ความปลอดภัยสำคัญแค่ไหน และเรายังมีความเป็นส่วนตัวอยู่หรือเปล่า? สรุปเนื้อหาสำคัญจากงานเสวนา Privacy VS. Security

Future Trends
Share

จากงานทอล์คพูดคุยถึงคำถามที่ร้อนแรงที่สุดในทศวรรษนี้ ว่าด้วยเส้นแบ่งระหว่าง ความเป็นส่วนตัว (Privacy) และ ความมั่นคงปลอดภัย (Security) ขอบเขตอยู่ที่ตรงไหน ไม่ว่าคุณจะเป็นผู้ให้บริการ คนทำงานด้านไอที และ Data รวมไปถึงประชาชนที่ต้องใช้ชีวิตเกี่ยวข้องกับข้อมูลส่วนบุคคล

หลังจากมีการประกาศใช้พ.ร.บ.ข้อมูลส่วนบุคคคล ความสะดวกสบายในยุค 4.0 ที่แลกมาด้วยเสรีภาพ จะกระทบกับชีวิตของคุณอย่างไรบ้าง?

กับ 2 ผู้เชี่ยวชาญที่มาร่วมแลกเปลี่ยนข้อมูลในพรมแดนแห่ง Privacy และ Security.

  • อาจารย์ฐิติรัตน์ ทิพย์สัมฤทธิ์กุล จากคณะนิติศาสตร์ ธรรมศาสตร์ ในมุมมองตัวบทกฎหมายและการนำไปใช้
  • คุณยิ่งชีพ อัชฌานนท์ ผู้จัดการโครงการอินเทอร์เน็ตเพื่อกฎหมายประชาชน หรือ “ไอลอว์” ในมุมมองของสิทธิประชาชน

และ Special Guest จาก Microsoft Thailand

  • คุณวรรณฑิพา วงษ์สมุทร ผู้อำนวยการกลุ่มผลิตภัณฑ์ Microsoft 365

ที่มาร่วมพูดคุยถึงประเด็นความมั่นคงปลอดภัย และความเป็นส่วนตัวในโลกยุคใหม่ รับการมาของพรบ.คุ้มครองข้อมูลส่วนบุคคล (PDPA : Personal Data Protection Act) ที่จะถูกบังคับใช้ในปี 2564 และนี่คือสรุปเนื้อหาจากงานเสวนา Future Talk (Live) : Privacy Vs Security

PDPA คืออะไร

พรบ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ PDPA (Personal Data Protection Act) คือ กฎหมายที่ว่าด้วยการกำหนดกฎข้อบังคับว่าเจ้าของข้อมูลส่วนบุคคลมีสิทธิใดบ้างเหนือข้อมูลนั้นๆ วางแนวทางการคุ้มครองข้อมูลส่วนบุคคลไม่ให้ถูกนำไปใช้ในทางที่ละเมิดสิทธิของเจ้าของข้อมูล พร้อมกำหนดหน้าที่ที่องค์กรผู้ควบคุมข้อมูล และผู้ประมวลผลข้อมูลจะต้องกระทำเพื่อรักษาความมั่นคงปลอดภัยของข้อมูล

กฏหมายนี้คือการยืนยันความเป็นเจ้าของข้อมูลส่วนบุคคลของตัวเรา ซึ่งจากนี้ไปหากองค์กรหรือธุรกิจใดที่ต้องการจะนำข้อมูลของเราไปใช้ก็จำเป็นที่จะต้องแจ้งว่านำข้อมูลไปใช้ทำอะไร และไม่นำข้อมูลไปใช้นอกเหนือกว่าที่แจ้งไว้ และจะต้องมีการยินยอมทุกครั้ง

ในการบังคับใช้พรบ.นี้ก็จะส่งผลกระทบถึงทั้งตัวบุคคลผู้เป็นเจ้าของข้อมูล ผู้ควบคุมข้อมูลคือองค์กรผู้จัดเก็บข้อมูลของผู้ใช้งาน ไปจนถึงวิธีการที่ภาครัฐจะปฏิบัติต่อข้อมูลของประชาชน และทำให้เกิดมาตรฐานใหม่ทั้งในด้านความปลอดภัย และความเป็นส่วนตัว

Privacy สำคัญอย่างไร ทำไมต้องมี PDPA

อาจารย์ฐิติรัตน์ ได้นำเสนอว่ากฏหมายด้านข้อมูลส่วนบุคคลนั้นเป็นสิ่งที่มีอยู่ในมาตรฐานสากล และมีอยู่ในทุกประเทศทั่วโลก สำหรับประเทศไทยการเกิดขึ้นของกฏหมายนี้ถือว่าไม่ได้เกิดขึ้นช้านัก แต่ในขณะเดียวกันก็ไม่ถือว่าเกิดขึ้นเร็ว

แนวคิดของกฏหมายข้อมูลส่วนบุคคลที่มีลักษณะเดียวกับ PDPA นั้นเริ่มมีมาตั้งแต่ช่วงปี 1995 ซึ่งเริ่มต้นโดย EU และในช่วงปี 2000 ก็เริ่มมีกฏหมายนี้เกิดขึ้นในแถบเอเชีย เช่น ญี่ปุ่น ฮ่องกง สิงค์โปร์ และเกาหลีตามมา

ประเทศไทยเองก็มีความพยายามในการที่จะมีกฏหมายคุ้มครองข้อมูลส่วนบุคคลนี้มากว่า 20 ปีแล้ว

เหตุผลที่ในวันนี้เราต้องให้ความสำคัญกับการคุ้มครองข้อมูลส่วนบุคคลนั้น เกิดจากการที่ทุกวันนี้ข้อมูลของผู้ใช้งานถูกนำไปใช้ประโยชน์มากขึ้นมาก ตั้งแต่ในกระบวนการการทำงาน บริการทางการเงิน การติดต่อซื้อขาย ไปจนถึงการสื่อสาร และการโฆษณา แน่นอนว่าสิ่งเหล่านี้ได้ทำให้ชีวิตของเราสะดวกสบายยิ่งขึ้น แต่ในขณะเดียวกันมันก็มาพร้อมกับความกังวล ว่าบริษัทหรือหน่วยงานต่างๆ เมื่อนำข้อมูลของเราไปใช้แล้ว ได้ดูแลข้อมูลของเราได้ดีแค่ไหน

อ่านเนื้อหาเต็ม ๆ ได้ที่ https://www.facebook.com/story.php?story_fbid=2910877588955527&id=451864701523507

กฏหมายคุ้มครองข้อมูลส่วนบุคคลจึงเกิดขึ้นเพื่อคุ้มครองข้อมูลส่วนบุคคลของผู้ใช้งานทุกคน นี่คือ PDPA ในมุมมองของการคุ้มครองสิทธิ์แต่ในขณะเดียวกัน PDPA เองก็ยังมีบทบาทในด้านเศรษฐกิจ เพื่อช่วยทำให้ผู้ใช้งานมั่นใจในการใช้บริการ และยินดีที่จะใช้บริการมากยิ่งขึ้น เป็นการเปลี่ยนมุมจากการที่บริการต่างๆ ต้องให้บริการไปก่อนจึงจะสร้างความมั่นใจให้กับผู้ใช้ และผู้ใช้ยินดีที่จะใช้งานโดยไม่ต้องกังวล มาสู่การมีมาตรฐานเดียวกันที่ทำให้ผู้ใช้งานามรถมั่นใจในความปลอดภัยของตนเองได้ตั้งแต่เริ่มต้น ซึ่งเป็นเรื่องที่สำคัญมากในแง่ของการจับจ่ายออนไลน์ การใช้บริการที่มีการเข้าถึงข้อมูลผู้ใช้ และความมั่นใจที่เกิดจากกฏหมายคุ้มครองข้อมูลส่วนบุคคล จึงทำให้ PDPA มีบทบาททางด้านเศรษฐกิจด้วยเช่นกัน

ผู้ให้บริการ รักษา Privacy ของผู้ใช้งานได้อย่างไร

คุณวรรณฑิพา วงษ์สมุทร ตัวแทนจาก Microsoft ได้นำเสนอถึงมาตรฐานการรักษาความเป็นส่วนตัว และความปลอดภัยของข้อมูลผู้ใช้ที่ Microsoft มีอยู่ โดยMicrosoft มีการวางมาตรฐานการรักษาความปลอดภัยข้อมูลผู้ใช้งานของตัวเองอยู่แล้ว เพื่อสร้างความเชื่อมั่นให้กับผู้ใช้บริการ

โดยพื้นฐานแล้วมาตรการที่ Microsoft มีในการจัดเก็บข้อมูลผู้ใช้เบื้องต้นก็ได้แก่

  • แจ้งและขอความยินยอมผู้ใช้ทุกครั้งที่มีการเก็บข้อมูล
  • มีระบบเฉพาะในการจัดเก็บข้อมูล และต้องผ่านกระบวนการจึงจะเข้าถึงข้อมูลที่เก็บไว้ได้
  • ข้อมูลที่จัดเก็บมีการเข้ารหัสทุกครั้ง
  • และเงื่อนไขอื่นๆ ตามมาตรฐานสากล

สำหรับผู้ให้บริการ หรือบริษัทที่ต้องการปรับตัวให้เข้ากับมาตรฐานในการรักษาความปลอดภัยข้อมูลของผู้ใช้นั้น จำเป็นจะต้องเริ่มตั้งแต่ระดับผู้บริหาร 

ผู้บริหารต้องสั่งการให้กับแผนกต่างๆ ที่ต้องมีการใช้ข้อมูลของลูกค้า หรือได้มีส่วนที่เข้าถึงข้อมูลของผู้ใช้งาน เพื่อวางมาตรฐานในการเก็บรักษาและดูแลข้อมูลของผู้ใช้ ในเชิงกระบวนการจำเป็นจะต้องหากระบวนการที่สามารถขอความยินยอมกับผู้ใช้งานให้ตรงตามกำหนดมาตรฐานของ PDPA อีกส่วนที่สำคัญคือฝ่ายเทคโนโลยีในองค์กร ที่จะต้องเข้ามาช่วยดูว่าข้อมูลที่ฝ่ายต่างๆ ในองค์กรได้เก็บมานั้น มีเครื่องมือใดบ้างที่จะสามารถเข้ามาช่วยจัดการ เช่นการกำหนดสิทธิ์ในการเข้าถึง การเข้ารหัสข้อมูล และอื่นๆ เพื่อสร้างความปลอดภัยของข้อมูลให้กับผู้ใช้งานให้ได้มากที่สุด

จากจุดนี้แสดงให้เห็นว่าในการสร้างมาตรฐานในการจัดการข้อมูล องค์กรจะต้องมีทั้ง บุคลากร กระบวนการ และเทคโนโลยี เข้ามาช่วยในการสร้างมาตรฐานนี้

ยกเว้น Privacy เพื่อ Security

แม้ว่ากฏหมาย PDPA จะมีขึ้นมาเพื่อรักษาสิทธิส่วนบุคคล และให้ความเป็นส่วนตัวกับผู้ใช้งาน แต่กฏหมายเหล่านี้ก็ยังคงมีข้อยกเว้นเพื่อประโยชน์ทางด้านความมั่นคงปลอดภัย แต่ภายใต้ความปลอดภัยที่เกิดจากช่องว่างของสิทธิส่วนตัวนี้ได้นำมาซึ่งความกังวลอะไรบ้าง

คุณยิ่งชีพ อัชฌานนท์ แขกรับเชิญจาก iLaw ก็ได้นำเสนอถึงความกังวลต่อช่องว่าง ที่เกิดจากการยกเว้นเพื่อทำให้การกระทำเพื่อความมั่นคงปลอดภัย สามารถล่วงเข้ามาในพื้นที่ของความเป็นสิทธิส่วนตัวได้ เนื่องจากในกฏหมายข้อกำหนดของการกระทำเพื่อ “ความมั่นคง” นั้นยังคงกว้างมาก และหน่วยงานภาครัฐก็ยังสามารถหยิบยกเอาเงื่อนไขนี้มาใช้เพื่อละเมิดสิทธิส่วนตัวของผู้ใช้งานต่างๆ ได้อยู่

เพราะนิยามของ “ความมั่นคง” นั้นก็ยังมีความหลากหลาย

อย่างไรก็ตามในการตอบคำถามว่าสิ่งใดสำคัญกว่ากันระหว่าง Privacy และ Security ก็ยังคงเป็นสิ่งที่ยากอยู่ เมื่อ Privacy ยังคงเป็นสิ่งสำคัญในการขอบเคลื่อนสิ่งต่างๆ และยังกลายเป็นเงื่อนไขพื้นฐานของบริการในยุคใหม่ แต่ Security ก็ยังไม่อาจถูกปฏิเสธได้ว่ายังเป็นสิ่งที่ทุกคนต้องได้รับ

พรบ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ PDPA (Personal Data Protection Act) จะนำพามาซึ่งมาตรฐานใหม่ในการรักษาสิทธิเหนือข้อมูลส่วนบุคคลของผู้ใช้งาน ที่อาจทำให้องค์กรต่างๆ จำเป็นต้องปรับตัวและเปลี่ยนแปลง แต่สิทธิใน Privacy ที่จะเกิดขึ้นนี้ก็อาจกลายเป็นตัวขับเคลื่อนสิ่งต่างๆ ในสังคมได้อีกมากมาย

นี่เป็นเพียงส่วนหนึ่งของเนื้อหาจาก Future Talk (Live) : Privacy Vs Security หากใครอยากจะรับชมไลฟ์ย้อนหลังที่มีเนื้อหาครบถ้วนก็สามารถรับชมได้ที่ : https://www.facebook.com/watch/?v=625658565001141