ฐิตินันท์ สุทธินราพรรณ ผู้อำนวยการฝ่ายการตลาดประจำภูมิภาคเอเชียตะวันออกเฉียงใต้ บริษัท Gogolook ผู้ให้บริการ Whocall แอปพลิเคชันระบุตัวตนสายเรียกเข้าที่ไม่รู้จักและป้องกันสแปมสำหรับสมาร์ทโฟน กล่าวว่า 7 ใน 10 ครั้งของข้อความ SMS ที่คนไทยได้รับเป็นข้อความสแปมและข้อความหลอกลวง หรือคิดเป็น 73% ของข้อความที่ได้รับทั้งหมด ในส่วนของยอด สายโทรศัพท์หลอกลวงพุ่งขึ้น 165% จาก 6.4 ล้านครั้งในปี 2564 เป็น 17 ล้านครั้งในปี 2565

มิจฉาชีพนิยมส่งข้อความหลอกลวงเนื่องจากสามารถเข้าถึงเหยื่อจำนวนมากด้วยต้นทุนต่ำ ข้อความ SMS ถูกใช้เป็น เครื่องมือเพื่อ “ติดต่อครั้งแรก” โดยหลอกให้เหยื่อกดลิงก์ฟิชชิ่งเพื่อขโมยข้อมูลส่วนตัว เพิ่มบัญชีไลน์เพื่อหลอกให้ส่งข้อมูลหรือ โอนเงินให้ กลอุบายที่พบบ่อยได้แก่ การเสนอเงินกู้โดยมักอ้างรัฐบาลหรือธนาคาร และการให้สิทธิ์เข้าตรงเว็บพนันออนไลน์ ที่ผิดกฎหมาย คีย์เวิร์ดของข้อความหลอกลวงที่ถูกรายงานที่พบบ่อยที่สุดเช่น “รับสิทธิ์ยื่นกู้” “เครดิตฟรี” “เว็บตรง” “คุณได้รับสิทธิ์” “คุณได้รับทุนสำรองโครงการประชารัฐ” “คุณได้รับสิทธิ์สินเชื่อ” และ “คุณคือผู้โชคดี”

สำหรับประเทศไทย ถือเป็นอันดับต้น ๆ ที่มีข้อความและสายโทรเข้าหลอกลวง เฉลี่ย 33.2 ครั้งต่อปี (เพิ่มขึ้น 7%) ขณะที่ไต้หวันมี 17.5 ครั้ง (ลดลง 20%) และมาเลเซีย 16.5 ครั้ง (เพิ่มขึ้น 15%) ตัวเลขดังกล่าวตอกย้ำว่าการหลอกลวงนั้นยังคงแพร่หลายไปยังหลายประเทศ

ทั้งนี้ กลหลอกลวงใหม่ ๆ ในประเทศไทยมักเกิดขึ้นตามความสนใจและเทรนด์ต่าง ๆ อาทิ ข้อความ SMS และสายหลอกลวงที่เกี่ยวกับการปล่อยเงินกู้ หลอกส่งพัสดุเพื่อเก็บเงินปลายทาง หลอกเป็นกรมทางหลวง หลอกให้คลิกไปเล่นพนันออนไลน์ หลอกว่ามีงาน part time หลอกว่าได้รางวัลจาก TikTok และแพลตฟอร์มต่าง ๆ  มีจำนวนเพิ่มมากขึ้น

และจากการเก็บข้อมูลพบว่า ประเทศไทยมีการรั่วไหลของเบอร์โทรศัพท์ 45% ทั้งนี้ รหัสผ่าน เบอร์โทรศัพท์ และชื่อ เป็นข้อมูลส่วนตัว ที่มีการรั่วไหลมากที่สุด ตามด้วยสัญชาติ อีเมล ที่อยู่ และวันเกิด ซึ่งข้อมูลส่วนตัวที่รั่วไหลมักเป็นด่านแรกที่มิจฉาชีพใช้เข้าถึงรายละเอียดการติดต่อเพื่อหลอกลวงเหยื่อ การรั่วไหลอาจเกิดขึ้นจาก ฐานข้อมูลขององค์กรหรือรัฐบาลถูกโจมตีทางไซเบอร์ หรือเมื่อผู้ใช้กรอกแบบสำรวจ แบบทดสอบทางจิตวิทยา หรือแบบฟอร์มในเว็บไซต์ฟิชชิ่ง

สำหรับข้อแนะนำจาก Whoscall เพื่อป้องกันตนเองจากเหล่ามิจฉาชีพ ได้แก่

• อย่าคลิก: หากคุณได้รับลิงก์ใน SMS อย่าคลิกลิงก์นั้น โดยเฉพาะข้อความที่มาจากธนาคารหรือหมายเลขที่ไม่รู้จัก เนื่องจาก ปัจจุบัน มีข้อห้ามไม่ให้ธนาคารและสถาบันการเงินในประเทศไทยส่งลิงก์ทาง SMS ให้กับลูกค้าโดยตรง
• อย่ากรอก: หากได้รับ SMS เพื่อขอข้อมูลส่วนบุคคลหรือขออัปเดตชื่อผู้ใช้/รหัสผ่าน หรือข้อมูลทางการเงินที่มีลิงก์ไปยัง เว็บไซต์ที่น่าสงสัย อย่าให้ข้อมูลส่วนบุคคลใดๆ เด็ดขาด
• อย่าเพิกเฉย: ผู้ใช้สามารถช่วยกันต่อต้านกลโกงและหลอกลวงทางโทรศัพท์ โดยการรายงานเบอร์โทรศัพท์ที่น่าสงสัย หรือหลอกลวง ทางแอปพลิเคชัน Whoscall เพื่อป้องกันและช่วยส่งคำเตือนไปยังกลุ่มผู้ใช้รายอื่น

จากการหลอกลวงจำนวนมาก ปัจจุบัน รัฐบาลประเทศต่าง ๆ ได้ร่างนโยบายต่อต้านการหลอกลวง และจัดตั้ง     หน่วยงานพิเศษเพื่อรับมือ รวมทั้งร่วมมือกับบริษัทเอกชนและคนดังเพื่อสร้างความตระหนักรู้เกี่ยวกับกลโกงและการหลอกลวง ซึ่งในประเทศไทยได้มีการร่วมมือระหว่างภาครัฐ (สำนักงานตำรวจแห่งชาติ สำนักงาน กสทช.) และภาคเอกชน (Whoscall ผู้ให้บริการเครือข่ายโทรศัพท์มือถือ เป็นต้น) เช่นกัน

แมนวู จู ประธานเจ้าหน้าที่ฝ่ายปฏิบัติการ Gogolook กล่าวว่า ภัยคุกคามจากการหลอกลวงที่เพิ่มขึ้นมีผลกระทบต่ออุตสาหกรรมต่อต้านการทุจริต (Anti-Fraud Prevention) จากข้อมูลของ Fortune Business Insight อุตสาหกรรมนี้คาดว่าจะมีมูลค่าถึง 129.2 พันล้านเหรียญสหรัฐภายในปี 2572 ด้วยอัตราการเติบโตต่อปีที่ 22.8% จากการเพิ่มขึ้นของ เอไอแบบรู้สร้าง (Generative AI) และช่องโหว่ที่เกิดจากการเปลี่ยนแปลงทางดิจิทัลขององค์กร คาดว่าจะมีการใช้เทคโนโลยี เพื่อหลอกลวง และเกิดผลเสียทวีความรุนแรงมากขึ้นในอนาคต เพื่อต่อสู้กับการหลอกลวงที่เพิ่มขึ้น

ปัจจุบัน Gogolook กำลังร่วมมือ กับพันธมิตรหลายแห่งในประเทศไทยและทั่วโลก พัฒนาโซลูชันส์ที่เป็นนวัตกรรมใหม่เพื่อจัดการกับภัยคุกคามเหล่านี้ โดยมีเป้าหมายเพื่อป้องกันการหลอกลวงอย่างครอบคลุมและมอบความปลอดภัยให้แก่ผู้ใช้ Whoscall

คณะกรรมการคุ้มครองข้อมูลของไอร์แลนด์ กล่าวว่า Meta ต้องจ่ายค่าปรับสองรายการ 1. ค่าปรับ 210 ล้านยูโร จากการละเมิดกฎระเบียบการคุ้มครองข้อมูลทั่วไปของสหภาพยุโรป หรือ GDPR และ 2. ค่าปรับ 180 ล้านยูโร ที่ละเมิดกฎหมายเดียวกันโดย Instagram เมื่อรวมกันแล้ว ค่าปรับจะอยู่ที่ 390 ล้านยูโร (414 ล้านดอลลาร์)

โดยค่าปรับดังกล่าว ถือเป็นบทสรุปของการสอบสวนที่ยาวนานจำนวนสองครั้งโดยหน่วยงานกำกับดูแลของไอร์แลนด์ ซึ่งถูกวิพากษ์วิจารณ์เกี่ยวกับความล่าช้าในกระบวนการ เนื่องจากการสอบสวนได้เริ่มในวันที่ 25 พฤษภาคม 2018 ซึ่งเป็นวันที่กฎหมาย GDPR ของสหภาพยุโรปมีผลบังคับใช้ โดยบริษัทที่ฝ่าฝืนกฎมีความเสี่ยงที่จะถูกปรับสูงถึง 4% ของรายได้ต่อปีทั่วโลก

นอกจากจ่ายค่าปรับแล้ว คณะกรรมการคุ้มครองข้อมูลของไอร์แลนด์ยังสั่งให้ Meta ต้องปรับปรุงการจัดการข้อมูลผู้ใช้งานของบริษัทให้สอดคล้องกับข้อกำหนดภายใน 3 เดือน ซึ่งหมายรวมถึงการยิงโฆษณาส่วนบุคคลโดยตรง (Personalized Advertising) ที่ต้องได้รับความยินยอมจากผู้ใช้งานแล้วเท่านั้น

ทั้งนี้ ในอดีต Meta ต้องอาศัยความยินยอมของผู้ใช้ในการประมวลผลข้อมูลเพื่อวัตถุประสงค์ของโฆษณาตามพฤติกรรม อย่างไรก็ตาม หลังจากที่ GDPR มีผลบังคับใช้ บริษัทได้เปลี่ยนข้อกำหนดในการให้บริการของ Facebook และ Instagram และเปลี่ยนพื้นฐานทางกฎหมายที่ใช้ประมวลผลข้อมูลโดย บังคับให้ผู้ใช้ยอมรับการประมวลผลข้อมูลของตนสำหรับการกำหนดเป้าหมายโฆษณาเพื่อแลกกับการใช้แพลตฟอร์ม โดยเรียกว่า ความจำเป็นตามสัญญา ส่งผลให้ Max Schrems นักเคลื่อนไหวด้านความเป็นส่วนตัวชาวออสเตรีย ได้ยื่นเรื่องร้องเรียนถึงการเปลี่ยนแปลงดังกล่าว

“นี่เป็นผลกระทบอย่างมากต่อผลกำไรของ Meta ในสหภาพยุโรป เพราะตอนนี้แพลตฟอร์มจำเป็นต้องถามผู้คนว่าต้องการให้ใช้ข้อมูลของตนสำหรับโฆษณาหรือไม่ พวกเขาต้องมีตัวเลือก ใช่หรือไม่ใช่ และสามารถเปลี่ยนใจได้ตลอดเวลา การตัดสินใจครั้งนี้ยังช่วยให้มั่นใจได้ถึงการแข่งขันที่เท่าเทียมกับผู้ลงโฆษณารายอื่นซึ่งจำเป็นต้องได้รับความยินยอมในการเข้าร่วมด้วย”

Source

กฎหมาย PDPA คืออะไร

สำหรับกฎหมาย PDPA มีต้นแบบมาจากกฎหมาย GDPR (General Data Protection Regulation) ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป โดยทั้ง PDPA และ GDPA ต่างก็มีวัตถุประสงค์ ไม่ให้องค์กรนำข้อมูลไปใช้โดยไม่ได้รับความยินยอม เนื่องจากที่ผ่านมาได้มีการล่วงละเมิดสิทธิข้อมูลส่วนบุคคลเพิ่มมากขึ้น ตัวอย่างง่าย ๆ ก็ที่มีคอลเซ็นเตอร์จากบริษัทที่ไม่เคยใช้บริการโทรมาหานั่นเอง

สำหรับข้อมูลส่วนบุคคลที่จะได้รับการคุ้มครองนั้น ต้องเป็นข้อมูลที่สามารถระบุถึงตัวเจ้าของข้อมูลนั้นได้ อาจเป็นได้ทั้งข้อมูลในรูปแบบเอกสาร กระดาษ หนังสือ หรือจัดเก็บในรูปแบบอิเล็กทรอนิกส์ก็ได้ ดังนี้

• ชื่อ-นามสกุล
• เบอร์โทรศัพท์ อีเมลส่วนตัว ที่อยู่ปัจจุบัน
• เลขบัตรประชาชน เลขหนังสือเดินทาง เลขใบอนุญาตขับขี่
• ข้อมูลทางการศึกษา ข้อมูลทางการเงิน ข้อมูลทางการแพทย์
• ทะเบียนรถยนต์ โฉนดที่ดิน ทะเบียนบ้าน
• วันเดือนปีเกิด สัญชาติ น้ำหนักส่วนสูง
• ข้อมูลบนอื่น ๆ บนอินเทอร์เน็ตที่สามารถระบุตัวตนได้ เช่น Username /password, Cookies IP address,  GPS Location

ส่วนถ้าข้อมูลไหนที่ไม่สามารถระบุตัวตนของเจ้าของข้อมูลได้ เช่น ข้อมูลบริษัท จะไม่ถือว่าเป็นข้อมูลส่วนบุคคล และไม่อยู่ภายใต้บังคับตาม​ PDPA และนอกจากข้อมูลส่วนบุคคลแล้วยังต้องระวังการใช้ ข้อมูลที่มีความอ่อนไหว (Sensitive Personal Data) มากเป็นพิเศษ เพราะเป็นข้อมูลที่มีความละเอียดอ่อนและอาจส่งผลกระทบต่อเจ้าของข้อมูล ทั้งในแง่ของการทำงาน สังคม และชีวิตความเป็นอยู่ โดยข้อมูลส่วนบุคคลที่มีความอ่อนไหว มีดังนี้

• เชื้อชาติ เผ่าพันธุ์
• ความคิดเห็นทางการเมือง
• ความเชื่อในลัทธิ ศาสนาหรือปรัชญา
• พฤติกรรมทางเพศ
• ประวัติอาชญากรรม
• ข้อมูลด้านสุขภาพ ความพิการ เช่น โรคประจำตัว การฉีดวัคซีน ใบรับรองแพทย์
• ข้อมูลสหภาพแรงงาน
• ข้อมูลพันธุกรรม
• ข้อมูลชีวภาพ เช่น ลายนิ้วมือ แบบจำลองใบหน้า ข้อมูลม่านตา

แค่ถ่ายรูปติดก็ผิดจริงหรือ?

อาจารย์ฐิติรัตน์ ทิพย์สัมฤทธิ์กุล อาจารย์ประจำศูนย์กฎหมายระหว่างประเทศ คณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์ กล่าวว่า กฎหมายนี้ออกมาเพื่อเน้น คุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคล หรือก็คือ ประชาชนทั่วไป จากการที่ องค์กรนำข้อมูลไปใช้งานเพื่อสร้างผลประโยชน์

หากประชาชนเกิดถ่ายภาพติดบุคคลอื่น ๆ โดยไม่ได้ยิมยอมแต่ ใช้งานเพื่อกิจกรรมส่วนตัวไม่ได้เปิดเป็นสาธารณะ กฎหมายก็จะไม่ได้เข้าไปยุ่งวุ่นวาย เพราะมุ่งไปที่การใช้ในลักษณะเพื่อการพาณิชย์ (Professional Use) ดังนั้น หากเราไม่ได้ตั้งใจไปถ่ายและไม่ได้เอารูปไปทำงานที่ก่อเกิดรายได้ ก็ไม่ผิด แต่ถ้าตั้งใจถ่ายโดยที่เจ้าตัวไม่ยินยอม แล้วนำไปโพสต์หรือขายสร้างรายได้แบบนี้ถือว่าผิด ซึ่งไม่ได้ผิดเพราะ PDPA แต่เพราะ กฎหมายแพ่งเมืองไทยคุ้มครองอยู่แล้ว เป็น การคุ้มครองตามปกติ

อย่างไรก็ตาม ประชาชนก็ควรศึกษากฎหมาย GDPA เพื่อให้รู้ว่า เรามีสิทธิ์อะไรในข้อมูลส่วนตัวมากกว่าเพื่อให้เกิดประโยชน์สูงสุด ซึ่งเจ้าของข้อมูลส่วนบุคคลมีสิทธิต่าง ๆ ดังนี้

• สิทธิในการถอนความยินยอม ในกรณีที่ได้ให้ความยินยอมไว้
• สิทธิได้รับการแจ้งให้ทราบรายละเอียด (Privacy Notice)
• สิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคล
• สิทธิขอให้โอนข้อมูลส่วนบุคคล
• สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคล
• สิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้
• สิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคล
• สิทธิขอให้แก้ไขข้อมูลส่วนบุคคล

หากไม่ปฏิบัติตาม PDPA จะโดนอะไร

ที่หลายคนตื่นตัวเรื่อง PDPA ส่วนหนึ่งก็เป็นเพราะ บทลงโทษ โดยแบ่งเป็น 3 ประเภท คือ 1. บทลงโทษทางแพ่ง 2. บทลงโทษทางอาญา และ 3. บทลงโทษทางปกครอง ได้แก่

• โทษอาญา: จำคุกสูงสุดไม่เกิน 6 เดือนถึง 1 ปี หรือปรับสูงสุดไม่เกิน 500,000 ถึง 1 ล้านบาท หรือทั้งจำทั้งปรับ
• โทษแพ่ง: ค่าสินไหมทดแทน + ค่าสินไหมเพื่อการลงโทษอีกไม่เกิน 2 เท่า
• โทษปกครอง: ปรับไม่เกิน 1-3-5 ล้านบาท

องค์กรต้องปรับตัวอย่างไร

แม้ว่ากฎหมาย PDPA จะเริ่มบังคับใช้ในวันพรุ่งนี้แล้ว แต่เชื่อว่าบางองค์กร โดยเฉพาะที่ไม่ได้เกี่ยวข้องกับการนำข้อมูลของผู้บริโภคมาใช้ประโยชน์อาจจะไม่ได้ตื่นตัวมาก หรือบางองค์กรยังบริหารจัดการไม่เรียบร้อย ก็มี 6 ข้อแนะนำสำหรับองค์กร

• ผู้บริหารและพนักงานต้องศึกษาข้อมูลอย่างจริงจัง : PDPA ไม่ใช่เรื่องไกลตัวอีกต่อไป เพราะเรื่องของ ข้อมูล เป็นเรื่องที่ผู้บริโภคเองก็ให้ความตื่นตัว ดังนั้น ทั้งผู้บริหารและพนักงานต้องให้ความสำคัญและเร่งทำความเข้าใจต่อตัวบทกฎหมายพร้อมนำมาวิเคราะห์ปรับใช้ในธุรกิจ รวมถึงผลกระทบต่าง ๆ
• รู้ทุกซอกมุมเกี่ยวกับข้อมูลทั่วทั้งองค์กร : การจะรักษาของที่อยู่ภายในให้ปลอดภัย ไม่หลุดรั่วไปเป็นของคนอื่น ก็ต้องรู้ก่อนว่ามีอะไรเก็บอยู่ที่ไหนบ้าง ข้อมูลส่วนไหนเกี่ยวข้องกับ PDPA บ้าง ซึ่งปัจจุบันองค์กรต้องบริหารจัดการข้อมูลหลายรูปแบบจากหลากหลายแหล่ง ทั้งข้อมูลแบบที่มีโครงสร้าง (structured) เช่น ระบบฐานข้อมูลต่าง ๆ และแบบไม่มีโครงสร้าง (unstructured) ซึ่งมาในรูปของไฟล์ที่ใช้งานกันทั่วไป ทั้งหมดนี้ทำให้การจัดระเบียบให้เป็นระบบเพื่อวางแผนจัดการต่อไป
• ปรับเปลี่ยนกระบวนการในการจัดเก็บ จัดการ และใช้งานข้อมูล : เมื่อธุรกิจต้องทำการวิเคราะห์เชิงลึกถึงกระบวนการต่าง ๆ ของข้อมูลแล้ว ต่อไปก็ต้องจัดการ จัดเก็บ และการใช้งานข้อมูลในส่วนธุรกิจของตนเองให้มีประสิทธิภาพและมีระเบียบยิ่งขึ้น มีการแบ่งประเภทความสำคัญของข้อมูล แบ่งกลุ่มข้อมูลส่วนบุคคลออกจากข้อมูลทั่วไป และเลือกใช้วิธีการในการจัดเก็บหรือจัดการข้อมูลนั้น ๆ อย่างเหมาะสม และอย่าลืมเสริมระบบซีเคียวริตี้

• แจ้ง Privacy Policy ให้เจ้าของข้อมูลส่วนบุคคลทราบ : องค์กรหรือเจ้าของเว็บไซต์สามารถแจ้งเจ้าของข้อมูลผ่าน Privacy Policy บนเว็บไซต์หรือแอปพลิเคชัน หรือช่องทางการติดต่ออื่น ๆ เช่น การลงทะเบียนผ่านเว็บไซต์ หรือทางโซเชียลมีเดีย โดยแจ้งว่าจะขอเก็บข้อมูลอะไรบ้าง เพื่อวัตถุประสงค์ใด แจ้งสิทธิของเจ้าของข้อมูล โดยสามารถถอนความยินยอมได้ทุกเมื่อ
• ประเมินความเสี่ยงและวางแผนรับมือในกรณีข้อมูลรั่วไหล : ประเมินความเสี่ยง เพื่อจะได้เน้นไปที่พื้นที่เสี่ยงมากเสี่ยงน้อย และควรวางแผนล่วงหน้าว่าหากเกิดเหตุการณ์ที่ไม่คาดคิด เช่น เตรียมหลักฐานต่าง ๆ ชัดเจนหากเกิดกรณีที่ข้อมูลรั่วไหล เพื่อบรรเทาความเสียหายและแสดงความรับผิดชอบต่อเจ้าของข้อมูลส่วนบุคคลนั้น ๆ อย่างเหมาะสม
• ติดตามข้อกฎหมายอย่างต่อเนื่อง : จากนี้ข้อกฎหมายเกี่ยวกับ PDPA ต้องมีการเปลี่ยนแปลงไปอย่างต่อเนื่อง ทั้งกฎหมายลูกหรือประกาศจากหน่วยงานต่าง ๆ ที่เกี่ยวข้องกับการบังคับใช้ รวมถึงตัวอย่างของการตัดสินคดีความในชั้นศาล ธุรกิจจึงควรติดตามข่าวสารเหล่านี้อย่างต่อเนื่อง เพื่อนำมาปรับใช้กับองค์กรให้ดียิ่งขึ้น

สรุป การที่ไทยมีกฎหมาย PDPA ถือเป็นการคืนอำนาจของข้อมูลส่วนตัวให้กับประชาชนมีอำนาจมากขึ้น แต่ไม่ได้เข้ามาเปลี่ยนการใช้งานในลักษณะส่วนตัว แต่เข้ามาเปลี่ยนแปลงการใช้งานข้อมูลส่วนบุคคลโดยองค์กร ซึ่งหากองค์กรสามารถปฏิบัติตามได้ ก็จะช่วยให้องค์กรมีความน่าเชื่อถือทั้งในมุมคู่ค้าและลูกค้า เพราะมีมาตรฐาน มีขอบเขต และมีความโปร่งใสมากขึ้น นอกจากนี้ ประเทศไทยเองก็มีภาพลักษณ์ดีขึ้น เพราะมีมาตรฐานการคุ้มครองในระดับ GDPR