ดิลก ถือกล้า | บรรณาธิการวารสารการบริหารฅน

ในช่วงต้นเดือนมกราคม 2564 ข่าวที่เกี่ยวข้องกับข้อมูลส่วนบุคคลที่ได้รับความสนใจจากสาธารณะที่มากที่สุดคือ ข่าวที่บริษัทให้บริการด้าน Internet รายใหญ่เจ้าหนึ่งถูก Hacker เจาะเข้าฐานข้อมูลเจาะมาได้ ทั้งข้อมูลด้านการเงินของบริษัท, ฐานข้อมูลฝ่ายบุคคล รวมถึงข้อมูลลูกค้ารวมทั้งหมดกว่า 8 ล้านรายการ ที่เจ็บแสบคือ Hacker อ้างว่า เจาะเอาข้อมูลจากเซิร์ฟเวอร์โดยไม่พบการป้องกันใดๆ รวมถึงมีการแจ้งเตือนก่อนการโจมตีอีกด้วย โดยรอบแรก Hacker ได้แฮกข้อมูลส่วนตัวของลูกค้าและพนักงานของบริษัทลูกพร้อมกับเรียกค่าไถ่เป็นจำนวนหนึ่ง แต่บริษัทแม่ได้เงียบเฉยทำให้ Hacker กลุ่มนี้ยกระดับเจาะข้อมูลส่วนบุคคลของบริษัททั้งกลุ่มและได้ข้อมูลดังกล่าวข้างต้นไปกว่า 8 ล้านรายการ โดยบริษัทนี้ได้ออกมาแถลงข้อเท็จจริงว่า ถูกเจาะข้อมูลไปเรียกค่าไถ่ และขอให้สื่อมวลชนและประชาชนทั่วไปอย่าได้กระพือข่าวออกไปเพราะจะเป็นการสร้างชื่อเสียงให้กับ Hacker รายนี้

ส่วนตัวผมให้ความสนใจเรื่องนี้ในประเด็นของ พรบ. คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ในประเด็นต่างๆดังต่อไปนี้

ประเด็นที่หนึ่ง ใครคือผู้ที่จะต้องรับผิดชอบต่อการถูกเจาะข้อมูล เป็นบริษัทในฐานะเป็น Data Controller หรือ พนักงานที่ดูแลระบบ Data Security หรือต้องรับผิดชอบคู่

ผมมีความเห็นว่า เนื่องจาก PDPA ได้เลื่อนการบังคับใช้ “สำหรับหน่วยงาน” ออกไปจนถึง 1 มิถุนายน 2564 ดังนั้น หากเจ้าของข้อมูลหรือ Data Subject ต้องการร้องเรียนถึงความเสียหายที่เกิดขึ้นจากที่ข้อมูลส่วนบุคคลของตนถูกละเมิด จะต้องร้องเรียนในฐานกฎหมายอื่น เช่น การละเมิดทางแพ่ง จะไม่ใช่การใช้สิทธิตามที่กำหนดไว้ใน PDPA โดยหากพิสูจน์ได้ว่า บริษัทไม่ได้กำหนดมาตรการ ไม่มีแนวทางเรื่อง Data Security บริษัทก็จะต้องรับผิดชอบการปล่อยให้เกิดการละเมิด แต่หากบริษัทมีการกำหนดมาตรการไว้เป็นอย่างดี แต่พนักงานไม่ทำตามมาตรการดังกล่าว บริษัทยังต้องรับผิดชอบต่อการเกิดความเสียหายในฐานะนายจ้าง แล้วไปไล่เบี้ยกับพนักงานเป็นการภายในที่ไม่ทำตามมาตรการบริษัท

ประเด็นที่สอง บริษัทควรต้องทำอย่างไรหรือไม่ต่อเจ้าของข้อมูลและต่อหน่วยงานราชการ

ผมมีความเห็นว่า หากเป็นช่วงตั้งแต่วันที่ 1 มิถุนายน 2564 เป็นต้นไป บริษัทจะต้องแจ้งแก่สำนักงานข้อมูลส่วนบุคคลถึงการเกิดการรั่วไหลของข้อมูลส่วนบุคคลภายใน 72 ชั่วโมงนับตั้งแต่ทราบเหตุที่เกิดการรั่วไหล เพราะถือได้เกิดการละเมิดที่มีความเสี่ยงที่จะกระทบต่อสิทธิและเสรีภาพของบุคคลแล้ว ส่วนประเด็นต่อไปคือว่า แล้วจะต้องแจ้งแก่เจ้าของข้อมูลส่วนบุคคลหรือไม่ ก็จะขึ้นอยู่กับการตีความว่า มีความเสี่ยง “สูง” หรือไม่ ที่จะกระทบต่อสิทธิและเสรีภาพของบุคคล ถ้าเสี่ยงสูงจะต้องแจ้งเจ้าของข้อมูลส่วนบุคคลพร้อมมาตรการเยียวยา ประเด็นคือว่า หากมีการตีความว่า มีความเสี่ยงสูงจะแจ้งอย่างไรกับเจ้าของข้อมูลจำนวน 8ล้านกว่าคน ซึ่ง PDPA ไม่ได้กำหนดแนวทางไว้ ซึ่งหากเหลือบไปมอง GDPR (General Data Protection Regulation) ที่เป็นต้นทางของ PDPA จะมีการระบุไว้ว่า หากเจ้าของข้อมูลส่วนบุคคลมีเป็นจำนวนมากจนไม่สามารถจะแจ้งเป็นรายบุคคลได้ GDPR ระบุไว้ว่า สามารถที่จะแจ้งเป็น Public เป็นกลุ่มใหญ่ได้ ซึ่งผมคิดว่า PDPA อาจจะต้องปรับแนวทางนี้มาใช้

อย่างไรก็ตาม เนื่องจากการเกิดเหตุครั้งนี้ เกิดขึ้นก่อนวันที่ 1 มิถุนายน 2564 ดังนั้น บริษัทจึงไม่ต้องมีการดำเนินการอะไรข้างต้น เหลือเพียงการทำอย่างไรที่จะสร้างความมั่นใจในทางธุรกิจ และเตรียมรับมือหากมีเจ้าของข้อมูลร้องเรียนหรือฟ้องร้องจากกรณีนี้ ดังที่ผมให้ความเห็นไว้ในประเด็นที่หนึ่ง

กรณีนี้ที่เกิดขึ้นกับบริษัทนี้ ทำให้ผมคิดถึงกรณีที่เกิดขึ้นกับสายการบินชื่อดังแห่งหนึ่งของยุโรปที่ถูก Hacker เจาะข้อมูลได้ข้อมูลลูกค้าทั้งชื่อนามสกุล ข้อมูลการติดต่อ ข้อมูลทางการเงิน ไปประมาณ 5 แสนกว่าข้อมูล และจากการที่ไม่สามารถพิสูจน์ได้ว่า ได้มีการจัดการบริหารเรื่อง Data Security ได้ดีเพียงพอ ทำให้ถูกสำนักงานคณะกรรมาธิการข้อมูลของสหราชอาณาจักร (ICO) ลงโทษปรับเงินเป็นจำนวน 183.39 ล้านปอนด์ ประมาณ 7,069,820,000 บาท ซึ่งเป็นเงินค่าปรับที่สูงมาก ถึงแม้ว่า บทปรับทางแพ่งของ PDPA อาจจะไม่สูงมากเท่า GDPR แต่ก็เป็นเรื่องที่ไม่ควรเสียหากบริษัทในไทยได้วางแนวทาง วางมาตรการป้องกันไว้อย่างดี

กรณีที่เกิดขึ้นนี้ เป็นสัญญาณเตือนที่บริษัทและหน่วยงานต่างๆจะต้องเตรียมการอย่างดี เพราะหลัง 1 มิถุนายน 2564 ผลที่ตามมาจะไม่สามารถจัดการให้จบลงได้อย่างง่าย ๆ อีกต่อไป