Search
A
A
A
Back
Home
Data Privacy

Data Privacy

ข่าวและบทความที่เกี่ยวข้อง

All Data Privacy

PostType Filter En

บทความ
Big Data 101
Machine Learning Security: ความปลอดภัยของการเรียนรู้ของเครื่อง
Machine Learning Security เป็นหลักการป้องกันการโจมตีแบบจำลองการเรียนรู้ของเครื่องระหว่างที่ถูกนำไปใช้งานจริง
19 January 2023
Read More

บทความ
Data for Business
ประกัน Data ของบริษัทประกัน - ไม่ใช่แค่ชีวิตกับสุขภาพ... เราต้องดูแลไปจนถึง Privacy
“Data is new Oil” น้ำมันคือสสารจากซากสิ่งมีชีวิตที่นอนหลับไหลใต้ผืนโลกแสนนาน ของเหลวสีดำ ๆ ที่มนุษย์เมื่อหลายร้อยปีที่แล้วจินตนาการไม่ออกเลยว่ามันมีค่ายังไง แต่ทุกวันนี้ ทรัพยากรตัวนี้สร้างความตื่นตาตื่นใจ มันกลายเป็นแหล่งพลังงานให้พวกเราดำเนินชีวิตที่ดีและสบายขึ้นทุก ๆ วัน และก็เพราะน้ำมันสีดำ ๆ นี่แหล่ะ ที่ส่งมนุษย์ไปถึงดวงจันทร์ ( ประโยชน์ของข้อมูล ) ทุกคนในยุคนี้ก็ต่างเชื่อว่า ข้อมูลที่หลับไหลอยู่มากมาย ทั้งในโซเชียล ในฐานข้อมูลองค์กรต่างๆ น่าจะยิ่งมีค่าเป็นทวีคูณยิ่งกว่าน้ำมัน และถ้าเป็นข้อมูลส่วนบุคคลยิ่งจะกลายเป็นทรัพยากรที่สำคัญมาก ๆ ผู้เขียนขอไม่ลงรายละเอียดว่า จะต้องเอาข้อมูลไปทำยังไงถึงสร้างความตื่นตาตื่นใจได้ แต่วันนี้เราจะพุดถึง บริษัทต่าง ๆ โดยเฉพาะบริษัทประกันชีวิต ที่นอกจากต้องดูแลชีวิต สุขภาพของลูกค้า เราจะรับประกันข้อมูลของพวกเราให้ปลอดภัยได้ยังไง    ผมทำงานในฝ่าย IT มาเกินสิบปี เคยสร้างระบบ Application ให้ทั้งธนาคาร บริษัทรถยนต์ บริษัทหลักทรัพย์ของทั้งที่ไทย ญี่ปุ่น และตอนนี้ก็ทั้งสร้างและดูแล Application ให้บริษัทประกันที่ใหญ่ที่สุดในประเทศไทย ความพิเศษของข้อมูลในบริษัทประกันชีวิตคือ นอกจากเราต้องรับผิดชอบข้อมูลของลูกค้า ในหลายกรณีมันจะพ่วงไปถึงข้อมูลลูก หลาน พ่อแม่ คู่สมรสของพวกเขาด้วย (เพราะธุรกิจประกันชีวิตหลายกรณี จะครอบคลุมการคุ้มครองเกินไปกว่าแค่ผู้ถือกรมธรรม์) อย่างช่วงกลางปีที่ผ่านมา ที่ในที่สุดรัฐบาลก็ประกาศใช้กฎหมาย PDPA ออกมา (รอนานยิ่งกว่าถ่ายบอลโลกก็กฎหมายอันนี้ล่ะ) ยิ่งทำให้ทั้งฝ่าย Marketing ฝ่ายกฎหมาย Compliance ฝ่าย Operation หรือ IT ต้องคุยกันเยอะมาก ไม่ว่าจะเป็นตั้งแต่เรื่องการขอคำยินยอมจากลูกค้าผู้ถือกรมธรรม์ในการให้ข้อมูลส่วนตัว ที่ต้องคิดไปถึงว่า แล้วหากพวกเขามีลูกเล็ก ๆ มีคุณพ่อคุณแม่อายุมาก ๆ เราจะจัดการยังไง หรือแม้แต่พนักงาน IT ของบริษัทประกันเอง ก็ใช่ว่าจะหมายความว่าทุกคนจะเข้าถึงหรือเห็นข้อมูลของลูกค้าได้ โชคดีที่เรานำเทคโนโลยีหรือ Program Tools อย่าง SecuPi ที่สามารถระบุได้ว่าต้องการทำ Masking ข้อมูลตัวไหน และเรายังกำหนดได้ถึงขนาดว่า Users แต่ละรายว่าให้ใครดูข้อมูลได้บ้าง ดูได้ถึงแค่ไหน ยกตัวอย่างให้ชัดเจนกว่านี้ อย่างเช่นระบบการจัดการกรมธรรม์ ส่วนใหญ่บริษัทประกันจะมี Core System ที่สามารถทำได้ตั้งแต่รับ Quotation เข้ามา การทำ Billing การพิจารณารับประกัน (Underwriting) หรือทำไปถึงกระบวนการออกกรมธรรม์ แก้ไข หรือยกเลิกกรมธรรม์ ฝ่ายที่เกี่ยวข้องก็มีมากมายไม่ว่าจะเป็น Cashier, Underwrite หรือฝ่าย Operation ขนาดบางที พวกนักคณิตศาสตร์ประกันภัย (Actuarial) ยังมาเอี่ยวด้วยเลย แต่หากเราเปิดโอกาสให้ Users จากหลากหลายฝ่าย เข้าไปดูไปเห็น ข้อมูลส่วนตัวของลูกค้าได้ แม้จะบางส่วน บางทีมันก็ใช่ว่าจะปลอดภัย ผู้เขียนเองก็ชื่นชอบกับระบบ และความตั้งใจที่เราแคร์เรื่องดาต้าถึงในระดับคนทำงาน ยังไม่พอ เมื่อสิบปีที่แล้ว คนทำงานสายการเงินหรือองค์กรใหญ่ ๆ ในประเทศไทย ต่างตั้งคำถามและถกเถียงกันมากว่า การเอาข้อมูลส่วนตัวลูกค้าของเราไปไว้บน Cloud มันจะโอเคไหม แต่ถึงวันนี้แทบจะชัดเจนไปแล้วว่า เกือบจะทุกองค์กรต่างย้ายข้อมูล ตัว Application System ไปอยู่บนเจ้าก้อนเมฆ Cloud กันหมดแล้ว ผู้เชี่ยวชาญ ด้าน DX =Digital Transformation ยกตัวอย่างสองสามเรื่อง ที่แม้แต่องค์กรเล็ก ๆ หรือ SME ก็ควรต้องทำ เช่น Digital Marketing – Social Media หรือการวิ่งลุยบริการลูกค้าใน Mobile Application และอีกเรื่องที่ไม่ควรพลาดคือ การเอาระบบและข้อมูลของเราไปสู่ Cloud เนี่ยแหล่ะ! (เหล่าผู้เชี่ยวชาญ ที่ปรึกษา IT มักจะบอกว่าทำเรื่องข้างต้นให้เสร็จก่อนถัดจากนั้นค่อยไปสู่ Data Analytics, AI หรือการใช้ Blockchain) แน่นอน บริษัทของผู้เขียนเองก็ทำเรื่อง Cloud Computing มาครึ่งศตวรรษแล้ว แต่การขึ้น Cloud ได้อะไรมากกว่าที่เราคิด! หากเราใช้บริการกับ Provider เจ้าใหญ่ ๆ เช่น AWS Azure Google พวกเขามี service ที่มากกว่าแค่การจัดเก็บข้อมูลมากมาย การเปลี่ยนขนาด Disk CPU ที่แสนจะง่ายราวแทบจะแค่ดีดนิ้ว การมี Service ETL (เช่น Azure Data Factory) ที่ทรงพลังขึ้น หรือการควบคุมสิทธิการเข้าถึงข้อมูล ของแต่ละ database (มันอยู่คนละระดับกับ SecuPi ที่พูดก่อนหน้า) ผมเชื่อว่า ในอนาคตอันใกล้ ข้อมูล จะมีค่าขึ้นเรื่อย ๆ ยิ่งถ้าเป็นข้อมูลส่วนบุคคล มันจะเป็นเสมือนกับขุมทรัพย์บ่อน้ำมัน ไม่แปลกใจเลยที่ทุกธุรกิจจะรักษาดาต้าเหล่านี้และจะใช้มันเพื่อพัฒนาองค์กร ตรงข้ามกับความรู้ ประสบการณ์ที่ผมเชื่อว่ามันควรจะเข้าถึงง่ายและราคาถูกลงเรื่อย ๆ นั่นเป็นเหตุผลที่ผมพยายามแชร์เรื่องราว กับความรู้ให้กับทุกท่าน มากเท่าที่สุดเท่าที่จะทำได้ แน่นอน บริษัทของผู้เขียนเองก็ทำเรื่อง Cloud Computing มาครึ่งศตวรรษแล้ว แต่การขึ้น Cloud ได้อะไรมากกว่าที่เราคิด! หากเราใช้บริการกับ Provider เจ้าใหญ่ ๆ เช่น AWS Azure Google พวกเขามี Service ที่มากกว่าแค่การจัดเก็บข้อมูลมากมาย การเปลี่ยนขนาด Disk CPU ที่แสนจะง่ายราวแทบจะแค่ดีดนิ้ว การมี Service ETL (เช่น Azure Data Factory) ที่ทรงพลังขึ้น หรือการควบคุมสิทธิการเข้าถึงข้อมูล ของแต่ละ database (มันอยู่คนละระดับกับ SecuPi ที่พูดก่อนหน้า) และหวังว่าถ้ามีโอกาส ไว้ผู้เขียนจะแชร์เรื่องอื่น ๆ อาจจะเป็น Data Analytics AI หรือ System Development ให้ฟังนะครับ ( ประโยชน์ของข้อมูล ) เนื้อหาโดย วิน เวธิตตรวจทานและปรับปรุงโดย นววิทย์ พงศ์อนันต์
16 November 2022
Read More

บทความ
Movements
เมื่อ Google Analytics ผิดกฎหมาย GDPR กับปัญหาที่ซ่อนอยู่ระหว่างสหรัฐอเมริกาและสหภาพยุโรป แล้ว PDPA จะได้รับผลกระทบหรือไม่?
เมื่อปลายปีที่แล้ว สำนักงานคุ้มครองข้อมูลแห่งหนึ่งในยุโรปได้แถลงการณ์ถึงการใช้บริการติดตามผู้ใช้งานออนไลน์อย่าง Google Analytics ว่าขัดกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลยุโรป (General Data Protection Regulation: GDPR) สิ่งนี้ไม่เพียงแต่ส่งผลกระทบต่อธุรกิจที่กำลังใช้งาน Google Analytics เท่านั้น แต่ยังส่งผลถึงการตัดสินใจเลือกใช้งานบริการออนไลน์บนแพลตฟอร์มที่อยู่ในประเทศสหรัฐอเมริกา และยังไม่รวมถึงการส่งข้อมูลระหว่างยุโรปและสหรัฐอีกด้วย มีอะไรที่ซ่อนอยู่ในปัญหาดังกล่าวและเราจะถอดบทเรียนอะไรได้จากแถลงการณ์ดังกล่าวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลของเราได้บ้าง? รายละเอียดของแถลงการณ์ เมื่อวันที่ 22 ธันวาคม 2021 สำนักงานคุ้มครองข้อมูลของประเทศออสเตรีย (Datenschutzbehörde, Data Protection Authority: DPA) ได้ออกแถลงการณ์เกี่ยวกับการร้องเรียนจากองค์กรไม่แสวงหาผลกำไรชื่อ NOYB ว่าการใช้บริการการติดตามผู้ใช้งานออนไลน์ของ Google Analytics ว่าได้เปิดเผยข้อมูล IP Address ที่เก็บจากทวีปยุโรปแล้วไปปรากฎบนเซิร์ฟเวอร์ของประเทศสหรัฐอเมริกา ซึ่งเป็นการขัดต่อกฎหมายในเรื่องการปกปิดข้อมูลส่วนบุคคลระหว่างการใช้งาน “As the complainant has also rightly pointed out, US intelligence services take certain online identifiers (such as the IP address or unique identification numbers) as starting point for monitoring individuals.”“…อย่างที่ผู้ร้องเรียนได้ชี้ถึงประเด็นปัญหา หน่วยสืบราชการลับของสหรัฐสามารถใช้ข้อมูลระบุตัวตนบางอย่าง (อย่างเช่น IP Address หรือ ข้อมูลตัวเลขประจำตัว) เพื่อเป็นจุดเริ่มต้นในการติดตามบุคคลได้…” สำนักงานคุ้มครองข้อมูลของประเทศออสเตรีย (Datenschutzbehörde, Data Protection Authority: DPA) การใช้งานข้อมูล IP Address ผิด GDPR อย่างไร? GDPR ได้ระบุอย่างชัดเจนว่าข้อมูล IP Address เป็นข้อมูลส่วนบุคคลและไม่สามารถที่จะใช้งานข้อมูลนี้ได้แม้ว่าเราจะทำการแปลงข้อมูล IP Address นี้ให้เป็นข้อมูลนิรนามแล้วก็ตาม Google ไม่ได้นิ่งนอนใจ จึงได้ออกแถลงการณ์ตอบโต้ในบล๊อคของ Google จากกรณีดังกล่าว โดยกล่าวในภาพรวมของการรักษาความปลอดภัยในแง่มุมต่าง ๆ ไม่ว่าจะเป็นการสนับสนุนให้ผู้ประกอบการได้ปฏิบัติตามกฎหมาย GDPR ได้ง่ายขึ้น การส่งข้อมูลข้ามทวีปจะเกิดขึ้นเมื่อข้อมูลดังกล่าวเป็นไปตามกฎเกณฑ์ข้อบังคับความเป็นส่วนตัวเท่านั้น และสามารถเปิดใช้งานการปกปิดข้อมูล IP Address ได้ อย่างไรก็ตาม ทางฝั่งผู้คุมกฎดูเหมือนว่าจะไม่พอใจในมาตรการการใช้งานการปกปิดข้อมูล IP Address ด้วยการอำพรางข้อมูล (Pseudonymization) โดยยกคำแถลงจากสำนักงานคุ้มครองข้อมูลของประเทศเยอรมนีที่กล่าวถึงการใช้ข้อมูล IP Address ที่มีการอำพรางไว้ว่าถึงแม้จะมีการอำพรางเพื่อไม่ให้ค้นพบตัวตนที่แท้จริง แต่ก็ยังสามารถ ”จำแนกจำเพาะบุคคล” (distinguishable) จากข้อมูลนั้น ๆ ได้ เพราะฉะนั้นการใช้งานข้อมูล IP Address ในรูปแบบใด ๆ จึงผิดในทุกกรณี นอกจากนี้ ผู้ควบคุมกฎหมายคุ้มครองข้อมูลส่วนบุคคลในบางประเทศในทวีปยุโรปก็เห็นด้วยกับการที่ Google ผิดกฎหมาย GDPR ได้แก่ ผลกระทบที่จะเกิดขึ้น เรื่องการตัดสินกรณีการกระทำผิดกฎหมายของ Google Analytics นี้ไม่เพียงแต่จะกระทบบริษัท Google เพียงเท่านั้น แต่จะยังกระทบต่อบริษัทที่ดำเนินงานในประเทศสหรัฐแต่ขายบริการให้ในกลุ่มประเทศสมาชิกสหภาพยุโรป เพราะการส่งข้อมูลส่วนบุคคลที่เก็บได้ในกลุ่มประเทศยุโรปไปให้บริษัทในประเทศสหรัฐในการวิเคราะห์จะไม่สามารถทำได้อีกต่อไป ทั้งนี้รวมถึงบริษัทในยุโรปที่ใช้บริการระบบคลาวด์คอมพิวเตอร์ที่มาจากสหรัฐก็จำเป็นต้องหาผู้ให้บริการเจ้าอื่น และกฎหมายยังเขียนไว้อีกด้วยว่าผู้ให้บริการที่มาจากทวีปอื่นจะสามารถให้บริการธุรกิจที่มาจากทวีปยุโรปได้ก็ต่อเมื่อกฎหมายคุ้มครองสิทธิความเป็นส่วนตัวในประเทศที่เก็บข้อมูลจะต้องมีความคุ้มครองที่มากกว่าหรือเท่ากันกับกฎหมายในทวีปยุโรป ซึ่งจำกัดแค่บริษัทที่ตั้งเซิร์ฟเวอร์ในประเทศยุโรปเท่านั้นที่สามารถทำธุรกิจออนไลน์ในทวีปนี้ได้ การแถลงการณ์ที่ออกมาดังกล่าวส่งผลให้เกิดต้นทุนที่เพิ่มขึ้นอย่างมากแก่หลายบริษัทขนาดเล็กในทวีปยุโรปในระยะสั้นที่จะต้องจัดหาบริการคลาวด์คอมพิวเตอร์จากผู้ให้บริการในทวีปตัวเอง อย่างไรก็ตามในระยะยาวแล้ว เราจำเป็นที่จะต้องติดตามการบังคับใช้กฎหมายนี้ต่อไปว่าจะเป็นเช่นไร สำหรับผู้ประกอบการในยุโรปที่ใช้งาน Google Analytics ในการประกอบธุรกิจ โดยเฉพาะอย่างยิ่งนักการตลาดที่ใช้ข้อมูลในพฤติกรรมผู้บริโภคในการทำการตลาดก็จะไม่สามารถทำได้อีกต่อไปจากเหตุการณ์นี้ ถึงแม้ว่าในตอนนี้จะยังไม่มีการประกาศแบนอย่างเป็นทางการ แต่เหล่าคนทำงานที่อยากจะปฏิบัติตามกฎระเบียบย่อมเลือกที่จะหันหลังต่อการบริการนี้ กฎหมายที่เหลื่อมกันของสองทวีป จากการรายงานข่าวนี้บนเว็บไซต์ TechCrunch Natasha Lomas นักข่าวอาวุโสได้เขียนสรุปความยุ่งเหยิงไว้ในประโยคเดียวว่า “ปัญหาที่แท้จริงของเรื่องนี้คือการปะทะกันระหว่างสิทธิความเป็นส่วนตัวของทวีปยุโรป (European privacy rights) และกฎหมายการสอดแนมของสหรัฐ (US surveillance law)” นี่อาจเป็นเหตุผลที่แท้จริงที่ทำให้ผู้ดูแลกฎของทางยุโรปถึงกลัวทางการสหรัฐ “โดยที่กฎหมายอย่างหลัง (สหรัฐฯ) ไม่แยแสต่อสิทธิส่วนบุคคลของชาติอื่นในการที่ทางการ (สหรัฐ) จะเก็บกวาดข้อมูลมาอย่างไรก็ตาม หรือแม้แต่การชดใช้ต่อความเสียหายจากการใช้ข้อมูลส่วนบุคคลนี้” เธอกล่าวเพิ่มเติม เมื่อพูดถึงกฎหมายที่เฉพาะเจาะจงจริง ๆ ผู้ให้บริการคลาวด์คอมพิวเตอร์ที่อยู่ในประเทศสหรัฐอเมริกาจะต้องอยู่ภายใต้ Section 702 ของ Foreign Intelligence Surveillance Act ที่ให้อำนาจในการเก็บข้อมูลที่อยู่บนคลาวด์เซิร์ฟเวอร์ที่ตั้งอยู่ในสหรัฐและเป็นข้อมูลของพลเมืองที่ไม่ได้มีสัญชาติสหรัฐและไม่ได้พำนักอยู่ที่ในสหรัฐ หรือพูดง่าย ๆ ก็คือว่ารัฐบาลสหรัฐมีสิทธิที่จะขอข้อมูลผู้ใช้บริการชาติอื่น ๆ จากผู้ให้บริการสัญชาติสหรัฐได้ถูกต้องตามกฎหมาย นั่นคงเป็นเหตุผลที่เพียงพอที่ทำให้ผู้คุมกฎของยุโรปกังวลว่าหากข้อมูลตกอยู่ในผืนแผ่นดินสหรัฐแล้วนั้น ความเป็นส่วนตัวของประชากรในสหภาพยุโรปจะหมดลง ถึงตรงนี้แล้ว ณ ขณะที่ทั้งสองฝ่ายมีการดำเนินธุรกิจร่วมกัน เป็นไปได้หรือไม่ที่ทั้งคู่จะมีข้อตกลงในการส่งข้อมูลถึงกัน เป็นกฎระเบียบที่มีการตกลงในบริษัทในแต่ละประเทศสามารถปฏิบัติได้ และถูกปกป้องจากกฎหมายพื้นเมืองในของพื้นที่นั้น ๆ แต่ทุกท่านทราบหรือไม่ว่าทั้งคู่นี้เคยพยายามที่จะให้มี ”ช่องทางการส่งข้อมูลส่วนบุคคล” ที่ไม่ผิดกฎหมาย อย่างไรก็ตามด้วยความพยายามในหลาย ๆ ครั้งที่ผ่านมากลับจบด้วยความล้มเหลว ความพยายามในการส่งข้อมูลข้ามทวีป ความพยายามในการส่งข้อมูลข้ามทวีปเริ่มต้นขึ้นเมื่อปี ค.ศ. 2000 จากการที่คณะกรรมาธิการยุโรป (European Commission) ได้เห็นชอบหลักการที่ร่างขึ้นโดยกระทรวงพาณิชย์ของสหรัฐในการส่งข้อมูลส่วนตัวข้ามทวีป หรือที่เรียกกันว่า Safe Harbour Privacy Principles โดยหลักการดังกล่าวเขียนขึ้นไว้เพื่อให้บริษัทในสหรัฐที่เก็บข้อมูลส่วนตัวของผู้ใช้งานชาวยุโรปได้ทำตามเพื่อให้สอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลของทวีปยุโรป หลักการนี้ได้ช่วยให้ผู้ประกอบการธุรกิจออนไลน์ในสหรัฐสามารถทำธุรกิจได้อย่างถูกกฎหมายของทั้งสองประเทศคู่ค้า จนเมื่อปี 2015 ศาลยุติธรรมแห่งสหภาพยุโรป (European Court of Justice) ได้ตัดสินให้ ”การเห็นชอบต่อหลัก Safe Harbour Privacy Principles ของคณะกรรมาธิการยุโรปเป็นโมฆะ” (“The Court of Justice declares that the Commission’s U.S. Safe Harbour Decision is invalid.”) นั้นหมายความว่าการส่งข้อมูลระหว่างทวีปนั้นถือว่าไม่ชอบด้วยหลักการคุ้มครองความเป็นส่วนตัวของสหภาพยุโรป และกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรปที่เพิ่งเกิดขึ้นภายหลังในปี 2018 แต่การตัดสินในครั้งในไม่ได้ก่อให้เกิดการยกเลิกการดำเนินธุรกิจในสหภาพยุโรปของสหรัฐ เพียงแต่ว่าเราต้องมีหลักการที่ดีกว่านี้ ด้วยความพยายามนี้ ก่อให้เกิดหลักการใหม่ที่เรียกว่า Privacy Shield Privacy Shield คือ ชื่อของโครงการใหม่ที่จะมากำหนดหลักการของส่งข้อมูลข้ามมหาสมุทรแอตแลนติก หรือจะเรียกว่า New Safe Harbour ก็คงไม่ผิดนัก หลักการใหม่นี้ได้ทำให้ความคุ้มครองความเป็นส่วนตัวเพิ่มขึ้นมาโดยการเพิ่มอำนาจให้กับทางฝั่งผู้ตรวจสอบและผู้ใช้งานของทวีปยุโรป แต่นั่นก็ไม่เพียงพอที่จะทำให้ถูกใช้งานหลังจากที่ศาลยุติธรรมแห่งสหภาพยุโรปก็ปัดตกไปเช่นเดิมในปี 2020 และล่าสุดในปีนี้ (2022) ประธานาธิปดีสหรัฐและประธานคณะกรรมาธิการยุโรปได้เตรียมตัวร่างหลักการอีกรอบนึงที่มีชื่อเรียกว่า Trans-Atlantic Data Privacy Framework ซึ่งจะเข้ามาแทนที่ Privacy Shield และตัวอื่น ๆ ที่เพิ่งปัดตกไป ในแง่หนึ่ง ความล่าช้าในการร่างมาตรฐานของการส่งข้อมูลส่วนบุคคลระหว่างกันนี้ได้ทำให้เกิดความไม่แน่นอนในการทำธุรกิจ ซึ่งส่งผลให้แรงจูงใจในการทำธุรกิจระหว่างมหาสมุทรแอตแลนติกลดลง และเกิดค่าใช้จ่ายที่สูงมากขึ้นอย่างที่ได้กล่าวไป นอกจากนี้ ยังเป็นเป็นตัวยับยั้งไม่ให้ภาคธุรกิจได้สร้างสรรค์นวัตกรรมอย่างที่ควรจะเป็น ซึ่งอาจจะส่งผลให้ประเทศที่มีกฎระเบียบที่รัดกุมน้อยกว่าชนะในการแข่งขันการสร้างนวัตกรรมระหว่างประเทศ ประเทศไทยและ PDPA ประเทศไทยเพิ่งจะเริ่มใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลหรือที่เราเรียกกันว่า PDPA...
31 July 2022
Read More

บทความ
Big Data 101
Differential Privacy และ Laplace Mechanism ด้วยตัวอย่างง่าย ๆ
มาตรฐานการเขียนบทความ BigData.go.th
7 January 2021
Read More

บทความ
Movements
การพัฒนา AI ด้วยข้อมูลส่วนบุคคล โดยหลักการของ Federated Learning
ในการพัฒนาระบบ AI เหล่านี้จำเป็นต้องมีข้อมูลจำนวนมากเพื่อใช้ในการสอน AI ซึ่งข้อมูลเหล่านี้อาจจะรวมถึงข้อมูลที่อ่อนไหว เช่น ข้อมูลส่วนบุคคล การพัฒนา AI โดยปกป้องความเป็นส่วนตัวของเจ้าของข้อมูลจึงมีความสำคัญอย่างยิ่งสำหรับข้อมูลด้านสุขภาพโดยเฉพาะในปัจจุบันที่มีการบังคับใช้ พรบ. คุ้มครองข้อมูลส่วนบุคคล
25 June 2020
Read More

บทความ
Movements
ความปลอดภัยกับความเป็นส่วนตัว : การหาจุดร่วมเพื่อควบคุมไวรัสโคโรนา
การแพร่ระบาดของไวรัสโคโรนาในทั่วโลกสร้างความเสียหายต่อชีวิตผู้คนและเศรษฐกิจอย่างรุนแรงและมหาศาล ถึงแม้ตอนนี้รัฐบาลดูเหมือนจะควบคุมตัวเลขผู้ป่วยได้หลังจากที่ปิดประเทศไปแล้ว แต่ว่าความเป็นไปได้ที่เชื้อโรคนั้นจะกลับมายังมีอยู่หากกลับมาเปิดอีกครั้งหนึ่ง การแก้ไขปัญหาอย่างการหยุดกิจกรรมทั้งประเทศเป็นมาตรการที่ส่งผลดีต่อจำนวนผู้ป่วย แต่ก็สร้างความเสียหายทางเศรษฐกิจที่ไม่ว่ารัฐบาลไหนก็ไม่อยากให้เกิดขึ้นอีก รัฐบาลจึงจำเป็นจะต้องเปิดประเทศและจำเป็นต้องหาทางสกัดกั้นลูกโซ่ของการแพร่ระบาดแทน และต้องยื้อเวลาจนกว่าที่วัคซีนจะถูกค้นพบ การใช้เทคโนโลยีติดตามบุคคลเพื่อการควบคุมโรคจึงเป็นเครื่องมือที่รัฐบาลสนใจ วันนี้ เราจะมาตรวจสอบกันว่าทำไมเครื่องมือนี้ถึงถูกเลือก อะไรเป็นข้อควรระวังต่อการใช้เทคโนโลยีนี้ และรัฐบาลแต่ละประเทศมีความคิดเห็นต่อเรื่องนี้แตกต่างกันอย่างไร ความเร็วและข้อมูลของผู้เดินทางคือหัวใจในการปราบไวรัส สิ่งที่น่ากลัวของการแพร่ระบาดไวรัสโคโรนาคือความเร็วของการแพร่ระบาด การแพร่กระจายเชื้อโรคนี้เป็นไปในอัตราก้าวหน้า การรู้แหล่งแพร่เชื้อก่อนหรือการกักตัวผู้ป่วยก่อนจะทำให้เราสามารถลดจำนวนผู้ป่วยไปเป็นจำนวนมหาศาล ดังในตัวอย่างของประเทศที่ประสบความสำเร็จอย่างไต้หวันที่มีประสบการณ์การต่อสู้กับโรคซาร์ส ไต้หวันได้ทำการปิดทางเข้าประเทศทั้งทางเรือและทางอากาศตั้งแต่ต้นเดือนมกราคมและสนับสนุนเครื่องมือป้องกันไวรัสให้แก่ประชาชน สิ่งเหล่านี้ช่วยให้จำนวนผู้ป่วยลดลงอย่างต่อเนื่องจนทางรัฐบาลไม่พบผู้ป่วยใหม่เป็นเวลาหลายวันติดต่อกัน (สถิติวันที่ 27 เมษายน พ.ศ. 2563) นี่เป็นตัวอย่างที่แสดงให้เห็นว่าหากรัฐบาลสามารถระบุต้นตอของโรคได้ไว ก็จะสกัดการแพร่ระบาดเชื้อได้ไวเช่นเดียวกัน อีกหนึ่งตัวอย่างที่รัฐบาลต้องการที่จะหยุดต้นตอการระบาดของเชื้อโรคคือประเทศจีน มาตรการการควบคุมประชากรของจีนนั้น (อ้างอิงจากแหล่งข่าว Business Insider) มีแนวคิดที่ว่ารัฐบาลสั่งให้ประชาชนให้ปฏิบัติตามคำสั่งอย่างเคร่งครัด ถึงแม้จะมีมาตรการที่ค่อนข้างสุดโต่งที่ประเทศอื่น ๆ อาจนำมาปฏิบัติได้ยาก ยกตัวอย่างเช่น การห้ามการสัญจรในพื้นที่สาธารณะ การบังคับประชาชนให้เปิดเผยเส้นทางการเดินทางผ่านพื้นที่เสี่ยง การติดตั้งแอปพลิเคชันบันทึกเส้นทางการเดินทาง เป็นต้น แต่มาตรการดังกล่าวได้มอบข้อมูลที่ระบุถึงเส้นทางการติดเชื้อของประชาชนทำให้เจ้าหน้าที่สามารถจัดการแหล่งแพร่เชื้ออย่างมีประสิทธิภาพและสามารถควบคุมผู้ติดเชื้อในประเทศได้อย่างอยู่หมัด ถึงแม้ว่ารัฐบาลต้องทำงานในสภาวะที่ผู้ติดเชื้อมีจำนวนค่อนข้างสูงแล้วก็ตาม สิ่งที่ต้องแลกกับข้อมูลส่วนตัว ประเทศผู้นำเทคโนโลยีอย่างเกาหลีใต้ก็ประสบความสำเร็จในการควบคุมตัวเลขผู้ติดเชื้อเช่นกัน โดยอาศัยความช่วยเหลือจากเทคโนโลยีดิจิตัลรูปแบบต่าง ๆ หนึ่งในเทคโนโลยีดังกล่าวคือแอปพลิเคชันติดตามและบันทึกเส้นทางการเดินทางของผู้ใช้งาน รูปแบบการใช้งานคือการเฝ้าระวังไม่ให้ผู้ใช้งานไปอยู่ในพื้นที่เสี่ยง และสามารถออกหมายจับได้ถ้าผู้ใช้งานฝ่าฝืน ด้วยลักษณะการทำงานของแอปพลิเคชันนี้ การเก็บข้อมูลจึงมีลักษณะรวมศูนย์หรือข้อมูลทั้งหมดอยู่รัฐบาล อย่างไรก็ดี รัฐบาลจะเปิดเผยข้อมูลเฉพาะของผู้ป่วยในลักษณะที่ไม่เปิดเผยตัวตนบนเว็ปไซต์ของกระทรวงสาธารณสุขและสวัสดิการเพื่อให้มั่นใจว่าข้อมูลที่ถูกเก็บไปนั้นถูกนำไปใช้ประโยชน์เพื่อการควบคุมโรคเท่านั้น แต่ว่าก็ยังมีผู้ไม่หวังดีได้สืบสาวข้อมูลดังกล่าวของผู้ป่วย ทำให้สามารถระบุตัวตนของผู้ป่วยและทำให้ผู้ป่วยไม่ได้รับความเป็นส่วนตัวกระทั่งได้รับความเดือดร้อนในที่สุด นั่นจึงทำให้เกิดคำถามขึ้นว่า  เราควรให้ความสำคัญกับข้อมูลส่วนตัวของเรามากขนาดไหนเพื่อให้สังคมนั้นปลอดภัยทั้งจากข้อมูลที่รั่วไหลและจากเชื้อโรคตัวนี้ ความปลอดภัยหรือความเป็นส่วนตัว? อาจกล่าวได้ว่าความเป็นส่วนตัวและความปลอดภัยในสังคมเป็นสองขั้วที่อยู่ตรงข้ามกัน ในแง่หนึ่งการจัดการเชื้อโรคจำเป็นที่จะต้องรู้แหล่งของโรคและจะต้องควบคุมผู้ที่ติดเชื้อให้ได้ไวที่สุดเท่าที่จะทำได้ เพราะยิ่งควบคุมแหล่งแพร่เชื้อได้ไวเท่าไหร่ การแพร่เชื้อก็จะจำกัดมากขึ้นเท่านั้น ดังนั้นข้อมูลเส้นทางของแต่ละคนจึงเป็นสิ่งที่จำเป็น แต่ในทางกลับกัน ความเป็นส่วนตัวของประชาชนก็เป็นเรื่องที่ต้องให้ความสำคัญ ความเป็นส่วนตัวถือเป็นธรรมชาติของมนุษย์ เราทุกคนต่างมีความลับบางอย่างหรือพื้นที่ส่วนตัวที่ไม่ต้องการให้ใครเข้าได้ เราต่างล็อคบ้านของตัวเองก่อนเข้านอน เราต่างใช้พาสเวิร์ดในการเข้าใช้อีเมล หากมีอำนาจใดที่มีความชอบธรรมในการล่วงรู้ข้อมูลส่วนตัวของทุกคน อำนาจนั้นอาจถูกใช้โดนทางที่ผิดและส่งผลต่อความปลอดภัยของปัจเจกบุคคลได้ในที่สุด เพราะฉะนั้นข้อมูลส่วนตัวจึงสำคัญไม่แพ้กัน การจัดการความสัมพันธ์ระหว่างสองความคิดนี้จึงเป็นคำถามที่รัฐบาลแต่ละประเทศจะต้องชั่งน้ำหนักให้ดี หากเลือกทางใดทางหนึ่งมากเกินไปอาจก่อให้เกิดปัญหาจากอีกทางหนึ่งได้ บริษัทเทคโนโลยีขนาดใหญ่คือทางออก? เพื่อยุติข้อขัดแย้งระหว่างทางสองแพร่งนี้ ทาง Apple และ Google ได้ออกประกาศร่วมกันในการพัฒนาฟังก์ชันของโทรศัพท์มือถือที่ใช้ระบบปฏิบัติการ Android และ iOS ให้สามารถติดต่อกันผ่านเทคโนโลยีเชื่อมต่อระยะสั้น”บลูทูธ” (Bluetooth) ในทางระยะแรกนี้ ทางบริษัทจะพัฒนาหน้าต่างเรียกข้อมูล (Application Programming Interface – API) ให้กับผู้พัฒนาแอปพลิเคชันทั่วไป ก่อนที่จะพัฒนาให้ติดตั้งอยู่ในโทรศัพท์มือถือของแต่ละคน และเมื่อเปิดใช้งาน และจะเปิดเผยข้อมูลอย่างสาธารณะเพื่อให้ผู้ที่สนใจนำข้อมูลไปวิเคราะห์และต่อยอดได้ ทั้งหมดนี้ ทางบริษัทได้ยึดถือความเป็นส่วนตัวของข้อมูลเป็นหลัก และพร้อมที่จะทำงานกับรัฐบาลและกระทรวงสาธารณะสุขของแต่ละประเทศ ทวีปที่ไร้พรมแดนกับไวรัสที่ต้องเผชิญ ถึงแม้ว่าทางฝั่งของทวีปยุโรปได้ตื่นตัวกับการควบคุมไวรัสช้าไปสักหน่อย แต่เมื่อจำนวนผู้ป่วยเพิ่มมากขึ้นการใช้เทคโนโลยีอย่างแอปพลิเคชันบันทึกผู้ติดต่อจึงเป็นทางเลือกที่ค่อนข้างถูกกว่าและมีประสิทธิภาพกว่า ในตอนนี้แต่ละประเทศในทวีปยุโรปต่างเดินหน้าผลิตแอปพลิเคชันเป็นของตัวเอง ในขณะที่ประเทศเยอรมนีเห็นว่าการผลิตแอปพลิเคชันเดียวเพื่อใช้ในทวีปยุโรปทั้งหมดจะเป็นทางเลือกที่ดีกว่า เนื่องจากพื้นที่ในทวีปยุโรปนั้นไร้เส้นแบ่งดินแดน ผู้อาศัยในทวีปยุโรปต่างสามารถเข้าออกแต่ละประเทศได้อย่างเสรี การใช้เพียงหนึ่งแอปพลิเคชันจะลดความซ้ำซ้อนของการติดตั้งและป้องกันการรั่วไหลของข้อมูล อีกสิ่งที่ทางทวีปยุโรปให้ความสำคัญคือการรักษาความเป็นส่วนตัวของข้อมูล คณะกรรมมาธิการยุโรป (European Commission) ได้วางแนวทางการสร้างแอพบันทึกผู้ติดต่อโดยคำนึงหลักการไว้อยู่หลายข้อ โดยหลัก ๆ  แล้วคือฟังก์ชันของแอพนี้ต้องเป็นการเก็บบันทึกข้อมูลการติดต่อของบุคคลโดยใช้บลูทูธ (Bluetooth) และการแจ้งเตือนผู้ที่ติดต่อกับคนที่ได้รับเชื้อโคโรนาไวรัส การไม่เปิดเผยข้อมูลส่วนตัวของผู้ใช้งานรวมถึงการไม่ระบุตัวผู้ป่วยต่อผู้ที่มีความเสี่ยง และต้องลบข้อมูลผู้ติดต่อหากเกินระยะเวลาที่กำหนด ด้วยแนวทางเหล่านี้ ทางคณะกรรมาธิการยุโรปยืนยันว่าปลอดความเสี่ยงที่จะถูกคุกคามความเป็นส่วนตัวของข้อมูล แต่ประเด็นการรวมข้อมูลอยู่ที่ศูนย์กลางยังเป็นสิ่งที่ถกเถียงอยู่ในตอนนี้ ล่าสุดประเทศอังกฤษและฝรั่งเศสสนับสนุนการเก็บข้อมูลเข้าสู่ส่วนกลาง เพราะการกระจายกำลังการต่อต้านโรคมีประสิทธิภาพมากกว่า ในขณะที่ ประเทศเยอรมนีได้สนับสนุนแนวทางการดำเนินงานของ Google และ Apple ที่ไม่ต้องการเก็บข้อมูลส่วนตัวของแต่ละคนเข้าสู่ส่วนกลาง เพราะประเด็นที่สำคัญของการใช้แอปพลิเคชันดังกล่าวคือการระบุถึงแหล่งที่มาของเชื้อและทะลายห่วงโซ่ของการระบาดอย่างเร็วที่สุด การรวมข้อมูลเข้าสู่ศูนย์กลางจึงเป็นเรื่องที่ไม่จำเป็น อย่างไรก็ดี นักวิทยาศาสตร์ชาวยุโรปได้ออกมาเตือนถึงเรื่องนี้ผ่านการเขียนจดหมายเปิดผนึกโดยได้ใจความว่า หากมีการเก็บข้อมูลเข้าสู่ส่วนกลาง จะเกิด “การสอดแนมมวลชน” อย่างที่ไม่เคยเกิดขึ้นมาก่อน ผู้นำทางเทคโนโลยีกับกฎหมายที่ล้าหลัง ในประเทศสหรัฐอเมริกาเอง กลุ่มบริษัทเทคโนโลยีชั้นนำของโลกยกตัวอย่างเช่น Google, Amazon, Facebook, Apple และ Microsoft มีข้อมูลประชาชนสหรัฐเป็นจำนวนมาก ข้อมูลเหล่าสำคัญเป็นอย่างยิ่งที่จะช่วยยับยั้งการแพร่ระบาดของไวรัสได้ โดยเฉพาะอย่างยิ่ง ข้อมูลการเดินทางของผู้คนในสหรัฐ แต่ว่าทางรัฐสภาสหรัฐยังไม่มีกฎหมายออกมาอย่างแน่ชัดสำหรับการจัดการข้อมูลส่วนตัว ความล่าช้าของกระบวนการร่างกฎหมายฉบับนี้ทำให้การช่วยเหลือทางด้านข้อมูลส่วนบุคคลของ บริษัทเทคโนโลยีขนาดใหญ่เหล่านี้ยังไม่ได้ถูกใช้อย่างเต็มประสิทธิภาพ เบื้องต้นรัฐบาลสหรัฐขอให้กลุ่มบริษัทเทคโนโลยีเหล่านี้ยื่นข้อมูลที่ไม่เปิดเผยชื่อโดยเฉพาะข้อมูลการเคลื่อนที่โทรศัพท์มือถือของประชาชน กฎหมายควบคุมข้อมูลสาธารณะนี้สำคัญเพราะจะเป็นตัวกำหนดว่าการใช้ข้อมูลในเรื่องหนึ่งควรให้ความสำคัญกับส่วนรวมมากกว่าสิทธิส่วนบุคคล และนำไปสู่การบังคับใช้อย่างถูกต้องและเหมาะสม บทสรุปจากทั่วโลก โดยสรุปแล้ว รัฐบาลแต่ละประเทศต่างดำเนินแนวทางในการเข้าถึงข้อมูลส่วนบุคคลที่แตกต่างกัน ในขณะที่บางประเทศได้ดำเนินการใช้นโยบายไปบ้างแล้ว บางประเทศก็ยังถกเถียงเพื่อหาจุดลงตัวระหว่างความปลอดภัยในสังคมและความเป็นส่วนตัวของประชาชน นี่อาจเป็นคำถามใหญ่ต่อความเป็นส่วนตัวของข้อมูลของเราก็ได้ว่าจำเป็นต้องเสียสละสิ่งนี้มากเพียงใดเพื่อใช้ในการรักษาความปลอดภัยในประเทศ ถือเป็นหน้าที่ของรัฐบาลที่จะต้องถ่วงดุลตาชั่งนี้ให้ดี
5 May 2020
Read More

สถาบันข้อมูลขนาดใหญ่ (องค์การมหาชน)

Big Data Institute (Public Organization)

234/432 Soi Lat Phrao 12, Chomphon, Chatuchak, Bangkok 10900, Thailand

Contact Us

0 2480 8833
saraban@bdi.or.th (For receiving and sending electronic documents)
info@bdi.or.th (For general inquiries)

Quick Link

About Us

© Big Data Institute | Privacy Policy

Web Setting
PDPA Icon

We use cookies to optimize your browsing experience and improve our website’s performance. Learn more at our Privacy Policy and adjust your cookie settings at Settings

Settings Reject Accept
Privacy Preferences

You can choose your cookie settings by turning on/off each type of cookie as needed, except for necessary cookies.

Accept all
Manage Consent Preferences
  • Strictly Necessary Cookies
    Always Active

    This type of cookie is essential for providing services on the website of the Personal Data Protection Committee Office, allowing you to access various parts of the site. It also helps remember information you have previously provided through the website. Disabling this type of cookie will result in your inability to use key services of the Personal Data Protection Committee Office that require cookies to function.
    Cookies Details

  • Performance Cookies

    This type of cookie helps the Big Data Institute (Public Organization) understand user interactions with its website services, including which pages or areas of the site are most popular, as well as analyze other related data. The Big Data Institute (Public Organization) also uses this information to improve website performance and gain a better understanding of user behavior. Although the data collected by these cookies is non-identifiable and used solely for statistical analysis, disabling them will prevent the Big Data Institute (Public Organization) from knowing the number of website visitors and from evaluating the quality of its services.

  • Functional Cookies

    This type of cookie enables the Big Data Institute (Public Organization)’s website to remember the choices you have made and deliver enhanced features and content tailored to your usage. For example, it can remember your username or changes you have made to font sizes or other customizable settings on the page. Disabling these cookies may result in the website not functioning properly.

  • Targeting Cookies

    "This type of cookie helps the Big Data Institute (Public Organization) understand user interactions with its website services, including which pages or areas of the site are most popular, as well as analyze other related data. The Big Data Institute (Public Organization) also uses this information to improve website performance and gain a better understanding of user behavior. Although the data collected by these cookies is non-identifiable and used solely for statistical analysis, disabling them will prevent the Big Data Institute (Public Organization) from knowing the number of website visitors and from evaluating the quality of its services.

Save settings
Privacy Preferences
Name
Strictly Necessary Cookies
Category
Strictly Necessary Cookies
Host
https://bdi.or.th
Duration
1 ปี
Description
Strictly Necessary Cookies
This site is registered on wpml.org as a development site. Switch to a production site key to remove this banner.