การเติบโตและพัฒนาด้านเทคโนโลยีปัจจุบันมีความก้าวหน้าเป็นอย่างมาก ผู้คนสามารถเข้าถึงเทคโนโลยีได้อย่างกว้างขวางผ่านคอมพิวเตอร์ แท็บเล็ต สมาร์ทโฟน ใช้ประโยชน์ด้านการศึกษา การทำงาน การเงิน ธนาคาร และการใช้สื่อสังคมออนไลน์ เป็นต้น นอกจากเป็นผู้ใช้งานแล้วในขณะเดียวกันก็เป็นผู้สร้างข้อมูลส่วนตัวบนระบบด้วย ทั้งทางตรง เช่น ข้อมูลชื่อผู้ใช้ ความชอบ ข้อมูลบัตรเครดิต อีเมล และข้อมูลทางอ้อม เช่น หมายเลขไอพีที่ใช้งาน ตำแหน่งGPS ประวัติการเข้าชม เป็นต้น
เมื่อโลกก้าวสู่ยุคเปลี่ยนผ่าน ทุกกิจกรรมตั้งแต่เศรษฐกิจ ตลอดจนวิถีชีวิตประจำวันของเราทุกคนล้วนพึ่งพาเทคโนโลยีโครงข่ายสัญญาณอินเทอร์เน็ต ดังนั้นการเสิร์ฟทุกความต้องการให้ถูกต้อง รวดเร็ว และ Customize เพื่อ Optimize ในแง่ของทรัพยากรต่างๆ จึงเป็นยุคที่ใครมี DATA ที่ครบถ้วนกว่า เชิงลึกกว่า ย่อมเป็นผู้ชนะในการแข่งขันทั้งด้านการค้า และการบริการ เมื่อผู้ใช้ต้องการเข้าถึงข้อมูลเชิงลึก และความเป็นส่วนตัวของผู้บริโภคให้ได้มากที่สุด ต้องมีการร่างกฎเกณฑ์ขึ้นมาเพื่อป้องกันการละเมิดความเป็นส่วนตัว จนเกิดผลกระทบเชิงลบ ดังนั้นเราจึงเห็นประเทศไทยให้ความสำคัญเรื่อง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล PDPA (Personal Data Protection Act) ที่ถูกประกาศใช้ไปเมื่อวันที่ 1 มิถุนายน 2565ที่ผ่านมา ทุกท่านคงได้ศึกษาเรื่องนี้กันมาพอสมควร
ครั้งนี้ OzoneNet จะมาอัพเดตเรื่องของการรักษาความเป็นส่วนตัวในยุค Digital Age ได้ทราบถึงการปกป้องคุ้มครองข้อมูลความเป็นส่วนตัวในแต่ละประเทศ จากบทสรุปของงานวิจัยของ www.cullen-international.com และหยิบตัวอย่างกรณีศึกษาเพื่อให้เกิดความเข้าใจและเห็นภาพยิ่งขึ้น
อัพเดตช่วงเดือน กรกฏาคม 2565
เกณฑ์มาตรฐานของ Global Trends ด้านความเป็นส่วนตัวในยุคดิจิทัล ครอบคลุมทั้งประเทศออสเตรเลีย บราซิล แคนาดา จีน สหภาพยุโรป อินเดีย ไอร์แลนด์ ญี่ปุ่น เกาหลี สิงคโปร์ แอฟริกาใต้ และสหรัฐอเมริกา
เรื่องหลักที่ค้นพบของงานวิจัย
- กฎหมายความเป็นส่วนตัวฉบับใหม่ ได้รับการรับรองในจีน เมื่อเดือนพฤศจิกายน 2564 และกฏหมายความเป็นส่วนตัวฉบับแก้ไขในญี่ปุ่น มีผลบังคับใช้ในเดือนเมษายน 2565 ประเทศแคนาดาและอินเดีย ได้ออกกฏหมายความเป็นส่วนตัวฉบับใหม่ต่อรัฐสภา
- ประเทศที่สำรวจส่วนใหญ่ ใช้กฏความเป็นส่วนตัวทั่วไปกับข้อมูลตำแหน่ง ถือว่าข้อมูล Biomatric เป็นหมวดหมู่ที่ละเอียดอ่อนของข้อมูลส่วนบุคคล ซึ่งโดยทั่วไปต้องได้รับความยินยอมอย่างชัดแจ้ง
- ไม่ใช่ทุกประเทศที่ได้จัดตั้งหน่วยงานคุ้มครองข้อมูลอิสระ (DPA) ในประเทศที่มี DPA จะแตกต่างกันไปตามอายุการทำงาน และระดับทรัพยากร ความกังวลเกี่ยวกับทรัพยากรไม่เพียงพอแสดงออกมา แม้ในภูมิภาคที่ก้าวหน้าอย่างสหภาพยุโรป
- ตัวอย่างค่าปรับในการป้องกันข้อมูลที่สำคัญ เกี่ยวข้องกับเทคโนโลยีขนาดใหญ่ และค่าปรับทั่วไปนั้นต่ำเมื่อเทียบกับขนาดของบริษัท ที่โดดเด่นอย่างสหรัฐอเมริกา ที่ Facebook บรรลุข้อตกลงกับรัฐบาลสหรัฐ มูลค่า 5 พันล้านดอลลาร์สหรัฐ ในสหภาพยุโรป DPA ของลักเซมเบิร์ท กำหนดโทษปรับสูงสุดสำหรับการละเมิดกฏระเบียบการคุ้มครองข้อมูลส่วนบุคคล 837 ล้านเหรียญสหรัฐ ใน Amazon
จากบทสรุป
จะเห็นได้ว่าทั่วโลกตื่นตัวเรื่อง Personal Data Protection มาก และมีโทษปรับค่อนข้างสูง ส่วนของPDPA ของประเทศไทยก็มีโทษเช่นกัน
โดยแบ่งเป็น 3 ประเภท ดังนี้
โทษทางอาญา : จำคุกสูงสุดไม่เกิน 6 เดือนถึง 1 ปี หรือปรับสูงสุดไม่เกิน 500,000 ถึง 1 ล้านบาท หรือทั้งจำทั้งปรับ
โทษทางแพ่ง : ค่าสินไหมทดแทน + ค่าสินไหมเพื่อการลงโทษอีกไม่เกิน 2 เท่า
โทษทางปกครอง : ปรับไม่เกิน 1/3/5 ล้าน
ดังนั้น ในฐานะที่เราเป็นผู้บริโภค ควรใส่ใจในการตรวจสอบ และตั้งคำถามกับตัวเองเสมอ ก่อนให้ข้อมูลใครไป ต้องพิจารณาว่าให้ใคร เพื่ออะไร เพราะอะไร ในส่วนของเจ้าของธุรกิจ บริการที่ต้องการทราบข้อมูล เพื่อนำมาใช้ส่งเสริมการบริการ ต้องมีบทบัญญัติอย่างรัดในการร้องขอ และเลือกใช้อย่างระมัดระวัง เพื่อป้องกันไม่ให้เกิดปัญหากับผู้บริโภคทั้งทางตรง และทางอ้อมได้ ทั้งนี้ในเรื่องของการเก็บข้อมูลสำคัญ จึงเป็นเรื่องที่ต้องให้ความสำคัญในการเลือก Data Center ที่ได้มาตรฐาน และมีระบบ Digital Infrastructure ที่สมบูรณ์ รวมถึง Security ที่ไว้ใจได้ เพื่อความปลอดภัยของข้อมูลของคุณและผู้บริโภค
ตัวอย่างกรณีศึกษา
ข่าวรายงานเกี่ยวกับข้อมูลของ ผู้บริโภครั่วไหลออกจากบริษัทที่ผู้บริโภคได้ใช้บริการอยู่เป็นระยะ ซึ่งบางครั้งอาจเกิดจากบริษัทเหล่านั้นถูกโจมตีจากแฮกเกอร์ แล้วถูกขโมยไปหรือบางกรณีอาจเกิดจากตัวซอฟต์แวร์ ที่ทางบริษัทใช้แล้วมีข้อผิดพลาดมีการส่งข้อมูลให้กับผู้ให้ บริการภายนอกหรือบุคคลที่สาม โดยที่ผู้บริโภคไม่ได้ยินยอม เมื่อเดือนมีนาคม 2561 สำนักข่าว ต่างประเทศได้รายงานว่ามีบริษัทวิเคราะห์ข้อมูลชื่อ Cambridge Analytica ซึ่งตั้งอยู่ที่ประเทศอังกฤษได้มี การเข้าถึงข้อมูลส่วนตัวของผู้ใช้งาน Facebook โดยที่ผู้ใช้ งานไม่ได้รับอนุญาตเป็นจำนวนมากถึง 50 ล้านบัญชี เพื่อ นำข้อมูลส่วนตัวเหล่านั้นมาใช้วิเคราะห์ข้อมูลเพื่อช่วยหา เสียงทางการเมืองให้กับ โดนัลด์ ทรัมป์ เมื่อปี พ.ศ. 2559 ส่งผลให้ โดนัลด์ ทรัมป์ เอาชนะการเลือกตั้ง ขึ้นเป็นประธานาธิบดีของประเทศสหรัฐอเมริกาได้ ทั้ง ๆ ที่ ผลสำรวจคะแนนนิยมนั้นโดนัลด์ ทรัมป์ เป็นรอง ฮิลลารี่ คลินตัน อยู่มาก
เหตุการณ์นี้ “Facebook โดนปรับ 150,000 ล้านบาท กรณีบริษัท Facebook นำข้อมูลของลูกค้าไปให้ บริษัท Cambridge Analytica เพื่อเอื้อประโยชน์ ทางการค้าแก่กัน และไม่ได้เกิดจาก Facebook ถูกแฮ็กเอาข้อมูลไป แต่เกิดจาก บริษัท Cambridge Analytica ได้พัฒนาโปรแกรมชื่อว่า “thisisyourdigitallife” ซึ่งเป็น โปรแกรมที่ใช้ข้อมูลทางจิตวิทยามาทดสอบบุคลิกภาพ ซึ่ง มีผู้ใช้งานจำนวน 270,000 คน โปรแกรมนี้ได้ใช้ Application Programming Interface--API ของ Facebook ที่พัฒนา ขึ้นมาเพื่อให้โปรแกรมที่นำเอา API นี้ไปใช้สามารถเชื่อมต่อกับ Facebook ได้ โปรแกรมได้นำความสามารถของ API นี้มาใช้งาน โดยให้ผู้ใช้สามารถลงชื่อเข้าใช้งานโดยล็อกอินด้วยบัญชี Facebook ของตนเองได้ ซึ่งโปรแกรม Thisisyourdigitallif นี้ จะได้สิทธิเข้าถึงข้อมูลส่วนตัวต่าง ๆ ในบัญชี Facebook ของผู้ใช้ เช่น ข้อมูลกิจกรรมส่วนตัว ข้อมูลเพื่อน ๆ ที่มี อยู่ในรายการเพื่อนในบัญชี Facebook โดยโปรแกรม Thisisyourdigitallif ได้แจ้งขอสิทธิ์เข้าถึงข้อมูลส่วนตัว ของผู้ใช้ไว้ในขั้นตอนการติดตั้ง ซึ่งมีรายละเอียดเป็นจำนวนมาก ทำให้ผู้ใช้ไม่ได้ระมัดระวังตอนอนุญาตให้สิทธิ์แก่โปรแกรมก่อนการติดตั้งเพื่อใช้งาน
จากเหตุการณ์ ดังกล่าวทำให้บริษัท Cambridge Analytica สามารถเข้าถึงข้อมูลส่วนตัวต่าง ๆ ของคนใช้งานมากถึง 50 ล้าน บัญชี เมื่อได้ข้อมูลผู้ใช้งาน Facebook มาแล้วบริษัท Cambridge Analytica ก็นำข้อมูลเหล่านั้นมาวิเคราะห์ เพื่อสร้างแคมเปญรณรงค์การเลือกตั้งเพื่อให้ตรงใจกับ ผู้ใช้ Facebook ในสหรัฐอเมริกามากที่สุด โดยสามารถโฆษณาแบบเจาะจงกลุ่มได้ สามารถสร้างโฆษณาที่ตรงใจ ทำให้ส่งผลต่อการตัดสินใจเลือกผู้สมัครประธานาธิบดีของ ผู้ลงคะแนนเลือกตั้งได้ ซึ่งเหตุการณ์ครั้งนี้มีประเด็นที่สำคัญคือการละเมิด การเข้าถึง และเข้าใช้งานข้อมูลส่วนตัวของผู้ใช้งานโดยที่ไม่ ได้รับอนุญาตทั้งผู้ใช้งานโปรแกรม“Thisisyourdigitallife” และเพื่อนในบัญชี Facebook ของผู้ใช้งานทั้งที่ไม่ได้ ติดตั้งโปรแกรมดังกล่าว แม้ว่า Facebook เองจะไม่ได้ เป็นผู้ละเมิดเองแต่ก็ถือว่าบริษัทบกพร่องต่อการรักษา ความปลอดภัยของข้อมูลและความเป็นส่วนตัวของผู้ใช้งาน คณะกรรมาธิการการค้าของรัฐบาลกลางสหรัฐอเมริกา ได้สั่งปรับบริษัท Facebook จากกรณีดังกล่าวในความผิดที่ Facebook วารสารวิชาการมหาวิทยาลัยอีสเทิร์นเอเชีย ปีที่ 14 ฉบับที่ 2 ฉบับวิทยาศาสตร์และเทคโนโลยี เดือน พฤษภาคม-สิงหาคม 2563 ละเมิดข้อตกลงกับคณะกรรมการซึ่งสัญญาว่า “จะไม่มอบ ข้อมูลผู้ใช้ให้แก่บุคคลที่สามโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล” เป็นจำนวนเงินถึง 5 พัน ล้านเหรียญสหรัฐ (ประมาณ 150,000 ล้านบาท) และต้องปรับองค์กรเพื่อให้มีการปรับปรุงความปลอดภัยและข้อมูลส่วนตัวของผู้ใช้งาน คณะกรรมาธิการการค้าของรัฐบาล กลางสหรัฐอเมริกา ขอให้บริษัท Facebook ได้ปรับปรุง เรื่องความเป็นส่วนตัวใหม่จำนวน 6 เรื่อง ได้แก่
1) เพิ่มการตรวจสอบการทำงานแอปของบุคคลที่สาม
2) ห้ามนำหมายเลขโทรศัพท์ของผู้ใช้ที่ให้ไว้เพื่อความปลอดภัยมาใช้เพื่อการโฆษณา
3) แจ้งเตือนผู้ใช้อย่างชัดเจนและต้องได้รับ ความยินยอมก่อนใช้การจดจำใบหน้า
4) พัฒนาและการบำรุงรักษาโปรแกรมรักษา ความปลอดภัยข้อมูลให้ทันสมัยอยู่ตลอดเวลา 5) รหัสผ่านของผู้ใช้ต้องมีการเข้ารหัสและตรวจ สอบเป็นประจำเพื่อดูว่ามีการเก็บรหัสผ่านในรูปแบบ ข้อความธรรมดาและรหัสผ่านมีช่องโหว่หรือไม่
6) ห้ามให้บริการอื่น ๆ ขอรหัสผ่านอีเมลเมื่อผู้ใช้ Facebook สมัครใช้งานในบริการนั้น
จากข่าวนี้แสดงให้เห็นว่าความเสี่ยงของการถูกละเมิดข้อมูลส่วนตัวไม่จำเป็นต้องถูกขโมยจากอุปกรณ์ สื่อสารที่ผู้บริโภคใช้อยู่เท่านั้น แต่ยังอาจเกิดจากการ รั่วไหลจากความผิดพลาดของบริษัทหรือองค์กรที่ผู้บริโภค ใช้บริการมีนโยบายการดูแลข้อมูล ความเป็นส่วนตัวที่ไม่ เหมาะสมและการรักษาความปลอดภัยของฐานข้อมูลที่ เก็บไว้ไม่มีประสิทธิภาพเพียงพอ
ขอบคุณที่มาข้อมูล : www.cullen-international.com
Ozone Network Integration
เราคำนึงถึงมาตรการปกป้องข้อมูลทุกรูปแบบที่เกี่ยวข้องกับนโยบายความเป็นส่วนตัว
เพื่อให้ท่านมั่นใจว่าข้อมูลที่ได้มอบให้กับทางเรานั้น มีมาตรการการรักษาความมั่นคงปลอดภัยอย่างเหมาะสม
สาระน่ารู้ที่เกี่ยวข้อง
