ถึงเวลาที่ไทยต้องตื่นตัวกับ PDPA วิเคราะห์คดีดังละเมิดข้อมูลส่วนบุคคลระดับโลก

   

เวลานี้ทั่วโลกกำลังตื่นตัวกับการปกป้อง “ข้อมูลส่วนบุคคล” และมีการผลักดันการบังคับใช้กฎหมายเพื่อคุ้มครองประชาชน สำหรับในไทยนั้น แม้ว่าจะมีมติให้เลื่อนการบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) บางหมวดออกไปอีก 1 ปี

ซึ่งจะเริ่มบังคับใช้เต็มรูปแบบในปี 2565 แต่ทั้งนี้ เราก็ยังจำเป็นต้องมีมาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคล ดังนั้นจึงขอยกกรณีศึกษาที่น่าสนใจเกี่ยวกับเรื่องนี้มาฝากกัน เพื่อถอดบทเรียนความเข้าใจให้คนไทยพร้อมที่จะปรับตัวและรับมือหากต้องเจอกับเหตุการณ์จริง ๆ ในอนาคตค่ะ

Facebook อ่วม โดนปรับจากกรณี Cambridge Analytica ในปี 2018

เมื่อเจ้าพ่อวงการไอทีอย่าง Mark Zuckerberg ขึ้นให้การต่อวุฒิสภาสหรัฐฯ กรณีที่ข้อมูลส่วนตัวของผู้ใช้งาน Facebook 87 ล้านคน ถูกบริษัทด้านข้อมูลซื้อต่อและนำไปวิเคราะห์แคมเปญสำหรับการเลือกตั้งประธานาธิบดีสหรัฐฯ และ Brexit (การถอนตัวออกจากสหภาพยุโรปของสหราชอาณาจักรที่กำลังเกิดขึ้น) แล้วมันเกิดขึ้นได้อย่างไรล่ะ? เราจะพาย้อนกลับไปในปี 2014 ได้มีแอพพลิเคชันคำถามเชิงจิตวิทยาชื่อว่า “thisisyourdigitallife” สร้างโดยอาจารย์มหาวิทยาลัยเคมบริดจ์ ซึ่งเจ้าแอพนี้จะต้องเชื่อมต่อบัญชี Facebook เพื่อเข้าใช้งานค่ะ นั่นแปลว่าแอพสามารถเข้าถึงโปรไฟล์ของผู้ใช้ อีเมล เบอร์โทรศัพท์ ที่อยู่ รวมถึงรูปภาพ ข้อความต่าง ๆ ของเพื่อนผู้ใช้ด้วย พูดง่าย ๆ คือ ข้อมูลทั้งหมดใน Facebook นั่นเอง และผู้เล่นแอพนี้มีมากถึง 200,000 กว่าคน จุดพีคมันอยู่ตรงนี้ค่ะ เมื่ออาจารย์เจ้าของแอพเกิดหัวใส ตัดสินใจขายข้อมูลผู้ใช้ 87 ล้านคนให้กับ Cambridge Analytica ซึ่งเป็นบริษัทวิเคราะห์ข้อมูลทำแคมเปญหาเสียงทางการเมืองให้กับDonald Trump ในศึกเลือกตั้งประธานาธิบดีสหรัฐอเมริกา ปี 2016 หรืออีกครั้งหนึ่ง กับแคปเปญการถอนตัวของสหราชอาณาจักรออกจาก EU ซึ่งก็ใช้การวิเคราะห์ชุดข้อมูลในรูปแบบเดียวกัน แล้วเชื่อไหมคะว่า เรื่องมาแดงด้วยฝีมือสำนักข่าวอังกฤษและ 1 ในพนักงานของ Cambridge Analytica นั่นเอง

จากเหตุการณ์นั้น แน่นอนว่า Facebook เองก็เป็นเหยื่อของ Cambridge Analytica เช่นกัน แต่ความผิดและความรับผิดชอบก็ต้องมาพร้อมกัน ดังนั้น Facebook จึงขอยุติการดำเนินคดีต่อคณะกรรมาธิการการค้าแห่งสหพันธรัฐ (FTC) พร้อมจ่ายค่าปรับ 5,000 ล้านดอลลาร์สหรัฐฯ (ประมาณ 150,000 ล้านบาท) ในข้อหาละเมิดความคุ้มครองข้อมูลส่วนบุคคล และถูกบังคับใช้มาตรการคุ้มครองข้อมูลส่วนบุคคล (information privacy) รวมถึงมาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคล (data security) ส่วนอีกหนึ่งเจ้าที่ต้องรับผิดชอบอย่าง Cambridge Analytica ที่ละเมิดการใช้ข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอม จึงถูก Facebook สั่งระงับโฆษณาทั้งหมด ส่งผลให้ความเชื่อมั่นของลูกค้าบริษัทหมดไป ผลกระทบนี้รุนแรงถึงขั้นทำให้ต้องปิดกิจการในปี 2018 เลยค่ะ

Data Privacy เป็นเหตุให้ Google ถูกฟ้องละเมิดข้อมูลส่วนบุคคล

Google ยักษ์ใหญ่ก็ไม่รอด เมื่อปี 2019 สำนักงานด้านการคุ้มครองข้อมูลส่วนบุคคลของฝรั่งเศส (CNIL) สั่งปรับ Google เป็นเงิน 50 ล้านยูโร (ประมาณ 200 ล้านบาท) ในฐานละเมิดกฎหมายคุ้มครองข้อมูลส่วนบุคคลแห่งสหภาพยุโรป (GDPR) มันเกิดอะไรขึ้น? Google ทำอะไรผิด?

อย่างแรกเลยค่ะ Google ไม่ได้ระบุประเภทของการนำข้อมูลผู้ใช้ว่าเอาไปใช้ทำอะไรบ้าง และอีกอย่างคือ การขอความยินยอมจากผู้ใช้นั้นไม่ได้ระบุเฉพาะเจาะจง ซึ่งก็มีการถกเถียงกันว่า ผู้ใช้ก็มีการตั้งค่าความเป็นส่วนตัวนะ แน่นอนว่า CNIL ไม่ปล่อยให้รอดค่ะ พร้อมกับบอกว่า แค่นั้นไม่เพียงพอ เพราะทาง Google ไม่ได้ใช้ภาษาที่เข้าใจง่าย ส่งผลให้ผู้ใช้เข้าใจไปว่าเป็นโหมดที่ใช้งานอย่างเป็นความลับ

ทรูมูฟ เอช งานเข้า ข้อมูลลูกค้าถูกแฮก

ข้ามฟากกลับมาที่บ้านเราอย่าง บริษัท ทรูมูฟ เอช ที่เรื่องราวเกิดขึ้นเมื่อนักวิจัยด้านความปลอดภัยในต่างประเทศเปิดเผยข้อมูลว่า ไฟล์สำเนาบัตรประชาชนของผู้เปิดใช้งานลงทะเบียนเลขหมายใหม่ของทรูมูฟ เอช หลุด จุดพลิกอยู่ที่ทางทรูฝากไฟล์ดังกล่าวไว้ที่ Amazon S3 bucket ซึ่งเป็นพื้นที่จัดเก็บแบบออนไลน์ และตั้งค่าเป็นสาธารณะ ใช่ค่ะ แปลว่า ข้อมูลนี้ใครจะเข้ามาดูก็ได้ ซึ่งกว่าทรูจะดำเนินการปิดการตั้งค่าก็กินเวลาไปร่วมเดือนเลยค่ะ

ร้อนถึงกสทช. จึงมีคำสั่งให้ทรูมูฟ เอช รับผิดชอบและเยียวยาความเสียหายต่อลูกค้าทั้งทางแพ่งและอาญา กรณีการละเมิดสิทธิเกี่ยวกับข้อมูลส่วนบุคคล และต้องจัดทำรายงานผลการดำเนินการและมาตรการป้องกันและรักษาความปลอดภัยข้อมูลลูกค้า ซึ่งถ้าทางทรูมูฟ เอช เพิกเฉย จะมีโทษปรับทางปกครองวันละ 20,000 บาท จนกว่าจะดำเนินการแล้วเสร็จ เห็นไหมล่ะคะ นอกจากลูกค้าจะเสียความเชื่อมั่นในองค์กรแล้ว ยังต้องชดเชยค่าสินไหมทดแทนความเสียหาย รวมถึงโทษทางอาญา เช่น มีโทษจำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 500,000 บาท หรือทั้งจำทั้งปรับ และโทษทางปกครอง เช่น มีโทษปรับไม่เกิน 3,000,000 บาท

รู้อย่างนี้แล้ว ถึงเวลาหรือยังที่องค์กรและหน่วยงานต่าง ๆ ของไทยจะต้องตื่นตัวให้มากกว่าที่เคยเป็น เพื่อทำความเข้าใจผลที่จะเกิดขึ้นของการมีพ.ร.บ.นี้ และหากคุณยังไม่มีไอเดียในการเตรียมพร้อม เริ่มต้นการสร้าง Privacy Policy ที่ https://pdpa.pro/