อ่านความจริง อ่านเดลินิวส์

เสาร์ที่ 6 มีนาคม 2564

อ่านความจริง อ่านเดลินิวส์

เสาร์ที่ 6 มีนาคม 2564

"พุทธิพงษ์"จี้อีคอมเมิร์ซทำตามก.ม.หลังข้อมูลลูกค้ารั่ว

“พุทธิพงษ์” หารือผู้ประกอบการแพลตฟอร์มอี-คอมเมิร์ซ เหตุข้อมูลผู้ใช้บริการที่รั่วไหล เผยยังเอาผิดไม่ได้ เหตุ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลยังอยู่ในช่วงขยายเวลาบังคับใช้ 1 ปี แต่ผู้ให้บริการทุกรายเป็น “ผู้ควบคุมข้อมูลส่วนบุคคล” ต้องปฏิบัติประกาศกระทรวง อังคารที่ 24 พฤศจิกายน 2563 เวลา 21.10 น.


 เมื่อวันที่ 24 พ.ย. นายพุทธิพงษ์ ปุณณกันต์ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอีเอส)  เปิดเผยว่า วันนี้ (24 พ.ย. 2563) ได้มีการเรียกประชุมหารือกับผู้ให้บริการอี-คอมเมิร์ซรายใหญ่ๆ ที่ดำเนินการอยู่ในประเทศไทย รวมถึงหน่วยงานที่เกี่ยวข้อง เพื่อร่วมกันจัดทำแนวทางดูแลข้อมูลของผู้ใช้บริการ และมาตรการในการดูแลข้อมูลผู้ใช้งานแพลตฟอร์ม โดยให้ความสำคัญกับการคุ้มครองข้อมูลส่วนบุคคลสูงสุด ซึ่งในการประชุมวันนี้ ยังให้ผู้ประกอบการอี-คอมเมิร์ซ ชี้แจงข้อเท็จจริงของข่าวที่มีข้อมูลส่วนบุคคลของผู้ใช้บริการรั่วไหล และมีการนำไปประกาศขายกันทางไซเบอร์
 
โดยจากการตรวจสอบของหน่วยงานที่เกี่ยวข้อง พบว่า ข้อมูลผู้ใช้บริการที่รั่วไหลไปจากแพลตฟอร์มอี-คอมเมิร์ซ และถูกนำไปประกาศขายผ่านทางไซเบอร์ พบว่าเป็นข้อมูลเกี่ยวกับการซื้อสินค้าผ่านแพลตฟอร์มต่างๆ ในช่วงปี 2561 โดยประกอบด้วยข้อมูล เช่น ชื่อ นามสกุล หมายเลขโทรศัพท์ อีเมล วันที่ทำธุรกรรม จำนวนเงิน ช่องทางการขาย สำหรับขั้นต้น ดีอีเอส ได้ประสานงานกับหน่วยงานด้านความมั่นคงปลอดภัยที่เกี่ยวข้อง (USCERT) ในการประสานกับผู้ดูแลระบบเพื่อระงับการเผยแพร่ข้อมูลดังกล่าวแล้ว


 
นายพุทธิพงษ์ กล่าวว่า พ.ร.ฎ.กำหนดหน่วยงานและกิจการที่ผู้ควบคุมข้อมูลส่วนบุคคล ไม่อยู่ภายใต้บังคับแห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 พ.ศ. 2563 ซึ่งขยายเวลาบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลไปอีก 1 ปี (27 พฤษภาคม 2563 – 31 พฤษภาคม 2564) แต่ยังกำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลให้เป็นไปตามมาตรฐานที่กระทรวงกำหนด ซึ่งถึงแม้จะยังไม่มีบทลงโทษแต่ก็ต้องปฏิบัติตามกฎหมายและประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เรื่องมาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล พ.ศ. 2563 (18 กรกฎาคม 2563 – 31 พฤษภาคม 2564) กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลต้องดำเนินการ ดังนี้

 

1.การควบคุมการเข้าถึงข้อมูลส่วนบุคคลและอุปกรณ์ในการจัดเก็บและประมวลผลข้อมูลส่วนบุคคลโดยคำนึงถึงการใช้งานและความมั่นคงปลอดภัย 2.การกำหนดเกี่ยวกับการอนุญาตหรือการกำหนดสิทธิในการเข้าถึงข้อมูลส่วนบุคคล 3.การบริหารจัดการการเข้าถึงของผู้ใช้งานเพื่อควบคุมการเข้าถึงข้อมูลส่วนบุคคลเฉพาะผู้ที่ได้รับอนุญาตแล้ว 4.การกำหนดหน้าที่ความรับผิดชอบของผู้ใช้งาน เพื่อป้องกันการเข้าถึงข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต การเปิดเผย การล่วงรู้ หรือการลักลอบทำสำเนาข้อมูลส่วนบุคคล การลักขโมยอุปกรณ์จัดเก็บหรือประมวลผลข้อมูลส่วนบุคคล 5.การจัดให้มีวิธีการเพื่อให้สามารถตรวจสอบย้อนหลังเกี่ยวกับการเข้าถึง เปลี่ยนแปลง ลบ หรือถ่ายโอนข้อมูลส่วนบุคคล ให้สอดคล้องเหมาะสมกับวิธีการและสื่อที่ใช้ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
 


นอกจากนี้ พ.ร.บ.การกระทำความผิดทางคอมพิวเตอร์ พ.ศ. 2550 และที่แก้ไขเพิ่มเติม ตามมาตรา 5 และ 7 กำหนดว่า ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลรู้ว่ามีการเข้าถึงโดยมิชอบซึ่งข้อมูลหรือระบบคอมพิวเตอร์ที่มีมาตรการการป้องกันการเข้าถึงโดยเฉพาะและมาตรการนั้นมิได้มีไว้สำหรับตน ทำให้ข้อมูลส่วนบุคคลรั่วไหล ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องดำเนินการแจ้งความต่อพนักงานเจ้าหน้าที่เพื่อดำเนินคดีด้วย

อย่างไรก็ตาม ส่วนที่สำคัญที่สุดเมื่อเกิดเหตุข้อมูลผู้ใช้บริการรั่วไหล ผู้ให้บริการพึงจะต้องชี้แจงประชาชนผู้ได้รับผลกระทบถึงรายละเอียดข้อมูลที่ถูกเข้าถึง และแนะนำวิธีการปฏิบัติเพื่อลดความเสี่ยง เช่น การเปลี่ยนรหัสผ่าน และระมัดระวังเมื่อมีคนโทรฯไปเพื่อหลอกลวงด้วย.
 
 
 

คุณเห็นด้วยกับข่าวนี้หรือไม่

  • เห็นด้วย
    80%
  • ไม่เห็นด้วย
    20%

ความคิดเห็น