มาตรการคุ้มครองความปลอดภัยและความเป็นส่วนตัวของผู้ให้บริการออนไลน์ไทย พ.ศ. 2557

โครงการวิจัยความเป็นส่วนตัวออนไลน์ เครือข่ายพลเมืองเน็ต ได้เริ่มต้นสำรวจมาตรการรักษาความปลอดภัยและการคุ้มครองความเป็นส่วนตัวผู้ให้บริการออนไลน์ต่างๆ ของประเทศไทย ในระดับ ‘เบื้องต้น’ เพื่อเป็นข้อมูลแก่ผู้ใช้ทั่วไปในการตัดสินใจใช้บริการต่างๆ และเพื่อกระตุ้นผู้ให้บริการออนไลน์ให้ตระหนักถึงความสำคัญของการปกป้องความปลอดภัยและความเป็นส่วนตัวของผู้ใช้บริการมากขึ้น

infographic 2014

ทุกวันนี้อินเทอร์เน็ตมีบทบาทในชีวิตเรามากขึ้น การรักษาความเป็นส่วนตัวและความปลอดภัยจึงเป็นสิ่งที่ผู้ใช้อินเทอร์เน็ตต้องตระหนักมากขึ้น ข้อมูลต่างๆ ของผู้ใช้อินเทอร์เน็ตกระจัดกระจายไปอยู่ในพื้นที่ต่างๆ มากมายจากการใช้บริการออนไลน์ต่างๆ เมื่อเราเชื่อมต่อคอมพิวเตอร์เข้ากับอินเทอร์เน็ต ผู้ให้บริการอินเทอร์เน็ตมักวิเคราะห์การใช้งานของเรา ซึ่งมักมีวัตถุประสงค์เพื่อปรับปรุงคุณภาพการให้บริการ อย่างไรก็ตาม เนื่องจากผู้ให้บริการอินเทอร์เน็ตเป็นผู้ที่สามารถเห็นข้อมูลทุกอย่างที่เรารับส่งระหว่างการเชื่อมต่ออินเทอร์เน็ต หากผู้ให้บริการไม่รักษาความเป็นส่วนตัวของลูกค้าก็เป็นไปได้ที่จะนำข้อมูลบางส่วนไปใช้โดยที่ลูกค้าไม่รู้ตัว ผู้ใช้จำเป็นต้องรู้เท่าทัน และเข้าใจวิธีการคุ้มครองความเป็นส่วนตัวของตนเอง การทำกิจกรรมต่างๆ บนอินเทอร์เน็ต ไม่ว่าจะเป็นการสนทนา การแสดงความคิดเห็น รูปภาพ ประสบการณ์ ตำแหน่งที่อยู่ ข้อมูลส่วนตัว ฯลฯ สัมพันธ์กับความเชื่อใจที่เรามีต่อบริษัทต่างๆ อย่างกูเกิล หรือเฟซบุ๊ก

แต่เราจะแน่ใจได้อย่างไรว่าบริษัทเหล่านี้จะคุ้มครองความปลอดภัยให้กับเราได้ ผู้ให้บริการออนไลน์เหล่านี้มีมาตรการปกป้องความปลอดภัยและความเป็นส่วนตัวของเรามากเพียงใด พวกเขามอบข้อมูลส่วนตัวของเราให้ใครอีกหรือไม่ เราควรแลกข้อมูลส่วนตัวของเรา เช่น เลขประจำตัวประชาชน ข้อมูลการเงิน กับระบบการป้องกันที่ไม่ปลอดภัยหรือไม่ ผู้ให้บริการยอมให้เรารู้ว่าพวกเขาทำอะไรกับข้อมูลของเราหรือไม่

ในการพิจารณาว่าเราควรจะใช้บริการออนไลน์ของบริษัทใดจึงจะปลอดภัย ผู้บริโภคควรจะได้รับข้อมูลว่าบริการเหล่านั้นมีระบบดูแลข้อมูลของตนเองอย่างไร ทั้งการคุ้มครองความปลอดภัยในทางเทคนิค และวิธีจัดการข้อมูล ในงานวิจัยนี้จึงพยายามสำรวจเพื่อเป็นข้อมูลให้ผู้บริโภคสามารถตัดสินใจได้ว่าควรจะใช้บริการใด ด้วยการพิจารณาผู้ให้บริการออนไลน์ไทยจำนวน 45 เว็บไซต์ จำแนกออกเป็นหน่วยงานรัฐ ธนาคาร มหาวิทยาลัย ซื้อขายสินค้า บริการขนส่งสาธารณะ และบริการรับสมัครงาน ระหว่างเดือนตุลาคม–พฤศจิกายน 2557

ในรายงานนี้เป็นการรวบรวมข้อมูลและตรวจสอบการเข้ารหัสการเชื่อมต่อ และนโยบายข้อมูลของบริษัทผู้ให้บริการออนไลน์ไทย และพิจารณาว่าผู้ให้บริการออนไลน์เหล่านี้คุ้มครองความปลอดภัยและความเป็นส่วนตัวของผู้ใช้มากเพียงใด ในทางเทคนิค งานวิจัยนี้วิเคราะห์ว่าเข้ารหัสการเชื่อมต่อหน้าเว็บไซต์เพื่อดูว่ามีการป้องกันไม่ให้มีการดักข้อมูลได้ระหว่างการสื่อสารและมีระบบการยืนยันตัวตนที่ปลอดภัยหรือไม่ ด้วยการตรวจสอบว่าเว็บไซต์ใช้ HTTPS (Hypertext Transfer Protocol Secure) หรือไม่ การใช้โปรโตคอลมาตรฐานความปลอดภัย TLS รหัสผ่าน ใบรับรองความปลอดภัยที่ทันสมัย การเก็บข้อมูลคุกกี้ (cookies) โดยเป็นการประเมินระดับความปลอดภัยของเว็บไซต์ขั้นพื้นฐานที่สุด และผู้ใช้อินเทอร์เน็ตทั่วไปสามารถตรวจสอบได้ด้วยตนเอง จากข้อมูลที่ผู้ใช้ทั่วไปเข้าถึงได้ อย่างไรก็ตาม ผลวิจัยที่ได้ไม่สามารถยืนยันได้ว่าเว็บไซต์เหล่านี้ปลอดภัยอย่างสมบูรณ์ เนื่องจากยังมีปัจจัยอื่นๆ ที่เกี่ยวข้อง และการตรวจสอบระบบความปลอดภัยในขั้นสูงไม่สามารถกระทำได้จากบุคคลภายนอกระบบ

ส่วนนโยบายจัดการข้อมูล งานวิจัยนี้พิจารณาจากนโยบายความเป็นส่วนตัวที่ผู้ให้บริการแสดงหน้าเว็บไซต์ว่าจะดำเนินการกับข้อมูลส่วนตัวของผู้ใช้บริการอย่างไร แนวทางในการพิจารณามาจากกรอบคิดว่าด้วยการคุ้มครองส่วนบุคคลมาจากองค์การเพื่อความร่วมมือทางเศรษฐกิจและการพัฒนา (Organization for Economic Co-operation and Development: OECD) ซึ่งได้ออกแนวปฏิบัติด้านการคุ้มครองความเป็นส่วนตัวและการโอนข้อมูลส่วนบุคคลระหว่างประเทศ หลักการคุ้มครองข้อมูลส่วนบุคคลนี้มี 8 ประการ ได้แก่ หลักการรวบรวมข้อมูลอย่างจำกัด (Collection Limitation Principle) ที่ผู้ให้บริการจะรวบรวมข้อมูลส่วนบุคคลได้โดยชอบด้วยกฎหมายและความยินยอมจากเจ้าของข้อมูลเท่านั้น หลักคุณภาพของข้อมูล (Data Quality Principle) ที่ต้องเป็นข้อมูลที่ถูกต้องและเป็นปัจจุบัน

หลักการระบุวัตถุประสงค์ (Purpose Specification Principle) ต้องแจ้งให้เจ้าของข้อมูลทราบวัตถุประสงค์ของการเก็บข้อมูล หลักการใช้ข้อมูลอย่างจำกัด (Use Limitation Principle) จะต้องไม่เปิดเผยข้อมูลนอกเหนือไปจากวัตถุประสงค์ที่แจ้งให้เจ้าของข้อมูลทราบ หลักการรักษาความมั่นคงปลอดภัยของข้อมูล (Security Safeguards Principle) ซึ่งผู้ให้บริการควรรักษาความปลอดภัยของข้อมูลเพื่อป้องกันการลักลอบเข้าถึงข้อมูล หลักการเปิดเผย (Openness Principle) ควรประกาศนโยบายเกี่ยวกับการดำเนินการต่อข้อมูลส่วนบุคคลให้ทราบโดยทั่วไป หลักการมีส่วนร่วมของเจ้าของข้อมูล (Individual Participation Principle) และหลักความรับผิดชอบ (Accountability Principle) ที่ผู้ควบคุมข้อมูลต้องมีหน้าที่ปฏิบัติตามหลักการนี้

ปลอดภัยจากการถูกดักข้อมูลและถูกแก้ไขข้อมูลระหว่างทางหรือไม่

จากการตรวจสอบตัวชี้วัดระบบการเข้ารหัสของเว็บไซต์ในหน้าลงชื่อเข้าใช้งาน ซึ่งได้แก่ เว็บไซต์มีการเชื่อมต่อด้วย HTTPS หรือไม่ ใช้โปรโตคอลมาตรฐานความปลอดภัย TLS รุ่น 1.2 หรือไม่ และกุญแจเข้ารหัสมีความยาว 256 บิต (SHA-2) หรือไม่ มาตรฐานเหล่านี้เป็นความปลอดภัยพื้นฐานที่ผู้ให้บริการควรมี

เว็บไซต์สายการบินแอร์เอเชียและการบินไทยได้คะแนนในส่วนของการเข้ารหัสการเชื่อมต่อหน้าเว็บไซต์มากที่สุด โดยมีการเข้ารหัสหน้าเว็บไซต์ HTTPS การใช้มาตรฐานเข้ารหัสความปลอดภัยรุ่นใหม่ล่าสุด และมีความยาวของกุญแจเข้ารหัส 256 บิต กลุ่มที่ได้คะแนนรองลงมา คือ กลุ่มธนาคาร และซื้อขายสินค้าออนไลน์ ที่ใช้การเข้ารหัส TLS 1.2 โดยเห็นได้ว่าผู้ให้บริการค้าปลีกออนไลน์ที่เป็นบริษัทข้ามชาติ ให้ความสำคัญกับการเข้ารหัสที่ปลอดภัยมากกว่าผู้ให้บริการภายในประเทศ

อย่างไรก็ดี ไม่มีเว็บไซต์ใดที่เข้ารหัสในหน้าเนื้อหาทั่วไปที่ไม่ใช่การลงชื่อเข้าใช้งาน ทั้งนี้การเข้ารหัสการใช้งานหน้าเว็บจะยืนยันได้ว่าเป็นเว็บไซต์ปลายทางที่ผู้ใช้บริการต้องการอย่างแท้จริง

โดยส่วนใหญ่ในการติดต่อสื่อสารบนอินเทอร์เน็ตนั้นจะใช้วิธีการส่งข้อมูลที่เรียกว่า HTTP ซึ่งการส่งด้วยวิธีนี้ข้อมูลจะไม่ถูกเข้ารหัส ซึ่งหมายความว่า ถ้ามีคนมาดักรับข้อมูลของเรา เขาก็สามารถรู้ได้ว่าเราพูดอะไรบ้าง เช่น รู้รหัสผ่านของเรา รู้รหัสบัตรเครดิตของเรา มีวิธีส่งข้อมูลอีกแบบที่ปลอดภัยกว่า คือ HTTPS (S มาจากคำว่า secure) ซึ่งจะเข้ารหัสคำพูดของเรา ทำให้แม้ถูกดักฟัง คนอื่นก็ไม่รู้ว่าเราพูดอะไร

เจ้าของเว็บไซต์หรือผู้ดูแลระบบควรพิจารณาติดตั้ง HTTPS และลงทะเบียนรับใบรับรอง SSL เพื่อเพิ่มความมั่นใจให้กับผู้เข้าชมเว็บ การติดตั้งใบรับรองความปลอดภัยที่ออกโดยผู้ได้รับอนุญาตเป็นการยืนยันตัวตนเจ้าของเว็บไซต์ และยืนยันว่าการเข้ารหัสการเชื่อมต่อของเว็บไซต์สมบูรณ์

ส่วนมาตรฐานความปลอดภัย TLS (Transport Layer Security) รุ่น 1.2 เป็นมาตรฐานเข้ารหัสความปลอดภัยรุ่นล่าสุด ที่สามารถป้องกันรูรั่วของระบบเมื่อถูกโจมตีได้ระดับหนึ่ง

รหัสผ่านแข็งแรงแค่ไหน

ธนาคารกำหนดเงื่อนไขรหัสผ่านเข้มงวดที่สุด

การเข้าใช้บริการเว็บไซต์ที่ต้องระบุชื่อผู้ใช้และรหัสผ่านจำเป็นต้องมีระบบการกำหนดรหัสผ่านที่แข็งแรง เนื่องจากเป็นประตูด่านแรกก่อนเข้าสู่ข้อมูลส่วนตัวเพื่อใช้บริการต่างๆ การตั้งรหัสผ่านเป็นการรักษาความปลอดภัยขั้นพื้นฐาน โดยปกติแล้วนักเจาะระบบคอมพิวเตอร์สามารถเดารหัสผ่านจำนวนมากได้ในระยะเวลาอันสั้น การตั้งรหัสผ่านให้มีความทนทานต่อการคาดเดาจึงเป็นเรื่องสำคัญ การกำหนดเงื่อนไขของรหัสผ่านจากผู้ให้บริการมีความสำคัญต่อความทนทานนี้ นอกจากนี้สิ่งที่ควรพิจารณาคือระบบการจัดเก็บรหัสผ่านว่ามีการเข้ารหัสหรือไม่ เพื่อป้องกันกรณีรหัสผ่านรั่วไหลจากเซิร์ฟเวอร์ที่เก็บรหัสผ่าน

ขั้นตอนการตรวจสอบความแข็งแรงของรหัสผ่านวัดจากการกำหนดเงื่อนไขของการรหัสผ่านทั้งความยาวและอักขระ และการเก็บรหัสผ่าน จากผลการศึกษาพบว่า เว็บไซต์ที่กำหนดความยาวรหัสผ่านยาวที่สุด คือ กลุ่มธนาคารที่กำหนดความยาวขั้นต่ำ 8 ตัวอักษร ขณะที่เว็บซื้อขายสินค้าออนไลน์ที่เป็นบริษัทข้ามชาติกำหนดรหัสผ่านขั้นต่ำ 6 ตัวอักษร สำหรับหน่วยงานรัฐได้แก่กรมสรรพากร และกรมขนส่งทางบกได้กำหนดความยาวของรหัสผ่าน 8 และ 6 ตัวอักษรขึ้นไปตามลำดับ

อย่างไรก็ตามทั้งสองหน่วยงานใช้เลขประจำตัวประชาชนเป็นชื่อผู้ใช้ และไม่ได้บังคับการใช้อักขระ บางเว็บไซต์กำหนดความยาวรหัสผ่านขั้นต่ำเพียง 4 ตัวอักษรเท่านั้นได้แก่ สำนักงานประกันสังคม เว็บค้าปลีกไทย

เมื่อพิจารณาการเก็บรหัสผ่านจากขั้นตอนการขอรหัสผ่านใหม่ มีทั้งการให้ตอบคำถามที่ผู้ใช้เคยตั้งไว้ หากตอบถูกระบบจะมอบรหัสผ่านให้ทางหน้าเว็บซึ่งผู้ใช้จะเปลี่ยนหรือไม่ก็ได้ เว็บกรมสรรพากรและกรมขนส่งทางบกใช้วิธีนี้ ขณะที่สำนักงานประกันสังคมให้ผู้ใช้กรอกเลขประจำตัวประชาชนและอีเมล จากนั้นส่งรหัสผ่านใหม่ทางอีเมล ส่วนเว็บไซต์ธนาคารมีระบบการรับรหัสผ่านใหม่ด้วยการติดต่อเจ้าหน้าที่ธนาคารซึ่งจะสอบถามข้อมูลส่วนตัวเบื้องต้น เช่น เลขประจำตัวประชาชน วันเกิด เป็นต้น หรือการเปลี่ยนรหัสผ่านจากตู้เอทีเอ็ม และอีกวิธีหนึ่งคือ การส่งลิงก์มาทางอีเมลเพื่อเข้าสู่การตั้งรหัสผ่าน เว็บไซต์ที่ใช้วิธีการนี้คือ เว็บซื้อชายสินค้าออนไลน์ นอกจากนี้ยังพบว่ามีเว็บไซต์ที่ส่งรหัสผ่านแบบไม่เข้ารหัสมาทางอีเมล คือ เว็บไซต์ของมหาวิทยาลัยมหิดล

รับมือกับช่องโหว่ความปลอดภัยใหม่ๆ ได้มากเพียงใด

ใบรับรองความปลอดภัยเว็บไทยส่วนใหญ่ตกรุ่น

เนื่องจากการโจมตีความปลอดภัยบนเครือข่ายอินเทอร์เน็ตมีโอกาสจะเกิดขึ้นได้ตลอดเวลา ผู้ให้บริการจึงต้องเตรียมพร้อมเพื่อรับมือกับการคุกคามที่นับวันจะมีมากขึ้นเรื่อยๆ ได้ ในการพิจารณาว่าการเข้ารหัสของเว็บไซต์สามารถรับมือกับการถูกโจมตีที่เกิดขึ้นล่าสุดได้ทันท่วงทีหรือไม่ การศึกษานี้จะพิจารณาว่าเว็บไซต์สามารถป้องกันการโจมตีซึ่งมาจากช่องโหว่ที่ชื่อว่า POODLE หรือไม่ รวมทั้งตรวจสอบว่าใช้ใบรับรองดิจิทัล SHA-2 ซึ่งใบรับรองที่เว็บไซต์ในปัจจุบันควรจะมีหรือไม่

จากการตรวจสอบด้วยเว็บไซต์ Qualy SSL labs ซึ่งใช้ประเมินความปลอดภัยของการเข้ารหัสของเว็บไซต์ต่างๆ พบว่า เว็บไซต์ธนาคารมีเพียงธนาคารทหารไทยและธนาคารธนชาตเท่านั้นที่สามารถแก้ปัญหาช่องโหว่ POODLE ได้ ขณะที่เว็บไซต์ธนาคารเกือบทั้งหมดยังคงเปิดใช้งาน SSL 3.0 ซึ่งถือเป็นจุดอ่อนของระบบอยู่ ส่วนผู้ให้บริการอื่นๆ มีเพียงเว็บไซต์สายการบินแอร์เอเชีย การบินไทย Lazada และ Jobbkk เท่านั้นที่รับมือกับปัญหานี้ได้

ส่วนใบรับรองดิจิทัล SHA-2 มีเพียงธนาคารกสิกรไทยเท่านั้นจากธนาคารทั้งหมดที่มีใบรับรองนี้ ส่วนเว็บไซต์มหาวิทยาลัยที่มีใบรับรองนี้มีสองมหาวิทยาลัย ซึ่งทั้งสองแห่งเป็นยังเป็เพียงสองมหาวิทยาลัยจากที่ได้สำรวจทั้งหมดที่มีการเชื่อมต่อแบบเข้ารหัส

มีกระบวนการเก็บรวบรวม ประมวล แลกเปลี่ยนและเข้าถึงข้อมูลอย่างไร

แอร์เอเชียครองแชมป์นโยบายข้อมูลยอดเยี่ยม

วัตถุประสงค์ของการพิจารณานโยบายด้านข้อมูลของเว็บไซต์ต่างๆ คือ เพื่อประเมินว่าผู้ให้บริการดูแลข้อมูลส่วนตัวของผู้ใช้บริการอย่างไร ในเบื้องต้นพิจารณาว่าผู้ให้บริการแจ้งให้ผู้ใช้ทราบถึงแนวทางการบริหารจัดการข้อมูลที่ได้รับหรือไม่ และเว็บไซต์ธนาคารและเว็บซื้อขายสินค้าออนไลน์แสดงนโยบายความเป็นส่วนตัวชัดเจน ขณะที่เว็บไซต์มหาวิทยาลัยทั้งหมดไม่แจ้งข้อกำหนดและเงื่อนไขในการเก็บข้อมูลส่วนตัว ทั้งๆ ที่เป็นพื้นที่ซึ่งเก็บข้อมูลส่วนบุคคลไว้มากที่สุดแห่งหนึ่ง
เว็บไซต์ที่แจ้งวัตถุประสงค์ของการเก็บข้อมูลได้ละเอียดชัดเจน มีเพียง เว็บไซต์สายการบินแอร์เอเชียเพียงเว็บไซต์เดียว โดยมีการระบุว่านำข้อมูลต่างๆ ที่ได้จากลูกค้าไปใช้ด้วยเหตุผลที่มีลักษณะเฉพาะเจาะจง ซึ่งต่างจากหลายเว็บไซต์ที่กล่าวอย่างกว้างๆ เท่านั้นเช่น เว็บไซต์ธนาคารไทยพาณิชย์แจ้งว่า “เก็บข้อมูลเพื่อเหตุผลทางธุรกิจบางประการเท่านั้น”

มี 2 เว็บไซต์จาก 45 เว็บไซต์ที่แจ้งให้ผู้ใช้ทราบอย่างละเอียดว่าเก็บข้อมูลอะไรบ้างอย่างเฉพาะเจาะจง คือ สายการบินแอร์เอเชีย และเว็บไซต์ Lazada

สำหรับการส่งต่อข้อมูลให้กับบุคคลที่สาม มีเพียงสายการบินแอร์เอเชียเท่านั้นที่อธิบายอย่างละเอียดว่า ข้อมูลประเภทใดจะถูกส่งต่อเพื่อวัตถุประสงค์ใด ส่วนใหญ่บริการเกือบทั้งหมดอธิบายกว้างๆ ว่าจะถูกใช้เพื่อประโยชน์หรืออำนวยความสะดวกแก่ลูกค้าให้ได้รับบริการที่ดีขึ้นเท่านั้น

นอกจากนี้เป็นที่น่าสังเกตว่า ผู้ให้บริการหลายรายระบุว่า ข้อมูลที่กรอกไว้ในเว็บไซต์เป็นกรรมสิทธิ์ของบริษัท

ข้อสังเกต

จากการประเมินมาตรการคุ้มครองความปลอดภัยและความเป็นส่วนตัวของผู้ให้บริการออนไลน์ไทย พบข้อสังเกตที่น่าสนใจหลายประการ ดังนี้

1. มีเพียงร้อยละ 31 ของเว็บไซต์กลุ่มตัวอย่างที่ได้คะแนนเกินครึ่ง (13 เว็บไซต์จากทั้งหมด 45 เว็บไซต์) เว็บไซต์ที่ได้คะแนนมากที่สุดคือ เว็บไซต์แอร์เอเชีย ส่วนเว็บไซต์ธนาคารจัดอยู่ในกลุ่มเว็บไซต์ที่ได้คะแนนสูง เมื่อเทียบกับบริการออนไลน์ประเภทอื่นๆ ส่วนหน่วยงานรัฐและมหาวิทยาลัยอยู่ในกลุ่มคะแนนต่ำที่สุดเมื่อเปรียบเทียบกับบริการประเภทอื่นๆ

เว็บไซต์สายการบินให้ความสำคัญกับนโยบายด้านข้อมูลมากที่สุด เหตุผลที่ทำให้เป็นเช่นนี้เนื่องจากเป็นธุรกิจที่ดำเนินการระหว่างประเทศ ซึ่งแม้ในประเทศไทยจะยังไม่มีกฎหมายกลางด้านการคุ้มครองข้อมูลส่วนบุคคล แต่ธุรกิจสายการบินจำเป็นต้องปฏิบัติตามกฎหมายด้านการคุ้มครองส่วนบุคคลของประเทศอื่นๆ จึงทำให้ต้องมีมาตรการที่ครอบคลุมความปลอดภัยและความเป็นส่วนตัวของข้อมูลไปด้วย ตัวอย่างที่เห็นได้ชัดเจนคือ สายการบินแอร์เอเชียที่บริษัทแม่อยู่ที่ประเทศมาเลเซีย ซึ่งมีคะแนนด้านการคุ้มครองทางเทคนิคสูงที่สุด และเป็นบริการเดียวที่แจ้งว่าจะปฏิบัติต่อข้อมูลส่วนตัวอย่างไร หากมีการซื้อขายกิจการตัวอย่างการแจ้งให้ผู้ใช้บริการทราบถึงการเก็บรวบรวมข้อมูลของแอร์เอเชีย

AirAsia - Privacy policy 2014-12-08 17-52-12

ตัวอย่างนโยบายการใช้ข้อมูลของแอร์เอเชีย

2. หน่วยงานรัฐและมหาวิทยาลัยให้ความสำคัญกับการปกป้องความปลอดภัยด้านเทคนิคมากกว่าการคุ้มครองข้อมูลส่วนตัวของผู้ใช้บริการ ดังเห็นได้จากระดับคะแนนด้านนโยบายข้อมูลซึ่งเกือบทั้งหมดได้ 0 คะแนน ซึ่งมาจากการที่ไม่มีนโยบายความเป็นส่วนตัวเลย

3. เว็บไซต์จำนวนหนึ่งแม้จะมีลิงก์แสดงนโยบายข้อมูลส่วนบุคคลก็ตาม แต่เมื่อคลิกเข้าไปแล้วปรากฏว่าไม่มีหน้านโยบายความเป็นส่วนตัว หรือบางเว็บไซต์มีแต่เป็นภาษาอังกฤษ ขณะที่ทุกเว็บไซต์มีการเก็บ “คุกกี้” หรือข้อมูลการเข้าชมเว็บไซต์ มีบางเว็บไซต์เท่านั้นที่แจ้งให้ทราบอย่างละเอียดว่าเก็บข้อมูลอะไรบ้าง ตัวอย่างเช่นเว็บไซต์ Zalora

zalora

ตัวอย่างการแจ้งรายละเอียดข้อมูลคอมพิวเตอร์ที่เว็บไซต์ Zalora จัดเก็บ
(http://www.zalora.co.th/privacy-policy)

4. บางเว็บไซต์ได้ระบุอย่างกว้างว่าจะจัดเก็บข้อมูลส่วนบุคคลที่ผู้ใช้บริการมอบให้อย่างปลอดภัย โดยไม่ชี้แจงรายละเอียดว่ามีวิธีจัดเก็บอย่างไร อีกทั้งยังอ้างความเป็นเจ้าของข้อมูลด้วย ตัวอย่างเช่น เว็บไซต์ตลาดดอทคอม

tarad

ตัวอย่างผู้ให้บริการที่อ้างว่าข้อมูลของผู้ใช้บริการเป็นกรรมสิทธิ์ของบริษัท
(http://www.tarad.com/faq/term_condition)

5. การนำข้อมูลไปใช้ของผู้ให้บริการบางรายไม่มีระยะเวลาสิ้นสุด แม้การใช้บริการจะสิ้นสุดแล้วก็ตาม เมื่อยอมรับข้อตกลงแล้วผู้ให้บริการถือว่าความยินยอมนี้มีผลผูกพันอยู่ตลอดไป ตัวอย่างเช่น ธนาคารธนชาต

tanachart

ตัวอย่างการระบุไว้ในนโยบายข้อมูลส่วนบุคคลเกี่ยวกับการเปิดเผยข้อมูล แม้จะผู้ใช้จะเลิกใช้บริการแล้วก็ตาม
(http://www.thanachartbank.co.th/TbankCMSFrontend/SecurityTH.aspx)

6. ในข้อตกลงการให้บริการหรือนโยบายความเป็นส่วนตัวของบางเว็บไซต์ได้ระบุว่า ไม่รับรองความปลอดภัยของข้อมูลส่วนบุคคล เมื่อเกิดความบกพร่องทางเทคนิค เว็บไซต์จะปฏิเสธความรับผิดทั้งหมด ตัวอย่างเช่น เว็บไซต์ตลาดงาน ของกรมจัดหางาน

job-go-th

ตัวอย่างการระบุเงื่อนไขการรับผิดไว้ล่วงหน้าของผู้ให้บริการ
(http://job.doe.go.th/screen/register_rule.php)

บทสรุป

การปกป้องความปลอดภัยและความเป็นส่วนตัวของผู้ใช้อินเทอร์เน็ตสามารถทำได้หลายวิธี ตั้งแต่ระดับปัจเจกบุคคล ไปจนถึงระดับรัฐ ในโลกยุคดิจิทัลนี้ ผู้ให้บริการออนไลน์เป็นผู้พิทักษ์ และผู้สัมผัสข้อมูลส่วนตัวของเราอย่างใกล้ชิดมากที่สุด ตั้งแต่เนื้อหาในอีเมล ข้อมูลตำแหน่งที่อยู่ ไปจนถึงความสัมพันธ์ทางสังคมของเรา และครอบครัวของเรา วิธีที่ผู้ให้บริการเหล่านี้ปฺฏิบัติและนโยบายข้อมูลส่วนบุคคลที่มีนั้นสามารถกำหนดได้ว่าผู้ใช้อินเทอร์เน็ตแต่ละคนจะสื่อสารอย่างปลอดภัยหรือไม่ รวมถึงมีสิทธิเสรีภาพในการสื่อสารโดยปราศจากการสอดแนมจากรัฐได้อีกด้วย ผู้ให้บริการออนไลน์จึงควรตระหนักถึงความสำคัญของตนเองในฐานะผู้ปกป้องข้อมูลส่วนตัวของผู้ใช้อินเทอร์เน็ต

ในภาพรวมผู้ให้บริการออนไลน์ให้ความสำคัญกับความปลอดภัยทางเทคนิคค่อนข้างมาก มีความพยายามใช้การเข้ารหัสการเชื่อมต่อ อย่างไรก็ตามเนื่องจากความน่าเชื่อถือและความปลอดภัยยังขึ้นอยู่กับรายละเอียดของใบรับรองความปลอดภัย และระดับความยากง่ายของการเข้ารหัสอีกด้วย ผู้ให้บริการจึงควรปรับปรุงระบบความปลอดภัยและการเข้ารหัสการเชื่อมต่อให้ใหม่ล่าสุดอยู่เสมอ เพื่อให้สามารถรับมือกับการคุกคามทางอินเทอร์เน็ตได้

ขณะที่การแจ้งให้ผู้ใช้บริการทราบว่า ข้อมูลของตนเองจะถูกดำเนินการอย่างไรจากผู้ให้บริการได้รับความสนใจน้อยกว่า ผู้ให้บริการโดยส่วนใหญ่มักไม่ระบุรายละเอียดให้ชัดเจนเกี่ยวกับการจัดเก็บข้อมูล ตั้งแต่วัตถุประสงค์ ข้อมูลที่จัดเก็บ การส่งต่อให้กับบุคคลที่ 3 ระยะเวลา การจัดการกับข้อมูลเมื่อมีการโอนย้ายกิจการ แต่ใช้คำพูดแบบกว้างๆ โดยให้ผู้ใช้บริการเชื่อมั่นว่าบริษัทมีความพยายามคุ้มครองข้อมูลของลูกค้า นอกจากนี้ผู้ให้บริการจำนวนหนึ่งยังใช้วิธีแจ้งให้ทราบในขั้นตอนยินยอมเงื่อนไขการให้บริการว่า ผู้ให้บริการจะไม่รับผิดชอบในกรณีที่เกิดการรั่วไหลของข้อมูลขึ้น

รายชื่อและที่อยู่เว็บไซต์ที่ใช้ในงานวิจัย

ลำดับ หน่วยงาน URL
1 กรมสรรพากร https://epit.rd.go.th/EFILING/jsp/register/FrmPit_EntryLogin.jsp?loginType=P&Formcode=P9091&lang=T
2 กรมขนส่งทางบก https://www.dlte-serv.in.th/dltWeb/
3 สำนักงานประกันสังคม http://www.sso.go.th/wpr/memberAction.do?method=register&webId=0
4 กองทุนเงินให้กู้ยืมเพื่อการศึกษา https://www2.studentloan.or.th/SLFSTUDENT/html/index.html
5 ระบบคุ้มครองผู้บริโภคแบบเบ็ดเสร็จ http://complain.ocpb.go.th/
6 ธนาคารกรุงไทย https://www.ktbnetbank.com/consumer/
7 ธนาคารกสิกรไทย https://online.kasikornbankgroup.com/K-Online/login.jsp?lang=th
8 ธนาคารไทยพาณิชย์ https://www.scbeasy.com/v1.4/site/presignon/index.asp
9 ธนาคารกรุุงเทพ https://ibanking.bangkokbank.com/SignOn.aspx
10 ธนาคารทหารไทย https://www.tmbdirect.com/tmb/kdw#_frmIBPreLogin
11 ธนาคารออมสิน https://ib.gsb.or.th/retail/security/commonLogin.jsp
12 ธนาคารกรุงศรีอยุธยา https://www.krungsrionline.com/cgi-bin/bvisapi.dll/krungsri_ib/login/login.jsp
13 ธนาคารธนชาต https://retailib.thanachartbank.co.th/retail/Login.do?action=form&lang=th_TH
14 การบินไทย https://wftc3.e-travel.com/plnext/tgpnext/Override.action
15 บางกอกแอร์เวย์ https://pg-prod.sabresonicweb.com/SSW2010/PGPG/webqtrip.html?execution=e2s1
16 แอร์เอเชีย https://booking.airasia.com/Traveler.aspx
17 นกแอร์ https://www.nokair.com/nokconnext/aspx/Payment.aspx
18 Thairoute http://www.thairoute.com/homepage/?viewcontent=bookandpay
19 Bus Ticket http://www.busticket.in.th/signup.php
20 จุฬาลงกรณ์มหาวิทยาลัย https://www.reg.chula.ac.th/cu/reg/logon/logonframe.html
21 ธรรมศาสตร์ https://web.reg.tu.ac.th/registrar/login.asp
22 มหิดล http://www.student.mahidol.ac.th/Systems/Authen/StudentLogin.asp
23 อัสสัมชัญ http://home.au.edu/login/index.php
24 หอการค้าไทย http://202.28.9.143/registrar/applogin.asp?avs201441403=2
25 เกษตรศาสตร์ https://webregis.ku.ac.th/
26 พระจอมเกล้าธนบุรี https://sinfo.kmutt.ac.th
27 วลัยลักษณ์ http://202.28.69.99/registrar/login.asp
28 สงขลานครินทร์ https://sis-hatyai27.psu.ac.th/WebRegist2005/Login.aspx
29 Weloveshopping https://account.weloveshopping.com/signup/user?_ga=1.75644369.535197209.1412849770
30 Tarad.com https://member.tarad.com/register/?l-id=th_pc_top_header_nav_register
31 Pramool.com http://pramool.com/members.html
32 OLX http://www.olx.co.th/member/signup
33 Lazada https://www.lazada.co.th/customer/account/create/
34 Zalora https://www.zalora.co.th/customer/account/create/
35 Digital2home http://www.digital2home.com/registration.php
36 Tohome https://www.tohome.com/register.aspx
37 Central https://www.central.co.th/account/signup.aspx
38 Officemate https://www.officemate.co.th/account/register
39 TOPS http://www.tops.co.th/topsshoponline/Member/Register.aspx
40 Tesco Lotus https://r.tescolotus.com/th-TH/?returnUrl=http%3a%2f%2fshoponline.tescolotus.com%2fth-TH%2fLogin%2fValidateCustomer%3freturnUrl%3dhttp%253a%252f%252fshoponline.tescolotus.com%252fth-TH%252f
41 Big C http://shoppingonline.bigc.co.th/customer/account/create/?type=personal
42 Jobthai http://www.jobthai.com/storeresume/resume_register.php
43 Jobtopgun http://register.superresume.com/SRIX?view=register&locale=th_TH&idLanguage=38
44 Jobbkk https://www.jobbkk.com/register/resume
45 กรมจัดหางาน http://job.doe.go.th/

ดาวน์โหลดรายงานฉบับเต็ม [PDF]

สนับสนุนโครงการวิจัยโดย ไพรเวซีอินเทอร์เนชันแนล ภายใต้ชุดโครงการ Surveillance and Freedom: Global Understandings and Rights Development (SAFEGUARD)

เผยแพร่ภายใต้ สัญญาอนุญาตครีเอทีฟคอมมอนส์แบบแสดงที่มา-อนุญาตแบบเดียวกัน 3.0 ประเทศไทย (Creative Commons Attribution-ShareAlike 3.0 Thailand license) สามารถนำไปใช้ ดัดแปลงแก้ไข และเผยแพร่ต่อได้ทันที โดยไม่ต้องขออนุญาต

%d bloggers like this: