การป้องกันข้อมูลรั่วไหลยังคงเป็นปัญหาที่ต้องได้รับการแก้ไขอย่างต่อเนื่อง โดยมี สคส. หรือ PDPC เป็นหน่วยงานศูนย์กลางในการเข้ากำกับดูแลและป้องกัน ที่ผ่านมาตามแผนงานเชิงรุกสามารถลดจำนวนข้อมูลรั่วไหลได้ลงเป็นลำดับ ล่าสุด เตรียมจัดงานใหญ่ “ผนึกกำลังเครือข่ายป้องกันและคุ้มครองข้อมูลส่วนบุคคลของประเทศ” เพื่อสร้างความร่วมมือและตระหนักรู้ในการช่วยกันป้องกัน ตั้งเป้าปี 68 รวมเครือข่ายหน่วยงานรัฐ อปท. และเอกชน เข้าร่วม กว่าหมื่นหน่วยงาน
ทั้งนี้ พ.ต.อ.สุรพงศ์ เปล่งขำ ผู้อำนวยการ สำนักตรวจสอบและดูแล สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคค (สคส.) หรือ Office of the Personal Data Protection Commission : PDPC เปิดเผยถึงความคืบหน้าในการดำเนินการคุ้มครองข้อมูลส่วนบุคคลมิให้เกิดการรั่วไหล ล่าสุดว่า นับแต่เริ่มต้นมาตั้งแต่เดือนพฤศจิกายน 2566 PDPC ตั้งมีนโยบายในการกำกับและดูแลเชิงรุก 3 เรื่องด้วยกัน คือ การป้องปราม การป้องกัน และการผนึกกำลัง โดยในเรื่องการป้องปราม PDPC ได้มีการจัดตั้งศูนย์เฝ้าระวังการละเมิดข้อมูลส่วนบุคคล หรือ PDPC Eagle eye ขึ้น เพื่อเป็นเครื่องมือในการเข้าสำรวจตรวจสอบสื่อโซเชียลเน็ตเวิร์ก เว็บไซด์ต่างๆ ว่า มีการเผยพร่ข้อมูลที่มีความเสี่ยงที่จะมีการละเมิดหรือไม่ แล้วก็เข้าไปจัดการ ขณะที่ในส่วนของการป้องกัน PDPC มีแบบตรวจแนะนำให้ทุกหน่วยได้กำกับดูแล เพื่อให้มีการจัดสภาพแวดล้อมในโอกาสที่จะมีการกระทำผิด และส่วนการผนึกกำลัง PDPC มีการตรวจ แนะนำ ให้ความรู้ ให้เจ้าของข้อมูลมีความตระหนักรู้และมีภูมิคุ้มกันที่จะไม่ให้ถูกละเมิดและไม่ไปละเมิดผู้อื่น
ทั้งนี้ จากการดำเนินงานเริ่มใน 3 เดือนแรก จากจุดเริ่มต้นเมื่อเดือนพฤศจิกายน 2566 PDPC ได้เข้าสุ่มตรวจสอบหน่วยงานต่างๆ ไปประมาณหมื่นกว่าหน่วย พบมีการรั่วไหลของข้อมูลหรือมีความเสี่ยง ประมาณ 20 กว่าเปอร์เซ็น ซึ่งได้นำมาวิเคราะห์ที่เกิดความเสี่ยงส่วนใหญ่นั้นเกิดจากอะไร พบ
1. ก็คือการเปิดเผยเกินความจำเป็น ซึ่งได้แก้ไขโดยแนะนำในเรื่องการพรางข้อมูล คือการปิดเลข 4-5 หลักของเลขบัตรประชาชนหรือจากหมายเลขโทรศัพท์ เพื่อไม่ให้มิจฉาชีพนำไปใช้ได้ 2. เรื่องความผิดพลาดของบุคคล หรือ human error ซึ่งได้ใช้มาตรการเชิงองค์กรในการกำกับดูแลซึ่งกันและกัน เช่น ส่งอีเมลผิดคน สลับผิด หรือทำเอกสารหาย โดย PDPC ได้แนะนำในเรื่องแบบตรวจ 10 ด้าน และ 3. ในเรื่องของการส่งข้อมูลเฉพาะเจาะจงบุคคลแต่ไม่มีการเข้ารหัส ก็แนะนำในเรื่องของ Encryption (แปลงข้อมูลให้เป็นรหัสลับ) ที่ตอนนี้ทำได้ง่ายในทุกโปรแกรมจะมีในการเข้ารหัสก่อนส่ง เพื่อที่หากมีใครไปค้นหา (search) อย่างในกูเกิล (google) ก็จะไม่เจอ
อย่างไรก็ตาม ที่สำคัญที่สุดก็คือ เราตรวจพบส่วนใหญ่จะเกิดขึ้นกับหน่วยงานองค์กรปกครองส่วนท้องถิ่น (อปท.) อันนี้ได้สร้างความตระหนักรู้ให้ อปท.ได้รับทราบไปแล้ว จากการจัดการขับเคลื่อนให้กับ อปท. ไป 7,800 กว่าหน่วย ไปเมื่อไม่นานมานี้ และผลก็ปรากฎออกมาว่า ในสิ้นเดือนสิงหาคมที่ผ่านมา เราตรวจสอบไป 43,561 หน่วย พบข้อมูลรั่วไหล 6,264 เรื่อง แก้ไขไปแล้ว 6,259 เรื่อง โดยเป็นเรื่องของ อปท. 2,850 เรื่อง คือเป็นการดำเนินงานที่พบแล้วก็แก้ในทันที โดยพบเป็นเรื่องเปิดเผยเกินความจำเป็น ขาดความระมัดระวัง แต่พอแจ้งไป อปท.เหล่านั้นทราบเรื่องก็เอาลงทันที ก็คือเรียกว่า เจอก่อนโจร
“คือถ้าเทียบสัดส่วนนับแต่เดือนพฤศจิกายน 2566 ที่เราเริ่มดำเนินการครั้งแรก สัดส่วนคือเราตรวจอยู่ 7,290 หน่วย เราพบ 2,289 หน่วย หรือราว 31.4% แต่หลังจากที่เราดำเนินการ พบสาเหตุแล้วก็มีการแจ้งตือน ปัจจุบันนี้เราสุ่มตรวจอย่างเดือนล่าสุดสิงหาคมประมาณ 12,000 หน่วย พบ 178 หรือประมาณ 1.48% เท่านั้นเอง ตอนนี้ข้อมูลที่จะถูกเผยแพร่โดยไม่ได้ขาดความระมัดระวังก็ลดน้อยลงไปแล้ว ซึ่งตรงนี้เป็นสาเหตุที่พวกมิจฉาชีพนำข้อมูลเปิดเหล่านี้มาหลอกลวง ซึ่งตรงนี้เรายังคงประสานงานกับเจ้าหน้าที่ตำรวจอย่างเข้มข้นอยู่”
พ.ต.อ.สุรพงส์ กล่าวด้วยว่า เรายังคงต้องอาศัยความร่วมมือจากทุกหน่วยงาน เพราะข้อมูลอยู่กับเขา ดังนั้น สคส. หรือ PDPA จะเป็นศูนย์กลางในการช่วยกำกับดูแลให้ ก็คือมีการเฝ้าระวังเองด้วย และก็มีการถ่ายทอดเหมือนเป็นการป้องปราม คือเมื่อเราเจอ เราแจ้ง และเราแก้ แต่ถ้าเราพบว่ามีการทำผิดก็จะมีการขยายผลบังคับทางกฎหมายด้วย ซึ่งจะมีทั้งทางแพ่ง อาญา และทางปกครอง ซึ่งในส่วนของปกครอง ถ้าเราพบว่าเกิดจากการไม่มีมาตรการตามที่กฎหมายกำหนดก็จะมีการรายงานไปยังคณะกรรมการผู้เชี่ยวชาญที่จะพิจาณาคำสั่งในทางปกครอง ซึ่งเมื่อปลายเดือนกรกฎาคม ที่ผ่านมา ได้มีการสั่งปรับบริษัทเอกชนไปแล้วรายหนึ่งจำนวน 7 ล้านบาท ก็ขึ้นอยู่กับความร้ายแรงของพฤติกรรม ก็จะกลายเป็นบรรทัดฐานให้หน่วยงานอื่นๆ ได้เพิ่มความระมัดระวัง โดยปัจจุบันมีเรื่องที่อยู่ในการพิจารณาของคณะกรรมการผู้เชี่ยวชาญ 5 เรื่องด้วยกัน
ส่วนของการป้องกันจะมีการกำกับดูแลให้ทุกหน่วยงานปฏิบัติตามกฎหมายนั้น ตามมาตรา 41 กำหนดไว้ 85 หน่วยงานรัฐ ซึ่งไม่ได้รวมถึง อปท. แต่จากการสำรวจของเราเห็นว่า การปฏิบัติงานของ อปท. มีการเผยแพร่ของมูลที่อาจเกิดผลกระทบต่อประชาชนค่อนข้างมาก และหลังจากการจัดงานขับเคลื่อนให้มีการรับรู้ถึงการให้ความคุ้มครองข้อมูลส่วนบุคคลให้กับ อปท.ไปเมื่อเร็วๆ นี้ และให้มีการแจ้งผู้ประสานงาน ก็พบว่า จริงๆ แล้ว หน่วยงาน อปท.มีความพร้อมที่จะดูแลให้กับประชาชนพอสมควร ดังนั้น จะมีการนำเสนอข้อมูลเหล่านี้ให้กับคณะกรรมการ PDPA ว่า อปท. ซึ่งมีอยู่ด้วยประมาณ 7,800 หน่วย น่าที่จะต้องถูกจัดให้มีเจ้าหน้าที่คุ้มครองส่วนบุคคลตามกฎหมายได้แล้ว ซึ่งตอนนี้อยู่ระหว่างการนำเสนอให้รวม อปท.เข้ามาอยู่ในหน่วยงานตามกฎหมายต่อไปด้วย
ทั้งนี้ พ.ต.อ. สุรพงศ์ ระบุว่า แม้ที่ผ่านมา จะได้รับความร่วมมือจากหน่วยงานต่างๆ เป็นอย่างดี แต่ในขั้นตอนต่อไปก็คือ การผนึกกำลัง โดยจะมีการสร้างกิจกรรมเพื่อเป็นการกระตุ้นให้เกิดพลังขึ้นอีกครั้ง ซึ่งจะเป็นครั้งใหญ่ที่จะผนึกกำลังและยกระดับการทำงานและความร่วมมือจากทุกหน่วยงาน รวมถึง อปท.ต่างๆ เข้ามาร่วมกัน โดยจะมีการจัดงานเรียกว่า “งานผนึกกำลังเครือข่ายป้องกันและคุ้มครองข้อมูลส่วนบุคคลของประเทศ” หลังจากที่เคยจัดสร้างความตระหนักรู้ให้เฉพาะกับหน่วยงาน อปท.ไปแล้วครั้งหนึ่ง แต่ครั้งนี้จะรวมหน่วยงานทั่วประเทศและ อปท.ในครั้งเดียวพร้อมกัน
การจัดงานครั้งนี้ ถือเป็นการยกระดับความร่วมมือ โดยได้เรียนเชิญนายกรัฐมนตรีมาเป็นประธาน เพราะจะเกี่ยวข้องกับทุกหน่วยงานทั้งรัฐและเอกชน โดยตั้งเป้าไว้ประมาณสิ้นเดือนตุลาคมนี้ หรือไม่เกินเดือนพฤศจิกายนนี้ ก็ขึ้นอยู่กับภารกิจของผู้บริหาร ซึ่งการจัดงานครั้งนี้จะเป็นคือเป็นการร่วมเชิงรุกด้วยกันทั้งหมด ซึ่งจะไปสร้างความเชื่อมั่นให้กับประชาชนไปสู่การเสริมสร้างเศรษฐกิจดิจิทัลให้มีคนมั่นใจที่จะมาลงทุนธุรกิจอย่างปลอดภัย แต่ทั้งนี้ทั้งนั้น เราจะต้องแสดงภาพให้เห็นว่ามีการรวมพลังกันอย่างแท้จริง การจัดงานครั้งนี้ก็คือการแสดงออกการรวมพลัง
พ.ต.อ.สุพงศ์ กล่าวด้วยว่า จากการดำเนินงานในเฟสแรกที่ผ่านมา ในเชิงรุก คือ ป้องปราม ป้องกัน ผนึกกำลัง เกิดผลสัมฤทธิ์ที่ 3 ด้าน โดยในการป้องปรามพบ การรั่วไหลของข้อมูลลดลง โดยเฉพาะการสุ่งตรวจในกลุ่ม อปท. ขณะที่ในส่วนของการป้องกัน คือจากกฎหมายที่กำหนดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ใน 85 หน่วยงานรัฐ นั้นปัจจุบันมีเพิ่มขึ้นเป็น 125 หน่วยงานแล้ว
ส่วนในหน่วยงานที่มีการเก็บข้อมูลจำนวนมากหรือแสน records ขึ้นไปที่เป็นเอกชน เราก็ได้สร้างการรับรู้มาอย่างต่อเนื่อง มีการส่งแบบฟอร์มให้ประเมินตนเองว่า อยู่ในข่ายที่จะต้องมีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer : DPO) เพื่อไปกลไกในการประสานงานเพื่อช่วยกันคุ้มครองข้อมูลส่วนบุคคลมิให้รั่วไหล ปัจจุบันมีแล้วถึง 2,089 หน่วยงาน รวมความแล้วคือ ในส่วนของการป้องกัน จากที่กฎหมายกำหนดเพียง 85 หน่วยงานรัฐ ตอนนี้มีทั้งรัฐและเอกชนรวมกันถึง 2,214 หน่วยงานแล้ว ดังนั้น เป้าหมายในปีหน้าที่จะให้ อปท.เข้ามาร่วมด้วย จะมีรวมกันถึง 1 หมื่นหน่วยงาน ซึ่งตรงนี้จะต่อยอดให้ได้รับการคุ้มครองข้อมูลในวงกว้างมากขึ้น
พ.ต.อ.สุพงศ์ ขยายความต่อไปว่า ในส่วนของการผนึกกำลัง ที่มีแผนแม่บทการคุ้มครองข้อมูลส่วนบุคคลที่มีอยู่ 4 ยุทธสาสตร์ เราจะทำอะไรต่อ ก็คือ แผนแม่บทเหมือนเป็นคัมภีร์ให้กับทุกหน่วยงานทั้งภาครัฐและเอกชน สามารถนำแผนแม่บทไปปรับเป็นแผนของหน่วยงานตัวเองได้ ซึ่งก็จะเห็นผลเป็นรูปธรรมกับประชาชนมากขึ้น ตรงนี้เราจึงมีแนวรวมทั้งในเรื่องของการป้องปรามก็คือ หน่วยงานที่พบความเสี่ยง เราแจ้งไปแล้วเขาแก้ไข การป้องกันเรามีเครือข่ายมากขึ้น ส่วนการผลึกกำลังเรามีหน่วยงานที่บูรณาการตามแผนแม่บททั้งหมด 11 ภาคอุตสาหกรรมและที่เป็นหน่วยงานกำกับดูแล (regulator) อีก 6 หน่วยงานรับผิดชอบหลักสนับสนุนอีก 58 หน่วย
“แผนแม่บทเราวางไว้ถึงปี 2570 ซึ่งเมื่อถึงเราจะมีความเข้มแข็งของการคุ้มครองข้อมูลส่วนบุคคล โดยแผนแม่บทมีขั้นตอน คือ มีการตั้งคณะทำงานเพื่อขับเคลื่อนแผนแม่บท และมีการตั้งคณะกรรมการย่อย ซึ่งจากที่แผนแม่บทมี 4 ยุทธศาสตร์ เราก็ตั้งตาม 4 ยุทธศาสตร์ ชุดแรกก็คือ การบังคับใช้กฎหมาย ชุดที่สองก็คือในเรื่องของการพัฒนาบุคลากร สามก็ในเรื่องของสังคมเศรษฐกิจดิจิทัล สี่ก็คือในเรื่องของนวัตกรรมเทคโนโลยี ซึ่งจะมีตัวชี้วัดทุกไตรมาสเสนอต่อกระทรวงดิจิทัลฯ ปลายปี 68
“สำหรับการดำเนินงานของ PDPA eagle eye จากพฤศจิกายน 66 ถึงสิงหาคม 67 ตรวจไปแล้ว 43,561 หน่วย รั่วไหล 6,264 เรื่อง แก้ไขแล้ว 6,259 เรื่อง เป็น อปท. 2,850 เรื่อง ภาครัฐ 2,452 เรื่อง รองลงมาก็คือ การศึกษา ฯลฯ นอกจากตรวจข้อมูลรั่วไหลแล้วเรายังตรวจการซื้อขายข้อมูลโดยมิชอบ ซึ่งเป็นสาเหตุที่ข้อมูลหลุดไปอยู่กับมิจฉาชีพ ซึ่งส่วนใหญ่เป็นขายข้อมูลบนเฟซบุ๊ก มีอยู่ 110 เรื่อง แต่เรามีความมือกับทาง Meta พอเรา report เข้าไปเขาเอาลงให้เลย คือปิดไปแล้ว 100
นอกจากนั้น มีการขยายผลจากแก๊งคอลล์เซ็นเตอร์ (call center) คือเรามีความร่วมมือกับเจ้าหน้าที่ตำรวจ เพราะเราพบว่า จากสอบถามข้อมูลจากผู้ต้องหาคอลล์เซ็นเตอร์ วิธีการในการหลอกลวงส่วนใหญ่เกือบ 100% อาศัยข้อมูลส่วนบุคคลมาเป็นเครื่องมือในการหลอกลวง เรามีความร่วมมือกับเจ้าหน้าที่ตำรวจคือเมื่อมีการจับกุมให้ขยายผลว่า มีการนำข้อมูลส่วนบุคคลมาใช้หรือไม่ เพื่อจะได้ตรวจสอบว่ารั่วไหลมาจากส่วนไหนจะได้ดำเนินการป้องกันตั้งแต่ต้นทาง อย่างล่าสุดมีกรณีที่ตำรวจภาค 2 จับกุมแก๊งคอลล์เซ็นเตอร์ได้ที่ชลบุรี ที่ย้ายถิ่นฐานมาจากกัมพูชา หลังถูกตัดสัญญาณเน็ตตามแนวชายแดน โดยจากความร่วมมือพบไฟล์ข้อมูลที่ไปคล้ายกับข้อมูลที่มาจากกรมบัญชีกลางก็ได้แจ้งกลับไปเพื่อให้เกิดการระวังมากขึ้น รวมถึงตัวเจ้าของข้อมูลเองด้วยก็ได้มีการแจ้งเตือนไปเช่นกัน และรวมถึงการป้องกันที่จะไม่ให้เกิดการั่วไหลขึ้นได้อีก ซึ่งอยู่ระหว่างดำเนินร่วมกันการระหว่าง สคศ.และกรมบัญชีกลาง ซึ่งข้อมูลน่าจะเป็นการรั่วไหลมานานแล้วตั้งแต่ปี 2565
"เรามีการขยายผลตอนนี้รวม 8 เรื่อง โดยการกระทำผิดจะมี 3 ส่วน 1. ก็คือปลายน้ำ ตัวมิจฉาชีพ 2. ตรงกลาง ก็คือตัวที่มีการซื้อขายแลกเปลี่ยนข้อมูลไปให้มิจฉาชีพ มีการขยายผลจับไปแล้ว 9 คน ส่วนต้นทางจากหน่วยงานก็ต้องมีมาตรการที่เหมาะสมเช่นที่มีการปรับเอกชนไปแล้วหนึ่งราย
ทั้งนี้ ภายหลังการจัด “งานผนึกกำลังเครือข่ายป้องกันและคุ้มครองข้อมูลส่วนบุคคลของประเทศ” จะมีการประเมินผลอย่างต่อเนื่อง เพื่อดำเนินการในเชิงรุกให้เกิดความร่วมมือกว้างขึ้นทั้งในภาครัฐและเอกชน และจะมีการสุ่มตรวจให้มากขึ้นกว่า 5 หมื่นหน่วยเป็นลำดับๆ ไป พ.ต.อ.สุรพงศ์ กล่าวในที่สุด