Data Privacy คืออะไร เรื่องใกล้ตัวที่ควรรู้ก่อนสายไป

การที่โฆษณาแสดงผลตรงกับเนื้อหาการสนทนา หรือการได้รับข้อความ (SMS) หลอกลวงที่ระบุชื่อจริงของผู้รับได้อย่างถูกต้อง แสดงว่า (Digital Footprint) ของผู้ใช้งานกำลังถูกติดตาม และจัดเก็บ ในยุคที่ข้อมูลมีมูลค่า ความเป็นส่วนตัวของข้อมูล จึงเป็นประเด็นสำคัญ เพื่อป้องกันมิให้บุคคลภายนอกเข้าถึง และนำข้อมูลส่วนบุคคลไปใช้โดยพลการ

Data Privacy คืออะไร?

บุคคลทั่วไปมักมีความเข้าใจคลาดเคลื่อนว่า Data Privacy คือการเก็บรักษาสิ่งที่เป็นความลับ แต่ในหลักการสากล และตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) นั้น Data Privacy หมายถึง "สิทธิในการควบคุม" กล่าวคือ เจ้าของข้อมูลต้องมีอำนาจในการตัดสินใจว่า บุคคลหรือองค์กรใดสามารถจัดเก็บข้อมูลของตนได้ ข้อมูลนั้นจะถูกนำไปใช้วัตถุประสงค์ใด และสามารถเปิดเผยต่อผู้ใดได้บ้าง เพื่อเป็นการป้องกันการนำข้อมูลไปใช้โดยมิได้รับอนุญาต

ความแตกต่างระหว่าง Data Privacy และ Data Security

แม้ว่าทั้งสองคำอาจมีความหมายที่ใกล้เคียงกัน แต่ในทางเทคนิคแล้วมีความแตกต่างกันอย่างชัดเจน Data Security ให้ความสำคัญกับ "การป้องกัน" ในขณะที่ Data Privacy ให้ความสำคัญกับ "การใช้งาน"

• Data Security (ความมั่นคงปลอดภัยของข้อมูล): มาตรการ และระบบป้องกันข้อมูลจากการถูกโจมตี โจรกรรม หรือทำลายโดยผู้ไม่ประสงค์ดี (Hacker)
  

• Data Privacy (ความเป็นส่วนตัวของข้อมูล): ข้อกำหนด และเงื่อนไขในการนำข้อมูลไปใช้งาน เพื่อตรวจสอบว่าองค์กรที่จัดเก็บข้อมูลได้นำไปใช้อย่างถูกต้องตามวัตถุประสงค์ที่เจ้าของข้อมูล "ให้ความยินยอม" ไว้หรือไม่

ความสำคัญของ Data Privacy

• การป้องกันการสวมรอย: เพื่ออุดช่องโหว่ และป้องกันมิให้มิจฉาชีพนำข้อมูลสำคัญ (เช่น หมายเลขประจำตัวประชาชน) ไปเปิดบัญชีม้าหรือทำธุรกรรมที่ผิดกฎหมาย
  

• การคืนความเป็นส่วนตัว: เพื่อยุติการถูกติดตามโดยอัลกอริทึม (Tracking) สำหรับการนำเสนอโฆษณา รวมถึงลดความเสี่ยงทางกายภาพที่อาจเกิดจากการเปิดเผยตำแหน่งที่ตั้งแบบเรียลไทม์ (Real-time Location) ในพื้นที่สาธารณะ

สิทธิของเจ้าของข้อมูลภายใต้กฎหมาย PDPA

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เป็นกฎหมายที่มอบอำนาจให้เจ้าของข้อมูลสามารถควบคุมข้อมูลส่วนบุคคลของตนเองได้ ซึ่งมีผลบังคับใช้อย่างเต็มรูปแบบตั้งแต่ 1 มิถุนายน 2565 โดยมีการกำหนดสิทธิพื้นฐาน 5 ประการที่เจ้าของข้อมูลควรทราบ ได้แก่:

1. สิทธิขอเข้าถึงข้อมูล (Right of Access): เจ้าของข้อมูลสามารถร้องขอเข้าถึง และขอรับสำเนาข้อมูลของตนที่องค์กรจัดเก็บไว้ รวมถึงสอบถามถึงแหล่งที่มาของข้อมูลได้ ทั้งนี้ ผู้ควบคุมข้อมูลต้องดำเนินการให้แล้วเสร็จภายใน 30 วันนับแต่วันที่ได้รับคำร้องขอ
   

2. สิทธิขอแก้ไขข้อมูล (Right to Rectification): หากพบว่าข้อมูลไม่ถูกต้อง ไม่เป็นปัจจุบัน หรือไม่สมบูรณ์ มีสิทธิร้องขอให้ดำเนินการแก้ไขให้ถูกต้อง ภายใต้ความสุจริต และไม่ขัดต่อกฎหมาย
   

3. สิทธิขอลบข้อมูล (Right to Erasure): สามารถร้องขอให้ลบ ทำลาย หรือทำให้ข้อมูลไม่สามารถระบุตัวบุคคลได้ ในกรณีที่ข้อมูลนั้นหมดความจำเป็น มีการถอนความยินยอม หรือข้อมูลถูกนำไปใช้โดยมิชอบด้วยกฎหมาย
   

4. สิทธิขอระงับการใช้ข้อมูล (Right to Restriction of Processing): มีสิทธิร้องขอให้ระงับการประมวลผลข้อมูลชั่วคราว เช่น ในระหว่างการตรวจสอบความถูกต้องของข้อมูล หรือเมื่อข้อมูลครบกำหนดที่ต้องลบทำลายแต่ประสงค์ให้เก็บรักษาไว้เพื่อใช้ประกอบการใช้สิทธิเรียกร้องทางกฎหมาย
   

5. สิทธิคัดค้านการเก็บข้อมูล (Right to Object): สามารถคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลได้ตลอดเวลา โดยเฉพาะเมื่อองค์กรนำข้อมูลไปใช้โดยปราศจากความยินยอม เว้นแต่ผู้ควบคุมข้อมูลจะพิสูจน์ได้ว่ามีเหตุอันชอบด้วยกฎหมายที่สำคัญกว่า

How-to 4 วิธีปกป้องข้อมูลส่วนบุคคลอย่างมีประสิทธิภาพ

ตรวจสอบเงื่อนไขก่อนกดยอมรับ: หลีกเลี่ยงการกดยอมรับ โดยทันที ควรพิจารณานโยบายความเป็นส่วนตัวโดยมุ่งเน้นที่ "วัตถุประสงค์การใช้ข้อมูล" หากพบว่าแอปพลิเคชันร้องขอการเข้าถึงข้อมูลที่เกินความจำเป็น (เช่น แอปพลิเคชันไฟฉายขอเข้าถึงรายชื่อผู้ติดต่อ) ควรปฏิเสธการติดตั้งในทันที

จำกัดสิทธิการติดตามตำแหน่ง (Location Tracking): ตรวจสอบการตั้งค่าความเป็นส่วนตัว (Privacy) เกี่ยวกับการเข้าถึงระบบ GPS ของแต่ละแอปพลิเคชัน ขอแนะนำให้ปรับเปลี่ยนจากการอนุญาต "ตลอดเวลา" (Always) เป็น "เฉพาะขณะใช้งานแอปพลิเคชัน" (While Using) หรือปิดการเข้าถึงสำหรับแอปพลิเคชันที่ไม่มีความจำเป็น

ระมัดระวังการใช้งานเครือข่าย Wi-Fi สาธารณะ: การใช้งานเครือข่าย Wi-Fi ที่ไม่มีระบบป้องกันด้วยรหัสผ่านถือเป็นความเสี่ยง หากมีความจำเป็นต้องทำธุรกรรมทางการเงิน ควรเชื่อมต่อผ่านระบบเครือข่ายส่วนตัวเสมือน (VPN) หรือเปลี่ยนมาใช้อินเทอร์เน็ตบนเครือข่ายมือถือ (Mobile Data) ซึ่งมีความปลอดภัยสูงกว่า

เปิดใช้งานการยืนยันตัวตนแบบสองขั้นตอน: ถือเป็นมาตรการรักษาความปลอดภัยขั้นสูงสุดที่ควรเปิดใช้งานในทุกบัญชีที่สำคัญ แม้รหัสผ่านหลักจะรั่วไหล แต่หากปราศจากรหัสยืนยันตัวตนชั้นที่ 2 (เช่น OTP จาก SMS หรือ Authenticator App) ผู้ไม่ประสงค์ดีก็จะไม่สามารถเข้าถึงข้อมูลได้

Data Privacy คือ สิทธิ ที่คุณมีในการกำหนดขอบเขตที่จะเลือกว่าจะเปิดเผยตัวตนให้ใครเห็น และเห็นมากแค่ไหน

อย่ารอให้ข้อมูลรั่วไหลแล้วค่อยแก้ ลองหยิบมือถือขึ้นมาเช็ค "การตรวจสอบความปลอดภัย" และครั้งหน้าก่อนจะกดปุ่ม "ยินยอม" (Accept All) ให้หยุดคิดสักนิด