'ดีอีเอส' เดินหน้าคุ้มครองข้อมูลส่วนบุคคล เร่งดำเนินการ 3 ระยะ ผลักดันแก้ไขกฎหมาย

ประเสริฐ จันทรรวงทอง รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (MDES) เปิดเผยว่า ที่ประชุมคณะรัฐมนตรี (ครม.) เมื่อวันที่ 21 พฤศจิกายน 2566 รับทราบมาตรการคุ้มครองข้อมูลส่วนบุคคล ตามที่กระทรวง MDES เสนอเพื่อป้องกันและแก้ไขปัญหาการโจรกรรมข้อมูลส่วนบุคคลของประชาชน ซึ่งเป็นภัยคุกคามคนไทยอย่างหนักในปัจจุบัน โดยแบ่งเป็นระยะเร่งด่วน 30 วัน , ระยะ 6 เดือนและระยะ 1 ปี ซึ่งครอบคลุมการแก้ไขปัญหาและปกป้องข้อมูลส่วนบุคคลของประชาชนในทุกมิติ

ประเสริฐ กล่าวว่า สืบเนื่องจากมติ ครม. เมื่อวันที่ 7 พฤศจิกายน 2566 มอบหมายให้กระทรวงดิจิทัลฯ และกระทรวงมหาดไทย เสนอแนวทางป้องกันและคุ้มครองข้อมูลส่วนบุคคล กระทรวงดิจิทัลฯ ได้หารือกับหน่วยงานที่เกี่ยวข้องแล้วและได้กำหนดมาตรการการดำเนินการเป็น 3 ระยะ ประกอบด้วย ระยะเร่งด่วน 30 วัน ได้มอบหมายให้สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ได้จัดตั้งศูนย์ PDPC Eagle Eye ซึ่งเร่งดำเนินการมาตั้งแต่วันที่ 9-20 พฤศจิกายน 2566 ตรวจสอบหน่วยงานภาครัฐและภาคเอกชน จำนวน 3,119 หน่วยงาน พบความเสี่ยงข้อมูลรั่วไหลและได้ดำเนินการแจ้งเตือน จำนวน 1,158 เรื่อง ซึ่งหน่วยงานได้ดำเนินการแก้ไขแล้ว 781 เรื่อง ส่วนกรณีอื่นๆ อยู่ระหว่างการดำเนินการโดยเร็ว นอกจากนี้ยังพบกรณีซื้อขายข้อมูลส่วนบุคคล 3 เรื่อง ซึ่งอยู่ระหว่างสืบสวนดำเนินคดีร่วมกับกองบัญชาการตำรวจสืบสวนสอบสวนอาชญากรรมทางเทคโนโลยี (บช.สอท.) ทั้งนี้ศูนย์ PDPC Eagle Eye มีเป้าหมายตรวจสอบ 9,000 หน่วยงาน ภายใน 30 วัน

ประเสริฐ กล่าวว่า นอกจากนี้ยังมอบหมายให้สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ตรวจสอบช่องโหว่ของระบบ cybersecurity โดยได้ดำเนินการตั้งแต่วันที่ 9-20 พฤศจิกายน 2566 พบช่องโหว่ในหน่วยงานต่างๆ 91 หน่วยงาน มีความเสี่ยงระดับสูงจำนวน 21 หน่วยงาน ซึ่งได้มีการแจ้งแก้ไขแล้วทั้ง 91 หน่วยงาน รวมถึงได้มีการตรวจพบการโจมตีทางไซเบอร์ เกี่ยวกับข้อมูลส่วนบุคคล จำนวน 11 เหตุการณ์ แบ่งเป็น 1. กรณีข้อมูลรั่วไหล (Data Leak) พบ 8 เหตุการณ์ ซึ่งได้ส่งเรื่องให้ สคส. ดำเนินการตามกฎหมายแล้ว และ 2.กรณีข้อมูลถูกละเมิดหรือถูกโจมตี (Data Breach) พบ 3 เหตุการณ์ ซึ่งก็ได้ส่งเรื่องให้ บช.สอท. สืบสวนดำเนินคดี

ประเสริฐ กล่าวว่า รวมทั้งยังได้มีแนวทางในการสร้างความตระหนักรู้ให้กับประชาชน โดยเมื่อวันที่ 16 พฤศจิกายน 2566 สคส. และ สกมช. ร่วมกับหน่วยงานที่เกี่ยวข้อง เช่น สภาหอการค้าแห่งประเทศไทย สภาอุตสาหกรรมแห่งประเทศไทย สมาคมธนาคารไทย สมาคมประกันชีวิตไทย สมาคมโรงแรมไทย รวมถึงเครือข่ายภาคสื่อมวลชนได้มีการจัดอบรม DPO (Data Protection Officer) สำหรับหน่วยงานรัฐที่มีข้อมูลส่วนบุคคลจำนวนมาก จำนวน 85 หน่วยงาน เพื่อสร้างความตระหนักรู้เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล รวมไปถึงยังได้มีแนวทางในการปราบปรามและขยายผลคดี โดยเร่งรัดมาตรการปิดกั้นกรณีการซื้อขายข้อมูลส่วนบุคคลที่ผิดกฎหมาย และสืบสวนดำเนินคดี ตลอดจนจับกุมผู้กระทำความผิดโดยเร็ว ซึ่งจากการตรวจสอบพบกรณีซื้อขายข้อมูลส่วนบุคคล 3 เรื่อง ซึ่งอยู่ในระหว่างการขยายผล

ประเสริฐ กล่าวอีกว่า สำหรับระยะ 6 เดือน ได้ดำเนินการเร่งรัดการใช้คลาวด์กลางภาครัฐพบว่าหลายหน่วยงานไม่ได้จัดให้มีระบบการรักษาความมั่นคงปลอดภัยที่ดีพอ ขาดคน IT และ Cybersecurity 

ประเสริฐ กล่าวว่า สำหรับระยะ 1 ปี จะมีการปรับปรุงกฎหมายที่เกี่ยวข้องทั้งระบบ อาทิ การแก้ไข พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ให้อำนาจ สคส. ฟ้องร้องดำเนินคดีได้เอง ในกรณีซื้อขายข้อมูลและมีบทลงโทษที่ชัดเจน , พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ.2562 ให้มีบทลงโทษ กรณีหน่วยงานไม่ปฏฺบัติตามมาตรฐานการรักษาความมั่นคงปลอดภัยไซเบอร์ , พ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ.2562 ให้มีฐานความผิดกรณีซื้อขายข้อมูลส่วนบุคคลด้วย 

ประเสริฐ กล่าวว่า ข้อมูลส่วนบุคคลของประชาชนเป็นเรื่องใหญ่ที่กระทรวงดิจัทัลฯ ให้ความสำคัญ ล่าสุดกรณีที่มีผู้ปกครองในพื้นที่จังหวัดขอนแก่นระบุถูกบริษัทประกันชีวิตใช้ข้อมูลส่วนตัวจากการกรอกใบงานของบุตรในการโทรศัพท์มาขายประกัน อาจเข้าข่ายการละเมิดข้อมูลส่วนบุคคล ซึ่งได้สั่งการให้ สคส.ดำเนินการตรวจสอบโดยด่วน และอาจจะต้องเชิญบริษัทประกันชีวิตที่ถูกอ้างถึงมาชี้แจงด้วย