ข้อมูลอีเมลรั่วไหลมีความเสี่ยงถึงชีวิตได้หรือไม่

 อันเนื่องมากจากการเปิดเผยข้อมูลส่วนบุคคลของพลเมืองอัฟกานิสถาน ที่จะทำการอพยพย้ายถิ่นฐานจากประเทศอัฟกานิสถานไปยังประเทศอังกฤษในช่วงปี 2564 โดยไม่ชอบด้วยกฎหมาย UK GDPR (UK General Data Protection Regulation)

เหตุการณ์นี้เกิดขึ้นในช่วงเวลาที่กลุ่มตาลิบาน (Taliban) ได้เข้าควบคุมประเทศอัฟกานิสถานในปี 2564 กระทรวงกลาโหมในขณะนั้นได้ดำเนินนโยบาย UK’s Afghan Relocations and Assistance Policy (ARAP) เพื่อช่วยเหลือในการจัดหาที่อยู่ให้กับชาวอัฟกานิสถานที่ร่วมปฏิบัติการกับรัฐบาลอังกฤษที่ต้องการลี้ภัย โดยให้ยื่นคำร้องขอและส่งข้อมูลต่าง ๆ ผ่านช่องทางอีเมล 

จากการดำเนินการตามนโยบายดังกล่าว ก่อให้เกิดการเปิดเผยข้อมูลส่วนบุคคลโดยไม่ชอบด้วยกฎหมายขึ้นเมื่อวันที่ 20 สิงหาคม 2564 เมื่อกระทรวงกลาโหมได้ส่งอีเมลไปยังผู้รับจำนวน 245 คนซึ่งเป็นพลเมืองอัฟกานิสถานผู้มีสิทธิลี้ภัยไปยังประเทศอังกฤษ

โดยเป็นการส่งในลักษณะของ “Bulk email” คือเป็นการส่งจดหมายจำนวนมากที่ดำเนินการส่งไปยังกลุ่มผู้รับทุกคนโดยใช้ “To: (ถึง)” ซึ่งการส่งอีเมลโดยวิธีดังกล่าวทำให้ผู้ลี้ภัยหรือผู้ที่สามารถเข้าถึงข้อมูลนั้นเห็นอีเมลของผู้รับทั้งหมดได้

และภายในอีเมลเหล่านั้นมีจำนวน 55 บัญชีอีเมลที่มีรูปภาพในลักษณะโพรไฟล์ส่วนบุคคลด้วย และมีเจ้าของอีเมล 2 คนได้ตอบกลับโดยแจ้งตำแหน่งที่ที่อยู่ของตน

จากเหตุการณ์ดังกล่าว ICO เห็นว่าถ้าข้อมูลอีเมลเหล่านี้รั่วไหลไปถึงกลุ่มตาลิบานก็อาจส่งผลถึงชีวิตของชาวอัฟกานิสถานที่ขอลี้ภัยได้

จากกรณีดังกล่าวมีประเด็นในทางกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่น่าสนใจดังนี้
1.    ข้อมูลส่วนบุคคลที่ถูกละเมิด/รั่วไหล ประกอบด้วย 3 ลักษณะ ได้แก่ ที่อยู่อีเมล (245 บัญชี), ที่อยู่อีเมลและรูปภาพ (55 บัญชี) และ ที่อยู่อีเมลและที่อยู่ (2 บัญชี) ซึ่งข้อมูลส่วนบุคคลแต่ละกลุ่มนี้มีความเสี่ยงต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคลไม่เท่ากัน

2.    ความเสี่ยงต่อชีวิต กรณีนี้ ICO เห็นว่าการเปิดเผยข้อมูลส่วนบุคคลโดยไม่ชอบด้วยกฎหมายดังกล่าว อาจก่อให้เกิดความเสี่ยงต่อชีวิตของบุคคล (life-threatening)

อันเนื่องมาจากบริบทของการประมวลผลข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ในการขออพยพ/บุคคล ที่มีสิทธิเป็นผู้ช่วยงานของรัฐบาลอังกฤษซึ่งอยู่ฝ่ายตรงข้ามกับกลุ่มตาลิบาน  เพราะเจ้าของ “อีเมล” ที่ได้รับอีเมลจากกระทรวงกลาโหมทุกคนย่อมถูกสันนิษฐานได้ว่าทำงานให้กับรัฐบาลอังกฤษ

จากบริบทนี้ คนกลุ่มนี้จึงมีความเสี่ยงถึงชีวิตได้ และมีความเสี่ยงมากขึ้นหากสามารถระบุตัวบุคคลได้ง่ายขึ้น เช่น มีข้อมูลภาพถ่าย หรือสถานที่อยู่ประกอบด้วย ลักษณะและบริบทของการประมวผลข้อมูลส่วนบุคคลนี้จึงมีความเสี่ยงสูง  (high risk) ต่อสิทธิและเสรีภาพของบุคคล

3.    มาตรการด้านความมั่นคงปลอดภัยที่ไม่เหมาะสม ICO เห็นว่าการละเมิดการเป็นความลับของข้อมูลส่วนบุคคลในกรณีนี้เกิดจากความผิดพลาดของคน (human error) อันเนื่องมากจากการขาดมาตรการเชิงองค์กรและเชิงเทคนิคที่เหมาะสมของกระทรวงกลาโหม ดังนี้

(1)    มาตรการเชิงองค์กร (Organizational measures) ไม่มีนโยบายเฉพาะด้านการส่งอีเมลที่อาจมีความเสี่ยงสูง และเจ้าหน้าที่ไม่ได้รับการฝึกอบรมหรือสร้างความตระหนักรู้เกี่ยวกับการส่งหรือเปิดเผยข้อมูลที่อาจมีความเสี่ยงสูง

(2)    มาตรการเชิงเทคนิค (Technical measures) การใช้ “blind carbon copy” หรือ BCC มีความเสี่ยงอย่างมากจากข้อผิดพลาดของบุคคลที่ส่งอีเมล เมื่อคำนึงถึงความเสี่ยงที่อาจมีจากลักษณะการประมวลผลของข้อมูลเกี่ยวกับการขออพยพ หน่วยงานจึงควรนำเทคโนโลยีอื่น ๆ  มาใช้เพื่อทำให้การส่งอีเมลมีความมั่นคงปลอดภัยมากขึ้น

4.    กฎหมายใช้บังคับนอกเขตแดนแห่งรัฐ กิจกรรมการประมวลผลนี้เกิดขึ้นในประเทศอัฟกานิสถาน นอกประเทศอังกฤษ แต่ UK GDPR มีผลใช้บังคับเพราะถือว่ากระทรวงกลาโหมเป็นผู้ควบคุมข้อมูลส่วนบุคคลที่ต้องอยู่ภายใต้บังคับของ UK GDPR และแม้ว่าเจ้าของข้อมูลส่วนบุคคลจะเป็นพลเมืองอัฟกานิสถานก็ตาม ข้อมูลส่วนบุคคลของพลเมืองอัฟกานิสถาน ที่ถูกเก็บรวบรวม ใช้ หรือเปิดเผยโดยกระทรวงกลาโหมย่อมได้รับความคุ้มครองตาม UK GDPR 

5.    วัตถุประสงค์ของการกำหนดค่าปรับ ค่าปรับจำนวน 350,000 ปอนด์ (ประมาณ 15.6 ล้านบาท) ทำหน้าที่เพื่อยับยั้ง (deterrent) การละเมิดข้อมูลส่วนบุคคล และทำให้มั่นใจได้ว่าทั้งกระทรวงกลาโหมและหน่วยงานอื่น ๆ จะมีนโยบายและการฝึกอบรมที่เหมาะสมเพื่อลดความเสี่ยงที่ข้อมูลของประชาชนจะถูกเปิดเผยอย่างไม่เหมาะสมหรือโดยไม่ชอบด้วยกฎหมายทางอีเมล

6.    การดำเนินการของกระทรวงกลาโหม  หลังจากมีเหตุการละเมิดข้อมูลส่วนบุคคลดังกล่าว กระทรวงกลาโหมของอังกฤษได้ดำเนินการเพื่อเยียวยาผลกระทบต่อผู้เสียหาย ดังนี้
(1)    ติดต่อผู้ที่ได้รับผลกระทบดังกล่าวให้ทำการลบอีเมลที่ได้รับจากกระทรวงกลาโหมและขอให้เปลี่ยนอีเมลที่ใช้ในการติดต่อใหม่
(2)    ปรับปรุงกระบวนการส่งข้อมูลให้มีความมั่นคงปลอดภัยมากขึ้น
(3)    แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลมายัง ICO ตามเงื่อนไขของกฎหมาย
(4)    รายงานต่อรัฐสภาเกี่ยวกับเหตุการละเมิดข้อมูลส่วนบุคคล
(5)    ปรับปรุง Bulk Email Policy ให้มีการจัดการที่มีความปลอดมั่นคงภัยมากขึ้น อาทิ หากกรณีที่มีการส่งอีเมลให้กับผู้รับหลาย ๆ คนก็จะให้มีการตรวจสอบซ้ำ (second pair of eyes’ policy) เพื่อหลีกเลี่ยงการเปิดเผยข้อมูลที่ไม่เหมาะสม รวมถึงการนำระบบการส่งอีเมลจำนวนมากมาใช้ (bulk email service) 

หากพิจารณากรณีดังกล่าวตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จะพบว่ากฎหมายไทยกำหนดหน้าที่ขององค์กรต่าง ๆ ในทำนองเดียวกันกับมาตรฐานของ UK GDPR เช่นเดียวกัน ทั้งในด้านการจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม

หน้าที่แจ้งสํานักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) และแจ้งเจ้าของข้อมูลส่วนบุคคล รวมถึงหน้าที่ในการดำเนินการตามมาตรการที่จําเป็นและเหมาะสมเพื่อระงับ ตอบสนอง แก้ไข หรือฟื้นฟูสภาพจากเหตุการละเมิดข้อมูลส่วนบุคคลดังกล่าว

รวมทั้งป้องกันและลดผลกระทบจากการเกิดเหตุการละเมิดข้อมูลส่วนบุคคลในลักษณะเดียวกันในอนาคต ซึ่งรวมถึงการทบทวนมาตรการรักษาความมั่นคงปลอดภัยเพื่อให้มี ประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม.

อ้างอิง: 
ICO fines Ministry of Defence for Afghan evacuation data breach,

คอลัมน์ Tech, Law and Security
ระวีวรรณ ขันติวิริยะพานิช
บริษัท ดีพีโอเอเอเอส จำกัด
ศุภวัชร์ มาลานนท์
บัณฑิตวิทยาลัยการจัดการและนวัตกรรม (KMUTT/มจธ.)