'พุทธิพงษ์' ถก 'อีคอมเมิร์ซ' ยกระดับความปลอดภัยข้อมูล

ย้ำทุกรายเป็น “ผู้ควบคุมข้อมูลส่วนบุคคล” ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล 2562 มาตรา 37 แม้จะอยู่ในช่วงขยายเวลาบังคับใช้ ยังไม่มีลงโทษ แต่ต้องปฏิบัติตามกฎหมาย

ผู้สื่อข่าวรายงานว่า วานนี้ (24 พ.ย.) ที่ผ่านมา นายพุทธิพงษ์ ปุณณกันต์ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอีเอส) ได้เชิญผู้ให้บริการแพลตฟอร์ม อีคอมเมิร์ซประกอบด้วยLazada, Shopee, JD, Shopback และ Thailandpostmart ประชุมหารือร่วมกับ ผู้เชี่ยวชาญจากศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย หรือ ไทยเซิร์ต สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ หรือ เอ็ตด้า และ สำนักงานคณะกรรมการการรักษา ความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) เพื่อหาแนวทางการยกระดับการดูแลความมั่นคงปลอดภัยไซเบอร์ของผู้ให้บริการ

โดยสืบเนื่องจากเมื่อวันที่ 20 พ.ย. 2563 มีรายงานว่าพบการประกาศขายข้อมูลผู้ใช้บริการของผู้ให้บริการแพลตฟอร์มอีคอมเมิร์ซหลายราย โดยในประกาศขายระบุว่ามีข้อมูลรวมทั้งสิ้นประมาณ 13,000,000 รายการ และผู้ไม่หวังดีได้ปล่อยตัวอย่างของข้อมูลจำนวนประมาณ 50,000 รายการ ประกอบด้วยข้อมูลส่วนบุคคลของผู้ใช้บริการ เช่น ชื่อ นามสกุล เบอร์โทรศัพท์และอีเมล ซึ่งถึงแม้ผู้ไม่หวังดีจะไม่สามารถนำข้อมูลเหล่านี้ไปใช้ในการสร้างความเสียหายทางธุรกรรมการเงินของผู้ใช้บริการได้โดยตรง แต่อาจมีโอกาสที่จะนำข้อมูลที่รั่วไหลนี้ไปใช้แอบอ้างเพื่อสวมรอยเป็นผู้ใช้บริการสำหรับใช้บริการต่างๆ โดยไม่ชอบ หรือใช้ข้อมูลดังกล่าวหลอกลวงผู้ใช้บริการให้หลงเชื่อเพื่อทำธุรกรรมหรือให้ข้อมูลอื่นใดเพิ่มเติม

“ผู้ให้บริการจำเป็นอย่างยิ่งที่จะต้องมีมาตรการป้องกันการถูกแฮกตามประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เรื่องมาตรฐานการรักษาความมั่งคงปลอดภัยของข้อมูลส่วนบุคคล พ.ศ.2563 รวมถึงบริษัทแม่ต้องดูแลควบคุมการใช้ข้อมูลลูกค้าของผู้บริการรายย่อยอย่างรัดกุมมากขึ้นกว่าเดิม และในอนาคตผู้ให้บริการควรจะมาขึ้นทะเบียนกับเอ็ตด้าเพื่อสร้างมาตรฐานคุณภาพเดียวกันในประเทศไทย”

ทั้งนี้ พ.ร.ฎ กำหนดหน่วยงานและกิจการที่ผู้ควบคุมข้อมูลส่วนบุคคล ไม่อยู่ภายใต้บังคับแห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 พ.ศ. 2563 ซึ่งขยายเวลาบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลไปอีก 1 ปี (27 พ.ค. 2563 – 31 พ.ค. 2564) แต่ยังกำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลให้เป็นไปตามมาตรฐานที่กระทรวงกำหนด ซึ่งถึงแม้จะยังไม่มีบทลงโทษ แต่ก็ต้องปฏิบัติตามกฎหมายและประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม

นายพุทธิพงษ์ กล่าวว่า พ.ร.ฎ กำหนดหน่วยงานและกิจการที่ผู้ควบคุมข้อมูลส่วนบุคคล ไม่อยู่ภายใต้บังคับแห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 พ.ศ. 2563 ซึ่งขยายเวลาบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลไปอีก 1 ปี (27 พฤษภาคม 2563 – 31 พฤษภาคม 2564)

แต่ยังกำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลให้เป็นไปตามมาตรฐานที่กระทรวงกำหนด ซึ่งถึงแม้จะยังไม่มีบทลงโทษแต่ก็ต้องปฏิบัติตามกฎหมายและประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เรื่องมาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล พ.ศ. 2563 (18 กรกฎาคม 2563 – 31 พฤษภาคม 2564) กำหนดให้

ผู้ควบคุมข้อมูลส่วนบุคคลต้องดำเนินการ ดังนี้

1.การควบคุมการเข้าถึงข้อมูลส่วนบุคคลและอุปกรณ์ในการจัดเก็บและประมวลผลข้อมูลส่วนบุคคลโดยคำนึงถึงการใช้งานและความมั่นคงปลอดภัย

2.การกำหนดเกี่ยวกับการอนุญาตหรือการกำหนดสิทธิในการเข้าถึงข้อมูลส่วนบุคคล

3.การบริหารจัดการการเข้าถึงของผู้ใช้งานเพื่อควบคุมการเข้าถึงข้อมูลส่วนบุคคลเฉพาะผู้ที่ได้รับอนุญาตแล้ว

4.การกำหนดหน้าที่ความรับผิดชอบของผู้ใช้งาน เพื่อป้องกันการเข้าถึงข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต การเปิดเผย การล่วงรู้ หรือการลักลอบทำสำเนาข้อมูลส่วนบุคคล การลักขโมยอุปกรณ์จัดเก็บหรือประมวลผลข้อมูลส่วนบุคคล

5.การจัดให้มีวิธีการเพื่อให้สามารถตรวจสอบย้อนหลังเกียวกับการเข้าถึง เปลี่ยนแปลง ลบ หรือถ่ายโอนข้อมูลส่วนบุคคล ให้สอดคล้องเหมาะสมกับวิธีการและสื่อที่ใช้ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

นอกจากนี้ พ.ร.บ.การกระทำความผิดทางคอมพิวเตอร์ พ.ศ. 2550 และที่แก้ไขเพิ่มเติม ตามมาตรา 5 และ 7 กำหนดว่า ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลรู้ว่ามีการเข้าถึงโดยมิชอบซึ่งข้อมูลหรือระบบคอมพิวเตอร์ที่มีมาตรการการป้องกันการเข้าถึงโดยเฉพาะและมาตรการนั้นมิได้มีไว้สำหรับตน ทำให้ข้อมูลส่วนบุคคลรั่วไหล ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องดำเนินการแจ้งความต่อพนักงานเจ้าหน้าที่เพื่อดำเนินคดีด้วย

อย่างไรก็ตาม ส่วนที่สำคัญที่สุดเมื่อเกิดเหตุข้อมูลผู้ใช้บริการรั่วไหล ผู้ให้บริการพึงจะต้องชี้แจงประชาชนผู้ได้รับผลกระทบถึงรายละเอียดข้อมูลที่ถูกเข้าถึง และแนะนำวิธีการปฏิบัติเพื่อลดความเสี่ยง เช่น การเปลี่ยนรหัสผ่าน และระมัดระวังเมื่อมีคนโทรไปเพื่อหลอกลวง นอกจากนี้ ผู้ให้บริการซึ่งเป็นผู้ควบคมข้อมูลส่วนบุคคลมีหน้าที่ดำเนินการเพื่อป้องกันมิให้คู่สัญญาที่เป็นผู้ประมวลข้อมูลส่วนบุคคล ทั้งที่เป็นคนกลางในการบริหารจัดการขาย (sales management platform) และผู้ให้บริการคลังสินค้าและขนส่ง