อธิปไตยด้านข้อมูล…ที่เราคือเจ้าของที่แท้จริง

//อธิปไตยด้านข้อมูล…ที่เราคือเจ้าของที่แท้จริง

อธิปไตยด้านข้อมูล…ที่เราคือเจ้าของที่แท้จริง

By | 2020-05-25T10:35:58+00:00 May 25th, 2020|

อธิปไตยด้านข้อมูล* หรือ Data Sovereignty (*คือ สิทธิของการเป็นเจ้าของข้อมูล ซึ่งต้องได้รับการปกป้องคุ้มครอง และต้องไม่ถูกนำไปใช้โดยไม่ได้รับการอนุญาต) ไม่ใช่ “เรื่องใหม่” แต่เป็น “เรื่องใหญ่” ที่ไม่พูดถึงไม่ได้ เหตุจาก “ตัวเรา” ที่ยอมเปิดเผยข้อมูลเพื่อแลกกับแพลตฟอร์มบริการที่ตอบโจทย์ความสะดวกสบายในการใช้ชีวิตและการทำงานเหล่านี้ คือ ข้อมูลที่สร้างมูลค่าและต้องได้รับการคุ้มครอง ทั้งโดย ตัวเรา ผู้เป็นเจ้าของข้อมูล (Data Subject) ผู้ให้บริการ ซึ่งเป็นผู้ดูแลควบคุม (Data Controller)และนำข้อมูลไปใช้ (Data Processor) รวมถึง กรอบกฎหมายต่าง ๆ เช่น General Data Protection Regulation (GDPR) ของทางยุโรป  หรือ กฎหมายปกป้องข้อมูลส่วนบุคคล (Personal Data Protection Act: PDPA) ของไทย เพื่อให้การใช้งานเป็นไปตามวัตถุประสงค์ของกฎหมาย และที่เจ้าของข้อมูลอนุญาต (Consent) โดยไม่ละเมิดความเป็นส่วนตัว (Data Privacy) และไม่เกิดการรั่วไหล (Data Breaches) หรือผิดวัตถุประสงค์ (Misuse) ไม่ว่าข้อมูลต้นทางจะเริ่มที่ไหน ถูกนำไปใช้ หรือเคลื่อนย้ายไป-มาอย่างไร

นายมนตรี สถาพรกุล ผู้เชี่ยวชาญการดูแลข้อมูลส่วนบุคคล บมจ. โทเทิ่ล แอ็คเซ็ส คอมมูนิเคชั่น (ดีแทค) ให้สัมภาษณ์กับทีม OPEN-TEC ถึงแนวทางปกป้องข้อมูลของลูกค้าจากมุมผู้ให้บริการด้านโทรคมนาคม เริ่มจากบริบททางกฎหมายว่า แต่เดิมดีแทคมีหน้าที่ต้องปฏิบัติตามประกาศ กสทช.มาตรการคุ้มครองข้อมูลส่วนบุคคล(ฉบับ พ.ศ.2549) ซึ่งต้องกำกับให้การใช้ข้อมูลลูกค้าต้องเป็นไปเพื่อประโยชน์เฉพาะด้านการโทรคมนาคม ซึ่งหมายถึง การโทรเข้า-ออก การใช้งานเน็ตเวิร์ค หรือ การประมวลผลข้อมูลลูกค้าเพื่อออกผลิตภัณฑ์บริการด้านการโทรคมนาคมเท่านั้น โดยต้องมีการทำเอกสารคำยินยอม (Consent) จากลูกค้าในการขอนำข้อมูลไปใช้ไว้ในสัญญาการบริการเบื้องต้น หากปัจจุบันพฤติกรรมลูกค้าด้านบริการโทรคมนาคมได้เปลี่ยนไปสู่การใช้ข้อมูลที่มากขึ้น (Data-Driven) การเสนอบริการที่นอกเหนือจากวัตถุประสงค์ดังที่กล่าวเบื้องต้น จำเป็นต้องมีการขอและได้รับความยินยอมจากเจ้าของข้อมูลก่อนที่จะมีการนำข้อมูลไปใช้ เช่น ประมวลผลเพื่อการตลาด เสนอบริการความบันเทิง เกมส์ หรือวิดีโอรอสาย เป็นต้น

นายมนตรี สถาพรกุล
ผู้เชี่ยวชาญการดูแลข้อมูลส่วนบุคคล บมจ. โทเทิ่ล แอ็คเซ็ส คอมมูนิเคชั่น (ดีแทค)

กฎหมาย PDPA มีบทบาทสำคัญในการกำหนดมาตรฐานและความรับผิดชอบกับผู้ดูแลควบคุมข้อมูลส่วนบุคคลและปกป้องสิทธิความเป็นส่วนตัวให้กับเจ้าของข้อมูลในระดับประเทศ ดังนั้นเมื่อทุกองค์กร ปฎิบัติตามกฎหมาย การใช้ประโยชน์ในข้อมูล เช่นการเก็บ การใช้ การเปิดเผย การให้บริการเกี่ยวกับข้อมูลส่วนบุคคลสามารถทำได้โดยอิสระมากขึ้นและยังสามารถสร้างความเชื่อมั่นให้นักลงทุน หรือ บริษัทต่างประเทศด้วย

“หัวใจสำคัญของกฎหมาย PDPA เน้นการนำข้อมูลไปใช้ต้อง โปร่งใส และ ถูกต้องตรงตามวัตถุประสงค์ของสัญญาในการให้บริการ (Contract) และพื้นฐานกฎหมาย (Legal Basis) โดยคำนึงถึง ประโยชน์อันชอบธรรม (Legitimated Interest) สูงสุดที่ลูกค้าจะได้รับ”

ขณะที่ GDPR จะมีผลบังคับใช้ในประเทศไทยต่อเมื่อมีการประมวลผลข้อมูลส่วนบุคคลของพลเมืองยุโรป เช่น บริษัทยุโรปส่งข้อมูลมาไทยเพื่อขอรับบริการแมเนจเซอร์วิส หรือ บริการที่เสนอขายเฉพาะลูกค้ากลุ่มอียูเท่านั้น แต่ถ้าเป็นบริการพื้นฐานภายในราชอาณาจักรไทย เช่น สัญญาณบริการโทรนาคมท้องถิ่น (Roaming) เมื่อเดินทางเข้าประเทศ ถือเป็นบริการต่อเนื่องและอยู่ภายใต้การดูแลของกฎหมายไทย

ส่วนในบริบทการดำเนินธุรกิจ ดีแทคมีหน้าที่รับผิดชอบโดยตรงต่อการควบคุมดูแลข้อมูลส่วนบุคคลของลูกค้า มีการประเมินตรวจสอบเจตนาการใช้ข้อมูลลูกค้า (Privacy by Design) ก่อนที่จะมีการเริ่มประมวลผล ให้ตรงตามวัตถุประสงค์ของสัญญาบริการสัญญาและกฎหมาย ข้อมูลต้องประมวลและถูกเก็บในพื้นที่ปลอดภัยและมีผู้ดูแลระบบอย่างดี ต้องผ่านเกณฑ์มาตรฐานความปลอดภัยของข้อมูล ISO 27001 และ มีการประเมินวัตถุประสงค์เพื่อให้เป็นไปตามที่กฎหมายหรือสัญญากำหนด ควบคู่กับการออกแบบมาตรการคุมเข้มสำหรับการประมวลผลข้อมูล ในกรณีที่มีการใช้ผู้ให้บริการภายนอก (3rd Party Vendor) ในการประมวลผลข้อมูล นายมนตรี กล่าวว่า ทางดีแทคจำเป็นต้องมั่นใจว่าผู้ให้บริการภายนอกนั้นมีมารตรฐานในการดูแลข้อมูลตามที่ดีแทคกำหนด (Vendor Due Diligence)   และการกำหนด ข้อตกลงด้านการประมวลผลข้อมูล (Data Processing Agreement-DPA) เพื่อควบคุมดูแลการมาตรฐานการประมวลผลข้อมูลบุคคลของผู้ให้บริการภายนอกให้เป็นไปตามมาตรฐานของดีแทค  หรือ หากเป็นบริการผ่านคลาวด์ในต่างประเทศเพื่อการ“ประมวลผลข้อมูลลูกค้า”  บริการคลาวด์นั้นต้องตั้งอยู่ในประเทศที่มีกฎการปกป้องข้อมูลส่วนบุคคลชัดเจน และมีมาตรฐานการรักษาความปลอดภัยของข้อมูลและระบบสารสนเทศไม่เช่นนั้น ดีแทคจะไม่อนุมัติให้ใช้บริการข้ามประเทศ(Approved Territory) ทั้งนี้ เพื่อให้เจ้าของข้อมูลได้รับการคุ้มครอง หรือฟ้องร้องเรียกค่าเสียหายได้เมื่อข้อมูลรั่วไหลหรือถูกละเมิดตามกฎหมายของประเทศนั้นๆ ได้

ภาคของการปฏิบัติงานในองค์กรก็เช่นกัน ดีแทคได้วางมาตรการควบคุมในสองส่วนสำคัญ คือ เทคโนโลยีความปลอดภัย เช่น หมั่นสอดส่องชุดข้อมูลในระบบว่า มีการเคลื่อนย้ายจากไหนไปไหน ไปอย่างไร มีการเข้ารหัสข้อมูลหรือไม่ และ วัตถุประสงค์การใช้ หรือเปิดเผยข้อมูล เช่น การเข้าถึงเพื่อใช้ข้อมูลลูกค้า เช่น พนักงานศูนย์ข้อมูลลูกค้าที่มีสิทธิเข้าถึงข้อมูลลูกค้าตามภาระงานที่ได้รับ จะมีมาตรการสอบทานว่า เข้าไปดูข้อมูลลูกค้าด้วยวัตถุประสงค์ใด หรือ ต้องมีคำขอใช้ข้อมูลอย่างเป็นทางการในบางกรณี

“มิติการปกป้องความเป็นส่วนตัวของข้อมูลขณะนี้ ถือว่านำหน้าเทคโนโลยีความปลอดภัยของข้อมูลไปแล้ว ด้วยเหตุนี้ อาวุธสำคัญในการเติมความเชื่อมั่นให้กับลูกค้า ท่ามกลางยุคสมัยของการขับเคลื่อนด้วยข้อมูลมหาศาลที่มีค่าดั่งทอง ที่ต้องขอย้ำอีกครั้ง คือ “ต้องโปร่งใส และเป็นการใช้งานถูกต้องตามวัตถุประสงค์ที่ให้กับลูกค้าผู้เป็นเจ้าของข้อมูลเป็นสำคัญ” นายมนตรีสรุปปิดท้าย

 

 

About the Author:

Corporate Communications
OPEN-TEC website uses cookies to give you the very best experience. Cookies also help us understand how our website is being used. If you continue without changing these settings on your browser, you consent to our Cookie Privacy Policy.