แนะใช้บทเรียนทรูฯ ทบทวนก.ม.ไซเบอร์

แนะใช้บทเรียนทรูฯ  ทบทวนก.ม.ไซเบอร์

นักกฎหมายไอทีแนะ ใช้บทเรียนข้อมูลรั่วของไอทรูมาร์ททบทวนร่างกฎหมายคุ้มครองข้อมูลส่วนบุคคล ชี้ร่างฯ ยังมีช่องโหว่ ไม่ครอบคลุมเทคโนโลยี ขาดบทลงโทษ

นายไพบูลย์ อมรภิญโญเกียรติ นักกฎหมายผู้เชี่ยวชาญกฎหมายไอที กล่าวถึง กรณีข้อมูลบัตรประชาชนบนคลาวด์ของลูกค้าไอทรูมาร์ทที่ลงทะเบียนหมายเลขโทรศัพท์มือถือเครือข่ายทรูมูฟเอชมีโอกาสถูกเจาะได้นั้น เหตุการณ์ที่เกิดขึ้นสอดคล้องกับในช่วงเวลานี้ที่ประเทศไทยอยู่ระหว่างการยกร่างพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล 

โดยจากเหตุการณ์ที่เกิดขึ้นเมื่อกลับมามองร่างกฎหมายที่กำลังทำขึ้นพบว่ามีจุดที่จะต้องให้ความสำคัญและปรับปรุงร่างกฎหมายให้มีความรอบคอบและครอบคลุมมากขึ้น เนื่องจากร่างฯ ไม่ได้เขียนรายละเอียดของเทคโนโลยีลงไปให้ชัดเจน เขียนไว้เพียงว่าผู้ให้บริการจะต้องมีมาตรการรักษาความปลอดภัยที่เหมาะสม แตกต่างจากองค์กรที่ดูแลข้อมูลส่วนบุคคลของสหภาพยุโรปเขียนไว้ชัดเจนว่าจะต้องมาเทคโนโลยีที่ปลอดภัยสูงสุดและป้องกันการแฮก หากมีการเจาะระบบจะมีความผิดอย่างไร

“ร่างพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลที่ทำอยู่กับระเบียบในการรักษาความปลอดภัยข้อมูลของกสทช.เขียนไว้เพียงว่าต้องหามาตรการเท่าทีทำได้แต่ไม่ได้เขียนว่าต้องทำอย่างไร และเมื่อมีผู้มาเอาข้อมูลไปจะมีความผิดอย่างไร ร่างกฎหมายที่เราทำอยู่จึงควรเอาเรื่องนี้เป็นบทเรียนและเขียนให้ชัดว่าจะต้องมีมาตรการดูแลความปลอดภัยระดับใด และหากมีการแฮคจะมีความผิดอย่างไร" นายไพบูลย์ กล่าว

 นอกจากนี้ ประเทศไทยยังขาดผู้ที่ได้รับมอบหมายให้เป็นที่บังคับใช้กฎหมาย ขาดคนที่เข้าใจเทคโนโลยีและสามารถติดตามเอาผิดกับคนที่กระทำ ร่างพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลระบุเพียงแค่ให้มีคณะกรรมการคุ้มครองข้อมูลส่วนบุคค และการออกเครื่องหมายรับรองความปลอดภัยของข้อมูลซึ่งไม่ใช้มาตรการในการปราบปรามผู้กระทำความผิด

พร้อมระบุ เมื่อประเทศไทยยังไม่มีกฎหมายคุ้มครองข้อมูลส่วนบุคคล เมื่อเกิดปัญหาขึ้นกับข้อมูลของผู้บริโภค กรณีนี้เป็นข้อมูลเกี่ยวกับบริการโทรศัพท์มือถือต้องไปร้องที่สำนักงานคณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติ (กสทช.) ให้ดำเนินการ 

สำหรับกฎหมายที่นำมาใช้กับเรื่องนี้ได้ต้องพิจารณาดูว่าความเสียหายที่มีความเสี่ยงว่าจะเกิดขึ้นเกี่ยวกับเรื่องใดบ้าง เช่น กรณีเกี่ยวกับการเงิน มีกฎหมายเครดิตบูโร ,กรณีข้อมูลถูกเข้าถึงโดยมิชอบและมีการนำข้อมูลออกไป สามารถใช้พ.ร.บ.ว่าด้วยการกระทำความผิดทางคอมพิวเตอร์ดำเนินคดีได้