ก่อนจะไปทำความรู้จักกับ GDPR ผมขอเริ่มต้นบทความนี้ด้วยการชวนผู้อ่านตั้งคำถามกับตัวเองว่า เราได้เคยเปิดเผยข้อมูลส่วนตัวไปกับการทำธุรกรรมใดบ้าง อย่างเช่น ติดต่อกับธนาคาร หน่วยบริการสุขภาพ ลงทะเบียนใช้งานผ่านอินเทอร์เน็ต หรือเล่นโซเชียลเน็ตเวิร์ค และในแต่ละครั้งเราต้องเปิดเผยข้อมูลส่วนตัวไปมากแค่ไหน เป็นการให้ข้อมูลเพียงชื่อ นามสกุล ที่อยู่ เบอร์โทรศัพท์ อีเมล์ หรือละเอียดถึงขั้นต้องให้เลขที่บัตรประชาชน เลขบัตรเครดิต หรือกระทั่งการตั้งพาสเวิร์ด ซึ่งถูกบันทึกไว้ในระบบของผู้ให้บริการ รวมถึงเราจะมั่นใจได้อย่างไรกับการที่องค์กรหรือหน่วยงานผู้ให้บริการเหล่านั้นต่างการันตีว่า ข้อมูลส่วนตัวของเราจะไม่ถูกเปิดเผยจนได้รับความเสียหาย หรือถูกนำไปใช้เพื่อประโยชน์ทางธุรกิจอื่นใด
จะเห็นว่า หลายประเทศในขณะนี้ เริ่มมีความกังวลต่อการเข้าถึงและใช้งานข้อมูลบิ๊ก ดาต้าแบบชนิดไร้พรมแดนจนเกินขีดความสามารถที่แต่ละประเทศจะกำกับดูแลให้ใช้งานได้อย่างเหมาะสมและไม่ขัดต่อการทำผิดกฎหมาย โดยเฉพาะการป้องกันไม่ให้เกิดการใช้งานที่ละเมิดความเป็นส่วนตัวของเจ้าของข้อมูล ซึ่งปัจจุบันมีกฎหมายหรือข้อบังคับในการกำกับดูแลการเข้าถึงข้อมูลในหลายรูปแบบ อาทิ กฎหมายปกป้องข้อมูลที่ใช้เฉพาะในแต่ละประเทศ กฎหมายกำกับการใช้ข้อมูลเป็นการเฉพาะในแต่ละอุตสาหกรรม ไปจนถึงกฎหมายคุ้มครองการรับ-ส่งข้อมูลข้ามพรมแดนในรูปแบบประเทศต่อประเทศ หรือองค์กรต่อองค์กร
GDPR คืออะไร
ถึงบรรทัดนี้ ต้องชวนคุยต่อถึง “กฎการคุ้มครองข้อมูลส่วนตัวของประเทศในกลุ่มสหภาพยุโรป (อียู) ที่เรียกว่า จีดีพีอาร์ (General Data Protection Regulation-GDPR)” ซึ่งเป็นกฎข้อบังคับที่ออกมาเพื่อคุ้มครองข้อมูลส่วนบุคคลของพลเมืองชาวอียูที่อาศัยกลุ่มประเทศสหภาพยุโรป รวมถึงในประเทศต่าง ๆ ทั่วโลก และกำลังจะมีผลบังคับใช้ในเดือนพฤษภาคมปีนี้ เราจะเห็นว่า แม้ จีดีพีอาร์ จะเป็นกฎหมายที่ออกโดย อียู แต่ก็เป็นสิ่งที่ไม่ควรมองข้าม เพราะมีอำนาจครอบคลุมการใช้งานข้อมูลส่วนบุคคลที่กว้างขวางในระดับประเทศต่อประเทศเลยทีเดียว
ความเข้มข้นของ จีดีพีอาร์ คือ การไม่ยินยอมให้มีการไหลออกของข้อมูลส่วนบุคคลไปยังประเทศที่มีมาตรฐานการคุ้มครองที่ต่ำกว่า หรือไม่ได้มาตรฐาน ซึ่งถ้าหากประเทศที่ประกอบธุรกิจ หรือเกี่ยวข้องกับอียูจะด้วยเรื่องใด เกิดตกชั้นเรื่องเกณฑ์การคุ้มครองข้อมูลตามที่ จีดีพีอาร์ กำหนด ก็จะเสียโอกาสในการทำธุรกิจกับอียูไปโดยปริยาย
ส่วนกฎของ จีดีพีอาร์ ที่ประเทศหรือองค์กรไทยที่มีการประกอบธุรกิจ หรือติดต่อกับพลเมืองของอียู ควรจะศึกษาและเตรียมความพร้อมแต่เนิ่น ๆ สรุปโดยย่อ ได้แก่ การที่ประเทศหรือองค์กรนั้น ๆ ต้องกำหนดให้มีการคุ้มครองสิทธิของเจ้าของข้อมูลให้สามารถย้ายและลบข้อมูลส่วนตัวที่อยู่ในระบบของผู้ให้บริการได้แล้วแต่กรณี และหากมีการนำข้อมูลไปใช้หรือประมวลผล จะต้องขอความยินยอม (consent) จากเจ้าของข้อมูลเสียก่อน รวมถึงต้องจัดเก็บข้อมูลนั้น ๆ ไว้ในรูปแบบที่ไม่สามารถระบุตัวตนได้ (Anonymous) เพื่อปกป้องความเป็นส่วนตัว แม้การเคลื่อนย้ายถ่ายโอนข้อมูลข้ามพรมแดนก็ต้องมีความปลอดภัยสูง
นอกจากนี้ องค์กรต่าง ๆ ต้องสร้างมาตรฐานการปกป้องข้อมูลส่วนบุคคลเพื่อกันการสูญหาย หรือถูกนำไปเปิดเผยโดยไม่ได้รับการยินยอมจากเจ้าของข้อมูล จะต้องมีระบบแจ้งเตือนเมื่อเกิดข้อมูลรั่วไหล โดย จีดีพีอาร์ กำหนดให้ต้องรายงานความเสียหายที่เกิดขึ้นภายใน 72% ชั่วโมง รวมถึงการประเมินแนวนโยบายการปกป้องข้อมูล เพื่อนิยามความเสี่ยงที่มีผลต่อข้อมูลของลูกค้า การทบทวนข้อปฏิบัติเพื่อบ่งชี้ความเสี่ยงได้อย่างแม่นยำ ซึ่งประเทศหรือองค์กรที่ไม่ปฏิบัติตามข้อบังคับของ จีดีพีอาร์ จะมีบทลงโทษด้วยการเสียค่าปรับตั้งแต่สิบถึงยี่สิบล้านยูโรเลยทีเดียว
มองในมุมบวก จีดีพีอาร์ จึงไม่ต่างจากการสร้างมาตรฐานใหม่ของการปกป้องข้อมูลที่ทำให้เจ้าของข้อมูลเข้าใจถึงสิทธิความเป็นส่วนตัวของข้อมูลที่ต้องไม่ถูกละเมิด ขณะที่องค์กรหรือหน่วยงานต่าง ๆ สามารถใช้เป็นโอกาสในการยกระดับระบบบริหารจัดการข้อมูลเพื่อเพิ่มประสิทธิภาพการดำเนินงาน หรือการประกอบธุรกิจ และสร้างความเชื่อมั่นในสายตาลูกค้า ผ่านการนิยามข้อมูลส่วนบุคคลให้ชัดเจน และกำหนดระดับการป้องกันอย่างเข้มข้น
GDPR นิยามเอาไว้ว่าอย่างไร
ทั้งนี้ กฎของ จีดีพีอาร์ ได้ช่วยกำหนดนิยามข้อมูลส่วนบุคคลที่ให้การคุ้มครองไว้ชัดเจนไว้แล้ว ซึ่งประกอบด้วย ข้อมูลที่ใช้ระบุตัวตนเบื้องต้น เช่น ชื่อ ที่อยู่ เลขที่บัตรประชาชน ข้อมูลที่ระบุตัวตนบนเว็บ เช่น จุดที่อยู่ (Location) ไอพีแอดเดรส ข้อมูลบันทึกการเข้าเว็บไซต์ (Cookies) ป้ายอิเล็กทรอนิกส์ที่อ่านค่าได้ด้วยคลื่นวิทยุ (RFID tag) ข้อมูลทางด้านสุขภาพและพันธุศาสตร์ ข้อมูลด้านชีววิทยา ข้อมูลด้านชาติพันธุ์หรือชนกลุ่มน้อย หรือ ข้อมูลความคิดเห็นทางการเมือง เป็นต้น
ส่วนการดำเนินการจะครอบคลุมใน 3 ขั้นตอน คือ ขั้นตอนการจัดเก็บข้อมูล (Data Collectors) ซึ่งเป็นการกำหนดวัตถุประสงค์และแนวปฏิบัติในการจัดเก็บข้อมูลประเภทต่าง ๆ เพื่อใช้ในการประมวลผลไว้ให้ชัดเจน ขั้นตอนการประมวลผลข้อมูล (Data Processors) โดยการนำข้อมูลไปประมวลผลจะต้องทำบนความรับผิดชอบที่จะไม่ให้เกิดการรั่วไหลของข้อมูล หรือนำไปใช้งานที่ไม่ตรงตามวัตถุประสงค์หรือข้อกำหนดที่วางไว้ และ ขั้นตอนการปกป้องข้อมูล (Data Protection) คือ การจัดให้มีเจ้าหน้าที่ด้านการปกป้องข้อมูล (Data Protection Officer-DPO) ที่มีหน่วยงานการกำกับควบคุมโดยตรง (Supervisory Authorities) เพื่อติดตามดำเนินการให้เป็นไปตามกลยุทธ์ด้านความปลอดภัยของข้อมูลตามข้อบังคับของ จีดีพีอาร์ หรือจะลงรายละเอียดถึงระดับของการประเมินความเสี่ยง (Risk Assessment) หรือประเมินผลกระทบต่อความเป็นส่วนตัว (Privacy Impact Assessment – PIA) ก็ไม่ว่ากัน เพราะนั่นจะยิ่งเป็นการการันตีว่า เรามีความตั้งใจปฏิบัติตามกฎการคุ้มครองข้อมูลส่วนบุคคล และพยายามลดความเสี่ยงทุกรูปแบบในสายตาของนานาประเทศเมื่อติดต่อกับองค์กรของเรา
ความตื่นตัวเรื่อง GDPR
เมื่อไม่นานมานี้ อาร์เอสเอ ซีเคียวริตี้ อิงค์ (RSA Security Inc.) บริษัทซึ่งให้บริการเทคโนโลยีด้านความปลอดภัยบนระบบเครือข่ายและการพิสูจน์ตัวตนได้ออกมาเปิดเผยรายงานเรื่อง “ความปลอดภัยและความเป็นส่วนตัวของข้อมูล” ที่บริษัทได้ทำการสำรวจลูกค้ากว่า 7,500 ราย ในประเทศฝรั่งเศส เยอรมัน อิตาลี อังกฤษ และสหรัฐอเมริกา พบว่า 80% ของผู้เป็นเจ้าของข้อมูลกังวลกับการสูญหายของข้อมูลทางการเงินการธนาคารเป็นอันดับต้น 76% กังวลถึงข้อมูลที่ใช้เพื่อสร้างความปลอดภัย เช่น พาสเวิร์ด และข้อมูลที่ระบุตัวตน เช่น พาสปอร์ต ใบอนุญาตขับขี่รถว่าจะสูญหายหรือโดนแฮค 62% เลือกที่จะตำหนิบริษัทเมื่อข้อมูลสูญหายแทนการกล่าวโทษแฮคเกอร์ 41% จึงตั้งใจให้ข้อมูลเท็จเมื่อมีการลงชื่อเข้าใข้บริการออนไลน์ต่าง ๆ ขณะเดียวกัน 72% จะบอยคอทบริษัทที่เพิกเฉยต่อการปกป้องข้อมูลของพวกเขา และ 50% เลือกที่จะซื้อของกับบริษัทที่พิสูจน์ตัวเองได้ว่า ให้ความสำคัญอย่างมากกับการปกป้องข้อมูล
รายงานฉบับดังกล่าวได้สรุปส่งท้ายว่า ธุรกิจจะเดินสู่การเปลี่ยนถ่ายข้อมูลยุคดิจิทัล โดยการใช้ประโยชน์จากบริการสินทรัพย์ข้อมูลดิจิทัล และบิ๊ก ดาต้า อย่างต่อเนื่องได้นั้น จะต้องแม่นยำในการสอดส่องและปกป้องข้อมูลที่เกิดขึ้นในแต่ละวัน
ส่วน ไพร้ซวอเตอร์เฮาส์คูเปอร์ส (PWC) ซึ่งสำรวจบริษัทสัญชาติอเมริกัน พบว่า 92% มีการพิจารณาถึงข้อบังคับของ จีดีพีอาร์ และเห็นว่า มีความสำคัญเป็นอันดับต้นในการปกป้องข้อมูล
คำถามต่อไป คือ แล้วเราจะสร้างหรือรักษาโอกาสทางธุรกิจท่ามกลางความกังวลของลูกค้าเหล่านี้ได้อย่างไร…
การศึกษาที่มาที่ไป และประเภทของข้อมูลที่มีหรือใช้อยู่ในองค์กร การศึกษาถึงการไหลของข้อมูลซึ่ง ณ เวลานี้ อาจต้องเน้นข้อมูลที่เกี่ยวข้องกับ อียู ว่ามีผลกระทบต่อธุรกิจอย่างไร ข้อมูลได้ถูกจัดเก็บและมีการประมวลผล ณ ที่ใด และหากข้อมูลนั้นถูกจัดเก็บและประมวลผลอยู่ภายนอกองค์กรจะเป็นอย่างไร น่าจะเป็นจุดเริ่มต้นที่ดีในการตอบรับกฎของ จีดีพีอาร์
ขั้นตอนต่อไป คือ การประเมินระบบความปลอดภัยด้านข้อมูล เพื่อดูว่าส่วนใดที่เป็นไปตามกฎของ จีดีพีอาร์ แล้ว ส่วนใดที่ต้องตรวจสอบและปรับปรุงต่อเนื่องต่อไป หากไม่มีแผนตอบรับความเสี่ยงต่อการรั่วไหลของข้อมูลก็ให้ดำเนินการเสีย หรือถ้ามีอยู่แล้วก็ต้องทดสอบแผนว่า สามารถบรรเทาความเสียหายได้ภายใน 72 ชั่วโมงหรือไม่ เพราะการปรับปรุงแผนให้สอดรับกับกฎของ จีดีพีอาร์ จะเป็นหนทางหนึ่งในการการันตีความได้เปรียบทางการแข่งขันทางธุรกิจหรือบริการกับกลุ่มประเทศหรือพลเมืองชาวอียูได้อย่างแน่นอน
สำหรับองค์กรที่ทำงานร่วมกับผู้ให้บริการด้านไอที เช่น ผู้ให้บริการด้านคลาวด์ เวนเดอร์ในการให้บริการซอฟต์แวร์ (SaaS) อยู่แล้ว หรืออยู่ระหว่างพิจารณาคัดเลือกผู้ให้บริการระบบความปลอดภัยเพิ่มเติม จะต้องแน่ใจว่า ผู้ให้บริการหรือเวนเดอร์นั้น ๆ จะต้องเข้าใจ และให้ความสำคัญกับการแสวงหามุมมองใหม่ ๆ ด้านเทคโนโลยีเพื่อพัฒนาระบบความปลอดภัยด้านสารสนเทศ ทั้งมีความพร้อมที่ขับเคลื่อนไปข้างหน้าด้วยกันในฐานะภาคีทางธุรกิจ โดยเฉพาะงานด้านความปลอดภัยในการประมวลผลข้อมูลตามกฎของ จีดีพีอาร์ ซึ่งเป็นงานเร่งด่วนในขณะนี้ รวมถึงเป็นการเตรียมรับมือต่อกฎด้านความปลอดภัยอื่นใดที่จะเกิดขึ้นต่อไปในอนาคต
เมื่อโลกของข้อมูลนั้นไร้พรมแดน และเต็มไปด้วยบรรดาอาชญากรคอมพิวเตอร์ที่ยังคงท้าทายกฎหมายด้วยการสร้างเว็บไซต์ปลอม หรือ ฟิชชิ่ง สแกม (Phishing Scam) แฮคเกอร์ที่ยังคงใช้เทคโนโลยีที่ก้าวหน้าเพื่อล้วงลึกข้อมูลเพื่อหาประโยชน์อันมิควรได้ การนำข้อมูลส่วนบุคคลที่ถูกนำไปใช้ประโยชน์ทางการค้า หรือถูกเปิดเผยโดยไม่ได้รับอนุญาตบนโลกโซเชียลและสร้างความเสียหายให้เจ้าของข้อมูลจะโดยความตั้งใจหรือไม่ก็ตาม จะยิ่งทำให้การสร้างกฎเกณฑ์และข้อบังคับเพื่ออุดรอยรั่วต่าง ๆ เหล่านี้ก็จะยิ่งเข้มข้นมากขึ้น จึงขึ้นอยู่กับว่า องค์กรจะสามารถบริหารดุลยภาพระหว่างกฎเกณฑ์ที่เข้มงวดกับแนวปฏิบัติภายในองค์กรได้อย่างเหมาะสม และแปรเปลี่ยนให้เป็นอาวุธที่สร้างมูลค่าทางธุรกิจได้หรือไม่นั่นเอง
ขอบคุณบทความจาก
นายวิชญ์ วงศ์หาญเชาว์
Business Development – Digital Transformation
บริษัท ยิบอินซอย จำกัด