บทเรียน “มือถือยัดเยียดแอปฯ เงินกู้” ช่องโหว่กฎหมาย “อำนาจตรวจสอบน้อย-ไร้กฎเกณฑ์”

“ซื้อมือถือ” แถม “แอปฯ เงินกู้” จากโรงงาน พร้อมฟีเจอร์ดีๆ อย่าง “แอบดูข้อมูลส่วนตัว” ที่ทำแบบนี้ได้ เพราะ ไทย “ไม่เคยมีกฎ” กำหนดไว้ และนี่คือ “ช่องโหว่” ที่ภาครัฐต้องเลิกปล่อยผ่านเสียที

** “ลงดาบ” แฝง “แอปฯ เงินกู้” **

กลายเป็นข่าวใหญ่ที่หลายคนตกใจ เมื่อแบรนด์สมาร์ทโฟนเจ้าดังอย่าง “OPPO”และ “Realme” ถูกแฉว่า แอบยัด “แอปฯ เงินกู้”อย่าง “สินเชื่อความสุข”และ “Fineasy”มาพร้อมกับโทรศัพท์ โดย “ไม่มีการขออนุญาต”เจ้าของเครื่อง แถมยัง “ลบไม่ได้”

เรื่องนี้ปูดขึ้นมา เพราะแฟนเพจ “คุณลุงไอที”ที่ช่วยแฉเพิ่มว่า ในมือถือบางรุ่นของ 2 ยี่ห้อนี้ ทีแรกก็ไม่มีแอปฯ ดังกล่าว แต่พอ “อัพเดทระบบปฏิบัติการ”ดันมีทั้ง 2 แอปฯ นี้โผล่มาในเครื่องทันที
ที่น่าตกใจคือ ทั้ง “Fineasy” และ “สินเชื่อความสุข” สามารถเข้าถึงข้อมูลในมือถือได้ ทั้ง “ตำแหน่งผู้ใช้งาน” “ปฏิทิน” “กล้องถ่ายรูป”และ “รายชื่อผู้ติดต่อได้” ของเจ้าของโทรศัพท์

ส่วนที่พิเศษขึ้นมาหน่อยในแอปฯ “Fineasy” คือมันสามารถเข้าถึงและคัดลอก “NFC”ได้ ซึ่งเป็นระบบเชื่อมต่อข้อมูลไร้สาย ที่เราใช้ในบัตรคีย์การ์ดต่างๆ รวมถึง “ระบบชำระเงิน”

ผลักให้ “สำนักงานคณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติ(กสทช.)”ต้องเรียก “บริษัทตัวแทนจำหน่าย”สมาร์ทโฟนทั้ง 2 มาชี้แจงประเด็นนี้

{“สินเชื่อความสุข-Fineasy” แอปฯ เงินกู้จากโรงงาน}

โดยตัวแทนทั้ง 2 แบรนด์ยอมรับว่า แอปฯ เหล่านี้ “ถูกติดตั้งมาจากโรงงาน”และ “ไม่ได้ขออนุญาต”ให้บริการสินเชื่อส่วนบุคคลทางดิจิทัล จาก “ธนาคารแห่งประเทศไทย” ทั้งที่ปกติแล้ว ต้องขออนุญาตก่อน

พอเรื่องเป็นแบบนี้ กสทช. เลยขอลงดาบทันที สั่งให้ทั้ง 2 แบรนด์ “ยุติการขาย” สมาร์ทโฟนที่มีแอปฯ เหล่านี้อยู่ และต้องปรับปรุงซอฟต์แวร์ ให้สามารถลบแอปฯ นี้ออกไปได้ ภายใน 16 ม.ค. ที่ผ่านมา
ล่าสุดทั้ง OPPO และ Realme ปล่อยอัพเดตให้มือถือสามารถลบแอปฯ ดังกล่าวได้แล้ว และ “ยุติการลงแอปฯ ดังกล่าวในมือถือทุกรุ่น”ส่วนทางแอปพลิเคชันอย่าง “Fineasy”ก็ประกาศ “ยุติการให้บริการ”ไปเรียบร้อยแล้ว

แต่ถึงอย่างนั้น ประเด็นการ “แฝงแอปฯ มาพร้อมเครื่อง” แถมยัง “เข้าถึงข้อมูลส่วนตัว”โดยไม่ได้รับอนุญาตแบบนี้อีก มันผิดกฎหมายข้อไหนบ้าง? และจะเอาผิดกับใครได้หรือเปล่า?

เพื่อตอบคำถามนี้ ทีมข่าวจึงต่อสายหา “ดร.ปริญญา หอมเอนก”ประธานกรรมการบริหาร บริษัท เอซิส โปรเฟสชั่นนัล เซ็นเตอร์ จำกัด และ บริษัท ไซเบอร์ตรอน จำกัด คำตอบที่ได้คือ...

“ผิดแน่นอน แต่ผิดกฎหมายข้อไหน ขอข้อมูลโดยไม่ขออนุญาตหรือเปล่า? ลงโปรแกรมMalware แบบผิด พ.ร.บ.คอมพิวเตอร์ มาตรา 13 หรือเปล่า?PDPAมาตรา 21 หรือ มาตรา 23 หรือเปล่า?”

ซึ่งจะผิดกฎหมายอะไร ก็รอพิสูจน์กันต่อไป โดยล่าสุด “สำนักงานคณะกรรมการคุ้มครองผู้บริโภค (สคบ.)” จะมีการเรียกทั้ง 2 บริษัทมาชี้แจงอีกครั้ง เพื่อสืบหาข้อเท็จ-จริง ว่ามีการกระทำผิด ในฐานอะไรบ้าง

{“ดร.ปริญญา” กูรูด้านความปลอดภัยไซเบอร์}

** “กฎเกณฑ์” ที่ไม่เคยกำหนด **

สิ่งที่ผู้ซื้อสินค้าต้องรู้และต้องระมัดระวังต่อจากนี้คือ การติดตั้ง “ซอฟต์แวร์”หรือ “แอปพลิเคชัน” จากโรงงานอย่างที่เกิดกับเคสล่าสุดนี้ เรียกกันว่า “Bloatware”

ถามว่าบริษัทมือถือมีอำนาจตัดสินใจ ลงแอปฯ โดยไม่ขออนุญาตได้ด้วยเหรอ? กูรูไซเบอร์รายเดิมช่วยไขข้อข้องใจให้ว่า การติดตั้งBloatware จากโรงงาน แท้จริงแล้วเป็นเรื่อง “ปกติ”แต่ก็ตั้งข้อสังเกตว่า...“มันเป็นโปรแกรมที่จำเป็น มีอรรถประโยชน์อะไร”

โดยปกติ “Bloatware”ที่มากับเครื่อง ก็จะเป็นแอปฯ ทั่วไป ที่เราใช้ในชีวิตประจำวัน อย่าง แอปฯ กล้อง, รายชื่อผู้ติดต่อ, คลังภาพ, วิดีโอ, เกม ฯลฯ ซึ่งแอปฯ Bloatware บางตัว ก็มีปัญหาอยู่เหมือนกัน

คือทั้งทำให้ “เปลืองพื้นที่จัดเก็บ” ทำให้ “เครื่องช้า” หรือ “แอบดูดข้อมูลส่วนตัวเรา”และที่สำคัญ บางแอปฯ มีปัญหาเรื่องความปลอดภัย ที่ทำให้ “ถูก hack ได้ง่าย” แต่ผู้บริโภคก็ทำอะไรไม่ได้มาก

“คือคุณไม่มีสิทธิ์ที่จะทำอะไร เพราะคุณไม่ใช่เจ้าของ platformไง เขาจะยัดอะไรมา เขาจะใส่อะไรมา คุณก็ต้องใช้มัน”

ฉะนั้น สิ่งที่คนใช้สมาร์ทโฟนทำได้ตอนนี้ กูรูไซเบอร์แนะว่า ต้องเริ่มจากการเลือกสิ่งที่ปลอดภัยที่สุดให้ตัวเองก่อน

โดยเริ่มตั้งแต่ก่อนจะซื้อ ให้เช็กข้อมูลแบรนด์ต่างๆ ว่า มีข่าวละเมิดความเป็นส่วนตัวบ้างหรือเปล่า “เลือกที่ข่าวฉาวน้อยที่สุด” และเมื่อซื้อมาแล้ว ให้ “หมั่นตรวจสอบหลังอัปเดตระบบทุกครั้ง” ว่ามีแอปฯ แปลกๆ งอกออกมาบ้างไหม

ส่วนเหตุผลที่ผลักให้ “บริษัทมือถือ” มีสิทธิ์ติดตั้ง สอดไส้อะไรมาในเครื่องเราก็ได้ นั่นอาจเป็นเพราะในบ้านเมืองเราเอง “ไม่มีกฎเกณฑ์” หรือ “ไม่มีอำนาจ” ที่กำหนดไว้เหมือนกัน

แม้แต่ทาง “กสทช.” เอง ก็เพิ่งออกมาเผยหลังเกิดเรื่องนี้ว่า หน่วยงานมีหน้าที่เพียง “ตรวจสอบอุปกรณ์กับคลื่นความถี่ตามมาตรฐาน” เช่น ความปลอดภัยที่ไม่อันตรายต่อผู้ใช้งาน การส่งสัญญาณทำได้ปกติไหม แค่นั้น

ส่วน “ประเสริฐ จันทรรวงทอง” รองนายกรัฐมนตรี และรัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ก็ยอมรับว่า “ไทยไม่มีเกณฑ์การติดตั้งแอปฯ ในสมาร์ทโฟนที่ชัดเจน” ซึ่งเป็น “ช่องโหว่” ของกฎหมายที่ต้องเร่งแก้

เกี่ยวกับเรื่องนี้ “ดร.ปริญญา” กูรูความปลอดภัยด้านไซเบอร์มองว่า เคสนี้เป็นครั้งแรกที่ “แฝง” แอปฯ กู้เงิน มาใน “ระบบปฏิบัติการมือถือ” ที่ผ่านมา ไม่มีใครเคยเจอแบบนี้มาก่อน แต่ถึงอย่างนั้น
“ภาครัฐอาจจะต้องเตรียมวิธีการตรวจสอบ ให้มันเข้มงวดมากขึ้น”

ต่อไปนี้การตรวจแค่ “ฮาร์ดแวร์” กับ “คลื่นความถี่” คงไม่พอ อาจจะต้องถึงขั้นว่า หากบริษัทไหนต้องการขายสมาร์ทโฟน ต้องบอกด้วยว่า “มีโปรแกรมอะไรบ้าง” ใช้ทำอะไร และ “เข้าถึงข้อมูลส่วนบุคคลของคนใช้ขนาดไหน”

ที่สำคัญ ไม่ใช่การตรวจเพียงครั้งเดียว ทุกครั้งที่มีการ “อัปเดตระบบปฏิบัติการ” ต้อง “ตรวจซ้ำ” เพราะในเคสที่เกิดขึ้นนี้ มือถือบางรุ่นก็พบว่า มีแอปฯ กู้เงินโผล่ขึ้นมา หลังจากอัปเดตเครื่องแล้ว ไม่ได้ติดตั้งมากับทางโรงงาน

“ตอนเครื่องอยู่ในกล่อง ยังไม่แกะพลาสติกเนี่ย มีอะไรบ้าง เมื่อแกะพลาสติกแล้ว อัปเดตแล้วเนี่ย ก็ต้องให้แล็บ ของ กสทช. มาดูหลังอัปเดตว่า มีอะไรแปลกปลอมมาหรือเปล่า ถ้ามีแปลกปลอม ก็อาจให้ระงับการขาย”

ให้มองว่านี่เป็นจุดเริ่มต้นที่ดี ที่เราจะถอดบทเรียน จากประเด็นความปลอดภัยของผู้บริโภค ส่วนจะไปถึงขั้น “ออกเป็นกฎหมาย” หรือ “กฎกระทรวง” ก็ต้องมาศึกษากันต่อ เพราะที่ผ่านมายังไม่มีรัฐบาลประเทศไหน ออกมาตรการชัดเจนถึงมาจุดนี้เลย