ความปลอดภัยสำคัญแค่ไหน และเรายังมีความเป็นส่วนตัวอยู่หรือเปล่า? สรุปเนื้อหาสำคัญจากงานเสวนา Privacy VS. Security
จากงานทอล์คพูดคุยถึงคำถามที่ร้อนแรงที่สุดในทศวรรษนี้ ว่าด้วยเส้นแบ่งระหว่าง ความเป็นส่วนตัว (Privacy) และ ความมั่นคงปลอดภัย (Security) ขอบเขตอยู่ที่ตรงไหน ไม่ว่าคุณจะเป็นผู้ให้บริการ คนทำงานด้านไอที และ Data รวมไปถึงประชาชนที่ต้องใช้ชีวิตเกี่ยวข้องกับข้อมูลส่วนบุคคล
หลังจากมีการประกาศใช้พ.ร.บ.ข้อมูลส่วนบุคคคล ความสะดวกสบายในยุค 4.0 ที่แลกมาด้วยเสรีภาพ จะกระทบกับชีวิตของคุณอย่างไรบ้าง?
กับ 2 ผู้เชี่ยวชาญที่มาร่วมแลกเปลี่ยนข้อมูลในพรมแดนแห่ง Privacy และ Security.
- อาจารย์ฐิติรัตน์ ทิพย์สัมฤทธิ์กุล จากคณะนิติศาสตร์ ธรรมศาสตร์ ในมุมมองตัวบทกฎหมายและการนำไปใช้
- คุณยิ่งชีพ อัชฌานนท์ ผู้จัดการโครงการอินเทอร์เน็ตเพื่อกฎหมายประชาชน หรือ “ไอลอว์” ในมุมมองของสิทธิประชาชน
และ Special Guest จาก Microsoft Thailand
- คุณวรรณฑิพา วงษ์สมุทร ผู้อำนวยการกลุ่มผลิตภัณฑ์ Microsoft 365
ที่มาร่วมพูดคุยถึงประเด็นความมั่นคงปลอดภัย และความเป็นส่วนตัวในโลกยุคใหม่ รับการมาของพรบ.คุ้มครองข้อมูลส่วนบุคคล (PDPA : Personal Data Protection Act) ที่จะถูกบังคับใช้ในปี 2564 และนี่คือสรุปเนื้อหาจากงานเสวนา Future Talk (Live) : Privacy Vs Security
PDPA คืออะไร
พรบ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ PDPA (Personal Data Protection Act) คือ กฎหมายที่ว่าด้วยการกำหนดกฎข้อบังคับว่าเจ้าของข้อมูลส่วนบุคคลมีสิทธิใดบ้างเหนือข้อมูลนั้นๆ วางแนวทางการคุ้มครองข้อมูลส่วนบุคคลไม่ให้ถูกนำไปใช้ในทางที่ละเมิดสิทธิของเจ้าของข้อมูล พร้อมกำหนดหน้าที่ที่องค์กรผู้ควบคุมข้อมูล และผู้ประมวลผลข้อมูลจะต้องกระทำเพื่อรักษาความมั่นคงปลอดภัยของข้อมูล
กฏหมายนี้คือการยืนยันความเป็นเจ้าของข้อมูลส่วนบุคคลของตัวเรา ซึ่งจากนี้ไปหากองค์กรหรือธุรกิจใดที่ต้องการจะนำข้อมูลของเราไปใช้ก็จำเป็นที่จะต้องแจ้งว่านำข้อมูลไปใช้ทำอะไร และไม่นำข้อมูลไปใช้นอกเหนือกว่าที่แจ้งไว้ และจะต้องมีการยินยอมทุกครั้ง
ในการบังคับใช้พรบ.นี้ก็จะส่งผลกระทบถึงทั้งตัวบุคคลผู้เป็นเจ้าของข้อมูล ผู้ควบคุมข้อมูลคือองค์กรผู้จัดเก็บข้อมูลของผู้ใช้งาน ไปจนถึงวิธีการที่ภาครัฐจะปฏิบัติต่อข้อมูลของประชาชน และทำให้เกิดมาตรฐานใหม่ทั้งในด้านความปลอดภัย และความเป็นส่วนตัว
Privacy สำคัญอย่างไร ทำไมต้องมี PDPA
อาจารย์ฐิติรัตน์ ได้นำเสนอว่ากฏหมายด้านข้อมูลส่วนบุคคลนั้นเป็นสิ่งที่มีอยู่ในมาตรฐานสากล และมีอยู่ในทุกประเทศทั่วโลก สำหรับประเทศไทยการเกิดขึ้นของกฏหมายนี้ถือว่าไม่ได้เกิดขึ้นช้านัก แต่ในขณะเดียวกันก็ไม่ถือว่าเกิดขึ้นเร็ว
แนวคิดของกฏหมายข้อมูลส่วนบุคคลที่มีลักษณะเดียวกับ PDPA นั้นเริ่มมีมาตั้งแต่ช่วงปี 1995 ซึ่งเริ่มต้นโดย EU และในช่วงปี 2000 ก็เริ่มมีกฏหมายนี้เกิดขึ้นในแถบเอเชีย เช่น ญี่ปุ่น ฮ่องกง สิงค์โปร์ และเกาหลีตามมา
ประเทศไทยเองก็มีความพยายามในการที่จะมีกฏหมายคุ้มครองข้อมูลส่วนบุคคลนี้มากว่า 20 ปีแล้ว
เหตุผลที่ในวันนี้เราต้องให้ความสำคัญกับการคุ้มครองข้อมูลส่วนบุคคลนั้น เกิดจากการที่ทุกวันนี้ข้อมูลของผู้ใช้งานถูกนำไปใช้ประโยชน์มากขึ้นมาก ตั้งแต่ในกระบวนการการทำงาน บริการทางการเงิน การติดต่อซื้อขาย ไปจนถึงการสื่อสาร และการโฆษณา แน่นอนว่าสิ่งเหล่านี้ได้ทำให้ชีวิตของเราสะดวกสบายยิ่งขึ้น แต่ในขณะเดียวกันมันก็มาพร้อมกับความกังวล ว่าบริษัทหรือหน่วยงานต่างๆ เมื่อนำข้อมูลของเราไปใช้แล้ว ได้ดูแลข้อมูลของเราได้ดีแค่ไหน
กฏหมายคุ้มครองข้อมูลส่วนบุคคลจึงเกิดขึ้นเพื่อคุ้มครองข้อมูลส่วนบุคคลของผู้ใช้งานทุกคน นี่คือ PDPA ในมุมมองของการคุ้มครองสิทธิ์แต่ในขณะเดียวกัน PDPA เองก็ยังมีบทบาทในด้านเศรษฐกิจ เพื่อช่วยทำให้ผู้ใช้งานมั่นใจในการใช้บริการ และยินดีที่จะใช้บริการมากยิ่งขึ้น เป็นการเปลี่ยนมุมจากการที่บริการต่างๆ ต้องให้บริการไปก่อนจึงจะสร้างความมั่นใจให้กับผู้ใช้ และผู้ใช้ยินดีที่จะใช้งานโดยไม่ต้องกังวล มาสู่การมีมาตรฐานเดียวกันที่ทำให้ผู้ใช้งานามรถมั่นใจในความปลอดภัยของตนเองได้ตั้งแต่เริ่มต้น ซึ่งเป็นเรื่องที่สำคัญมากในแง่ของการจับจ่ายออนไลน์ การใช้บริการที่มีการเข้าถึงข้อมูลผู้ใช้ และความมั่นใจที่เกิดจากกฏหมายคุ้มครองข้อมูลส่วนบุคคล จึงทำให้ PDPA มีบทบาททางด้านเศรษฐกิจด้วยเช่นกัน
ผู้ให้บริการ รักษา Privacy ของผู้ใช้งานได้อย่างไร
คุณวรรณฑิพา วงษ์สมุทร ตัวแทนจาก Microsoft ได้นำเสนอถึงมาตรฐานการรักษาความเป็นส่วนตัว และความปลอดภัยของข้อมูลผู้ใช้ที่ Microsoft มีอยู่ โดยMicrosoft มีการวางมาตรฐานการรักษาความปลอดภัยข้อมูลผู้ใช้งานของตัวเองอยู่แล้ว เพื่อสร้างความเชื่อมั่นให้กับผู้ใช้บริการ
โดยพื้นฐานแล้วมาตรการที่ Microsoft มีในการจัดเก็บข้อมูลผู้ใช้เบื้องต้นก็ได้แก่
- แจ้งและขอความยินยอมผู้ใช้ทุกครั้งที่มีการเก็บข้อมูล
- มีระบบเฉพาะในการจัดเก็บข้อมูล และต้องผ่านกระบวนการจึงจะเข้าถึงข้อมูลที่เก็บไว้ได้
- ข้อมูลที่จัดเก็บมีการเข้ารหัสทุกครั้ง
- และเงื่อนไขอื่นๆ ตามมาตรฐานสากล
สำหรับผู้ให้บริการ หรือบริษัทที่ต้องการปรับตัวให้เข้ากับมาตรฐานในการรักษาความปลอดภัยข้อมูลของผู้ใช้นั้น จำเป็นจะต้องเริ่มตั้งแต่ระดับผู้บริหาร
ผู้บริหารต้องสั่งการให้กับแผนกต่างๆ ที่ต้องมีการใช้ข้อมูลของลูกค้า หรือได้มีส่วนที่เข้าถึงข้อมูลของผู้ใช้งาน เพื่อวางมาตรฐานในการเก็บรักษาและดูแลข้อมูลของผู้ใช้ ในเชิงกระบวนการจำเป็นจะต้องหากระบวนการที่สามารถขอความยินยอมกับผู้ใช้งานให้ตรงตามกำหนดมาตรฐานของ PDPA อีกส่วนที่สำคัญคือฝ่ายเทคโนโลยีในองค์กร ที่จะต้องเข้ามาช่วยดูว่าข้อมูลที่ฝ่ายต่างๆ ในองค์กรได้เก็บมานั้น มีเครื่องมือใดบ้างที่จะสามารถเข้ามาช่วยจัดการ เช่นการกำหนดสิทธิ์ในการเข้าถึง การเข้ารหัสข้อมูล และอื่นๆ เพื่อสร้างความปลอดภัยของข้อมูลให้กับผู้ใช้งานให้ได้มากที่สุด
จากจุดนี้แสดงให้เห็นว่าในการสร้างมาตรฐานในการจัดการข้อมูล องค์กรจะต้องมีทั้ง บุคลากร กระบวนการ และเทคโนโลยี เข้ามาช่วยในการสร้างมาตรฐานนี้
ยกเว้น Privacy เพื่อ Security
แม้ว่ากฏหมาย PDPA จะมีขึ้นมาเพื่อรักษาสิทธิส่วนบุคคล และให้ความเป็นส่วนตัวกับผู้ใช้งาน แต่กฏหมายเหล่านี้ก็ยังคงมีข้อยกเว้นเพื่อประโยชน์ทางด้านความมั่นคงปลอดภัย แต่ภายใต้ความปลอดภัยที่เกิดจากช่องว่างของสิทธิส่วนตัวนี้ได้นำมาซึ่งความกังวลอะไรบ้าง
คุณยิ่งชีพ อัชฌานนท์ แขกรับเชิญจาก iLaw ก็ได้นำเสนอถึงความกังวลต่อช่องว่าง ที่เกิดจากการยกเว้นเพื่อทำให้การกระทำเพื่อความมั่นคงปลอดภัย สามารถล่วงเข้ามาในพื้นที่ของความเป็นสิทธิส่วนตัวได้ เนื่องจากในกฏหมายข้อกำหนดของการกระทำเพื่อ “ความมั่นคง” นั้นยังคงกว้างมาก และหน่วยงานภาครัฐก็ยังสามารถหยิบยกเอาเงื่อนไขนี้มาใช้เพื่อละเมิดสิทธิส่วนตัวของผู้ใช้งานต่างๆ ได้อยู่
เพราะนิยามของ “ความมั่นคง” นั้นก็ยังมีความหลากหลาย
อย่างไรก็ตามในการตอบคำถามว่าสิ่งใดสำคัญกว่ากันระหว่าง Privacy และ Security ก็ยังคงเป็นสิ่งที่ยากอยู่ เมื่อ Privacy ยังคงเป็นสิ่งสำคัญในการขอบเคลื่อนสิ่งต่างๆ และยังกลายเป็นเงื่อนไขพื้นฐานของบริการในยุคใหม่ แต่ Security ก็ยังไม่อาจถูกปฏิเสธได้ว่ายังเป็นสิ่งที่ทุกคนต้องได้รับ
พรบ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ PDPA (Personal Data Protection Act) จะนำพามาซึ่งมาตรฐานใหม่ในการรักษาสิทธิเหนือข้อมูลส่วนบุคคลของผู้ใช้งาน ที่อาจทำให้องค์กรต่างๆ จำเป็นต้องปรับตัวและเปลี่ยนแปลง แต่สิทธิใน Privacy ที่จะเกิดขึ้นนี้ก็อาจกลายเป็นตัวขับเคลื่อนสิ่งต่างๆ ในสังคมได้อีกมากมาย
นี่เป็นเพียงส่วนหนึ่งของเนื้อหาจาก Future Talk (Live) : Privacy Vs Security หากใครอยากจะรับชมไลฟ์ย้อนหลังที่มีเนื้อหาครบถ้วนก็สามารถรับชมได้ที่ : https://www.facebook.com/watch/?v=625658565001141