โทรศัพท์จากคนที่เราไม่รู้จัก

ทพพล น้อยปัญญา

เชื่อว่าทุกคนคงเคยได้รับโทรศัพท์ดังต่อไปนี้
– ขายประกัน
– เสนอสินเชื่อ
– ขายบัตรสมาชิกโรงแรม
ฯลฯ

คนเหล่านี้เป็นบุคคลที่เราไม่รู้จัก แต่เขาไปได้เบอร์ของเรามาจากไหน?

คำตอบนั้นง่ายมากครับ เขาก็ไปเอามาจากผู้ที่เราเคยกรอกข้อมูล (ชื่อ ที่อยู่ เบอร์โทรศัพท์ ฯลฯ) ให้ เช่น เปิดบัญชีธนาคาร ทำประกันชีวิต สมัครสมาชิกหนังสือพิมพ์ หรือแม้แต่เวลาจะซื้อของบนอินเทอร์เน็ต เราก็ต้องกรอกข้อมูลเกี่ยวกับตัวเราและอื่นๆ ก่อนเสมอ

ผู้ที่เรากรอกข้อมูลให้เหล่านี้ เมื่อเขาได้ข้อมูลของเราไป นอกจากจะเอาไว้ใช้เองแล้วเขาก็จะรวบรวมออกขายหารายได้อีกทางหนึ่ง

เคยสังเกตไหมครับ บางทีเราจะซื้อของอะไรอย่างหนึ่ง แต่ทำไมต้องกรอกข้อมูลตั้งหลายอย่าง เช่น เกิดเมื่อไร? รายได้เท่าไหร่? งานอดิเรกคืออะไร? ฯลฯ

ผู้ที่ได้ข้อมูลเหล่านี้ไปเขาก็เอาข้อมูลนั้นไปขายคนที่เห็นคนแบบเราเป็นกลุ่มเป้าหมาย เช่น เรากรอกข้อมูลว่าเราสนใจเรื่องคอมพิวเตอร์ เขาก็เอาข้อมูลของเราไปขายให้บริษัทขายคอมพิวเตอร์ บริษัทที่ขายซอฟต์แวร์ แล้วก็นิตยสารเกี่ยวกับคอมพิวเตอร์ อะไรทำนองนี้

แต่การเก็บรวบรวมข้อมูลเหล่านี้แล้วเอาไปขายจะทำไม่ได้เลยถ้าเรามีกฎหมายคุ้มครองข้อมูลส่วนบุคคลหรือที่เรียกกันโดยทั่วไปว่า Privacy Law

ในยุคของสังคมข้อมูลข่าวสาร (Information Society) นั้น ข้อมูลเป็นเรื่องสำคัญที่สุด และเมื่อจะขายของ ข้อมูลของคนที่สนใจเกี่ยวกับของที่จะขายจึงเป็นเรื่องมีความสำคัญ เพราะการติดต่อกับคนที่สนใจเรื่องนี้ ย่อมเป็นการเข้าถึงกลุ่มเป้าหมายโดยตรง ถ้าเขาไม่มีข้อมูลนี้ คนที่จะขายก็ต้องเหวี่ยงแหเสนอขายต่อคนเป็นจำนวนมากโดยไม่รู้ว่าเขาสนใจหรือเปล่า เสียทั้งเงินเสียทั้งเวลา

แต่การขายโดยการติดต่อกลุ่มเป้าหมายนี้ อาจจะก่อให้เกิดความเดือดร้อนรำคาญแก่ผู้ที่ได้รับการติดต่อได้ ยิ่งไปกว่านั้น ผู้ที่ไม่ประสงค์ดีก็อาจเอาของเราไปกระทำความผิดต่างๆ เช่น ถ้าเขารู้หมายเลขบัตรเครดิตของเรา ก็อาจจะเอาไปซื้อของแทนเรา ประเทศต่างๆ เลยต้องมีกฎหมายสำหรับการเก็บรวบรวมข้อมูลส่วนบุคคลและคุ้มครองความเป็นส่วนตัวของเราไม่ให้ใครเอาไปเปิดเผยได้โดยไม่ได้รับอนุญาตจากเรา

อย่างประเทศในยุโรป เมื่อเดือนพฤษภาคมของปีที่แล้วมีการประกาศใช้กฎหมาย The European Union’s General Data Protection Regulation (GDPR) ซึ่งถือเป็นการเปลี่ยนแปลงครั้งสำคัญของกฎหมายที่เกี่ยวกับข้อมูลส่วนบุคคลในรอบ 20 ปีทีเดียว กฎหมายนี้ได้กำหนดถึงวิธีการเก็บข้อมูลส่วนบุคคล การให้ความยินยอมในการใช้ข้อมูลนั้น สิทธิต่างๆ เกี่ยวกับข้อมูล เช่น สิทธิในการที่จะได้รับแจ้ง สิทธิในบางเรื่องที่จะถูกลืม ความปลอดภัยทางคอมพิวเตอร์ (Cybersecurity) ฯลฯ ที่ละเอียดขึ้นมาก บริษัทต่างประเทศที่ใช้ข้อมูลของผู้มีถิ่นที่อยู่ในสหภาพยุโรปต้องระวังไว้

แต่อย่างไรก็ตาม กฎหมายนี้จะไม่มีผลบังคับจนกว่าวันที่ 25 พฤษภาคม 2018 ในปีหน้า แต่ในขณะนี้ก็มี Data Protection Directive 95/46/EC บังคับใช้อยู่

ในประเทศไทย มีการเสนอร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลเข้าสู่การพิจารณาของสภานิติบัญญัติแห่งชาติแล้ว แต่คณะรัฐมนตรีได้ขอถอนร่างพระราชบัญญัติดังกล่าวเพื่อนำกลับไปพิจารณาทบทวนอีกครั้งหนึ่ง ตอนนี้ก็เลยไม่แน่ใจว่าร่างพระราชบัญญัตินี้มีสถานะอยู่ที่ไหนอย่างไร

พอไม่มีกฎหมายอย่างนี้ในบ้านเรา ก็เลยมีการเก็บและใช้ข้อมูลนี้กันอย่างสนุกสนาน เคยมีเรื่องปรากฏให้เห็น เช่น กรณีที่พนักงานของบริษัท AIS เอาข้อมูลของลูกค้านับร้อยรายและมีการนำข้อมูลนั้นไปให้แก่บุคคลภายนอก แม้จะถือเป็นความผิดตามพระราชบัญญัติการประกอบกิจการโทรคมนาคม พ.ศ. 2544 และมีผลต่อการได้รับอนุญาตให้ประกอบกิจการด้วย แต่เรื่องก็เงียบหายไปมีแต่ข่าวเรื่องการแจ้งความดำเนินคดีกับพนักงานผู้กระทำความผิดเท่านั้น (ดูบทความเรื่อง “กรณีพนักงานของ AIS นำข้อมูลลูกค้าผู้ใช้บริการไปขายให้บุคคลภายนอก บทลงโทษสามารถเพิกถอนใบอนุญาตหรือไม่!” )

และเมื่อวันที่ 8 สิงหาคม 2560 ประธานกรรมการบริหาร บริษัท เอ็นเนอร์ยี่ เอิร์ธ จำกัด (มหาชน) (EARTH) เปิดเผยว่า บริษัทได้ฟ้องร้องดำเนินคดีข้อหาละเมิดต่อธนาคารธนชาต เรียกค่าเสียหาย 60,000 ล้านบาท โดยศาลแพ่งได้ประทับรับฟ้องเป็นคดีดำเลขที่ พ.1552/2560 สืบเนื่องจากธนาคารธนชาตได้นำข้อมูลเกี่ยวกับธุรกรรมทางการเงินของบริษัทไปเปิดเผยกับธนาคารกรุงไทย จนเป็นเหตุให้ธนาคารกรุงไทยยื่นเรื่องต่อศาลเพื่อขออายัดเงินของบริษัทที่อยู่ในบัญชีเงินฝาก ซึ่งเป็นเงินที่บริษัทเตรียมโอนไปจีน เพื่อใช้สำหรับดำเนินธุรกิจซื้อขายถ่านหินให้กับคู่ค้าในจีน ซึ่งได้รับอนุญาตจากธนาคารแห่งประเทศไทยและธนาคารแห่งชาติของจีนแล้ว การกระทำของธนาคารธนชาตเข้าข่ายความผิดตามพระราชบัญญัติธุรกิจสถาบันการเงิน พ.ศ. 2551

ทางด้านธนาคารธนชาตได้ออกแถลงการณ์ว่า ธนาคารขอปฏิเสธโดยสิ้นเชิง ธนาคารยืนยันว่ามีนโยบายชัดเจน เข้มงวด ในการดูแลรักษาความลับของลูกค้า…โดยธนาคารขอสงวนสิทธิ์ที่จะดำเนินการทางกฎหมายต่อ EARTH ทั้งทางแพ่งและอาญาต่อไปหลังถูกพาดพิงให้เสียหาย (ดูข่าวที่นี่)

ที่สิงคโปร์มีกฎหมายคุ้มครองข้อมูลส่วนบุคคล ชื่อ The Personal Data Protection Act ออกเมื่อปี 2557 กฎหมายนี้กำหนดไว้ในมาตรา 24 ว่า ข้อมูลส่วนบุคคลที่อยู่ในความครอบครองของบุคคลใด บุคคลนั้นก็ต้องจัดให้มีระบบรักษาความปลอดภัยเพื่อมิให้มีการใช้ข้อมูลนั้นโดยมิได้รับอนุญาตได้ (protection personal data in its possession or under its control by making reasonable security arrangements to prevent unauthorised access, collection, use, disclosure, copying, modification, disposal or similar risks) และเมื่อปลายปี 2559 ก็มีคดีใหญ่เกิดขึ้นกับบริษัท K Box Entertainment Group Pte Ltd (K Box) ซึ่งเป็นบริษัทที่ทำธุรกิจเกี่ยวกับคาราโอเกะ

โดยข้อมูลส่วนบุคคลของสมาชิก 317,000 รายได้รั่วไหลออกไปทางออนไลน์ จากการสอบสวนได้ความว่า K Box ไม่มีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ ยกตัวอย่างเช่น ไม่ได้มีการบังคับใช้ password อย่างเคร่งครัด ซึ่งทำให้ผู้ที่ไม่ได้รับอนุญาตสามารถเข้าถึงข้อมูลส่วนบุคคลของสมาชิกได้ นอกจากนี้ K Box ยังไม่ได้มีการจัดการอย่างมีประสิทธิภาพกับตัวกลางข้อมูลของตนที่ชื่อบริษัท Finantech Holdings Pte Ltd ให้ปฏิบัติตามกฎหมายการคุ้มครองข้อมูลส่วนบุคคลโดยเคร่งครัด ทั้งยังละเลยที่จะแจ้งหรือเน้นกับ Finantech ถึงหน้าที่ในการคุ้มครองข้อมูลส่วนบุคคล สัญญาระหว่าง K Box กับ Finantech ก็หาได้มีข้อสัญญาข้อใดที่กำหนดให้ Finantech จะต้องปฏิบัติตามมาตรฐานของการคุ้มครองข้อมูลส่วนบุคคล ซึ่งอย่างน้อยที่สุดก็เป็นไปตามมาตรฐานของอุตสาหกรรมนั้น

คดีนี้ K Box จึงถูกปรับไปเป็นเงิน 50,000 เหรียญสิงคโปร์หรือประมาณ 1,200,000 บาท

ที่ฮ่องกงเรื่องเกิดเมื่อเดือนกรกฎาคมที่ผ่านมา กรรมการของบริษัทรับจัดหางานแห่งหนึ่งถูกกล่าวหาว่า มีข้อมูลส่วนบุคคลถูกโอนจากบริษัทไปยังบุคคลที่สามโดยไม่ได้รับความยินยอม คณะกรรมการความเป็นส่วนบุคคล (Privacy Commissioner) ได้รับข้อร้องเรียนและพยายามติดต่อกับบริษัทหลายครั้งแต่ไม่ได้รับการตอบสนองจากบริษัท ท้ายที่สุดก็เลยต้องออกหมายเรียกให้กรรมการบริษัทมาให้ปากคำ แต่กรรมการก็ยังไม่มาอีก คณะกรรมการฯ จึงส่งเรื่องให้ตำรวจให้ดำเนินคดีอาญาตามกฎหมาย Personal Data (Privacy) Ordinance ผลก็คือ ตัวกรรมการคราวนี้ยอมมาและรับสารภาพผิด เลยถูกปรับไปเป็นเงิน 3,000 เหรียญฮ่องกงหรือประมาณ 12,000 บาท

ตราบใดที่ยังไม่มีกฎหมายเกี่ยวกับข้อมูลส่วนบุคคลในบ้านเรา ตราบนั้นปัญหาของการนำเอาข้อมูลส่วนตัวไปใช้หรือหาประโยชน์ก็คงมีอยู่ต่อไป ข้อมูลของเราก็เหมือนของสาธารณะ ผู้ที่เก็บข้อมูลของเราไปก็ไม่ต้องดูแลรักษาระแวดระวังอะไร จะเอาไปหาประโยชน์ในทางใดก็ได้ กฎหมายยกร่างกันมาเป็น 10 ปีแล้วก็ยังไม่สำเร็จออกมาเป็นกฎหมายเสียที

ก็ไม่รู้เหมือนกันว่าอีกเมื่อไรสิทธิของประชาชนอย่างเราๆ ท่านๆ จะได้รับการคุ้มครองเสียที