ใครปกป้องความปลอดภัยและความเป็นส่วนตัวออนไลน์ให้เราบ้าง?

สฤณี อาชวานันทกุล

เมื่อพูดถึง “ความเป็นส่วนตัว” เราทุกคนเข้าใจตรงกันถ้าเป็นชีวิตออฟไลน์ เช่น เราย่อมไม่อยากให้ใครมาแอบฟังเราคุยกันในบ้าน ไม่อยากให้ใครถ้ำมองเวลาที่เราอาบน้ำ ไม่อยากให้ใครแอบขโมยจดหมายในตู้ไปรษณีย์เราไปอ่าน

เราไม่ยอมให้ใครมาละเมิดความเป็นส่วนตัวเหล่านี้ด้วยข้ออ้าง(หรือการปลอบใจตัวเอง)ว่า “เราไม่ได้ทำอะไรผิด จึงไม่มีอะไรต้องปิดบัง (ฉะนั้นอยากละเมิดก็เชิญตามสบาย)”

แต่พอพูดถึงชีวิตออนไลน์ หลายคนกลับยกข้ออ้างทำนองนี้ขึ้นมายอมรับการขยายอำนาจรัฐและเอกชน เป็นกระจกสะท้อนว่าเรายังไม่ตระหนักเรื่อง “ความเป็นส่วนตัว” ออนไลน์กันเท่าที่ควร

แต่แน่นอน สิ่งใดที่เรายังไม่ตระหนัก ไม่ได้แปลว่ามันไม่สำคัญ

ในยุคที่ไทยยังไม่เคยมีกฎหมายคุ้มครองข้อมูลส่วนบุคคล ร่างกฎหมายที่อยู่ในชุดกฎหมายดิจิทัลก็ยังมีปมปัญหาอีกหลายเปลาะ ส่งผลให้เราไม่รู้ว่าวันๆ เราทิ้ง “ร่องรอย” อะไรไว้ในโลกออนไลน์บ้าง เราจะแน่ใจได้อย่างไรว่าบริษัทผู้ให้บริการจะคุ้มครองความปลอดภัยให้กับเราได้ ผู้ให้บริการมีมาตรการปกป้องความปลอดภัยและความเป็นส่วนตัวของเรามากเพียงใด พวกเขามอบข้อมูลส่วนตัวของเราไปให้กับใครหรือไม่ แจ้งให้เรารู้ว่าพวกเขาเอาข้อมูลของเราไปทำอะไรหรือไม่

“โครงการวิจัยความเป็นส่วนตัวออนไลน์” ของเครือข่ายพลเมืองเน็ต โดย ธิติมา อุรพีพัฒนพงศ์ นักวิจัยโครงการ พยายามตอบคำถามข้างต้นเหล่านี้ ด้วยการสำรวจมาตรการรักษาความปลอดภัยและการคุ้มครองความเป็นส่วนตัวผู้ให้บริการออนไลน์ต่างๆ ของประเทศไทย จำนวน 45 เว็บไซต์ แบ่งเป็นหน่วยงานรัฐ ธนาคาร มหาวิทยาลัย ซื้อขายสินค้า บริการขนส่งสาธารณะ และบริการรับสมัครงาน ระหว่างเดือนตุลาคม–พฤศจิกายน 2557 โดยวิเคราะห์จากปัจจัย 7 ประการ ดังต่อไปนี้

1. เข้ารหัส HTTPS (Hypertext Transrer Protocol Secure) หรือไม่ – พิจารณาจากการเชื่อมต่อ HTTPS รุ่น TLS, ความยาวของกุญแจเข้ารหัส, การรับมือกับการโจมตีช่องโหว่ POODLE, ใบรับรองความปลอดภัย SHA-2
2. รหัสผ่านปลอดภัยหรือไม่ – พิจารณาจากเงื่อนไขความยาวของรหัสผ่าน การบังคับใช้อักษรและตัวเลข การขอรหัสผ่านใหม่
3. ยอมให้ใช้ Do Not Track หรือไม่ – พิจารณาจากการใช้งานได้เมื่อเปิดการใช้งานแบบ do not track (เพื่อดูว่าเว็บไซต์ยอมให้เราใช้โปรแกรมที่ไม่ยอมให้เว็บไซต์ติดตามหรือไม่)
4. บังคับใช้เลขประจำตัวประชาชนหรือไม่
5. แจ้งว่าเก็บข้อมูลอะไร – พิจารณาจากการแจ้งว่าเก็บข้อมูลคุกกี้ (cookies-การเก็บข้อมูลผู้ใช้บริการของเว็บไซต์ เก็บว่ามีการใช้บริการจากที่ไหน ใช้บราวเซอร์อะไร ฯลฯ) การแจ้งรายละเอียดข้อมูล ที่จัดเก็บ การแจ้งวัตถุประสงค์การเก็บข้อมูล
6. แจ้งว่าส่งข้อมูลต่ออย่างไร – พิจารณาจากการแจ้งให้ทราบถึงการส่งต่อข้อมูลให้บุคคลที่สามอย่างชัดเจน การแจ้งถึงวิธีปฏิบัติเมื่อเจ้าหน้าที่ขอข้อมูลส่วนบุคคล
7. นโยบายอ่านง่าย – พิจารณาจากภาษาและรูปแบบของหน้านโยบายส่วนตัว

ข้อพิจารณา 7 ปัจจัยข้างต้นนั้น เป็นการประเมินระดับความปลอดภัยของเว็บไซต์ขั้นพื้นฐานที่สุด ที่ผู้ใช้อินเทอร์เน็ตทั่วไป สามารถตรวจสอบได้ด้วยตนเอง จากข้อมูลที่ผู้ใช้ทั่วไปเข้าถึงได้ ผลวิจัยไม่สามารถยืนยันได้ว่าเว็บไซต์เหล่านี้ปลอดภัยอย่างสมบูรณ์ เนื่องจากยังมีปัจจัยอื่นๆ ที่เกี่ยวข้อง และการตรวจสอบระบบความปลอดภัยในขั้นสูงก็ไม่สามารถกระทำได้จากบุคคลภายนอกระบบ

มาตรการคุ้มครองความปลอดภัยและความเป็นส่วนตัวของผู้ให้บริการออนไลน์ไทย พ.ศ. 2557
มาตรการคุ้มครองความปลอดภัยและความเป็นส่วนตัวของผู้ให้บริการออนไลน์ไทย พ.ศ. 2557

ผลการสำรวจพบว่า มีเพียงร้อยละ 31 ของเว็บไซต์กลุ่มตัวอย่างเท่านั้นที่ได้คะแนนเกินครึ่ง (13 เว็บไซต์จากทั้งหมด 45 เว็บไซต์) เว็บไซต์ที่ได้คะแนนสูงที่สุดคือ เว็บแอร์เอเชีย ส่วนเว็บธนาคารจัดอยู่ในกลุ่มเว็บไซต์ที่ได้คะแนนสูง เมื่อเทียบกับบริการออนไลน์ประเภทอื่นๆ ส่วนหน่วยงานรัฐและมหาวิทยาลัยอยู่ในกลุ่มคะแนนต่ำสุด (ดูภาพประกอบ และดาวน์โหลดผลการวิจัยฉบับสมบูรณ์ได้จากเว็บเครือข่ายพลเมืองเน็ต)

ตัวอย่างนโยบายการใช้ข้อมูลของแอร์เอเชีย
ตัวอย่างนโยบายการใช้ข้อมูลของแอร์เอเชีย

นักวิจัยตั้งข้อสังเกตว่า เมื่อเทียบกับบริการประเภทอื่นๆ เว็บไซต์สายการบินให้ความสำคัญกับนโยบายด้านข้อมูลมากที่สุด เนื่องจากเป็นธุรกิจที่ดำเนินการระหว่างประเทศ แม้ในประเทศไทยจะยังไม่มีกฎหมายกลางด้านการคุ้มครองข้อมูลส่วนบุคคล แต่ธุรกิจสายการบินจำเป็นต้องปฏิบัติตามกฎหมายคุ้มครองส่วนบุคคลของประเทศอื่นๆ จึงทำให้ต้องมีมาตรการที่ครอบคลุมความปลอดภัยและความเป็นส่วนตัวของข้อมูลตามไปด้วย

เนื่องจากการโจมตีความปลอดภัยบนเครือข่ายอินเทอร์เน็ตมีโอกาสจะเกิดขึ้นได้ตลอดเวลา ผู้ให้บริการจึงต้องเตรียมพร้อมเพื่อรับมือกับการคุกคามที่นับวันจะมีมากขึ้นเรื่อยๆ ได้ จากการตรวจสอบของนักวิจัยด้วยเว็บไซต์ Qualy SSL labs ซึ่งใช้ประเมินความปลอดภัยของการเข้ารหัสของเว็บไซต์ต่างๆ พบว่า ในบรรดาเว็บไซต์ธนาคาร มีเพียงธนาคารทหารไทยและธนาคารธนชาตเท่านั้นที่สามารถแก้ปัญหาช่องโหว่ POODLE ได้ ขณะที่เว็บไซต์ธนาคารเกือบทั้งหมดยังคงเปิดใช้งาน SSL 3.0 ซึ่งถือเป็นจุดอ่อนของระบบอยู่ ส่วนผู้ให้บริการอื่นๆ มีเพียงเว็บไซต์สายการบินแอร์เอเชีย การบินไทย Lazada และ Jobbkk เท่านั้นที่รับมือกับปัญหานี้ได้

ส่วนใบรับรองดิจิทัล SHA-2 มีเพียงธนาคารกสิกรไทยเท่านั้นจากธนาคารทั้งหมดที่มีใบรับรองนี้ ส่วนเว็บไซต์มหาวิทยาลัยที่มีใบรับรองนี้มีสองมหาวิทยาลัย ซึ่งทั้งสองแห่งก็เป็นเพียงสองแห่งจากการสำรวจทั้งหมดที่มีการเชื่อมต่อแบบเข้ารหัส

หน่วยงานรัฐและมหาวิทยาลัยให้ความสำคัญกับการปกป้องความปลอดภัยด้านเทคนิคมากกว่าการคุ้มครองข้อมูลส่วนตัวของผู้ใช้บริการ ดังจะเห็นได้จากระดับคะแนนด้านนโยบายข้อมูลซึ่งเกือบทั้งหมดเป็น 0 คะแนน ซึ่งชัดเจนว่าไม่มีนโยบายด้านความเป็นส่วนตัวเลย

เว็บไซต์จำนวนหนึ่งแม้จะมีลิงก์แสดงนโยบายข้อมูลส่วนบุคคล แต่เมื่อคลิกเข้าไปกลับไม่ปรากฏหน้านโยบายความเป็นส่วนตัว ขณะที่บางเว็บไซต์ให้ข้อมูลเป็นภาษาอังกฤษ ขณะที่ทุกเว็บไซต์มีการเก็บข้อมูลคุกกี้ ซึ่งเป็นการเก็บข้อมูลการเข้าชมหน้าเว็บไซต์ มีบางเว็บไซต์เท่านั้นที่แจ้งให้ทราบอย่างละเอียดว่าเก็บข้อมูลอะไรบ้าง เช่น เว็บไซต์ Zalora

บางเว็บไซต์ระบุอย่างกว้างๆ ว่าจะจัดเก็บข้อมูลส่วนบุคคลที่ผู้ใช้บริการมอบให้อย่างปลอดภัย โดยไม่ชี้แจงรายละเอียดว่ามีวิธีเก็บอย่างไร อีกทั้งยังอ้างความเป็นเจ้าของข้อมูลอีกด้วย เช่น เว็บไซต์ตลาดดอทคอม (tarad.com)

ตัวอย่าง tarad.com - ผู้ให้บริการที่อ้างว่าข้อมูลของผู้ใช้บริการเป็นกรรมสิทธิ์ของบริษัท
ตัวอย่าง tarad.com – ผู้ให้บริการที่อ้างว่าข้อมูลของผู้ใช้บริการเป็นกรรมสิทธิ์ของบริษัท

การนำข้อมูลไปใช้ของผู้ให้บริการบางรายไม่มีระยะเวลาสิ้นสุด แม้การใช้บริการจะสิ้นสุดแล้วก็ตาม เมื่อยอมรับข้อตกลงแล้วผู้ให้บริการถือว่าความยินยอมนี้มีผลผูกพันตลอดไป เช่น ธนาคารธนชาต

ตัวอย่าง ธนาคารธนชาต - การระบุไว้ในนโยบายข้อมูลส่วนบุคคลเกี่ยวกับการเปิดเผยข้อมูล แม้จะผู้ใช้จะเลิกใช้บริการแล้วก็ตาม
ตัวอย่าง ธนาคารธนชาต – การระบุไว้ในนโยบายข้อมูลส่วนบุคคลเกี่ยวกับการเปิดเผยข้อมูล แม้จะผู้ใช้จะเลิกใช้บริการแล้วก็ตาม

ในข้อตกลงการให้บริการ หรือนโยบายความเป็นส่วนตัวของบางเว็บไซต์ได้ระบุว่า ไม่รับรองความปลอดภัยของข้อมูลส่วนบุคคล เมื่อเกิดความบกพร่องทางเทคนิค เว็บไซต์จะปฏิเสธความรับผิดทั้งหมด เช่น เว็บไซต์ตลาดงานของกรมจัดหางาน

ในภาพรวม ผลการสำรวจครั้งนี้สะท้อนว่า ผู้ให้บริการออนไลน์ไทยให้ความสำคัญกับความปลอดภัยทางเทคนิคค่อนข้างมาก แต่ส่วนใหญ่ยังไม่อัพเดทระบบความปลอดภัยให้ทันสมัยพอที่จะรับมือกับภัยคุกคามใหม่ๆ ส่วนความรับผิดชอบต่อข้อมูลของผู้ใช้บริการนั้นยังอยู่ในระดับที่ต่ำมาก เช่น ตลาดดอทคอมนอกจากจะไม่ขออนุญาตเก็บข้อมูล ยังอ้างความเป็นเจ้าของข้อมูลตั้งแต่ต้น ส่วนผู้ให้บริการจำนวนหนึ่งก็อ้างอย่างไม่เป็นธรรม กำหนดให้ผู้ใช้ยินยอมรับเงื่อนไขการให้บริการว่า ตนจะไม่รับผิดชอบใดๆ ในกรณีที่เกิดการรั่วไหลของข้อมูลส่วนบุคคล

จากสถานการณ์เช่นนี้ ผู้เขียนเห็นว่า ชุดกฎหมายดิจิทัลควรกำหนดให้บริษัทผู้ให้บริการแจ้งผู้ใช้ทันทีที่เกิดการรั่วไหลของข้อมูล ส่วนมาตรการคุ้มครองข้อมูลส่วนบุคคลก็จะต้องได้มาตรฐานสากล ตั้งแต่การ “ขออนุญาต” เก็บข้อมูลก่อนเก็บ

ในส่วนของผู้ให้บริการเอง โดยเฉพาะอีคอมเมิร์ซทั้งหลาย ผู้เขียนเห็นว่าได้เวลาแล้วที่จะร่วมมือกันวางมาตรฐานการรักษาความปลอดภัยและคุ้มครองความเป็นส่วนตัวของผู้ใช้ รวมถึงเปิดเผยข้อมูลในลักษณะคล้ายกับผลการวิจัยชิ้นนี้อย่างสม่ำเสมอ

ไม่ว่ากฎหมายดิจิทัลจะเกิดหรือไม่เกิดก็ตาม.