สรุปข้อเสนอภาคสังคมต่อ กสทช. เรื่องความปลอดภัยข้อมูลผู้ใช้มือถือ

เมื่อวันที่ 13 ตุลาคม ที่ผ่านมา กสทช.ร่วมกับเครือข่ายพลเมืองเน็ต จัดการประชุม NBTC Public Forum เรื่อง "ข้อมูลส่วนบุคคลผู้ใช้มือถือ บริหารอย่างไรให้ปลอดภัย" โดยมีวิทยากรเป็นนักวิชาการและผู้เชี่ยวชาญทั้งด้านกฎหมาย และเทคโนโลยีสารสนเทศและการสื่อสาร คือ

• รศ. คณาธิป ทองรวีวงศ์ นักวิชาการเฉพาะด้านกฎหมาย และคณบดีคณะนิติศาสตร์ มหาวิทยาลัยเซนต์จอห์น
• รศ.ดร. สราวุธ ปิติยาศักดิ์ อาจารย์ประจำสาขาวิชานิติศาสตร์ มหาวิทยาลัยสุโขทัยธรรมาธิราช
• Jongbong Park, Director Project Development, Asia-Pacific Telecommunity
• ผศ.ดร. สุดสงวน งามสุริยโรจน์ อาจารย์ประจำคณะเทคโนโลยีสารสนเทศและการสื่อสาร มหาวิทยาลัยมหิดล
• อาทิตย์ สุริยะวงศ์กุล ผู้ประสานงานเครือข่ายพลเมืองเน็ต

ช่วงเริ่มการประชุม ประวิทย์ ลี่สถาพรวงศา และ สุภิญญา กลางณรงค์ กรรมการ กสทช. ด้านการคุ้มครองผู้บริโภค แจงเหตุผลที่จัดการประชุมนี้ว่า กฎหมายในประเทศไทยตอนนี้มีมากมาย แต่กฎหมายที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลผู้ใช้มือถือโดยตรงนั้นมีน้อย

เมื่อรวมถึงการรั่วไหลของข้อมูลผู้ใช้ที่มีมากขึ้นในระยะหลังนี้ เป็นสิ่งที่ควรตั้งคำถามว่าเกิดมาจากอะไร บริษัทผู้ให้บริการเครือข่ายอย่างเดียวเท่านั้นหรือไม่ และจะหามาตรการแก้ไขระยะยาวที่จะผลักดันเข้าสู่ชั้นกฎหมายอย่างไรได้บ้าง รวมถึงมีข้อเสนอ มีมุมมองผู้เชี่ยวชาญเรื่องเครื่องมือ สร้างระบบที่จะป้องกันปัญหาข้อมูลรั่วไหล และนโยบายต่างๆ ที่จะมาช่วยแก้ปัญหานี้

ประวิทย์ สี่สถาพรวงศา และ สุภิญญา กลางณรงค์ กรรมการ กสทช. ด้านการคุ้มครองผู้บริโภค

องค์กรที่จัดเก็บข้อมูลจำนวนมากคือเป้าหมายหลักของแฮกเกอร์

ผศ.ดร. สุดสงวน งามสุริยโรจน์ เน้นว่า องค์กรและบริษัทที่มีการจัดเก็บข้อมูลของลูกค้ามาก คือเป้าหมายของแฮกเกอร์ที่จ้องจะขโมยข้อมูลอยู่แล้ว และมักมีการซื้อขายข้อมูลเกิดขึ้น

ยกตัวอย่างกรณีพนักงาน Verizon ขายข้อมูลให้กับบริษัทเจ้าหนึ่ง เพิ่งเกิดเมื่อปลายเดือนกันยายนที่ผ่านมา ผลคือถูกจำคุก 5 ปี อย่างไรก็ตาม ผู้ดูแลระบบก็ต้องรับผิดชอบด้วย

เมื่อมาดูข้อมูลผู้ใช้มือถือ แน่นอนว่าผู้ให้บริการเครือข่ายต้องมีนโยบายการจัดการดูแลข้อมูล โดยเสนอว่า
การเก็บรักษาข้อมูล ไม่ควรนานเกินความจำเป็น และควรกำหนดมาตรการการทำลายข้อมูลที่เหมาะสม
การเข้าถึงข้อมูล ใครมีสิทธิ์บ้าง หน้าที่ที่จะเข้าถึงข้อมูลคือตำแหน่งอะไร และเข้าถึงอย่างไร
เมื่อมีความผิดพลาดเกิดขึ้น จะตรวจจับให้เร็วที่สุดได้อย่างไร ทุกอย่างที่กล่าวมาต้องมีกำหนดในนโยบายกลาง

ผศ.ดร. สุดสงวน ยังให้ความเห็นว่า ที่จัดเก็บข้อมูลหรือเซิร์ฟเวอร์ในบริษัทต่างๆ ยังไม่มีการเข้ารหัส ซึ่งเป็นสิ่งสำคัญมาก และถ้ามีก็ต้องระบุตัวผู้ถือกุญแจ รวมถึงเสนอวิธีการแปลงข้อมูลที่ขึ้นอยู่บน Cloud Computing ให้เป็นข้อมูลตัวเลขอื่น

Cold Calling หรือโทรมาขายของ ที่คนโทรเข้ามารู้ข้อมูลของผู้ใช้มือถือหลายอย่าง

ด้าน รศ.ดร. สราวุธ ปิติยาศักดิ์ เทน้ำหนักไปที่การโทรมาขายสินค้าบริการ ซึ่งประเทศไทยยังไม่มีกฎบังคับเรื่องนี้อย่างจริงจัง คนที่โทรเข้ามา นอกจากมีข้อมูลเบอร์โทรศัพท์ ยังมีข้อมูลที่อยู่ที่ทางธนาคาร หรือธนาคารทำบัตรเครดิตเป็นคู่ค้าด้วย

รศ.ดร. สราวุธ ยกตัวอย่างการแก้ปัญหาในต่างประเทศว่ามีสองอย่างคือ Opt-in และ Opt-out

• Opt-out มีสหรัฐฯใช้ ออกกฎหมายมาฉบับหนึ่ง ให้ผู้ใช้โทรศัพท์เข้าไปลงทะเบียนผ่านเว็บไซต์ National Do Not Call Register เพื่อให้บรรดาบริษัทขายรู้ว่าเบอร์นี้โทรเข้ามาขายบริการไม่ได้
• Opt-in ผู้ขายสามารถโทรไปขายสินค้าบริการได้ แต่ต้องขออนุญาตลูกค้าก่อนว่าจะฟังต่อหรือไม่

กฎหมายในต่างประเทศ

รศ.ดร. สราวุธ ระบุว่าในสหรัฐฯ และยุโรปมีกฎหมายเข้มงวด อย่างกฎหมายป้องกันข้อมูลในยุโรป เช่น

• มาตรา 6 ข้อมูลลูกค้าที่บริษัทมี จะสามารถนำไปประมวลผลต่อ วิเคราะห์ต่อได้ก็ต่อเมื่อได้รับความยินยอมจากเจ้าของข้อมูล นั่นแสดงว่าแม้มีข้อมูล แต่ก็ไม่ได้หมายความว่าเอาไปใช้ได้
• มาตรา 17 สิทธิที่จะถูกลืม ประชาชนสามารถร้องให้ผู้เก็บข้อมูล ลบข้อมูลตัวเองทิ้ง
• มาตรา 21 สิทธิที่จะปฏิเสธการขายสินค้าบริการผ่านโทรศัพท์
• มาตรา 44 Data Protection ข้อมูลส่วนบุคคลในอียู จะถ่ายโอนไปยังต่างประเทศไม่ได้ เว้นเสียแต่ประเทศนั้นจะมีมาตรฐานความปลอดภัยของข้อมูลเทียบเท่ายุโรป หากฝ่าฝืน ปรับเป็นเงินสูงถึง 20 ล้านดอลลาร์

เมื่อมาดูกฎหมายไทย ยังมีไม่ครอบคลุม ไม่มีกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่แน่ชัด และกฎหมายป้องกันผู้บริโภคเวลาเจอโทรศัพท์มาขายสินค้าบริการ

เสนอให้มี Master Plan การจัดการข้อมูลส่วนตัว

Jongbong PARK เสนอว่าให้แต่ละบริษัทผู้ให้บริการเครือข่ายมี Master Plan โดยยกตัวอย่างในเกาหลีใต้ว่า มีคดีขโมยข้อมูลบ่อยเหมือนกัน โดยเฉพาะ 10 - 20 ปีมานี้ เช่น กรณีสาขาเครือข่ายโทรศัพท์ โหลดข้อมูลภาพถ่ายบัตรประชาชนลูกค้าไว้บนอุปกรณ์ และมีพนักงานไรท์ลงซีดีแล้วเอาข้อมูลไปขาย และในปี 2008 คู่รักคู่หนึ่งเลิกกัน ฝ่ายชายให้เพื่อนที่ทำงานบริษัทเครือข่าย ค้นหาที่อยู่ของฝ่ายหญิง และตามไปฆ่า

ทางกระทรวงที่รับผิดชอบเรื่องนี้ ซึ่งเทียบได้กับกระทรวง ICT ของเกาหลี จึงออก Master Plan ออกมา มีเนื้อหาเพียง 4 หน้า แต่ครบถ้วน สรุปคร่าวๆ ได้ดังนี้

• ผู้ให้บริการเครือข่ายต้องระบุผู้มีตำแหน่งสูงสุดในการดูแลข้อมูลส่วนบุคคล และใครเป็นผู้รับผิดชอบเวลามีเหตุการณ์เกิดขึ้น
• มีการฝึกอบรมพนักงานเรื่องความเป็นส่วนตัวของข้อมูลอย่างน้อยปีละ 2 ครั้ง
• ผู้ให้บริการเครือข่ายต้องคณะกรรมการภายในองค์กร ดูแลเรื่องข้อมูลส่วนบุคคลโดยเฉพาะ
• กำหนดสิทธิผู้เข้าถึงข้อมูล
• บริษัทคู่สัญญาของผู้ให้บริการเครือข่ายต้องมีนโยบายการรักษาข้อมูลในมาตรฐานเดียวกัน
• มีการตรวจสอบภายในเป็นประจำ
• ข้อมูลลูกค้า จะไม่จัดเก็บในอุปกรณ์ แต่ให้อยู่บนคลาวด์ และพนักงานต้องลงทะเบียนยืนยันตัวตนก่อนจะเข้าถึงข้อมูล (แก้ปัญหาพนักงานสาขานำข้อมูลไปขาย)
• ต้องมีระเบียบการจัดการข้อมูลที่ส่งต่อให้ third party
• มีระเบียบการจัดการข้อมูลเด็ก

ผศ.ดร. สุดสงวน งามสุริยโรจน์, Jongbong PARK, อาทิตย์ สุริยะวงศ์กุล

กฎหมายเป็นเพียงปัจจัยหนึ่ง

รศ. คณาธิป ระบุว่ากฎหมายเป็นแค่เครื่องมืออย่างหนึ่ง ไม่สามารถห้ามไม่ให้เหตุการณ์เกิดขึ้นได้ ต้องดูที่เทคโนโลยีว่า ซอฟต์แวร์ล้าสมัยแล้วหรือยัง กระบวนการตรวจจับ แจ้งเหตุช้าเร็วมากแค่ไหน และบรรดาสแปมต่างๆ

นอกจากนี้ยังมีประเด็นที่ธนาคารนำข้อมูลของลูกค้าไปใช้นอกเหนือจากเรื่องการเงิน เช่น ขายประกัน ขายสินค้าบริการ และยังมีแอพพลิเคชั่นต่างๆ ที่สะสมข้อมูลพวกเราโดยไม่รู้ตัว

ในร่างประกาศ กสทช. เรื่อง มาตรการคุ้มครองสิทธิของผู้ใช้บริการโทรคมนาคมเกี่ยวกับข้อมูลส่วนบุคคล (เป็นเอกสารประกอบการประชุมใช้ในการรับฟังความคิดเห็นสาธารณะครั้งนี้ด้วย) มาตรา 4 ที่ว่า พ.ร.บ. นี้ไม่บังคับใช้แก่ใครบ้าง ซึ่งมีการดำเนินการของบริษัทข้อมูลบัตรเครดิตด้วย โดยส่วนตัวไม่เห็นด้วยจุดนี้ แต่ส่วนอื่นของร่างถือว่าดีหมด

ข้อเสนอเครือข่ายพลเมืองเน็ต

อาทิตย์ สุริยะวงศ์กุล พูดถึงการดึงข้อมูลส่วนบุคคลออกจากฐานข้อมูลการวิเคราะห์ ยกตัวอย่างข้อมูลใบสั่งยาของเกาหลี ถ้ามีคนไปซื้อข้อมูลจากโรงพยาบาล ข้อมูลที่เขาได้ไปจะเป็นตัวเลข เห็นเป็นชื่ออื่นที่ไม่สามารถระบุตัวเจ้าของข้อมูลได้ แต่วิธีนี้ก็ยังไม่ปลอดภัย 100% เพราะใช้เวลาไม่นานก็สกัดเอาข้อมูลจริงออกมาได้ จึงเสนอให้เพิ่ม Noise เข้าไปในฐานข้อมูล เพื่อให้การยืนยันตัวตนย้อนกลับไปทำได้ยากขึ้น ในขณะเดียวกันก็ยังมีประโยชน์ต่อการรวบรวมข้อมูลทางสถิติอยู่ ซึ่งเราต้องมาคิดกันว่าทำอย่างไรทั้งสองแนวทางจะไปด้วยกันได้

นอกจากนี้ยังเป็นห่วงประเด็นความเป็นอิสระของคณะทำงานด้านการคุ้มครองข้อมูลส่วนบุคคล มีความเป็นอิสระจากภาครัฐและเอกชนมากแค่ไหน เพราะในหลายๆ ครั้ง ผู้ละเมิดสิทธิความเป็นส่วนตัวของประชาชนก็คือภาครัฐและเอกชนนี่เอง และการจะทำให้กฎเกณฑ์ก็ต้องผ่านกระทรวงเพื่ออนุมัติอยู่ดี