บริการออนไลน์ไทย ปลอดภัยแค่ไหน?:

ผลสำรวจมาตรการรักษาความปลอดภัยและคุ้มครองความเป็นส่วนตัวของเว็บไซต์ไทย ครั้งที่ 1

เมษายน 2557

โครงการวิจัยความเป็นส่วนตัวออนไลน์ เครือข่ายพลเมืองเน็ต ทดลองสำรวจมาตรการรักษาความปลอดภัยและการคุ้มครองความเป็นส่วนตัวผู้ให้บริการออนไลน์ต่างๆ ของประเทศไทย ในระดับ ‘เบื้องต้น’ ครั้งที่ 1 เพื่อเป็นข้อมูลแก่ผู้ใช้ทั่วไปในการตัดสินใจใช้บริการต่างๆ และเพื่อกระตุ้นผู้ให้บริการออนไลน์ให้ตระหนักถึงความสำคัญของการปกป้องความปลอดภัยและความเป็นส่วนตัวของผู้ใช้บริการมากขึ้น

การสำรวจครั้งนี้มุ่งไปที่ผู้ให้บริการสำคัญในด้านต่างๆ จำนวน 50 เว็บไซต์ ซึ่งคัดเลือกจากผู้ให้บริการออนไลน์ที่ได้รับความนิยมในประเภทต่างๆ ได้แก่หน่วยงานรัฐ การเงินธนาคาร การศึกษา การคมนาคมขนส่ง ซื้อขายสินค้า และบริการรับสมัครงาน แล้วจึงประเมินว่าบริการเหล่านี้มีความปลอดภัยและคุ้มครองความเป็นส่วนตัวของผู้ใช้ในระดับใด โดยเก็บบันทึกข้อมูลระหว่างเดือนตุลาคม 2556-มกราคม 2557

https

เกณฑ์ที่ใช้ในการประเมิน

การสำรวจนี้เป็นการประเมินระดับความปลอดภัยของเว็บไซต์ขั้นพื้นฐานที่สุด และผู้ใช้อินเทอร์เน็ตทั่วไปสามารถตรวจสอบได้ด้วยตนเอง อย่างไรก็ตาม ผลวิจัยที่ได้ไม่สามารถยืนยันได้ว่าเว็บไซต์เหล่านี้ปลอดภัยอย่างสมบูรณ์ เนื่องจากยังมีปัจจัยอื่นๆ ที่เกี่ยวข้อง และการตรวจสอบระบบความปลอดภัยในขั้นสูงไม่สามารถกระทำได้จากบุคคลภายนอกระบบ

ผลสำรวจครั้งต่อไปซึ่งจะมีการเพิ่มตัวชี้วัดที่ในการประเมินเพิ่มมากขึ้น เช่น นโยบายการตั้งรหัสผ่าน นโยบายกู้คืนบัญชีผู้ใช้ การผูกกับเว็บภายนอก เป็นต้น

ในเบื้องต้นโครงการวิจัยความเป็นส่วนตัวฯ สำรวจด้วยการพิจารณาว่า

  1. มีการเชื่อมต่อแบบ HTTP Secure (HTTPS) หรือไม่ ซึ่งจะแสดงให้เห็นว่ามีการเข้ารหัสข้อมูลที่ส่งระหว่างเว็บเซิร์ฟเวอร์และเว็บเบราว์เซอร์ (ต้นทางถึงปลายทาง) หรือไม่ และพิจารณาว่าการเข้ารหัสนี้มีความปลอดภัยอยู่ในระดับใดจากการตรวจสอบรุ่นของเทคโนโลยีเข้ารหัสที่เรียกว่า SSL (Secure Sockets Layer) หรือ Transport Layer Security (TLS) ว่าเป็นรุ่น SSL 3.0 หรือ TLS 1.0 ขึ้นไปหรือไม่ (SSL เริ่มพัฒนาจากรุ่น 1.0, 2.0 จนถึง 3.0 และเปลี่ยนเป็น TLS 1.0, 1.1 รุ่นล่าสุดคือ TLS 1.2)
  2. กุญแจการเข้ารหัสมีความยาว 256 บิตหรือไม่ ความยาวของกุญแจเข้ารหัสมีหน่วยเป็นบิต ยิ่งกุญแจมีความยาวมาก โอกาสที่ผู้บุกรุกจะคาดเดากุญแจที่ถูกต้องก็ยิ่งยากขึ้นตามไปด้วย ความยาวของกุญแจที่เป็นมาตรฐานของอุตสาหกรรมธนาคารในขณะนี้คือ 256 บิต ในขณะที่เว็บไซต์บางแห่งยังใช้ความยาวกุญแจ 128 บิต หรือ 64 บิต อยู่
  3. แสดงนโยบายความเป็นส่วนตัวชัดเจนหรือไม่ พิจารณาว่า เว็บไซต์มีนโยบายความเป็นส่วนตัวหรือไม่ และแสดงไว้อย่างชัดเจนหรือไม่ โดยดูจากการใช้คำและตำแหน่งที่ถูกจัดวางในเว็บไซต์ว่าสามารถเข้าถึงได้อย่างไร

วิธีตรวจสอบการเข้ารหัสของเว็บไซต์

  1. ตรวจสอบว่าการเชื่อมต่อกับเว็บไซต์นั้นมีการเข้ารหัส HTTPS หรือไม่ ผ่านข้อมูลที่ระบุในเบราว์เซอร์ และตรวจสอบว่าการเข้ารหัสเป็น SSL/TLS รุ่นใด ด้วยการทดสอบผ่านเว็บไซต์ SSL Server Test (https://www.ssllabs.com/ssltest) ซึ่งเป็นบริการวิเคราะห์โครงสร้างของเว็บที่เข้ารหัส SSL/TLS ทุกประเภทบนอินเทอร์เน็ต และเป็นโครงการวิจัยที่ไม่แสวงหาผลประโยชน์ทางการค้า
  2. ตรวจสอบความยาวของกุญแจเข้ารหัสว่าเป็น 256 บิต หรือไม่ ผ่านข้อมูลที่ระบุในเบราว์เซอร์

ตารางเปรียบเทียบ สรุปผลการประเมินความปลอดภัยพื้นฐานของเว็บไซต์

  • เว็บที่มีการเข้ารหัสด้วย HTTPS และ SSL รุ่น 3.0 หรือ TLS 1.0 หรือสูงกว่า ได้ 1 คะแนน; เว็บที่มีการเข้ารหัสด้วย HTTPS และ SSL ต่ำกว่า 3.0 ได้ 0.5 คะแนน
  • เว็บที่มีความยาวกุญแจเข้ารหัส 256 บิต ได้ 1 คะแนน; 128 บิต ได้ 0.5 คะแนน
  • เว็บที่แสดงนโยบายความเป็นส่วนตัวชัดเจน ได้ 1 คะแนน; มีแต่ไม่ชัดเจน ได้ 0.5 คะแนน

1. หน่วยงานรัฐ

บริการออนไลน์ที่เป็นหน่วยงานของรัฐส่วนใหญ่ เป็นการชำระภาษีและค่าธรรมเนียมต่างๆ รวมทั้งการรับเรื่องร้องเรียนจากประชาชน ได้แก่ กรมสรรพากรซึ่งรับยื่นภาษี กรมขนส่งทางบกซึ่งรับชำระภาษีรถยนต์ การไฟฟ้านครหลวงซึ่งรับจ่ายค่าบริการ สำนักงานประกันสังคมและกองทุนให้กู้ยืมเงินเพื่อการศึกษาใช้ตรวจสอบข้อมูลส่วนตัวของสมาชิก ส่วนศูนย์รับเรื่องราวร้องทุกข์ สำนักนายกรัฐมนตรี และระบบคุ้มครองผู้บริโภคฯ เป็นเว็บไซต์รับเรื่องร้องเรียน

privacy-indicator-001-government
หมายเหตุ: ตรวจสอบการเข้ารหัสจากหน้าลงทะเบียนของเว็บ

  • ครึ่งหนึ่งของเว็บไซต์ภาครัฐที่สำรวจมีการเชื่อมต่อแบบ HTTPS ยกเว้นเว็บที่อยู่ในกลุ่มรับร้องเรียนทั้งหมดที่ไม่ได้เข้ารหัสข้อมูลที่ส่งระหว่างเว็บบราวเซอร์และเว็บเซิร์ฟเวอร์ ทั้งที่ผู้ร้องเรียนต้องกรอกข้อมูลส่วนตัวที่สามารถระบุตัวตนของตนเองลงไป
  • เว็บไซต์กรมสรรพากรที่รับยื่นภาษี ยังมีการเข้ารหัส SSL รุ่น 2.0 ซึ่งมีความปลอดภัยต่ำ ที่ไม่สามารถป้องกันการดักข้อมูลระหว่างทางได้
  • 5 เว็บไซต์จาก 8 เว็บไซต์ที่ไม่มีนโยบายความเป็นส่วนตัว หรือคุ้มครองข้อมูลส่วนบุคคลของผู้ใช้บริการ
  • การกำกับดูแลเว็บไซต์ของหน่วยงานรัฐเกี่ยวข้องกับพระราชบัญญัติข้อมูลข่าวสารของทางราชการ พ.ศ. 2540 มาตรา 23 ที่กำหนดให้ หน่วยงานของรัฐต้องปฏิบัติเกี่ยวกับการจัดระบบข้อมูลข่าวสารส่วนบุคคล รวมทั้งจัดระบบรักษาความปลอดภัยให้แก่ระบบข้อมูลข่าวสารส่วนบุคคล ตามความเหมาะสม เพื่อป้องกันมิให้มีการนำไปใช้โดยไม่เหมาะสมหรือเป็นผลร้ายต่อเจ้าของข้อมูลด้วย นอกจากนี้ยังมีพระราชกฤษฎีกากําหนดหลักเกณฑ์และวิธีการในการทําธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐ พ.ศ.2549 มาตรา 5 ที่กำหนดว่า หน่วยงานของรัฐต้องจัดทําแนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ เพื่อให้การดําเนินการใด ๆ ด้วยวิธีการทางอิเล็กทรอนิกส์กับหน่วยงานของรัฐหรือโดยหน่วยงานของรัฐมีความมั่นคงปลอดภัยและเชื่อถือได้

2. ธนาคาร

บริการออนไลน์ของธนาคารเป็นการทำธุรกรรมทางเงินด้วยระบบออนไลน์ทั้งหมด ได้แก่ การฝาก-ถอน การชำระค่าบริการต่างๆ เพื่อให้ลูกค้าได้ทำธุรกรรมด้วยตนเองได้สะดวกสบาย โดยไม่จำเป็นต้องเดินทางไปที่ธนาคาร จากข้อมูลของธนาคารแห่งประเทศไทยในปี พ.ศ. 2556 มีจำนวนบัญชีที่ทำธุรกรรมทางอินเทอร์เน็ตราว 7 ล้านบัญชี ซึ่งเพิ่มขึ้นจากปี 2556 1 ล้านบัญชี (ธนาคารแห่งประเทศไทย 2556)

privacy-indicator-002-bank
หมายเหตุ: ตรวจสอบการเข้ารหัสจากหน้าลงทะเบียนของเว็บ

  • ทุกธนาคารมีการเข้ารหัสด้วย HTTPS ใช้ SSL รุ่น 3.0 ชทั้งหมด และใช้กุญแจเข้ารหัสความยาว 128 บิต ยกเว้นเว็บไซต์ธนาคารกรุงเทพ ใช้กุญแจความยาว 256 บิต
  • ในส่วนนโยบายความเป็นส่วนตัว แม้ทุกธนาคารจะมีนโยบายความเป็นส่วนตัว แต่มีการใช้คำและจัดวางในตำแหน่งที่แตกต่างกัน โดยอาจแบ่งได้เป็น 2 รูปแบบ คือ เว็บไซต์ธนาคารที่ใช้คำว่าความเป็นส่วนตัว หรือ privacy วางอยู่ในแถบด้านล่าง หน้าแรกของเว็บไซต์ และเว็บไซต์ธนาคารที่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลอยู่ในหัวข้อนโยบายความปลอดภัย ที่วางอยู่ในแถบด้านล่าง หน้าแรกของเว็บไซต์
  • ธนาคารออนไลน์ที่เป็นบริการทางการเงิน เกี่ยวข้องกับพระราชกฤษฎีกาว่าด้วยการควบคุมดูแลธุรกิจบริการการชําระเงินทางอิเล็กทรอนิกส์ พ.ศ.2551 ในพระราชกฤษฎีกานี้กำหนดให้ผู้ให้บริการชำระเงินทางอิเล็กทรอนิกส์ต้องปฏิบัติตามประกาศธนาคารแห่งประเทศไทยที่ สรข. 3/2552 เรื่องนโยบายและมาตรการรักษาความมั่นคงปลอดภัยทางระบบสารสนเทศ ในการประกอบธุรกิจของผู้ให้บริการการชำระเงินทางอิเล็กทรอนิกส์ ซึ่งกำหนดให้ผู้ให้บริการต้องมีมาตรการรักษาความมั่นคงปลอดภัยทางระบบสารสนเทศที่เกี่ยวข้องกับการให้บริการชำระเงินทางอิเล็กทรอนิกส์ให้สอดคล้องกับนโยบายที่กำหนดขึ้น และมาตรการดังกล่าวจะต้องเหมาะสมกับลักษณะของธุรกิจ โดยครอบคลุมถึงการควบคุมการเข้าถึงและการพิสูจน์ตัวตนของผู้ใช้ การรักษาความลับของข้อมูล การรักษาความถูกต้องเชื่อถือได้ของระบบสารสนเทศ ดังนั้นเว็บไซต์ธนาคารจึงต้องมีระบบเข้ารหัสเพื่อรักษาความปลอดภัยในการใช้บริการให้ได้มากที่สุด

3. คมนาคมขนส่ง

ปัจจุบันผู้ให้บริการคมนาคมขนส่งมีระบบการสำรองที่นั่งและจำหน่ายบัตรโดยสารผ่านอินเทอร์เน็ตเป็นจำนวนมาก โดยเฉพาะสายการบิน  การประเมินความปลอดภัยและความเป็นส่วนตัวของบริการคมนาคมขนส่งแบ่งออกเป็น 2 ประเภท คือบัตรโดยสารเครื่องบิน และบัตรโดยสารรถประจำทาง ซึ่งมีลักษณะเฉพาะที่แตกต่างกัน

3.1 บัตรโดยสารเครื่องบิน

การซื้อบัตรโดยสารเครื่องบินผ่านอินเทอร์เน็ต ขยายตัวอย่างรวดเร็วพร้อมกับการเติบโตของสายการบินต้นทุนต่ำในประเทศไทย ซึ่งส่งเสริมให้ซื้อบัตรโดยสารออนไลน์เพื่อประหยัดค่าใช้จ่ายมากกว่า

privacy-indicator-003-airines

  • เว็บไซต์สายการบินทั้งหมดมีการเข้ารหัส HTTPS และเข้ารหัส SSL รุ่น 3.0 ทั้งหมด
  • แอร์เอเชีย เป็นเว็บเดียวที่ระบุชัดเจนว่า นโยบายความเป็นส่วนตัว ในหน้าแรกของเว็บไซต์ ส่วนเว็บไซต์อื่นๆ แทรกอยู่ในนโยบายรักษาความปลอดภัย ที่แถบด้านล่าง หน้าแรกของเว็บไซต์ มีเพียงเว็บนกแอร์เท่านั้น ที่นโยบายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลแทรกอยู่ใน เงื่อนไขและข้อกำหนด ที่จะปรากฏให้เห็นเฉพาะขั้นตอนเลือกเที่ยวบิน
  • เนื่องจากเว็บไซต์สายการบินมีการทำธุรกรรมทางการเงินอิเล็กทรอนิกส์ จึงต้องปฏิบัติตามประกาศธนาคารแห่งประเทศไทยที่ สรข. 3/2552 เรื่อง นโยบายและมาตรการการรักษาความมั่นคงปลอดภัยทางระบบสารสนเทศ

3.2 บัตรโดยสารรถประจำทาง

บริการจองบัตรโดยสารด้วยรถประจำทาง แตกต่างจากบริการจำหน่ายบัตรโดยสารเครื่องบินตรงที่ผู้ซื้อไม่จำเป็นต้องใส่ข้อมูลส่วนตัวของตนเองอยางละเอียด และส่วนใหญ่ไม่รับชำระเงินผ่านเว็บไซต์ ดังนั้นจึงไม่ให้ความสำคัญกับการเข้ารหัสข้อมูล และนโยบายความเป็นส่วนตัวมากเท่าที่ควร

privacy-indicator-004-transportation
หมายเหตุ: ตรวจสอบการเข้ารหัสจากหน้าลงทะเบียนของเว็บ

4. สถาบันการศึกษา: การรับสมัครสอบเข้ามหาวิทยาลัย

ในการสำรวจครั้งนี้ใช้การสุ่มตัวอย่างเว็บไซต์รับสมัครเข้าศึกษาต่อระดับปริญญาตรี แบบรับตรงของมหาวิทยาลัยต่างๆ ทั้งในส่วนกลาง และภูมิภาค จำนวน 10 แห่ง  และประเมินจากหน้าเว็บไซต์รับสมัครเป็นหน้าที่ผู้สมัครต้องกรอกข้อมูลส่วนตัวของตนเองลงไปทั้งหมด

privacy-indicator-005-university
หมายเหตุ: ตรวจสอบการเข้ารหัสจากหน้าลงทะเบียนของเว็บ

  • มีเพียงมหาวิทยาลัยพระจอมเกล้า ธนบุรี และมหาวิทยาลัยสงขลานครินทร์เท่านั้น ที่มีการเข้ารหัสข้อมูลแบบ HTTPS
  • ไม่มีมหาวิทยาลัยใดที่มีนโยบายความเป็นส่วนตัวที่ชัดเจนเลย

5. เว็บซื้อขายสินค้าออนไลน์

สำหรับเว็บซื้อขายสินค้าออนไลน์อาจแบ่งได้เป็น 2 ประเภทซึ่งมีลักษณะเฉพาะแตกต่างกันคือ เว็บท่าขายสินค้าที่ทำหน้าที่คล้ายกับเป็นพื้นที่กลางให้พ่อค้าแม่ค้านำสินค้าของตนเองมาขาย และเว็บค้าปลีกออนไลน์ที่มีกระบวนการซื้อขายสินค้าโดยตรงระหว่างเว็บไซต์และผู้ซื้อสินค้า

privacy-indicator-006-shopping
หมายเหตุ: ตรวจสอบการเข้ารหัสจากหน้าลงทะเบียนของเว็บ

5.1 เว็บท่าซื้อขายสินค้า

เว็บท่าที่เป็นศูนย์กลางในการติดต่อระหว่างผู้ซื้อกับผู้ขาย ได้แก่ Weloveshopping, Tarad, Pramool, OLX ส่วนใหญ่แล้วไม่มีการทำธุรกรรมทางการเงินอิเล็กทรอนิกส์ กระบวนการซื้อสินค้าใช้การโอนเงินนอกพื้นที่เว็บไซต์

  • ในกลุ่มนี้มีเพียงเว็บตลาดดอทคอม เพียงเว็บเดียวที่มีการเข้ารหัสแบบ HTTPS ซึ่งอาจจะเกี่ยวข้องกับการที่เป็นบริษัทร่วมทุนกับบริษัท Rakuten จากประเทศญี่ปุ่น
  • นโยบายความเป็นส่วนตัวส่วนใหญ่จะไปปรากฏอยู่ในหน้าลงทะเบียนซึ่งต้องมีการกรอกข้อมูลส่วนตัวอย่างละเอียดของผู้ใช้บริการ ที่น่าสังเกตคือ เว็บไซต์ Weloveshopping แม้จะมีนโยบายคุ้มครองข้อมูลบุคคลที่แถบด้านล่างของหน้าแรก แต่เมื่อคลิกเข้าไปแล้ว กลับเชื่อมโยงไปที่เว็บอื่น

5.2 เว็บค้าปลีกออนไลน์

ก่อนที่จะซื้อสินค้าในเว็บค้าปลีกออนไลน์ ผู้ใช้บริการต้องสมัครสมาชิกก่อน ซึ่งในขั้นตอนนี้จำเป็นต้องกรอกข้อมูลส่วนตัวอย่างละเอียดก่อนที่จะซื้อสินค้าได้ การสำรวจนี้ประเมินความปลอดภัยในขั้นตอนการสมัครสมาชิกเท่านั้น

  • ร้อยละ 80 ของเว็บค้าปลีกออนไลน์มีการเข้ารหัส HTTPS ในหน้าลงทะเบียนสมัครสมาชิกเพื่อใช้บริการ ยกเว้นเว็บ Tops และ Big C ที่ไม่มีการเข้ารหัสระหว่างที่ลูกค้ากรอกข้อมูลส่วนตัวเพื่อสมัครสมาชิก
  • นโยบายความเป็นส่วนตัวอยู่ในหน้าแรกของเว็บไซต์ Lazada และ Zalora ซึ่งอาจจะเกี่ยวข้องกับการที่ทั้งสองเว็บนี้เป็นบริษัทข้ามชาติ มีสาขาหลายประเทศที่มีกฎหมายคุ้มครองข้อมูลส่วนบุคคลแล้ว ส่วนเว็บอื่นๆ ไม่ได้ใช้คำว่านโยบายข้อมูลความเป็นส่วนตัวโดยตรง แต่เป็นหัวข้อย่อยที่แทรกอยู่ในข้อตกลงการใช้บริการในหน้าลงทะเบียน

6.บริการจัดหางาน

เว็บไซต์ที่ให้บริการรับสมัครงานเป็นอีกพื้นที่หนึ่งที่ผู้ใช้ต้องกรอกข้อมูลส่วนตัวของตนเองลงไปเป็นจำนวนมากเพื่อต้องการให้ได้งาน ในส่วนนี้จะเป็นการสำรวจหน้ากรอกข้อมูลสมัครสมาชิกเว็บไซต์

privacy-indicator-007-jobs
หมายเหตุ: ตรวจสอบการเข้ารหัสจากหน้าลงทะเบียนของเว็บ

  • ไม่มีเว็บใดเลยที่เข้ารหัสในหน้าที่ผู้ใช้ต้องกรอกข้อมูลส่วนตัว แต่น่าสนใจว่าทุกเว็บมีรายละเอียดของนโยบายความเป็นส่วนตัว

สรุป

จากการสำรวจมาตรการรักษาความปลอดภัยและการคุ้มครองความเป็นส่วนตัวผู้ให้บริการออนไลน์ต่างๆ ของประเทศไทยเบื้องต้นเพื่อเป็นข้อมูลแก่ผู้ใช้ทั่วไปในการตัดสินใจใช้บริการสามารถสรุปได้ดังนี้

  1. จากเว็บไซต์ทั้งหมด 50 เว็บ มีเว็บไซต์ที่เข้ารหัส HTTPS จำนวน 24 เว็บ
  2.  เมื่อเปรียบเทียบกับบริการประเภทอื่นๆ แล้ว ธนาคารและสายการบินมีระดับการปกป้องความปลอดภัยและความเป็นส่วนตัวมากที่สุด เห็นได้จากการที่ทุกเว็บมีการเชื่อมต่อแบบ HTTPS มีการเข้ารหัส SSL 3.0 และมีนโยบายความเป็นส่วนตัว ทั้งนี้บริการทางการเงินออนไลน์อยู่ภายใต้การกำกับดูแลของธนาคารแห่งประเทศไทย ที่อยู่ภายใต้พระราชกฤษฎีกาว่าด้วยการควบคุมดูแลธุรกิจบริการการชําระเงินทางอิเล็กทรอนิกส์ พ.ศ.2551 ต่างจากบริการที่ไม่มีการทำธุรกรรมการเงินทางอิเล็กทรอนิกส์ซึ่งมีคะแนนต่ำกว่าอย่างไรก็ตาม มีข้อสังเกตว่า แม้ผลสำรวจเบื้องต้นจะชี้ว่าธนาคารจะมีระบบปกป้องความปลอดภัยดีกว่าบริการออนไลน์ประเภทอื่นๆ  แต่ธนาคารบนอินเทอร์เน็ตเป็นหนึ่งในบริการออนไลน์ที่มีผู้ร้องเรียนด้านความปลอดภัยมากที่สุดด้วยเช่นกัน
  3. มหาวิทยาลัยเทคโนโลยีพระจอมเกล้าธนบุรีเท่านั้นที่มีระดับการคุ้มครองความปลอดภัยสูงสุด เมื่อเทียบกับมหาวิทยาลัยอื่นๆ เนื่องจากมีการเชื่อมต่อเว็บไซต์แบบ HTTPS มีการเข้ารหัส SSL 3.0 เพียงเว็บเดียวเท่านั้น กระนั้นก็ตามไม่มีนโยบายความเป็นส่วนตัว
  4. เว็บซื้อขายสินค้ามีความแตกต่างระหว่างเว็บท่าขายสินค้าที่ทำหน้าที่เป็นตัวกลางระหว่างผู้ซื้อกับผู้ขาย กับเว็บค้าปลีกออนไลน์โดยตรงกับผู้บริโภค เว็บท่ามีการเข้ารหัสข้อมูลน้อยกว่าเว็บขายปลีก อาจจะด้วยเหตุผลที่ว่าร้านค้าย่อยส่วนใหญ่เป็นการชำระเงินโดยโอนเงินผ่านธนาคาร ขณะที่ร้านค้าปลีกมีการชำระเงินผ่านบัตรเครดิตโดยตรงซึ่งต้องการความปลอดภัยและความน่าเชื่อถือมากกว่า ในทำนองเดียวกันกับการคมนาคมขนส่ง เว็บจองบัตรโดยสารรถประจำทางมีระดับการปกป้องความปลอดภัยต่ำ เมื่อเทียบกับบริการจำหน่ายบัตรโดยสารเครื่องบิน เหตุผลหลักเป็นเพราะวิธีการชำระเงินแตกต่างกัน เนื่องจากเป็นการรับจองแล้วลูกค้าต้องไปชำระเงินด้วยตนเองช่องทางอื่น มีเพียงเว็บไซต์ไทยทิกเก็ตเมเจอร์เท่านั้นที่รับชำระผ่านบัตรเครดิตด้วย ซึ่งเว็บจะเข้ารหัสเมื่อเชื่อมต่อเข้าสู่หน้ากรอกรายละเอียดบัตรเครดิตเป็นต้นไป
  5. เว็บบริการรับสมัครงาน ซึ่งเป็นบริการออนไลน์ที่ผู้ใช้บริการมอบข้อมูลส่วนตัวของตนเองด้วยความสมัครใจ และให้รายละเอียดมากเพื่อทำให้ตนเองได้งาน ไม่มีการเข้ารหัสเว็บไซต์แต่อย่างใด กระนั้นก็ตามสิ่งที่น่าสนใจคือ เว็บไซต์บริการรับสมัครงานทั้งหมด มีนโยบายความเป็นส่วนตัว
  6. ด้านความเป็นส่วนตัว จะเห็นได้ว่ามีการให้ความสำคัญต่อเรื่องนี้แตกต่างกัน ทั้งการใช้คำเพื่อสื่อความหมายถึงการคุ้มครองข้อมูลส่วนบุคคล ซึ่งมีทั้งคำว่า นโยบายความเป็นส่วนตัว นโยบายการคุ้มครองสิทธิ์ข้อมูลส่วนบุคคล ข้อมูลส่วนบุคคล ฯลฯ รวมถึงตำแหน่งที่อยู่ซึ่งมีทั้งการจัดวางไว้ชัดเจนที่หน้าแรก อยู่ภายใต้หัวข้ออื่นๆ แทรกอยู่ในข้อกำหนดและเงื่อนไขที่มักต้องคลิกเข้าไปอีกครั้ง ในหน้าสมัครสมาชิก

ดาวน์โหลดรายงานฉบับเต็ม (PDF)

Download (PDF, 653KB)

อ่านรายงานการละเมิดความเป็นส่วนตัวออนไลน์ไทย พ.ศ. 2556

สนับสนุนโดย Privacy International ไพรเวซี อินเตอร์เนชั่นแนล ภายใต้ชุดโครงการ Surveillance and Freedom: Global Understandings and Rights Development (SAFEGUARD)

เผยแพร่ภายใต้ สัญญาอนุญาตครีเอทีฟคอมมอนส์แบบแสดงที่มา-อนุญาตแบบเดียวกัน 3.0 ประเทศไทย (Creative Commons Attribution-ShareAlike 3.0 Thailand license) สามารถนำไปใช้ ดัดแปลงแก้ไข และเผยแพร่ต่อได้ทันที โดยไม่ต้องขออนุญาต

ภาพประกอบโดย Yuri Samoilov สัญญาอนุญาตครีเอทีฟคอมมอนส์แบบแสดงที่มา 2.0

%d bloggers like this: