สัญญาณน่ากังวล “ข้อมูลส่วนบุคคล” หลัง ข้อมูลบริษัทอสังหารั่ว สภาผู้บริโภคย้ำองค์กรต้องตรวจสอบ – แจ้งเหตุภายใน 72 ชม. ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล 2562 หรือ PDPA พร้อมเรียกร้องระบบเฝ้าระวังและไม่เก็บข้อมูลเกินจำเป็น
จากกรณีที่มีรายงานบนเว็บไซต์ HackNotice ซึ่งเป็นแพลตฟอร์มต่างประเทศที่เฝ้าระวังแนวโน้มและเหตุการณ์ข้อมูลรั่วไหลทั่วโลก โดยรวบรวมข้อมูลที่ถูกเปิดเผยบนอินเทอร์เน็ตและดาร์กเว็บ (Dark Web) เพื่อแจ้งเตือนองค์กรและผู้บริโภคถึงความเสี่ยงด้านข้อมูลส่วนบุคคล โดยระบุว่า อาจมีการรั่วไหลของข้อมูลสมาชิกกว่า 460,000 ราย จากบริษัทอสังหาริมทรัพย์รายใหญ่ในประเทศไทย ขณะนี้บริษัทยังไม่ได้ออกมาชี้แจงหรือแจ้งเหตุแก่ผู้บริโภคและสื่อมวลชน สภาผู้บริโภคได้ติดตามเรื่องดังกล่าวอย่างใกล้ชิด พร้อมให้ความเห็นในมุมสิทธิผู้บริโภคและการคุ้มครองข้อมูลส่วนบุคคล
ดร.อุดมธิปก ไพรเกษตร อนุกรรมการด้านการสื่อสาร โทรคมนาคม และเทคโนโลยีสารสนเทศ สภาผู้บริโภค กล่าวว่า เหตุการณ์ข้อมูลรั่วไหลและการถูกแฮกแม้จะต่างกันในทางเทคนิค แต่มีผลกระทบต่อผู้บริโภคในลักษณะเดียวกัน คือการที่ข้อมูลส่วนบุคคลถูกเข้าถึงหรือเปิดเผยโดยไม่ได้รับอนุญาต ความเสียหายที่เกิดขึ้นอาจลุกลามไปถึงการโจรกรรมข้อมูล การสวมรอยตัวตน หรือการนำข้อมูลไปใช้ในทางที่เข้าข่ายผิดกฎหมายได้ หากองค์กรที่เก็บข้อมูลไม่มีระบบตรวจสอบหรือเฝ้าระวังที่เพียงพอ จะไม่สามารถรู้ได้เลยว่าข้อมูลของลูกค้าถูกเปิดเผยเมื่อใด
ทั้งนี้ ผู้บริโภคมีสิทธิตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection Act: PDPA) ที่จะได้รับการแจ้งหากเกิดเหตุข้อมูลรั่วไหล โดยกฎหมายกำหนดให้องค์กรที่ทราบเหตุแล้วต้องแจ้งสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลภายใน 72 ชั่วโมงนับตั้งแต่ทราบเหตุการณ์ และหากข้อมูลที่รั่วไหลส่งผลกระทบต่อเจ้าของข้อมูลโดยตรง ต้องแจ้งให้เจ้าของข้อมูลทราบด้วย เพื่อให้สามารถเฝ้าระวังหรือป้องกันความเสียหายเพิ่มเติมได้ทันเวลา
สำหรับกรณีที่องค์กรยังไม่ทราบหรือยังไม่ตรวจสอบข้อเท็จจริง ดร.อุดมธิปก ระบุว่า อาจเป็นเพราะองค์กรขาดระบบเฝ้าระวังภายใน ในยุคดิจิทัลควรมีการติดตามข้อมูลของตนในโลกออนไลน์อยู่เสมอ เช่น ระบบการติดตามหรือฟังเสียงความคิดเห็นบนโลกออนไลน์ (Social Monitoring) เพื่อให้รู้เท่าทันว่ามีข้อมูลขององค์กรหลุดไปเผยแพร่ที่ใดหรือไม่ ดังนั้น การละเลยในส่วนนี้ทำให้หลายบริษัททราบเหตุหลังจากที่ข้อมูลถูกเผยแพร่ในสาธารณะไปแล้ว
ทั้งนี้ในทางปฏิบัติ หากพบว่ามีการรั่วไหล องค์กรต้องตรวจสอบว่าข้อมูลที่รั่วมีลักษณะใดและกระทบต่อเจ้าของข้อมูลในระดับใด เพราะหากเป็นเพียงชื่อหรือนามสกุลอาจไม่ถือว่ากระทบมากนัก แต่หากมีข้อมูลสำคัญ เช่น หมายเลขบัตรประชาชน ที่อยู่ หรือข้อมูลบัญชีธนาคาร ถือเป็นกรณีร้ายแรงที่ต้องรีบแจ้งหน่วยงานกำกับดูแลและผู้บริโภคโดยตรงทันที
“ปัจจุบันนี้องค์กรไม่ควรเก็บข้อมูลเกินความจำเป็น เพราะยิ่งเก็บมาก ความเสี่ยงก็ยิ่งมาก ทั้งต่อองค์กรเองที่อาจถูกฟ้องร้อง และต่อผู้บริโภคที่อาจถูกละเมิดสิทธิได้” ดร.อุดมธิปก แสดงความเห็น พร้อมกล่าวเพิ่มเติมว่า กฎหมาย PDPA ใช้หลักการให้องค์กรกำกับดูแลตนเอง (Self-Regulation) เป็นสำคัญ องค์กรจึงต้องมีระบบตรวจสอบภายใน เช่น การแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) เพื่อดูแลและประเมินความเสี่ยงอยู่เสมอ รวมถึงต้องตอบสนองต่อสิทธิของเจ้าของข้อมูลภายใน 30 วัน หากมีการขอเข้าถึงหรือขอลบข้อมูล
นอกจากนี้ในต่างประเทศ เช่น สหภาพยุโรปภายใต้กฎหมายกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (General Data Protection Regulation: GDPR) มีการบังคับใช้อย่างเข้มงวด โดยกำหนดบทลงโทษสูงต่อองค์กรที่ไม่รายงานการรั่วไหลของข้อมูลหรือเก็บข้อมูลเกินความจำเป็น ซึ่งสะท้อนให้เห็นแนวทางการบังคับใช้กฎหมายที่เข้มแข็ง เพื่อคุ้มครองสิทธิของประชาชนและสร้างความเชื่อมั่นในระบบดิจิทัล ซึ่ง ดร.อุดมธิปกมองว่า ประเทศไทยเองควรเร่งสร้างกลไกให้การบังคับใช้กฎหมาย PDPA เกิดผลในทางปฏิบัติอย่างจริงจัง เพื่อให้องค์กรตระหนักถึงความรับผิดชอบและผู้บริโภคได้รับการคุ้มครองอย่างแท้จริง
อย่างไรก็ตาม ดร.อุดมธิปก ให้คำแนะนำว่า ผู้บริโภคควรตระหนักถึงสิทธิของตนเองและป้องกันความเสี่ยงเบื้องต้น เช่น แยกอีเมลที่ใช้ซื้อสินค้าออนไลน์ออกจากอีเมลที่ใช้ในธุรกรรมทางการเงิน ไม่ให้ข้อมูลวันเดือนปีเกิดหรือเลขบัตรประชาชนหากไม่จำเป็น และควรติดตามข่าวสารจากองค์กรที่เคยใช้บริการอย่างสม่ำเสมอ อีกทั้งยังให้ความเห็นว่าเหตุข้อมูลรั่วไหลนั้นเกี่ยวข้องกับเรื่องสิทธิของผู้บริโภคที่ทุกภาคส่วนต้องให้ความสำคัญ องค์กรที่เก็บข้อมูลเหล่านี้ควรเปิดเผยข้อมูลอย่างโปร่งใสและรับผิดชอบต่อผู้บริโภค เพื่อสร้างความเชื่อมั่นและป้องกันไม่ให้เหตุการณ์ลักษณะนี้เกิดขึ้นซ้ำอีก
