ปัญหาความปลอดภัยรอบล่าสุดของ Facebook ที่ส่งผลกระทบต่อผู้ใช้อย่างน้อย 50 ล้านคน อาจเป็นเหตุให้ Facebook โดนปรับเป็นเงินถึง 1.63 พันล้านดอลลาร์ (ประมาณ 5.1 หมื่นล้านบาท)
ประเด็นที่เป็นปัญหาคือข้อมูลของผู้ใช้รั่วไหลไปด้วย ซึ่งมีความผิดตามกฎ GDPR ของสหภาพยุโรป ที่กำหนดเพดานค่าปรับไว้ที่ 20 ล้านยูโร หรือ 4% ของรายได้ทั่วโลกของบริษัทนั้น ขึ้นกับตัวเลขไหนสูงกว่า ซึ่งกรณีของ Facebook คืออย่างหลัง และสามารถคำนวณออกมาได้ที่ 1.63 พันล้านดอลลาร์
ที่ผ่านมา EU ยังไม่เคยใช้ GDPR เป็นเครื่องมือลงโทษเรื่องค่าปรับมากนัก กรณีนี้จึงเป็นที่น่าจับตาว่า EU จะลงโทษ Facebook หรือไม่ และมากน้อยแค่ไหน
ตอนนี้ Data Protection Commission (DPC) หน่วยงานกำกับดูแลข้อมูลส่วนบุคคลของไอร์แลนด์ ซึ่งเป็นหน่วยงานหลักในการกำกับดูแลกรณี Facebook ได้ร้องขอข้อมูลเพิ่มเติมจากบริษัทแล้ว
ที่มา - Wall Street Journal, Fortune, Gizmodo
Facebook data breach. The DPC is concerned that this breach was discovered on Tuesday & affects millions of users. At present Facebook is unable to clarify the nature of the breach & risk to users. We are pressing Facebook to urgently clarify these matters. #dataprotection
— Data Protection Commission Ireland (@DPCIreland) September 28, 2018
.@DPCIreland is awaiting from Facebook further urgent details of the security breach impacting some 50m users, including details of EU users which have been affected, so that we can properly assess the nature of the breach and risk to users. #dataprotection #GDPR #eudatap https://t.co/3oM3BSaSBS
— Data Protection Commission Ireland (@DPCIreland) September 30, 2018
Comments
ใจนึงก็อยากให้โทษนี้ไม่หนักมากในเบอร์นี้ (ด้วยเหตุเป็นเหตุสุดวิสัยพอควร คือเจตนาให้เกิดนั้นไม่มี)
แต่อยากให้โทษในการเอาข้อมูลมา Cross-matching เป็น Shadow identity ที่ใช้ชี้ไปหาบุคคลได้ นั้นมีโทษสองสามเท่าของเหตุแบบนี้ (ด้วยว่าเหตุนั้นเป็นเหตุที่เกิดโดยเจตนา)
EU นี่ปรับแต่ละทีนี่แพงมากๆ
บางทีผมก็สงสัยระบบลงโทษโดยการปรับเงินนะ หมายความว่า "ยิ่งมีโจรมาก => EU ยิ่งรวย" มันใช่หรอ?
คือเข้าใจนะครับว่าวิธีการที่คนอื่นจะกดดันจากภายนอกบริษัทโดยใช้ระบบเงินมันสะดวกดี
แต่ตรรกะการไหลของการแลกเปลี่ยนและชดเชยมันแปลกๆ
เพราะปกติโทษปรับ จะมีเหตุผลจากการ ริบคืนในสิ่งที่ไม่ควรได้ไป หรือ ปรับเงินเพื่อชดเชยความเสียหายที่เกิด เช่น ปรับโรงงานยาสูบเพื่อไปใช้รักษาคนป่วยจากบุหรี่
แต่ข้อมูลที่รั่วนี่ประเมิณมูลค่ายังไง แถมรั่วทั่วโลกไม่ใช่แค่ยุโรป ทำไม EU จึงควรได้เงิน
ติดใจตรงนี้เหมือนกัน ข้อมูลรั่วทั่วโลก ทำไม EU ถึงได้เงินโดยคำนวณจากรายได้ทั่วโลก???
ถ้าคิดจาก 4% ของรายได้ในยุโรปจะไม่ติดใจเท่าไหร่
อันนี้ผมรู้นะ แต่พูดไม่ได้มาก แต่ใบ้ได้แค่ว่า เป็นการเมืองระหว่างทวีป ประเด็นจริงๆ ต้องการแค่นั้น แต่เขียนทีนึงก็เอาเยอะๆ เพราะกว่าจะได้โอกาสแก้อีกมาอีกนาน... มันเลยคลุมไปหมด เว็บเล็กๆ ก็โดนด้วย...แค่เขียนเว็บ แล้วมีการสมัครอีเมล์โฆษณาแล้วเกิดโดนแฮก ไมว่าข้อมูลนั้นจะเข้ารหัสหรือไม่? ก็มีสิทธิเสียเงินเสียทองได้แล้วประเด็นที่พีคกว่าคือ ผู้ที่สั่งให้จ่ายเงินค่าปรับเป็นกลุ่มบุคคลเพียงกลุ่มหนึ่งเท่านั้น เหมือนสไตล์แถวๆ นี้เลย
จริงๆ แล้วโทษปรับ GDPR ไม่ควรให้มีด้วยซ้ำไปในบางกรณี ถ้าบริษัทนั้นแสดงให้เห็นถึงพฤติการณ์ที่ได้มีการจัดการป้องกันข้อมูลอย่างแน่นหนาตามมาตรฐานหรือมากกว่าที่หน่วยงานของรัฐเป็นผู้กำหนดว่าใช้เครื่องมือนี้แล้วข้อมูลจะปลอดภัย แล้วมาตรฐานนี้ได้รับการปรับปรุงและต่อเนื่องตามกาลเวลา
อย่างกรณีนี้ผมว่า เฟสบุ๊คออกมาค่อนข้างเร็วนะ ออกมายอมรับและแก้ไขโดยเร็ว ถึงแม้จะมีการใช้ช่องโหว่นั้นในการใช้งานไปแล้วก็ตาม
อย่างหนึ่งที่เราต้องยอมรับว่าในโลกวิทยาการคอมพิวเตอร์ ไม่มีอะไรปลอดภัยไปทั้งหมด เราพัฒนาซอฟตแวร์หรือฮาร์ดแวร์ออกมามันก็ต้องมีกันบ้างที่มีช่องโหว่ แต่หลังจากนั้นเราก็แก้ไขกันไป อย่างที่เราเจอๆ กันที่ผ่านมา ซึ่งช่องโหว่บางตัวเหนือการควบคุมของตัวเราด้วยซ้ำ เป็นช่องโหว่ของผู้ผลิต ซึ่งเราใช้สินค้าชิ้นนั้นอยู่ แต่เราถูกแฮกและโดนปรับเงิน แบบนี้มันคุ้มค่ากันหรือเปล่า? GDPR กำหนดแบบลอยๆ ไม่มีมาตรฐาน บอกแค่ว่าถ้าถูกแฮกได้ก็โดนปรับ...หรือบางประเทศถึงขั้นเป็นคดีอาญา แบบนี้โอเคเหรอครับ? ใครเข้าออนไลน์ขาข้างหนึ่งอยู่ในคุกในตารางแล้วนะครับ
จากประสบการณ์ทำงานกับ GDPR ของผมนะ เพราะธุรกิจผมเป็นขนาดเล็ก และค้าขายกับยุโรปเป็นหลัก ผมเห็นด้วยกับ GDPR ในบางเรื่องนะ เช่นความเป็นส่วนตัว การส่งต่อคุ๊กกี้ หรือข้อมูลส่วนตัวให้บุคคลที่สาม หรือเรื่อง bad cookie แต่เราไม่มีพฤติการณ์ และไม่มีความประสงค์ที่จะทำแบบนั้นไง GDPR มันก็ควรจะจบ แต่มันไม่จบตรงที่มีเรื่องของความปลอดภัยของการจัดเก็บข้อมูลเข้ามาเกี่ยวข้องด้วย แล้วคุ้มครองถึงข้อมูลที่ไปหลุดไม่ว่าจะเข้ารหัสหรือไม่เข้ารหัสคุณจะยังแฮปปี้อยู่ไหม?
เรื่องนี้โดนแฮกนี่คือประเด็นใหญ่ครับ โดนแฮกยังไม่พอแล้วแล้วถูกปรับเงินอีกต่างหาก หรือบางประเทศถึงขั้นจะเอาผิดทางอาญา ผมไม่ค่อยเห็นด้วยสักเท่าไหร่นะครับ ไม่มีเว็บไซต์ไหน บริษัทไหนที่ต้องการให้ถูกแฮกเพราะกระทบต่อความเชื่อมั่นของลูกค้า และความปลอดภัยของเว็บไวต์นั้นๆ อีกด้วย เหมือนกฎหมายนี้เขียนนี้ขึ้นมาเพื่อกลั่นแกล้ง บังคับ บางบริษัทมากกว่าเพื่อจะคุ้มครองตามความเป็นตัวของผู้ใช้ มันเหมือนเคสมันเหมือนร้านขายของไม่รับบัตรเดบิต ถ้าเราต้องการจ่ายผ่านบัตรแต่ร้านไม่รับก็ไปซื้อร้านอื่นจบ ไม่ใช่ไปยัดเยียดว่า เขาต้องติดตั้งเครื่องรับบัตรโน้นนั้นนี่ สร้างข้อจำกัดให้เขาเข้าตลาดไม่ได้...เหมือนกันครับ GDPR กับ ธุรกิจรายเล็กๆ ย่อยๆ ของยุโรปเขาก็โวยกันนะครับ บางเว็บนี่คือนิ่งไปเลย บางเว็บกลายเป็นเว็บแนะนำเฉยๆ ดังนั้นผมว่าหน่วยงานที่เกี่ยวข้องกับเมืองไทยน่าจะเอาเคสนี้มาเป็นตัวอย่างนะครับ เพราะกฎหมายฉบับนี้เป็นเหมือนดาบ 2 คม ที่จะชี้วัดว่า Thailand จะ 4.0 หรือ 0.4 กันแน่? แรงไปคนไม่กล้าก็ 0.4 กันต่อไปนะครับ ฝากผู้เกี่ยวข้องลองพิจารณาดูครับ
กฎหมาย GPDR กลายเป็นทำพิษกับบริษัทรายย่อยโดยปริยาย โดนแฮ็กทีวายวอด กลุ่มนี้ไม่มีงบประมาณสูงไว้ป้องกันเหมือนบริษัทใหญ่นะ แล้วไม่อยากโดนแฮ็คให้เสียชื่อด้วย
ความล้มเหลว คือจุดเริ่มต้นสู่ความหายนะ มีผลกระทบมากกว่าแค่เสียเงิน เวลา อนาคต และทรัพยากรที่เสียไป - จงอย่าล้มเหลว
ผมว่า GDPR ควรมีและการปรับแบบนี้ถือว่าเบาแล้ว เพราะเบากว่านี้ก็จะมีคนบ่นเหมือนกสทช. ว่าเสือกระดาษปรับเบายังไม่เท่ากำไรบริษัทในหนึ่งวันเลย ส่วนทำไมต้องปรับ EU อยากรวยหรอ บอกเลยว่าไม่ใช่ครับเพราะเขาอยากให้บริษัทมองว่าต้นทุนในการคุ้มครองข้อมูลส่วนบุคคลสำคัญ และแพงถ้าโดนปรับครับไม่ใช่ค่าปรับถูกงั้นก็ปรับไปสิแบบประเทศไทย ส่วนข้อมูลส่วนบุคคลทำไป EU ต้องคุ้มครองหนักหนา ถ้ามันตกอยู่ในมืออาชญากร คนของเขาอาจตายได้ครับ สมัยผมเด็กๆครอบครัวโดนตามฆ่า ก็ต้องปิดมือถือหนีเพราะไอพนักงานบริษัทให้บริการมือถือมันขายข้อมูลให้มาเฟีย จนไม่กี่ปีก่อนก็มีข่าวนั้นไงคือสาเหตุ กสทช.ก็โคตรเสือกระดาษไม่ทำอะไรเลย