คลิกดู 45 เว็บ ใครปกป้องความปลอดภัย-ความเป็นส่วนตัวให้เราบ้าง
เครือข่ายพลเมืองเน็ต เปิดงานวิจัยความเป็นส่วนตัวออนไลน์ พบ ธนาคารกำหนดเงื่อนไขรหัสผ่านเข้มงวดสุด ทนทานต่อการคาดเดา ขณะที่แอร์เอเชีย ครองแชมป์ นโยบายข้อมูลยอดเยี่ยม
เมื่อเร็วๆ นี้คณะเศรษฐศาสตร์ มหาวิทยาลัยธรรมศาสตร์ ร่วมกับเครือข่ายพลเมืองเน็ต และ Privacy International จัดสัมมนาสาธารณะ "เทคโนโลยีและสังคม" เรื่อง "บริการออนไลน์ไทยปลอดภัยแค่ไหน?: มาตรการทางกฎหมายและทางเทคโนโลยีที่เกี่ยวกับการจัดเก็บและการคุ้มครองข้อมูลส่วนบุคคลในประเทศไทย" ณ ห้องประชุม 101 คณะเศรษฐศาสตร์ มหาวิทยาลัยธรรมศาสตร์
ภายในงาน มีการนำเสนอผลการวิจัยมาตรการคุ้มครองความปลอดภัยและความเป็นส่วนตัวของผู้ให้บริการออนไลน์ไทย จำนวน 45 เว็บไซต์ ได้แก่ หน่วยงานรัฐ ธนาคาร มหาวิทยาลัย ซื้อขายสินค้า บริการขนส่งสาธารณะ และบริการรับสมัครงาน ระหว่างเดือนตุลาคม – พฤศจิกายน 2557 โดย ธิติมา อุรพีพัฒนพงศ์ โครงการความเป็นส่วนตัวออนไลน์ เครือข่ายพลเมืองเน็ต
งานวิจัยชิ้นนี้ ตรวจสอบตัวชี้วัดระบบการเข้ารหัสของเว็บไซต์ในหน้าลงชื่อเข้าใช้งาน ได้แก่ เว็บไซต์มีการเชื่อมต่อด้วย HTTPS (Hypertext Transfer Protocol Secure) หรือไม่ ใช้โปรโตคอลมาตรฐานความปลอดภัย TLS รุ่น 1.2 หรือไม่ และกุญแจเข้ารหัสมีความยาว 256 บิตหรือไม่
มาตรฐานเหล่านี้เป็นความปลอดภัยพื้นฐานที่ผู้ให้บริการควรมี
จากการประเมินมาตรการคุ้มครองความปลอดภัยและความเป็นส่วนตัวของผู้ให้บริการออนไลน์ไทย พบข้อสังเกตที่น่าสนใจ ดังนี้
- มีเพียงร้อยละ 31 ของเว็บไซต์กลุ่มตัวอย่างที่ได้คะแนนเกินครึ่ง (13 เว็บไซต์จากทั้งหมด 45 เว็บไซต์) เว็บไซต์ที่ได้คะแนนมากที่สุดคือ เว็บไซต์แอร์เอเชีย
- ส่วนเว็บไซต์ธนาคาร จัดอยู่ในกลุ่มเว็บไซต์ที่ได้คะแนนสูง เมื่อเทียบกับบริการออนไลน์ประเภทอื่นๆ
โดยเฉพาะผลสำรวจผู้ให้บริการออนไลน์ในไทยที่มีรหัสผ่านปลอดภัยเข้มงวดที่สุด ซึ่งวัดจากการกำหนดเงื่อนไขของการรหัสผ่านทั้งความยาวและอักขระ และการเก็บรหัสผ่าน พบว่า กลุ่มธนาคาร กำหนดความยาวขั้นต่ำ 8 ตัวอักษร นับว่า กำหนดเงื่อนไขรหัสผ่านเข้มงวดที่สุด
ขณะที่เว็บซื้อขายสินค้าออนไลน์ที่เป็นบริษัทข้ามชาติกำหนดรหัสผ่านขั้นต่ำ 6 ตัวอักษร หน่วยงานรัฐ ได้แก่ กรมสรรพากร และกรมขนส่งทางบก กำหนดความยาวของรหัสผ่าน 8 และ 6 ตัวอักษรขึ้นไป ตามลำดับ
อย่างไรก็ตามทั้งสองหน่วยงานใช้เลขประจำตัวประชาชนเป็นชื่อผู้ใช้ และไม่ได้บังคับการใช้อักขระ บางเว็บไซต์กำหนดความยาวรหัสผ่านขั้นต่ำเพียง 4 ตัวอักษรเท่านั้น ได้แก่ สำนักงานประกันสังคม เว็บค้าปลีกไทย
- หน่วยงานรัฐและมหาวิทยาลัยให้ความสำคัญกับการปกป้องความปลอดภัยด้านเทคนิคมากกว่าการคุ้มครองข้อมูลส่วนตัวของผู้ใช้บริการ ดังเห็นได้จากระดับคะแนนด้านนโยบายข้อมูลซึ่งเกือบทั้งหมดได้ 0 คะแนน ซึ่งมาจากการที่ไม่มีนโยบายความเป็นส่วนตัวเลย
- เว็บไซต์สายการบิน ให้ความสำคัญกับนโยบายด้านข้อมูลมากที่สุด เหตุผลที่ทำให้เป็นเช่นนี้ เนื่องจากเป็นธุรกิจที่ดำเนินการระหว่างประเทศ ซึ่งแม้ในประเทศไทยจะยังไม่มีกฎหมายกลางด้านการคุ้มครองข้อมูลส่วนบุคคล แต่ธุรกิจสายการบินจำเป็นต้องปฏิบัติตามกฎหมายด้านการคุ้มครองส่วนบุคคลของประเทศอื่นๆ จึงทำให้ต้องมีมาตรการที่ครอบคลุมความปลอดภัยและความเป็นส่วนตัวของข้อมูลไปด้วย
ตัวอย่างที่เห็นได้ชัดเจนคือ สายการบินแอร์เอเชียที่บริษัทแม่อยู่ที่ประเทศมาเลเซีย ซึ่งมีคะแนนด้านการคุ้มครองทางเทคนิคสูงที่สุด และเป็นบริการเดียวที่แจ้งว่าจะปฏิบัติต่อข้อมูลส่วนตัวอย่างไร หากมีการซื้อขายกิจการตัวอย่างการแจ้งให้ผู้ใช้บริการทราบถึงการเก็บรวบรวมข้อมูลของแอร์เอเชีย
- เว็บไซต์จำนวนหนึ่งแม้จะมีลิงก์แสดงนโยบายข้อมูลส่วนบุคคลก็ตาม แต่เมื่อคลิกเข้าไปแล้วปรากฏว่า ไม่มีหน้านโยบายความเป็นส่วนตัว ขณะที่บางเว็บไซต์เป็นภาษาอังกฤษขณะที่ทุกเว็บไซต์มีการเก็บข้อมูลคุกกี้ ซึ่งเป็นการเก็บข้อมูลการเข้าชมเว็บไซต์ มีบางเว็บไซต์เท่านั้นที่แจ้งให้ทราบอย่างละเอียดว่าเก็บข้อมูลอะไรบ้าง
ด้านอาจารย์สุดา วิศรุตพิญช์ คณะนิติศาสตร์มหาวิทยาลัยธรรมศาสตร์ กล่าวถึงความปลอดภัยของผู้บริโภคในการใช้บริการออนไลน์ในไทยนั้น สิ่งที่เรายังขาด คือ การให้ความรู้กับผู้บริโภค ให้เข้าใจถึงความสำคัญของข้อมูลต่างๆที่ใส่เข้าไปในตัวระบบ ซึ่งหากไม่ระมัดระวังจะกลายเป็นความเสี่ยง ดังนั้น ต้องระมัดระวังข้อมูลส่วนตัว หรือไม่เว็บไซต์นั้นๆ ควรมีคำแนะนำ มัสัญลักษณ์ไว้บนหน้าเว็บไซต์ให้ผู้บริโภคตัดสินใจด้วยตัวเอง เนื่องจากขณะนี้ยังไม่มีกฎหมายที่ชัดเจนที่จะมาดูแลตรงส่วนนี้
"บริการซื้อขายออนไลน์ในประเทศไทย ใครก็สามารถทำได้ ไม่มีผู้เข้ามากำกับดูแลเรื่องของความปลอดภัย เช่น เลขบัตรประจำตัวประชาชน เบอโทรศัพท์ ขณะที่ผู้ขายก็แค่โพสต์ขาย ผู้ซื้อสนใจก็ซื้อใส่ข้อมูลไปเรียบร้อยเสร็จก็ไม่ได้รับสินค้าตามที่ตัวเองได้ทำธุรกรรมด้วย" อาจารย์สุดา กล่าว และว่า ดังนั้น ในอนาคตต้องมีกฎเกณฑ์ในเรื่องของการทำสัญญาให้ชัดชัดเจน เช่น มาตรการรับส่งสินค้า การรับคืนสินค้า ต้องทำให้ชัดเจน
โดยเฉพาะการมีหน่วยงานเข้ามากำกับดูแลคุ้มครองผู้บริโภคที่ทำธุรกรรมออนไลน์ นั้น อาจารย์สุดา กล่าวว่า ขณะนี้ผู้บริโภคไม่รู้ว่าควรจะฟ้องที่หน่วยงานใด ในเมื่อผู้ขายไม่มีตัวตนที่ชัดเจน
ขณะที่อาจารย์ฐิติรัตน์ ทิพยสัมฤทธิกุล คณะนิติศาสตร์มหาวิทยาลัยธรรมศาสตร์ กล่าวว่า วันนี้เราสามารถติดอาวุธให้กับผู้บริโภคได้ โดยให้เขามีอำนาจให้การต่อรอง รวมไปถึงทำอย่างไรให้ผู้ประกอบการบริการออนไลน์ในประเทศไทย ปกป้อง รับผิดชอบข้อมูลของลูกค้า ซึ่งจะได้ประโยชน์ทั้ง 2 ฝ่าย
สุดท้ายนายกิติศักดิ์ จิรวรรณกูล ประธานกลุ่ม Open Web Application Security Project (OWASP) ประเทศไทย กล่าวถึงข้อมูลความเป็นส่วนตัวบุคคล ที่เป็นข่าวให้เห็นอยู่บ่อย เช่น ธนาคารโดนแฮคข้อมูลได้รับความเสียหาย แต่ถ้าถามว่าใครผิด บางครั้งไม่สามารถสรุปได้ว่า ใครผิด เพราะเป็นเรื่องของระบบ ว่า ระบบการป้องกันดีแค่ไหน บางเว็บไซร์ดูแลข้อมูลลูกค้าดีมาก แต่พลาดเอารหัสผ่าน (Password) ไปแชร์ในเฟสบุ๊ค ก็ทำให้เกิดความเสียหาย มีการล้วงข้อมูลได้ ดังนั้น ระบบหรือเว็บไซต์ต่างๆ ต้องมีระบบการป้องกันที่ดีพอ การเก็บข้อมูลของแต่ละหน่วยงานไม่เหมือนกัน คนใช้บริการก็ต้องระมัดระวังด้วย
ข้อมูลเพิ่มเติม:
มาตรการคุ้มครองความปลอดภัย-ความเป็นส่วนตัวของผู้ให้บริการออนไลน์ไทย ปี 2557