fbpx
News update

“พ.ร.บ.ไซเบอร์” และ “พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล” หน่วยงานเอกชนต้องเตรียมพร้อมอย่างไร-ประชาชนได้อะไร?

www.onlinenewstime.com : ในยุคที่การดำเนินชีวิตประจำวันของคนเรานั้น ต้องเกี่ยวข้อง กับระบบไอทีคอมพิวเตอร์ทั้งหมด และหากเกิดเหตุการณ์ที่ไม่คาดคิด มีมือดีแฮกเกอร์ เข้ามาเจาะระบบโครงสร้างพื้นฐานสำคัญของประเทศ โดยไม่มีแผน หรือมาตรการสกัดภัยไซเบอร์อย่างชัดเจนนั้น จะเกิดอะไรขึ้น  

นั่นจึงเป็นที่มาของ พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 ที่มีผลบังคับใช้ทันที และมีบทบาทในการกำกับดูแล หน่วยงานที่เป็น Critical Infrastructure ใน 7 ธุรกิจหลัก ที่เกี่ยวข้องกับโครงสร้างพื้นฐานสำคัญของประเทศ เพื่อให้เกิดความมั่นคงปลอดภัยขึ้น

ตามมาด้วย พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562  ที่จะมีผลในปีหน้า คือ วันที่ 27 พ.ค. 2563  ซึ่งมีการวิพากษ์วิจารณ์กันว่า เป็นกฏหมายที่สร้างขึ้นมา เพื่อล้วงข้อมูลส่วนตัวนั้น ข้อเท็จจริงเกี่ยวกับเรื่องนี้เป็นอย่างไร

อ. ปริญญา หอมเอนก ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยสารสนเทศ ให้สัมภาษณ์กับเวบไซต์ข่าว ออนไลน์ นิวส์ไทม์ ถึงเรื่องนี้ว่า พระราชบัญญัติการรักษาความปลอดภัยมั่นคงไซเบอร์ พ.ศ. 2562 และพระราชบัญญัติข้อมูลส่วนบุคคล พ.ศ. 2562 ที่ออกมาเมื่อวันที่  27 พ.ค. 2562 ที่ผ่านมา นับว่าเกี่ยวข้องกับทุกภาคส่วน ไม่ว่าจะเป็นภาคประชาชน ภาคธุรกิจ หรือภาครัฐ

“เราทุกคนต่างได้ยินเกี่ยวกับเรื่องนี้ มาประมาณ 2-3 ปีที่ผ่านมา และมีระยะหนึ่ง ที่เป็นกระแสสังคม โดยมีคำถามว่า พรบ. นี้ มีผลกระทบอะไรบ้างหรือไม่ ประชาชน ต้องเตรียมตัวอย่างไร จึงคิดว่าเป็นโอกาสดี ในการอธิบาย เพื่อให้เข้าใจง่ายๆ ว่า พ.ร.บ. 2 ฉบับนี้ มีผลกระทบอย่างไรกับ ภาคประชาชน  ภาคธุรกิจ และภาครัฐ

7 ธุรกิจต้องสกัดแฮกเกอร์เจาะระบบ

อ. ปริญญา อธิบายถึงวัตถุประสงค์หลักของพ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ เป็นที่ทราบกันดีว่า ในปัจจุบันนั้นระบบการทำงานทุกอย่าง ถูกควบคุมด้วยระบบไอทีทั้งหมด ทุกสำนักงานต้องมีคอมพิวเตอร์ เราทุกคนมีโทรศัพท์มือถือ ซึ่งเปรียบเสมือนคอมพิวเตอร์ชนิดหนึ่ง ที่ติดตัวอยู่ตลอดเวลา ในเมื่อมีการใช้งานคอมพิวเตอร์อยู่ทุกที่  ในสำนักงาน  โรงงานอุตสาหกรรม โรงไฟฟ้า รถไฟฟ้าสนามบิน  ต่างก็ใช้คอมพิวเตอร์ทั้งหมด

แน่นอนว่า คอมพิวเตอร์เหล่านี้ มีโอกาสถูกเจาะได้ โดยแฮกเกอร์ผู้ไม่หวังดี แฮกเกอร์ข้ามชาติ ที่สามารถเข้ามาปั่นป่วนในโครงสร้างพื้นฐานสำคัญของประเทศเราได้ (Critical Infrastructure)   

เพราะฉะนั้น หน่วยงานเอกชน ที่เป็น โครงสร้างพื้นฐานสำคัญของประเทศ  ไม่ว่าจะเป็นโทรคมนาคม การขนส่ง โลจิติคส์ พลังงาน การเงินการธนาคาร ซึ่งธุรกิจเหล่านี้ส่วนใหญ่นั้น เอกชนเป็นเจ้าของกว่า 70% จึงต้องอยู่ภายใต้พรบ. และปฏิบัติตามพ.ร.บ. เพื่อเป็นการป้องกันการโจมตี จากแฮกเกอร์ เพราะหากเกิดขึ้น จะมีผลกระทบใหญ่มากกับประเทศ

หน่วยงานที่เป็น Critical Infrastructure จะประกอบด้วย 7 ธุรกิจหลักๆคือ

  1. เกี่ยวกับความมั่นคงของรัฐ
  2. บริการภาครัฐ
  3. ธุรกิจการเงินการธนาคาร
  4. ธุรกิจขนส่ง และโลจิสติคส์
  5. ธุรกิจพลังงาน
  6. ธุรกิจสาธารณสุข (Healthcare)
  7. ธุรกิจโทรคมนาคม (Telecommunication)

ไม่เพียง 7 ธุรกิจหลักเท่านั้น ในอนาคตจะมีธุรกิจด้านอื่นๆตามที่คณะกรรมการกำหนดเพิ่มเติมเข้ามาอีก

ให้ลองนึกภาพโทรศัพท์มือถือ ใช้ไม่ได้ทั้งระบบ เมื่อไปสนามบิน บินไม่ได้ รถไฟฟ้าวิ่งไม่ได้ กดเงินจากเครื่องเอทีเอ็มไม่ได้ ประเทศจะโกลาหลมากแค่ไหน เราจะทำอย่างไรเพื่อป้องกันปัญหาเหล่านี้ และให้ประชาชน ได้ใช้ประโยชน์อย่างปลอดภัย

โดยสรุปการตราพ.ร.บ. ฉบับนี้ขึ้นมา จึงเป็นกฏระเบียบ ข้อบังคับ เหมือนวินัยขั้นต่ำ (Minimum Standard) ที่หน่วยงานโครงสร้างพื้นฐานที่สำคัญของประเทศ จะต้องทำ เพื่อให้เกิดความมั่นคงปลอดภัยขึ้น

ประชาชนจะได้อะไร

เมื่อมีพ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์เกิดขึ้นมานั้น ถามว่าประชาชนจะได้อะไรบ้าง อย่างแรกเลยคือ จะรู้สึกปลอดภัยมากขึ้น และระบบที่ใช้อยู่ในทุกวันนี้ จะไม่ล่มบ่อย

ทุกวันนี้เราประสบปัญหาระบบล่ม  ในเวลาที่เราต้องการใช้งาน มักจะล่ม ทำให้ต้องรอ เสียเวลา และเสียโอกาสไปมาก ทำอย่างไรที่จะสามารถติดตาม ให้หน่วยงานเหล่านี้ มีการทำงานที่มีวินัย

ในพรบ. ฉบับนี้ จะทำให้หน่วยงานต่างๆตื่นตัว เรื่องการโจมตีทางไซเบอร์ (Cyber Attack) ตื่นตัวเรื่อง แฮกเกอร์ เรื่องมัลแวร์ ทำให้ภาพรวมทุกอย่างดีขึ้น ประชาชนจะสบายใจขึ้นอย่างมาก

เอกชนและภาครัฐต้องปรับตัวอย่างไร

หลังพ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ เริ่มมีผลบังคับใช้แล้วนั้น อ. ปริญญา กล่าวว่า สำหรับประชาชน ที่เป็นเจ้าหน้าที่ของรัฐวิสาหกิจ หรือเป็นพนักงานบริษัท ที่เข้าข่าย Critical Infrastructure อย่างเช่น โอเปอร์เรเตอร์มือถือค่ายต่างๆ  ธุรกิจธนาคาร  หน่วยงานรัฐที่เก็บข้อมูลของประชาชน เช่น กรมการปกครอง กรมขนส่งทางบก กรมที่ดิน ส่วนนี้อาจจะเป็นภาระ ต้องจัดเตรียมงบประมาณ เพื่อการทำให้เกิดความมั่นคงปลอดภัย ใน critical infrastructureที่หน่วยงานของตนเองกำกับดูแล  เพราะเป็นเรื่องของการมีวินัยเพิ่มขึ้น ต้องมีการตระเตรียม 3 เรื่องหลักๆ คือ

  1.  บุคคลากร (People)
  2.  กระบวนการ (Process)
  3.  เทคโนโลยี (Technology)

หากไม่มีการจัดการ จะมีโทษตามกฏหมาย ซึ่งโทษนั้น มีทั้งทางอาญา ทั้งปรับ และมีทั้งโทษทางปกครอง รวมทั้งผู้บริหารขององค์กร จะต้องรับโทษนั้นด้วย

คือนิติบุคคลรับโทษแล้ว ถ้าผู้บริหารองค์กรไม่สั่งการ หรือละเว้น หรือสั่งการผิด ทำให้เกิดความไม่มั่นคงปลอดภัยขึ้น ในระบบของตัวเอง ก็ต้องรับโทษตามนิติบุคคลที่ตนเองบริหารอยู่ด้วย  ให้เห็นภาพชัดก็คือ ระดับ CEO, MD, ประธานบอร์ด, กรรมการต่างๆ จะต้องมีความรับผิดชอบด้วย หลังจากกฏหมายฉบับนี้ออกมาแล้ว  

โดยรวมก็คือกฏหมายฉบับนี้ เป็นประโยชน์กับประชาชนคนไทย ทั้ง 70 กว่าล้านคนอย่างแน่นอน ในส่วนขององค์กรต่างๆ ที่มีภาระหน้าที่ ซึ่งช่วงแรกอาจจะติดขัดนั้น สามารถเข้าใจได้ ช่วงแรกอาจจะใช้เวลา 3 เดือน 6 เดือน หรือ 1 ปีในการปรับตัว ทำตามวินัย และมาตรฐานขั้นต่ำ จากนั้นก็ไม่น่าจะมีปัญหาในระยะยาว

จากพ.ร.บ. ฉบับนี้ จะมีสำนักงานระดับชาติเกิดขึ้นมาใหม่ 1 หน่วยงานคือ สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (National Cyber Security Agency) เพื่อการกำกับดูแล

ล้วงตับข้อมูลส่วนตัวจริงหรือ?

อ. ปริญญา อธิบายต่อถึง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ซึ่งมีการกล่าวถึงกันมากในช่วงแรก เพราะบางคนอาจจะกังวลเรื่องนี้ และคิดไปว่าจะมีการล้วงข้อมูล ซึ่งสามารถยืนยันได้ว่าไม่มีอย่างแน่นอน ตรงกันข้ามคือ นอกจากจะไม่ล้วงข้อมูลแล้ว ยังทำให้ประชาชนได้ประโยชน์  ไม่ต่างจากพรบ. ไซเบอร์ และยังมีผลประโยชน์กับประชาชนมากกว่า

กรณีที่มีการโทรเข้ามาที่โทรศัพท์ส่วนตัว เพื่อเสนอสมัครบัตรเครดิต จำหน่ายสินค้า จำหน่ายสมาชิกต่างๆ เหตุการณ์เหล่านี้จะไม่เกิดอีกแล้ว ไม่สามารถทำได้อีกต่อไป

เพราะคนเหล่านั้น ไม่สามารถนำเบอร์โทรศัพท์ของเราไป โดยไม่ได้ขออนุญาตจากเราก่อน

เมื่อมี พรบ. ฉบับนี้ การที่จะมีคนโทรเข้ามา หรือส่งอีเมลมารบกวน เอาข้อมูลของเราไปใช้ในทางมิชอบ บริษัทเหล่านั้น ต้องขออนุญาตจากเจ้าของเบอร์ก่อน ถ้าไม่ขออนุญาต เราสามารถไปแจ้งได้ที่สำนักงานคุ้มครอง ที่มีบทบาทประมาณเดียวกับสคบ. ได้เลย โดยจะมีการตั้งสำนักงานระดับชาติขึ้นมา เรียกว่า สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

ถ้ามีอะไรไม่ดีเกิดขึ้น กับข้อมูลส่วนตัวของเรา เช่น ชื่อ นามสกุล หมายเลขบัตรประจำตัวประชาชน วันเดือนปีเกิด เพศ กรุ๊ปเลือด รสนิยม ต่างๆ

แม้กระทั่งข้อมูลทุกอย่าง ที่เราจับจ่าย ใช้สอยเงิน ซึ่งปัจจุบันมีแอพพลิเคชั่นบางตัว ที่มาเก็บข้อมูล ว่าเราใช้จ่ายอะไรบ้าง ลักษณะนี้ก็ไม่ถูกต้อง ที่ถูกต้อง คือจะต้องบอกก่อน ว่าจะเก็บข้อมูลอะไร พฤติกรรมของ User ที่ใช้ในเครื่อง หากจะเก็บบันทึก จะต้องได้รับความยินยอม

จึงอยากให้ประชาชนทุกคนรู้ว่า เราต้องใช้สิทธิของเราให้เป็นประโยชน์ ยกตัวอย่าง รักษาตัวอยู่ที่โรงพยาบาล A แล้วได้รับการบริการที่ไม่ดี ต้องการย้ายมาโรงพยาบาล B สามารถขอให้ลบข้อมูลของเราทิ้ง หรือย้ายข้อมูลของเรามาที่โรงพยาบาล B ได้ 

ประชาชนจะได้อะไร

บริษัทห้างร้านต่างๆ ไม่มีสิทธิที่จะเก็บข้อมูลของคุณตลอดไป ไม่มีสิทธิที่จะเอาข้อมูลไปประมวลผล Big data โดยไม่ขออนุญาตก่อน

ถ้าขออนุญาตแล้ว จึงจะสามารถทำได้ และการขออนุญาต จะต้องทำเป็นลายลักษณ์อักษร เช่น ทางดิจิทัลก็ต้องมีปุ่มใหญ่ๆ มีอักษรใหญ่ๆ ที่ชัดเจน มีเครื่องหมายให้ click YES หรือ NO ไม่ใช่เป็นการแอบแฝง บังคับว่าต้อง click ถ้าไม่ click จะไปต่อไม่ได้ การทำแบบมัดมือชกอย่างนี้ไม่ได้ จะเห็นได้ว่า การตราพรบ. ฉบับนี้ เป็นประโยชน์กับประชาชนอย่างเต็มๆ ว่าข้อมูลไม่รั่วไหล ได้รับความคุ้มครองความเป็นส่วนตัวมากยิ่งขึ้น

เอกชนและภาครัฐต้องปรับตัวอย่างไร

สำหรับภาคธุรกิจ ประโยชน์ที่ได้รับคืออะไรบ้างนั้น อ. ปริญญา อธิบายว่า จะไม่ค่อยมีปัญหาทางกฏหมาย เรื่องการถูกฟ้องร้องกับประชาชน แต่จะต้องมีภาระเพิ่มขึ้น ซึ่งส่วนนี้จะต่างจาก พรบ. การรักษาความมั่นคงปลอดภัยไซเบอร์ ซึ่งเฉพาะ Critical Infrastructure แต่ พรบ. คุ้มครองข้อมูลส่วนบุคคล ครอบคลุมถึงทุกบริษัท ห้างร้าน เอกชน และส่วนงานราชการทั้งหมด ซึ่งจะต้องมีเจ้าหน้าที่คุ้มครอง ที่เรียกว่า DPO (Data Protection Officer) ถ้าไม่มี จะถือว่าผิดกฏหมาย  

DPO จะเป็นอาชีพใหม่ เหมือนผู้ตรวจบัญชี ที่เป็น CPA ที่เป็นผู้ตรวจสอบบัญชีที่ได้รับอนุญาต DPO ก็เช่นกัน  ต้องมี License ต้องมี Qualification

อย่างไรก็ตาม หลายบริษัทบอกว่า วันนี้ระบบไอทียังไม่พร้อม DPO ก็ยังไม่มี ข่าวดีก็คือ พรบ. ประกาศ วันที่ 27 พ.ค. 2562 แต่จะมีผล วันที่ 27 พ.ค. 2563 คือปีหน้า ซึ่งหมายถึงมีเวลา 1 ปี ในการตระเตรียมระบบต่างๆ ซึ่งก็อาจจะมีข้อเสียอยู่ สำหรับประชาชนในระหว่างนี้ เพราะกฏหมายออกแล้ว แต่ยังไม่ได้รับการคุ้มครอง เนื่องจากบริษัทห้างร้านยังต้องใช้เวลา ในการเตรียมความพร้อม

จะเกิดอะไรขึ้นถ้าข้อมูลส่วนบุคคลรั่วไหล

พูดง่ายๆเลยก็คืองานเข้า ตั้งแต่จะโดนเสนอขายสินค้า เสนอโปรโมชั่น การโทร หรือส่งข้อความ ส่งอีเมลมารบกวน ทำให้เสียเวลา หรือก่อความรำคาญ ประเด็นนี้ เป็นประเด็นแรกๆ  ที่เราอาจจะมองว่า ไม่มีผลกระทบมาก ไม่ต่างจากวันนี้

แต่หากข้อมูลส่วนตัว รั่วไหลออกไป แล้วก่อให้เกิดการเสื่อมเสียชื่อเสียง มีผลกระทบ ซึ่งกรณีนี้ไม่ต่างอะไร จากการหมิ่นประมาท ส่วนนี้มีกฏหมายระบุไว้ชัดเจนว่า ถ้ามีการกระทำ ให้บุคคลผู้นั้นเสื่อมเสียชื่อเสียง สามารถฟ้องร้องเอาความได้ ตั้งแต่ประเด็นทั่วไป เช่น การถูกถ่ายรูป และนำไปโพสท์ลงในโซเชียล โดยที่เราไม่รับรู้ ก็สามารถเอาผิดได้ เพราะเรามีสิทธิร้องเรียนได้

โดยสรุปก็คือ พ.ร.บ. ทั้ง 2 ฉบับ นี้ จะมาช่วยให้เรามั่นใจ อุ่นใจยิ่งขึ้น กับการทำธุรกรรมทางอิเลคโทรนิคส์ การใช้โครงสร้างพื้นฐานที่สำคัญของชาติ หรือการใช้บริการออนไลน์ต่างๆ ว่าจะมีความปลอดภัย และไม่ถูกละเมิดเรื่องข้อมูลส่วนบุคคล

ทำความเข้าใจ “พ.ร.บ.ไซเบอร์” หน่วยงานเอกชนเตรียมพร้อมอย่างไร-ประชาชนได้อะไร? (คลิป)

error: Content is protected !!