ชำแหละ “ล็อกไฟล์” เอฟเฟ็กต์ เพิ่มต้นทุนรายย่อยไล่ไม่ทันภัยไซเบอร์

แม้กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอีเอส) จะออกมาแจงที่มาที่ไปของประกาศหลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. 2564 ที่มีผลบังคับใช้ตั้งแต่วันที่ 14 ส.ค.ที่ผ่านมาว่า

โดยย้ำว่าเป็นการปรับปรุงกฎหมายเดิมที่ใช้มา 14 ปีให้ทันสมัย และครอบคลุมบริการดิจิทัลต่าง ๆ รองรับเทคโนโลยีในปัจจุบันมากขึ้น ทั้งให้เวลาปรับตัวอีก 6 เดือนถึง 1 ปี

• สถิติหวย ตรวจหวย ผลสลากกินแบ่งรัฐบาล งวด 16 เมษายน ย้อนหลัง 10 ปี
• อย.เปิดชื่ออาหารเสริม พบสารอันตราย ร้ายแรงจนถึงแก่ชีวิต เตรียมดำเนินการตามกฎหมาย
• “พลังงานไฮโดรเจน” ถูกกว่าน้ำมัน 60% ไทยเริ่มศึกษาแต่ เยอรมัน กำลังจะเลิกใช้

และเปิดทางเลือกในกรณีผู้ประกอบการร้านอาหารหรือจำหน่ายสินค้า หรือบริการใด ๆ ที่มีการใช้ระบบอินเทอร์เน็ตเป็นบริการเสริมขายจะเลือกดำเนินการอย่างใดอย่างหนึ่งก็ได้ เช่น ติดกล้อง CCTV, จดบันทึก

ที่ทำให้ระบุตัวตนลูกค้าที่มาใช้อินเทอร์เน็ตในสถานประกอบการของตนได้ ถึงอย่างนั้นในมุมผู้ประกอบการโดยเฉพาะรายกลางและรายเล็ก ก็ยังถือเป็นภาระที่เพิ่มขึ้นโดยเฉพาะในช่วงที่วิกฤตโควิด-19 ยังไม่ลดราวาศอก

ไล่ไม่ทันอาชญากรรมไซเบอร์

แหล่งข่าวในธุรกิจไอทีกล่าวกับ “ประชาชาติธุรกิจ” ว่า ผู้ประกอบการที่จะได้รับผลกระทบจากประกาศนี้จะเป็นธุรกิจขนาดเล็ก เช่น ร้านอาหารเครื่องดื่มที่ให้บริการฟรีไวไฟกับลูกค้า

รวมถึงผู้ให้บริการร้านอินเทอร์เน็ตและเกมออนไลน์ เป็นต้น เพราะเพิ่มงานและต้นทุนในการดำเนินธุรกิจ ทั้งมองว่าหลักเกณฑ์ต่าง ๆที่ออกมาไม่สามารถป้องกันอาชญากรรมไซเบอร์ได้อย่างที่เหมือนภาครัฐคาดหวังเนื่องจากอาชญากรรมไซเบอร์มีช่องทางเลี่ยงได้

เช่น การใช้ virtual private network (VPN) หรือบริการอินเทอร์เน็ตจากดาวเทียมอย่าง Starlink หากมีการนำมาใช้ในไทย หน่วยงานรัฐก็คงควบคุมไม่ได้ เพราะทุกอย่างยิงขึ้นไปบนดาวเทียม จึงไม่สามารถหาร่องรอยทางไซเบอร์ได้อยู่ดี

“คนที่จะก่ออาชญากรรมไซเบอร์จริง ๆ คงตามไม่ได้ เพราะพวกนี้ระวังตัวมาก ๆ อยู่แล้ว แต่กับคนที่ไม่รู้ไม่ได้เชี่ยวชาญด้านเทคนิค แต่มีการทวีตข้อความไม่ดี เคสประมาณนี้จะระบุตัวตนผู้กระทำได้

เพราะมีหลักฐาน จึงมองว่าในมุมอาชญากรรมไซเบอร์จริง ๆ ที่มีการแฮกข้อมูล เจาะระบบ พวกนี้รู้วิธีปกปิดตัวตนบนโลกออนไลน์ หรือเจาะระบบเข้ามาจากต่างประเทศ ซึ่งประกาศนี้ไม่ได้มีผลต่อผู้ก่ออาชญากรรมไซเบอร์ แต่กระทบผู้ประกอบการธุรกิจตามกฎหมายมากกว่า”

“ฟินเทค” เข้มกฎ ก.ล.ต.

ด้าน “ชลเดช เขมะรัตนา” นายกสมาคมฟินเทคประเทศไทย กล่าวกับ “ประชาชาติธุรกิจ” ว่า ประกาศดังกล่าวเป็นการปรับปรุงกฎหมายให้สอดรับกับสภาพแวดล้อม และสถานการณ์ปัจจุบันมากขึ้น

กรณีการกำหนดให้มีการเก็บล็อกไฟล์ข้อมูลเพื่อยืนยันตัวตน ในฝั่งผู้ให้บริการฟินเทคต้องดำเนินการภายใต้การกำกับดูแลของธนาคารแห่งประเทศไทย (ธปท.), สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (ก.ล.ต.)

ซึ่งมีกฎระเบียบข้อบังคับที่ค่อนข้างเข้มงวดอยู่แล้ว จึงไม่ทำให้เกิดการเปลี่ยนแปลงที่มีนัยสำคัญหรือกระทบธุรกิจฟินเทค

รวมถึงบริษัทต่าง ๆ ที่นำเทคโนโลยีเข้ามาให้บริการด้านการเงินและการลงทุน เช่น กลุ่มธนาคาร, บล. และ บลจ.ต่าง ๆ เป็นต้น

ในส่วนธุรกิจให้บริการแอปพลิเคชั่นด้านการลงทุนดิจิทัล “โรโบเวลธ์” ที่ตนดูแลอยู่ ก็ไม่ได้รับผลกระทบเช่นกันเพราะปฏิบัติตามกฎ ก.ล.ต.และ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA อยู่แล้ว

เน็ตคาเฟ่-ร้านเกมต้องปรับตัว

“แพลตฟอร์มใหญ่ ๆ เตรียมตัวและเก็บข้อมูลสำคัญ ๆ ของผู้ใช้บริการมาแล้วส่วนหนึ่ง แต่ผู้ประกอบการรายเล็กหากศึกษาข้อมูลตามประกาศจะมีกลุ่มผู้ให้บริการแก่บุคคลทั่วไปที่เข้าสู่บริการอินเทอร์เน็ต

ซึ่งความหมายค่อนข้างกว้าง ถ้าเป็นผู้ให้บริการเครือข่ายมือถือไม่มีปัญหา เพราะมีความพร้อมแต่ในกลุ่มร้านอินเทอร์เน็ตหรือร้านเกมต้องปรับตัวพอสมควร แต่เชื่อว่าจะมีผู้พัฒนาการเก็บล็อกไฟล์ออกมาให้บริการร้านเล็ก ๆ เหล่านี้อีกที”

“ชลเดช” มองว่า ที่ผ่านมาร้านอาหาร อินเทอร์เน็ตคาเฟ่ ร้านเกมออนไลน์ อาจไม่ได้เก็บข้อมูลการใช้งานของผู้ใช้บริการแต่จากนี้ไปต้องมีการเก็บข้อมูลอย่างชัดเจนและเข้มงวดขึ้น

เพิ่มดีกรีตรวจสอบบัตร “ปชช.”

ด้าน “ภัทรพร โพธิ์สุวรรณ์” นายกสมาคมการค้าสตาร์ทอัพไทย กล่าวกับ “ประชาชาติธุรกิจ” ว่า ร้านค้ารายเล็ก ๆ จะยุ่งยากขึ้น แม้มีทางเลือกในการเก็บข้อมูลแต่ก็ต้องคำนึงถึงความปลอดภัยของข้อมูลด้วย

จึงถือเป็นต้นทุนที่เพิ่มขึ้น เช่น หากร้านอาหารแห่งหนึ่งให้ลูกค้าสั่งอาหารผ่านแอปพลิเคชั่น “ไลน์” ได้ แล้วเกิดมีคดีขึ้นก็ต้องเปิดเผยล็อกไฟล์ ดังนั้นร้านจึงต้องมีการเก็บข้อมูลที่ดี เนื่องจากไม่รู้ว่าจะเกิดเหตุขึ้นตอนไหน ทั้งต้องพิจารณารายละเอียดของผู้บังคับใช้กฎหมายด้วยว่าจะมีแนวทางการบังคับใช้อย่างไร

ในส่วนแพลตฟอร์ม “อีเวนท์ ป็อป” ที่ตนดูแล ที่ผ่านมามีการเก็บข้อมูลผู้ใช้บริการอยู่แล้ว แต่หลังประกาศฉบับใหม่นี้ อาจจะต้องพิจารณารายละเอียดเพิ่มว่ากรณีชาวต่างประเทศเข้ามาซื้อบัตรผ่านอีเวนท์ ป็อปต้องยืนยันตัวตนอย่างไร เพราะหากเป็นสถานการณ์ปกติที่จัดอีเวนต์ได้ก็จะให้ขายบัตรให้ชาวต่างชาติด้วย

เช่นกันกับกรณีขายบัตรให้คนไทยยังต้องไปศึกษาด้วยว่า หากต้องใช้บัตรประชาชนในการระบุตัวตน บริษัทต้องกลับไปตรวจสอบบัตรประชาชนของผู้ใช้บริการด้วยหรือไม่ว่าจริงหรือปลอม

หากจำเป็นต้องตรวจสอบ หมายความว่ากระบวนการต่าง ๆ จะยุ่งยากขึ้น ต้นทุนก็จะเพิ่มขึ้นเพื่อให้ได้ข้อมูลที่ถูกต้อง

แนะธุรกิจเร่งศึกษา-เตรียมพร้อม

ขณะที่ “พชร อารยะการกุล” ประธานเจ้าหน้าที่บริหาร บริษัท บลูบิค กรุ๊ปจำกัด (มหาชน) ผู้ดำเนินธุรกิจให้คำปรึกษาด้านนวัตกรรมเทคโนโลยีครบวงจร กล่าวว่า

ภาคธุรกิจต้องศึกษาและเตรียมความพร้อมที่จะปรับตัวให้สอดรับกับกฎหมาย ระเบียบข้อบังคับต่าง ๆ ที่รัฐประกาศออกมา ซึ่งการลงทุนเทคโนโลยีที่นำมาเก็บข้อมูลมีอยู่แล้ว เพียงแต่ผู้ประกอบการจะเลือกวิธีการเก็บข้อมูลอย่างไร

อย่างไรก็ตาม ประกาศการเก็บข้อมูลการจราจรคอมพิวเตอร์ฉบับใหม่นี้เกี่ยวพันกับกฎหมายหลายส่วน ทั้ง PDPA ความปลอดภัยข้อมูล การเก็บ loging ซึ่งบริษัทใหญ่อาจไม่มีปัญหา

แต่หากเป็นบริษัทเล็ก ๆถือเป็นการเพิ่มภาระให้ผู้ประกอบการ เพราะต้องคำนึงเรื่องความปลอดภัยของข้อมูล ถ้าต้องเก็บจำนวนมากจะจัดเก็บรูปแบบไหน เพื่อให้ข้อมูลมีความปลอดภัย จึงอาจต้องศึกษาหาโซลูชั่นการเก็บข้อมูลที่ดีให้เหมาะสมกับธุรกิจในราคาที่ไม่สูง