ตำรวจไซเบอร์เตือนแขวนชื่อ-ที่อยู่ ผิด PDPA ไล่จับมือโพสต์อวตารยาก

พฤติกรรมการล่าแม่มดในโลกออนไลน์ หรือการนำข้อมูลส่วนบุคคลมาประจานบนแพลตฟอร์มต่างๆ แม้จะเป็นการกระทำที่ผิดกฎหมาย แต่พฤติกรรมดังกล่าวกลับยังปรากฏให้เห็นอยู่บ่อยครั้ง คำถามสำคัญที่ตามมาคือ กฎหมายคุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ที่ประกาศใช้อย่างเป็นทางการนั้น สามารถปกป้องสิทธิของประชาชนได้จริงหรือไม่ และทำไมการดำเนินคดีกับ "แอคหลุม" หรือ “บัญชีอวตาร" ถึงเป็นเรื่องยากลำบากสำหรับเจ้าหน้าที่รัฐ

พล.ต.ต.ศิริวัฒน์ ดีพอ ผู้บังคับการกองบังคับการตำรวจสืบสวนสอบสวนอาชญากรรมทางเทคโนโลยี 1 เปิดเผยกับฐานเศรษฐกิจ ถึงสถิติการแจ้งความดำเนินคดีตามกฎหมาย PDPA ว่าส่วนใหญ่คดีที่เกี่ยวข้องกับข้อมูลส่วนบุคคลที่ตำรวจพบมักจะเกี่ยวโยงกับการหลอกลวงของ "สแกมเมอร์" ที่นำข้อมูลส่วนบุคคลไปใช้สร้างความน่าเชื่อถือเพื่อหลอกเหยื่อว่าตนเป็นเจ้าหน้าที่รัฐที่รู้ข้อมูลเชิงลึก

เมื่อประชาชนมาแจ้งความ เป้าหมายหลักมักจะอยู่ที่การดำเนินคดีฉ้อโกงกับตัวสแกมเมอร์ มากกว่าการเอาผิดเรื่องการละเมิดข้อมูลส่วนบุคคล นอกจากนี้ คดีที่มีความคืบหน้าชัดเจนมักเป็นกรณีที่ข้อมูลรั่วไหลจากบริษัทหรือหน่วยงานขนาดใหญ่ แล้วถูกนำไปขายต่อใน Dark Web ซึ่งกรณีนี้สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) จะเป็นผู้รับผิดชอบโดยตรงในการดำเนินคดีกับบริษัทที่ไม่มาตรการรักษาความปลอดภัยข้อมูลที่เพียงพอ

PDPA กับเส้นแบ่งของ "ความยินยอม" 

พล.ต.ต.ศิริวัฒน์ กล่าวถึงหลักการสำคัญของ PDPA ว่า คือ "ความยินยอม" (Consent) เช่นการถ่ายภาพแล้วติดบุคคลอื่น หากบุคคลที่ถูกถ่ายติดไม่ได้เดือดร้อนก็มักไม่มีปัญหา แต่หากการนำเสนอนั้นทำให้เขาเสียหาย เช่น ถูกถ่ายขณะอยู่ในสภาพไม่เหมาะสม หรืออยู่กับบุคคลที่ไม่ต้องการเปิดเผยความสัมพันธ์ (เช่น กิ๊ก) และเจ้าของคลิปไม่ยอมลบตามคำขอ กรณีนี้อาจถูกดำเนินคดีได้

สำหรับการ "แขวน" ข้อมูล เช่น ชื่อ นามสกุล เบอร์โทรศัพท์ หรือที่ทำงาน แม้จะไม่มีเลขบัตรประชาชน แต่หากข้อมูลนั้นสามารถระบุตัวตนได้ ว่าคนคนนั้นเป็นใคร การนำไปโพสต์โดยที่เจ้าตัวไม่ยินยอมถือว่าเข้าข่ายผิด PDPA นอกจากนี้ยังอาจมีความผิดในฐาน "หมิ่นประมาทโดยการโฆษณา" หากมีการใส่ข้อความประกอบที่ทำให้เกิดความเสื่อมเสีย 

ทางตันของแพลตฟอร์มต่างชาติ

อุปสรรคที่ใหญ่ที่สุดในการทำคดีอาชญากรรมออนไลน์ พล.ต.ต.ศิริวัฒน์ระบุว่า คือ "แพลตฟอร์ม”เนื่องจากกฎหมายไทยยังไม่สามารถบังคับใช้กับแพลตฟอร์มเหล่านี้ได้อย่างเต็มที่ เพราะสำนักงานใหญ่หรือฝ่ายกฎหมายมักตั้งอยู่ในต่างประเทศ เช่น สิงคโปร์ เมื่อตำรวจขอข้อมูลหลังบ้าน เพื่อระบุตัวตนผู้กระทำผิด แพลตฟอร์มมักจะอ้างเรื่อง มาตรฐานชุมชน (Community Standard) หรือเงื่อนไขทางกฎหมายระหว่างประเทศ

หากคดีนั้นไม่เข้าข่ายความผิดร้ายแรงตามเกณฑ์ของเขา เช่น การละเมิดเด็ก, ยาเสพติด, ค้ามนุษย์, การก่อการร้าย หรือการไลฟ์ฆ่าตัวตาย แพลตฟอร์มเหล่านี้มักจะไม่ให้ความร่วมมือในการเปิดเผยข้อมูล แม้แต่กรณีการหมิ่นประมาทหรือการด่าทอกัน แพลตฟอร์มก็มักจะไม่ให้ข้อมูลส่วนบุคคลของยูสเซอร์แก่ตำรวจง่าย ๆ

"สืบสวนทางข้าง" เมื่อแพลตฟอร์มไม่เปิดประตู

เมื่อการขอข้อมูลจากแพลตฟอร์มเป็นไปได้ยากและต้องผ่านกระบวนการความร่วมมือระหว่างประเทศทางคดีอาญา (MLAT) ที่ซับซ้อนและล่าช้า พล.ต.ต.ศิริวัฒน์ เปิดเผยว่าตำรวจจึงต้องใช้สิ่งที่เรียกว่า "การสืบสวนทางข้าง" นั่นคือการแกะรอยจากพยานหลักฐานอื่น ๆ ที่ผู้กระทำผิดทิ้งไว้ในโลกออนไลน์ เช่นเส้นทางการเงิน หากมีการเกี่ยวโยงกับการโอนเงินหรือผลประโยชน์ หรือร่องรอยดิจิทัล การเฝ้ามอนิเตอร์พฤติกรรมในเพจหรือกลุ่มโซเชียล เพื่อหาจุดหลุดที่ระบุตัวตนได้ กระทั่งเรื่องของความผิดพลาดของผู้กระทำผิดเอง เช่น การโพสต์เช็กอินสถานที่ หรือการถ่ายภาพติดสิ่งบ่งชี้บางอย่าง

อย่างไรก็ตาม หากผู้กระทำผิดเป็น "มืออาชีพ" ที่ใช้ VPN เพื่อปลอมแปลง IP Address หรือใช้ ซิมผี ในการลงทะเบียนบัญชีอวตาร การตามหาตัวก็จะยิ่งยากลำบากมากขึ้น
ในกรณีที่ข้อมูลส่วนบุคคลหลุดออกมาจากหน่วยงาน เช่น โรงพยาบาล หรือบริษัทเอกชน ตัวหน่วยงานเองก็มีความเสี่ยงที่จะผิด PDPA หากไม่มีมาตรการป้องกันที่ดีพอ ขณะที่ผู้เสียหายที่เป็นเจ้าของข้อมูลมีสิทธิ์แจ้งความดำเนินคดีได้ทั้งกับคนที่แฮกข้อมูลออกมา และคนที่นำข้อมูลนั้นไปโพสต์ประจานต่อ