ในปี 2556 ที่ผ่านมาโครงการวิจัยความเป็นส่วนตัวออนไลน์ เครือข่ายพลเมืองเน็ตได้รวบรวมกรณีศึกษาที่เกี่ยวข้องกับการละเมิดความเป็นส่วนตัวออนไลน์ในประเทศไทยไว้ เพื่อสะท้อนให้เห็นถึงการคุกคามความเป็นส่วนตัวผู้อื่นจากการใช้ข้อมูลซึ่งสามารถระบุตัวตนได้
รายงานการละเมิดความเป็นส่วนตัวออนไลน์ในสังคมไทย พ.ศ. 2556 ฉบับเต็ม
อินโฟกราฟิก สถานการณ์การละเมิดสิทธิความเป็นส่วนตัวครึ่งปีหลัง 2556 ขนาดใหญ่
บทสรุป
จากสำรวจสถานการณ์การละเมิดความเป็นส่วนตัวออนไลน์ไทยในรอบปี 2556 ในเบื้องต้น เราสามารถจำแนกตามรูปแบบของปัญหาออกเป็น 4 แบบได้แก่ การละเมิดความเป็นส่วนตัวของธุรกิจเอกชน ซึ่งเป็นการส่งต่อข้อมูลให้กับบุคคลที่สามเป็นส่วนใหญ่ การละเมิดความเป็นส่วนตัวจากหน่วยงานรัฐที่ไม่มีมาตรการคุ้มครองข้อมูลส่วนบุคคลของประชาชนที่ปลอดภัยมากพอ สื่อมวลชนที่ขาดความระมัดระวังในการนำเสนอข่าว และการละเมิดความเป็นส่วนตัวระหว่างผู้ใช้บริการออนไลน์ด้วยกันเอง
อย่างไรก็ดีทั้ง ปัญหาทั้ง 4 แบบนี้สัมพันธ์กัน เห็นได้ชัดในกรณีที่ผู้ใช้บริการสามารถเข้าถึงข้อมูลส่วนตัวจากแหล่งที่มาซึ่งไม่รักษาความปลอดภัยของข้อมูลได้ไม่ยากนัก เช่น หน่วยงานรัฐ สถานศึกษา หรือข้อมูลที่เจ้าของข้อมูลโพสต์ไว้บนเครือข่ายสังคมออนไลน์ต่างๆ
สำหรับข้อมูลส่วนตัวที่พบว่ามีการเผยแพร่ในเว็บไซต์ต่างๆ ได้แก่ ชื่อ สกุล เลขประจำตัวประชาชน ที่อยู่ ภาพถ่ายประจำตัว อีเมล หมายเลขโทรศัพท์ หมายเลขโทรศัพท์ สถานที่ทำงาน เลขบัญชีธนาคาร รายละเอียดการเดินทาง ตำแหน่งที่ตั้ง ผลการเรียน กระจัดกระจายอยู่ใน ธนาคาร สถาบันการศึกษา ผู้ประกอบธุรกิจ เว็บไซต์เครือข่ายสังคม
ลักษณะของข้อมูลส่วนตัวที่ถูกนำมาเผยแพร่มีทั้งที่เป็นภาพถ่ายซึ่งปรากฏอยู่ในเครือข่ายสังคมออนไลน์ และโพสต์โดยเจ้าของภาพเอง และการถ่ายภาพโดยไม่รู้ตัว ภาพถ่ายเอกสารกระดาษ เช่น บัตรประจำตัวประชาชน บัตรอนุญาตขับรถ การจดทะเบียนธุรกิจการค้า ข้อมูลที่อยู่ในฐานข้อมูลของหน่วยงานรัฐ เช่น ฐานข้อมูลตำรวจ ฐานข้อมูลของมหาวิทยาลัย การบอกต่อกันในหมู่คนรู้จัก
ส่วนใหญ่แล้วพื้นที่ซึ่งข้อมูลเหล่านี้กระจายอยู่คือเว็บไซต์เครือข่ายสังคมออนไลน์โดยเฉพาะเฟซบุ๊ก ซึ่งมีลักษณะการใช้งานที่เอื้อต่อการส่งต่อข้อมูลเหล่านี้ เช่น การกระจายภาพด้วยปุ่มเดียว การที่เป็นเครื่องมือที่เปิดโอกาสให้ผู้ใช้เป็นผู้ผลิตและเผยแพร่ข้อความและรูปภาพต่างๆ ด้วยตัวเอง รวมทั้งสามารถเข้าถึงได้จากอุปกรณ์สื่อสารหลากหลายประเภท
จากข้อมูลที่พบ อาจกล่าวได้ว่า การนำข้อมูลส่วนตัวของผู้อื่นมาเปิดเผยโดยไม่ได้รับอนุญาตก่อนเป็นผลมาจากแรงจูงใจที่สำคัญ 3 ประการ ประการแรก ความขัดแย้งทางการเมือง ดังเช่น การเปิดเผยข้อมูลการเดินทางของลูกสาวอดีตนายกรัฐมนตรี นายกรัฐมนตรี ข้อมูลการทำงานของผู้ชุมนุมต่อต้านนายกรัฐมนตรี การเผยแพร่ของแฟนเพจยุทธการลงทัณฑ์ทางสังคม ภาพถ่ายและที่อยู่ตามบัตรประชาชนของ ‘อั้ม เนโกะ’ นักกิจกรรมทางสังคม ประการที่สอง ความขัดแย้งระหว่างบุคคล เช่น การเผยแพร่ข้อมูลส่วนตัวของคู่กรณีที่มีคู่ขัดแย้งกันอยู่ และประการที่สาม แรงจูงใจทางธุรกิจ ในกรณีของการส่งต่อข้อมูลส่วนตัวของลูกค้าระหว่างบริษัทผู้ให้บริการ
ขณะเดียวกัน แม้ผู้ให้บริการบางรายจะมีระบบรักษาความปลอดภัยที่ค่อนข้างรัดกุม แต่ยังมีการเผยแพร่ข้อมูลส่วนตัวออกมาโดยพนักงานที่ทำงานอยู่ในระบบไหลเวียนข้อมูลนั้นเอง โดยมีแรงผลักดันจากความขัดแย้งทางการเมือง
เมื่อพิจารณากรณีการละเมิดความเป็นส่วนตัวที่เกิดจากผู้ใช้ด้วยกันเองนั้นได้สะท้อนให้เห็นถึงความสลับซับซ้อนของความเป็นส่วนตัว โดยทั่วไป คนส่วนใหญ่อาจไม่ตระหนักถึงผลกระทบที่จะเกิดขึ้นจากการที่มีผู้เข้าถึงและใช้ข้อมูลส่วนตัวของตนเองและผู้อื่น ดังจะเห็นได้จากกรณีของการขาดความระมัดระวังของสถาบันการศึกษาที่เปิดให้มีการเข้าถึงข้อมูลทางการเรียนของนักเรียน หรือข้อมูลในสำนักทะเบียนได้ รวมไปถึงการโพสต์ภาพถ่ายของบุคคลอื่นในเครือข่ายสังคมออนไลน์ที่แม้จะเป็นไปแง่บวก
ขณะเดียวกันดูเหมือนว่าผู้ใช้อินเทอร์เน็ตจะตระหนักถึงความสำคัญของข้อมูลส่วนตัว เห็นได้จากการใช้ข้อมูลส่วนตัวเป็นเครื่องมือเพื่อกลั่นแกล้งบุคคลที่ตนเองไม่พอใจ โดยมีความสะดวกสบายจากเทคโนโลยีที่ทำให้พวกเขาค้นหา และเผยแพร่ข้อมูลส่วนตัวของผู้อื่นได้ง่ายขึ้น
ข้อเสนอจากเครือข่ายพลเมืองเน็ต
จากผลกระทบจากการละเมิดสิทธิความเป็นส่วนตัวออนไลน์ในรูปแบบต่างๆ ดังแสดงข้างต้น เครือข่ายพลเมืองเน็ตมีข้อเสนอต่อผู้มีส่วนเกี่ยวข้องดังนี้
- หน่วยงานรัฐ ซึ่งเป็นคลังเก็บข้อมูลส่วนบุคคลขนาดใหญ่ของพลเมือง ผู้พำนัก และผู้ผ่านทางเข้า-ออกประเทศ จำเป็นต้องมีมาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคลที่ชัดเจน มีการแจ้งเตือนเจ้าของข้อมูลและผู้เกี่ยวข้องในกรณีข้อมูลรั่วไหลหรือพบความบกพร่องในมาตรการรักษาความปลอดภัย
- สถาบันการศึกษา ซึ่งจัดเก็บข้อมูลส่วนบุคคล เช่น ประวัติครอบครัว ประวัติการเงิน และประวัติการศึกษา ซึ่งผู้ศึกษาตั้งใจมอบให้เพื่อเป้าประสงค์ทางการศึกษา ควรตระหนักว่าข้อมูลดังกล่าวเป็นของผู้ศึกษา จำเป็นต้องมีมาตรการคุ้มครองข้อมูลส่วนบุคคล การกำหนดสิทธิการเข้าถึงข้อมูลให้เข้าถึงได้เฉพาะบุคคลที่เกี่ยวข้อง เพื่อป้องกันไม่ให้ข้อมูลถูกนำไปใช้ผิดเป้าประสงค์
- ผู้ให้บริการออนไลน์ แม้ผู้ให้บริการหลายรายจะมีระบบรักษาความปลอดภัยเบื้องต้นอยู่แล้ว แต่จะเห็นได้จากกรณีที่เกิดขึ้นว่า ความผิดพลาดส่วนหนึ่งมาจากเจ้าหน้าที่ของผู้ให้บริการที่สามารถเข้าถึงข้อมูลส่วนบุคคลของผู้ใช้ได้ ดังนั้นผู้ให้บริการจำเป็นต้องมีมาตรการควบคุมการเผยแพร่ข้อมูลส่วนบุคคลของผู้ใช้ ควรมีการกำหนดระเบียบข้อปฏิบัติและบทลงโทษสำหรับเจ้าหน้าที่ที่ฝ่าฝืนนโยบายความเป็นส่วนตัว จำเป็นต้องมีการแจ้งเตือนผู้ใช้บริการกรณีข้อมูลรั่วไหล และควรแสดงความรับผิดชอบหากเกิดความเสียหายอื่นตามมาจากการรั่วไหลของข้อมูลดังกล่าว
นอกจากนี้ผู้ให้บริการควรแจ้งให้ผู้ใช้บริการทราบอย่างชัดเจนว่ามีกระบวนการจัดเก็บและจัดการกับข้อมูลส่วนบุคคลอย่างไร และร่วมกันภายในภาคอุตสาหกรรมเพื่อพัฒนามาตรฐานการคุ้มครองข้อมูลในภาคอุตสาหกรรมนั้นๆ - สื่อมวลชน ต้องให้ความสำคัญกับการรักษาความเป็นส่วนตัวของบุคคลในข่าว ระมัดระวังการเผยแพร่ข้อมูลส่วนบุคคลซึ่งไม่เกี่ยวข้องโดยตรงกับเนื้อหาข่าวหรือไม่ทำให้เกิดประโยชน์ต่อสาธารณะ
- พลเมืองเน็ต ซึ่งจะเป็นผู้ได้รับผลกระทบโดยตรง ควรสอบถามและตรวจสอบมาตรการรักษาความปลอดภัยข้อมูลของตนเองในบริการออนไลน์ที่ใช้ ว่ามีการคุ้มครองที่มากพอหรือไม่ รวมทั้งแจ้งต่อผู้ให้บริการทราบถึงความกังวลต่อความเป็นส่วนตัวในการใช้บริการเหล่านั้น เพื่อกระตุ้นให้เกิดการดูแลระบบที่ดียิ่งขึ้น นอกจากนี้ ผู้ใช้อินเทอร์เน็ตควรทำความเข้าใจการทำงานของบริการออนไลน์ที่ใช้ ว่าจัดเก็บและมีมาตรการคุ้มครองข้อมูลส่วนบุคคลอย่างไร สิ่งที่ควรตระหนักคือ เมื่อใดก็ตามที่ข้อมูลอยู่ในอินเทอร์เน็ตแล้ว การลบทิ้งโดยสมบูรณ์แทบจะเป็นไปไม่ได้เลย ขณะเดียวกัน ผู้ใช้อินเทอร์เน็ตต้องตระหนักว่า ข้อมูลส่วนบุคคลของผู้อื่น ไม่ว่าจะเป็น ชื่อ ที่อยู่ ภาพถ่าย ฯลฯ เป็นของเจ้าของข้อมูลนั้น การเผยแพร่ข้อมูลส่วนบุคคลของผู้อื่นโดยไม่ได้รับอนุญาตเป็นการละเมิดสิทธิความเป็นส่วนตัว
สำหรับผู้ที่ได้รับผลกระทบจากการเผยแพร่ข้อมูลส่วนบุคคลทางอินเทอร์เน็ต ในเบื้องต้นควรติดต่อกับผู้ให้บริการที่เกี่ยวข้องโดยเร็วที่สุด เพื่อขอให้ระงับการเผยแพร่ สำหรับการดำเนินการทางกฎหมายนั้น เนื่องจากขณะนี้ (ก.พ. 2557) ประเทศไทยไม่มีกฎหมายคุ้มครองข้อมูลส่วนบุคคลเป็นการเฉพาะ กรณีเกิดเหตุขึ้น จึงต้องพิจารณาข้อมูลว่าเป็นประเภทใด มีกฎหมายใดที่เกี่ยวข้อง เช่น หากเป็นข้อมูลที่อยู่ในความดูแลของรัฐ สามารถใช้ พ.ร.บ.ข้อมูลข่าวสารของราชการ พ.ศ. 2540 หากเป็นข้อมูลการรักษาพยาบาล สามารถใช้ พ.ร.บ.สุขภาพแห่งชาติ พ.ศ. 2550 หากเป็นการตัดต่อภาพ สามารถใช้ พ.ร.บ.ว่าด้วยการกระทำความผิดทางคอมพิวเตอร์ พ.ศ. 2550 เป็นต้น หรืออ้างถึงรัฐธรรมนูญแห่งราชอาณาจักรไทย พ.ศ. 2550 มาตรา 32, 33, 35, 36 ซึ่งระบุถึงสิทธิในความเป็นส่วนตัวในหลายด้าน - หน่วยงานที่เกี่ยวข้องกับการออกพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล จากข้อมูลในรายงาน จะเห็นได้ว่าสถานการณ์การละเมิดความเป็นส่วนตัวมีแนวโน้มรุนแรงและขยายตัวมากขึ้น และส่งผลกระทบต่อประชาชนและภาคธุรกิจ ขณะที่ยังไม่มีกฎหมายและกระบวนการที่เหมาะสมในการป้องกันและจัดการกับปัญหาที่เกิดขึ้น หน่วยงานที่เกี่ยวข้อง เช่น กระทรวงเทคโนโลยีการสื่อสารและสารสนเทศ สำนักงานคณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติ สำนักงานคณะกรรมการคุ้มครองผู้บริโภค สำนักงานคณะกรรมการข้อมูลข่าวสารของราชการ คณะกรรมการปฏิรูปกฎหมาย รัฐสภา จึงควรเร่งพิจารณาออกกฎหมายนี้โดยเร็ว
สนับสนุนโดย Privacy International ไพรเวซี อินเตอร์เนชั่นแนล ภายใต้ชุดโครงการ Surveillance and Freedom: Global Understandings and Rights Development (SAFEGUARD)
เผยแพร่ภายใต้ สัญญาอนุญาตครีเอทีฟคอมมอนส์แบบแสดงที่มา-อนุญาตแบบเดียวกัน 3.0 ประเทศไทย (Creative Commons Attribution-ShareAlike 3.0 Thailand license) สามารถนำไปใช้ ดัดแปลงแก้ไข และเผยแพร่ต่อได้ทันที โดยไม่ต้องขออนุญาต