู้บริโภคเลือกที่จะไม่ทำก็ได้
ในทางกลับกัน ยังคงมีสินค้าและบริการที่ผู้บริโภคไม่สามารถเลือกได้ ถ้ามีบริการไม่กี่ชนิด หรือถ้าจะเอาบริการที่ได้รับการคุ้มครองข้อมูลส่วนบุคคลมากๆ ก็ต้องจ่ายเงินเพิ่ม ก็ถือเป็นการจำกัดทางเลือกของผู้บริโภคอย่างชัดเจน
สุดาแสดงความกังวลถึงภาคเอกชน เนื่องจากประเทศไทยยังไม่มีกฎหมายคุ้มครองข้อมูลส่วนบุคคลในฝั่งเอกชนเป็นการทั่วไป ปัจจุบันจะแล้วแต่ประเภทของธุรกิจมากกว่า อย่างธนาคารหรือสายการบินที่มีเรื่องระหว่างประเทศ ก็จะมีการกำกับดูแลมาก แต่เว็บไซต์ประเภทอื่นๆ ยังมีปัญหาอยู่ กรณีหน่วยงานรัฐ ก็มีพระราชบัญญัติว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์กำกับอยู่ การทำธุรกรรมทางอิเล็คทรอนิกส์จะอยู่ภายใต้พระราชกฤษฎีกาหรือประกาศเกี่ยวกับความมั่นคงปลอดภัยในลักษณะนี้
ฐิติรัตน์เสริมว่า ควรเรียกร้องให้เกิดการจัดการจากภาครัฐให้เป็นมาตรฐานเดียวกันทั้งหมด อย่างกรณีที่กรมจัดหางานกล่าวว่าจะไม่รับผิดชอบต่อข้อมูลของผู้ใช้บริการ ก็จำเป็นต้องให้ภาครัฐเข้ามาช่วยจัดการให้เป็นมาตรฐานเดียวกัน
“การปล่อยให้เป็นเรื่องของกลไกตลาดอย่างเดียวคงเป็นเรื่องยาก เพราะเราทราบว่าผู้บริโภคเองมีกำลังต่อรองกับฝั่งผู้ให้บริการค่อนข้างน้อย ถ้าเป็นผู้ประกอบการที่อ่อนไหวมากๆ ผู้บริโภคสนใจความสะดวกสบายมากกว่าความปลอดภัยในเรื่องของข้อมูลส่วนบุคคล ผู้ให้บริการก็ไม่สนใจผู้บริโภคกลุ่มนี้ กลไกตลาดเองก็จะไม่ก่อให้เกิดกลไกที่จะมาตรวจสอบกันและกันอยู่แล้ว ก็อาจจะต้องมีการจัดการจากภาครัฐ” ฐิติรัตน์กล่าว
อย่างไรก็ตาม ผลวิจัยไม่สามารถยืนยันได้ว่าเว็บไซต์เหล่านี้ปลอดภัยอย่างสมบูรณ์ เนื่องจากยังมีปัจจัยอื่นๆ ที่เกี่ยวข้อง การเรียกร้องให้ภาคผู้ให้บริการเป็นฝ่ายอำนวยความสะดวกเรื่องความปลอดภัยและความเป็นส่วนตัวของผู้บริโภคก็ดูจะเป็นไปได้ยาก และกฎหมายก็ยังไม่ครอบคลุมการคุ้มครองสิทธิผู้บริโภคอย่างเราๆ ท่านๆ อย่างทั่วถึง ดังนั้น ผู้บริโภคเองควรตระหนักถึงความสำคัญของความปลอดภัยและความเป็นส่วนตัวของตน เมื่อเข้าใช้บริการต่างๆ บนโลกออนไลน์ ตัดสินใจ…ก่อนคลิก