เขียน: เปรมชนก พฤกษ์พัฒนรักษ์
เคยสงสัยไหมว่าทำไมเวลาสั่งอาหารผ่านแอปถึงต้องเลือกเพศ ทำไมร้านกาแฟถึงถามวันเกิดตอนสมัครสมาชิก ที่น่าคิดกว่านั้นคือ ข้อมูลเหล่านั้นไปอยู่ที่ไหน และทุกวันนี้ ที่เรากดปุ่มยอมรับ ‘ข้อกำหนดและนโยบายความเป็นส่วนตัว’ โดยไม่เคยเปิดอ่าน หรือแม้แต่ไม่รู้ว่ามีสิทธิ์กดปุ่ม ‘ไม่ยอมรับ’ มันอันตรายเพียงใด
ในยุคที่ข้อมูลส่วนตัวสามารถตีเป็นมูลค่าเงินได้ เรากำลังปล่อยให้สิทธิของตัวเองถูกละเมิดอย่างไม่รู้ตัวหรือเปล่า
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ประกาศใช้โดยมีจุตประสงค์เพื่อให้ประชาชนมีสิทธิในข้อมูลของตัวเอง PDPA คือกฎหมายที่ระบุว่า ‘ข้อมูลของคุณ คือของคุณ’ โดยเจ้าของข้อมูลมีสิทธิเต็มที่ว่าจะให้ใครเข้าถึงข้อมูลอะไร เมื่อไหร่ และเพื่อวัตถุประสงค์อะไร
ข้อมูลที่อยู่ภายใต้ PDPA ครอบคลุมตั้งแต่ชื่อ เบอร์โทร อีเมล เพศ เลขบัตรประชาชน ไปจนถึงข้อมูลสุขภาพ ความชอบส่วนตัว และประวัติทางการเงินในชีวิตประจำวัน เราให้ข้อมูลเหล่านี้กับใครบ้าง ตั้งแต่ร้านกาแฟที่ให้สมัครสมาชิกเพื่อสะสมแต้ม เว็บไซต์ที่เรากรอกฟอร์มสมัครงาน ไปจนถึงมหาวิทยาลัยที่ขอข้อมูลเพื่อลงทะเบียนเรียน
จากกรณีที่มิจฉาชีพหลอกนักศึกษา ม. ธรรมศาสตร์หลายราย จนสูญเงินรวมแล้วกว่า 20 ล้านบาท และเจ้าหน้าที่ตำรวจคาดว่าข้อมูลของนักศึกษาอาจรั่วไหลจากภายในมหาวิทยาลัย จนทำให้คนร้ายสามารถรู้ชื่อ นามสกุล เบอร์โทร และเลขบัตรประชาชน และรหัสนักศึกษาของเหยื่อ ข้อมูลเพียงเท่านี้ก็เพียงพอให้มิจฉาชีพนำไปปลอมเป็นคนที่ ‘น่าเชื่อถือ’ และหลอกเอาเงินจากเหยื่อได้สำเร็จ
เมื่อมิจฉาชีพมีข้อมูลส่วนบุคคลพื้นฐาน ก็จะนำใช้หลอกลวงเหยื่อ โดยในกรณีของนักศึกษาธรรมศาสตร์ล่าสุด ก็ปลอมแปลงว่าเป็นพนักงานของผู้ให้บริการเครือข่ายโทรศัพท์และสร้างบัญชี LINE ให้ดูเหมือนตำรวจ เมื่อนำมารวมกับการใช้จิตวิทยาเพื่อทำให้กลัว ก็ทำให้เหยื่อหลงเชื่อได้ง่ายขึ้น
เซบาสเตียน คาเกอร์ ผู้ก่อตั้งและหัวหน้าทีมเทคโนโลยี บริษัท ไฟน์ทูน จำกัด ซึ่งเป็นบริษัทให้คำปรึกษาด้านความปลอดภัยทางไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคล ให้สัมภาษณ์กับ Varasarn Press เมื่อวันที่ 15 ตุลาคม ว่า องค์กรหลายแห่งในไทย อ้างว่ามีมาตรฐาน ISO 27001 ซึ่งเป็นมาตรฐานสำหรับการคุ้มครองข้อมูลส่วนบุคคล แต่ในความเป็นจริง หากระบบไม่ถูกทดสอบจริง และเจ้าหน้าที่ไม่ได้รับการอบรม ก็อาจทำให้ข้อมูลส่วนตัวรั่วไหลได้ “ถ้า ISO คือกระสุน หลายหน่วยงานรัฐในไทยก็เหมือนถือปืนเปล่า มีเครื่องมือแต่ไม่เคยฝึกใช้ ไม่มีระบบรองรับ หรือไม่แม้แต่โหลดกระสุนเข้าไป”
สุวภัทร โสภณดิเรกรัตน์ ที่ปรึกษาด้านกฎหมาย และผู้ร่วมก่อตั้งบริษัท ไฟน์ทูน จำกัด กล่าวว่าประชาชนส่วนมากไม่รู้ว่าเราสามารถ ‘ถอนความยินยอม’ ในการที่องค์กรต่างๆ ครอบครองหรือใช้งานข้อมูลส่วนตัวของตัวเองได้ตลอดเวลา และประชาชนมีสิทธิ์ถามว่าองค์กรนำข้อมูลของตัวเองไปใช้ทำอะไร “PDPA ถูกสร้างขึ้นมาเพื่อให้เรากำหนดขอบเขตในการที่คนอื่นจะใช้หรือเก็บข้อมูลของเรา เพราะเขาไม่ได้เป็นเจ้าของข้อมูลเรา เขาแค่ยืมไป เรามีสิทธิ์ทุกอย่างในข้อมูลของเราเอง เหมือนเวลาคนยืมจักรยานเราไป ก็ต้องระวังไม่ให้เป็นรอย ข้อมูลก็เหมือนกัน ยืมไปก็ต้องรักษาให้ดี”
สุวภัทรให้สัมภาษณ์ว่า ทุกครั้งที่มีเหยื่อถูกหลอก คนมักจะพูดให้ระวังตัว แต่ถ้าระบบที่เราต้องใช้มันไม่ปลอดภัย แม้จะระวังมากแค่ไหนก็ยังถูกหลอกได้ จึงไม่ควรโทษเหยื่อเพียงอย่างเดียว และถึงเวลาที่สังคมจะไม่มองว่าการโดนมิจฉาชีพหลอกคือความผิดพลาดของ ‘คนคนเดียว’ เพราะต้นเหตุของการถูกหลอกคือความเปราะบางของระบบการเก็บรักษาข้อมูล
เมื่อเป็นเช่นนั้น เมื่อไหร่ก็ตามที่คุณได้ยินข่าวใครถูกหลอกลวง หรือพลาดท่าเสียทีให้กับมิจฉาชีพ สิ่งที่ควรเป็นจึงไม่ใช่การโทษเหยื่อ เพราะหากเอาความกลัวมาเป็นเครื่องมือให้สูญเสียทรัพย์สิน ใครๆ ก็อาจตกเป็นเหยื่อของมิจฉาชีพได้ สิ่งที่ควรทำหากพบเจอเหตุการณ์แบบนี้ คือการช่วยกันส่งเสียงไปถึงองค์กรต่างๆ รวมถึงรัฐไทย ให้ป้องกันการรั่วไหลของข้อมูลมากขึ้น และให้ประชาชนกล้าตั้งคำถามและทักท้วงถึงสิทธิของตัวเองเพื่อเป็นการแก้ปัญหาที่ต้นทาง
ความรู้สึกของคุณหลังอ่านบทความนี้เป็นอย่างไร ?
ถูกใจ
รักเลย
ตลก
เศร้า
โกรธ
