เปิดขั้นตอนสอบสวนหน่วยงานรัฐ หลัง 9Near แฮกข้อมูลคนไทย 55 ล้านคน
วันที่ 9 เมษายน 2566 หลังจากนายชัยวุฒิ ธนาคมานุสรณ์ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอีเอส) ได้ออกมาแถลงความคืบหน้ากรณีการรั่วไหลของข้อมูลส่วนบุคคลจากหน่วยงานภาครัฐบางแห่ง โดยในเบื้องต้นระบุว่ามาจากแอปพลิเคชัน “หมอพร้อม” ของกระทรวงสาธารณสุข แต่ยังอยู่ระหว่างการสืบสวนเพิ่มเติมว่าจะมีจากแหล่งอื่นหรือไม่
- ด่วน ! วอยซ์ ทีวี ประกาศปิดกิจการทุกแพลตฟอร์ม เลิกจ้าง 100 กว่าคน
- NETA X ขาย มิ.ย.นี้ ราคาไม่เกิน 1 ล้านบาท หลัง MOU สรรพสามิต
- ลูกแม่ค้าขายผัก-พ่อขับแท็กซี่ สู่เก้าอี้ “ปลัดพลังงาน” บทพิสูจน์ชีวิต “ดร.ประเสริฐ สินสุขประเสริฐ”
พร้อมกับระบุด้วยว่าความกระจ่างทั้งหมดอยู่ที่การจับตัวคนร้ายหรือมือแฮกมาสอบปากคำ เพื่อตรวจสอบว่าข้อมูลที่หลุดไปมี 55 ล้านรายชื่อจริงหรือไม่ หรือมีการนำไปขายในตลาดมืดแล้วหรือไม่ อะไรคือเจตนา รวมถึงวิธีการและแหล่งเก็บข้อมูลที่ถูกโจมตีทั้งหมดมีกี่แห่ง
อย่างไรก็ตาม การที่ข้อมูลประชาชนรั่วไหลออกไปไม่ว่าจะโดยการแฮกหรือจงใจปล่อยปละละเลยก็ตาม หน่วยงานราชการเจ้าของข้อมูลนั้นๆ ล้วนตกอยู่ใต้ข้อบังคับให้ต้องชี้แจงและเข้าสู่กระบวนการสืบสวน ในฐานะ “ผู้ควบคุมข้อมูลส่วนบุคคล” ตาม พรบ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2565 (PDPA) และจะต้องเข้าชี้แจงต่อ “คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล” ภายใน 72 ชั่วโมง ทันทีที่ทราบว่าข้อมูลรั่วไหล
จากนั้น จะมีการตั้ง “คณะกรรมการผู้เชี่ยวชาญ” เพื่อสืบสวนและพิจารณาความรับผิดรับชอบหรือต่อข้อร้องเรียนที่ผู้เสียหายร้อง เพื่อพิจารณาว่าหน่วยงานนั้นๆ มีความผิดจริงหรือไม่ อย่างไร
แหล่งข่าวที่เกี่ยวข้องกับ “คณะกรรมการผู้เชี่ยวชาญ” เปิดเผยกับ “ประชาชาติธุรกิจ” เกี่ยวกับขั้นตอนและระยะเวลาการสืบสวนหน่วยงานภาครัฐหลายแห่ง รวมถึงข้อบกพร่องในการร้องเรียนตามข้อกฎหมาย PDPA ได้สรุปเป็น 4 ประเด็นสำคัญ ดังนี้
1.ขั้นตอนการดำเนินการไปถึงไหนแล้ว
โดยแหล่งข่าว กล่าวว่ามีการตั้งคณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 (ด้านเทคโนโลยีดิจิทัลและอื่นๆ) เป็นผู้พิจารณากรณี 9Near โดยได้เชิญหน่วยงานที่มีเหตุต้องสงสัยข้อมูลรั่วไหลมาชี้แจงแล้ว ซึ่งในเบื้องต้นยังเปิดเผยไม่ได้ว่ามีหน่วยงานใดบ้าง เพราะอาจจะส่งผลต่อการพิจารณา และสร้างความเข้าใจผิดให้กับประชาชน ต้องรอจนกว่าจะมีการสืบสวนสอบสวนเสร็จเรียบร้อย
2. คณะกรรมการผู้เชี่ยวชาญจะใช้เวลาตรวจสอบความผิดของหน่วยงานกี่วัน?
แหล่งข่าว ระบุว่าแม้อำนาจหน้าที่ในพิจารณาความผิดและเหตุการณ์นี้ รวมถึงอำนาจในการออกคำสั่งทางปกครองจะเป็นของคณะกรรมการผู้เชี่ยวชาญ ภายใต้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล แต่กฎหมายก็ระบุชัดว่าจะต้องดำเนินการให้แล้วเสร็จภายใน 90 วัน นับตั้งแต่มีการรั่วไหลของข้อมูล
3. หากตรวจสอบแล้ว พบว่า หน่วยงานราชการนั้นๆ หละหลวม หรือไม่ได้มีมาตรการปกป้องข้อมูลส่วนบุคคลตามกฎหมาย PDPA จริง ใครคือผู้รับผิดชอบ?
แหล่งข่าว อธิบายว่า ในกรณีนี้ อาจเป็นโทษทางปกครอง เป็นการลงโทษหน่วยงานในฐานะเป็น “ผู้ควบคุมข้อมูล” ส่วนบุคคลตามกฎหมาย PDPA ไม่ใช่ผู้บริหารสูงสุดของหน่วยงาน และหากพิจารณาตามมาตรา 82-89 ของ พรบ. PDPA นั้น เป็นโทษ “ปรับ” ทางปกครอง มีการปรับถึงตั้งแต่ไม่เกิน 5แสน-5ล้านบาท ตามแต่กรณี
อีกทั้งยัง ย้ำว่า การพิจารณาว่าหน่วยงานราชการใดๆ มีความผิดหรือไม่ต้องดูเป็นรายกรณี เพราะ คณะกรรมการผู้เชี่ยวชาญย้ำว่า การโดนโจมตีระบบหรือการถูกแฮกเป็นเรื่องที่เกิดได้เสมอ และหากหน่วยงานนั้นๆ มีการป้องกันและรักษาความปลอดภัยอย่างดีแล้ว และพิสูจน์ได้ว่ามีการปกป้องระบบอย่างดี แต่ข้อมูลหลุดหายไป เช่นนั้นย่อมไม่เป็นธรรมที่จะบอกว่าหน่วยงานผิด เพราะการหลุดรั่วของข้อมูลอาจจะเกิดในระบบบุคคลที่รู้เห็นเป็นใจกับการโจรกรรมข้อมูลก็ได้
4. ประชาชนทั่วไปตรวจสอบไม่ได้ว่าข้อมูลตัวเองรั่วไหล ถามว่าทำไมภาครัฐ หรือ คณะกรรมการ PDPA ไม่เป็นตัวกลางดำเนินการฟ้องร้องแทนประชาชนผู้เสียหาย?
แหล่งข่าว กล่าวว่า กฎหมาย PDPA กำหนดให้เจ้าของข้อมูลส่วนบุคคลที่ได้รับความเสียหายจากการรั่วไหลของข้อมูลเป็นผู้ร้องเรียน เพราะการจะดำเนินการสอบสวนและดำเนินคดีใดๆ ล้วนต้องมีโจทย์และจำเลย
ส่วนกรณีที่ประชาชนทั่วไปไม่รู้ว่าข้อมูลตัวเองหลุดรั่ว
แม้ Record ข้อมูลเราจะอยู่ในฐานข้อมูลเดียวกับที่หลุดไปก็ตาม อย่างกรณี 9near ที่อาจหลุดไปถึง 55 ล้านรายชื่อ หากมีผู้เสียหายเพียงคนเดียวที่รู้ว่าข้อมูลตัวเองหลุดรั่วไป แล้วไปดำเนินการร้องเรียน ก็จะถือว่าข้อมูลของบุคคลที่หลุดรั่วไปทั้งฐานข้อมูลทั้ง 55 ล้าน Record นั้น เป็นผู้เสียหายใช่หรือไม่
กล่าวคือให้คนเสียหายคนเดียวร้องเรียน แต่ คณะกรรมการผู้เชี่ยวชาญ จะพิจารณาความผิดที่ปล่อยให้ข้อมูลรั่วไหลตามขนาดข้อมูลทั้ง 55 ล้านราย หรือใครร้องเรียนก็ได้รับการพิจารณาเฉพาคคนที่ร้องเรียนและหากมีการชดใช้ทางแพ่งก็จะนำไปสู่การชดใช้แค่คนที่ไปร้องเรียนเท่านั้นหรือไม่
แหล่งข่าว ระบุว่า กรณีนี้ คณะกรรมการผู้เชี่ยวชาญ มีการพูดถึงและพิจารณาอยู่ ซึ่งถือว่าเป็นเรื่องที่ตอบได้ยากมาก และกรณี 9near ถือว่า เป็นตัวกระตุ้นให้เกิดความสนใจในการใช้กฎหมายนี้อย่างจริงจัง ให้หน่วยงานภาครัฐกระตือรือร้นในการปกป้องข้อมูลประชาชนมากยิ่งขึ้น แต่ทั้งนี้กฎหมายนี้ยังใหม่แต่ภายในกรอบเวลา 90 วัน จะมีการรายงานผลการพิจารณาให้ทราบ
เปิดรายชื่อผู้พิจารณาสอบสวนหน่วยงานรัฐในฐานะ “ผู้ควบคุมข้อมูลส่วนบุคคล”
ดังที่กล่าวไว้ข้างต้นว่า ข้อมูลส่วนบุคคลที่โดนแฮกจากกรณี 9Near นี้ มีหน่วยงานราชการเป็น “ผู้ควบคุมข้อมูลส่วนบุคคล” ตามกฎหมาย PDPA ซึ่งอยู่ใต้อำนาจการพิจารณาสอบสวนของ คณะกรรมาคณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 ด้านเทคโนโลยีดิจิทัลและอื่นๆ ประกอบด้วย
1. พลเอก ภุชพงศ์ พงษ์ศิริ ประธานกรรมการผู้เชี่ยวชาญ (ด้านกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคม)
ประธานกรรมการมูลนิธิวิจัยและพัฒนาอย่างยั่งยืน และเป็นผู้ช่วยเลขาธิการและกรรมการมูลนิธิรักเมืองไทย อดีตดำรงดำแหน่งกรรมการผู้ทรงคุณวุฒิกองทุนวิจัยและพัฒนากิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคม เพื่อประโยชน์สาธารณะ (กทปส.)
2.นายศักดิ์ เสกขุนทด กรรมการผู้เชี่ยวชาญ (ด้านเทคโนโลยีสารสนเทศและการสื่อสาร)
ผู้อำนวยการสำนักงานรัฐบาลอิเล็กทรอนิกส์ ที่ปรึกษาผู้ทรงคุณวุฒิ ด้าน Digital Transformation สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (สพธอ.) กรรมการในคณะกรรมการบริหารศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ
กรรมการผู้ทรงคุณวุฒิในคณะกรรมการข้อมูลข่าวสารของราชการ กรรมการผู้ทรงคุณวุฒิในคณะกรรมการระบบการชาระเงินของธนาคารแห่งประเทศไทย อนุกรรมการในคณะอนุกรรมการพัฒนาระบบกลางและฐานข้อมูลกฎหมายของประเทศ ของสำนักงานคณะกรรมการกฤษฎีกา
อนุกรรมการในคณะอนุกรรมการด้านเทคโนโลยีสารสนเทศของกองทุนเงินให้กู้ยืมเพื่อการศึกษา นายกสมาคม Cloud Security Alliance (Thailand Chapter)
3.นายไพบูลย์ อมรภิญโญเกียรติ กรรมการผู้เชี่ยวชาญ (ด้านกฎหมายคุ้มครองข้อมูลส่วนส่วนบุคคล)
กรรมการผู้ทรงคุณวุฒิทางกฎหมาย คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ ที่ปรึกษาเลขาธิการคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ที่ปรึกษาทางกฎหมาย สมาคมผู้ดูแลเว็บไทย นักกฎหมายผู้เชี่ยวชาญกฎหมายอิเล็กทรอนิกส์ ที่ปรึกษากฎหมายสมาคมผู้สื่อข่าวออนไลน์
4.นายจุมพล นิติธรางกูร – กรรมการผู้เชี่ยวชาญ (ด้านกฎหมายปกครอง)
ผู้อำนวยการฝ่ายวิจัยและพัฒนากฎหมาย กองพัฒนากฎหมาย สำนักงานคณะกรรมการกฤษฎีกา คณะกรรมาธิการวิสามัญพิจารณาร่างพระราชบัญญัติบริษัทมหาชนจํากัด
5.นายสมณ์ พรหมรส – กรรมการผู้เชี่ยวชาญ (ด้านคุ้มครองสิทธิของประชาชน)
อธิบดีกรมคุ้มครองสิทธิและเสรีภาพ ผู้อำนวยการสถาบันนิติวิทยาศาสตร์ กรรมการสิทธิมนุษยชนแห่งชาติ (ผู้ปฏิบัติหน้าที่แทนกรรมการสิทธิมนุษยชนแห่งชาติ ชุดที่ 3) อนุกรรมาธิการ ในคณะอนุกรรมาธิการเสริมสร้างความปลอดภัยในชีวิตและทรัพย์สินของประชาชน
6.นายชวรงค์ ลิมป์ปัทมปาณี – กรรมการผู้เชี่ยวชาญ (ด้านสื่อสารมวลชน)
ผู้ดำรงตำแหน่งเป็นประธานสภาการหนังสือพิมพ์แห่งชาติ และเป็นประธานสภาการสื่อมวลชนแห่งชาติคนแรก จากเครือหนังสือพิมพ์ไทยรัฐ
7. นายชัยวัธ มะระพฤกษ์วรรณ กรรมการผู้เชี่ยวชาญ (ด้านธุรกิจเอกชนหรือกฎหมายธุรกิจ)
รองประธานหอการค้าไทย กรรมการสภามหาวิทยาลัยหอการค้าไทย และที่ปรึกษาคณะกรรมาธิการ ในคณะกรรมาธิการวิสามัญพิจารณาร่างพระราชบัญญัติหอการค้า นอกจากนั้นยังเป็นหุ้นส่วนของสำนักงานทนายความ ชัยวัธ-บัณฑูรย์ จำกัด ที่เปิดทำการมากว่า 40 ปี
ที่มารายชื่อคณะกรรมการ: pdpathailand.com
