xs
xsm
sm
md
lg

'ดีอีเอส'เดินหน้ามาตรการ 3 ระยะ คุ้มครองข้อมูลส่วนบุคคล

เผยแพร่:   ปรับปรุง:   โดย: ผู้จัดการออนไลน์



นายประเสริฐ จันทรรวงทอง รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอีเอส) เปิดเผยว่า ที่ประชุมคณะรัฐมนตรี เมื่อวันที่ 21 พฤศจิกายน 2566 รับทราบมาตรการคุ้มครองข้อมูลส่วนบุคคล ตามที่กระทรวง MDES เสนอเพื่อป้องกันและแก้ไขปัญหาการโจรกรรมข้อมูลส่วนบุคคลของประชาชน ซึ่งเป็นภัยคุกคามคนไทยอย่างหนักในปัจจุบัน โดยแบ่งเป็นระยะเร่งด่วน 30 วัน ระยะ 6 เดือน และระยะ 1 ปี ซึ่งครอบคลุมการแก้ไขปัญหาและปกป้องข้อมูลส่วนบุคคลของประชาชนในทุกมิติ

ทั้งนี้ สืบเนื่องจากมติคณะรัฐมนตรีเมื่อวันที่ 7 พฤศจิกายน 2566 มอบหมายให้กระทรวงดิจิทัลฯ และกระทรวงมหาดไทย เสนอแนวทางป้องกันและคุ้มครองข้อมูลส่วนบุคคล กระทรวงดิจิทัลฯ ได้หารือกับหน่วยงานที่เกี่ยวข้องแล้วและได้กำหนดมาตรการการดำเนินการเป็น 3 ระยะ ประกอบด้วย ระยะเร่งด่วน 30 วัน ได้มอบหมายให้สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ได้จัดตั้งศูนย์ PDPC Eagle Eye ซึ่งเร่งดำเนินการมาตั้งแต่วันที่ 9-20 พฤศจิกายน 2566 ตรวจสอบหน่วยงานภาครัฐและภาคเอกชน จำนวน 3,119 หน่วยงาน พบความเสี่ยงข้อมูลรั่วไหลและได้ดำเนินการแจ้งเตือน จำนวน 1,158 เรื่อง ซึ่งหน่วยงานได้ดำเนินการแก้ไขแล้ว 781 เรื่อง ส่วนกรณีอื่นๆ อยู่ระหว่างการดำเนินการโดยเร็ว นอกจากนี้ยังพบกรณีซื้อขายข้อมูลส่วนบุคคล 3 เรื่อง ซึ่งอยู่ระหว่างสืบสวนดำเนินคดีร่วมกับกองบัญชาการตำรวจสืบสวนสอบสวนอาชญากรรมทางเทคโนโลยี (บช.สอท.) ทั้งนี้ ศูนย์ PDPC Eagle Eye มีเป้าหมายตรวจสอบ 9,000 หน่วยงาน ภายใน 30 วัน

นอกจากนี้ ยังมอบหมายให้สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ตรวจสอบช่องโหว่ของระบบ cybersecurity โดยได้ดำเนินการตั้งแต่วันที่ 9-20 พฤศจิกายน 2566 พบช่องโหว่ในหน่วยงานต่างๆ 91 หน่วยงาน มีความเสี่ยงระดับสูงจำนวน 21 หน่วยงาน ซึ่งได้มีการแจ้งแก้ไขแล้วทั้ง 91 หน่วยงาน รวมถึงได้มีการตรวจพบการโจมตีทางไซเบอร์ เกี่ยวกับข้อมูลส่วนบุคคล จำนวน 11 เหตุการณ์ แบ่งเป็น 1. กรณีข้อมูลรั่วไหล (Data Leak) พบ 8 เหตุการณ์ ซึ่งได้ส่งเรื่องให้ สคส. ดำเนินการตามกฎหมายแล้ว และ 2.กรณีข้อมูลถูกละเมิดหรือถูกโจมตี (Data Breach) พบ 3 เหตุการณ์ ซึ่งก็ได้ส่งเรื่องให้ บช.สอท. สืบสวนดำเนินคดี

รวมทั้งยังได้มีแนวทางในการสร้างความตระหนักรู้ให้กับประชาชน โดยเมื่อวันที่ 16 พฤศจิกายน 2566 สคส. และ สกมช. ร่วมกับหน่วยงานที่เกี่ยวข้อง เช่น สภาหอการค้าแห่งประเทศไทย สภาอุตสาหกรรมแห่งประเทศไทย สมาคมธนาคารไทย สมาคมประกันชีวิตไทย สมาคมโรงแรมไทย รวมถึงเครือข่ายภาคสื่อมวลชนได้มีการจัดอบรม DPO (Data Protection Officer)

สำหรับหน่วยงานรัฐที่มีข้อมูลส่วนบุคคลจำนวนมาก จำนวน 85 หน่วยงาน เพื่อสร้างความตระหนักรู้เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล รวมไปถึงยังได้มีแนวทางในการปราบปรามและขยายผลคดี โดยเร่งรัดมาตรการปิดกั้นกรณีการซื้อขายข้อมูลส่วนบุคคลที่ผิดกฎหมาย และสืบสวนดำเนินคดี ตลอดจนจับกุมผู้กระทำความผิดโดยเร็ว ซึ่งจากการตรวจสอบพบกรณีซื้อขายข้อมูลส่วนบุคคล 3 เรื่อง ซึ่งอยู่ในระหว่างการขยายผล

นายประเสริฐ กล่าวเพิ่มเติมว่า สำหรับระยะ 6 เดือน ได้ดำเนินการเร่งรัดการใช้คลาวด์กลางภาครัฐพบว่าหลายหน่วยงานไม่ได้จัดให้มีระบบการรักษาความมั่นคงปลอดภัยที่ดีพอ ขาดคน IT และ Cybersecurity

สำหรับระยะ 1 ปี จะมีการปรับปรุงกฎหมายที่เกี่ยวข้องทั้งระบบ อาทิ การแก้ไข พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ให้อำนาจ สคส. ฟ้องร้องดำเนินคดีได้เอง ในกรณีซื้อขายข้อมูลและมีบทลงโทษที่ชัดเจน พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ.2562 ให้มีบทลงโทษ กรณีหน่วยงานไม่ปฏฺบัติตามมาตรฐานการรักษาความมั่นคงปลอดภัยไซเบอร์ , พ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ.2562 ให้มีฐานความผิดกรณีซื้อขายข้อมูลส่วนบุคคลด้วย