เครือข่ายพลเมืองเน็ตเปิดผลวิจัย 45 เว็บไทย ปลอดภัยแค่ไหน-มีนโยบายความเป็นส่วนตัวอย่างไร พบเว็บสายการบิน-ธนาคารได้คะแนนสูงสุด ขณะเว็บมหาวิทยาลัย-หน่วยงานรัฐคะแนนต่ำ ด้านนักวิชาการนิติศาสตร์ ชี้มาตรการคุ้มครองข้อมูลส่วนตัวออนไลน์ เป็นโอกาสทางธุรกิจ-ช่วยลดต้นทุนผู้ให้บริการ
22 ธ.ค. 2557 คณะเศรษฐศาสตร์ มหาวิทยาลัยธรรมศาสตร์, Privacy International, และเครือข่ายพลเมืองเน็ต จัดสัมมนาสาธารณะ “เทคโนโลยีและสังคม” เรื่อง “บริการออนไลน์ไทยปลอดภัยแค่ไหน?: มาตรการทางกฎหมายและทางเทคโนโลยีที่เกี่ยวกับการจัดเก็บและการคุ้มครองข้อมูลส่วนบุคคลในประเทศไทย” ที่ห้องประชุม 101 ตึกคณะเศรษฐศาสตร์ มหาวิทยาลัยธรรมศาสตร์ ท่าพระจันทร์
ธิติมา อุรพีพัฒนพงศ์
นักวิจัยโครงการความเป็นส่วนตัวออนไลน์ เครือข่ายพลเมืองเน็ต
งานวิจัยนี้ทำขึ้นเพื่อต้องการให้ผู้ใช้อินเทอร์เน็ตมีข้อมูลในการตัดสินใจการใช้บริการ เพราะที่ผ่านมา มีสถิติการคุกคามความปลอดภัยเพิ่มขึ้นเรื่อยๆ โดยศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย (ThaiCERT) ระบุว่า มีการถูกคุกคามหรืออินเทอร์เน็ตไม่ปลอดภัยเพิ่มขึ้นจากเดิม 2 เท่า จากในปีที่แล้ว 792 รายงาน เป็น 1,745 รายงาน นอกจากนี้ ไทยยังไม่มีกฎหมายกลางในการจัดการกับข้อมูลส่วนบุคคลโดยเฉพาะ มีเพียงกฎหมายอื่นๆ มาเกี่ยวข้อง เช่น พระราชบัญญัติข้อมูลข่าวสารของราชการ พ.ศ.2540 พ.ร.บ.สุขภาพแห่งชาติ พ.ศ. 2550 แล้วก็ พ.ร.บ.การสอบสวนคดีพิเศษ พ.ศ.2547 ส่วนร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลนั้นร่างขึ้นมาเมื่อหลายปีก่อนและนำเสนอโดยสำนักนายกรัฐมนตรี ซึ่งในขณะนี้กำลังเข้าสู่สภานิติบัญญัติแห่งชาติ (สนช.)
อีกเหตุผลคือในขณะนี้มีกิจกรรมบนอินเทอร์เน็ตมากขึ้นเรื่อยๆ เช่น การจ่ายภาษี การสมัครเรียนในโรงเรียนมัธยมและมหาวิทยาลัย ระบบลงทะเบียนเรียนของมหาวิทยาลัย และการซื้อสินค้า การจองตั๋ว ซึ่งทั้งหมดนี้เกี่ยวกับการที่เราเอาข้อมูลส่วนตัวไปแลกเพื่อใช้บริการต่างๆ ที่จะทำให้เกิดความสะดวกสบายมากขึ้น คำถามคือเราจะไว้ใจได้อย่างไรว่าเมื่อเรากรอกข้อมูลส่วนตัว ที่อยู่ เลขประจำตัวประชาชนลงไปในอินเทอร์เน็ตแล้วข้อมูลจะไม่รั่วไหล หรือจะไม่มีใครแอบไปเปลี่ยนข้อมูลกลางทาง
งานวิจัยนี้ทำโดยการสุ่มเก็บตัวอย่างของผู้ให้บริการออนไลน์ไทย 45 เว็บไซต์ซึ่งได้รับความนิยมสูง และแบ่งเป็นกลุ่มต่างๆ ได้แก่ หน่วยงานราชการ ธนาคาร มหาวิทยาลัย เว็บไซต์สั่งซื้อสินค้าออนไลน์หรือขายบัตรต่างๆ หรือเว็บไซต์รับสมัครงาน
ทั้งนี้ ในการประเมินจะไม่ได้ไปดูระบบเบื้องหลังของเว็บไซต์ แต่ดูจากการเชื่อมต่อว่ามีความปลอดภัยแค่ไหนแล้วก็ให้คะแนน โดยตัวชี้วัดจะครอบคลุมทั้งเรื่องความปลอดภัยและความเป็นส่วนตัว ทั้งในแง่เทคนิคและการจัดการข้อมูล ประกอบด้วย มีการเข้ารหัส https (เข้ารหัสข้อมูลจากต้นทางถึงปลายทาง), มีเงื่อนไขการตั้งรหัสผ่านให้ปลอดภัย, ยอมให้ใช้ do not track (ขอให้ไม่มีการติดตามการใช้เว็บ), มีการบังคับใช้เลขบัตรประชาชนหรือไม่, แจ้งว่าเก็บข้อมูลอะไร ส่งต่อข้อมูลอย่างไร และมีนโยบายที่อ่านง่าย
มีข้อค้นพบว่าทุกเว็บธนาคารและเว็บสายการบินใช้การเข้ารหัสข้อมูลในขั้นตอนการลงชื่อเข้าใช้บริการ อาจเพราะว่าธนาคารมีกฎหมายบังคับจากธนาคารแห่งประเทศไทยเกี่ยวกับการทำธุรกรรมอิเล็กทรอนิกส์ ส่วนสายการบินก็เช่นกันเพราะว่ามีขั้นตอนการชำระเงิน
ส่วนเว็บบริการรับสมัครงาน ไม่มีการเข้ารหัสเลย ทั้งที่เว็บเหล่านี้ผู้ใช้บริการต้องกรอกข้อมูลส่วนตัวจำนวนมากเพื่อให้ได้รับการพิจารณาสัมภาษณ์งาน
ไม่มีเว็บไซต์ใดเข้ารหัสในหน้าเนื้อหาทั่วไป ทั้งนี้ ในแง่หนึ่ง การเข้ารหัสจะทำหน้าที่ยืนยันตัวตนของเว็บไซต์ที่เราเข้า สมมติว่าเราพิมพ์ว่า google.com แล้วจะไปที่ google.com จริงๆ ไม่ได้ไปที่หน้าเว็บไซต์อื่น การที่ไม่ได้ใช้ https ในแง่หนึ่งก็บอกได้ว่าเราอาจจะมีโอกาสที่จะไม่ได้เข้าไปเว็บไซต์ที่เราต้องการจริงๆ
ในแง่ของรหัสผ่าน พบว่าธนาคารมีการกำหนดเงื่อนไขรหัสผ่านซับซ้อนที่สุด คือมีการกำหนดความยาวขั้นต่ำ และส่วนผสมของอักขระต้องมีทั้งตัวเลขและตัวอักษรพิมพ์ใหญ่ กรณีลืมรหัสผ่าน มีทั้งให้ตอบคำถามที่เคยตั้งไว้ ให้ใช้เลขบัตรประชาชนคู่กับอีเมล ให้กดลิงก์เพื่อตั้งรหัสใหม่ ซึ่งในกรณีของธนาคาร พบว่ามีการให้ติดต่อเจ้าหน้าที่ธนาคารเป็นหลัก หรือว่าให้มีการแก้ไขหรือยืนยันตัวตนของเราผ่านบัตรที่ตู้เอทีเอ็ม
เว็บไซต์ที่พบว่ามีการแจ้งนโยบายข้อมูลมากและละเอียดที่สุดคือเว็บไซต์ไทยแอร์เอเชีย มีการแจ้งรายละเอียดการเก็บข้อมูล วัตถุประสงค์การเก็บข้อมูล ส่งต่อให้บุคคลที่สามอย่างไร อ่านง่ายและมีลักษณะเฉพาะเจาะจง แต่ที่น่าสนใจก็คือ ไม่มีเว็บไซต์ลงทะเบียนของมหาวิทยาลัยไทยใดเลยที่มีนโยบายข้อมูลส่วนบุคคล
ยกตัวอย่างกรณีแอร์เอเชียจะอธิบายว่าจะใช้ข้อมูลของผู้ใช้บริการอย่างไร เพื่ออะไรบ้าง และอธิบายว่าถ้ามีกฎหมายบังคับ จะเปิดเผยข้อมูลผู้ใช้ให้กับองค์กรหรือหน่วยงานของรัฐบาล หรือตามหมายศาลหรือตามกระบวนการอื่นๆ
จากตารางที่ได้คะแนนมากที่สุดคือแอร์เชีย และมีไม่ถึงครึ่งที่ได้คะแนนเกินครึ่ง เว็บไซต์ธนาคารจะมีคะแนนสูงเมื่อเทียบกับบริการออนไลน์ประเภทอื่นๆ ที่น่าสนใจหน่วยงานรัฐและมหาวิทยาลัยจะอยู่ในกลุ่มที่ได้คะแนนต่ำสุด
ที่จะสังเกตเห็นได้คือเว็บไซต์สายการบินจะให้ความสำคัญกับนโยบายข้อมูลมากที่สุดจะเห็นได้จากสามช่องหลังเว็บไซต์สายการบินมีสีเขียวเยอะที่สุด แต่ในส่วนของมหาวิทยาลัยไม่มีเลย
ทั้งนี้ ตั้งข้อสังเกตว่าเพราะเว็บไซต์สายการบินเป็นการทำงานที่ดำเนินงานระหว่างประเทศ แม้แต่ละประเทศมีกฎหมายคุ้มครองข้อมูลส่วนบุคคลไม่เหมือนกัน มีประเทศที่คุ้มครองมากๆ อย่างยุโรปหรือญี่ปุ่น ฯลฯ แล้วก็มีประเทศที่ไม่มีกฎหมายข้อมูลส่วนบุคคลอย่างไทย สำหรับการทำธุรกิจการบินก็จำเป็นต้องปฏิบัติตามกฎหมายประเทศอื่นๆ ด้วย ในแง่นี้ก็เลยทำให้มีนโยบายส่วนบุคคลที่ละเอียด ชัดเจนและครอบคลุมกรณีต่างๆ มากที่สุด
แต่เมื่อเปรียบเทียบกับสายการบินด้วยกันเอง แอร์เอเชีย นกแอร์ การบินไทย บางกอกแอร์เวย์ ก็จะเห็นความแตกต่างกัน แอร์เอเชียซึ่งเป็นบริษัทที่อยู่ในมาเลเซียมีการแปลเป็นภาษาไทยหมด บางกอกแอร์เวย์มีลิงก์ข้อมูลส่วนบุคคลและความปลอดภัยเขียนเป็นภาษาไทย แต่พอคลิกเข้าไปกลับเป็นเนื้อหาภาษาอังกฤษ ที่น่าสนใจคือของแอร์เอเชียจะมีบอกด้วยว่าถ้ามีการซื้อขายกิจการจะทำอย่างไรกับข้อมูลของเรา
เรื่องการแจ้งการเก็บข้อมูลนั้น พบว่าหลายเว็บไซต์ใช้คำที่กว้างจนไม่ได้บอกรายละเอียด บางเว็บไซต์อ้างว่าข้อมูลที่เราให้ไปเป็นของบริษัทไม่ใช่ของเรา เช่น tarad.com ที่ระบุว่า บริษัทได้มีการจัดเก็บข้อมูลของท่านที่กรอกรายละเอียดในระบบที่มีความปลอดภัย ซึ่งก็เป็นประเด็นว่าปลอดภัยอย่างไรไม่มีอธิบาย อย่างที่สอง ยังถือว่าเป็นสิทธิและกรรมสิทธิ์ของบริษัท และบริษัทขอสงวนสิทธิ์ที่จะทำซ้ำและถ่ายโอนข้อมูลของท่านไว้ในเซิร์ฟเวอร์หรือระบบที่บริษัทพิจารณาว่าเห็นว่าเหมาะสมไม่ว่าภายในหรือภายนอกประเทศไทย
บางเว็บไม่ได้บอกว่าเก็บข้อมูลเรานานแค่ไหนและถือว่าเมื่อเรากดยอมรับข้อตกลงก็คือผูกพันตลอดไป อย่างเช่น "ธนาคารนำข้อมูลส่วนตัวที่ได้จากแบบฟอร์มสมัครใช้บริการ... ผู้ขอใช้บริการตกลงยินยอมให้ธนาคารเปิดเผยข้อมูล และรายละเอียดของผู้ขอใช้บริการไม่ว่าบางส่วนหรือทั้งหมดให้แก่นิติบุคคล ที่ประกอบธุรกิจข้อมูลเครดิตได้ตามที่ธนาคารเห็นสมควร รวมทั้งให้นิติบุคคลดังกล่าวสามารถเปิดเผยข้อมูล และรายละเอียดของผู้ขอใช้บริการดังกล่าวให้แก่สถาบันการเงินหรือนิติบุคคลที่เป็นสมาชิกได้ และให้ความยินยอมนี้มีผลผูกพันอยู่ตลอดไปแม้การใช้บริการของผู้ขอใช้บริการจะสิ้นสุดลงแล้วก็ตาม" มีการใช้คำกว้าง เช่น "เพื่อให้บริการทางการเงินครบวงจรยิ่งขึ้น ธนาคารอาจนำข้อมูลดังกล่าวเพื่อใช้ในการวิเคราะห์ และนำเสนอผลิตภัณฑ์การเงินอื่น นอกเหนือจากที่ท่านใช้บริการอยู่" ขณะที่มีเว็บไซต์ที่ออกตัวไว้ก่อนว่าไม่รับรองว่าจะรับผิดชอบ หากเกิดความผิดปกติในระบบ เช่น เว็บไซต์ของกรมจัดหางาน
จากทั้งหมดนี้พยายามจะแสดงให้เห็นว่ามีการปกป้องคุ้มครองข้อมูลความเป็นส่วนตัวของผู้ใช้บริการมากน้อยแค่ไหน จะเป็นตัวชี้วัดที่หวังว่าผู้ให้บริการออนไลน์ไทยจะคิดถึงประเด็นความปลอดภัยและความเป็นส่วนตัวของผู้ใช้บริการด้วย อีกแง่หนึ่งคืออยากให้ผู้ใช้บริการมีข้อมูลว่าเว็บไซต์ไหนปลอดภัยหรือไม่ปลอดภัย มีระบบการจัดการข้อมูลของเราอย่างไร และอีกแง่คือเขาได้รู้วิธีการเบื้องต้นในการประเมินเว็บไซต์ต่างๆ ที่เขาเข้าไป ซึ่งอาจจะเป็นเว็บไซต์ที่ไม่ได้อยู่ในลิสต์เราเลือกมา ให้สามารถนำไปใช้เองได้
ฐิติรัตน์ ทิพยสัมฤทธิกุล
อาจารย์คณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์
สิ่งที่เห็นได้ชัดเจนจากงานวิจัย คือ สถานการณ์การคุ้มครองข้อมูล โดยจะเห็นว่าถ้าเป็นส่วนของธุรกรรมที่มีการติดต่อกับต่างประเทศมากๆ ก็จะมีการคุ้มครองค่อนข้างดี แม้ว่าแต่ละประเทศมีกลไกคุ้มครองข้อมูลส่วนบุคคลไม่เท่ากัน แต่ข้อมูลนั้นไม่มีพรมแดน ไม่เหมือนสินค้าที่จะผ่านพรมแดนผ่านท่า ต้องมีคนคอยตรวจสอบ ข้อมูลพวกนี้มันไหลผ่านไปได้อยู่แล้ว แล้วความเสียหายที่อาจจะเกิดขึ้นจากการใช้ข้อมูลนั้นมันก็ไหลผ่านไปด้วย ความเสี่ยงมันก็ผ่านไปด้วย
ฉะนั้น กฎหมายแต่ละประเทศที่จะคุ้มครองข้อมูลจะคุ้มครองเฉพาะแต่ในประเทศตัวเองไม่ได้ กฎหมายของแต่ละประเทศก็จะพยายามเอื้อมมือออกไปคุ้มครองของคนในประเทศตัวเองแม้ว่ามันจะถูกนำไปใช้ในประเทศอื่นๆ มันจะพยายามไปให้กว้างที่สุด อย่างที่เรารู้กันดีตอนนี้ในสหภาพยุโรปจะมีการคุ้มครองที่สูงมาก ทำให้บริษัทที่ต้องการให้บริการกับคนที่อยู่ต่างประเทศหรืออยู่นอกประเทศต้องมีการส่งต่อข้อมูล เขาจะต้องตั้งมาตรฐานที่สูงเพราะถ้าไม่อย่างนั้นในการทำธุรกรรมต่างๆ เขาจะทำไม่ได้เลย ถึงขั้นไม่สามารถเซ็นสัญญาทางธุรกิจกันได้
อย่างกรณีแอร์เอเชียที่เห็นได้ชัดว่าจากงานวิจัยมีสีเขียวมากที่สุดก็คือดูแลมากที่สุดซึ่งเขาก็อยู่ในมาเลเซียซึ่งมีกฎหมายคุ้มครองข้อมูลส่วนบุคคลตัวใหม่ออกมาเมื่อ 2 ปีที่ก่อนและเริ่มบังคับใช้เมื่อปีที่แล้ว ทำให้ธุรกิจในมาเลเซียตื่นตัวเยอะมาก ในกฎหมายของเขาจะมีมาตราที่พูดถึงการส่งข้อมูลไปต่างประเทศ ซึ่งจะห้ามอย่างชัดเจนเลยว่าห้ามส่งข้อมูลส่วนบุคคลไปต่างประเทศ ยกเว้นประเทศที่ได้รับความเชื่อถือว่ามีมาตรฐานเดียวกันในการคุ้มครอง ซึ่งเขาจะมีหน่วยงานที่เกี่ยวข้องทำลิสต์เลยว่าประเทศไหนส่งได้ประเทศไหนที่ส่งไม่ได้
ถามว่าทำไมเขาจะต้องออกกฎหมายแบบนี้หรือทำไมจะต้องสร้างมาตรฐานที่สูงมากขึ้นมา ส่วนหนึ่งที่จะเห็นได้ชัดก็คือการยื้อแย่งโอกาสการทำธุรกิจ เมื่อมีมาตรฐานที่สูงมากคุณก็จะให้บริการกับลูกค้าได้หลายประเทศมากขึ้น
ทีนี้ถ้าเราก็กลับมาดูเฉพาะในอุตสาหกรรมในลิสต์นี้ก็ได้ว่าหน่วยงานที่มีสีเขียวน้อยก็เห็นได้ชัดว่าโอกาสทางธุรกิจอาจจะเสียไปก็ได้ สำหรับลูกค้าหรือผู้บริโภคที่เซ้นซิทีฟมากในเรื่องข้อมูลส่วนบุคคลก็อาจจะเลือกไม่ใช้ หรือมากกว่านั้นอาจจะไม่ใช่ตัวเลือกของลูกค้าเองแต่เป็นตัวเลือกของคนที่อยู่ในประเทศที่กฎหมายที่ไม่เอื้ออำนวยให้ทำธุรกรรมกับบริษัทหรือประเทศที่มีมาตรฐานต่ำก็ถือว่าจบเลย แล้วการปิดโอกาสนี้ซึ่งก็จะเชื่อมไปถึงเรื่องของตัวเลือกของผู้บริโภคด้วย
ยกตัวอย่างเช่น หากผู้ให้บริการบอกว่าถ้าจะเอาบริการที่มีการคุ้มครองข้อมูลส่วนบุคคลมากก็จะต้องจ่ายเงินเพิ่มมากๆ อาจเป็นการจำกัดทางเลือกของผู้บริโภคได้ หรือสินค้าบางอย่างเช่น กรมจัดหางาน ผู้ที่ใช้บริการอาจไม่ได้มีทางเลือกมากนักแล้วเขาก็อยู่ในสถานการณ์ที่รัฐจะให้บริการได้โดยไม่เสียค่าใช้จ่ายหรือต่ำกว่าที่อื่น แต่เขาไม่อยากใช้เพราะมันไปรุกล้ำสิทธิส่วนบุคคลของเขามากเกินไป คือในทางหนึ่งอาจจะมองแค่ว่าถ้าคุณไม่พอใจก็ไปใช้อันอื่นสิ แต่ในอีกทางได้ว่าเป็นการตัดตัวเลือกของผู้บริโภคไปเลย
ถ้ามองในแง่นี้ มองว่า หากปล่อยให้เป็นไปตามกลไกตลาดอย่างเดียวจะยาก เพราะเราก็จะทราบว่าผู้บริโภคเองมีกำลังต่อรองกับฝั่งผู้ให้บริการค่อนข้างน้อย หากผู้ประกอบการเห็นว่าเซ้นซิทีฟเรื่องนี้มาก เขาก็อาจจะไม่เอาผู้บริโภคกลุ่มนี้ก็ได้ เขาก็ไปเอากลุ่มที่สนใจเรื่องความสะดวกสบายมากกว่าความปลอดภัยในเรื่องของข้อมูลส่วนบุคคล กลไกตลาดโดยตัวมันเองไม่ทำให้เกิดกลไกที่จะมาตรวจสอบกันและกันอยู่แล้ว ก็อาจจะต้องจัดการโดยภาครัฐ
นี่ก็เป็นอีกจุดที่ส่วนตัวเห็นว่าจากงานวิจัยบอกได้อย่างหนึ่งว่าในธุรกิจธนาคารหรือการบินจะมีมาตรฐานบางตัวที่จะเห็นชัดว่าเป็นมาตรฐานเดียวกัน คือทุกคนสามารถทำได้ซึ่งถามว่าทำไมถึงทำได้ ก็เพราะว่ามันมีระเบียบออกมาอย่างชัดเจนและมีคนบังคับใช้ระเบียบนั้น มันมีกลไกของมันอยู่ว่าถ้าคุณไม่ปฏิบัติตามระเบียบนี้คุณจะไม่สามารถจดทะเบียนทางธุรกิจได้หรือไม่สามารถเป็นผู้เล่นในวงการนั้นได้ คือถ้ามันชัดเจนก็จะเห็นว่ามันบังคับได้ไม่ใช่เรื่องที่ยากจะผลักดันเกินไปนัก
แล้วอีกแง่หนึ่งมันก็ไม่ได้เป็นเรื่องการคุ้มครองสิทธิผู้บริโภคเจ้าของข้อมูลอย่างเดียว แต่มันเป็นการลดค่าใช้จ่าย ลดต้นทุนของฝั่งผู้ให้บริการด้วย อาจจะฟังเหมือนว่าการสร้างมาตรการด้านความปลอดภัยพวกนี้เหมือนไปเพิ่มต้นทุน ต้องไปจัดการทางเทคนิค พูดคุยนโยบาย ฝึกนักเทคนิคในบริษัท แต่จริงๆ แล้วถ้าระเบียบต่างๆ มันชัดเจนว่าจะต้องทำอะไร ข้อมูลตรงไหนเก็บได้ตรงไหนเก็บไม่ได้ ก็จะลดขั้นตอนที่บริษัทจะต้องไปคิดเอาเองว่าบริษัทจะต้องทำอะไร แล้วกลายเป็นมีมาตรฐานไม่เหมือนกันแบบนี้ ถ้ามีมาตรฐานเดียวกันมันน่าจะง่ายขึ้นแล้วก็ไปตั้งมาตรฐานให้กับผู้เล่นใหม่ที่จะเข้ามาในภาคอุตสาหกรรมหรือภาคธุรกิจนั้นๆ ได้เห็นชัดว่าจะต้องทำอะไรบ้าง
อีกประเด็นหนึ่งที่เป็นประเด็นเล็กๆ คือเรื่องระยะเวลาในการเก็บข้อมูลที่ข้อสังเกตหน้า 15 ข้อ 7 ของรายงาน "การนำข้อมูลไปใช้ของผู้ให้บริการบางรายไม่มีระยะเวลาสิ้นสุด แม้การใช้บริการจะสิ้นสุดแล้วก็ตาม” ซึ่งสมมติร่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลตัวใหม่ออกมาได้ จะมีอนุมาตราหนึ่งที่บอกว่าจะเก็บข้อมูลได้เท่าระยะเวลาที่กำหนดที่แจ้งในจุดประสงค์ตอนแรกเท่านั้นและตามเท่าที่จำเป็น ซึ่งอันนี้ก็เข้ากับหลัก Necessary Principle ของ OECD Guideline แล้วก็ Guideline ของ APEC ด้วย ซึ่งตรงนี้ถ้าเกิดว่าจะยืดระยะเวลาต้องมีคำยืนยันอย่างชัดแจ้งเป็นหนังสือ ถ้ากฎหมายออกมาแล้วก็น่าจะช่วยได้มากขึ้นในประเด็นตรงนี้
อีกข้อที่พูดถึงกรมจัดหางานที่ระบุว่า หากเกิดข้อบกพร่องทางเทคนิคแล้วเว็บไซต์จะปฏิเสธความรับผิดทั้งหมดนั้น ใน พ.ร.บ.ข้อมูลข่าวสารของราชการ หมวดที่ 3 เรื่องข้อมูลส่วนบุคคล มาตรา 5 และ 23 บอกว่าจะต้องจัดระบบรักษาความปลอดภัยแต่ถามว่า จัดระบบรักษาความปลอดภัยอย่างไรก็ยังเป็นประเด็นอยู่ ซึ่งถ้าเกิดว่า พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ที่จะเป็นเฉพาะของภาคเอกชนออกมา อาจจะสร้างมาตรฐานใหม่ขึ้นมาให้หน่วยงานรัฐต้องปรับตัวตามด้วยเหมือนกัน
ร่วมบริจาคเงิน สนับสนุน ประชาไท โอนเงิน กรุงไทย 091-0-10432-8 "มูลนิธิสื่อเพื่อการศึกษาของชุมชน FCEM" หรือ โอนผ่าน PayPal / บัตรเครดิต (รายงานยอดบริจาคสนับสนุน)