ดีอีลุยจัดการเด็ดขาด‘โจรขโมยข้อมูล’ 30 ล้านคนไทย ย้ำ 6 มาตรการแก้ปัญหา

26 พฤศจิกายน 2566 นายประเสริฐ จันทรรวงทอง รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (รมว.ดีอี) กล่าวว่า ในช่วงที่ผ่านมามีปัญหาการหลุดรั่วของข้อมูลประชาชน ตลอดจนการซื้อขายข้อมูลประชาชนตามที่เป็นข่าว ล่าสุดมีเว็บในต่างประเทศประกาศขายข้อมูลคนไทย 30 ล้านคน ซึ่งได้สั่งการให้ประสาน ปิดกั้น ตลอดจนสั่งการสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ร่วมกับสำนักงานคณะกรรมการรักษาความมั่นคงปลอดภัยทางไซเบอร์ (สกมช.) และกองบัญชาการตำรวจสืบสวนสอบสวนอาชญากรรมทางเทคโนโลยี (บช.สอท.) เร่งดำเนินการที่เกี่ยวข้องด้วยแล้ว

“สำหรับ กรณี 30 ล้านรายชื่อที่เป็นข่าว เป็นการโฆษณาของคนร้าย ในเว็บผิดกฎหมาย ซึ่งอยู่ระหว่างการสืบสวนสอบสวนของเจ้าหน้าที่ อาจจะเป็นการแอบอ้างเกินจริง เช่น ในอดีตคนร้ายมีการประกาศขาย 16 ล้านรายชื่อคนไทย พร้อมข้อมูลส่วนบุคคล แต่จากการสืบสวนดำเนินคดี พบว่า มีข้อมูลขายเพียงจำนวนหลักหมื่นรายชื่อ” รมว.ดีอี กล่าว

รมว.ดีอี กล่าวว่า ดีอี ได้เร่งดำเนินการ 6 มาตรการ เพื่อแก้ปัญหานี้ โดยแบ่งเป็น ระยะเร่งด่วน 30 วัน ระยะ 6 เดือน และระยะ 12 เดือน ดังนี้

#ระยะเร่งด่วน ใน 30 วัน

1. ให้สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) จัดตั้งศูนย์เฝ้าระวังการละเมิดข้อมูลส่วนบุคคล หรือ PDPC Eagle Eye เร่งตรวจสอบ ข้อมูลที่เปิดเผยต่อสาธารณะ พร้อมทั้งค้นหา เฝ้าระวัง การรั่วไหลของข้อมูลส่วนบุคคล โดยในช่วง 9-20 พ.ย. 66 ได้ดำเนินการและมีผลดังนี้

- ตรวจสอบแล้ว จำนวน 3,119 หน่วยงาน (ภาครัฐ/ภาคเอกชน)

- ตรวจพบข้อมูลรั่วไหล/แจ้งเตือนหน่วยงานแล้ว จำนวน 1,158 เรื่อง

- หน่วยงานแก้ไขแล้วจำนวน 781 เรื่อง

นอกจากนี้ พบกรณีซื้อขายข้อมูลส่วนบุคคล 3 เรื่อง ซึ่งอยู่ระหว่างสืบสวนดำเนินคดีร่วมกับ กองบัญชาการตำรวจสืบสวนสอบสวนอาชญากรรมทางเทคโนโลยี (บช.สอท.) ทั้งนี้ ได้สั่งการให้ ศูนย์ PDPC Eagle Eye เร่งตรวจสอบ 9,000 หน่วยงาน ใน 30 วัน

2. ให้สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ตรวจสอบช่องโหว่ ระบบ cybersecurity หรือระบบการรักษาความมั่นคงปลอดภัยข้อมูล โดยเฉพาะหน่วยงานภาครัฐที่เป็นหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (Critical Information Infrastructure: CII) อาทิ ด้านพลังงานและสาธารณสุข ด้านบริการภาครัฐ และการเงินการธนาคาร เป็นต้น โดยการตรวจสอบช่องโหว่ ของระบบ cybersecurity ช่วง 9-20 พ.ย. 66

- ตรวจสอบระบบ cybersecurity แล้ว จำนวน 91 หน่วยงาน

- ตรวจพบมีความเสี่ยงระดับสูง 21 หน่วยงาน และ สกมช. ได้แจ้งให้แก้ไขแล้ว

นอกจากนี้ พบการซื้อขายข้อมูลคนไทยใน darkweb (เว็บผิดกฎหมาย ที่คนร้ายหรือโจรออนไลน์นิยมใช้) จำนวน 3 เรื่อง ซึ่งอยู่ระหว่างสืบสวนดำเนินคดีร่วมกับ บช.สอท.

3. ให้ สคส. และ สกมช. ร่วมกับหน่วยงานที่เกี่ยวข้อง เช่น สภาหอการค้าแห่งประเทศไทย สภาอุตสาหกรรมแห่งประเทศไทย สมาคมธนาคารไทย สมาคมประกันชีวิตไทย สมาคมโรงแรมไทย รวมถึงเครือข่ายภาคสื่อมวลชน สร้างความตระหนักรู้เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล การป้องกันความเสี่ยงต่างๆ ที่อาจเกิดขึ้นหากไม่ปฏิบัติตามระเบียบขั้นตอนการรักษาความปลอดภัยของหน่วยงาน ความรู้เกี่ยวกับการรักษาความมั่นคงปลอดภัยทางไซเบอร์ (Cybersecurity Awareness Training) เช่น การป้องกันการบุกรุกจากบุคคลภายนอก การตั้งค่าระบบอย่างปลอดภัย และการบังคับใช้กฎหมายตามอำนาจหน้าที่อย่างเคร่งครัด

4. ให้ ดีอี และ สอท. เร่งรัดปิดกั้นการซื้อขายข้อมูลส่วนบุคคลที่ผิดกฎหมาย และดำเนินคดีจับกุมผู้กระทำความผิด

#ระยะ 6 เดือน

5. ส่งเสริมการใช้งานระบบคลาวด์กลางภาครัฐที่มีความน่าเชื่อถือ ความมั่นคงปลอดภัยตามหลักวิชาการสากล รองรับการใช้งานของบุคลากรของหน่วยงานต่างๆ ได้อย่างปลอดภัย เพื่อป้องกันและลดปัญหาการรั่วไหลของข้อมูลส่วนบุคคล จากสาเหตุที่หน่วยงานภาครัฐส่งข้อมูลให้หน่วยงานภายนอก หรือขาดบุคลากรในการกำกับดูแลงานด้านความมั่นคงปลอดภัยไซเบอร์

#ระยะ 12 เดือน

6. ปรับปรุงกฎหมายที่เกี่ยวข้อง ให้ทันสมัยต่อบริบทของสังคมและพฤติการณ์ที่เปลี่ยนไป และเพื่อเพิ่มประสิทธิภาพการบังคับใช้กฎหมายของเจ้าหน้าที่ในการตรวจสอบและป้องกันอาชญากรรมทางไซเบอร์ที่ดียิ่งขึ้น เช่น

- พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 และที่แก้ไขเพิ่มเติม ให้ครอบคลุมการซื้อขายข้อมูลส่วนบุคคล

- พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เพิ่มบทลงโทษทางอาญาในการซื้อขายข้อมูลส่วนบุคคล และ ให้อำนาจ สคส. ดำเนินคดีได้เอง โดยไม่ต้องรอผู้เสียหายร้องเรียน

- พระราชบัญญัติการรักษาความมั่นคงปลอดภัยทางไซเบอร์ พ.ศ. 2562 เพิ่มบทลงโทษแก่หน่วยงานรัฐที่ไม่ปฏิบัติตามมาตรการความมั่นคงปลอดภัยทางไซเบอร์

สำหรับ 6 มาตรการคุ้มครองข้อมูลส่วนบุคคลและแก้ปัญหาซื้อขายข้อมูล รัฐมนตรี ดีอี ได้รายงานต่อที่ประชุมคณะรัฐมนตรี (ครม.) ในวันที่ 21 พฤศจิกายน ที่ผ่านมา แล้ว

“ขอยืนยันว่ารัฐบาลนี้เอาจริงเรื่องขโมยข้อมูล ซื้อขายข้อมูลส่วนบุคคล ต้องจับตัวเอามาลงโทษให้ได้ กรณีผู้ขายข้อมูลหรือขบวนการที่ดำเนินการซื้อขายข้อมูลในต่างประเทศ ทางตำรวจก็ได้ดำเนินการประสานกับตำรวจสากลเพื่อดำเนินการจับกุมต่อไป” นายประเสริฐ กล่าว

-005