มิติทางสังคมและจริยธรรมสำหรับนักเทคโนโลยีสารสนเทศ

งานนำเสนอเรื่อง: "มิติทางสังคมและจริยธรรมสำหรับนักเทคโนโลยีสารสนเทศ"— ใบสำเนางานนำเสนอ:

1 887420 มิติทางสังคมและจริยธรรมสำหรับนักเทคโนโลยีสารสนเทศ
13 July 2002 มิติทางสังคมและจริยธรรมสำหรับนักเทคโนโลยีสารสนเทศ  บทที่ 8 ความเป็นส่วนตัว ตอนที่ 2 ผู้ช่วยศาสตราจารย์วิชัย บุญเจือ

2 เนื้อหาสังเขป 1. ความเป็นส่วนตัวคืออะไร 2. การเปิดเผยข้อมูลสารสนเทศ
3. ภัยคุกคามต่อความเป็นส่วนตัวและข้อมูลส่วนบุคคล 4. บันทึกประวัติกิจกรรมสาธารณะ 5. กฎหมายคุ้มครองความเป็นส่วนตัวและข้อมูลส่วนบุคคล 6. ความปลอดภัยของข้อมูลส่วนบุคคล 7. กรณีศึกษา: Facebook ปรับปรุงเครื่องมือควบคุมความเป็นส่วนตัวใหม่ 20 October 2012

3 4 บันทึกประวัติกิจกรรมสาธารณะ
ในหัวข้อแรก ได้กล่าวไปแล้วว่า “บันทึกประวัติกิจกรรมสาธารณะ (Public Record)” คือ รายการที่ประกอบ ไปด้วยข้อมูลเกี่ยวกับเหตุการณ์หรือการกระทําที่สาธารณชนจะต้องแสดงต่อหน่วยงานของภาครัฐ เพื่อวัตถุประสงค์ใน การทําธุรกรรมกับภาครัฐ Public Record ซึ่งผู้อ่านหลายท่านรู้จักกันเป็นอย่างดี ได้แก่ ข้อมูลสํามะโนประชากร ข้อมูลทะเบียนราษฎร์ ที่ ต้องระบุไว้ว่าบุคคลใดเป็นเจ้าบ้าน รายนามผู้อยู่อาศัย นอกจากนี้ ยังรวมถึงการแจ้งเกิด แจ้งตาย และการย้ายถิ่นฐาน ข้อมูลเหล่านี้ถือเป็นกิจกรรมที่เกิดขึ้นของสาธารณชนที่จําเป็นต้องแจ้งหรือแสดงข้อมูลต่อหน่วยงานภาครัฐที่รับผิดชอบ 1 June 2010

4 4 บันทึกประวัติกิจกรรมสาธารณะ
Public Record อีกประเภทหนึ่งที่จําเป็นต้องบันทึกไว้ในฐานข้อมูล คือ การชําระภาษีเงินได้ของบุคคลธรรมดา และนิติบุคคล ซึ่งเป็นสิ่งจําเป็น ภาษีเงินได้คือ “รายได้หลัก” ของภาครัฐ ดังนั้น ภาครัฐจึงให้ความสําคัญกับการจัดเก็บภาษีอย่างมาก ประเทศไทยนําระบบสารสนเทศเข้ามาใช้ และเพิ่มช่องทางการชําระเงินภาษี รวมทั้งเครื่องมือในการคํานวณภาษีแบบอัตโนมัติผ่านทางเว็บไซต์ ซึ่งสร้างความสะดวกสบายแก่ผู้มีรายได้เป็นอย่างมากเมื่อขั้นตอนการชําระเงินภาษีไม่ใช่เรื่องยุ่งยาก ผู้มีเงินได้จึงเต็มใจที่จะทําหน้าที่ของตน 1 June 2010

5 4 บันทึกประวัติกิจกรรมสาธารณะ
ข้อมูลที่ใช้ในการคํานวณภาษีเงินได้ บุคคลต้องแสดงจํานวนเงินในหมวดต่างๆ ซึ่งหากถูกเปิดเผย จะทําให้ ผู้อื่นทราบถึงรายได้ และค่าใช้จ่ายของบุคคลได้ แต่สิ่งที่สร้างความกังวลให้กับบุคคล คือ การนําข้อมูลกิจกรรมสาธารณะไปใช้โดยบุคคลอื่น และเพื่อประโยชน์ อย่างอื่น ซึ่งอาจสร้างความเดือดร้อนแก่บุคคลใด ยกเว้นกรณีจําเป็น เช่น เมื่อสงครามโลกครั้งที่ 1 สหรัฐอเมริกา ใช้ ข้อมูลทะเบียนราษฎร์ เพื่อค้นหาชื่อและที่อยู่ชายฉกรรจ์ ที่จะต้องถูกเกณฑ์ให้มาเป็นทหารร่วมรบในสงครามด้วย เป็นต้น 20 October 2012

6 5 กฎหมายคุ้มครองความเป็นส่วนตัวและข้อมูลส่วนบุคคล
ภัยคุกคามที่กล่าวถึงข้างต้น ส่วนหนึ่งเกิดจากการที่องค์กรธุรกิจจํานวนมาก มีการรวบรวม ค้าขาย หรือ แลกเปลี่ยนข้อมูลส่วนบุคคลของลูกค้าระหว่างกัน โดยนอกจากวิธีการรวบรวมข้อมูลส่วนตัวของลูกค้าโดยตรงแล้ว องค์กรธุรกิจบางแห่งยังใช้วิธีการรวบรวมข้อมูลดังกล่าวจากแหล่งต่างๆ ทีละส่วนแล้วนํามารวมกัน ก็จะทําให้องค์กรมีข้อมูลส่วนตัวของบุคคลอื่นมากขึ้น แล้วนําข้อมูลเหล่านั้นไปแสวงหาผลประโยชน์ในทางธุรกิจ โดยไม่คํานึงถึง ความเดือดร้อนของผู้เสียหาย 20 October 2012

7 5 กฎหมายคุ้มครองความเป็นส่วนตัวและข้อมูลส่วนบุคคล
ดังนั้น จึงควรมีการกําหนดกฎหมายหรือพระราชบัญญติขึ้นมาคุ้มครองความเป็นส่วนตัวและข้อมูลส่วนบุคคลของ ประชาชนให้ชัดเจน โดยในเบื้องต้น มีวัตถุประสงค์เพื่อป้องกันบุคคลจากการกระทําอันมิชอบ 4 ประการ ดังนี้ 1. ป้องกันบุคคลจากการบุกรุกโดยไม่มีเหตุผลอันควร เช่น การสังเกตพฤติกรรมการใช้เว็บของผู้ใช้โดยไม่รู้ตัว เป็นต้น 2. ป้องกันการฉวยโอกาสจากกรณีที่มิจฉาชีพมีชื่อเหมือนบุคคลอื่น 20 October 2012

8 5 กฎหมายคุ้มครองความเป็นส่วนตัวและข้อมูลส่วนบุคคล
3. ป้องกันการเปิดเผยข้อมูลประวัติการรับยา กล่าวคือ ผู้ป่วยมีสิทธิ์โดยชอบธรรมที่จะไม่อนุญาตให้โรงพยาบาลเปิดเผยข้อมูลการรับยาของผู้ป่วย ซึ่งทางโรงพยาบาลจะต้องปฏิบัติตาม มิฉะนั้นจะถือว่าล่วงละเมิดสิทธิส่วนบุคคล 4. ป้องกันการสวมรอยข้อมูลโดยผู้อื่น โดยในหัวข้อนี้จะกล่าวถึงกฎหมายคุ้มครองความเป็นส่วนตัวและข้อมูลส่วนบุคคลในประเทศและต่างประเทศ 20 October 2012

9 5.1 กฎหมายคุ้มครองความเป็นส่วนตัวและข้อมูลส่วนบุคคลในประเทศไทย
ประเทศไทยมี กฎหมายคุ้มครองความเป็นส่วนตัว ระบุไว้อย่างชัดเจนใน “รัฐธรรมนูญแห่งราชอาณาจักรไทย พ.ศ.2560” หมวดที่ 3 “สิทธิและเสรีภาพของชนชาวไทย” ดังจะแสดงไว้เป็นสังเขป (มาตรา 28 ถึง มาครา 41) Download: Constitution 2560.pdf หรือ 20 October 2012

10 รัฐธรรมนูญแห่งราชอาณาจักรไทย พ.ศ.2560
มาตรา ๔ ศักดิ์ศรีความเป็นมนุษย์ สิทธิ เสรีภาพ และความเสมอภาคของบุคคล ย่อมได้รับความคุ้มครอง ปวงชนชาวไทยย่อมได้รับความคุ้มครองตามรัฐธรรมนูญเสมอกัน 20 October 2012

11 5.1 กฎหมายคุ้มครองความเป็นส่วนตัวและข้อมูลส่วนบุคคลในประเทศไทย
หมวด ๓ สิทธิและเสรีภาพของปวงชนชาวไทย มาตรา ๒๘ บุคคลย่อมมีสิทธิและเสรีภาพในชีวิตและร่างกาย มาตรา ๒๙ บุคคลไม่ต้องรับโทษอาญา เว้นแต่ได้กระทําการอันกฎหมายที่ใช้อยู่ในเวลา ที่กระทํานั้นบัญญัติเป็นความผิดและกําหนดโทษไว้ มาตรา ๓๐ การเกณฑ์แรงงานจะกระทํามิได้ เว้นแต่โดยอาศัยอํานาจตามบทบัญญัติ แห่งกฎหมายที่ตราขึ้นเพื่อป้องกันภัยพิบัติสาธารณะ มาตรา ๓๑ บุคคลย่อมมีเสรีภาพบริบูรณ์ในการถือศาสนาและย่อมมีเสรีภาพในการปฏิบัติ หรือประกอบพิธีกรรมตามหลักศาสนาของตน 20 October 2012

12 5.1 กฎหมายคุ้มครองความเป็นส่วนตัวและข้อมูลส่วนบุคคลในประเทศไทย
มาตรา ๓๒ บุคคลย่อมมีสิทธิในความเป็นอยู่ส่วนตัว เกียรติยศ ชื่อเสียง และครอบครัว มาตรา ๓๓ บุคคลย่อมมีเสรีภาพในเคหสถาน มาตรา ๓๔ บุคคลย่อมมีเสรีภาพในการแสดงความคิดเห็น การพูด การเขียน การพิมพ์ การโฆษณา และการสื่อความหมายโดยวิธีอื่น มาตรา ๓๕ บุคคลซึ่งประกอบวิชาชีพสื่อมวลชนย่อมมีเสรีภาพในการเสนอข่าวสาร หรือการแสดงความคิดเห็นตามจริยธรรมแห่งวิชาชีพ 20 October 2012

13 5.1 กฎหมายคุ้มครองความเป็นส่วนตัวและข้อมูลส่วนบุคคลในประเทศไทย
มาตรา ๓๖ บุคคลย่อมมีเสรีภาพในการติดต่อสื่อสารถึงกันไม่ว่าในทางใดๆ มาตรา ๓๗ บุคคลย่อมมีสิทธิในทรัพย์สินและการสืบมรดก มาตรา ๓๘ บุคคลย่อมมีเสรีภาพในการเดินทางและการเลือกถิ่นที่อยู่ มาตรา ๓๙ การเนรเทศบุคคลสัญชาติไทยออกนอกราชอาณาจักร หรือห้ามมิให้ผู้มีสัญชาติไทย เข้ามาในราชอาณาจักร จะกระทํามิได้ มาตรา ๔๐ บุคคลย่อมมีเสรีภาพในการประกอบอาชีพ 20 October 2012

14 5.1 กฎหมายคุ้มครองความเป็นส่วนตัวและข้อมูลส่วนบุคคลในประเทศไทย
มาตรา ๔๑ บุคคลและชุมชนย่อมมีสิทธิ (๑) ได้รับทราบและเข้าถึงข้อมูลหรือข่าวสารสาธารณะในครอบครองของหน่วยงานของรัฐ ตามที่กฎหมายบัญญัติ (๒) เสนอเรื่องราวร้องทุกข์ต่อหน่วยงานของรัฐและได้รับแจ้งผลการพิจารณาโดยรวดเร็ว (๓) ฟ้องหน่วยงานของรัฐให้รับผิดเนื่องจากการกระทําหรือการละเว้นการกระทําของข้าราชการ พนักงาน หรือลูกจ้างของหน่วยงานของรัฐ 20 October 2012

15 5.1 กฎหมายคุ้มครองความเป็นส่วนตัวและข้อมูลส่วนบุคคลในประเทศไทย
สําหรับกฎหมายคุ้มครองข้อมูลส่วนบุคคลของไทยนั้น ปัจจุบัน (กลางปี พ.ศ. 2561) กําลังอยู่ในระหว่างขั้นตอนการดําเนินงาน ที่คาดว่าจะแล้วเสร็จในเร็วๆ นี้ ร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ ที่คณะรัฐมนตรีรับหลักการ (เมื่อวันที่ 22 พฤษภาคม 2561) Download: 8 Draft_DP.pdf หรือ 20 October 2012

16 5.1 กฎหมายคุ้มครองความเป็นส่วนตัวและข้อมูลส่วนบุคคลในประเทศไทย
เหตุผล เนื่องจากปัจจุบันมีการล่วงละเมิดสิทธิความเป็นส่วนตัวของข้อมูลส่วนบุคคล เป็นจานวนมากจนสร้างความเดือดร้อนราคาญหรือความเสียหายให้แก่เจ้าของข้อมูลส่วนบุคคล ประกอบกับความก้าวหน้าของเทคโนโลยีทาให้การเก็บรวบรวม การใช้ และการเปิดเผยข้อมูลส่วนบุคคลอันเป็นการล่วงละเมิดดังกล่าว สามารถทาได้โดยง่าย สะดวก และรวดเร็ว รวมทั้งก่อให้เกิด ความเสียหายต่อเศรษฐกิจโดยรวมที่ใช้เทคโนโลยีดิจิทัลอย่างแพร่หลาย 20 October 2012

17 5.1 กฎหมายคุ้มครองความเป็นส่วนตัวและข้อมูลส่วนบุคคลในประเทศไทย
แม้ว่าจะได้มีกฎหมายคุ้มครองข้อมูลส่วนบุคคลในบางเรื่อง แต่ก็ยังไม่มีหลักเกณฑ์ กลไก หรือมาตรการกากับดูแลเกี่ยวกับการให้ความคุ้มครองข้อมูลส่วนบุคคลที่เป็นหลักการทั่วไป สมควรกาหนดให้มีกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลเป็นการทั่วไปขึ้น จึงจาเป็นต้องตราพระราชบัญญัตินี้ สรุปสาระสำคัญแห่งพระราชบัญญัตินี้ 20 October 2012

18 5.1 กฎหมายคุ้มครองความเป็นส่วนตัวและข้อมูลส่วนบุคคลในประเทศไทย
มาตรา ๖ ในพระราชบัญญัตินี้ “ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทาให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงการระบุเฉพาะชื่อ ตาแหน่ง สถานที่ทางาน หรือ ที่อยู่ทางธุรกิจ และข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ “ผู้ควบคุมข้อมูลส่วนบุคคล” หมายความว่า บุคคลหรือนิติบุคคลซึ่งมีอานาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล 20 October 2012

19 5.1 กฎหมายคุ้มครองความเป็นส่วนตัวและข้อมูลส่วนบุคคลในประเทศไทย
“ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายความว่า บุคคลหรือนิติบุคคลซึ่งดาเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคาสั่งของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลซึ่งดาเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล “เจ้าของข้อมูลส่วนบุคคล” ให้หมายความรวมถึง (๑) ผู้ใช้อานาจปกครองที่มีอานาจกระทาการแทนผู้เยาว์ (๒) ผู้อนุบาลที่มีอานาจกระทาการแทนคนไร้ความสามารถ หรือ (๓) ผู้พิทักษ์ที่มีอานาจกระทาการแทนคนเสมือนไร้ความสามารถ 20 October 2012

20 5.1 กฎหมายคุ้มครองความเป็นส่วนตัวและข้อมูลส่วนบุคคลในประเทศไทย
หมวด ๒ การคุ้มครองข้อมูลส่วนบุคคล ส่วนที่ ๑ บททั่วไป มาตรา ๑๗ ผู้ควบคุมข้อมูลส่วนบุคคลจะกระทาการเก็บรวบรวม ใช้ หรือเปิดเผย ซึ่งข้อมูลส่วนบุคคลไม่ได้หากเจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอมไว้ก่อนหรือในขณะนั้น เว้นแต่บทบัญญัติแห่งพระราชบัญญัตินี้หรือกฎหมายอื่นบัญญัติให้กระทำได้ การขอความยินยอมต้องทาเป็นหนังสือหรือทาโดยผ่านระบบอิเล็กทรอนิกส์ เว้นแต่โดยสภาพไม่อาจขอความยินยอมด้วยวิธีการดังกล่าวได 20 October 2012

21 5.1 กฎหมายคุ้มครองความเป็นส่วนตัวและข้อมูลส่วนบุคคลในประเทศไทย
ในการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคล ต้องแจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยซึ่งข้อมูลส่วนบุคคลไปด้วย และการขอความยินยอมนั้นต้องไม่เป็นการหลอกลวงหรือทาให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์ดังกล่าว ทั้งนี้ คณะกรรมการจะให้ผู้ควบคุมข้อมูลส่วนบุคคลขอความยินยอมจากเจ้าของข้อมูล ส่วนบุคคลตามแบบและข้อความที่คณะกรรมการประกาศกาหนดก็ได 20 October 2012

22 5.1 กฎหมายคุ้มครองความเป็นส่วนตัวและข้อมูลส่วนบุคคลในประเทศไทย
เจ้าของข้อมูลส่วนบุคคลจะถอนความยินยอมเสียเมื่อใดก็ได้ เว้นแต่มีข้อจากัดสิทธิในการถอนความยินยอมโดยกฎหมายหรือสัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคล ในกรณีที่การถอนความยินยอมส่งผลกระทบต่อเจ้าของข้อมูลส่วนบุคคลในเรื่องใด ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงผลกระทบจากการถอน ความยินยอมนั้น 20 October 2012

23 5.1 กฎหมายคุ้มครองความเป็นส่วนตัวและข้อมูลส่วนบุคคลในประเทศไทย
มาตรา ๑๘ ผู้ควบคุมข้อมูลส่วนบุคคลต้องทาการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่ได้แจ้งเจ้าของข้อมูลส่วนบุคคลไว้ก่อนหรือในขณะที่เก็บรวบรวม การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่แตกต่างไปจากวัตถุประสงค์ ที่ได้แจ้งไว้ตามวรรคหนึ่งจะกระทามิได้ เว้นแต่ (๑) ได้แจ้งวัตถุประสงค์ใหม่นั้นให้เจ้าของข้อมูลส่วนบุคคลทราบและได้รับ ความยินยอมก่อนเก็บรวบรวม ใช้ หรือเปิดเผยแล้ว (๒) บทบัญญัติแห่งพระราชบัญญัตินี้หรือกฎหมายอื่นบัญญัติให้กระทาได้ 20 October 2012

24 5.2 กฎหมายคุ้มครองความเป็นส่วนตัวและข้อมูลส่วนบุคคลในต่างประเทศ
ในต่างประเทศได้มีกฎหมายคุ้มครองความเป็นส่วนตัวและข้อมูลส่วนบุคคลอย่างชัดเจนมานานแล้ว ในหลายประเทศ เช่น ประเทศสหรัฐอเมริกา และหลายประเทศในทวีปยุโรป เป็นต้น แต่ละประเทศให้ความคุ้มครอง ด้วยพระราชบัญญัติที่หลากหลายฉบับแตกต่างกันออกไป 20 October 2012

25 5.2.1 กฎหมายในประเทศสหรัฐอเมริกา
ในประเทศสหรัฐอเมริกา ได้มีการออกกฎหมายที่ให้ความคุ้มครองสิทธิส่วนบุคคล/ความเป็นส่วนตัว และข้อมูลส่วนบุคคลในด้านต่างๆ เช่น ข้อมูลเครดิต ข้อมูลทางการศึกษา ข้อมูลทางการเงิน และข้อมูลที่ใช้ทําธุรกรรม ทางเว็บไซต์ เป็นต้น เป็นข้อกําหนดการใช้งาน และการเปิดเผยสารสนเทศของบุคคล ให้เป็นไป อย่างชอบธรรม กฎหมายสิทธิส่วนบุคคลของสหรัฐอเมริกา แบ่งออกเป็น 2 กลุ่ม คือ กฎหมายที่มีผลกับรัฐบาลกลาง (General Federal Privacy Law) และกฎหมายที่มีผลกับภาคเอกชน ดังตารางที่ 4.1 [Laudon and Laudon, Management Information System, 2007] 20 October 2012

26 5.2.1 กฎหมายในประเทศสหรัฐอเมริกา
ตารางที่ 4.1 กฎหมายคุ้มครองสิทธิส่วนบุคคลและข้อมูลส่วนบุคคล ของประเทศสหรัฐอเมริกา 20 October 2012

27 5.2.2 หลักปฏิบัติเกี่ยวกับสารสนเทศโดยชอบธรรม (Fair Information Practices: FIP)
กฎหมายคุ้มครองสิทธิส่วนบุคคลของสหรัฐอเมริกาและกลุ่มประเทศในทวีปยุโรปส่วนใหญ่ อยู่บนพื้นฐานของ กฎเกณฑ์ที่เรียกว่า “หลักปฏิบัติเกี่ยวกับสารสนเทศโดยชอบธรรม (Fair Information Practices: FIP)” ซึ่งถูก กําหนดขึ้นเมื่อปี ค.ศ โดยรัฐบาลกลางของสหรัฐ FIP เป็นหลักปฏิบัติที่ใช้ควบคุมการรวบรวม (Collection) และใช้ (Use) สารสนเทศของบุคคลอื่น โดยบุคคล (Individual) เป็นผู้มีส่วนได้ส่วนเสียในการทํารายการการ เปลี่ยนแปลงใดๆ (Transaction) 20 October 2012

28 5.2.2 หลักปฏิบัติเกี่ยวกับสารสนเทศโดยชอบธรรม (Fair Information Practices: FIP)
โดยทั่วไป องค์กรธุรกิจหรือหน่วยงานภาครัฐเป็นผู้ที่ต้องการข้อมูลส่วนบุคคลของ ลูกค้าหรือประชาชน เพื่อใช้ในการทํา Transaction ต่างๆ เมื่อข้อมูลส่วนบุคคลของบุคคลใดๆ ถูกรวบรวมเข้าไป จัดเก็บไว้ องค์กรหรือหน่วยงานจะไม่สามารถนําข้อมูลนั้นไปใช้เพื่อกิจกรรมอื่นได้ นอกจากจะได้รับอนุญาตจากบุคคล ผู้เป็นเจ้าของข้อมูลที่แท้จริง 20 October 2012

29 4.5.2 กฎหมายคุ้มครองความเป็นส่วนตัวและข้อมูลส่วนบุคคลในต่างประเทศ
ต่อมาในปี ค.ศ คณะกรรมการการค้า (Federal Trade Commission: FTC) ได้ปรับปรุงหลักปฏิบัติใน FIP ใหม่ เพื่อให้ความคุ้มครองสิทธิส่วนบุคคลแบบออนไลน์ด้วย ดังนี้ 1. Notice/Awareness (หลักปฏิบัติสําคัญ) เว็บไซต์จะต้องเปิดเผยวัตถุประสงค์ในการนําสารสนเทศของบุคคลไปใช้ก่อนที่จะทําการรวบรวมสารสนเทศนั้น นอกจากนี้ ยังต้องระบุชื่อองค์กรผู้รวบรวม สถานะของ การเก็บรวบรวมข้อมูล (Active/Inactive) การยอมรับการรวบรวมข้อมูล การปฏิเสธการรวบรวมข้อมูลและขั้นตอนการเก็บข้อมูลไว้เป็นความลับ มีความถูกต้อง และมีคุณภาพ 20 October 2012

30 4.5.2 กฎหมายคุ้มครองความเป็นส่วนตัวและข้อมูลส่วนบุคคลในต่างประเทศ
2. Choice/Consent (หลักปฏิบัติสําคัญ) จะต้องมีการแสดงตัวเลือกให้ลูกค้าได้เลือกว่าจะอนุญาตให้องค์กรนําข้อมูลไปใช้เพื่อวัตถุประสงค์อื่นหรือไม่ 3. Access/Participation ลูกค้าจะต้องสามารถทบทวนและทดสอบความถูกต้องและสมบูรณ์ของข้อมูลของตนได้ตามต้องการ และมีขั้นตอนที่ไม่ยุ่งยาก 20 October 2012

31 4.5.2 กฎหมายคุ้มครองความเป็นส่วนตัวและข้อมูลส่วนบุคคลในต่างประเทศ
4. Security องค์กรผู้รวบรวมข้อมูลของลูกค้า จะต้องรับผิดชอบในการปกปิดข้อมูลนั้นไว้เป็นความลับ และต้องรักษาความถูกต้องของข้อมูลไว้เสมอ 5. Enforcement องค์กรจะต้องบังคับใช้หลักปฏิบัติ FIP ไม่ว่าจะด้วยวิธีการใดก็ตาม 20 October 2012

32 5.2.3 กฎหมายคุ้มครองสิทธิส่วนบุคคลในสหภาพยุโรป
ในสหภาพยุโรปจะมีกฎหมายคุ้มครองสิทธิส่วนบุคคลที่เข้มงวดมากกว่าในสหรัฐอเมริกา โดยกําหนดไว้ว่า “ห้าม ธุรกิจนําข้อมูลส่วนบุคคลของลูกค้าไปใช้ก่อนที่จะได้รับอนุญาตจากลูกค้าผู้เป็นเจ้าของข้อมูล กล่าวคือ ธุรกิจจะต้องแจ้งลูกค้าว่าจําเป็นต้องเก็บรวบรวมข้อมูลส่วนบุคคลของลูกค้า อีกทั้งต้องเปิดเผยวิธีการ เก็บรวบรวมและการนําไปใช้ 20 October 2012

33 5.2.3 กฎหมายคุ้มครองสิทธิส่วนบุคคลในสหภาพยุโรป
จากนั้นลูกค้าจะต้องแจ้งการอนุญาต (Informed Consent) กลับไปยังธุรกิจ เพื่อให้ธุรกิจ สามารถรวบรวมและนําข้อมูลส่วนบุคคลของตนไปใช้ได้อย่างถูกต้องตามกฎหมาย ประเทศต่างๆ ในสหภาพยุโรปจะ ต้องนําหลักปฏิบัติแบบ “Informed Consent” ไปปรับใช้เป็นกฎหมายเฉพาะในประเทศของตน โดยมีข้อห้ามเพิ่มเติม คือ ห้ามถ่ายโอนข้อมูลส่วนบุคคลของลูกค้าไปยังประเทศอื่นซึ่งมีกฎหมายคุ้มครองสิทธิส่วนบุคคลที่ไม่สอดคล้องกัน เช่น ห้ามใช้ในประเทศสหรัฐอเมริกา เป็นต้น 20 October 2012

34 5.2.3 กฎหมายคุ้มครองสิทธิส่วนบุคคลในสหภาพยุโรป
ดังนั้น กระทรวงพาณิชย์ของสหรัฐอเมริกา จึงแก้ไขข้อจํากัดของการใช้ข้อมูลส่วนบุคคลร่วมกันกับกลุ่มประเทศ ในสหภาพยุโรป ด้วยการกําหนดกรอบการปฏิบัติที่เรียกว่า “Safe Habor” ร่วมกับคณะกรรมาธิการยุโรป (European Commission) โดย “Safe Habor” เป็นการกําหนดนโยบายที่ใช้ควบคุมและกํากับตัวเอง (Self-regulating Policy) พร้อมทั้งกําหนดวิธีการบังคับใช้นโยบายดังกล่าว ให้สอดคล้องกับวัตถุประสงค์ของผู้ควบคุมรัฐบาลและนิติบัญญัติ แต่ ไม่เกี่ยวข้องกับข้อบังคับของรัฐบาล [Laudon and Laudon, Management Information Systems, 2007) 20 October 2012

35 5.2.3 กฎหมายคุ้มครองสิทธิส่วนบุคคลในสหภาพยุโรป
กล่าวคือ Safe Habor กําหนดว่า ธุรกิจในสหรัฐอเมริกา จะสามารถรวบรวมและใช้ข้อมูลส่วนบุคคลจากกลุ่ม ประเทศในสหภาพยุโรปได้ ก็ต่อเมื่อธุรกิจในสหรัฐอเมริกาได้มีการกําหนดนโยบายคุ้มครองสิทธิส่วนบุคคลที่สอดคล้อง กับมาตรฐานของสหภาพยุโรป แล้วบังคับใช้ในธุรกิจพร้อมทั้งดูแลและควบคุมการบังคับใช้ด้วยตัวเอง 20 October 2012

36 Opt-in, Opt-out Model จากกฎหมายคุ้มครองความเป็นส่วนตัว (โดยเฉพาะการคุ้มครองข้อมูลส่วนบุคคล) ที่แตกต่างกันระหว่างประเทศ สหรัฐอเมริกาและกลุ่มประเทศในสหภาพยุโรป ทําให้รูปแบบการอนุญาตให้รวบรวมและใช้ข้อมูลส่วนบุคคล แตกต่างกันไปด้วย ดังนี้ 1. Opt-out Model คือ อนุญาตให้ธุรกิจมีการรวบรวมข้อมูลส่วนบุคคลของลูกค้าได้ จนกว่าลูกค้าจะแจ้งว่าไม่อนุญาตให้กระทําการดังกล่าวได้อีก (ใช้ในสหรัฐอเมริกา) 2. Opt-in Model คือ ห้ามธุรกิจรวบรวมข้อมูลส่วนบุคคลของลูกค้า ก่อนที่จะได้รับอนุญาตจากลูกค้า (ใช้ในสหภาพยุโรป) 20 October 2012

37 6 ความปลอดภัยของข้อมูลส่วนบุคคล
เนื่องจากเครือข่ายอินเทอร์เน็ต เป็นเครือข่ายสาธารณะที่ทุกคนสามารถเข้าถึงได้ จึงอาจมีมิจฉาชีพและแฮคเกอร์ ปะปนเข้ามา เพื่อขโมยข้อมูลส่วนบุคคลของผู้ใช้งานเว็บไซต์ ไปแสวงหาประโยชน์โดยมิชอบ จึงได้มีการพัฒนา เทคโนโลยีรักษาความปลอดภัยให้กับข้อมูลส่วนบุคคลขึ้นมาหลายชนิด ในที่นี้ขอยกตัวอย่างเฉพาะเทคโนโลยีที่ เกี่ยวข้องกับข้อมูลส่วนบุคคล ดังนี้ 20 October 2012

38 6.1 การเข้ารหัสข้อมูล การเข้ารหัสข้อมูล (Encryption) เป็นวิธีการป้องกันข้อมูลจากการถูกโจรกรรมในขณะที่มีการรับ-ส่งข้อมูล ด้วยวิธีการเปลี่ยนโครงสร้างข้อมูลของ Plaintext ที่สามารถอ่านเข้าใจได้ให้เป็น Ciphertext ที่ไม่สามารถอ่านเข้าใจได้ แต่จะต้องใช้ข้อมูลสําหรับถอดรหัส (Decryption) เพื่อแปลงให้ข้อมูลอยู่ในรูปแบบเดิม จําลองภาพการทํางาน ดังรูปที่ 4.7 20 October 2012

39 6.1 การเข้ารหัสข้อมูล รูปที่ 4.7 แสดงตัวอย่างการเพิ่มความปลอดภัยในการส่งข้อมูลด้วยการเข้ารหัสข้อมูล 20 October 2012

40 6.1 การเข้ารหัสข้อมูล การเข้ารหัสข้อมูลจะมีอัลกอริธึม (Algorithm) หรือคีย์ (Key) ที่ใช้ในการเข้าและถอดรหัสซึ่งมีหลายรูปแบบ โดยวิธีการเข้ารหัสข้อมูลที่ได้รับความนิยมอย่างแพร่หลาย คือ การเข้ารหัสด้วยคีย์ลับ (Secret Key Encryption) และการเข้ารหัสด้วยคีย์สาธารณะ (Public Key Encryption) 20 October 2012

41 6.1.1 การเข้ารหัสด้วยคีย์ลับ
การเข้ารหัสด้วยคีย์ลับ (Secret Key Encryption) เป็นกระบวนการเข้าและถอดรหัสโดยใช้คีย์เดียวกัน บางครั้ง เรียกวิธีนี้ว่า “การเข้ารหัสแบบสมมาตร (Symmetric Encryption)” โดยคีย์ลับ (Secret Key) ที่ใช้สําหรับเข้าและถอดรหัสจะถูกส่งให้กับผู้รับก่อนที่ผู้รับจะได้รับ Ciphertext จากผู้ส่ง ดังนั้น ทั้งสองฝั่งจะต้องรักษา Secret Key ไว้ เป็นความลับ แต่การใช้วิธีนี้มีช่องโหว่ คือ อาจถูกดักจับ Secret Key ในระหว่างการส่งได้ แสดงภาพจําลองดังรูปที่ 4.8 20 October 2012

42 6.1.1 การเข้ารหัสด้วยคีย์ลับ
รูปที่ 4.8 แสดงการเข้ารหัสด้วยวิธีใช้คีย์ลับ จากรูปที่ 4.8 จะเห็นว่าการเข้ารหัสด้วยคีย์ลับ ผู้ส่งจะนําข้อมูลที่ต้องการส่งมาเข้ารหัส (ในที่นี้คือ “A”) โดยใช้ Secret Key (ได้ Ciphertext เป็น “ep”) จากนั้นส่ง Ciphertext ให้กับผู้รับผ่านทางอินเทอร์เน็ต แล้วผู้รับจะใช้ Secret Key เดียวกันถอดรหัส ทําให้ได้ผลลัพธ์เป็นข้อมูลต้นฉบับ 20 October 2012

43 6.1.1 การเข้ารหัสด้วยคีย์ลับ
การเข้ารหัสด้วยคีย์ลับมีหลายมาตรฐาน โดยแต่ละมาตรฐานมีความแตกต่างกันทั้งในด้านขนาดของบล็อกข้อมูล และขนาดของคีย์ ทําให้แต่ละมาตรฐานมีประสิทธิภาพแตกต่างกัน เช่น Data Encryption Standard (DES) จะใช้คีย์ ที่มีความยาวเพียง 56 บิต ทําให้ง่ายต่อการถอดรหัส จึงได้มีการพัฒนา Triple-DES หรือ 3DES ขึ้นมา โดยนํา DES มาปรับปรุงให้คีย์มีขนาดยาว 112 หรือ 168 บิต ทําให้การถอดรหัสทําได้ยากขึ้น นอกจากนี้ยังมีอีกมาตรฐานที่ได้รับ ความนิยมอย่างแพร่หลาย คือ Advanced Encryption Standard (AES) โดยสามารถเปลี่ยนแปลงขนาดของคีย์ได้ ระหว่าง 128, 192 หรือ 256 บิต 20 October 2012

44 6.1.1 การเข้ารหัสด้วยคีย์ลับ
ข้อดีของการเข้ารหัสรูปแบบนี้ คือ สามารถเข้าและถอดรหัสได้อย่างรวดเร็ว แต่มีข้อเสีย คือ ต้องเก็บคีย์ไว้เป็น ความลับระหว่างผู้รับและส่งข้อมูล นอกจากนี้ยังเกิดปัญหาด้านการบริหารจัดการคีย์ เนื่องจากเมื่อมีการรับ-ส่งข้อมูล ระหว่างผู้ใช้จํานวนมาก จะต้องทําสําเนาของคีย์แจกจ่ายให้กับทุกคนที่ต้องการติดต่อสื่อสาร ทําให้คีย์อาจถูกขโมย ระหว่างกระบวนการดังกล่าว นอกจากนี้ยังไม่สามารถระบุตัวบุคคลได้ เพราะทุกคนใช้คีย์เดียวกันในการเข้าและ ถอดรหัส 20 October 2012

45 6.1.2 การเข้ารหัสด้วยคีย์สาธารณะ
การเข้ารหัสด้วยคีย์สาธารณะ (Public Key Encryption) หรือการเข้ารหัสแบบไม่สมมาตร (Asymmetric Encryption) เป็นการเข้าและถอดรหัสด้วยคีย์ที่ต่างกัน โดยจะใช้คีย์ 2 ตัว คือ คีย์สาธารณะ (Public Key) ซึ่งจะ เปิดเผยให้ผู้อื่นได้รับทราบ และคีย์ส่วนตัว (Private Key) ซึ่งจะถูกเก็บไว้เป็นความลับ (บางครั้งเรียกคีย์ทั้งสองว่า “คีย์คู่ (Key Pair)”) โดยข้อมูลที่ถูกเข้ารหัสด้วย Public Key จะสามารถถอดรหัสได้โดยใช้ Private Key ที่เข้าไปใน เท่านั้น 20 October 2012

46 6.1.2 การเข้ารหัสด้วยคีย์สาธารณะ
การเข้ารหัสด้วยคีย์สาธารณะเริ่มต้นจากผู้ส่งน้ํา Plaintext ที่ต้องการส่งมาเข้ารหัสด้วย Public Key ของผู้รับ ซึ่งจะได้ผลลัพธ์เป็น Ciphertext แล้วส่งไปยังผู้รับ เมื่อผู้รับได้รับ Ciphertext จะนํา Private Key ของตนมา ถอดรหัสให้ Ciphertext กลับเป็น Plaintext ดังรูปที่ 4.9 รูปที่ 4.9 แสดงการเข้ารหัสด้วยวิธีใช้คีย์สาธารณะ

47 6.2.3 P3P P3P (Platform for Privacy Preference) เป็นมาตรฐานในการสื่อสารนโยบายความเป็นส่วนตัวของเว็บไซต์ อีคอมเมิร์ซกับผู้เยี่ยมชมเว็บไซต์โดยอัตโนมัติ ด้วยการที่โปรแกรมเว็บบราวเซอร์ของผู้เยี่ยมชมเว็บไซต์ที่รองรับ มาตรฐาน P3P จะเปรียบเทียบนโยบายความเป็นส่วนตัวของเว็บไซต์กับนโยบายความเป็นส่วนตัวที่ผู้เยี่ยมชมได้ กําหนดไว้ล่วงหน้า หากมีนโยบายตรงกัน ผู้ใช้ก็จะสามารถเยี่ยมชมเว็บไซต์นั้นได้ แต่หากไม่ตรงกัน จะมีข้อความ แจ้งเตือนแก่ผู้ใช้ ทําให้ผู้ใช้สามารถตัดสินใจได้ว่าจะเข้าเยี่ยมชมเว็บไซต์นั้นต่อไปหรือออกจากเว็บไซต์ แสดงการ ทํางานของมาตรฐาน P3P ดังรูปที่ 4.10 20 October 2012

48 6.2.3 P3P รูปที่ 4 10 แสดงมาตรฐาน P3P เพื่อป้องกันสิทธิส่วนบุคคลของผู้เยี่ยมชมเว็บไซต์ 20 October 2012

49 6.2.3 P3P จากรูปที่ 4.10 การทํางานของมาตรฐาน P3P เริ่มต้นเมื่อ User ร้องขอเว็บเพจไปยังเว็บไซต์ที่ต้องการ Server ของเว็บไซต์ดังกล่าวจะส่งเว็บเพจกลับไปยัง User ตามที่ร้องขอพร้อมกับแนบไฟล์ประกาศนโยบายความเป็นส่วนตัว ของเว็บไซต์ และพอยน์เตอร์ที่ชี้ไปยังไฟล์นโยบายความเป็นส่วนตัวฉบับเต็ม หากเว็บไซต์ที่ User ร้องขอไม่ได้จัดทํา นโยบายความเป็นส่วนตัวตามมาตรฐาน P3P ไว้ Server ก็จะไม่ส่งข้อมูลดังกล่าวไปให้ User จะส่งเพียงหน้าเว็บเพจที่ ต้องการเท่านั้น 20 October 2012

50 6.2.3 P3P จากนั้น โปรแกรมเว็บบราวเซอร์ที่ User ใช้ จะเปรียบเทียบนโยบายความเป็นส่วนตัวของเว็บไซต์ กับ นโยบายความเป็นส่วนตัวที่ User ได้กําหนดไว้ล่วงหน้า หากมีระดับนโยบายไม่ตรงกัน เว็บบราวเซอร์จะแจ้งเตือน User ให้พิจารณาว่าจะเข้าชมเว็บไซต์ต่อหรือไม่ หรือระงับการใช้งาน Cookies จากเว็บไซต์นั้นไปทันที ซึ่งอาจทําให้ User ไม่สามารถเข้าชมเว็บไซต์นั้นได้ หรือเข้าชมได้เฉพาะเนื้อหาบางส่วน แต่ User จะมีความปลอดภัยจากการนํา ข้อมูลส่วนบุคคลไปใช้ที่อื่นได้ 20 October 2012

51 6.2.3 P3P ปัจจุบันโปรแกรม Web Browser ที่ใช้กันทั่วไป เช่น Internet Explorer หรือ Mozilla Firefox สามารถรองรับ มาตรฐาน P3P โดยการอนุญาตให้ผู้ใช้กําหนดระดับการยอมรับไฟล์ Cookies ได้ เช่น Medium Level จะระงับใช้ Cookies ของเว็บไซต์ที่มีนโยบายความเป็นส่วนตัวที่ไม่รัดกุม นั่นคือ เว็บไซต์ที่ไม่มีการแยกข้อมูลที่เป็นส่วนตัวออก ซึ่งอาจทําให้ข้อมูลส่วนตัวถูกนําไปใช้โดยที่ผู้เยี่ยมชมเว็บไซต์ไม่ยินยอม โดยจะเรียก Cookies ดังกล่าวว่า “Thirdparty Cookies” แต่หากเว็บไซต์ที่ผู้ใช้ยอมรับไฟล์ Cookies จะเรียกว่า “First-party Cookies” เป็นต้น 20 October 2012

52 7 กรณีศึกษา: Facebook ปรับปรุงเครื่องมือควบคุม ความเป็นส่วนตัวใหม่
Download ไฟล์ Facebook ปรับปรุงเครื่องมือควบคุมความเป็นส่วนตัวใหม่.docx 20 October 2012

53 บทสรุปกรณีศึกษา จะเห็นว่า Facebook ใช้นโยบายความเป็นส่วนตัวแบบ Opt-out เป็นค่าเริ่มต้น ซึ่งทําให้ Facebook สามารถ รวบรวมข้อมูลส่วนตัวของผู้ใช้บริการได้จนกว่าผู้ใช้จะแจ้งว่าไม่อนุญาต โดยที่ Opt-out ในด้านหนึ่งทําให้ผู้ใช้ที่ชื่นชอบ การแบ่งปันข้อมูลส่วนตัวใช้งานเว็บไซต์ได้ง่าย โดยที่ไม่ต้องกําหนดค่าใดๆ เพิ่มเติม แต่ก็มีผู้ใช้บริการอีกกลุ่มหนึ่ง เริ่มเห็นถึงความเดือดร้อนที่จะตามมาจากรูปแบบการให้บริการลักษณะนี้ และได้มีการแสดงออกถึงความไม่พอใจ จนทาง วุฒิสภาได้เข้ามามีบทบาทในการคุ้มครองความเป็นส่วนตัวของผู้ใช้บริการเหล่านั้น ส่งผลให้ Facebook ต้องทําการ ปรับปรุงเครื่องมือในที่สุด 20 October 2012

54 บทสรุปกรณีศึกษา แม้ว่าการปรับปรุงในครั้งนี้จะยังไม่เห็นผลลัพธ์ที่ชัดเจนในการปกป้องความเป็นส่วนตัว ของผู้ใช้บริการก็ตาม แต่ก็แสดงให้เห็นถึงความรับผิดชอบของ CEO แห่ง Facebook และเห็นถึงการเอาใจใส่ต่อ ประชาชนผู้ที่ได้รับความเดือดร้อนจากกลุ่มวุฒิสมาชิกของสภานิติบัญญัติได้เป็นอย่างดี 20 October 2012

55 บทสรุปกรณีศึกษา รูปที่ 4.11 แสดงการแจ้งการปรับปรุง Privacy Control ของ Facebook (มิถุนายน 2553) 20 October 2012

56 สรุปตอนที่ 2 ในประเทศไทยมีกฎหมาย “คุ้มครองความเป็นส่วนตัว” กําหนดไว้ “รัฐธรรมนูญแห่งราชอาณาจักรไทย” หมวดที่ 3 “สิทธิและเสรีภาพของชนชาวไทย” บทที่ 3 “สิทธิและเสรีภาพส่วนบุคคล” ส่วนการ “คุ้มครองข้อมูลส่วนบุคคล ได้กําหนดไว้เป็นการเฉพาะใน “ร่างพระราชบัญญัติกฎหมายคุ้มครองข้อมูลส่วนบุคคล” ซึ่งได้กําหนดความหมายของคําว่า “ข้อมูลส่วนบุคคล” และกําหนดนิยามของผู้ที่เกี่ยวข้องฝ่ายต่างๆ รวมถึงข้อกําหนด และบทลงโทษสําหรับผู้ละเมิด ข้อกําหนดต่างๆ ด้วย นอกจากนี้ 20 October 2012

57 สรุปตอนที่ 2 เนื้อหายังกล่าวถึงกฎหมายคุ้มครองสิทธิส่วนบุคคลในต่างประเทศ โดยยกตัวอย่าง ประเทศสหรัฐอเมริกาและสหภาพยุโรป ซึ่งมีความแตกต่างกัน แต่สามารถใช้ข้อมูลส่วนบุคคลของลูกค้าร่วมกันได้ ภายใต้กรอบปฏิบัติ “Safe Habor” การรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลนั้น สามารถนําเทคโนโลยีความมั่นคงปลอดภัยต่างๆ เข้ามา ใช้ได้ เช่น การเข้ารหัสข้อมูล (Encryption) หรือ การใช้เทคโนโลยี P3P 20 October 2012

58 1 June 2010 E-mail:wichai@buu.ac.th 13 July 2002

59 คำถามท้ายบทที่ 8 ตอนที่ 1
1. ในประเทศไทย ได้มีการบัญญัติกฎหมายคุ้มครองข้อมูลส่วนบุคคลหรือไม่ เพราะเหตุใด สามารถศึกษาข้อมูลเพิ่มเติมได้จากแหล่งใด 2. หลักปฏิบัติเกี่ยวกับสารสนเทศโดยชอบธรรม (Fair Information Practices: FIP) ใช้ควบคุมสิ่งใด 3. หลักปฏิบัติตามข้อกําหนดของ “คณะกรรมการการค้ากลาง (Federal Trade Commission: FTC) มีกี่ข้อ อะไรบ้าง 4. Informed Consent คืออะไร 5. Opt-in และ Opt-out Model ต่างกันอย่างไร 6. การเข้ารหัส (Encryption) และ P3P ช่วยรักษาความมั่นคงปลอดภัย ให้กับข้อมูลส่วนบุคคลได้อย่างไร

60 บทที่ 2 ไอทีคืออะไร

61 ส วั ส ดี ส วั ส ดี บทที่ 2 ไอทีคืออะไร