4 ล้านเครื่องสะเทือน! OPPO-Realme ติดแอปเงินกู้เถื่อน 'ดีอี' ชงกฎเหล็ก 10 ข้อ ฟันอาญา-แพ่ง ร่วมมือ สคบ.-ตำรวจกลาง สร้างความยุติธรรมคุ้มครองผู้บริโภค
เมื่อวันที่ 20 ม.ค.68 นายเวทางค์ พ่วงทรัพย์ รักษาการแทนเลขาธิการคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) หรือ PDPC ในฐานะโฆษกกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) เป็นประธานการประชุมวางแนวปฏิบัติเพื่อป้องกันอุปกรณ์ที่วางจำหน่ายมีการละเมิดข้อมูล หรือแอปพลิเคชันผิดกฎหมายที่ติดตั้งมากับเครื่องล่วงหน้า พร้อมชี้กรณีของโทรศัพท์มือถือแบรนด์ OPPO และ Realme ว่า
กระทรวงดีอีได้เชิญผู้จำหน่ายและให้บริการเกี่ยวกับโทรศัพท์มือถือทุกยี่ห้อ รวม 28 ราย เข้าร่วมประชุม เพื่อเน้นย้ำถึงกฎหมายที่เกี่ยวข้อง เช่น พ.ร.บ.การคุ้มครองข้อมูลส่วนบุคคล (PDPA) พ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ร.บ.คุ้มครองผู้บริโภค และกฎหมายว่าด้วยการให้บริการทางการเงิน พร้อมทั้งแจ้งให้ผู้ประกอบการทราบถึงสิทธิของประชาชนในการซื้อและใช้งานโทรศัพท์มือถือ
ซึ่งปัจจุบัน พบปัญหาแอปพลิเคชันผิดกฎหมาย เช่น แอปปล่อยสินเชื่อเถื่อน ที่คิดดอกเบี้ยเกินกว่ากฎหมายกำหนด หรือแอปที่ฝังโฆษณาและมัลแวร์ที่ก่อให้เกิดความเสียหายกับผู้ใช้ โดยมีผู้เสียหายที่ระบุว่า โดนละเมิดข้อมูลส่วนบุคคล ร้องเรียนไปยัง สคส. จำนวน 11 ราย และอีก 17 ราย ร้องเรียนไปยังสำนักงานคณะกรรมการคุ้มครองผู้บริโภค (สคบ.) เกี่ยวข้องกับความไม่ปลอดภัยของแอปในมือถือ
"กรณีที่มีการละเมิดกฎหมาย เช่น การติดตั้งแอปปล่อยสินเชื่อเถื่อน กระทรวงดีอีได้ประสานงานกับ สคบ. และตำรวจสอบสวนกลาง (CIB) เพื่อดำเนินการตรวจสอบและดำเนินคดี โดยจะฟ้องร้องทั้งในส่วนอาญาและแพ่ง รวมถึงอาจพิจารณายื่นฟ้องคดีแบบกลุ่ม (Class Action) เพื่อคุ้มครองสิทธิของผู้บริโภค" นายเวทางค์ กล่าวและว่า
"ที่ประชุมได้ออกข้อแนะนำ 10 ข้อ เรียกร้องผู้ผลิตและผู้จำหน่ายโทรศัพท์มือถือปฏิบัติตามหลักเกณฑ์การติดตั้งแอปพลิเคชันล่วงหน้า (Pre-installed Apps) พร้อมขอความร่วมมือแสดงรายการแอปพลิเคชันที่ติดตั้งในเครื่องอย่างชัดเจน เมื่อยื่นขออนุญาตนำเข้าและจำหน่ายในประเทศไทย มาตรการดังกล่าวเริ่มมีผลบังคับใช้ทันที แม้ยังไม่มีกฎหมายควบคุมจาก กสทช."
พ.ต.อ.ณัทกฤช พรหมจันทร์ ผู้อำนวยการสำนักบริหารโครงสร้างพื้นฐานสำคัญทางสารสนเทศ สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) กล่าวว่า สำหรับ 10 ข้อเสนอแนะ และแนวทางการติดตั้งแอปพลิเคชันล่วงหน้า ได้แก่
1.กำหนดนโยบายความปลอดภัยสำหรับซอฟต์แวร์ที่ติดตั้งล่วงหน้า (Pre-installed Apps Policy) แบ่งเป็นผู้ผลิตควรมีหลักเกณฑ์ในการคัดเลือกแอปพลิเคชันที่ติดตั้งล่วงหน้า โดยต้องเป็นแอปที่จำเป็นต่อการใช้งานและไม่ส่งผลกระทบต่อความเป็นส่วนตัวของผู้ใช้ หลีกเลี่ยงการติดตั้งแอปที่เก็บข้อมูลส่วนตัวของผู้ใช้โดยไม่แจ้งให้ทราบ และกำหนดให้แอปพลิเคชันต้องผ่านการประเมินความปลอดภัยก่อนติดตั้งล่วงหน้า
2.เปิดทางเลือกให้ผู้ใช้สามารถลบหรือปิดใช้งาน Bloatware ได้ ควรให้ผู้ใช้สามารถถอนการติดตั้ง (Uninstall) หรือปิดใช้งาน (Disable) แอปที่ไม่จำเป็นได้ ต้องไม่มีการบังคับให้แอปพลิเคชันที่ไม่ได้จำเป็นต่อระบบทำงานอยู่เบื้องหลัง
3.ปฏิบัติตามมาตรฐานความปลอดภัยทางไซเบอร์ โดยผู้ผลิตต้องปฏิบัติตามมาตรฐานความปลอดภัย เช่น ISO/IEC 27001 (การจัดการความปลอดภัยของข้อมูล) OWASP Mobile Security Testing Guide (MSTG) (แนวทางทดสอบความปลอดภัยของแอปมือถือ) และ NIST Cybersecurity Framework (แนวทางการบริหารความเสี่ยงไซเบอร์) ทั้งนี้ หากติดตั้งแอปของบุคคลที่ 3 ล่วงหน้า ต้องมีการตรวจสอบช่องโหว่ (Vulnerability Assessment) และทดสอบความปลอดภัย (Penetration Testing) อย่างสม่ำเสมอ
4.ควรหลีกเลี่ยงแอปที่มีพฤติกรรมสอดแนม (Spyware) หรือแอปที่อาจเข้าถึงข้อมูลผู้ใช้โดยไม่จำเป็น โดย Bloatware บางตัวอาจมีพฤติกรรมเก็บข้อมูลผู้ใช้โดยไม่ได้รับอนุญาต เช่น เก็บพิกัด GPS รายชื่อผู้ติดต่อ หรือบันทึกการใช้งานโดยไม่แจ้งให้ทราบ และผู้ผลิตควรให้ความโปร่งใสโดยระบุ นโยบายการเข้าถึงข้อมูลของแอปพลิเคชัน (App Privacy Policy) และเปิดเผยรายละเอียดให้ผู้ใช้ตรวจสอบก่อนใช้งาน
5.มีนโยบายอัปเดตความปลอดภัยสำหรับ Bloatware และระบบปฏิบัติการผู้ผลิตควรให้คำมั่นสัญญาว่าจะอัปเดตซอฟตแวร์ (Security Updates) อย่างสม่ำเสมอ เช่น แก้ไขช่องโหว่ความปลอดภัยที่พบในแอปที่ติดตั้งล่วงหน้า และอัปเดตแพตช์ความปลอดภัย Android และ iOS เป็นระยะ รวมถึง ควรมีการแจ้งเตือนให้ผู้ใช้ทราบเมื่อมีช่องโหว่ที่อาจเป็นอันตรายต่อข้อมูลส่วนตัว
6.หลีกเลี่ยงการติดตั้งแอปของบุคคลที่ 3 ที่ไม่มีความน่าเชื่อถือ Bloatware จากบุคคลที่ 3 เช่น แอปโฆษณา แอปเกม หรือแอปจากผู้ให้บริการมือถือ ควรผ่านการตรวจสอบความปลอดภัยอย่างเข้มงวด เพื่อเตรียมการในอนาคต อาจมีการพิจารณากระบวนการรับรองความปลอดภัยของแอป (App Security Certification) ก่อนให้ผู้ผลิตติดตั้งบนอุปกรณ์ที่จำหน่ายในไทย
7.คำแนะนำสำหรับประชาชนในการป้องกันความเสี่ยงจาก Bloatware ร่วมกับ สกมช. พิจารณาตรวจสอบและประชาสัมพันธ์ เผยแพร่ข้อมูลที่เป็นประโยชน์สำหรับประชาชน เช่น วิธีลบหรือปิดใช้งาน Bloatware วิธีตรวจสอบพฤติกรรมแอปที่เข้าถึงข้อมูลส่วนตัวเกินความจำเป็น แนะนำแอปความปลอดภัยที่ช่วยป้องกันภัยไซเบอร์บนมือถือ และการจัดทำ White List & Black List ของแอปที่ปลอดภัยและอันตราย เพื่อให้ประชาชนรับทราบ
8.การให้สิทธิแก่ผู้ใช้ในการเข้าควบคุมแอปพลิเคชัน โดยผู้ใช้ต้องสามารถเลือกเปิดหรือปิดฟีเจอร์บางอย่างของแอปที่ติดตั้งล่วงหน้าได้ หากเป็นแอปที่มีโฆษณาหรือโปรโมชัน ต้องมีตัวเลือกให้ปิดโฆษณาได้ ทั้งนี้ หากเป็นแอปที่มีการเก็บข้อมูล ควรมีโหมดความเป็นส่วนตัว (Privacy Mode) เพื่อให้ผู้ใช้เลือกได้ว่าอยากให้เก็บข้อมูลหรือไม่
9.การจำกัดการทำงานของแอปพลิเคชันในพื้นหลัง ซึ่งผู้ผลิตต้องกำหนดให้แอปที่ติดตั้งล่วงหน้าใช้ทรัพยากรเครื่องอย่างมีประสิทธิภาพ ต้องไม่มีแอปที่ทำงานอยู่เบื้องหลังโดยไม่จำเป็น หรือใช้พลังงานแบตเตอรี่มากเกินไป โดยห้ามมีแอปที่ทำงาน Auto-start โดยไม่ได้รับอนุญาตจากผู้ใช้
10.ข้อกำหนดด้านความเป็นส่วนตัวของแอปพลิเคชัน (Privacy Compliance) โดยผู้ผลิตต้องระบุนโยบายความเป็นส่วนตัว (Privacy Policy) ของแต่ละแอปให้ชัดเจน ขณะเดียวกัน ต้องมีตัวเลือกให้ผู้ใช้สามารถดูและจัดการข้อมูลส่วนตัวของตนเองได้ และห้ามส่งข้อมูลส่วนตัวของผู้ใช้ไปยังเซิร์ฟเวอร์ภายนอกโดยไม่ได้รับความยินยอม
ด้าน พ.ต.อ.สุรพงศ์ เปล่งขำ ผู้อำนวยการสำนักตรวจสอบและกำกับดูแล สคส. กล่าวว่า รายงานล่าสุดจาก OPPO และ Realme พบว่า ในไทยติดตั้งแอปพลิเคชันสินเชื่อความสุข และ Fineasy รวม 4 ล้านเครื่อง โดยทั้ง 2 บริษัทได้ยุติการติดตั้งแอปดังกล่าว และทยอยส่งอัปเดต OTA (Over-The -Air คือการส่งสัญญาณมาที่เครื่องมือถือโดยตรง) ให้ลูกค้าสามารถลบแอปได้เอง
"สคส.อยู่ระหว่างสอบสวนข้อเท็จจริงจากผู้เสียหาย ก่อนเสนอข้อมูลให้คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลพิจารณาโทษทางปกครอง คาดว่าจะมีข้อสรุปภายใน 1 เดือน" พ.ต.อ.สุรพงศ์ กล่าว
นายอิฐบูรณ์ อ้นวงษา รองเลขาธิการสำนักงาน สภาองค์กรของผู้บริโภค กล่าวว่า วันที่ 21 ม.ค.68 เวลา 09.00 น. สภาองค์กรของผู้บริโภคเตรียมนำผู้เสียหายบางส่วนเข้ายื่นร้องทุกข์กล่าวโทษต่อกองบังคับการปราบปรามการกระทำความผิดเกี่ยวกับการคุ้มครองผู้บริโภค (บก.ปคบ.) ณ กองบัญชาการตำรวจสอบสวนกลาง
"การดำเนินการครั้งนี้มุ่งให้ตำรวจสืบสวนหาผู้กระทำผิดและพิจารณาความรับผิดชอบในกรณีที่ละเมิดสิทธิผู้บริโภค เพื่อสร้างความเป็นธรรมและปกป้องสิทธิประชาชนอย่างเป็นรูปธรรม" นายอิฐบูรณ์ กล่าว
