Blog Standard

ทำไม DPO ต้องเข้าใจ Cyber/Data Security: จาก ROPA สู่ความพร้อมรับมือภายใน 72 ชั่วโมง และเกณฑ์ “มาตรการที่เหมาะสม” ในฐานะวิทยากรผู้ให้ความรู้ด้าน PDPA มาหลายปี รวมทั้งเป็นที่ปรึกษาด้าน Privacy Program ให้กับองค์กรต่างๆ มากกว่าร้อยแห่ง ทุกครั้งที่ต้องตอบคำถามด้าน Cyber Security และ Data Security จาก DPO นั้น ผมพบว่า DPO ส่วนใหญ่ที่ไม่ได้มาจากสาย Security โดยตรงมักมีความกังวลเรื่องนี้มากที่สุด เพราะดูเข้าใจยาก เป็นประเด็นเทคนิคส่วนใหญ่ และดูจะเกี่ยวข้องกับทุกฝ่ายทุกขั้นตอนในองค์กร ผมจึงขอสรุปประเด็นสำคัญที่ DPO มักสอบถามเกี่ยวกับ Cyber Security ไว้ดังนี้ 1) ROPA ขององค์กรคือเครื่องมือจัดการมาตรการรักษาความมั่นคงปลอดภัยของ DPO   ROPA ที่ DPO เป็นผู้นำในการทำอย่างยากเย็นนั้น…

 สืบเนื่องจากในงานแถลงข่าวของคณะกรรมการผู้เชี่ยวชาญชุดที่ 2 ตามกฏหมาย PDPA ที่มีคำสั่งให้ “World ID” ลบข้อมูลม่านตา (Iris) จำนวน 1.2 ล้านคนของคนไทยและยุติบริการการสแกนม่านตาในประเทศไทย (รายละเอียดเพิ่มเติม > คลิก) นั้น ได้มีการอ้างอิงถึงกรณีศึกษาในลักษณะเดียวกันของ World ID กับคำสั่งของหน่วยงานคุ้มครองข้อมูลแห่งรัฐบาวาเรีย ประเทศสาธารณรัฐเยอรมนี (Das Bayerische Landesamt für Datenschutzaufsicht: BayLDA) คำตัดสินของหน่วยงานคุ้มครองข้อมูลบาวาเรีย (BayLDA) ต่อ Worldcoin Foundation ทีมคณะผู้วิจัยกฎหมาย ได้ค้นคว้า สรุปสาระแนวทางคำตัดสินและการสืบสวนของ BayLDA  ต่อการประมวลผลข้อมูลชีวภาพ (Biometric Data) ของ Worldcoin  ซึ่งส่งผลกระทบโดยตรงต่อการดำเนินงานของ Worldcoin และถือเป็นบรรทัดฐานสำคัญในการกำกับดูแลเทคโนโลยีชีวภาพและการพิสูจน์ตัวตนดิจิทัลภายใต้กรอบของ GDPR  1. ประเด็นผลการตัดสินที่สำคัญโดย BayLDA – การละเมิด GDPR ระดับสำคัญต่อองค์กร:  Worldcoin…

เมื่อ “AI” กลายเป็นแขนขาในการทำงานขององค์กรยุคใหม่ ทุกวันนี้ ปัญญาประดิษฐ์ หรือ AI ไม่ได้เป็นเพียงเทคโนโลยีล้ำยุคอีกต่อไป แต่ AI ได้กลายเป็นเครื่องมือสำคัญในการทำงานของแทบทุกธุรกิจ ตั้งแต่การวิเคราะห์พฤติกรรมลูกค้าในส่วนงานการตลาด การคัดเลือกบุคลากรของส่วนงานทรัพยากรบุคคล หรือจะเป็นการให้บริการลูกค้าผ่าน Chatbot  แต่สิ่งที่หลายองค์กรอาจมองข้ามคือ.. เบื้องหลังความแม่นยำของ AI มาจากการ เรียนรู้ด้วยข้อมูลมหาศาล ซึ่งหนึ่งในข้อมูลเหล่านั้นก็คือ “ข้อมูลส่วนบุคคล”  และนั่นคือจุดที่กฎหมาย PDPA (พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562) เข้ามามีบทบาทอย่างมาก เพราะเมื่อใดที่มีการนำ “ข้อมูลส่วนบุคคล” ไปใช้เพื่อให้ AI ทำงานก็อาจถือว่าเข้าข่าย “การประมวลผลข้อมูลส่วนบุคคล” ตาม PDPA ได้ด้วย แล้วทำไมองค์กรต้องระวังเมื่อนำข้อมูลส่วนบุคคลไปใช้กับ AI   AI ทำงานด้วยการ “เรียนรู้” จากข้อมูลจำนวนมหาศาล เพื่อวิเคราะห์ หรือแนะนำผลลัพธ์ต่าง ๆ ได้อย่างแม่นยำ แต่ในกระบวนการเรียนรู้นี้เอง อาจมีการใช้ข้อมูลที่สามารถระบุตัวบุคคลได้ เช่น ชื่อ ที่อยู่ เบอร์โทร อีเมล หรือพฤติกรรมการใช้งานออนไลน์หากองค์กรนำข้อมูลเหล่านี้มาใช้โดยไม่แจ้งเจ้าของข้อมูล หรือไม่ได้รับความยินยอมอย่างชัดเจน ย่อมเสี่ยงที่จะละเมิด PDPA…