ธุรกิจต้องรับผิดชอบอย่างไรเมื่อเปิดเผยข้อมูลลูกค้า?

ข้อมูลลูกค้านับล้านรั่วไหล

กระทรวงความมั่นคงสาธารณะได้ชี้ให้เห็นถึงกลุ่มธุรกิจเทคโนโลยีที่รั่วไหลข้อมูลลูกค้าหรือบริษัทนายหน้าบริการแท็กซี่ที่ใช้ข้อมูลผู้โดยสารที่รั่วไหลเพื่อขอรับบริการผ่านทางข้อความ SMS... กระทรวงความมั่นคงสาธารณะยังได้กล่าวอีกว่าสถานการณ์ปัจจุบันของการรั่วไหลและการซื้อและการขายข้อมูลส่วนบุคคลนั้นเป็นเรื่องปกติของสาธารณชนและมีความซับซ้อนเพิ่มมากขึ้น ที่สำคัญกว่านั้น ข้อมูลจำนวนมากถูกขายต่อสาธารณะเป็นเวลานาน ในปริมาณมาก บนไซเบอร์สเปซ การซื้อและการขายไม่เพียงแต่เกิดขึ้นเป็นรายบุคคลระหว่างบุคคลเท่านั้น แต่ยังเกี่ยวข้องกับการมีส่วนร่วมของบริษัท องค์กร และธุรกิจต่างๆ อีกด้วย

ในปี 2018 ข้อมูลเกี่ยวกับ Thegioididong.com รั่วไหล และแฮกเกอร์ได้ข้อมูลสำคัญเช่น ที่อยู่อีเมล ประวัติการทำธุรกรรม และแม้แต่หมายเลขบัตร ได้รับการรายงานโดยฟอรัมเทคโนโลยี ทำให้ลูกค้าหลายล้านคนกังวลใจ จูอิ ดิ ดง ออกแถลงการณ์ต่อสื่อมวลชนทันที ยืนยันเป็นข้อมูลปลอม โดยระบบยังคงปลอดภัย ทำงานได้ตามปกติ และไม่ได้รับผลกระทบใดๆ ทั้งสิ้น จากนั้นทุกอย่างก็ค่อยๆเงียบสงบลง

ในเดือนเมษายน พ.ศ. 2561 VNG บันทึกว่าบัญชี Zing ID จำนวน 160 ล้านบัญชีมีความเสี่ยงที่จะรั่วไหล และอาจส่งผลกระทบต่อฐานลูกค้าเกมส่วนหนึ่งของบริษัท บริษัทระบุว่าได้ดำเนินการอย่างรวดเร็วในการจัดการ ป้องกันการบุกรุก และจำกัดจำนวนผู้ใช้ที่ได้รับผลกระทบจากเหตุการณ์ดังกล่าวโดยใช้มาตรการทางเทคนิค อย่างไรก็ตาม VNG ยอมรับว่ามีผู้ใช้งานจำนวนหนึ่งที่ข้อมูลของตนรั่วไหล แต่ “กลุ่มผู้ใช้งานที่ได้รับผลกระทบจากเหตุการณ์นี้ไม่มากนัก มีเพียงกลุ่มลูกค้าเกมเท่านั้น และไม่ส่งผลกระทบต่อผลิตภัณฑ์อื่น ๆ ของ VNG” และให้คำมั่นว่าจะปกป้องสิทธิและความปลอดภัยของลูกค้าอยู่เสมอ และจะแก้ไขปัญหาใด ๆ ที่เกิดขึ้นกับลูกค้าอย่างละเอียดถี่ถ้วน...

นายโว โด้ ทัง จากศูนย์รักษาความปลอดภัยไซเบอร์เอเธน่า กล่าวว่า กรณีเฉพาะเจาะจงเช่นที่กระทรวงความมั่นคงสาธารณะได้แจ้งมา จะต้องมีการสอบสวนเพื่อทราบว่าระบบของบริษัทถูกโจมตีหรือไม่ หรือพนักงานของบริษัทขโมยข้อมูลแล้วเผยแพร่ออกไป แต่ไม่ว่าด้วยเหตุผลใดก็ตาม เมื่อข้อมูลรั่วไหล นั่นหมายความว่าระบบของบริษัทมีช่องโหว่ ความเสี่ยงที่นี่อาจเป็นด้านเทคนิคหรือจากมนุษย์ก็ได้ ดังนั้นการรักษาความปลอดภัยเครือข่ายและความปลอดภัยโดยทั่วไปหรือการปกป้องข้อมูลส่วนบุคคลของลูกค้าจึงต้องได้รับการติดตามและดำเนินการอย่างสม่ำเสมอ 24 ชั่วโมง 365 วันต่อปี โดยไม่ละเลย เพราะไม่มีใครกล้ายืนยันว่าระบบของตนจะปลอดภัยเสมอไปเนื่องจากแฮกเกอร์สามารถโจมตีได้ตลอดเวลา ไม่ต้องพูดถึงสถานการณ์ที่พนักงานบริษัทเองเป็นคนขโมยข้อมูลลูกค้าไปขายให้คนอื่น...

โลกมีบทลงโทษที่หนัก แต่เวียดนามมีมาตรการคว่ำบาตรน้อยมาก

ในช่วงที่ผ่านมามีกรณีข้อมูลลูกค้ารั่วไหลเกิดขึ้นหลายกรณี แต่แทบไม่มีหน่วยงานใดได้รับการลงโทษหรือคว่ำบาตรเลย ในขณะเดียวกัน ประเทศต่างๆ ทั่วโลกก็ลงโทษพฤติกรรมดังกล่าวอย่างรุนแรง ตัวอย่างเช่นในเดือนกรกฎาคม 2019 คณะกรรมการการค้าแห่งสหรัฐฯ ตัดสินใจปรับ Facebook เป็นเงิน 5 พันล้านดอลลาร์ หลังจาก Cambridge Analytica เข้าถึงและใช้ข้อมูลส่วนบุคคลของผู้ใช้เครือข่ายโซเชียลจำนวน 87 ล้านรายอย่างผิดกฎหมาย จากการสืบสวนพบว่า Facebook อนุญาตให้บริษัทสื่อ Cambridge Analytica เข้าถึงข้อมูลของผู้ใช้งานชาวอเมริกันกว่า 50 ล้านคนอย่างผิดกฎหมายในช่วงการหาเสียงเลือกตั้งประธานาธิบดีปี 2016 รวมไปถึงการลงประชามติ Brexit ของสหราชอาณาจักรในปี 2016... ซึ่งถือเป็นค่าปรับที่สูงที่สุดในโลกสำหรับเรื่องอื้อฉาวที่ข้อมูลผู้ใช้งานรั่วไหล

ในเวียดนามมีกฎระเบียบมากมายที่เกี่ยวข้องกับบทลงโทษสำหรับการรั่วไหลและการเปิดเผยข้อมูล ปัจจุบัน ร่างพระราชกฤษฎีกาที่ควบคุมการลงโทษทางปกครองสำหรับการละเมิดในสาขาความปลอดภัยทางไซเบอร์ (อยู่ระหว่างปรึกษาหารือและรอรัฐบาลประกาศใช้) กำหนดให้โทษสูงสุดสำหรับองค์กรที่ละเมิดกฎระเบียบเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลคือค่าปรับไม่เกินร้อยละ 5 ของรายได้รวมในปีงบประมาณก่อนหน้าในเวียดนามสำหรับการละเมิดตั้งแต่ครั้งที่สองเป็นต้นไป ในขณะเดียวกันอาจมีการลงโทษเพิ่มเติมในการเพิกถอนใบอนุญาตทางธุรกิจสำหรับอุตสาหกรรมที่ต้องรวบรวมข้อมูลส่วนบุคคลเป็นเวลา 1 - 3 เดือน

นายหวู่ ง็อก เซิน ผู้อำนวยการฝ่ายเทคนิค บริษัท Vietnam Cyber ​​​​Security Technology กล่าวว่า จนถึงขณะนี้ เนื่องจากยังไม่มีกฎระเบียบที่ชัดเจนเกี่ยวกับการปกป้องข้อมูลส่วนบุคคล ธุรกิจและองค์กรที่ละเมิดกฎหมายจะได้รับโทษทางปกครองเท่านั้น ดังนั้น การกำหนดค่าปรับสูงสุดที่เสนอไว้ในร่างฉบับถัดไปที่สูงถึง 5% ของรายได้รวม จึงเหมาะสมกับเวียดนาม และทำหน้าที่เป็นสิ่งยับยั้งให้หน่วยงานต่างๆ มีความรับผิดชอบมากขึ้นในการปกป้องข้อมูลของลูกค้า อย่างไรก็ตาม นายซอน กล่าวว่าค่าปรับดังกล่าวยังไม่สูงมากนักเมื่อเทียบกับทั่วโลก เนื่องจากในหลายประเทศการลงโทษส่วนใหญ่จะพิจารณาตามระดับผลกระทบของการละเมิดแต่ละกรณี เช่น หากมีการละเมิดถึงแม้จะมาจากธุรกิจขนาดเล็กแต่ส่งผลกระทบร้ายแรงต่อผู้ใช้จำนวนมาก ค่าปรับก็ยังคงสูงมาก “ในเวียดนามยังไม่มีมาตรฐานในการประเมินผลกระทบจากการรั่วไหลของข้อมูลส่วนบุคคลในแต่ละกรณี ดังนั้นจึงสมเหตุสมผลที่จะเสนอให้ปรับตามรายได้ ผมคิดว่านี่จะเป็นก้าวใหม่ในกระบวนการควบคุมและปกป้องข้อมูลส่วนบุคคลของประชาชน” นายหวู่ หง็อก เซิน กล่าว

นายวอ โดะ ทัง เห็นด้วยและแสดงความเห็นว่าการมีกฎระเบียบที่ละเอียดมากขึ้นเกี่ยวกับบทลงโทษทางปกครองที่เฉพาะเจาะจงและสาธารณะสำหรับการกระทำที่ปกป้องข้อมูลส่วนบุคคลของลูกค้าจะบังคับให้ธุรกิจต่าง ๆ ต้องตรวจสอบระบบความปลอดภัยของเครือข่ายของตน มีกระบวนการประเมินและติดตามอย่างสม่ำเสมอสำหรับทรัพยากรด้านเทคนิคและทรัพยากรบุคคลเพื่อให้แน่ใจว่าข้อมูลของลูกค้ามีความลับ นี้คล้ายคลึงกับข้อกำหนดเกี่ยวกับการดูแลความปลอดภัยจากอัคคีภัยในอาคารสำนักงานและสถานที่ที่มีผู้คนพลุกพล่าน หน่วยงานบริหารงานของรัฐยังต้องเข้มงวดการตรวจสอบ การกำกับดูแล และลงโทษวิสาหกิจที่ละเมิดอย่างเคร่งครัด ครั้งแรกอาจเปิดเผยต่อสื่อมวลชน การละเมิดครั้งที่สองจะได้รับการลงโทษทางปกครองที่สอดคล้องกันและหลังจากนั้นบริการอาจถูกระงับเป็นระยะเวลาหนึ่งเพื่อให้องค์กรสามารถเสริมสร้างระบบรักษาความปลอดภัยเครือข่ายได้