อ.ปริญญา หอมอเนก กล่าวว่า ในประเทศไทย พระราชบัญญัติการรักษาความั่นคงปลอดภัยไซเบอร์ ปี 2562 ประกาศใช้แล้ว เมื่อวันที่ 24 พฤษภาคม พ.ศ.2562 ถ้าเป็นข้อมูลอีเมล, Facebook รั่วไหล ยังสามารถแก้ไขได้ด้วยการเปลี่ยน Password แต่ถ้าเป็นข้อมูลเหล่านี้รั่วไหลแล้วจะทำอย่างไร เช่น ลายพิมพ์นิ้วมือ ฝ่ามือ ใบหน้า เรตินา ม่านตา (Iris) ลายเซ็น ดีเอ็นเอ เลียง เป็นต้น ซึ่งข้อมูลเหล่านี้รั่วไหลแล้วไม่สามารถนำกลับมาได้ แก้ไขได้ยากด้วย ข่าวล่าสุด Facebook ได้ประกาศว่าออกหนุนเงินสกุล Libra แม้กระทั่งคนที่เคยได้รับรางวัลโนเบล ก็ยังไม่เชื่อมั่นว่าข้อมูลจะไม่รั่วไหล อ.ปริญญา ยังได้กล่าวถึงกระบวนการในการเข้าถึงเทคโนโลยีการเก็บข้อมูลมี 3 รูปแบบที่มีความแตกต่างกัน คือ การระบุตัวตน (Identification) อันหมายถึงการระบุตัวตนว่า คุณเป็นใคร ซึ่งเป็นการระบุตัวตนผ่านชื่อผู้ใช้ (Username), ความปลอดภัยของหมายเลขไอดี (Security ID), สมาร์ทการ์ด (Smart Card) และพีไอวี (PIV) (2). การตรวจสอบรับรอง (Authentication) เป็นการพิสูจน์ตรวจสอบว่าคุณเป็นใคร ผ่านชื่อผู้ใช้/คำสั่งผสมรหัสผ่าน (Username/Password Combo), หรือ PIN, OTP หรือการเก็บข้อมูลทางชีวมาตร (Biometrics Data) ซึ่งเป็นลักษณะเฉพาะของแต่ละบุคคล หรืออัตลักษณ์ เช่น ลายพิมพ์นิ้วมือ เรตินา ม่านต่า ใบหน้า เป็นต้น ปัจจุบันมีการใช้ไบโอเมทริกซ์นี้กันอย่างแพร่หลาย เช่น การสแกนลายพิมพ์นิ้วมือเพื่อปลดล็อกปุ่มโทรศัพท์, การสแกนใบหน้าเข้าทำงาน และห้องประชุม (3). การอนุญาต (Authorization) หมายถึงการได้รับอนุญาตจากผู้ที่เป็นเจ้าของข้อมูล ในการเก็บข้อมูลความเป็นส่วนตัวของประชาชนนั้น หน่วยงานของรัฐต้องมีการรับรองความปลอดภัยที่แน่นอนยั่งยืนว่า ข้อมูลเหล่านั้นต้องไม่รั่วไหล ถ้าคุณเดินทางไปเซินเจิ้น เมื่อเข้าสู่เมือง จะมีกล้องจับเก็บข้อมูลตลอด บางคนกลัวมาก จะกระโดดตึกตายก็มี และมีการประท้วงเกี่ยวกับเรื่องนี้ที่ประเทศฮองกงด้วยเช่นกัน ความจริงแล้วการจัดเก็บข้อมูลสามารถทำได้ แต่เราไม่รู้ว่า เขาเอาข้อมูลของเราไปขายหรือเปล่า สรุปประเด็นเป็น 2 ข้อ คือ (1).ปัจจุบันเทคโนโลยีไปไกลมาก ที่เรียกว่า Disruptive Technologies for Value Economy ต้องรู้เท่าทัน (2). เรื่องของคน การจัดเก็บข้อมูลของคนต้องดูว่าเขาเอาไปทำอะไร เมื่อคุณเก็บข้อมูลไปแล้วมีการรักษาความปลอดที่ดีหรือไม่ การจัดเก็บข้อมูลต้อง Concern เรื่องของ Privacy ด้วย การจัดเก็บข้อมูล "ถ้าเก็บข้อมูลเพื่อความมั่นคงของประเทศสามารถทำได้ แต่คุณต้องไม่ให้ข้อมูลรั่วไหลนะ ถ้าไม่ชัวร์จริงอย่าเก็บดีกว่า" ถ้าคุณเก็บข้อมูลของใครแล้ว ควรลบทิ้ง พ.ร.บ.ความมั่นคงไซเบอร์ ห้ามล่ม, พ.ร.บ.ข้อมูลส่วนบุคคล ห้ามรั่ว ถ้าข้อมูลรั่ว มีคนจะเล่นงานคุณ.
นพ.สุธี ทุวิรัตน์ กล่าวว่า มี 2 เรื่องหลัก คือ (1).หนังสือเดินทาง (Passport) รุ่นใหม่ของประเทศไทย โดยกระทรวงการต่างประเทศ ซึ่งแต่เดิมมีการเก็บข้อมูลทั้งภาพถ่าย และลายพิมพ์นิ้วมือสิบนิ้ว แต่ต่อไปนี้จะมีการเก็บข้อมูลชีวมาตรม่านตา (Iris) ด้วย ซึ่งทางกระทรวงฯ ได้ให้เหตุผลว่า การเก็บข้อมูลชีวมาตรดังกล่าวเป็นคุณลักษณะความปลอดภัยสูงสุดในการป้องกันการปลอมแปลงหนังสือเดินทาง ซึ่งแตกต่างจากประเทศอื่น เช่น สหรัฐอเมริกาเก็บเฉพาะข้อมูลภาพถ่ายอย่างเดียว ไม่ให้เก็บลายพิมพ์นิ้วมือ ในสหภาพยุโรป เก็บเฉพาะภาพถ่ายและลายพิมพ์นิ้วมือเพียง 2 นิ้ว เช่น ประเทศเยอรมันนี มีการเก็บม่านตา ส่วนประเทศเนเธอร์แลนด์เก็บลายพิมพ์นิ้วมือ เป็นต้น สำนักงานตรวจคนเข้าเมือง (ตม.) เวลามีคนเดินทางไปต่างประเทศเขาจะดำเนินการตรวจ 2 เรื่อง คือ (1). ตรวจเอกสาร โดยเอา Passport มาสแกน เพื่อให้รู้ว่าคนนี้คือใคร (Identification) (2).ระบบอิเล็กทรอนิกส์ (Chip) คือการนำเอาข้อมูลในเอกสารมาตรวจสอบว่าตรงกันไหม ซึ่งเป็นการยืนยันตัวตนที่แน่นอน (Authentication) ตอนนี้ใครจะไปทำหนังสือเดินทาง จะต้องถูกเก็บ 3 อย่าง คือ (1).รูปถ่าย (2).ลายพิมพ์นิ้วมือ และ (3). ม่านตา ซึ่งคนที่มาจัดเก็บข้อมูลนั้นเป็นบริษัทเอกชนที่มีการเข้ามาประมูลงานได้จากภาครัฐและได้ไปในราคาถูกๆ ซึ่งเอกชนเหล่านี้ในแต่ละปีมีการเปลี่ยนแปลงไป แล้วแต่ว่าใครจะประมูลได้ ซึ่งตรงนี้ข้อมูลคนทำหนังสือเดินทางอาจจจะรั่วไหล และอาจถูกสวมรอยได้ (2). การลงทะเบียนซิมโทรศัพท์ด้วยวิธีอัตลักษณ์ คณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติ (กสทช.) มีนโยบายการให้ลงทะเบียนซิมโทรศัพท์ทั้งการตรวจสอบใบหน้า และสแกนลายพิมพ์นิ้วมือทั่วประเทศ เมื่อเก็บข้อมูลเหล่านี้ไปแล้ว มั่นใจได้อย่างไรว่าข้อมูลไม่รั่วไหล แม้กระทั่งข้อมูลบัตรประชาชนของบุคคลสำคัญหลายคนถูกนำไปลงทะเบียนซ้ำกันหลายครั้ง ต่อไปอาจมีผลกระทบต่อการเลือกตั้ง เมื่อก่อนมีการใช้บัตรประชาชนในการเลือกตั้ง แต่ต่อไปจะมีการใช้ e-Vote ในการเลือกตั้ง เมื่อข้อมูลถูกนำไปเก็บไว้ในฐานข้อมูล ถ้าข้อมูลเหล่านั้นถูกแฮกจะเกิดอะไรขึ้นกับผลการเลือกตั้ง สรุป คือ รัฐอยากควบคุมข้อมูลส่วนบุคคล, บริษัทธุรกิจ อยากได้ข้อมูลของลูกค้า ข้อมูลส่วนบุคคลในโลกออนไลน์ถูกนำไปวิเคราะห์หาผลประโยชน์ ควรมีการปกป้องข้อมูลด้วยวิธีการที่ปลอดภัยด้วย มี 2 กรณีตัวอย่าง คือ กรณีแรก สายการบินบริติช แอร์เวย์ส ในเครือบริษัท อินเตอร์เนชั่นแนล แอร์ไลน์ส กรุ๊ป (IAG) ถูกสำนักงานคณะกรรมาธิการข้อมูลของสหราชอาณาจักร (ICO) ลงโทษปรับเงินเป็นจำนวน 183.39 ล้านปอนด์ (ประมาณ 7,069,820,000 บาท) สืบเนื่องจากกรณีการรั่วไหลของข้อมูลทางการเงิน และข้อมูลลูกค้าของบริษัทเมื่อปีที่แล้ว (https://thestandard.co) กรณีที่สอง คือ โรงแรม แมริออท (Marriot) อินเตอร์เนชั่นแนล เครือธุรกิจโรงแรมรายใหญ่ที่สุดในโลก โดนแฮ็กเกอร์เจาะระบบล้วงข้อมูลลูกค้า 500 ล้านคน นับตั้งแต่ปี 2014 และอาจต้องจ่ายค่าปรับสูงถึง 200 ล้านดอลลาร์ (https://www.posttoday.com) สำหรับในประเทศไทยอาจจะเข้าข่ายผิด พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล มาตราที่ 6 มีโทษจำคุก และโทษปรับทางปกครอง 5 ล้านบาท คณะกรรมการก็มีความผิดด้วย
ขณะที่เวทีเสวนาประชาชนอันประกอบด้วย นพ.สุธี ทุวิรัตน์, พล.อ.บรรเจิด เทียนทองดี, พล.อ.เจิดวุธ คราประยูร, และ พ.ต.อ.ญาณพล ยั่งยืน สรุปความว่า การจัดเก็บข้อมูลชีวมาตรนั้นมีทั้งข้อดี และข้อเสีย สำหรับข้อดี คือ เมื่อเกิดปัญหาอาชญากรรมขึ้น สมัยก่อนตามจับผู้ร้ายได้ยากมาก เพราะหาหลักฐานไม่ค่อยมี และมีการพิมพ์ลายนิ้วมือไว้นี้แหละพอที่จะช่วยได้ แต่ส่วนใหญ่คนที่ทำไว้ก็เป็นจำพวกพ่อค้าที่ทำดอกไม้เพลิง พอจะหาคนทำผิดก็หายาก เนื่องจากคนที่ทำลายพิมพ์นิ้วมือไว้ก็ยังไม่เคยมีประวัติอาชญากรรม เวลาจะหาข้อมูลจับผู้ร้ายก็ต้องไปพิสูจน์ว่าใครใส่แหวนนิ้วไหน ดังนั้น การจัดเก็บข้อมูลส่วนบุคคลเอาไว้ในการทำบัตรประชาชนก็ถือว่ายังมีประโยชน์ แต่ไม่ใช่เก็บข้อมูลทุกอย่าง รหัสผ่าน (Password) อีเมล เมื่อถูกแฮกไปก็ยังสามารถเปลี่ยนได้ แต่ม่านตาเปลี่ยนไม่ได้ ในสหภาพยุโรป เขาเก็บข้อมูลโดยให้สแกนนิ้วเพียงแค่ 2 นิ้ว ส่วนที่เหลือเอาไว้ใช้ประโยชน์อย่างอื่น จะเกิดอะไรขึ้นหากต่อไปมีการโคลนนิ่งมนุษย์ การเก็บข้อมูลของหน่วยงานรัฐควรต้องมีการออกแบบให้ชัดเจนว่าจะเก็บข้อมูลอะไรบ้าง ไม่ใช่เก็บทุกอย่าง เพราะตอนนี้ ทำบัตรประชาชน, ทำหนังสือเดินทาง, ทำใบขับขี่ ก็เก็บข้อมูลกันหมดทั้งรูปถ่าย ลายพิมพ์นิ้วมือ ใบหน้า ม่านตา ต่อไปอาจมีการเก็บถึงเรื่องดีเอ็นเอ (DNA) ด้วย เพราะอาจเสี่ยงต่อการละเมิดสิทธิส่วนบุคคล ต้องบอกประชาชนให้ชัดเจนว่า มีความจำเป็นอะไรต้องเก็บข้อมูลชีวมาตรเหล่านี้ ถ้าพลาดข้อมูลรั่วไหลเพียง 1% ย่อมมีผลเสีย ส่งผลกระทบต่อประชาชน ท้ายสุด นพ.สุธี ทุวิรัตน์ ได้มีข้อเสนอแนะในการเสวนา ครั้งนี้ คือ (1).รัฐควรจะหลีกเลี่ยงการบังคับเก็บข้อมูลชีวมาตรของประชาชน เก็บเท่าที่จำเป็นจริงๆ (2).รัฐควรจะต้องกำกับดูแลมาตรฐานการรักษาความมั่นคงปลอดภัยไซเบอร์ และคุ้มครองข้อมูลส่วนบุคคลของข้อมูลชีวมาตร อย่างมีธรรมาภิบาลเปิดเผย โปร่งใส (3).รัฐไม่ควรจะยอมให้เอกชน เข้ามาบริหารจัดการฐานข้อมูลชีวมาตร และ (4).รัฐต้องมีมาตรการเยี่ยวยาแก้ไขเจ้าของข้อมูลที่เกิดการรั่วไหล ทั้งหมดทั้งมวลนี้ หากทางรัฐได้เห็นความสำคัญเหล่านี้ จึงนับได้ว่าจะเป็นประโยชน์ต่อประชาชน และประเทศชาติโดยแท้จริง.
https://www.spu.ac.th/fac/informatics
บทความ โดย ผศ.สุพล พรหมมาพันธุ์
อาจารย์ที่ประจำสาขาวิชาคอมพิวเตอร์ธุรกิจ
คณะเทคโนโลยีสารสนเทศ มหาวิทยาลัยศรีปทุม
ติดต่อเราได้ที่ facebook.com/newswit