ประเสริฐ จันทรรวงทอง รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (รมว.ดีอี) กล่าวว่า ในช่วง ที่ผ่านมา มีปัญหาการหลุดรั่วของข้อมูลประชาชน ตลอดจนการซื้อขายข้อมูลประชาชนตามที่เป็นข่าว ล่าสุดมี เว็บในต่างประเทศประกาศขายข้อมูลคนไทย 30 ล้านคน ซึ่งได้สั่งการให้ประสาน ปิดกั้น ตลอดจน สั่งการ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ร่วมกับ สำนักงานคณะกรรมการรักษาความมั่นคงปลอดภัยทางไซเบอร์ (สกมช.) และ กองบัญชาการตำรวจสืบสวนสอบสวนอาชญากรรมทางเทคโนโลยี (บช.สอท.) เร่งดำเนินการที่เกี่ยวข้องด้วยแล้ว
สำหรับ กรณี 30 ล้านรายชื่อที่เป็นข่าว เป็นการโฆษณาของคนร้าย ในเว็บผิดกฎหมาย ซึ่งอยู่ระหว่างการสืบสวนสอบสวนของเจ้าหน้าที่ อาจจะเป็นการแอบอ้าง เกินจริง เช่น ในอดีต คนร้ายมีการประกาศขาย 16 ล้านรายชื่อคนไทย พร้อมข้อมูลส่วนบุคคล แต่จากการสืบสวนดำเนินคดี พบว่า มีข้อมูลขายเพียง จำนวนหลักหมื่นรายชื่อ
รัฐมนตรี ดีอี กล่าวเพิ่มว่า ดีอี ได้เร่งดำเนินการ 6 มาตรการ เพื่อแก้ปัญหานี้ โดยแบ่งเป็น ระยะเร่งด่วน 30 วัน ระยะ 6 เดือน และ ระยะ 12 เดือน ดังนี้
ระยะเร่งด่วน ใน 30 วัน
1. ให้ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) จัดตั้งศูนย์เฝ้าระวังการละเมิดข้อมูลส่วนบุคคล หรือ PDPC Eagle Eye เร่งตรวจสอบ ข้อมูลที่เปิดเผยต่อสาธารณะ พร้อมทั้งค้นหา เฝ้าระวัง การรั่วไหลของข้อมูลส่วนบุคคล โดยในช่วง 9-20 พ.ย. 66 ได้ดำเนินการและมีผลดังนี้
- ตรวจสอบแล้ว จำนวน 3,119 หน่วยงาน (ภาครัฐ/ภาคเอกชน)
- ตรวจพบข้อมูลรั่วไหล/แจ้งเตือนหน่วยงานแล้ว จำนวน 1,158 เรื่อง
- หน่วยงานแก้ไขแล้วจำนวน 781 เรื่อง
นอกจากนี้ พบกรณีซื้อขายข้อมูลส่วนบุคคล 3 เรื่อง ซึ่งอยู่ระหว่างสืบสวนดำเนินคดีร่วมกับ กองบัญชาการตำรวจสืบสวนสอบสวนอาชญากรรมทางเทคโนโลยี (บช.สอท.)
ทั้งนี้ ได้สั่งการให้ ศูนย์ PDPC Eagle Eye เร่งตรวจสอบ 9,000 หน่วยงาน ใน 30 วัน
2. ให้ สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ตรวจสอบช่องโหว่ ระบบ cybersecurity หรือระบบการรักษาความมั่นคงปลอดภัยข้อมูล โดยเฉพาะหน่วยงานภาครัฐที่เป็นหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (Critical Information Infrastructure: CII) อาทิ ด้านพลังงานและสาธารณสุข ด้านบริการภาครัฐ และการเงินการธนาคาร เป็นต้น โดยการตรวจสอบช่องโหว่ ของระบบ cybersecurity ช่วง 9-20 พ.ย. 66
- ตรวจสอบระบบ cybersecurity แล้ว จำนวน 91 หน่วยงาน
- ตรวจพบมีความเสี่ยงระดับสูง 21 หน่วยงาน และ สกมช. ได้แจ้งให้แก้ไขแล้ว
นอกจากนี้ พบการซื้อขายข้อมูลคนไทยใน darkweb (เว็บผิดกฎหมาย ที่คนร้ายหรือโจรออนไลน์นิยมใช้) จำนวน 3 เรื่อง ซึ่งอยู่ระหว่างสืบสวนดำเนินคดีร่วมกับ บช.สอท.
3. ให้ สคส. และ สกมช. ร่วมกับหน่วยงานที่เกี่ยวข้อง เช่น สภาหอการค้าแห่งประเทศไทย สภาอุตสาหกรรมแห่งประเทศไทย สมาคมธนาคารไทย สมาคมประกันชีวิตไทย สมาคมโรงแรมไทย รวมถึงเครือข่ายภาคสื่อมวลชน สร้างความตระหนักรู้เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล การป้องกันความเสี่ยงต่างๆ ที่อาจเกิดขึ้นหากไม่ปฏิบัติตามระเบียบขั้นตอนการรักษาความปลอดภัยของหน่วยงาน ความรู้เกี่ยวกับการรักษาความมั่นคงปลอดภัยทางไซเบอร์ (Cybersecurity Awareness Training) เช่น การป้องกันการบุกรุกจากบุคคลภายนอก การตั้งค่าระบบอย่างปลอดภัย และการบังคับใช้กฎหมายตามอำนาจหน้าที่อย่างเคร่งครัด
4. ให้ ดีอี และ สอท. เร่งรัดปิดกั้นการซื้อขายข้อมูลส่วนบุคคลที่ผิดกฎหมาย และดำเนินคดีจับกุมผู้กระทำความผิด
ระยะ 6 เดือน
5. ส่งเสริมการใช้งานระบบคลาวด์กลางภาครัฐที่มีความน่าเชื่อถือ ความมั่นคงปลอดภัยตามหลักวิชาการสากล รองรับการใช้งานของบุคลากรของหน่วยงานต่างๆ ได้อย่างปลอดภัย เพื่อป้องกันและลดปัญหาการรั่วไหลของข้อมูลส่วนบุคคล จากสาเหตุที่หน่วยงานภาครัฐส่งข้อมูลให้หน่วยงานภายนอก หรือขาดบุคลากรในการกำกับดูแลงานด้านความมั่นคงปลอดภัยไซเบอร์
ระยะ 12 เดือน
6. ปรับปรุงกฎหมายที่เกี่ยวข้อง ให้ทันสมัยต่อบริบทของสังคมและพฤติการณ์ที่เปลี่ยนไป และเพื่อเพิ่มประสิทธิภาพการบังคับใช้กฎหมายของเจ้าหน้าที่ในการตรวจสอบและป้องกันอาชญากรรมทางไซเบอร์ที่ดียิ่งขึ้น เช่น
- พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 และที่แก้ไขเพิ่มเติม ให้ครอบคลุมการซื้อขายข้อมูลส่วนบุคคล
- พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เพิ่มบทลงโทษทางอาญาในการซื้อขายข้อมูลส่วนบุคคล และ ให้อำนาจ สคส. ดำเนินคดีได้เอง โดยไม่ต้องรอผู้เสียหายร้องเรียน
- พระราชบัญญัติการรักษาความมั่นคงปลอดภัยทางไซเบอร์ พ.ศ. 2562 เพิ่มบทลงโทษแก่หน่วยงานรัฐที่ไม่ปฏิบัติตามมาตรการความมั่นคงปลอดภัยทางไซเบอร์
สำหรับ 6 มาตรการคุ้มครองข้อมูลส่วนบุคคลและแก้ปัญหาซื้อขายข้อมูล รัฐมนตรี ดีอี ได้รายงานต่อที่ประชุม คณะรัฐมนตรี ในวันที่ 21 นี้ด้วยแล้ว
รัฐมนตรี ประเสริฐ กล่าวในตอนท้ายว่า “ขอยืนยันว่า รัฐบาลนี้ เอาจริง เรื่องขโมยข้อมูล ซื้อขายข้อมูลส่วนบุคคล ต้องจับตัวเอามาลงโทษให้ได้ กรณีผู้ขายข้อมูลหรือขบวนการที่ดำเนินการซื้อขายข้อมูลในต่างประเทศ ทางตำรวจก็ได้ดำเนินการประสานกับตำรวจสากลเพื่อดำเนินการจับกุมต่อไป”