บังคับใช้มานานกว่าขวบปีสำหรับ “พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA)” แต่กลับยังมีข้อมูลความเป็นส่วนตัวของคนไทยถูกละเมิดจาก “กลุ่มอาชญากร และแก๊งคอลเซ็นเตอร์” นำไปใช้แสวงหาผลประโยชน์ผิดกฎหมาย สร้างความเสียหายเดือดร้อนให้ประชาชนปรากฏเป็นข่าวไม่เว้นแต่ละวัน
หากเจาะลงลึกแล้ว “ข้อมูลส่วนบุคคลที่รั่วไหลอยู่ขณะนี้” มักถูกล้วงผ่านสื่อโซเชียลมีเดียแล้วนำไปขายให้กลุ่มธุรกิจผิดกฎหมาย เว็บพนันออนไลน์ แก๊งคอลเซ็นเตอร์ เพื่อนำไปใช้ติดต่อหลอกลวงประชาชนต่ออีก
อย่างล่าสุดปลายเดือน ส.ค.2566 ตำรวจจับกุมผู้ต้องหาก่อเหตุขายข้อมูล ส่วนบุคคล 2 ล้านรายชื่อให้กลุ่มธุรกิจผิดกฎหมาย และต้นเดือน ก.ย.ก็จับผู้รับซื้อขายบัญชีเงินฝากบัตร ATM ของผู้อื่นนำขายต่อทางออนไลน์อีก
ไม่นานนี้ “สกู๊ปหน้า 1” ได้ร่วมอบรมเชิงปฏิบัติการเสริมสร้างองค์ความรู้ด้านการคุ้มครองข้อมูลส่วนบุคคลสำหรับสื่อมวลชน โดย สนง.คณะกรรมการ คุ้มครองข้อมูลส่วนบุคคล (สคส.) ร่วมกับสภาการสื่อมวลชนแห่งชาติ ระหว่างอบรมก็หยิบยกปัญหาการละเมิดข้อมูลส่วนบุคคลรอบ 1 ปีโดย ดร.สุนทรีย์ ส่งเสริม ตัวแทน สคส. เล่าว่า
...
ถ้าย้อนดูจุดกำเนิด “พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562” ประเทศไทยมีความพยายามร่างกฎหมายฉบับนี้มาตั้งแต่ปี 2540 “ก่อนกลายมาเป็น พ.ร.บ.ข้อมูลข่าวสารของราชการ พ.ศ.2540” แล้วกฎหมายฉบับนี้ ก็บทบัญญัติเกี่ยวกับข้อมูลส่วนบุคคลไว้ว่า “ข้อมูลข่าวสารส่วนบุคคล” ที่ถูก บังคับใช้มาอย่างตลอด
กระทั่งปี 2557-2558 “ประเทศไทยติดธงแดงของ ICAO” ถูกอ้างไม่ให้ความร่วมมือการต่อต้านการทำประมงผิดกฎหมาย (ไอยูยู) และกล่าวหาว่า ไม่มีมาตรฐานดูแลสิทธิประชาชนจนการค้าระหว่างประเทศต้องสะดุด
เรื่องนี้ประเทศไทยเป็นกังวลว่า “หากไม่มีกฎหมายคุ้มครองข้อมูลส่วนบุคคล” อาจถูกยกมาเป็นเหตุจนไม่อาจส่งข้อมูลข้ามพรมแดนกระทบต่อการค้าระหว่างประเทศได้ทำให้ร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล...ประกาศในราชกิจจานุเบกษาวันที่ 27 พ.ค.2562 “บังคับใช้บางมาตรา” ก่อนมีผลบังคับใช้ทุกมาตราวันที่ 1 มิ.ย.2565
ครอบคลุมผู้ประกอบการรายเล็ก ขนาดกลาง และขนาดใหญ่ 3 ล้าน กว่าแห่ง หน่วยงานภาครัฐทั่วประเทศ 8 พันกว่าหน่วยงาน และประชาชน 67 ล้านคน ต้องอยู่ภายใต้กฎหมายฉบับนี้
ปัญหามีอยู่ว่าในรอบ 1 ปีที่ผ่านมา หลังประกาศบังคับใช้กฎหมายฉบับนี้ “คนไทยยังต้องเผชิญการถูกละเมิดข้อมูลส่วนบุคคลเยอะมาก” โดยเฉพาะการละเมิดสิทธิความเป็นส่วนตัวเกี่ยวกับการนำข้อมูลไปปลอมแปลงบนเว็บไซต์ หรือถูกละเมิดจากแก๊งคอลเซ็นเตอร์อันมีแนวโน้มสูงขึ้นเรื่อยๆ
สาเหตุหนึ่งเพราะในช่วง 2 ปีมานี้ “ทั่วโลกต้องเจอกับการระบาดโควิด–19” ผู้คนต่างหันมาใช้งานอินเตอร์เน็ตเพิ่มขึ้นนำมาซึ่ง “การตกเป็น เหยื่อของกลุ่มผู้ไม่หวังดี” ที่ใช้ช่องว่างทางความรู้หลอกให้ประชาชนกดลิงก์ผ่านออนไลน์ “ขโมยข้อมูลส่วนตัว” กลายเป็นการสร้างความไม่ปลอดภัยทั้งข้อมูลส่วนตัว และทรัพย์สินอื่นๆ
แล้วในช่วงโควิดระบาดใหม่ๆ ร้านค้ากำหนดให้ผู้ใช้บริการต้องลงชื่อเบอร์ เพื่อตรวจสอบบุคคลเข้ารับบริการ กลายเป็นช่องว่างให้พนักงานฉวยโอกาสนำข้อมูลเหล่านี้ไปใช้นอกจุดประสงค์การแสดงตัวตนเข้าใช้บริการนั้น
ทั้งยังมีรูปแบบร้านค้าจัดโปรโมชันส่วนลดราคาสินค้า หรือการเข้างานอีเวนต์ บูธแลกสิ่งของชำร่วยที่มักต้องลงทะเบียนรายละเอียดชื่อ เบอร์ลงกระดาษ และบันทึกข้อมูลลูกค้าเข้าระบบคอมพิวเตอร์ สิ่งนี้ล้วนเป็นการหยิบยื่นรายละเอียดส่วนตัวให้กับบุคคลอื่นไปเพียงแค่ต้องการสิ่งของเล็กๆน้อยๆ
...
แล้วข้อมูลหลุดไปหลักๆ “มักนำประกาศขายบนเว็บไซต์” ดังนั้น ต้องระมัดระวังอย่าเป็นส่วนหนึ่งในการทำให้ข้อมูลส่วนตัวต้องหลุดไปด้วยตัวเราเอง เพราะหากหลุดจากหน่วยงานรัฐ หรือร้านค้าอาจเข้า PDPA ได้
ถัดมาคือ “ข้อมูลหลุดจากหน่วยงานภาครัฐ” เช่น กรณีการมอบเงิน เบี้ยยังชีพให้ผู้สูงอายุ ผู้พิการ และผู้ป่วยเอดส์ประจำปีมักนำข้อมูลชื่อ เลขบัตรประชาชน และถ่ายรูปเผยแพร่ประชาสัมพันธ์บนเว็บไซต์ อันมีจุดประสงค์แสดงความโปร่งใส “ในการใช้งบประมาณมอบเงินเบี้ยยังชีพ” แต่กลายเป็น ละเมิดข้อมูลส่วนบุคคลก็มี
เช่นเดียวกับ “ประกาศรายชื่อผู้มีสิทธิกู้ยืมเงิน กยศ.” เพราะตามกฎระเบียบบังคับให้ต้องประกาศชื่อนักศึกษาได้รับอนุมัติให้กู้ยืมเงินเพื่อการศึกษาเปิดเผยไว้ในที่แลเห็นได้ง่าย และเผยแพร่ทางสื่ออิเล็กทรอนิกส์ “กลายเป็นการละเมิดข้อมูลส่วนบุคคล” ทำให้ต้องหารือกับหน่วยงาน กยศ.ควรประกาศรายชื่อเท่าที่จำเป็นจริงๆ
เช่น ประกาศรายชื่อ รหัสนักศึกษา แต่เลขบัตรประชาชนทำเป็นตัว XXX ที่พอให้ผู้ได้รับทุนเข้าใจได้
สิ่งที่เป็นปัญหาเดิมๆ “โลกแห่งถุงกระดาษ” โดยใช้กระดาษมารีไซเคิลบรรจุภัณฑ์อาหาร และบางครั้งกระดาษนั้นเป็นสำเนาบัตรประชาชน เอกสาร เวชระเบียนโรงพยาบาล ทำให้ข้อมูลส่วนบุคคลรั่วไหลได้เช่นกัน
เหล่านี้สะท้อนให้เห็นว่า “ข้อมูลส่วนบุคคลรั่วไหลนั้น” ไม่ใช่มีเฉพาะบนโลกออนไลน์เท่านั้น แต่โลกแบบดังเดิมในการใช้กระดาษก็มักมีข้อมูลส่วนบุคคลหลุดรอดออกมาได้เหมือนกัน แล้วสิ่งนี้ล้วนเกิดจากความคลาดเคลื่อนไม่เข้าใจ “หลักกฎหมาย PDPA” ดังนั้นประชาชนควรรู้สิทธิและต้องระวัง ข้อมูลส่วนบุคคลตัวเองด้วย
...
ตอกย้ำด้วยปัจจุบัน “ข้อมูลส่วนบุคคลของคนไทย” ที่รั่วไหลหลุดรอดออกไปนั้น มักถูกนำไปซื้อขายกันในตลาดมืดราคาค่อนข้างถูกมากแต่ละรายชื่อ ขายเพียง 1-2 บาท หรือบางรายซื้อขายกันถูกกว่าที่กล่าวมาด้วยช้ำ เพราะเคย มีเคสเหตุการณ์การนำรายชื่อขาย 1 ล้านรายชื่อในราคา 3,000-4,000 บาทเท่านั้นมาแล้ว
อย่างกรณี “ตำรวจ บก.สอท” จับกุมหนุ่มวิศวะขายฐานข้อมูล ชื่อ-นามสกุล หมายเลขโทรศัพท์ หมายเลขบัญชีธนาคาร ไลน์ไอดีของลูกค้าเริ่มตั้งแต่ 100,000 รายชื่อ ในราคา 500 บาท ไปจนถึง 2,000,000 รายชื่อราคา 3,500 บาทให้กับเว็บพนันออนไลน์ และมิจฉาชีพนำไปใช้หลอกลวงประชาชน
ล่าสุดวันที่ 24 ส.ค.2566 ก็จับกุมคนกลางรับซื้อข้อมูลมาจากกลุ่มลูกค้าเคยซื้ออาหารเสริมยี่ห้อดัง หรือซื้อจากกลุ่มธุรกิจสีเทา 15 ล้านรายชื่อ นำมาแบ่งขายให้กลุ่มที่สนใจในเว็บไซต์ใต้ดินได้เดือนละ 4 แสนบาท
เมื่อเป็นเช่นนี้ “กฎหมาย PDPA” จะช่วยคุ้มครองป้องกันข้อมูลส่วนบุคคล ทั้งคนไทย และคนต่างชาติที่อยู่ในประเทศ ด้วยการกำหนดหน้าที่ความรับผิดชอบผู้ประกอบการ หรือองค์กรที่เก็บใช้ข้อมูลส่วนบุคคลที่พอสามารถระบุตัวตน เช่น ชื่อ นามสกุล เบอร์โทรศัพท์ เลขประจำตัวประชาชน e-mail เลขบัญชีธนาคาร ที่อยู่
...
โดยเฉพาะข้อมูลส่วนบุคคลอ่อนไหว เช่น ข้อมูลสุขภาพ ประวัติอาชญากรรม จะมีโทษทางอาญาเพื่อปกป้องจากมิจฉาชีพ หรือผู้ประสงค์ร้ายนำข้อมูลไปก่อให้เกิดความเสียหาย หรือหาผลประโยชน์แบบผิดกฎหมาย
ดังนั้น หากผู้ประกอบการ หรือองค์กรที่มีการเก็บ ใช้ข้อมูลส่วนบุคคล นำข้อมูลส่วนบุคคลไปขายต้องมีโทษทางอาญา เช่น เราเดินเข้าไปใช้บริการ คลินิกแล้วถูกลักลอบก๊อบปี้นำข้อมูลไปขายเช่นนี้ก็ต้องมีโทษทางอาญา
สำหรับผู้ควบคุมข้อมูลส่วนบุคคลใช้ หรือเปิดเผยข้อมูลส่วนบุคคลอ่อนไหว โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล หรือผิดจากที่ได้แจ้งไว้ หรือโอนไปยังต่างประเทศโดยไม่ชอบด้วยกฎหมาย ทำให้ผู้อื่นเสียหาย เสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอาย มีโทษจำคุก 6 เดือน หรือปรับ 5 แสนบาท
เพื่อแสวงหาประโยชน์ที่มิควรได้สำหรับตนเองหรือผู้อื่น มีโทษจำคุก 1 ปี หรือปรับ 1 ล้านบาท
ถ้าผู้ใดล่วงรู้ข้อมูลส่วนบุคคลผู้อื่นจากการปฏิบัติหน้าที่ตาม พ.ร.บ.นี้ “ห้ามนำไปเปิดเผยแก่ผู้อื่น” เว้นแต่เปิดเผยตามหน้าที่ หรือเพื่อประโยชน์การสอบสวน พิจารณาคดี หรือยินยอมเป็นหนังสือเฉพาะครั้ง หรือเปิดเผยให้หน่วยงานมีอำนาจหน้าที่ตามกฎหมาย หรือข้อมูลคดีเปิดเผยต่อสาธารณะมีโทษจำคุก 6 เดือน ปรับ 5 แสนบาท
นี่เป็นสิ่งที่เกิดขึ้นรอบ 1 ปี “ปรากฏช่องว่างความไม่เข้าใจหลักกฎหมาย PDPA” ทำให้ข้อมูลส่วนบุคคลหลุดรอดไปตกในมือ “กลุ่มอาชญากร แก๊งคอลเซ็นเตอร์” ที่กลายเป็นโจทย์สำคัญให้หน่วยงานรัฐต้องทำงานเชิงรุกควบคู่กับส่งเสริมสร้างมาตรฐานองค์ความรู้ในการคุ้มครองข้อมูลส่วนบุคคลเข้มข้นขึ้น.
คลิกอ่านคอลัมน์ "สกู๊ปหน้า 1" เพิ่มเติม