ปัญหาหนึ่งที่มีความอ่อนไหวในยุคที่ความก้าวหน้าทางเทคโนโลยีสารสนเทศ (Information Technology : IT) คือ การรั่วไหลของข้อมูลส่วนบุคคลที่ถูกจัดเก็บไว้ตามหน่วยงานภาครัฐ เอกชน ที่ยิ่งทวีความรุนแรงจนกล่าวได้ว่าเป็นภัยคุกคามหนึ่งในยุค Digital ที่ข้อมูลมีบทบาทสำคัญในทุก ๆ ด้านต่อการใช้ชีวิตประจำวันของทุกคน ดังนั้น การรั่วไหลของข้อมูลส่วนบุคคลจึงไม่ได้ส่งผลกระทบต่อความเป็นส่วนตัวของบุคคลหนึ่ง ๆ เท่านั้น แต่อาจจะนำไปสู่ความเสียหายทางชื่อเสียง และทางการเงินของบุคคลนั้น ๆ ได้อีกด้วย จากการนำไปใช้ในทางทุจริตของบุคคลอื่น เช่น การนำไปใช้เพื่อการแอบอ้างตัวตน ฉ้อโกง รวมถึง โทษ PDPA เพิ่มเติมอีกด้วย
ปัจจัยเสี่ยงให้เกิดการรั่วไหลของข้อมูลส่วนบุคคล
โดยทั่วไปข้อมูลส่วนบุคคลของคน ๆ หนึ่ง จะมีการจัดเก็บในฐานข้อมูลส่วนตัว (ทั้งด้วยความตั้งใจหรือไม่ตั้งใจ และอย่างเป็นระบบหรือไม่เป็นระบบ) และถูกจัดเก็บโดยหน่วยงานทั้งภาครัฐและเอกชนต่าง ๆ เป็นจำนวนมาก ด้วยวัตถุประสงค์ต่าง ๆ ที่เราไม่สามารถปฏิเสธหรือหลีกเลี่ยงได้ และเมื่อข้อมูลส่วนบุคคลเป็นสิ่งสำคัญที่สามารถเปลี่ยนคุณค่าให้เป็นราคาได้ จึงมีความเสี่ยงต่าง ๆ ที่ทำให้เกิดการรั่วไหลของข้อมูลส่วนบุคคลได้ เช่น
– การโจมตีทาง Cyber โดย Hacker หรือผู้เชี่ยวชาญเทคโนโลยีสารสนเทศ ที่จะเจาะเข้าสู่ระบบ Computer หรือเครือข่าย (Network) ของหน่วยงาน และนำข้อมูลต่าง ๆ ออกไปใช้ประโยชน์ทางทุจริตได้
– การสูญหาย หรือถูกขโมยอุปกรณ์ เช่น อุปกรณ์จัดเก็บข้อมูล และ Computer ที่มีการจัดเก็บข้อมูลสำคัญ โดยเฉพาะข้อมูลส่วนบุคคลของเรา ข้อมูลส่วนบุคคลของบุคลากร หรือลูกค้าของหน่วยงาน
– ความผิดพลาดของมนุษย์ ที่มีสาเหตุมาจากการขาดความระมัดระวังที่ดีเพียงพอ เช่น การเปิด e-Mail หรือการกด Link ที่น่าสงสัย ซึ่งอาจจะนำไปสู่การทำให้อุปกรณ์ต่าง ๆ ของเราติด Malwares และทำให้เกิดการรั่วไหลของข้อมูลได้ในที่สุด
– การแบ่งปันข้อมูลที่ไม่เหมาะสม เช่น การแสดงข้อมูลส่วนตัวของเรา หรือบุคคลอื่นในสื่อสังคม Online หรือการส่งข้อมูลให้กับบุคคลที่ไม่รู้จักหรือไม่มีความน่าเชื่อถือ
การป้องกันการรั่วไหลของข้อมูลส่วนบุคคลในวันนี้ เป็นเรื่องสำคัญที่ทุกคน ทุกหน่วยงานทั้งภาครัฐและเอกชนต้องให้ความสำคัญมากขึ้น เพราะภายใต้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ที่มีการกล่าวถึงมากขึ้นในสังคมไทย คือ กฎหมายที่ออกแบบมาเพื่อปกป้องสิทธิของเจ้าของข้อมูล และกำหนดบทลงโทษสำหรับบุคคล และหน่วยงานที่ละเลยการปกป้องและป้องกันการรั่วไหลของข้อมูลส่วนบุคคล จนเป็นเหตุให้เกิดความเสียหายต่อชีวิต ชื่อเสียง และทรัพย์สินของบุคคลผู้เป็นเจ้าของข้อมูล ซึ่งในที่นี้ เราจะขอกล่าวถึงบทลงโทษต่อการละเลย และผู้ฝ่าฝืนจะมี โทษ PDPA ที่ประกอบด้วยโทษทางปกครอง โทษทางอาญา และโทษทางแพ่งที่ต้องรับผิดต่อเจ้าของข้อมูล
โทษชั้นที่ 2 โทษทางอาญา
บุคคลที่เกี่ยวข้องกับการกระทำผิดอาจถูกดำเนินคดีอาญาและต้องรับโทษจำคุกและปรับตามที่ PDPA กำหนด โดยโทษจำคุกสูงสุดอาจถึง 1 ปี และโทษปรับสูงสุดอาจถึง 1 ล้านบาท โดยมีรายละเอียด คือ
– ถ้าทำให้เจ้าของข้อมูลเสียชื่อเสียง ถูกดูหมิ่น เกลียดชัง ได้รับความอับอาย โทษจำคุกไม่เกิน 6 เดือน หรือปรับไม่เกิน 5 แสนบาท หรือทั้งจำทั้งปรับ ซึ่งเป็นอัตราเดียวกับกรณีความผิดฐานเปิดเผยข้อมูลส่วนบุคคลให้แก่ผู้อื่น
– ถ้าเกิดจากการแสวงหาประโยชน์ของผู้กระทำผิด หรือให้แก่ผู้อื่นโดยทุจริต ต้องโทษจำคุกไม่เกิน 1 ปี หรือปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ
โทษชั้นที่ 3 โทษทางแพ่ง
– ค่าเสียหาย : ผู้เสียหายจากการรั่วไหลของข้อมูลสามารถฟ้องร้องเรียกค่าเสียหายจากผู้กระทำผิดได้ ซึ่งอาจรวมถึงค่าเสียหายที่เกิดจากความเสียหายทางวัตถุและจิตใจ และค่าใช้จ่ายเพื่อป้องกันและระงับความเสียหายที่จะเกิดขึ้นด้วย
– ค่าปรับเพิ่มเติม : โดยศาลอาจจะสั่งให้ผู้กระทำผิดต้องชำระค่าปรับเพิ่มเติม แต่ต้องไม่เกิน 2 เท่าของค่าเสียหาย และค่าสินใหมทดแทนที่แท้จริง เพื่อเป็นการลงโทษและสร้างการตระหนักรับผิดชอบแก่ผู้กระทำผิด
– อายุความ : 3 ปี นับจากวันที่ผู้เสียหายได้รับรู้ถึงความเสียหาย และรู้ตัวผู้ควบคุม และผู้ประมวลผลข้อมูลส่วนบุคคลที่ต้องรับผิด หรือ 10 ปี นับแต่วันที่มีการละเมิดข้อมูลส่วนบุคคล
การรั่วไหลของข้อมูลส่วนบุคคลเป็นปัญหาที่ส่งผลกระทบร้ายแรงต่อเจ้าของข้อมูลส่วนบุคคล หน่วยงานและบุคลากรผู้รับผิดชอบ เพื่อหลีกเลี่ยงปัญหาต่าง ๆ ข้างต้น ไม่ว่าจะด้วยปัจจัยเสี่ยงใด ๆ การศึกษาและปฏิบัติตาม PDPA จึงเป็นสิ่งสำคัญอย่างยิ่งในวันนี้ และต่อ ๆ ไป เพราะหากหน่วยงานยังคงละเลยต่อความสำคัญของข้อมูลส่วนบุคคลที่ตนเองได้เก็บและใช้ จนเกิดเหตุการณ์การรั่วไหลของข้อมูลส่วนบุคคลขึ้น นอกจากจะต้องเผชิญกับโทษ 3 ชั้นที่รออยู่ ยังอาจจะรวมถึง โทษทางสังคมที่สังคมจะไม่ให้อภัยคุณด้วย
