กสทช.ผุดโมเดลป้องภัยไซเบอร์ถกค่ายมือถืออุดช่องโหว่
สำนักงาน กสทช. จัดสัมมนาเชิงวิชาการวางนโยบาย-แนวปฏิบัติคุ้มครองข้อมูลส่วนบุคคลและความมั่นคงปลอดภัยไซเบอร์เตรียมพร้อมยกระดับปกป้องโครงสร้างพื้นฐานทางสารสนเทศ และโทรคมนาคมด้านความมั่นคงปลอดภัยไซเบอร์ และการคุ้มครองข้อมูลส่วนบุคคล
วันนี้ (28 เม.ย.) สำนักงานกสทช. จัดสัมมนาเชิงวิชาการ เรื่อง นโยบายและแนวปฎิบัติด้านการคุ้มครองข้อมูลส่วนบุคคลและความมั่นคงปลอดภัยไซเบอร์ กับบทบาทของสำนักงานกสทช.สู่การเป็น Smart Regulator
นพ.สรณ บุญใบชัยพฤกษ์ ประธานกสทช. กล่าวว่า ข้อมูลล่วนบุคคลที่ กสทช.กำกับในกิจการกระจายเสียง กิจการโทรทัศน์ และโทรคมนาคมล้วนเป็นข้อมูลที่สำคัญ โดยเฉพาะข้อมูลบนโทรศัพท์มือถือ หมายเลขโทรศัพท์ หรือการระบุตำแหน่งที่อยู่ของผู้ใช้งาน ในธุรกิจโทรคมนาคม กสทช.เป็นผู้กำกับในการใช้คลื่นความถี่ การเชื่อมต่อเครือข่ายและอินเทอร์เน็ต การส่งเสริมให้มีการทำธุรกรรมออนไลน์
ส่วนกำกับดูแลเนื้อหา และการให้บริการเป็นส่วนที่โอเปอเรเตอร์จะต้องกำกับดูแลตัวเอง การที่โอเปอเรเตอร์นำข้อมูลส่วนบุคคลของลูกค้าไปใช้ในการทำการตลาดหรือเสนอบริการ น่าจะมีการกำหนดขอบเขตหรือความเหมาะสมเพื่อไม่ให้ไปล่วงละเมิดความเป็นส่วนตัว และข้อมูลส่วนบุคคล
กางโมเดลคุมข้อมูลส่วนบุคคล
พล.ต.อ.ณัฐธร เพราะสุนทร กรรมการกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติ (กสทช.) ด้านกฎหมาย กล่าวว่า หลังจาก พ.ร.ก.มาตรการป้องกันและปราบปรามอาชญากรรมทางเทคโนโลยี พ.ศ.2566 มีผลบังคับใช้ และได้มีการตั้งคณะอนุกรรมการบูรณาการบังคับใช้กฎหมายความผิดทางเทคโนโลยีโทรคมนาคมและความมั่นคงของรัฐ นั้น ในการทำงานแลกเปลี่ยนข้อมูลระหว่างกันของค่ายมือถือ (โอเปอเรเตอร์) และผู้ที่เกี่ยวข้องในการดำเนินคดีกับมิจฉาชีพไม่ว่าจะเป็นตำรวจ หรือ กรมสอบสวนคดีพิเศษ (ดีเอสไอ) เป็นต้น ต้องมีการคำนึงถึงข้อมูลส่วนบุคคลเพื่อไม่ให้รั่วไหลไปยังบุคคลอื่นด้วย
สำหรับแนวทางในการแลกเปลี่ยนข้อมูลกันนั้น ขณะนี้ยังอยู่ระหว่างการหาข้อสรุปร่วมกันว่าจะดำเนินการในแนวทางไหน โดยมี 2 แนวทางที่ทำได้ คือ 1.นำข้อมูลมาไว้ที่ระบบของกสทช.เพื่อให้หน่วยงานที่ต้องการใช้งานมาขอใช้ แต่ก็ยังมีข้อกังวลเรื่องการดูแลข้อมูลให้ปลอดภัย
2.การให้ผู้เกี่ยวข้องขอตรงกับแต่ละโอเปอเรเตอร์เอง ซึ่งก็ยังมีปัญหาเรื่องการเก็บข้อมูลในแบบฟอร์มที่แตกต่างกัน
อีกทั้ง ยังอยู่ระหว่างการพูดคุยด้วยว่าจำนวนรายการที่ขอจะต้องขอเท่าไหร่ โดยก่อนหน้านี้ได้มีการขอ 19 รายการ แต่โอเปอเรเตอร์ขอให้ลดจำนวนลง จึงยังอยู่ระหว่างการหารือร่วมกัน
ทั้งนี้ กสทช.ยืนยันว่า การแลกเปลี่ยนข้อมูลเพื่อปราบปรามอาชญกรรมออนไลน์ ต้องอยู่ภายใต้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ด้วย ต้องมีการแลกเปลี่ยนข้อมูลบนระบบที่ปลอดภัย ตรวจสอบเส้นทางได้ว่าหน่วยงานใดนำไปใช้และมีช่องโหว่จุดไหน หรือไม่ ที่สำคัญคือต้องมีการกำหนดระยะเวลาวันหมดอายุการใช้งานด้วย หากหน่วยงานนั้นทำข้อมูลรั่วก็ต้องได้รับความผิดตามกม.ดังกล่าวด้วย
พล.ต.อ.ณัฐธร กล่าวว่า หลังจากที่กฎหมายปราบอาชญกรรมออนไลน์มีผลบังคับใช้เมื่อวันที่ 17 มี.ค.66 ที่ผ่านมา พบว่าคดีการหลอกลวงลดน้อยลง ขณะที่กสทช.เองก็คุมเข้มเรื่องการจดทะเบียนซิมการ์ดต่อคนไม่เกิน 5 เบอร์ หากเกินจากนั้นต้องมายืนยันตัวตนที่ศูนย์บริการ เพื่อป้องกันไม่ให้มีการเหมาซื้อซิมผีใช้ในการหลอกลวง เนื่องจากเบอร์โทรศัพท์เป็นส่วนสำคัญของกระบวนการแกงค์คอลเซ็นเตอร์ ตั้งแต่การโทรหลอกลวง ไปจนถึงการโอนเงิน ดังนั้นในอนาคตอาจจะมีแนวคิดส่งรหัส OTP ทุกครั้งก่อนการโอนเงินที่หน้าตู้เอทีเอ็มด้วย
คลอดกม.กลางเน้นกำกับเชิงลึก
นายเธียรชัย ณ นคร ประธานกรรมการค้มครองข้อมูลส่วนบุคคล (สคส.) กล่าวว่า กฎหมายคุ้มครองข้อมูลส่วนบุคคล เป็นกฎหมายกลาง ถ้ามีกฎหมายคุ้มครองข้อมูลส่วนบุคคลเฉพาะในการคุ้มครองข้อมูลส่วนบุคคลของแต่ละอุตสาหกรรมหรือแต่ละธุรกิจจะทำให้การกำกับดูแลลงลึกและใกล้ชิดมากขึ้น สคส.พยายามส่งเสริมความสัมพันธ์กับองค์กรกำกับด้านต่างๆ โดย ได้ประสานงานเพื่อส่งข้อมูลที่เกี่ยวกับแต่ละธุรกิจไปให้ รวมถึงการทำงานร่วมกันในการดูแลข้อมูลส่วนบุคคล สคส.
จึงอยากให้แต่ละภาคส่วนมีการกำกับดูแลกันเองเพราะการดูแลข้อมูลส่วนบุคคลจะดูแลได้ง่าย และสะท้อนความรับผิดชอบของแต่ละภาคส่วน และหากแต่ละธุรกิจมีกฎหมายคุ้มครองข้อมูลส่วนบุคคลของตัวเองยิ่งจำทำให้การกำกับดูแลคล่องตัวและดูแลข้อมูลที่สำคัญได้ดียิ่งขึ้น สำหรับการคุ้มครองข้อมูลส่วนบุคคลในธุรกิจสื่อและโทรคมนาคม สคส.ปล่อยให้เป็นอำนาจของกสทช.ในการกำกับดูแลกันเอง โดยสคส.จะดูแลในภาพรวม และช่วยให้คำปรึกษาในการกำกับดูแลให้เกิดประโยชน์สูงสุด
"สคส.กำลังเร่งออกกฎหมายลำดับรองสองฉบับคือ กฎหมายเกี่ยวกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO- Data Protection Officer)โดยจำกำหนดถึงบทบาทหน้าที่และความจำเป็นในการที่แต่ละองค์กรต้องมีดีพีโอ แต่ละองค์กรจะมีวิธีการแต่งตั้งดีพีโออย่างไร รวมถึงการตรวอจสอบการทำงาน และบทบาทการทำหน้าที่ของดีพีโอนอกจากนี้ยังมีร่างกฎหมายเกี่ยวกับการส่งข้อมูลไปต่างประเทศที่ต้องกำหนดแนวทางในเงื่อนไข และวิธีการที่งองค์กรที่ต้องการส่งข้อมูลไปต่างประเทศ คาดว่ากฎหมายลำดับรองน่าจะออกมาใช้งานได้จริงก่อนสิ้นปีนี้"