กระทรวงดีอีสั่งหน่วยงานคุ้มครองข้อมูลส่วนบุคคล (สคส.) สกมช. และ บช.สอท. เร่งแก้ไขปัญหาข้อมูลประชาชนรั่วไหล หลังมีเว็บต่างประเทศประกาศขายข้อมูลคนไทย 30 ล้านคน พร้อมวาง 6 มาตรการแก้ไขปัญหาระยะสั้น ระยะยาว ภายใน 1 ปี
นายประเสริฐ จันทรรวงทอง รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (รมว.ดีอี) กล่าวว่า ได้สั่งการให้สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ร่วมกับสำนักงานคณะกรรมการรักษาความมั่นคงปลอดภัยทางไซเบอร์ (สกมช.) และกองบัญชาการตำรวจสืบสวนสอบสวนอาชญากรรมทางเทคโนโลยี (บช.สอท.) ประสานปิดกั้นข้อมูลที่รั่วไหล 30 ล้านรายชื่อเรียบร้อยแล้ว
โดยระบุว่า 30 ล้านรายชื่อที่เป็นข่าว เป็นการโฆษณาของคนร้ายในเว็บผิดกฎหมาย ซึ่งอยู่ระหว่างการสืบสวนสอบสวนของเจ้าหน้าที่ อาจจะเป็นการแอบอ้างเกินจริง เช่น ในอดีต คนร้ายมีการประกาศขาย 16 ล้านรายชื่อคนไทย พร้อมข้อมูลส่วนบุคคล แต่จากการสืบสวนดำเนินคดี พบว่า มีข้อมูลขายเพียง จำนวนหลักหมื่นรายชื่อ
รัฐมนตรีดีอี กล่าวเพิ่มว่า ดีอีได้เร่งดำเนินการ 6 มาตรการ เพื่อแก้ปัญหานี้ โดยแบ่งเป็น ระยะเร่งด่วน 30 วัน ระยะ 6 เดือน และระยะ 12 เดือน
ประกอบด้วย ระยะเร่งด่วน ใน 30 วัน 1.ให้ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) จัดตั้งศูนย์เฝ้าระวังการละเมิดข้อมูลส่วนบุคคล หรือ PDPC Eagle Eye เร่งตรวจสอบข้อมูลที่เปิดเผยต่อสาธารณะ พร้อมทั้งค้นหา เฝ้าระวังการรั่วไหลของข้อมูลส่วนบุคคล
โดยในช่วง 9-20 พ.ย.66 ตรวจสอบแล้ว จำนวน 3,119 หน่วยงาน (ภาครัฐ/ภาคเอกชน) ตรวจพบข้อมูลรั่วไหล/แจ้งเตือนหน่วยงานแล้ว จำนวน 1,158 เรื่อง และหน่วยงานแก้ไขแล้วจำนวน 781 เรื่อง นอกจากนี้ พบกรณีซื้อขายข้อมูลส่วนบุคคล 3 เรื่อง ซึ่งอยู่ระหว่างสืบสวนดำเนินคดีร่วมกับกองบัญชาการตำรวจสืบสวนสอบสวนอาชญากรรมทางเทคโนโลยี (บช.สอท.) ทั้งนี้ ได้สั่งการให้ศูนย์ PDPC Eagle Eye เร่งตรวจสอบ 9,000 หน่วยงาน ใน 30 วัน
2.ให้สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ตรวจสอบช่องโหว่ระบบ cybersecurity หรือระบบการรักษาความมั่นคงปลอดภัยข้อมูล โดยเฉพาะหน่วยงานภาครัฐที่เป็นหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (Critical Information Infrastructure: CII) เช่น ด้านพลังงานและสาธารณสุข ด้านบริการภาครัฐ และการเงินการธนาคาร เป็นต้น
โดยการตรวจสอบช่องโหว่ของระบบ cybersecurity ช่วง 9-20 พ.ย.66 ได้มีการตรวจสอบระบบ Cybersecurity แล้ว จำนวน 91 หน่วยงาน พบมีความเสี่ยงระดับสูง 21 หน่วยงาน และ สกมช. ได้แจ้งให้แก้ไขแล้ว
นอกจากนี้ พบการซื้อขายข้อมูลคนไทยใน darkweb (เว็บผิดกฎหมายที่คนร้ายหรือโจรออนไลน์นิยมใช้) จำนวน 3 เรื่อง ซึ่งอยู่ระหว่างสืบสวนดำเนินคดีร่วมกับ บช.สอท.
3.ให้ สคส. และ สกมช. ร่วมกับหน่วยงานที่เกี่ยวข้อง เช่น สภาหอการค้าแห่งประเทศไทย สภาอุตสาหกรรมแห่งประเทศไทย สมาคมธนาคารไทย สมาคมประกันชีวิตไทย สมาคมโรงแรมไทย รวมถึงเครือข่ายภาคสื่อมวลชน สร้างความตระหนักรู้เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล การป้องกันความเสี่ยงต่างๆ ที่อาจเกิดขึ้นหากไม่ปฏิบัติตามระเบียบขั้นตอนการรักษาความปลอดภัยของหน่วยงาน ความรู้เกี่ยวกับการรักษาความมั่นคงปลอดภัยทางไซเบอร์ (Cybersecurity Awareness Training) เช่น การป้องกันการบุกรุกจากบุคคลภายนอก การตั้งค่าระบบอย่างปลอดภัย และการบังคับใช้กฎหมายตามอำนาจหน้าที่อย่างเคร่งครัด
4.ให้ดีอี และ สอท. เร่งรัดปิดกั้นการซื้อขายข้อมูลส่วนบุคคลที่ผิดกฎหมาย และดำเนินคดีจับกุมผู้กระทำความผิด
ส่วนระยะ 6 เดือน จะมีทั้ง 5.ส่งเสริมการใช้งานระบบคลาวด์กลางภาครัฐที่มีความน่าเชื่อถือ ความมั่นคงปลอดภัยตามหลักวิชาการสากล รองรับการใช้งานของบุคลากรของหน่วยงานต่างๆ ได้อย่างปลอดภัย เพื่อป้องกันและลดปัญหาการรั่วไหลของข้อมูลส่วนบุคคล จากสาเหตุที่หน่วยงานภาครัฐส่งข้อมูลให้หน่วยงานภายนอก หรือขาดบุคลากรในการกำกับดูแลงานด้านความมั่นคงปลอดภัยไซเบอร์
ในขณะที่ระยะ 12 เดือน 6.ปรับปรุงกฎหมายที่เกี่ยวข้องให้ทันสมัยต่อบริบทของสังคมและพฤติการณ์ที่เปลี่ยนไป และเพื่อเพิ่มประสิทธิภาพการบังคับใช้กฎหมายของเจ้าหน้าที่ในการตรวจสอบและป้องกันอาชญากรรมทางไซเบอร์ที่ดียิ่งขึ้น เช่น
พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ.2550 และที่แก้ไขเพิ่มเติม ให้ครอบคลุมการซื้อขายข้อมูลส่วนบุคคล พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 เพิ่มบทลงโทษทางอาญาในการซื้อขายข้อมูลส่วนบุคคล และให้อำนาจ สคส. ดำเนินคดีได้เองโดยไม่ต้องรอผู้เสียหายร้องเรียน และพระราชบัญญัติการรักษาความมั่นคงปลอดภัยทางไซเบอร์ พ.ศ.2562 เพิ่มบทลงโทษแก่หน่วยงานรัฐที่ไม่ปฏิบัติตามมาตรการความมั่นคงปลอดภัยทางไซเบอร์
“ขอยืนยันว่ารัฐบาลนี้เอาจริงเรื่องขโมยข้อมูล ซื้อขายข้อมูลส่วนบุคคล ต้องจับตัวเอามาลงโทษให้ได้ กรณีผู้ขายข้อมูลหรือขบวนการที่ดำเนินการซื้อขายข้อมูลในต่างประเทศ ทางตำรวจได้ดำเนินการประสานกับตำรวจสากลเพื่อดำเนินการจับกุมต่อไป”