สคส.เผยยังไม่รู้หน่วยงานไหนทำข้อมูลรั่ว
กรณี 9Near แม้ว่าจะได้ตัวคนร้ายแล้ว แต่ยังไม่สามารถหาข้อสรุปได้ว่าหลุดมาจากหน่วยงานไหน หลังเรียกกว่า 20 หน่วยงานต้องสงสัยมาชี้แจง เหตุข้อมูลที่หลุดถูกเก็บจากทุกหน่วยงานเหมือนกัน
นายเธียรชัย ณ นคร ประธานกรรมการคุ้มครองข้อมูลส่วนบุคคล เปิดเผยว่าปัจจุบันปัญหาข้อมูลส่วนบุคคลรั่วไหลที่เกิดขึ้น มีสาเหตุจากระบบการเก็บข้อมูลส่วนบุคคลขององค์กรต่างๆ ที่เป็นผู้ควบคุมข้อมูล ยังไม่ได้มาตรฐาน และบุคคลในองค์กรเป็นผู้ทำรั่วไหลเอง รวมถึงการถูกแฮกเกอร์ทำการแฮกข้อมูลในระบบ
ทั้งนี้ ตาม พ.ร.บ คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือกฎหมายพีดีพีเอ ผู้ควบคุมข้อมูลจำเป็นต้องเก็บข้อมูลส่วนบุคคล ให้มีความปลอดภัย ไม่ให้รั่วไหล หากเกิดกรณีทำข้อมูล ของประชาชนรั่วไหลแล้ว ต้องแจ้งสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ภายใน 72 ชั่วโมง และต้องแจ้งทางเจ้าของข้อมูลให้รับทราบด้วย
หากการสอบสวนของคณะกรรมการผู้เชี่ยวชาญของสคส.พิจารณา ออกมาว่าองค์กรนั้นๆ มีความบกพร่อง ไม่ได้มาตรฐานขั้นต่ำ มีความผิดจริงก็จะมีโทษปรับทางปกครองตั้งแต่ 1 ล้านบาท สูงสุดไม่เกิน 5 ล้านบาท ซึ่งต้องดูที่เจตนาด้วย บางกรณีระบบได้มาตรฐานแล้วแต่อาจเกิดจากเหตุสุดวิสัยก็ไม่จำเป็นต้องมีความผิดเสมอไป
ขณะที่ในมุมของประชาชนที่ข้อมูลส่วนบุคคลรั่วไหล ก็สามารถฟ้องร้องทางแพ่งต่อศาลได้ เพื่อเรียกร้องค่าเสียหายจากองค์กรที่ทำข้อมูลรั่วไหล แต่ต้องแสดงให้ศาลเห็นว่าเป็นผู้เสียหายอย่างไร และมากน้อยแค่ไหน ซึ่งศาลจะเป็นผู้พิจารณาตัดสิน นอกจากนี้ยังสามารถร้องเรียนเข้ามายัง สคส. เพื่อเรียกองค์กรที่ทำข้อมูลรั่วไหล มาเจรจา ไกล่เกลี่ยและเยียวยาความเสียหายได้
ด้าน นาย ศิวรักษ์ ศิวโมกษธรรม เลขาธิการ สคส. กล่าวว่า กรณีการแฮกเกอร์ 9near ที่อ้างว่ามีการแฮกข้อมูล 55 ล้านรายชื่อ ซึ่งได้เข้ามอบตัวกับตำรวจแล้วนั้น ในส่วนของผู้เสียหายที่ข้อมูลรั่วไหล ยังไม่มีการเข้ามาร้องเรียนกับทาง สคส. ขณะที่ทางคณะกรรมการผู้เชี่ยวชาญคณะที่ 2 (ที่พิจารณาเกี่ยวกับเรื่องร้องเรียนทางเทคโนโลยีและอื่นๆ) ก็ได้มีการเชิญ หน่วยงานที่สงสัยว่าตนเองเป็นผู้ทำข้อมูลรั่วไหลมาสอบสวนแล้ว
ขณะนี้อยู่ระหว่างการพิจารณา และขอข้อมูล จึงยังไม่ได้ข้อสรุปว่าหน่วยงานไหนที่ทำข้อมูลรั่วไหล โดยข้อมูลที่รั่วไหลนั้นเป็นข้อมูลที่มีเหมือนกันทุกหน่วยงาน
ดังนั้นจึงต้องมีการตรวจสอบจากประวัติการจัดเก็บข้อมูลการจราจรทางคอมพิวเตอร์ ว่ามีใครเข้ามาแฮกข้อมูลไปหรือไม่ ซึ่งตามกรอบระยะเวลา พิจารณาตามกฎหมายอยู่ที่ 90 วัน และสามารถขยายระยะเวลาออกไปได้อีก 60 วัน จำนวน 2 ครั้ง ซึ่งหลังเกิดเหตุการณ์ได้มีการเชิญ 20 หน่วยงานรัฐที่เกี่ยวข้องกับข้อมูลประชาชนมากำชับและตรวจสอบในการเก็บข้อมูลให้ได้ มาตรฐานไม่ให้รั่วไหลด้วย
นายเธียรชัย กล่าวเพิ่มเติมว่า ขณะนี้ทาง สคส. กำลังเร่งออกกฎหมายลำดับรอง(ก.ม.ลูก) ที่เหลืออีกสองฉบับ เพื่อให้การบังคับใช้ พ.ร.บ คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีประสิทธิภาพมากขึ้น คือ กฎหมายเกี่ยวกับเจ้าหน้าที่ คุ้มครองข้อมูลส่วนบุคคล (DPO- Data Protection Officer) โดยจะกำหนดถึงบทบาทหน้าที่และความจำเป็น ที่แต่ละ องค์กรต้องมี ดีพีโอ ซึ่งแต่ละองค์กรจะมีวิธีการแต่งตั้งดีพีโออย่างไร รวมถึงการตรวจสอบการทำงาน และบทบาทการ ทำหน้าที่ของดีพีโอ
นอกจากนี้ยังมีร่างกฎหมายเกี่ยวกับการส่งข้อมูลไปต่างประเทศที่ต้องกำหนดแนวทางในเงื่อนไข และวิธีการว่า การที่องค์กรต่างๆที่ต้องการส่งข้อมูลส่วนบุคคลไปต่างประเทศต้องปฎิบัติอย่างไร เพื่อให้เป็นไปตาม กฎหมายพีดีพีเอ และมีมาตรฐานสากลเป็นที่ยอมรับของนานาประเทศ ซึ่งคาดว่ากฎหมายลำดับรอง ทั้งสองฉบับ น่าจะออกมาใช้งานได้ก่อนสิ้นปีนี้