New Normal กับ “ข้อมูลส่วนบุคคล” วิถีใหม่ที่ต้องให้ความสำคัญ

     ในวันที่ 28 พฤษภาคม 2563 นี้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 จะมีผลบังคับใช้อย่างเป็นทางการทั้งภาครัฐและเอกชนที่ต้องปฏิบัติตาม หลักเกณฑ์ วิธีการ และเงื่อนไขตามกฏหมายอย่างเคร่งครัดแล้ว แต่ยังมีหลายภาคส่วนที่ยังเตรียมพร้อมไม่ทันต่อการปฏิบัติตามกฏหมาย ซึ่งอาจเกิดเหตุการณ์การฝ่าฝืนหรือปฏิบัติตามกฏหมายโดยไม่ได้เจตนาได้…แต่ข่าวดีคือกำลังจะมีการออกพระราชกฤษฎีกาในการขยายเวลาบังคับใช้กฏหมาย โดยจะมีผลตั้งแต่วันที่ 27 พฤษภาคม พ.ศ. 2563 จนถึงวันที่ 31 พฤษภาคม พ.ศ. 2564 เพื่อหน่วยงานภาครัฐ เอกชนและบุคคลทั่วไปมีเวลาเตรียมความพร้อม และทำความเข้าใจ ปฏิบัติตามกฏหมายได้ทุกคนอย่างมีประสิทธิภาพสมดังเจตนารมณ์ของกฎหมาย

     ข้อมูลส่วนบุคคล เป็นเรื่องของเรา ต่อให้ไม่มีกฏหมายที่จะบังคับใช้ก็ยังคงเป็นของเรา กฏหมายเป็นแค่เครื่องมือที่จะช่วยคุ้มครอง “ข้อมูลส่วนบุคคล” ให้เราเพียงเท่านั้น การให้ข้อมูลกับใครจึงเป็นเรื่องต้องตระหนักและระมัดระวังเพื่อความปลอดภัยของเรา

  หลายคนอาจมีคำถามว่า เราต้องเตรียมพร้อมอย่างไรบ้าง และถ้ากฏหมายบังคับใช้ จะมีผลอย่างไร

แน่นอนว่าเจตนารมณ์การออกกฏหมายฉบับนี้มีไว้เพื่อคุ้มครองสิทธิ “ข้อมูลส่วนบุคคล” ของเราทุกคน เพื่อให้ใครก็ตามที่นำข้อมูลส่วนบุคคลของเราไปใช้ประโยชน์จะต้องแจ้งวัตถุประสงค์และขออนุญาตจากเจ้าของข้อมูลก่อน นอกจากนี้ยังช่วยควบคุมให้หน่วยงานต่าง ๆ ที่เก็บข้อมูลของเราไว้ จะต้องเก็บเท่าที่จำเป็นอย่างปลอดภัยอีกด้วย 

 

     
     แล้วอะไรบ้างที่เรียกว่า “ข้อมูลส่วนบุคคล”

      คงสงสัยแล้วว่า อะไรบ้างคือข้อมูลส่วนบุคคล ขอคำตอบแบบสรุปคำสั้นๆ ก็คือ “ข้อมูลที่ระบุความเป็นตัวตนของเรา” นั่นเอง ยกตัวอย่างกรณีที่เราไปเปิดบัญชีธนาคาร สิ่งที่ธนาคารต้องการข้อมูลจากเรา ก็คือ ชื่อ-นามสกุล เลขที่บัตรประชาชน ที่อยู่ เบอร์โทรศัพท์ อีเมล เพื่อประโยชน์ในการติดต่อสื่อสาร เวลามีเงินเข้า-เงินออกในบัญชี ก็สามารถแจ้งเตือนผ่านเบอร์โทรศัพท์ หรืออีเมลล์ ที่เราให้ข้อมูลไว้กับธนาคาร แต่หากธนาคารดังกล่าว นำข้อมูลส่วนบุคคลของเราไปใช้นอกเหนือวัตถุประสงค์ที่เราขอใช้บริการ อาทิเช่น นำข้อมูลเราไปเชื่อมโยงกับการทำโปรโมชั่นร่วมกับร้านค้า ซึ่งไม่ใช่วัตถุประสงค์ที่ได้ตกลงกันไว้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฉบับนี้ จะเป็นเครื่องมือช่วยให้เราเรียกร้องสิทธิในการขอยกเลิก “ข้อมูลส่วนบุคคล” ของเรารวมถึงฟ้องร้องเรียกค่าเสียหายได้

        “ข้อมูลส่วนบุคคล” ไม่ได้มีเพียงแค่ในรูปแบบการสมัครใช้บริการกับหน่วยงาน หรือห้างร้านต่าง ๆ เท่านั้น แต่ยังรวมถึงข้อมูลที่เราไปลงทะเบียน หรือใช้บริการของเว็บไซต์ต่าง ๆ , โซเชียลมีเดีย, แอปพลิเคชันต่าง ๆ ที่มีการดาวน์โหลดมาติดตั้งในมือถือของเรา หรือ การเก็บข้อมูล Username Password ชื่อ-นามสกุล เบอร์โทรศัพท์ ตำแหน่งที่อยู่ (location) พฤติกรรมการ กดไลก์-กดแชร์ ในตอนที่หน่วยงานนั้นๆ ขอข้อมูลเรา จะต้องเป็นประโยชน์เฉพาะในการให้บริการตามที่เราได้เข้ามาสมัครใช้งานเว็บไซต์หรือโซเชียลมีเดียเท่านั้น หากนำข้อมูลส่วนบุคคลไปใช้เพื่อประโยชน์อื่น ไม่ว่าจะเป็นการแชร์ข้อมูลหรือขายข้อมูลให้หน่วยงานใด เพื่อประโยชน์ด้านใดด้านหนึ่ง ที่ผิดวัตถุประสงค์การให้บริการไว้แล้วนั้น เราก็มีสิทธิเช่นเดียวกัน คือ ขอลบข้อมูล และฟ้องร้องเรียกค่าเสียหาย  

     บุคคลธรรมดาอย่างเรา เมื่อให้ข้อมูลส่วนบุคคลไปแล้ว จะมั่นใจได้อย่างไรว่าข้อมูลเรานั้นจะปลอดภัย

       กฏหมายนี้ไม่ได้เพียงแค่มุ่งเน้นการป้องกัน “การใช้ข้อมูลส่วนบุคคลผิดวัตถุประสงค์” แต่ยังหมายความรวมถึง เมื่อบริษัทต่าง ๆ ได้เก็บข้อมูลเราไปแล้วต้องมี “มาตรการการรักษาความมั่นคงปลอดภัย” ข้อมูลส่วนบุคคลที่เก็บจากเราไปด้วย ผู้ให้บริการรายนั้นจำเป็นต้องรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคล ไม่ทำให้เกิดการรั่วไหลทั้งจากการโจรกรรมข้อมูล หรือการเจาะขโมยข้อมูลทางไซเบอร์ด้วย

        คงเห็นแล้วว่า พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล เป็นกฏหมายที่จะช่วยในเรื่องการรักษาสิทธิการใช้ “ข้อมูลส่วนบุคคล” ให้มีการใช้งานอย่างเหมาะสมตรงตามวัตถุประสงค์การให้บริการ และต้องมีความปลอดภัย แต่กฏหมายเป็นเพียงกรอบปฏิบัติเพื่อนำมาควบคุม เราในฐานะเจ้าของข้อมูล ต้องพึงระมัดระวังการให้ข้อมูลส่วนบุคคล ทั้งกับหน่วยงาน เว็บไซต์ หรือแอปพลิเคชันใด ๆ ด้วยเช่นกัน

        กฏหมายเป็นเครื่องมือช่วยในการควบคุม แต่การรักษา “ข้อมูลส่วนบุคคล” แท้จริงอยู่ที่ตัวเรา

       ลองจินตนาการไปพร้อมๆ กันว่า หากข้อมูลส่วนบุคคล เช่น ข้อมูลบัตรเครดิต ข้อมูล Username Password ที่เราใช้งานบนโทรศัพท์มือถือ หรือบริการต่างๆ โดนจารกรรมทางไซเบอร์ และแฮกเกอร์สามารถนำข้อมูลของเราไปทำธุรกรรมอื่นๆ เช่น รูดซื้อสินค้า โอนเงิน หรือปลอมเป็นตัวเราได้อย่างง่ายดาย จะเกิดอะไรขึ้น…

       ลองดูที่มือถือของเราในวันนี้ ติดตั้งแอปพลิเคชันอะไรบ้าง แน่นอนหลายคนมีแอปพลิเคชันของธนาคารที่เราใช้โอนเงินเข้า-ออก แอปบัตรเครดิต แอปจ่ายบิลค่าน้ำ-ค่าไฟ รวมถึงแอปช้อปปิ้งออนไลน์ ที่ช่วยให้เราจ่ายเงินง่าย-พร้อมโอน มีการช่วยจำบัญชีล็อกอิน จำเลขบัตรเครดิต แค่คลิกเดียวก็สามารถรูดจ่ายเงินได้ทันที…ท่านคิดว่า จะเกิดอะไรขึ้นบ้าง

     3 วิธีง่ายๆ ที่ช่วยให้ “ข้อมูลส่วนบุคคล” ของเราปลอดภัย

    1. หมั่นเปลี่ยนรหัสผ่าน อย่างน้อยทุก ๆ 3 เดือน หรือทุกครั้งที่รู้สึกแปลก ๆ หากมีการขอข้อมูลเพิ่มเติมจากแหล่งที่เราไม่แน่ใจ และเพื่อให้มั่นใจเพิ่มขึ้น เราสามารถโทรสอบถามหน่วยงานนั้นว่า มีการขอ “ข้อมูลส่วนบุคคล” เราเพิ่มเติมจริงหรือไม่ และเพราะอะไร ถ้าเป็นไปได้การเลือกใช้ Password Manager ก็เป็นทางเลือกที่ควรทำ (สามารถดูวิธีการตั้งรหัสผ่านอย่างไรให้ปลอดภัยและจำได้ ได้จากลิงก์นี้)

    2. ตั้งค่า ไม่ให้แอปพลิเคชันเหล่านั้น จำข้อมูลสำคัญเราไว้อัตโนมัติ เราควรจดจำข้อมูลไม่ว่าจะเป็น Username, Password, หมายเลขบัตรเครดิต หรือข้อมูลที่สำคัญต่าง ๆ ไว้เอง และหากคิดว่าบริการเหล่านั้นไม่จำเป็นต้องเข้าถึงข้อมูล เช่น โลเคชัน คลังภาพหรืออัลบั้มรูปภาพในมือถือ เราก็สามารถปิดการเข้าถึงข้อมูลเหล่านั้นได้ 

   3. ควร Log out ออกจากเว็บไซต์หรือแอปพลิเคชันทุกครั้งหลังเลิกใช้งาน

      ในอนาคตต่อจากนี้ “ข้อมูลส่วนบุคคล” จะยิ่งมีค่ามากยิ่งขึ้น เพราะทุกอย่างเริ่มมีการผูกเชื่อมโยงข้อมูลที่สามารถระบุความเป็นตัวตนของเรากับระบบเงิน หรือระบบที่สำคัญต่างๆ ได้มากขึ้น เท่าไหร่ กลโกง หลอกหลวง หรือการจารกรรมข้อมูลทางไซเบอร์ก็ยิ่งมีความซับซ้อนมากขึ้นเท่านั้น หมั่นคอยศึกษาและเรียนรู้ ก็ช่วยให้เรารู้ทัน และปลอดภัย

     ครั้งหน้าเรามาติดตามกันว่า ในฐานะองค์กร หรือบริษัท ต้องทำอย่างไร จึงจะสามารถปฏิบัติตามกฏหมาย พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล… ถึงแม้ว่าวันนี้บริษัทเราอาจจะเริ่มช้าไปบ้าง แต่ก็ดีกว่าไม่เริ่ม หากเกิดเหตุแล้ว ผลเสียจากมูลค่าความเสียหาย และภาพลักษณ์องค์กรที่สูญเสียไปอาจจะกู้คืนมาได้ยาก 

 

    เขียนโดย : คุณอุมารัตน์ โพธิ์ชัย ผู้จัดการส่วนมาตรฐานบริการความปลอดภัยเทคโนโลยีสารสนเทศ ฝ่ายผลิตภัณฑ์ความปลอดภัยเทคโนโลยีสารสนเทศ CAT 

    ติดตามบทความดีๆที่มีประโยชน์แบบนี้เพิ่มเติมได้ทาง https://www.catcyfence.com/it-security/services/