2014.12.23 23:50
นักวิชาการและผู้เชี่ยวชาญชี้ การมีมาตรการคุ้มครองข้อมูลผู้บริโภคที่ดีคือโอกาสทางธุรกิจ ภาคอุตสาหกรรมควรกดดันกันเองให้เกิดมาตรฐาน ขณะที่รัฐต้องดูว่าเรื่องใดที่กลไกตลาดอาจไม่เพียงพอแล้วเข้าไปกำกับดูแลและส่งเสริม สิ่งสำคัญคือการสร้างความตระหนักในทุกระดับการทำงาน เพราะที่ผ่านมาการรั่วไหลส่วนใหญ่เกิดจากคนในองค์กร
เมื่อวันที่ 22 ธันวาคมที่ผ่านมา คณะเศรษฐศาสตร์ มหาวิทยาลัยธรรมศาสตร์ ร่วมกับเครือข่ายพลเมืองเน็ต และ Privacy International จัดสัมมนาสาธารณะ “เทคโนโลยีและสังคม” เรื่อง “บริการออนไลน์ไทยปลอดภัยแค่ไหน?: มาตรการทางกฎหมายและทางเทคโนโลยีที่เกี่ยวกับการจัดเก็บและการคุ้มครองข้อมูลส่วนบุคคลในประเทศไทย” ณ ห้องประชุม 101 คณะเศรษฐศาสตร์ มหาวิทยาลัยธรรมศาสตร์
การสัมมนาแบ่งเป็น 3 ช่วง ได้แก่การนำเสนอผลวิจัย “มาตรการคุ้มครองความปลอดภัยและความเป็นส่วนตัวออนไลน์ไทย” โดย ธิติมา อุรพีพัฒนพงศ์ โครงการความเป็นส่วนตัวออนไลน์ เครือข่ายพลเมืองเน็ต (ดูสรุปผลวิจัยได้ ที่นี่), การอภิปราย “ผลการศึกษาและให้ความเห็นเกี่ยวกับกฎหมายและมาตรการคุ้มครองผู้บริโภคออนไลน์”, และเสวนา “ความจำเป็นของการมีกฎหมายดักรับข้อมูลเพื่อใช้ในการอำนวยความยุติธรรม”
รายงานสัมมนาครั้งนี้จะแบ่งเป็น 2 ตอน โดยตอนแรกนี้เป็นรายงานการอภิปราย “ผลการศึกษาและให้ความเห็นเกี่ยวกับกฎหมายและมาตรการคุ้มครองผู้บริโภคออนไลน์” ซึ่งมีผู้ร่วมอภิปรายได้แก่ รศ.สุดา วิศรุตพิชญ์ อาจารย์คณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์, ฐิติรัตน์ ทิพย์สัมฤทธิ์กุล อาจารย์คณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์ และกิติศักดิ์ จิรวรรณกูล ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยทางคอมพิวเตอร์ สำนักงานรัฐบาลอิเล็กทรอนิกส์ และประธานกลุ่ม Open Web Application Security Project (OWASP) ประเทศไทย โดยมีอาทิตย์ สุริยะวงศ์กุล ผู้ประสานงานเครือข่ายพลเมืองเน็ตดำเนินรายการ
สรุปสาระสำคัญ
- การที่ผู้ให้บริการไมคุ้มครองความปลอดภัยและความเป็นส่วนตัวให้กับผู้ใช้ คือ “การเสียโอกาสทางธุรกิจ”
- การทำให้มีการกดดันกันเองระหว่างผู้ประกอบการภายในอุตสาหกรรมจะช่วยสร้างให้เกิดมาตรฐานใหม่ในการคุ้มครองความปลอดภัย
- สัญลักษณ์บ่งบอกการคุ้มครองความปลอดภัยและความเป็นส่วนตัวของเว็บไซต์อาจเป็นเครื่องมือที่ช่วยให้ผู้บริโภคตัดสินใจได้ง่ายขึ้น
- รัฐต้องกำกับดูแลการคุ้มครองความปลอดภัยและความเป็นส่วนตัวให้ผู้ใช้บริการ
- ปัญหาสำคัญที่ผ่านมาอยู่ที่ “คน” ต่อให้ระบบปลอดภัยแค่ไหน ข้อมูลก็ยังรั่วได้เพราะคน
สัญลักษณ์บ่งบอกการคุ้มครองความปลอดภัยและความเป็นส่วนตัวของเว็บไซต์: เครื่องมือช่วยให้ผู้บริโภคตัดสินใจได้ง่ายขึ้น
สุดากล่าวว่า จากที่ได้รับฟังการนำเสนอผลวิจัยของเครือข่ายพลเมืองเน็ต ทำให้อยากให้มีการสำรวจทางฝั่งผู้บริโภคบ้าง ว่าผู้บริโภคมีความรู้เรื่องความปลอดภัยออนไลน์มากน้อยแค่ไหน ซึ่งตนคิดว่า ในปัจจุบัน ผู้บริโภคชาวไทยยังขาดความรู้ในเรื่องนี้ และควรจะต้องมีการติดอาวุธทางปัญญาให้กับผู้บริโภค
นอกจากนี้ หากมีการทำสัญลักษณ์ประเมินระดับการคุ้มครองความปลอดภัยและความเป็นส่วนตัวให้กับเว็บไซต์ต่างๆ ก็อาจช่วยให้ผู้บริโภคตัดสินใจเลือกใช้บริการได้ง่ายขึ้น เนื่องจากผู้บริโภคส่วนใหญ่ไม่มีความรู้เกี่ยวกับการรักษาความมั่นคงปลอดภัยของเว็บไซต์ที่ตนใช้งาน ทั้งนี้ สัญลักษณ์ดังกล่าวไม่ใช่สัญลักษณ์ที่จะมารับรองว่าเว็บไซต์ดังกล่าวมีความปลอดภัยร้อยเปอร์เซ็นต์ แต่เป็นเพียงข้อมูลในการประกอบการตัดสินใจเท่านั้น ซึ่งสุดท้ายแล้ว การตัดสินใจที่จะเลือกใช้บริการเว็บไซต์นั้นหรือไม่ย่อมขึ้นอยู่กับผู้บริโภคเอง
“นี่จะช่วยให้ผู้บริโภคเลือกได้ง่ายขึ้น เพราะผู้บริโภคไม่มีความรู้และไม่ได้อ่านอะไรมากมาย อย่างที่เป็นอยู่คือ ผู้บริโภคทั่วไปเพียงดูว่าสินค้ามีเครื่องหมาย อย. หรือ มอก. หรือดูว่ามีสัญลักษณ์ประหยัดไฟเบอร์ 5 ก็เห็นว่าสินค้านั้นใช้ได้แล้ว” สุดากล่าว
ทางด้านกิติศักดิ์ ซึ่งมาให้ความเห็นจากมุมมองของนักเทคนิคกล่าวว่า ตนเห็นด้วยกับการทำสัญลักษณ์เกี่ยวกับการคุ้มครองความเป็นส่วนตัว (privacy mark) ให้กับเว็บไซต์ แต่จะไม่เห็นด้วยหากมีการทำสัญลักษณ์เกี่ยวกับความมั่นคงปลอดภัย (security mark) เพราะการทำสัญลักษณ์ในแบบหลังจะเหมือนเป็นการ “ล่อเป้า” ให้นักเจาะระบบหันมาโจมตีเว็บไซต์ที่มีสัญลักษณ์การรักษาความปลอดภัยต่ำ
ซึ่งในประเด็นเรื่องสัญลักษณ์ด้านความปลอดภัย อาทิตย์ได้กล่าวเสริมว่า ขณะนี้สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (สพธอ.) ได้จัดทำสัญลักษณ์ลักษณะดังกล่าวขึ้น เรียกว่า “Smilemark” โดยเว็บไซต์สามารถสมัครขอรับสัญลักษณ์ได้ และถ้าผ่านเกณฑ์ประเมินที่ตั้งไว้สพธอ.ก็จะมอบสัญลักษณ์ให้
ในประเด็นนี้ ฐิติรัตน์ยังได้ยกตัวอย่างกรณีศึกษาจากประเทศญี่ปุ่นว่า ในญี่ปุ่นมีการให้สัญลักษณ์การคุ้มครองออนไลน์ผู้บริโภคให้กับสินค้าและบริการ โดยมี 2 ส่วนคือ ส่วนความมั่นคงปลอดภัยของระบบ และส่วนนโยบายการคุ้มครองข้อมูลส่วนบุคคล อย่างไรก็ตาม ในส่วนแรกนั้น แม้ระบบมีการรักษาความปลอดภัยอย่างดีแต่ผู้ใช้งานไม่ระมัดระวังในการดูแลข้อมูลส่วนบุคคลของตนเอง ก็เป็นเรื่องที่ไม่สามารถช่วยได้ ส่วนในกรณีหลัง ถ้าบริษัทไม่มีนโยบายการคุ้มครองข้อมูลส่วนบุคคลที่ดีพอ ต่อให้ระบบมีความปลอดภัยแค่ไหน แต่ข้อมูลของลูกค้าก็สามารถถูกส่งต่อกันจากภายในองค์กรได้
ซึ่งสัญลักษณ์คุ้มครองความเป็นส่วนตัวของญี่ปุ่นไม่ได้ใช้สำหรับผู้บริโภค แต่เป็นสัญลักษณ์ที่ใช้สำหรับภาคธุรกิจด้วยกันเอง ว่าหากบริษัทใดไม่มีสัญลักษณ์คุ้มครองความเป็นส่วนตัว บริษัทอื่นๆ ก็จะไม่ทำธุรกรรมด้วย แม้ว่าจะไม่มีกฎหมายห้ามก็ตาม โดยเฉพาะในธุรกิจที่เกี่ยวข้องกับเทคโนโลยีหรืออินเทอร์เน็ต
“บริษัทเหล่านี้ทำธุรกิจที่ต้องรับส่งข้อมูลกับประเทศในแถบยุโรปอยู่แล้ว เขาไม่อยากให้มีปัญหาทางกฎหมายที่จะทำให้เขาต้องมาเสียเวลาวุ่นวาย จึงกลายเป็นว่า มีการกดดันกันเองภายในอุตสาหกรรม ซึ่งหากเราสามารถทำให้ผู้บริการกดดันกันเองได้จนกลายเป็นมาตรฐานในอุตสาหกรรม ก็น่าจะมีความหวัง” ฐิติรัตน์กล่าว
การไม่คุ้มครองความปลอดภัยและความเป็นส่วนตัวให้ผู้ใช้บริการ คือ “การเสียโอกาสทางธุรกิจ” ของผู้ประกอบการ
ฐิติรัตน์กล่าวว่า เรื่องการคุ้มครองข้อมูลส่วนบุคคลนั้น แต่ละประเทศมีระดับการคุ้มครองข้อมูลต่างกัน ทว่าข้อมูลเป็นสิ่งที่ไม่มีพรมแดน สามารถไหลข้ามประเทศได้ ความเสี่ยงจึงสามารถหลุดข้ามไปด้วย แต่ละประเทศที่มีกฎหมายคุ้มครองข้อมูลจึงพยายามที่จะขยายการคุ้มครองข้อมูลที่ประเทศตนมีให้ครอบคลุมได้ไกลที่สุด เช่น ประเทศในกลุ่มสหภาพยุโรปที่มีมาตรฐานการคุ้มครองข้อมูลสูงมาก ทำให้คนที่ต้องการทำธุรกิจกับประเทศในกลุ่มนี้ต้องทำให้การคุ้มครองข้อมูลของตนได้มาตรฐานตามที่สหภาพยุโรปตั้งไว้ จึงจะเห็นได้ว่าธุรกิจที่ต้องทำธุรกรรมกับต่างประเทศจะมีระดับการคุ้มครองข้อมูลสูงไปด้วย
ในผลการวิจัยครั้งนี้ สายการบินแอร์เอเชียได้คะแนนการสำรวจความปลอดภัยในการให้บริการสูงที่สุด ซึ่งฐิติรัตน์กล่าวว่า เนื่องจากสายการบินดังกล่าวเป็นของประเทศมาเลเซีย ซึ่งเป็นประเทศที่ธุรกิจตื่นตัวในเรื่องนี้มาก และมาเลเซียเพิ่งมีกฎหมายคุ้มครองข้อมูลส่วนบุคคลฉบับใหม่ออกมา โดยกฎหมายดังกล่าวตั้งมาตรฐานการคุ้มครองข้อมูลไว้สูง กฎหมายดังกล่าวยังห้ามการส่งข้อมูลส่วนบุคคลไปยังต่างประเทศ ยกเว้นแต่ประเทศที่เชื่อถือได้ว่ามีมาตรฐานการคุ้มครองข้อมูลที่ทัดเทียมกัน ซึ่งตอนนี้ประเทศมาเลเซียกำลังอยู่ในระหว่างทำรายชื่อเพื่อจัดกลุ่มประเทศ ว่าประเทศใดสามารถส่งข้อมูลไปได้บ้าง
“ทำไมมาเลเซียต้องสร้างมาตรฐานการคุ้มครองข้อมูลที่สูง เพราะมันคือการยื้อแย้งโอกาสในการทำธุรกิจ เพราะถ้าคุณมีมาตรฐานสูงคุณก็สามารถให้บริการลูกค้าหลายประเทศขึ้น รวมไปถึงลูกค้าในยุโรปหรืออเมริกา”
โดยการเสียโอกาสในการทำธุรกิจดังกล่าวไม่ได้เป็นเกิดจากผู้บริโภคเท่านั้น ที่ตระหนักในเรื่องนี้และเลือกไม่ใช้บริการกับผู้ให้บริการที่มีระดับการคุ้มครองข้อมูลต่ำ แต่ยังเป็นที่กฎหมายบางประเทศด้วย ที่ห้ามการทำธุรกรรมกับธุรกิจที่มีมาตรฐานการคุ้มครองข้อมูลที่ต่ำกว่า
กลไกตลาดอาจไม่ทำงาน: จี้รัฐต้องเข้ามากำกับดูแล
สุดากล่าวว่า รัฐอาจต้องเข้ามาช่วยในเรื่องการคุ้มครองความปลอดภัยออนไลน์ของผู้บริโภค โดยในปัจจุบัน มีกฎหมายที่คุ้มครองความปลอดภัยออนไลน์ให้กับผู้บริโภคเพียงในบางเรื่องเท่านั้น เช่น พ.ร.บ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 ที่คุ้มครองเรื่องการเงิน ซึ่งก็สะท้อนออกมาในการวิจัยว่าภาคธนาคารเป็นภาคมีระดับการรักษาความปลอดภัยและความเป็นส่วนตัวสูงที่สุด เพราะถูกบังคับโดยกฎหมาย ขณะที่ภาคอื่นมีระดับการรักษาความปลอดภัยและความเป็นส่วนตัวต่ำ
สุดากล่าวต่อว่าหน่วยงานภาครัฐมีกฎหมายที่ควบคุมในเรื่องนี้อยู่ ตนไม่กังวลในเรื่องหน่วยงานรัฐเพราะเห็นว่ามีกลไกที่กำกับให้ต้องมีระดับการรักษาความปลอดภัยและความเป็นส่วนตัวที่เป็นมาตรฐานอยู่แล้ว ซึ่งก็ต้องยกให้ไปถึงระดับมาตรฐานสากลด้วย มิฉะนั้นประเทศไทยก็จะทำธุรกรรมกับประเทศอื่นๆได้ลำบาก โดยตนเป็นห่วงภาคเอกชนมากกว่า เพราะยังไม่มีกฎเกณฑ์ที่จะมากำกับในเรื่องนี้
ฐิติรัตน์กล่าวว่า เนื่องจากการที่ผู้ให้บริการไม่มีการคุ้มครองความปลอดภัยและความเป็นส่วนตัวนั้นเป็นการจำกัดทางเลือกของผู้บริโภค เพราะสำหรับผู้บริโภคแล้ว สินค้าและบริการบางอย่างผู้บริโภคไม่สามารถเลือกได้ว่าจะไม่ใช้ เช่นในกรณีที่มีผู้ให้บริการเพียงไม่กี่ราย การคุ้มครองความปลอดภัยและความเป็นส่วนตัวจึงไม่อาจปล่อยให้เป็นไปตามกลไกตลาดเพียงอย่างเดียว เนื่องจากผู้บริโภคมีกำลังต่อรองกับผู้ให้บริการน้อย
“ยกตัวอย่างเช่นเว็บของกรมการจัดหางาน คนที่กำลังหางานเป็นคนที่อยู่ในสถานการณ์ที่ไม่มีทางเลือกมาก และเว็บไซต์ของกรมการจัดหางานเป็นบริการที่รัฐจัดหาให้ฟรี แต่เขาก็รู้สึกไม่อยากใช้บริการนี้เพราะมันไปรุกล้ำสิทธิความเป็นส่วนตัวของเขามากเกินไป ในทางหนึ่งอาจจะมองว่า ถ้าคุณไม่พอใจบริการของฉันคุณก็ไปใช้บริการที่อื่นสิ แต่ในอีกทางหนึ่งนี่คือการตัดตัวเลือกของผู้บริโภคไปด้วย
“หรือผู้บริการอาจบอกว่า ถ้าคุณเป็นคนที่ให้ความสำคัญกับเรื่องความเป็นส่วนตัวมากมาก เราไม่ให้บริการผู้บริโภคกลุ่มนี้ก็ได้ เราก็ไปให้บริการผู้บริโภคที่สนใจความสะดวกสบายมากกว่าความปลอดภัย”
ฐิติรัตน์กล่าวว่า หากเราสามารถติดอาวุธให้ผู้บริโภค โดยทำให้ผู้บริโภคตระหนักในเรื่องนี้ ผู้บริโภคก็จะมีอำนาจในการต่อรองมากขึ้นและทางฝั่งธุรกิจก็ไม่จะกล้าเสนอแคมเปญที่จะมารุกล้ำความเป็นส่วนตัว ทว่าในสังคมที่ผู้บริโภคยังไม่มีความตระหนักถึงขั้นนั้น รัฐก็ยังมีบทบาทสำคัญที่จะต้องเข้าไปดูแล โดยเฉพาะภาคที่มีความอ่อนไหวมาก เช่น ภาคการธนาคารและข้อมูลสุขภาพที่อยู่ในภาคสาธารณสุข
“เห็นได้จากภาคการบินหรือภาคการธนาคารที่ถูกกำกับโดยภาครัฐ ทั้งสองภาคนี้มีมาตรฐานความปลอดภัย/การคุ้มครองความเป็นส่วนตัวเหมือนกัน เนื่องจากมีกฎหมาย (regulation) และผู้บังคับใช้กฎหมาย (regulator) ว่าหากคุณไม่ทำตามกฎระเบียบนี้ คุณก็ไม่สามารถจดทะเบียนทำธุรกิจได้ หรือไม่สามารถเป็นผู้เล่นในวงการนั้นได้”
ฐิติรัตน์กล่าวต่อไปด้วยว่า การกำกับดูแลและจัดทำมาตรการรักษาความปลอดภัยให้เป็นมาตรฐานเดียวกันไม่เพียงแต่จะเป็นการคุ้มครองสิทธิผู้บริโภคเท่านั้น แต่ยังเป็นการลดต้นทุนในการทำธุรกิจของผู้ให้บริการด้วย เพราะหากระเบียบดังกล่าวมีความชัดเจน บริษัทก็จะรู้ว่าตัวเองต้องทำอะไรบ้างและไม่ต้องมาคิดเอาเอง
แนะ “เน้นส่งเสริมมากกว่าลงโทษ”
สุดาเห็นด้วยว่า การกำหนดกฎหมายให้ผู้ให้บริการต้องมีการคุ้มครองความปลอดภัยและความเป็นส่วนตัวให้กับผู้ใช้บริการไม่ควรเน้นไปที่มาตรการลงโทษ เพราะจะทำให้ไม่ได้ผล โดยเฉพาะในเมืองไทย
“ถ้าเราไปกำหนดมาตรการลงโทษ คนก็จะไม่ขึ้นมาเล่นอยู่บนโต๊ะ คนเล่นอยู่ใต้โต๊ะสบายกว่า ไม่มีความเสี่ยง เพราะตาดีได้ตาร้ายเสีย จับไม่ได้ก็ไม่มีอะไร แต่ถ้าจับได้ก็แค่ถูกปรับ ในระหว่างนั้นก็ทำมาค้าขาย ไม่มีต้นทุน ขณะที่การเล่นบนโต๊ะจะต้องทำตามกฎหมายหลายอย่าง”
สุดาเห็นว่าควรใช้มาตรการส่งเสริมแทน โดยผู้ประกอบการที่ดูแลความปลอดภัยให้กับผู้บริโภคได้ดีอาจได้รับการส่งเสริมจากรัฐ เช่น ในด้านภาษี เพราะในการจัดให้มีระบบรักษาความปลอดภัย ผู้ให้บริการรายนั้นก็ได้ลงทุนไปจำนวนหนึ่งด้วย
นอกจากนี้ รัฐควรให้ความรู้ในเรื่องดังกล่าวแก่ผู้ประกอบการ เพราะผู้ประกอบการบางรายก็ไม่มีความรู้ในเรื่องการคุ้มครองข้อมูลให้กับผู้บริโภค
ในเรื่องปัญหาการคุ้มครองผู้บริโภคในปัจจุบันนั้น สุดากล่าวว่า ตอนนี้มีหน่วยงานคุ้มครองผู้บริโภคจำนวนมาก จนเมื่อมีปัญหาเกิดขึ้น ผู้บริโภคไม่รู้จะหันไปหาหน่วยงานไหน รวมทั้งยังมีปัญหาที่ว่า เจ้าหน้าที่หน่วยงานคุ้มครองผู้บริโภคเองก็ไม่มีความรู้ทางด้านเทคนิค
ขณะที่หน่วยงานภาครัฐนั้นอยู่ภายใต้การกำกับของ พ.ร.บ.ข้อมูลข่าวสารของราชการ พ.ศ. 2540 ซึ่งระบุให้หน่วยงานต้องจัดให้มีการคุ้มครองความปลอดภัย ฐิติรัตน์กล่าวว่า ปัญหาคือรายละเอียดว่าคุ้มครองความปลอดภัยอย่างไรยังไม่มีความชัดเจน ซึ่งหากร่างพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลที่จะบังคับใช้กับภาคเอกชนออกมา ก็อาจจะตั้งมาตรฐานใหม่ให้หน่วยงานภาครัฐต้องปรับตัว
ชี้ข้อจำกัดงานวิจัย: ยังไม่ได้ลงไปตรวจสอบความปลอดภัยในระบบ
กิติศักดิ์เห็นว่าการจัดให้มีระบบรักษาความปลอดภัย อาทิ ระบบการป้องกันการดักข้อมูลได้ระหว่างทางอย่าง HTTPS เหล่านี้มีค่าใช้จ่ายทั้งสิ้น จึงต้องพิจารณาถึงความจำและความคุ้มค่าด้วย ซึ่งสำหรับเว็บไซต์บางประเภท เช่น เว็บไซต์ที่อ่านเนื้อหาอย่างเพียงเดียวโดยไม่ต้องป้อนข้อมูลหรือล็อกอินเข้าใช้ อาจไม่จำเป็นที่จะต้องมี HTTPS
นอกจากนี้ เรื่องความปลอดภัยและการคุ้มครองข้อมูลส่วนบุคคลยังเกี่ยวข้องปัจจัยอื่นๆ นอกจากไปปัจจัยที่งานวิจัยได้สำรวจมากิติศักดิ์กล่าวว่า ปัจจัยทางเทคนิคอื่นๆ มีอาทิ การที่เว็บไซต์นั้นมีการอัปเดตโปรแกรมความปลอดภัยอย่างสม่ำเสมอหรือไม่ รวมถึงความปลอดภัยในระดับของการเขียนโปรแกรม เป็นต้น
ซึ่งในเรื่องการตรวจสอบเว็บไซต์ผู้ให้บริการนี้ ฐิติรัตน์ก็ได้ตั้งคำถามว่า จะเป็นไปได้ไหมที่ในอนาคต เราจะสามารถขอความร่วมมือจากผู้ให้บริการเพื่อเข้าไปตรวจสอบระบบภายในด้วย ฐิติรัตน์ยังกล่าวด้วยว่า บางทีรัฐอาจเป็นผู้เดียวที่มีอำนาจในการขอความร่วมมือดังกล่าว
(สำหรับงานวิจัยชิ้นนี้ให้คะแนนความปลอดภัยโดยดูจากตัวชี้วัด เช่น เว็บไซต์ใช้ HTTPS หรือไม่ ใช้โปรโตคอลมาตรฐานความปลอดภัย TLS หรือไม่ รหัสผ่านปลอดภัยแค่ไหน เทคโนโลยีใบรับรองทันสมัยหรือไม่ มีการเก็บข้อมูลด้วยคุกกี้ที่ปิดไม่ได้หรือไม่ เป็นต้น ประกอบกับการตรวจสอบนโยบายคุ้มครองข้อมูลส่วนบุคคล ซึ่งทั้งหมดเป็นการประเมินจากภายนอกเท่านั้น โดยมองจากมุมมองผู้ใช้งาน แต่ไม่ได้ตรวจสอบการทำงานภายในของเว็บไซต์)
เรื่องคนเรื่องใหญ่: ต่อให้ระบบปลอดภัยแค่ไหน ข้อมูลก็รั่วได้เพราะ “คน”
อาทิตย์กล่าวว่า ต่อให้มีระบบรักษาความปลอดภัยดีแค่ไหน แต่ถ้าคนในองค์กรไม่ตระหนักในเรื่องการคุ้มครองข้อมูลส่วนตัวของผู้บริโภคก็ไม่มีประโยชน์ เพราะในหลายกรณีที่เกิดขึ้น ข้อมูลที่ส่วนบุคคลที่หลุดออกมาเกิดจากคนภายในองค์กรเองที่เป็นผู้ปล่อยข้อมูล ไม่ใช่เพราะว่าระบบถูกเจาะ
“ปีที่ผ่านมา เครือข่ายพลเมืองเน็ตได้สำรวจการละเมิดข้อมูลส่วนบุคคลในประเทศไทย พบว่า 10 กรณีหลักที่เกิดขึ้น เกินครึ่งเป็นข้อมูลที่หลุดออกมาจากพนักงานในองค์กร หรือเมื่อเร็วๆ นี้ก็มีข่าวว่ามีข้อมูลการเดินทางหลุดออกมาจากสายการบิน ซึ่งเราก็รู้ว่าระบบของสายการบินมีระดับความปลอดภัยสูงมาก ซึ่งสุดท้ายแล้วพบว่า พนักงานที่สามารถเข้าถึงข้อมูลเป็นคนเอาข้อมูลออกมาเสียเอง ซึ่งก็เป็นปัญหาที่ไม่รู้ว่าจะต้องทำอย่างไรในทางระบบ เพราะเป็นเรื่องของคน”
ในเรื่องการหลุดรั่วของข้อมูลส่วนบุคคลนั้น ฐิติรัตน์ได้ยกตัวอย่างของประเทศญี่ปุ่น โดยกล่าวว่า ในญี่ปุ่น ระบบมีความปลอดภัยสูง แต่ก็มีข่าวข้อมูลหลุดออกมาเรื่อยๆ แต่ทั้งนี้ เมื่อมีข้อมูลหลุดออกมา เรื่องนั้นจะกลายเป็นเรื่องใหญ่ในสังคม สื่อมวลชนให้ความสนใจ เพราะญี่ปุ่นให้ความสำคัญกับประเด็นเรื่องความเป็นส่วนตัวมาก
“ขณะที่สังคมไทยจะไปสนใจข้อมูลที่หลุดออกมามากว่า เช่น ข้อมูลสายการบินหลุด เราก็จะไปสนใจว่าคนนี้ไปเดินทาง แต่จะไม่สนใจว่าทำไมพนักงานคนนี้ปล่อยให้ข้อมูลหลุดออกมา และบริษัทลงโทษพนักงานคนนี้อย่างไร ไม่ค่อยมีประเด็นพวกนี้ในสื่อไทย อาจเป็นเพราะคนรับสื่อไทยก็ไม่ได้สนใจประเด็นเหล่านี้ ในขณะที่ญี่ปุ่น นี่เป็นประเด็นที่จะเล่นไปตลอดทั้งสัปดาห์ หุ้นตก และอาจทำให้รัฐบาลต้องมีมาตรการใหม่ออกมา”
ฐิติรัตน์จึงกล่าวว่า ปัญหานี้เป็นสิ่งที่ไม่ได้แก้ไขได้ด้วยกฎหมายเสียทีเดียว แต่ปฏิกิริยาของสังคมและความอ่อนไหวในประเด็นความเป็นส่วนตัวของคนที่รับข่าวสารก็มีส่วนอย่างยิ่งเช่นกัน
ขณะที่กิติศักดิ์กล่าวว่า การที่ทุกคนมี “security mind” หรือความตระหนักในเรื่องความมั่นคงปลอดภัยออนไลน์ รวมถึงรู้ว่าข้อมูลที่สำคัญของตนเองมีอะไรบ้างนั้นเป็นสิ่งสำคัญ เพราะเมื่อทุกคนมี security mind เวลาที่คนๆ นั้นจะทำอะไรในอนาคต ไม่ว่าจะเป็นคนออกแบบระบบหรือคนใช้ระบบ เขาเหล่านั้นก็จะระมัดวังในเรื่องเหล่านี้
อ่านต่อ: รายงานเสวนาตอนที่ 2/2 “ความจำเป็นของการมีกฎหมายดักรับข้อมูลเพื่อใช้ในการอำนวยความยุติธรรม” ว่าด้วยร่างกฎหมายสองฉบับที่ให้อำนาจเจ้าหน้าที่ในการดักรับและเข้าถึงข้อมูลคอมพิวเตอร์ ซึ่งกำลังเสนอเข้าสู่สภานิติบัญญัติแห่งชาติในขณะนี้ มีผู้ร่วมเสวนาได้แก่ กฤษฎา แสงเจริญทรัพย์ อาจารย์คณะนิติศาสตร์ มหาวิทยาลัยกรุงเทพธนบุรี, รศ.คณาธิป ทองรวีวงศ์ คณบดีคณะนิติศาสตร์ มหาวิทยาลัยเซนต์จอห์น, พ.ต.อ.ศิริพล กุศลศิลป์วุฒิ จากกองกฎหมาย สำนักงานกฎหมายและคดี สำนักงานตำรวจแห่งชาติ
Tags: consumer rights, data protection, personal data, privacy, security, techsoc