จ่อลงดาบภาครัฐ ปล่อยข้อมูลรั่ว 55 ล้านบัญชีรายชื่อโดนแฮก

04 เม.ย. 2566 | 09:30 น.
อัปเดตล่าสุด :04 เม.ย. 2566 | 09:52 น.

แฮกเกอร์ 9 Near พ่นพิษ คกก.คุ้มครองข้อมูลส่วนบุคคล ดีอีเอส สั่งสอบกราวรูด "หน่วยงานรัฐ-ผู้เกี่ยวข้อง-ผู้ให้บริการโทรศัพท์มือถือ" ปล่อยข้อมูลรั่ว หากผิดจริงมีโทษปรับไม่เกิน 3 ล้านบาท

จากกรณีที่ผู้ใช้งานบัญชี "9 near" ได้โพสต์ขายข้อมูลที่อ้างว่า เป็นข้อมูลส่วนตัวของคนไทยกว่า 55 ล้านรายการ บนเว็บไซต์ Bleach Forums พร้อมอ้างว่า ได้มาจากหน่วยงานรัฐแห่งหนึ่งในไทย (Somewhere in government) ที่สำคัญยังโพสต์ ตัวอย่างไฟล์ ซึ่งมี ชื่อ นามสกุล ที่อยู่ วันเกิด เบอร์โทรศัพท์ และเลขประจําตัวประชาชน รวมทั้งมีการโพสต์ลักษณะข่มขู่หน่วยงานและประชาชนในวงกว้าง

กระทั่ง นายชัยวุฒิ ธนาคมานุสรณ์ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ตั้งโต๊ะแถลงข่าวด่วนว่า ได้ประสานผู้ให้บริการ domain name สําหรับเว็บไซต์ 9near.org (Namesilo, LLC) ซึ่งเป็นผู้ให้บริการในต่างประเทศเพื่อขอปิดกั้นเว็บไซต์ 9near.org เนื่องจากมีการละเมิดข้อมูลส่วนบุคคลของผู้อื่นและระบุข้อความในลักษณะข่มขู่ให้ผู้คิดว่าข้อมูลของตนรั่วไหล ติดต่อกลับไปซึ่งเข้าข่ายกระทบต่อความมั่นคงของประเทศทําให้ประชาชนตื่นตระหนก 

ความคืบหน้าล่าสุด ที่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล กระทรวงดีอีเอส พล.อ.ดร.ภุชพงศ์ พงษ์ศิริ ประธานคณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 (ที่พิจารณาเกี่ยวกับเรื่องร้องเรียนทางเทคโนโลยีและอื่นๆ) ได้เรียกประชุมคณะกรรมการผู้เชี่ยวชาญข้อมูลส่วนบุคคลด่วนในวันนี้เพื่อกำหนดแนวทางแก้ไขปัญหาข้อมูลส่วนบุคคลรั่วไหลในหน่วยงานภาครัฐตามที่เป็นข่าว โดยคณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 มีมติร่วมกัน ดังนี้ 

1.ให้ดำเนินการสอบสวนหน่วยงานรัฐที่ทำให้ข้อมูลรั่วไหลเพื่อตรวจหาสาเหตุและดำเนินการแก้ไขโดยทันที

2.ให้มีคำสั่งเรียกหน่วยงานที่ดูแลเกี่ยวกับการสื่อสาร และหน่วยงานรัฐที่เกี่ยวข้อง รวมถึงผู้ให้บริการโทรศัพท์มือถือ มาชี้แจงประเด็นเรื่องข้อมูลรั่วไหลจากหน่วยงานภาครัฐ รวมถึงจะขอความร่วมมือให้ผู้ให้บริการโทรศัพท์มือถือจัดทำระบบกรองข้อมูล (Filtering system) เพื่อป้องกับปัญหาการเผยแพร่ข้อมูลส่วนบุคคลโดยมิชอบผ่านระบบ SMS 

3.ให้ สคส. เร่งทำการประชาสัมพันธ์ให้ประชาชน และขอความร่วมมือสื่อมวลชนที่นำเสนอข่าวการรั่วไหลของข้อมูลส่วนบุคคล โดยให้ดำเนินการปิดบังหมายเลขโทรศัพท์ และข้อมูลส่วนบุคคลที่ถูกนำมาเผยแพร่ เพื่อหลีกเลี่ยงการกระทำที่ผิดตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล 

4.เตรียมออกคำสั่งตามมาตรา 72 (2) ของกฎหมายคุ้มครองข้อมูลส่วนบุคคล เพื่อตรวจสอบหน่วยงานภาครัฐว่ามีมาตรการรักษาความปลอดภัยในการจัดเก็บข้อมูลของประชาชนที่ได้มาตรฐานหรือไม่ โดยเฉพาะจะเริ่มตรวจสอบจากหน่วยงานภาครัฐที่มีฐานข้อมูลประชาชนมากกว่า 1 ล้านข้อมูลขึ้นไป และให้หน่วยงานรัฐที่มีข้อมูลรั่วไหลมาชี้แจงว่า เหตุใดจึงไม่แจ้งเหตุข้อมูลส่วนบุคคลรั่วไหลภายใน 72 ชั่วโมงตามที่กฎหมายกำหนด

นอกจากนี้หากคณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 ยังพิจารณาและมีความเห็นเพิ่มเติมว่า หากหน่วยงานที่ข้อมูลรั่วไหลดังกล่าวข้างต้นมีความผิดจริง

คณะกรรมการฯ อาจพิจารณาโทษปรับทางการปกครอง ตามมาตรา 83 ของกฎหมายคุ้มครองข้อมูลส่วนบุคคลซึ่งมีโทษปรับไม่เกิน 3 ล้านบาท