บทที่ 6: กรณีศึกษาการกระทำผิดกฎหมายและบทลงโทษ
กรณีศึกษาจากประเทศไทย
กรณีการละเมิด PDPA ครั้งแรกที่ได้รับค่าปรับสูงสุด
เมื่อวันที่ 21 สิงหาคม 2567 คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้ออกคำสั่งปรับทางปกครองครั้งแรกตั้งแต่ PDPA เริ่มใช้บังคับ บริษัทอีคอมเมิร์ซขนาดใหญ่แห่งหนึ่งถูกปรับ 7 ล้านบาท ซึ่งเป็นอัตราค่าปรับสูงสุดตามที่กฎหมายกำหนด
สาเหตุหลักที่นำไปสู่การปรับครั้งนี้มีหลายประการ ประการแรกคือการไม่แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ทั้งที่บริษัทมีการประมวลผลข้อมูลเจ้าของข้อมูลมากกว่า 100,000 คนเป็นกิจกรรมหลัก ซึ่งอยู่ในเกณฑ์ที่กฎหมายกำหนดให้ต้องมี DPO
ประการที่สองคือการมีมาตรการรักษาความปลอดภัยที่ไม่เพียงพอ ส่งผลให้เกิดเหตุการณ์การรั่วไหลข้อมูลส่วนบุคคลของลูกค้าจำนวนมาก ข้อมูลที่รั่วไหลรวมถึงชื่อ เบอร์โทรศัพท์ ที่อยู่ และข้อมูลการสั่งซื้อสินค้า ซึ่งถูกแก๊งคอลเซ็นเตอร์นำไปใช้ในการโทรหลอกลวงลูกค้า
ประการที่สามคือการแจ้งเหตุการณ์การรั่วไหลข้อมูลล่าช้า บริษัทใช้เวลามากกว่า 72 ชั่วโมงในการแจ้งต่อคณะกรรมการฯ ซึ่งขัดกับข้อกำหนดในกฎหมาย คณะกรรมการเห็นว่าการล่าช้าในการแจ้งทำให้ผู้เสียหายไม่สามารถป้องกันความเสียหายเพิ่มเติมได้ทันท่วงที
กรณีนี้สร้างความตระหนักให้กับภาคธุรกิจหลายประการ หนึ่งคือการปฏิบัติตาม PDPA ไม่ได้หมายถึงการทำเอกสารหรือประกาศนโยบายเพียงอย่างเดียว แต่ต้องมีการดำเนินการจริงและการลงทุนในระบบรักษาความปลอดภัยที่มีประสิทธิภาพ สองคือความสำคัญของการมี DPO ที่มีความรู้ความสามารถจริงและมีอำนาจในการตัดสินใจ ไม่ใช่เพียงการตั้งชื่อบนกระดาษ
คดีการละเมิดลิขสิทธิ์ออนไลน์
กรณีของเว็บไซต์ดูหนังออนไลน์หลายแห่งในประเทศไทยที่ถูกดำเนินคดีและปิดตัวลง แสดงให้เห็นถึงการบังคับใช้กฎหมายลิขสิทธิ์ในยุคดิจิทัล เว็บไซต์เหล่านี้มักจะอ้างว่าตนเองเป็นเพียง "ลิงก์" ที่ชี้ไปยังเนื้อหาที่อยู่ในเซิร์ฟเวอร์อื่น แต่ศาลไทยมีแนวโน้มที่จะถือว่าการกระทำเช่นนี้ยังคงเป็นการละเมิดลิขสิทธิ์
กรณีหนึ่งที่น่าสนใจคือคดีของผู้ประกอบการเว็บไซต์ดูหนังที่ถูกตัดสินจำคุก 2 ปี และปรับ 400,000 บาท พร้อมทั้งต้องชดใช้ค่าเสียหายแก่บริษัทเจ้าของลิขสิทธิ์อีกหลายล้านบาท สิ่งที่ทำให้คดีนี้พิเศษคือผู้ต้องหาไม่ได้อัปโหลดหนังเอง แต่เพียงแค่สร้างเว็บไซต์ที่รวบรวมลิงก์ไปยังหนังที่อยู่ในเว็บไซต์อื่น และหารายได้จากการขายโฆษณา
กรณีศึกษาระหว่างประเทศ
คดี Cambridge Analytica และ Facebook
กรณี Cambridge Analytica ถือเป็นหนึ่งในเหตุการณ์ที่เปลี่ยนแปลงภูมิทัศน์ของการคุ้มครองข้อมูลส่วนบุคคลทั่วโลก Cambridge Analytica เป็นบริษัทปรึกษาทางการเมืองที่ใช้ข้อมูลส่วนบุคคลของผู้ใช้ Facebook จำนวน 87 ล้านบัญชีในการสร้างโฆษณาทางการเมืองแบบเป้าหมาย (Targeted Political Advertising) โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล
วิธีการที่ Cambridge Analytica ใช้ในการเก็บข้อมูลค่อนข้างซับซ้อน พวกเขาสร้างแอปพลิเคชันแบบทดสอบบุคลิกภาพที่มีชื่อว่า "This Is Your Digital Life" และชวนให้ผู้ใช้ Facebook ทำแบบทดสอบ แอปพลิเคชันนี้ไม่เพียงแค่เก็บข้อมูลของผู้ที่ทำแบบทดสอบ แต่ยังเก็บข้อมูลของเพื่อนในเครือข่ายของพวกเขาด้วย ทำให้สามารถเก็บข้อมูลได้ในปริมาณมหาศาล
ข้อมูลที่ Cambridge Analytica ได้รับรวมถึงข้อมูลส่วนตัว เช่น ชื่อ อีเมล ที่อยู่ รวมทั้งข้อมูลพฤติกรรม เช่น สิ่งที่ผู้ใช้ "ถูกใจ" เพจที่ติดตาม และแม้แต่ข้อความส่วนตัว พวกเขานำข้อมูลเหล่านี้ไปวิเคราะห์เพื่อสร้างโปรไฟล์จิตวิทยาของผู้ใช้แต่ละคน แล้วใช้ในการออกแบบโฆษณาทางการเมืองที่มีประสิทธิภาพสูง
เหตุการณ์นี้ได้เป็นตัวเร่งให้สหภาพยุโรปเร่งการบังคับใช้ GDPR และทำให้ประเทศต่างๆ ทั่วโลก รวมทั้งประเทศไทย ตื่นตัวเกี่ยวกับความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล Facebook ถูกปรับโดยคณะกรรมการการค้าแห่งสหพันธรัฐสหรัฐอเมริกา (FTC) เป็นเงิน 5,000 ล้านดอลลาร์ ซึ่งเป็นค่าปรับที่ใหญ่ที่สุดเท่าที่เคยมีมาในขณะนั้น
คดี GDPR และ Meta Platforms
Meta Platforms (เดิมชื่อ Facebook) ได้รับค่าปรับภายใต้ GDPR หลายครั้ง โดยค่าปรับที่ใหญ่ที่สุดเกิดขึ้นในปี 2566 เป็นเงิน 1.2 พันล้านยูโร (ประมาณ 47 พันล้านบาท) จากการละเมิดกฎเกี่ยวกับการถ่ายโอนข้อมูลข้ามแดน
ปัญหาเกิดจาก Meta ส่งข้อมูลของผู้ใช้ชาวยุโรปไปเก็บและประมวลผลในสหรัฐอเมริกา โดยอาศัยข้อตกลงที่เรียกว่า "Privacy Shield" ซึ่งต่อมาศาลยุติธรรมแห่งสหภาพยุโรปได้ตัดสินว่าไม่ได้ให้การคุ้มครองข้อมูลในระดับที่เพียงพอ หน่วยงานกำกับดูแลของไอร์แลนด์ที่เป็นที่ตั้งสำนักงานใหญ่ยุโรปของ Meta จึงสั่งให้หยุดการถ่ายโอนข้อมูลและเรียกค่าปรับ
กรณีนี้แสดงให้เห็นถึงความซับซ้อนของการปฏิบัติตามกฎหมายคุ้มครองข้อมูลในยุคที่ธุรกิจดำเนินการข้ามพรมแดน บริษัทเทคโนโลยีใหญ่ๆ ต้องเผชิญกับความท้าทายในการปรับระบบและกระบวนการให้สอดคล้องกับกฎหมายที่แตกต่างกันในแต่ละประเทศ
คดีไซเบอร์อาชญากรรมสหรัฐอเมริกา: กรณี Joseph James O'Connor
Joseph James O'Connor หรือที่รู้จักในชื่อ "PlugwalkJoe" เป็นหนึ่งในแฮกเกอร์ที่อยู่เบื้องหลังการโจมตี Twitter ครั้งใหญ่ในกรกฎาคม 2563 ซึ่งถือเป็นหนึ่งในเหตุการณ์ความปลอดภัยไซเบอร์ที่ใหญ่ที่สุดในประวัติศาสตร์ของ Twitter
การโจมตีครั้งนี้เป็นการใช้เทคนิค Social Engineering ในการหลอกให้พนักงานของ Twitter เชื่อว่าแฮกเกอร์เป็นเจ้าหน้าที่ฝ่าย IT และให้สิทธิ์ในการเข้าถึงระบบ Admin Panel ของ Twitter หลังจากได้สิทธิ์แล้ว พวกเขาก็เข้าไปยึดบัญชี Twitter ของบุคคลสำคัญหลายคน รวมทั้ง Barack Obama, Elon Musk, Bill Gates, และ Warren Buffett
แฮกเกอร์ใช้บัญชีเหล่านี้ในการโพสต์ข้อความหลอกลวงเกี่ยวกับ Bitcoin โดยอ้างว่าหากผู้คนส่ง Bitcoin มาให้ พวกเขาจะได้รับ Bitcoin คืนเป็นสองเท่า แม้ว่าการหลอกลวงนี้จะดูไร้สาระ แต่ก็สามารถหลอกเอา Bitcoin ไปได้มูลค่ามากกว่า 100,000 ดอลลาร์ในเวลาไม่กี่ชั่วโมง
O'Connor ถูกจับกุมในสเปนและส่งตัวมายังสหรัฐอเมริกา เขาถูกตัดสินจำคุก 5 ปีในเรือนจำระดับกลาง และต้อง ให้การคุมประพฤติ 3 ปีหลังพ้นโทษ นอกจากนี้ เขายังต้องจ่ายค่าปรับและค่าชดใช้ความเสียหายรวมกว่า 790,000 ดอลลาร์
กรณีนี้แสดงให้เห็นถึงหลายประเด็นสำคัญ หนึ่งคือความเปราะบางของระบบความปลอดภัยแม้ในบริษัทเทคโนโลยีขนาดใหญ่ Social Engineering ยังคงเป็นจุดอ่อนที่สำคัญ เนื่องจากคนเป็นจุดที่อ่อนแอที่สุดในห่วงโซ่ความปลอดภัย สองคือการร่วมมือระหว่างประเทศในการจับกุมอาชญากรไซเบอร์ ซึ่งเป็นสิ่งจำเป็นเนื่องจากลักษณะข้ามพรมแดนของอาชญากรรมเหล่านี้
บทเรียนจากกรณีศึกษา
จากกรณีศึกษาต่างๆ เหล่านี้ สามารถสกัดบทเรียนสำคัญหลายประการ ประการแรกคือความสำคัญของการมีระบบรักษาความปลอดภัยที่มีประสิทธิภาพ ไม่ใช่เพียงแค่การปฏิบัติตามกฎหมายตัวอักษร แต่ต้องเข้าใจและประยุกต์ใช้หลักการของกฎหมายในทางปฏิบัติ
ประการที่สองคือความจำเป็นในการมีความรู้และความเข้าใจเกี่ยวกับผลกระทบของการกระทำในโลกดิจิทัล การกระทำที่อาจดูเหมือนไม่สำคัญในโลกออนไลน์ เช่น การแชร์ข้อความหรือการกดถูกใจ อาจมีผลกระทบทางกฎหมายที่ร้ายแรงได้
ประการที่สามคือความสำคัญของการออกแบบระบบที่คำนึงถึงความปลอดภัยและความเป็นส่วนตัวตั้งแต่เริ่มต้น (Privacy by Design และ Security by Design) การรอให้เกิดปัญหาแล้วค่อยแก้ไขมักจะสร้างความเสียหายที่ไม่อาจแก้ไขได้