สวัสดีค่ะ
จากที่คุณ คิตตี้ ถามหรือเรื่อง GDPR มาเมื่อวันก่อน ก็เลยไปค้นๆหาดู ตามเวลาที่จะหาให้ได้ ถ้าเป็นภาษาไทยนี่ ไม่ค่อยเจอเลยแฮะ ล่าสุดก็มี มกราคมปีที่แล้ว แต่ที่สังเกตคือ เหมือนจริงๆแล้ว regulation ตัวนี้ ยังไม่ถูกบังคับใช้ ก็เลยยังไม่รู้ว่า แต่ละบริษัทหรือหน่วยงานต่างๆ จะมี policy อย่างไรในการป้องกันข้อมูลตาม regulation ตัวนี้
กล่าวคร่าวๆ กันก่อน ว่า เหตุใด จึงต้องมีระเบียบตัวนี้ออกมา
thaipublica เคยนำเสนอบทความนี้ไว้ (
โทรศัพท์จากคนที่เราไม่รู้จัก) เกี่ยวกับโทรศัพท์จากคนที่เราไม่รู้จัก เช่น ประกัน สินเชื่อ บัตรสมาชิกต่างๆ ซึ่งเราทุกคนรู้ดีว่า อ่อ ข้อมูลเรามาจากที่เราเคยไปทำบัต่เครดิตไว้ เขาก็เลยส่ข้อมูลเราไปทำการขาย แต่เคยสงสัยไหมว่า ทำบัตรเครดิตใบเดียว แต่ทำไม ทุกธนาคารดั๊นมีข้อมูลเรา เซลประกัน บังเอิญทำธนาคารด้วย ทำประกันด้วยเหรอ บลาๆ สุดท้าย เราต้อง block เบอร์ที่ไม่รู้จักออกไปสิ้นเรื่องสิ้นราว
ในความเป็นจริง สิ้นเรื่องราวจริงไหม?
วันก่อน คุณสาวเหลือน้อยลงกระทู้เตือนภัย
สวัสดีตอนดึก ... sao..เหลือ..noi กับ แกงค์ call Center ซึ่งการกระทำแบบนี้ ยังไม่มีข่าวออกมาแน่ชัดว่า คนพวกนี้เอาข้อมูลเรามาจากไหน
Data Protection จริงๆ มีความสำคัญอย่างมาก อย่างเช่น ชื่อที่อยู่ หมายเลขบัตรเครดิต หรือกระทั่งที่อยู่ ที่จ่าหน้าทางจดหมายของไทย เป็นอะไรที่มีคนเข้ามาค้นอ่านได้ตลอด หรือแม้กระทั่งพัสดุบางร้าน ยังพิมพ์โทรศัพท์เอาไว้ด้วยอีกต่างหาก ซึ่งข้อมุลเหล่านี้ ส่วนใหญ่เกิดจากธุรกรรมทาง online (เช่นส่งของ ลาซาด้า) ไม่มีการติดต่อกันจริง จึงมีการขอเบอร์ ลูกค้าไว้ เพื่อติดต่อเวลาไม่มีผู้รับตามจ่าหน้า ผู้ขาย จึงต้องพิมพ์เบอร์โทรไว้ที่กล่อง ก็เสร็จโจรสิคะ ทุกวันนี้ ไม่แน่ใจว่ายังมีอยู่หรือเปล่า
เหตุที่ EU ให้ความสำคัญกับเรื่องนี้ น่าจะมาจาก ข้อตกลงก่อนหน้านี้ ไม่สามารถคุ้มครองข้อมูลของคนในชาติเขาได้ ก็ต้องท้าวความไปที่
“safe harbour” agreement ที่เป็นข้อตกลงในการป้องกันข้อมูลสำคัญของประชาชน
การป้องกันข้อมูลนี้ มีหลายส่วน (ลองคลิกอ่านบทความจากวิกี้
ที่นี่) ที่ไม่ใช่แค่การป้องกันข้อมูลลับ หรือ sensitive data เท่านั้น แต่ยังเป็นการเข้าถึง หรือ monitor เช่นการร้องขอ หรือการเปิดเผยเฉพาะผู้มีส่วนเกี่ยวข้องเท่านั้น อีกด้วย
ทั้งนี้ จากวันก่อนได้ฟังข่าวจาก green news จำได้ว่า มีการฟ้องร้องจากนักธุรกิจคนหนึ่ง ที่ใช้เวบไซท์หนึ่งในจีน โดยที่เขาไม่ได้รู้ตัวว่า เขาได้ทำการยินยอมเปิดเผยข้อมูลให้กับบริษัทที่สามตามข้อตกลงในการใช้เวบไซท์ ปัญหามันอยู่ที่ว่า แม้เขาเอาเป็นคนกดยินยอม แต่ทางเวบไซท์ ไม่สมควรปล่อยให้ตัวเลือก "ยินยอม" เป็นตัวเลือกแบบไม่รู้ตัว โดยที่ Right to be informed นี้ ก็น่าจะอยู่ใน GPDR ด้วยเช่นกัน
อีกปัญหาหนึ่ง ของลูกค้าก็คือ เมื่อเราได้ยกเลิกสัญญากับบริษัทใดๆแล้ว บริษัทนั้นยังมีการเก็บข้อมูลของเราไว้ อย่างเช่นผู้ให้บริการโทรศัทพ์ โดยอ้างว่า ต้องการเก็บข้อมูลไว้เพื่อการตรวจสอบ (บลาๆ แต่เวลาจะให้ตรวจจริงๆ ไม่เห็นตรวจอะไรให้ได้สักอย่าง) แต่ในความเป็นจริงเราได้ยกเลิกหมายเลขนั้นไปแสนนานแล้ว เมื่อมีเรื่องเกี่ยวกับเบอร์นี้ ขึ้นมา กลับมีคนมาถามหาจากเรา นี่จึงถือว่าเป็นข้อมูลที่ ล้าหลัง (outdate)ที่ทางผู้ให้บริการจะต้องกำจัดออกไปจากระบบ
หรือข้อมูลทางเวบไซท์อื่นๆ เช่น google cache จะต้องไม่มีการเก็บข้อมูลล้าหลังเหล่านี้ไว้อีก เพื่อให้ความคุ้มครองผู้เสียหาย เช่น คนที่ถูกฟ้องล้มละลายไปเมื่อ 15 ปีก่อน ยังถูกค้นชื่ออกมาได้ว่าเคยล้มละลาย ทำให้ปัจจุบันไม่มีความน่าเชื่อถือ เขาก็ฟ้องศาล ขอให้ google ลบทุกอย่างที่เกี่ยวข้องกับเขาก่อนหน้านี้ออกไปเสีย
น่าเสียดาย ที่ google ใช้วิธี "ลบแคช" ทั้งหมดออก ไม่ใช่แค่เฉพาะกรณีที่มีเรื่อง (คงไม่อยากต้องเสียค่าปรับในกรณีอื่นต่อไป) ทำให้หลังๆ ขนาดกระทู้เก่าๆ 20 ปีก่อนของพันทิบ ยังหาไม่เจอเลย
(พักก่อน เมื่อยนิ้ว
)
คุยเล่นๆกับหมวยอินดี้ -- กฎหมายคุ้มครองข้อมูลส่วนบุคคลฉบับใหม่ของอียู หรือ General Data Protection Regulation (GDPR)
จากที่คุณ คิตตี้ ถามหรือเรื่อง GDPR มาเมื่อวันก่อน ก็เลยไปค้นๆหาดู ตามเวลาที่จะหาให้ได้ ถ้าเป็นภาษาไทยนี่ ไม่ค่อยเจอเลยแฮะ ล่าสุดก็มี มกราคมปีที่แล้ว แต่ที่สังเกตคือ เหมือนจริงๆแล้ว regulation ตัวนี้ ยังไม่ถูกบังคับใช้ ก็เลยยังไม่รู้ว่า แต่ละบริษัทหรือหน่วยงานต่างๆ จะมี policy อย่างไรในการป้องกันข้อมูลตาม regulation ตัวนี้
กล่าวคร่าวๆ กันก่อน ว่า เหตุใด จึงต้องมีระเบียบตัวนี้ออกมา
thaipublica เคยนำเสนอบทความนี้ไว้ (โทรศัพท์จากคนที่เราไม่รู้จัก) เกี่ยวกับโทรศัพท์จากคนที่เราไม่รู้จัก เช่น ประกัน สินเชื่อ บัตรสมาชิกต่างๆ ซึ่งเราทุกคนรู้ดีว่า อ่อ ข้อมูลเรามาจากที่เราเคยไปทำบัต่เครดิตไว้ เขาก็เลยส่ข้อมูลเราไปทำการขาย แต่เคยสงสัยไหมว่า ทำบัตรเครดิตใบเดียว แต่ทำไม ทุกธนาคารดั๊นมีข้อมูลเรา เซลประกัน บังเอิญทำธนาคารด้วย ทำประกันด้วยเหรอ บลาๆ สุดท้าย เราต้อง block เบอร์ที่ไม่รู้จักออกไปสิ้นเรื่องสิ้นราว
ในความเป็นจริง สิ้นเรื่องราวจริงไหม?
วันก่อน คุณสาวเหลือน้อยลงกระทู้เตือนภัย สวัสดีตอนดึก ... sao..เหลือ..noi กับ แกงค์ call Center ซึ่งการกระทำแบบนี้ ยังไม่มีข่าวออกมาแน่ชัดว่า คนพวกนี้เอาข้อมูลเรามาจากไหน
Data Protection จริงๆ มีความสำคัญอย่างมาก อย่างเช่น ชื่อที่อยู่ หมายเลขบัตรเครดิต หรือกระทั่งที่อยู่ ที่จ่าหน้าทางจดหมายของไทย เป็นอะไรที่มีคนเข้ามาค้นอ่านได้ตลอด หรือแม้กระทั่งพัสดุบางร้าน ยังพิมพ์โทรศัพท์เอาไว้ด้วยอีกต่างหาก ซึ่งข้อมุลเหล่านี้ ส่วนใหญ่เกิดจากธุรกรรมทาง online (เช่นส่งของ ลาซาด้า) ไม่มีการติดต่อกันจริง จึงมีการขอเบอร์ ลูกค้าไว้ เพื่อติดต่อเวลาไม่มีผู้รับตามจ่าหน้า ผู้ขาย จึงต้องพิมพ์เบอร์โทรไว้ที่กล่อง ก็เสร็จโจรสิคะ ทุกวันนี้ ไม่แน่ใจว่ายังมีอยู่หรือเปล่า
เหตุที่ EU ให้ความสำคัญกับเรื่องนี้ น่าจะมาจาก ข้อตกลงก่อนหน้านี้ ไม่สามารถคุ้มครองข้อมูลของคนในชาติเขาได้ ก็ต้องท้าวความไปที่ “safe harbour” agreement ที่เป็นข้อตกลงในการป้องกันข้อมูลสำคัญของประชาชน
การป้องกันข้อมูลนี้ มีหลายส่วน (ลองคลิกอ่านบทความจากวิกี้ ที่นี่) ที่ไม่ใช่แค่การป้องกันข้อมูลลับ หรือ sensitive data เท่านั้น แต่ยังเป็นการเข้าถึง หรือ monitor เช่นการร้องขอ หรือการเปิดเผยเฉพาะผู้มีส่วนเกี่ยวข้องเท่านั้น อีกด้วย
ทั้งนี้ จากวันก่อนได้ฟังข่าวจาก green news จำได้ว่า มีการฟ้องร้องจากนักธุรกิจคนหนึ่ง ที่ใช้เวบไซท์หนึ่งในจีน โดยที่เขาไม่ได้รู้ตัวว่า เขาได้ทำการยินยอมเปิดเผยข้อมูลให้กับบริษัทที่สามตามข้อตกลงในการใช้เวบไซท์ ปัญหามันอยู่ที่ว่า แม้เขาเอาเป็นคนกดยินยอม แต่ทางเวบไซท์ ไม่สมควรปล่อยให้ตัวเลือก "ยินยอม" เป็นตัวเลือกแบบไม่รู้ตัว โดยที่ Right to be informed นี้ ก็น่าจะอยู่ใน GPDR ด้วยเช่นกัน
อีกปัญหาหนึ่ง ของลูกค้าก็คือ เมื่อเราได้ยกเลิกสัญญากับบริษัทใดๆแล้ว บริษัทนั้นยังมีการเก็บข้อมูลของเราไว้ อย่างเช่นผู้ให้บริการโทรศัทพ์ โดยอ้างว่า ต้องการเก็บข้อมูลไว้เพื่อการตรวจสอบ (บลาๆ แต่เวลาจะให้ตรวจจริงๆ ไม่เห็นตรวจอะไรให้ได้สักอย่าง) แต่ในความเป็นจริงเราได้ยกเลิกหมายเลขนั้นไปแสนนานแล้ว เมื่อมีเรื่องเกี่ยวกับเบอร์นี้ ขึ้นมา กลับมีคนมาถามหาจากเรา นี่จึงถือว่าเป็นข้อมูลที่ ล้าหลัง (outdate)ที่ทางผู้ให้บริการจะต้องกำจัดออกไปจากระบบ
หรือข้อมูลทางเวบไซท์อื่นๆ เช่น google cache จะต้องไม่มีการเก็บข้อมูลล้าหลังเหล่านี้ไว้อีก เพื่อให้ความคุ้มครองผู้เสียหาย เช่น คนที่ถูกฟ้องล้มละลายไปเมื่อ 15 ปีก่อน ยังถูกค้นชื่ออกมาได้ว่าเคยล้มละลาย ทำให้ปัจจุบันไม่มีความน่าเชื่อถือ เขาก็ฟ้องศาล ขอให้ google ลบทุกอย่างที่เกี่ยวข้องกับเขาก่อนหน้านี้ออกไปเสีย
น่าเสียดาย ที่ google ใช้วิธี "ลบแคช" ทั้งหมดออก ไม่ใช่แค่เฉพาะกรณีที่มีเรื่อง (คงไม่อยากต้องเสียค่าปรับในกรณีอื่นต่อไป) ทำให้หลังๆ ขนาดกระทู้เก่าๆ 20 ปีก่อนของพันทิบ ยังหาไม่เจอเลย
(พักก่อน เมื่อยนิ้ว