เมื่อวันที่ 13 ตุลาคม ที่ผ่านมา กสทช.ร่วมกับเครือข่ายพลเมืองเน็ต จัดการประชุม NBTC Public Forum เรื่อง "ข้อมูลส่วนบุคคลผู้ใช้มือถือ บริหารอย่างไรให้ปลอดภัย" โดยมีวิทยากรเป็นนักวิชาการและผู้เชี่ยวชาญทั้งด้านกฎหมาย และเทคโนโลยีสารสนเทศและการสื่อสาร คือ
ช่วงเริ่มการประชุม ประวิทย์ ลี่สถาพรวงศา และ สุภิญญา กลางณรงค์ กรรมการ กสทช. ด้านการคุ้มครองผู้บริโภค แจงเหตุผลที่จัดการประชุมนี้ว่า กฎหมายในประเทศไทยตอนนี้มีมากมาย แต่กฎหมายที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลผู้ใช้มือถือโดยตรงนั้นมีน้อย
เมื่อรวมถึงการรั่วไหลของข้อมูลผู้ใช้ที่มีมากขึ้นในระยะหลังนี้ เป็นสิ่งที่ควรตั้งคำถามว่าเกิดมาจากอะไร บริษัทผู้ให้บริการเครือข่ายอย่างเดียวเท่านั้นหรือไม่ และจะหามาตรการแก้ไขระยะยาวที่จะผลักดันเข้าสู่ชั้นกฎหมายอย่างไรได้บ้าง รวมถึงมีข้อเสนอ มีมุมมองผู้เชี่ยวชาญเรื่องเครื่องมือ สร้างระบบที่จะป้องกันปัญหาข้อมูลรั่วไหล และนโยบายต่างๆ ที่จะมาช่วยแก้ปัญหานี้
ประวิทย์ สี่สถาพรวงศา และ สุภิญญา กลางณรงค์ กรรมการ กสทช. ด้านการคุ้มครองผู้บริโภค
ผศ.ดร. สุดสงวน งามสุริยโรจน์ เน้นว่า องค์กรและบริษัทที่มีการจัดเก็บข้อมูลของลูกค้ามาก คือเป้าหมายของแฮกเกอร์ที่จ้องจะขโมยข้อมูลอยู่แล้ว และมักมีการซื้อขายข้อมูลเกิดขึ้น
ยกตัวอย่างกรณีพนักงาน Verizon ขายข้อมูลให้กับบริษัทเจ้าหนึ่ง เพิ่งเกิดเมื่อปลายเดือนกันยายนที่ผ่านมา ผลคือถูกจำคุก 5 ปี อย่างไรก็ตาม ผู้ดูแลระบบก็ต้องรับผิดชอบด้วย
เมื่อมาดูข้อมูลผู้ใช้มือถือ แน่นอนว่าผู้ให้บริการเครือข่ายต้องมีนโยบายการจัดการดูแลข้อมูล โดยเสนอว่า
การเก็บรักษาข้อมูล ไม่ควรนานเกินความจำเป็น และควรกำหนดมาตรการการทำลายข้อมูลที่เหมาะสม
การเข้าถึงข้อมูล ใครมีสิทธิ์บ้าง หน้าที่ที่จะเข้าถึงข้อมูลคือตำแหน่งอะไร และเข้าถึงอย่างไร
เมื่อมีความผิดพลาดเกิดขึ้น จะตรวจจับให้เร็วที่สุดได้อย่างไร ทุกอย่างที่กล่าวมาต้องมีกำหนดในนโยบายกลาง
ผศ.ดร. สุดสงวน ยังให้ความเห็นว่า ที่จัดเก็บข้อมูลหรือเซิร์ฟเวอร์ในบริษัทต่างๆ ยังไม่มีการเข้ารหัส ซึ่งเป็นสิ่งสำคัญมาก และถ้ามีก็ต้องระบุตัวผู้ถือกุญแจ รวมถึงเสนอวิธีการแปลงข้อมูลที่ขึ้นอยู่บน Cloud Computing ให้เป็นข้อมูลตัวเลขอื่น
ด้าน รศ.ดร. สราวุธ ปิติยาศักดิ์ เทน้ำหนักไปที่การโทรมาขายสินค้าบริการ ซึ่งประเทศไทยยังไม่มีกฎบังคับเรื่องนี้อย่างจริงจัง คนที่โทรเข้ามา นอกจากมีข้อมูลเบอร์โทรศัพท์ ยังมีข้อมูลที่อยู่ที่ทางธนาคาร หรือธนาคารทำบัตรเครดิตเป็นคู่ค้าด้วย
รศ.ดร. สราวุธ ยกตัวอย่างการแก้ปัญหาในต่างประเทศว่ามีสองอย่างคือ Opt-in และ Opt-out
รศ.ดร. สราวุธ ระบุว่าในสหรัฐฯ และยุโรปมีกฎหมายเข้มงวด อย่างกฎหมายป้องกันข้อมูลในยุโรป เช่น
เมื่อมาดูกฎหมายไทย ยังมีไม่ครอบคลุม ไม่มีกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่แน่ชัด และกฎหมายป้องกันผู้บริโภคเวลาเจอโทรศัพท์มาขายสินค้าบริการ
Jongbong PARK เสนอว่าให้แต่ละบริษัทผู้ให้บริการเครือข่ายมี Master Plan โดยยกตัวอย่างในเกาหลีใต้ว่า มีคดีขโมยข้อมูลบ่อยเหมือนกัน โดยเฉพาะ 10 - 20 ปีมานี้ เช่น กรณีสาขาเครือข่ายโทรศัพท์ โหลดข้อมูลภาพถ่ายบัตรประชาชนลูกค้าไว้บนอุปกรณ์ และมีพนักงานไรท์ลงซีดีแล้วเอาข้อมูลไปขาย และในปี 2008 คู่รักคู่หนึ่งเลิกกัน ฝ่ายชายให้เพื่อนที่ทำงานบริษัทเครือข่าย ค้นหาที่อยู่ของฝ่ายหญิง และตามไปฆ่า
ทางกระทรวงที่รับผิดชอบเรื่องนี้ ซึ่งเทียบได้กับกระทรวง ICT ของเกาหลี จึงออก Master Plan ออกมา มีเนื้อหาเพียง 4 หน้า แต่ครบถ้วน สรุปคร่าวๆ ได้ดังนี้
ผศ.ดร. สุดสงวน งามสุริยโรจน์, Jongbong PARK, อาทิตย์ สุริยะวงศ์กุล
รศ. คณาธิป ระบุว่ากฎหมายเป็นแค่เครื่องมืออย่างหนึ่ง ไม่สามารถห้ามไม่ให้เหตุการณ์เกิดขึ้นได้ ต้องดูที่เทคโนโลยีว่า ซอฟต์แวร์ล้าสมัยแล้วหรือยัง กระบวนการตรวจจับ แจ้งเหตุช้าเร็วมากแค่ไหน และบรรดาสแปมต่างๆ
นอกจากนี้ยังมีประเด็นที่ธนาคารนำข้อมูลของลูกค้าไปใช้นอกเหนือจากเรื่องการเงิน เช่น ขายประกัน ขายสินค้าบริการ และยังมีแอพพลิเคชั่นต่างๆ ที่สะสมข้อมูลพวกเราโดยไม่รู้ตัว
ในร่างประกาศ กสทช. เรื่อง มาตรการคุ้มครองสิทธิของผู้ใช้บริการโทรคมนาคมเกี่ยวกับข้อมูลส่วนบุคคล (เป็นเอกสารประกอบการประชุมใช้ในการรับฟังความคิดเห็นสาธารณะครั้งนี้ด้วย) มาตรา 4 ที่ว่า พ.ร.บ. นี้ไม่บังคับใช้แก่ใครบ้าง ซึ่งมีการดำเนินการของบริษัทข้อมูลบัตรเครดิตด้วย โดยส่วนตัวไม่เห็นด้วยจุดนี้ แต่ส่วนอื่นของร่างถือว่าดีหมด
อาทิตย์ สุริยะวงศ์กุล พูดถึงการดึงข้อมูลส่วนบุคคลออกจากฐานข้อมูลการวิเคราะห์ ยกตัวอย่างข้อมูลใบสั่งยาของเกาหลี ถ้ามีคนไปซื้อข้อมูลจากโรงพยาบาล ข้อมูลที่เขาได้ไปจะเป็นตัวเลข เห็นเป็นชื่ออื่นที่ไม่สามารถระบุตัวเจ้าของข้อมูลได้ แต่วิธีนี้ก็ยังไม่ปลอดภัย 100% เพราะใช้เวลาไม่นานก็สกัดเอาข้อมูลจริงออกมาได้ จึงเสนอให้เพิ่ม Noise เข้าไปในฐานข้อมูล เพื่อให้การยืนยันตัวตนย้อนกลับไปทำได้ยากขึ้น ในขณะเดียวกันก็ยังมีประโยชน์ต่อการรวบรวมข้อมูลทางสถิติอยู่ ซึ่งเราต้องมาคิดกันว่าทำอย่างไรทั้งสองแนวทางจะไปด้วยกันได้
นอกจากนี้ยังเป็นห่วงประเด็นความเป็นอิสระของคณะทำงานด้านการคุ้มครองข้อมูลส่วนบุคคล มีความเป็นอิสระจากภาครัฐและเอกชนมากแค่ไหน เพราะในหลายๆ ครั้ง ผู้ละเมิดสิทธิความเป็นส่วนตัวของประชาชนก็คือภาครัฐและเอกชนนี่เอง และการจะทำให้กฎเกณฑ์ก็ต้องผ่านกระทรวงเพื่ออนุมัติอยู่ดี