แชร์

ข้อมูลอีเมลรั่วไหลมีความเสี่ยงถึงชีวิตได้หรือไม่

อัพเดทล่าสุด: 24 ต.ค. 2024
50 ผู้เข้าชม
ข้อมูลอีเมลรั่วไหลมีความเสี่ยงถึงชีวิตได้หรือไม่

เมื่อวันที่ 13 ธันวาคม 2566 หน่วยงานกำกับดูแลด้านการคุ้มครองข้อมูลส่วนบุคคลของประเทศอังกฤษ (UK Information Commissioners Office: ICO) ได้เผยแพร่คำสั่งปรับทางปกครองกระทรวงกลาโหมของประเทศอังกฤษเป็นเงินจำนวน 350,000 ปอนด์ (ประมาณ 15.6 ล้านบาท)

อันเนื่องมากจากการเปิดเผยข้อมูลส่วนบุคคลของพลเมืองอัฟกานิสถาน ที่จะทำการอพยพย้ายถิ่นฐานจากประเทศอัฟกานิสถานไปยังประเทศอังกฤษในช่วงปี 2564 โดยไม่ชอบด้วยกฎหมาย UK GDPR (UK General Data Protection Regulation)

เหตุการณ์นี้เกิดขึ้นในช่วงเวลาที่กลุ่มตาลิบาน (Taliban) ได้เข้าควบคุมประเทศอัฟกานิสถานในปี 2564 กระทรวงกลาโหมในขณะนั้นได้ดำเนินนโยบาย UKs Afghan Relocations and Assistance Policy (ARAP) เพื่อช่วยเหลือในการจัดหาที่อยู่ให้กับชาวอัฟกานิสถานที่ร่วมปฏิบัติการกับรัฐบาลอังกฤษที่ต้องการลี้ภัย โดยให้ยื่นคำร้องขอและส่งข้อมูลต่าง ๆ ผ่านช่องทางอีเมล

จากการดำเนินการตามนโยบายดังกล่าว ก่อให้เกิดการเปิดเผยข้อมูลส่วนบุคคลโดยไม่ชอบด้วยกฎหมายขึ้นเมื่อวันที่ 20 สิงหาคม 2564 เมื่อกระทรวงกลาโหมได้ส่งอีเมลไปยังผู้รับจำนวน 245 คนซึ่งเป็นพลเมืองอัฟกานิสถานผู้มีสิทธิลี้ภัยไปยังประเทศอังกฤษ

โดยเป็นการส่งในลักษณะของ Bulk email คือเป็นการส่งจดหมายจำนวนมากที่ดำเนินการส่งไปยังกลุ่มผู้รับทุกคนโดยใช้ To: (ถึง) ซึ่งการส่งอีเมลโดยวิธีดังกล่าวทำให้ผู้ลี้ภัยหรือผู้ที่สามารถเข้าถึงข้อมูลนั้นเห็นอีเมลของผู้รับทั้งหมดได้

และภายในอีเมลเหล่านั้นมีจำนวน 55 บัญชีอีเมลที่มีรูปภาพในลักษณะโพรไฟล์ส่วนบุคคลด้วย และมีเจ้าของอีเมล 2 คนได้ตอบกลับโดยแจ้งตำแหน่งที่ที่อยู่ของตน

จากเหตุการณ์ดังกล่าว ICO เห็นว่าถ้าข้อมูลอีเมลเหล่านี้รั่วไหลไปถึงกลุ่มตาลิบานก็อาจส่งผลถึงชีวิตของชาวอัฟกานิสถานที่ขอลี้ภัยได้

จากกรณีดังกล่าวมีประเด็นในทางกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่น่าสนใจดังนี้


1. ข้อมูลส่วนบุคคลที่ถูกละเมิด/รั่วไหล ประกอบด้วย 3 ลักษณะ ได้แก่ ที่อยู่อีเมล (245 บัญชี), ที่อยู่อีเมลและรูปภาพ (55 บัญชี) และ ที่อยู่อีเมลและที่อยู่ (2 บัญชี) ซึ่งข้อมูลส่วนบุคคลแต่ละกลุ่มนี้มีความเสี่ยงต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคลไม่เท่ากัน

2. ความเสี่ยงต่อชีวิต กรณีนี้ ICO เห็นว่าการเปิดเผยข้อมูลส่วนบุคคลโดยไม่ชอบด้วยกฎหมายดังกล่าว อาจก่อให้เกิดความเสี่ยงต่อชีวิตของบุคคล (life-threatening)

อันเนื่องมาจากบริบทของการประมวลผลข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ในการขออพยพ/บุคคล ที่มีสิทธิเป็นผู้ช่วยงานของรัฐบาลอังกฤษซึ่งอยู่ฝ่ายตรงข้ามกับกลุ่มตาลิบาน  เพราะเจ้าของ อีเมล ที่ได้รับอีเมลจากกระทรวงกลาโหมทุกคนย่อมถูกสันนิษฐานได้ว่าทำงานให้กับรัฐบาลอังกฤษ

จากบริบทนี้ คนกลุ่มนี้จึงมีความเสี่ยงถึงชีวิตได้ และมีความเสี่ยงมากขึ้นหากสามารถระบุตัวบุคคลได้ง่ายขึ้น เช่น มีข้อมูลภาพถ่าย หรือสถานที่อยู่ประกอบด้วย ลักษณะและบริบทของการประมวผลข้อมูลส่วนบุคคลนี้จึงมีความเสี่ยงสูง  (high risk) ต่อสิทธิและเสรีภาพของบุคคล

3. มาตรการด้านความมั่นคงปลอดภัยที่ไม่เหมาะสม ICO เห็นว่าการละเมิดการเป็นความลับของข้อมูลส่วนบุคคลในกรณีนี้เกิดจากความผิดพลาดของคน (human error) อันเนื่องมากจากการขาดมาตรการเชิงองค์กรและเชิงเทคนิคที่เหมาะสมของกระทรวงกลาโหม ดังนี้

(1)มาตรการเชิงองค์กร (Organizational measures) ไม่มีนโยบายเฉพาะด้านการส่งอีเมลที่อาจมีความเสี่ยงสูง และเจ้าหน้าที่ไม่ได้รับการฝึกอบรมหรือสร้างความตระหนักรู้เกี่ยวกับการส่งหรือเปิดเผยข้อมูลที่อาจมีความเสี่ยงสูง

(2)มาตรการเชิงเทคนิค (Technical measures) การใช้ blind carbon copy หรือ BCC มีความเสี่ยงอย่างมากจากข้อผิดพลาดของบุคคลที่ส่งอีเมล เมื่อคำนึงถึงความเสี่ยงที่อาจมีจากลักษณะการประมวลผลของข้อมูลเกี่ยวกับการขออพยพ หน่วยงานจึงควรนำเทคโนโลยีอื่น ๆ  มาใช้เพื่อทำให้การส่งอีเมลมีความมั่นคงปลอดภัยมากขึ้น

4. กฎหมายใช้บังคับนอกเขตแดนแห่งรัฐ กิจกรรมการประมวลผลนี้เกิดขึ้นในประเทศอัฟกานิสถาน นอกประเทศอังกฤษ แต่ UK GDPR มีผลใช้บังคับเพราะถือว่ากระทรวงกลาโหมเป็นผู้ควบคุมข้อมูลส่วนบุคคลที่ต้องอยู่ภายใต้บังคับของ UK GDPR และแม้ว่าเจ้าของข้อมูลส่วนบุคคลจะเป็นพลเมืองอัฟกานิสถานก็ตาม ข้อมูลส่วนบุคคลของพลเมืองอัฟกานิสถาน ที่ถูกเก็บรวบรวม ใช้ หรือเปิดเผยโดยกระทรวงกลาโหมย่อมได้รับความคุ้มครองตาม UK GDPR 

5. วัตถุประสงค์ของการกำหนดค่าปรับ ค่าปรับจำนวน 350,000 ปอนด์ (ประมาณ 15.6 ล้านบาท) ทำหน้าที่เพื่อยับยั้ง (deterrent) การละเมิดข้อมูลส่วนบุคคล และทำให้มั่นใจได้ว่าทั้งกระทรวงกลาโหมและหน่วยงานอื่น ๆ จะมีนโยบายและการฝึกอบรมที่เหมาะสมเพื่อลดความเสี่ยงที่ข้อมูลของประชาชนจะถูกเปิดเผยอย่างไม่เหมาะสมหรือโดยไม่ชอบด้วยกฎหมายทางอีเมล

6. การดำเนินการของกระทรวงกลาโหม  หลังจากมีเหตุการละเมิดข้อมูลส่วนบุคคลดังกล่าว กระทรวงกลาโหมของอังกฤษได้ดำเนินการเพื่อเยียวยาผลกระทบต่อผู้เสียหาย ดังนี้
(1)ติดต่อผู้ที่ได้รับผลกระทบดังกล่าวให้ทำการลบอีเมลที่ได้รับจากกระทรวงกลาโหมและขอให้เปลี่ยนอีเมลที่ใช้ในการติดต่อใหม่
(2)ปรับปรุงกระบวนการส่งข้อมูลให้มีความมั่นคงปลอดภัยมากขึ้น
(3)แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลมายัง ICO ตามเงื่อนไขของกฎหมาย
(4)รายงานต่อรัฐสภาเกี่ยวกับเหตุการละเมิดข้อมูลส่วนบุคคล
(5)ปรับปรุง Bulk Email Policy ให้มีการจัดการที่มีความปลอดมั่นคงภัยมากขึ้น อาทิ หากกรณีที่มีการส่งอีเมลให้กับผู้รับหลาย ๆ คนก็จะให้มีการตรวจสอบซ้ำ (second pair of eyes policy) เพื่อหลีกเลี่ยงการเปิดเผยข้อมูลที่ไม่เหมาะสม รวมถึงการนำระบบการส่งอีเมลจำนวนมากมาใช้ (bulk email service) 

หากพิจารณากรณีดังกล่าวตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จะพบว่ากฎหมายไทยกำหนดหน้าที่ขององค์กรต่าง ๆ ในทำนองเดียวกันกับมาตรฐานของ UK GDPR เช่นเดียวกัน ทั้งในด้านการจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม

หน้าที่แจ้งสํานักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) และแจ้งเจ้าของข้อมูลส่วนบุคคล รวมถึงหน้าที่ในการดำเนินการตามมาตรการที่จําเป็นและเหมาะสมเพื่อระงับ ตอบสนอง แก้ไข หรือฟื้นฟูสภาพจากเหตุการละเมิดข้อมูลส่วนบุคคลดังกล่าว

รวมทั้งป้องกันและลดผลกระทบจากการเกิดเหตุการละเมิดข้อมูลส่วนบุคคลในลักษณะเดียวกันในอนาคต ซึ่งรวมถึงการทบทวนมาตรการรักษาความมั่นคงปลอดภัยเพื่อให้มี ประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม.

อ้างอิง: 
ICO fines Ministry of Defence for Afghan evacuation data breach,

คอลัมน์ Tech, Law and Security
ระวีวรรณ ขันติวิริยะพานิช
บริษัท ดีพีโอเอเอเอส จำกัด
ศุภวัชร์ มาลานนท์
บัณฑิตวิทยาลัยการจัดการและนวัตกรรม (KMUTT/มจธ.)

บทความที่เกี่ยวข้อง
PDPA สื่อมวลชนและการขอใช้สิทธิลบเนื้อหาข่าว
สคส. เผยแพร่ความเห็นของคณะอนุกรรมการเฉพาะกิจ ตอบข้อหารือและให้คำแนะนำหน่วยงานของรัฐเพื่อรองรับการบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล
24 ต.ค. 2024
การโพสต์หรือแชร์รูปภาพ ไม่มีความรับผิดทางอาญาตาม PDPA
การโพสต์ข้อมูลส่วนบุคคล อย่างภาพใบหย่า ข้อมูลประวัติอาชญากรรม ภาพถ่ายใบหน้าลูกหนี้ แม้จะเข้าข่ายข้อยกเว้นการใช้บังคับกฎหมาย PDPA
24 ต.ค. 2024
กรรมการบริษัท ก็ต้องรู้จักปัญญาประดิษฐ์ AI
สถาบันกรรมการบริษัทแห่งออสเตรเลีย (Australian Institute of Company Directors -AICD) ได้ร่วมมือกับสถาบัน Human Technology Institute (HTI)
24 ต.ค. 2024
เว็บไซต์นี้มีการใช้งานคุกกี้ เพื่อเพิ่มประสิทธิภาพและประสบการณ์ที่ดีในการใช้งานเว็บไซต์ของท่าน ท่านสามารถอ่านรายละเอียดเพิ่มเติมได้ที่ ประกาศการคุ้มครองข้อมูลส่วนบุคคล (Privacy Notice) และ นโยบายคุกกี้
เปรียบเทียบสินค้า
0/4
ลบทั้งหมด
เปรียบเทียบ
Powered By MakeWebEasy Logo MakeWebEasy