ดีอี สั่งระงับ เผยแพร่ข้อมูลแอพพ์ช้อปปิ้งรั่วไหลแล้ว เรียก 5 แพลตฟอร์มถกหามาตรการ
วันที่ 24 พฤศจิกายน ที่กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอีเอส) ผู้สื่อข่าวรายงานว่า จากกรณีเมื่อวันที่ 20 พฤศจิกายน 2563 มีรายงานถึงข้อมูลผู้ใช้บริการของผู้ให้บริการ แพลตฟอร์มอี-คอมเมิร์ซรายใหญ่รั่วไหล และมีการนำข้อมูลผู้ใช้บริการดังกล่าว ไปเผยแพร่ในเชิงพาณิชย์ ซึ่งอาจส่งผลกระทบหรือก่อให้เกิดความเสียหายต่อประชาชนผู้ใช้บริการ
นายพุทธิพงษ์ ปุณณกันต์ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอีเอส) เปิดเผยว่า มีการเรียกประชุมหารือกับผู้ให้บริการอี-คอมเมิร์ซรายใหญ่ ที่ดำเนินการอยู่ในประเทศไทย ประกอบด้วย ลาซาด้า ช้อปปี้ เจดีดอทคอม ช้อปแบ็ค และไทยแลนด์โพสต์มาร์ท รวมถึงหน่วยงานที่เกี่ยวข้อง เพื่อร่วมกันจัดทำแนวทางดูแลข้อมูลของผู้ใช้บริการ และมาตรการในการดูแลข้อมูลผู้ใช้งานแพลตฟอร์ม โดยให้ความสำคัญกับการคุ้มครองข้อมูลส่วนบุคคลสูงสุด ซึ่งในการประชุมวันนี้ ยังให้ผู้ประกอบการอี-คอมเมิร์ซ ชี้แจงข้อเท็จจริงของข่าวที่มีข้อมูลส่วนบุคคลของผู้ใช้บริการรั่วไหล และมีการนำไปประกาศขายกันทางไซเบอร์
นายพุทธิพงษ์ กล่าวว่า จากการตรวจสอบของหน่วยงานที่เกี่ยวข้อง พบว่า ข้อมูลผู้ใช้บริการที่รั่วไหลไปจากแพลตฟอร์มอี-คอมเมิร์ซ และถูกนำไปประกาศขายผ่านทางไซเบอร์ เป็นข้อมูลเกี่ยวกับการซื้อสินค้าผ่านแพลตฟอร์มต่างๆ ในช่วงปี 2561 ประกอบด้วย ข้อมูล เช่น ชื่อ นามสกุล หมายเลขโทรศัพท์ อีเมล วันที่ทำธุรกรรม จำนวนเงิน ช่องทางการขาย ซึ่งเบื้องต้นได้ประสานกับหน่วยงานด้านความมั่นคงปลอดภัยที่เกี่ยวข้อง (ไทยเซิร์ต) ในการประสานกับผู้ดูแลระบบเพื่อระงับการเผยแพร่ข้อมูลดังกล่าวแล้ว
ทั้งนี้ พ.ร.ฎ กำหนดหน่วยงานและกิจการที่ผู้ควบคุมข้อมูลส่วนบุคคล ไม่อยู่ภายใต้บังคับแห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ซึ่งเดิมมีผลบังคับใช้ปี 2563 แต่ได้ขยายเวลาบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลไปอีก 1 ปี (27 พฤษภาคม 2563 - 31 พฤษภาคม 2564) และยังกำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลให้เป็นไปตามมาตรฐานที่กระทรวงกำหนด ซึ่งแม้จะยังไม่มีบทลงโทษ แต่ต้องปฏิบัติตามกฎหมายและประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เรื่องมาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล พ.ศ. 2563 (18 กรกฎาคม 2563 - 31 พฤษภาคม 2564) กำหนดให้ ผู้ควบคุมข้อมูลส่วนบุคคลต้องดำเนินการ ดังนี้
1.การควบคุมการเข้าถึงข้อมูลส่วนบุคคลและอุปกรณ์ในการจัดเก็บและประมวลผลข้อมูลส่วนบุคคลโดยคำนึงถึงการใช้งานและความมั่นคงปลอดภัย
2.การกำหนดเกี่ยวกับการอนุญาตหรือการกำหนดสิทธิในการเข้าถึงข้อมูลส่วนบุคคล
3.การบริหารจัดการการเข้าถึงของผู้ใช้งานเพื่อควบคุมการเข้าถึงข้อมูลส่วนบุคคลเฉพาะผู้ที่ได้รับอนุญาตแล้ว
4.การกำหนดหน้าที่ความรับผิดชอบของผู้ใช้งาน เพื่อป้องกันการเข้าถึงข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต การเปิดเผย การล่วงรู้ หรือการลักลอบทำสำเนาข้อมูลส่วนบุคคล การลักขโมยอุปกรณ์จัดเก็บหรือประมวลผลข้อมูลส่วนบุคคล
5.การจัดให้มีวิธีการเพื่อให้สามารถตรวจสอบย้อนหลังเกียวกับการเข้าถึง เปลี่ยนแปลง ลบ หรือถ่ายโอนข้อมูลส่วนบุคคล ให้สอดคล้องเหมาะสมกับวิธีการและสื่อที่ใช้ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
นายพุทธิพงษ์ กล่าวว่า นอกจากนี้ พ.ร.บ.การกระทำความผิดทางคอมพิวเตอร์ พ.ศ.2550 และที่แก้ไขเพิ่มเติม ตามมาตรา 5 และ 7 กำหนดว่า ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลรู้ว่ามีการเข้าถึงโดยมิชอบ ซึ่งข้อมูลหรือระบบคอมพิวเตอร์ที่มีมาตรการการป้องกันการเข้าถึงโดยเฉพาะและมาตรการนั้นไม่ได้มีไว้สำหรับตน ทำให้ข้อมูลส่วนบุคคลรั่วไหล ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องดำเนินการแจ้งความต่อพนักงานเจ้าหน้าที่เพื่อดำเนินคดีด้วย
อย่างไรก็ตาม ส่วนสำคัญที่สุดเมื่อเกิดเหตุข้อมูลผู้ใช้บริการรั่วไหล ผู้ให้บริการจะต้องชี้แจงประชาชนผู้ได้รับผลกระทบถึงรายละเอียดข้อมูลที่ถูกเข้าถึง และแนะนำวิธีการปฏิบัติเพื่อลดความเสี่ยง เช่น การเปลี่ยนรหัสผ่าน และระมัดระวังเมื่อมีคนโทรไปเพื่อหลอกลวง นอกจากนี้ ผู้ให้บริการซึ่งเป็นผู้ควบคมข้อมูลส่วนบุคคลมีหน้าที่ดำเนินการเพื่อป้องกันมิให้คู่สัญญาที่เป็นผู้ประมวลข้อมูลส่วนบุคคล ทั้งที่เป็นคนกลางในการบริหารจัดการขาย และผู้ให้บริการคลังสินค้าและขนส่ง
อ่านข่าวที่เกี่ยวข้อง
ขาช้อปสะดุ้ง! เพจดัง เผย แฮกเกอร์ ประกาศขายข้อมูลผู้ใช้ Lazada ไทย 13 ล้านราย ในเว็บใต้ดิน
“ลาซาด้า” แจงกรณีมีข่าวแฮกเกอร์ประกาศขายข้อมูลของผู้ใช้ Lazada