ในปี 2556 ที่ผ่านมาโครงการวิจัยความเป็นส่วนตัวออนไลน์ เครือข่ายพลเมืองเน็ตได้รวบรวมกรณีศึกษาที่เกี่ยวข้องกับการละเมิดความเป็นส่วนตัวออนไลน์ในประเทศไทยไว้ เพื่อสะท้อนให้เห็นถึงการคุกคามความเป็นส่วนตัวผู้อื่นจากการใช้ข้อมูลซึ่งสามารถระบุตัวตนได้

รายงานการละเมิดความเป็นส่วนตัวออนไลน์ในสังคมไทย พ.ศ. 2556 ฉบับเต็ม

อินโฟกราฟิก สถานการณ์การละเมิดสิทธิความเป็นส่วนตัวครึ่งปีหลัง 2556 ขนาดใหญ่

บทสรุป

จากสำรวจสถานการณ์การละเมิดความเป็นส่วนตัวออนไลน์ไทยในรอบปี 2556  ในเบื้องต้น เราสามารถจำแนกตามรูปแบบของปัญหาออกเป็น 4 แบบได้แก่ การละเมิดความเป็นส่วนตัวของธุรกิจเอกชน ซึ่งเป็นการส่งต่อข้อมูลให้กับบุคคลที่สามเป็นส่วนใหญ่ การละเมิดความเป็นส่วนตัวจากหน่วยงานรัฐที่ไม่มีมาตรการคุ้มครองข้อมูลส่วนบุคคลของประชาชนที่ปลอดภัยมากพอ สื่อมวลชนที่ขาดความระมัดระวังในการนำเสนอข่าว   และการละเมิดความเป็นส่วนตัวระหว่างผู้ใช้บริการออนไลน์ด้วยกันเอง

อย่างไรก็ดีทั้ง ปัญหาทั้ง 4 แบบนี้สัมพันธ์กัน เห็นได้ชัดในกรณีที่ผู้ใช้บริการสามารถเข้าถึงข้อมูลส่วนตัวจากแหล่งที่มาซึ่งไม่รักษาความปลอดภัยของข้อมูลได้ไม่ยากนัก เช่น หน่วยงานรัฐ สถานศึกษา หรือข้อมูลที่เจ้าของข้อมูลโพสต์ไว้บนเครือข่ายสังคมออนไลน์ต่างๆ

สำหรับข้อมูลส่วนตัวที่พบว่ามีการเผยแพร่ในเว็บไซต์ต่างๆ  ได้แก่ ชื่อ สกุล เลขประจำตัวประชาชน ที่อยู่ ภาพถ่ายประจำตัว อีเมล หมายเลขโทรศัพท์ หมายเลขโทรศัพท์ สถานที่ทำงาน เลขบัญชีธนาคาร รายละเอียดการเดินทาง ตำแหน่งที่ตั้ง ผลการเรียน กระจัดกระจายอยู่ใน ธนาคาร สถาบันการศึกษา ผู้ประกอบธุรกิจ เว็บไซต์เครือข่ายสังคม

ลักษณะของข้อมูลส่วนตัวที่ถูกนำมาเผยแพร่มีทั้งที่เป็นภาพถ่ายซึ่งปรากฏอยู่ในเครือข่ายสังคมออนไลน์ และโพสต์โดยเจ้าของภาพเอง และการถ่ายภาพโดยไม่รู้ตัว  ภาพถ่ายเอกสารกระดาษ เช่น บัตรประจำตัวประชาชน บัตรอนุญาตขับรถ การจดทะเบียนธุรกิจการค้า ข้อมูลที่อยู่ในฐานข้อมูลของหน่วยงานรัฐ เช่น ฐานข้อมูลตำรวจ ฐานข้อมูลของมหาวิทยาลัย การบอกต่อกันในหมู่คนรู้จัก

ส่วนใหญ่แล้วพื้นที่ซึ่งข้อมูลเหล่านี้กระจายอยู่คือเว็บไซต์เครือข่ายสังคมออนไลน์โดยเฉพาะเฟซบุ๊ก ซึ่งมีลักษณะการใช้งานที่เอื้อต่อการส่งต่อข้อมูลเหล่านี้ เช่น การกระจายภาพด้วยปุ่มเดียว การที่เป็นเครื่องมือที่เปิดโอกาสให้ผู้ใช้เป็นผู้ผลิตและเผยแพร่ข้อความและรูปภาพต่างๆ ด้วยตัวเอง รวมทั้งสามารถเข้าถึงได้จากอุปกรณ์สื่อสารหลากหลายประเภท

จากข้อมูลที่พบ อาจกล่าวได้ว่า การนำข้อมูลส่วนตัวของผู้อื่นมาเปิดเผยโดยไม่ได้รับอนุญาตก่อนเป็นผลมาจากแรงจูงใจที่สำคัญ  3 ประการ ประการแรก ความขัดแย้งทางการเมือง ดังเช่น การเปิดเผยข้อมูลการเดินทางของลูกสาวอดีตนายกรัฐมนตรี นายกรัฐมนตรี ข้อมูลการทำงานของผู้ชุมนุมต่อต้านนายกรัฐมนตรี การเผยแพร่ของแฟนเพจยุทธการลงทัณฑ์ทางสังคม ภาพถ่ายและที่อยู่ตามบัตรประชาชนของ ‘อั้ม เนโกะ’ นักกิจกรรมทางสังคม ประการที่สอง ความขัดแย้งระหว่างบุคคล เช่น การเผยแพร่ข้อมูลส่วนตัวของคู่กรณีที่มีคู่ขัดแย้งกันอยู่ และประการที่สาม แรงจูงใจทางธุรกิจ ในกรณีของการส่งต่อข้อมูลส่วนตัวของลูกค้าระหว่างบริษัทผู้ให้บริการ

ขณะเดียวกัน แม้ผู้ให้บริการบางรายจะมีระบบรักษาความปลอดภัยที่ค่อนข้างรัดกุม แต่ยังมีการเผยแพร่ข้อมูลส่วนตัวออกมาโดยพนักงานที่ทำงานอยู่ในระบบไหลเวียนข้อมูลนั้นเอง โดยมีแรงผลักดันจากความขัดแย้งทางการเมือง

เมื่อพิจารณากรณีการละเมิดความเป็นส่วนตัวที่เกิดจากผู้ใช้ด้วยกันเองนั้นได้สะท้อนให้เห็นถึงความสลับซับซ้อนของความเป็นส่วนตัว  โดยทั่วไป คนส่วนใหญ่อาจไม่ตระหนักถึงผลกระทบที่จะเกิดขึ้นจากการที่มีผู้เข้าถึงและใช้ข้อมูลส่วนตัวของตนเองและผู้อื่น ดังจะเห็นได้จากกรณีของการขาดความระมัดระวังของสถาบันการศึกษาที่เปิดให้มีการเข้าถึงข้อมูลทางการเรียนของนักเรียน หรือข้อมูลในสำนักทะเบียนได้ รวมไปถึงการโพสต์ภาพถ่ายของบุคคลอื่นในเครือข่ายสังคมออนไลน์ที่แม้จะเป็นไปแง่บวก

ขณะเดียวกันดูเหมือนว่าผู้ใช้อินเทอร์เน็ตจะตระหนักถึงความสำคัญของข้อมูลส่วนตัว เห็นได้จากการใช้ข้อมูลส่วนตัวเป็นเครื่องมือเพื่อกลั่นแกล้งบุคคลที่ตนเองไม่พอใจ  โดยมีความสะดวกสบายจากเทคโนโลยีที่ทำให้พวกเขาค้นหา และเผยแพร่ข้อมูลส่วนตัวของผู้อื่นได้ง่ายขึ้น

แผนภาพแสดงกรณีการละเมิดความเป็นส่วนตัว ครึ่งหลังของปี 2556

ข้อเสนอจากเครือข่ายพลเมืองเน็ต

จากผลกระทบจากการละเมิดสิทธิความเป็นส่วนตัวออนไลน์ในรูปแบบต่างๆ ดังแสดงข้างต้น เครือข่ายพลเมืองเน็ตมีข้อเสนอต่อผู้มีส่วนเกี่ยวข้องดังนี้

1.  หน่วยงานรัฐ ซึ่งเป็นคลังเก็บข้อมูลส่วนบุคคลขนาดใหญ่ของพลเมือง ผู้พำนัก และผู้ผ่านทางเข้า-ออกประเทศ จำเป็นต้องมีมาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคลที่ชัดเจน มีการแจ้งเตือนเจ้าของข้อมูลและผู้เกี่ยวข้องในกรณีข้อมูลรั่วไหลหรือพบความบกพร่องในมาตรการรักษาความปลอดภัย
2. สถาบันการศึกษา ซึ่งจัดเก็บข้อมูลส่วนบุคคล เช่น ประวัติครอบครัว ประวัติการเงิน และประวัติการศึกษา ซึ่งผู้ศึกษาตั้งใจมอบให้เพื่อเป้าประสงค์ทางการศึกษา ควรตระหนักว่าข้อมูลดังกล่าวเป็นของผู้ศึกษา จำเป็นต้องมีมาตรการคุ้มครองข้อมูลส่วนบุคคล การกำหนดสิทธิการเข้าถึงข้อมูลให้เข้าถึงได้เฉพาะบุคคลที่เกี่ยวข้อง เพื่อป้องกันไม่ให้ข้อมูลถูกนำไปใช้ผิดเป้าประสงค์
3. ผู้ให้บริการออนไลน์ แม้ผู้ให้บริการหลายรายจะมีระบบรักษาความปลอดภัยเบื้องต้นอยู่แล้ว แต่จะเห็นได้จากกรณีที่เกิดขึ้นว่า ความผิดพลาดส่วนหนึ่งมาจากเจ้าหน้าที่ของผู้ให้บริการที่สามารถเข้าถึงข้อมูลส่วนบุคคลของผู้ใช้ได้ ดังนั้นผู้ให้บริการจำเป็นต้องมีมาตรการควบคุมการเผยแพร่ข้อมูลส่วนบุคคลของผู้ใช้ ควรมีการกำหนดระเบียบข้อปฏิบัติและบทลงโทษสำหรับเจ้าหน้าที่ที่ฝ่าฝืนนโยบายความเป็นส่วนตัว จำเป็นต้องมีการแจ้งเตือนผู้ใช้บริการกรณีข้อมูลรั่วไหล และควรแสดงความรับผิดชอบหากเกิดความเสียหายอื่นตามมาจากการรั่วไหลของข้อมูลดังกล่าว
   นอกจากนี้ผู้ให้บริการควรแจ้งให้ผู้ใช้บริการทราบอย่างชัดเจนว่ามีกระบวนการจัดเก็บและจัดการกับข้อมูลส่วนบุคคลอย่างไร และร่วมกันภายในภาคอุตสาหกรรมเพื่อพัฒนามาตรฐานการคุ้มครองข้อมูลในภาคอุตสาหกรรมนั้นๆ
4. สื่อมวลชน ต้องให้ความสำคัญกับการรักษาความเป็นส่วนตัวของบุคคลในข่าว ระมัดระวังการเผยแพร่ข้อมูลส่วนบุคคลซึ่งไม่เกี่ยวข้องโดยตรงกับเนื้อหาข่าวหรือไม่ทำให้เกิดประโยชน์ต่อสาธารณะ
5. พลเมืองเน็ต ซึ่งจะเป็นผู้ได้รับผลกระทบโดยตรง ควรสอบถามและตรวจสอบมาตรการรักษาความปลอดภัยข้อมูลของตนเองในบริการออนไลน์ที่ใช้ ว่ามีการคุ้มครองที่มากพอหรือไม่ รวมทั้งแจ้งต่อผู้ให้บริการทราบถึงความกังวลต่อความเป็นส่วนตัวในการใช้บริการเหล่านั้น เพื่อกระตุ้นให้เกิดการดูแลระบบที่ดียิ่งขึ้น นอกจากนี้ ผู้ใช้อินเทอร์เน็ตควรทำความเข้าใจการทำงานของบริการออนไลน์ที่ใช้ ว่าจัดเก็บและมีมาตรการคุ้มครองข้อมูลส่วนบุคคลอย่างไร สิ่งที่ควรตระหนักคือ เมื่อใดก็ตามที่ข้อมูลอยู่ในอินเทอร์เน็ตแล้ว การลบทิ้งโดยสมบูรณ์แทบจะเป็นไปไม่ได้เลย ขณะเดียวกัน ผู้ใช้อินเทอร์เน็ตต้องตระหนักว่า ข้อมูลส่วนบุคคลของผู้อื่น ไม่ว่าจะเป็น ชื่อ ที่อยู่ ภาพถ่าย ฯลฯ เป็นของเจ้าของข้อมูลนั้น การเผยแพร่ข้อมูลส่วนบุคคลของผู้อื่นโดยไม่ได้รับอนุญาตเป็นการละเมิดสิทธิความเป็นส่วนตัว
   สำหรับผู้ที่ได้รับผลกระทบจากการเผยแพร่ข้อมูลส่วนบุคคลทางอินเทอร์เน็ต ในเบื้องต้นควรติดต่อกับผู้ให้บริการที่เกี่ยวข้องโดยเร็วที่สุด เพื่อขอให้ระงับการเผยแพร่ สำหรับการดำเนินการทางกฎหมายนั้น เนื่องจากขณะนี้ (ก.พ. 2557) ประเทศไทยไม่มีกฎหมายคุ้มครองข้อมูลส่วนบุคคลเป็นการเฉพาะ กรณีเกิดเหตุขึ้น จึงต้องพิจารณาข้อมูลว่าเป็นประเภทใด มีกฎหมายใดที่เกี่ยวข้อง เช่น หากเป็นข้อมูลที่อยู่ในความดูแลของรัฐ สามารถใช้ พ.ร.บ.ข้อมูลข่าวสารของราชการ พ.ศ. 2540 หากเป็นข้อมูลการรักษาพยาบาล สามารถใช้ พ.ร.บ.สุขภาพแห่งชาติ พ.ศ. 2550 หากเป็นการตัดต่อภาพ สามารถใช้ พ.ร.บ.ว่าด้วยการกระทำความผิดทางคอมพิวเตอร์ พ.ศ. 2550 เป็นต้น หรืออ้างถึงรัฐธรรมนูญแห่งราชอาณาจักรไทย พ.ศ. 2550 มาตรา 32, 33, 35, 36 ซึ่งระบุถึงสิทธิในความเป็นส่วนตัวในหลายด้าน
6. หน่วยงานที่เกี่ยวข้องกับการออกพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล จากข้อมูลในรายงาน จะเห็นได้ว่าสถานการณ์การละเมิดความเป็นส่วนตัวมีแนวโน้มรุนแรงและขยายตัวมากขึ้น และส่งผลกระทบต่อประชาชนและภาคธุรกิจ ขณะที่ยังไม่มีกฎหมายและกระบวนการที่เหมาะสมในการป้องกันและจัดการกับปัญหาที่เกิดขึ้น หน่วยงานที่เกี่ยวข้อง เช่น กระทรวงเทคโนโลยีการสื่อสารและสารสนเทศ สำนักงานคณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติ สำนักงานคณะกรรมการคุ้มครองผู้บริโภค สำนักงานคณะกรรมการข้อมูลข่าวสารของราชการ คณะกรรมการปฏิรูปกฎหมาย รัฐสภา จึงควรเร่งพิจารณาออกกฎหมายนี้โดยเร็ว

อ่าน บริการออนไลน์ไทย ปลอดภัยแค่ไหน?: ผลสำรวจมาตรการรักษาความปลอดภัยและคุ้มครองความเป็นส่วนตัวของเว็บไซต์ไทย ครั้งที่ 1

สนับสนุนโดย  Privacy International ไพรเวซี อินเตอร์เนชั่นแนล ภายใต้ชุดโครงการ Surveillance and Freedom: Global Understandings and Rights Development (SAFEGUARD)

เผยแพร่ภายใต้ สัญญาอนุญาตครีเอทีฟคอมมอนส์แบบแสดงที่มา-อนุญาตแบบเดียวกัน 3.0 ประเทศไทย (Creative Commons Attribution-ShareAlike 3.0 Thailand license) สามารถนำไปใช้ ดัดแปลงแก้ไข และเผยแพร่ต่อได้ทันที โดยไม่ต้องขออนุญาต