Data Privacy VS Data Security ความต่างในความเหมือน กับการคุ้มครองข้อมูลตามกฎหมาย PDPA

ความเป็นส่วนตัว (Privacy) และความมั่นคงปลอดภัยไซเบอร์ (Cyber Security) มีความสัมพันธ์กันอย่างแยกไม่ได้ ในปัจจุบันข้อมูลต่างๆ ที่ถูกจัดเก็บในรูปแบบดิจิทัลหรือรูปแบบดั้งเดิมนับว่ามีมูลค่าอย่างมาก ซึ่งอาจทำให้เกิดการละเมิดข้อมูลส่วนบุคคลหรือการรั่วไหลของข้อมูลส่งผลกระทบต่อความเป็นส่วนตัว ความปลอดภัย ชื่อเสียงและความน่าเชื่อถือขององค์กร จึงทำให้การคุ้มครองความเป็นส่วนตัวของข้อมูล (Data Privacy) และความปลอดภัยของข้อมูล (Data Security) มีความสำคัญมากยิ่งขึ้น

หลักเกณฑ์ตามกฎหมาย PDPA (พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ Privacy Data Protection Act) กำหนดให้องค์กรต้องกำหนดนโยบายความเป็นส่วนตัว และมีระบบรักษาความมั่นคงปลอดภัยที่เป็นวิธีการทางเทคนิคเพื่อใช้คุ้มครองข้อมูลส่วนบุคคลนั้น ซึ่งต้องปฏิบัติตามมาตรฐานรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่กระทรวงดิจิทัลกำหนดให้องค์กรต้องมีระบบรักษาความมั่นคงปลอดภัยที่เพียงพอและมีเสถียรภาพ เพื่อตรวจสอบว่าองค์กรได้ปฏิบัติตามกฎหมายและคุ้มครองข้อมูลส่วนบุคคลของผู้ใช้บริการและของบุคลากรภายในองค์กรได้เต็มที่

Data Privacy คืออะไร ?

Data Privacy คือ ความเป็นส่วนตัวของข้อมูล โดยให้ความคุ้มครองและปฏิบัติตามกฎหมาย รวมไปถึงการปกป้องข้อมูลต่างๆ โดยเน้นไปที่วิธีการรวบรวม ประมวลผล การเปิดเผยข้อมูล การจัดเก็บ และการลบข้อมูลนั้น ๆ

Data Security คืออะไร?

Data Security คือ ความปลอดภัยของข้อมูล โดยมีมาตรการรักษาความปลอดภัยของข้อมูลตามมาตรฐานสากลหรือตามที่กฎหมายกำหนด จัดทำขึ้นเพื่อคุ้มครองข้อมูลส่วนบุคคลโดยใช้วิธีการและเทคนิคต่าง ๆ เพื่อรับรองความเป็นส่วนตัวของข้อมูล ตัวอย่างของมาตรการ เช่น การให้สิทธิในการเข้าถึงเฉพาะผู้ที่มีสิทธิ์เข้าถึงเท่านั้น และป้องกันไม่ให้บุคคลที่สามเข้าถึงข้อมูลโดยที่ไม่ได้รับอนุญาต

ข้อแตกต่างระหว่าง Data Privacy และ Data Security

ความเป็นส่วนตัวของข้อมูล (Data Privacy) และความปลอดภัยของข้อมูล (Data Security) มีความแตกต่างกัน แต่ก็มีความเกี่ยวข้องที่จะต้องปฏิบัติให้สอดคล้องกันตามกฎหมาย PDPA ในการปกป้องข้อมูลอย่างถูกต้องและให้สอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล

• Data Privacy มุ่งเน้นไปที่การปฏิบัติให้สอดคล้องตามกฎหมาย PDPA และข้อบังคับอื่นๆ เพื่อการปกป้องข้อมูล โดยเน้นไปที่วิธีการรวบรวม ประมวลผล การเปิดเผยข้อมูล การจัดเก็บ และการลบข้อมูลนั้น ๆ
• Data Security มุ่งเน้นไปที่มาตรการรักษาความปลอดภัยของข้อมูล ซึ่งองค์กรมักจะใช้เทคโนโลยีที่ผ่านมาตรฐานสากลที่มีระบบป้องกันการเข้าถึงข้อมูลและระบบเครือข่ายขององค์กรให้ปลอดภัย

หากเราใช้บัญชีอีเมล รหัสผ่านของเราจะเป็นวิธีการรักษาความปลอดภัยข้อมูล (Data Security) ในขณะที่วิธีที่บริษัทผู้ดูแลอีเมลใช้ข้อมูลของเราเพื่อจัดการบัญชีจะถือเป็นการคุ้มครองข้อมูลส่วนบุคคล (Data Privacy) สรุปก็คือ Data Privacy นั้นจะเกี่ยวกับการใช้งานที่เหมาะสม และการลบ การจัดเก็บข้อมูล ส่วน Data Security คือนโยบายวิธีการและวิธีการในการรักษาความปลอดภัยข้อมูลส่วนบุคคล

ตัวอย่างที่เห็นได้ชัดจากการปฏิบัติงานในองค์กรอีกตัวอย่างคือ การที่องค์กรมีระบบจัดเก็บข้อมูลและระบบเครือข่ายที่ผ่านมาตรฐานสากล อย่างเช่น มาตรฐาน ISO 27001 ที่ระบุข้อบังคับส่วนที่เกี่ยวกับ Data Security รวมถึงมีมาตรการต่างๆ เช่น การเข้ารหัสเพื่อเข้าถึงข้อมูล การติดตั้งซอฟต์แวร์ Antivirus ก็ตาม แต่หากบุคลากรภายในองค์กรที่มีสิทธิ์ในการเข้าถึงข้อมูลได้อย่างถูกต้อง นำข้อมูลส่วนตัวของลูกค้าหรือของพนักงานคนอื่นในองค์กรไปใช้ทำอย่างอื่นที่นอกเหนือจากหน้าที่ ทำให้ข้อมูลส่วนตัวรั่วไหลออกสู่ภายนอก และทำให้ความเป็นส่วนตัวของข้อมูลของลูกค้าหรือพนักงานคนอื่นลดลง

จะเห็นได้ว่า แม้ว่าองค์กรจะมีระบบรักษาความปลอดภัย (Data Security) ที่ครอบคลุมและผ่านมาตรฐานแล้ว แต่ก็ยังต้องมีวิธีการอื่นที่เข้ามาอุดช่องโหว่ด้วยวิธีการด้าน Data Privacy เช่น การเพิ่มช่องทางระบบบันทึกการประมวลผลหรือการใช้ข้อมูล การใช้บริการที่ได้รับรองมาตรฐาน ISO27701 ที่ระบุข้อบังคับส่วนที่เกี่ยวกับ Data Privacy รวมถึงการมีข้อกำหนดด้านการคุ้มครองความเป็นส่วนตัวในองค์กรหรือการบังคับใช้กฎหมาย PDPA ให้รัดกุมมากยิ่งขึ้น

ดังนั้น เมื่อองค์กรรวบรวม เก็บและประมวลผลข้อมูลส่วนบุคคลให้สอดคล้องตามกฎหมาย PDPA แล้ว ก็จะเกิดความเป็นส่วนตัวของข้อมูลขึ้น (Data Privacy) นำมาซึ่งมาตรการทางเทคโนโลยีที่องค์กรจ้องจัดหามาให้เกิดความปลอดภัยของข้อมูลที่ได้มา (Data Security) เพื่อปกป้องข้อมูลจากภัยคุกคามภายนอกหรือความประมาทเลินเล่อของบุคลากรในองค์กรเอง ทั้ง 2 สิ่ง แม้ว่าจะแตกต่างกัน แต่ก็เป็นสิ่งที่องค์กรต้องดำเนินการควบคู่กันไป

ทำไม Data Privacy และ Data Security จึงสำคัญใน PDPA?

สิ่งที่จำเป็นกับองค์กรเมื่อกฎหมายคุ้มครองข้อมูลส่วนบุคคลของไทยหรือ PDPA ได้เริ่มเริ่มบังคับใช้เต็มรูปแบบเมื่อวันที่ 1 มิถุนายน 2565 ที่ผ่านมา คือการเตรียมความพร้อม PDPA ทั้งการเตรียมนโยบายในการรักษาความปลอดภัยของข้อมูลและความเป็นส่วนตัวของข้อมูลทั้งของลูกค้าและพนักงาน

ซึ่งถือว่าเป็นการเตรียมพร้อมทั้งบุคลากร การป้องกันข้อมูลที่องค์กรดูแลไม่ให้รั่วไหล ข้อมูลถูกละเมิดจากผู้ไม่ประสงค์ดี รวมถึงการลดความผิดพลาดของมนุษย์ เพื่อลดความเสี่ยงการกระทำผิดตามกฎหมาย PDPA ที่ก่อให้เกิดผลกระทบกับลูกค้า ข้อมูลที่ถูกขโมยอาจทำให้ความเป็นส่วนตัวและความปลอดภัยของเจ้าของข้อมูลลดลง อีกทั้ง องค์กรยังสูญเสียความน่าเชื่อถือ เสียภาพลักษณ์ ต้องเสียเงินชดใช้ค่าเสียหาย โทษปรับ โทษทางอาญาและโทษทางปกครอง นับได้ว่าองค์กรไหนพร้อมกว่า ถือว่าได้เปรียบกว่าองค์กรอื่น

Data Privacy และ Data Security คือหัวใจหลักในกฎหมาย PDPA จึงเป็นสิ่งสำคัญที่องค์กรจะต้องเข้าใจความแตกต่างระหว่างความเป็นส่วนตัวของข้อมูลและความปลอดภัยของข้อมูล ประการแรก เพื่อให้การกำหนดนโยบายความเป็นส่วนตัวในการรวบรวมข้อมูลส่วนบุคคลขององค์กรสอดคล้องกับกฎหมาย และประการที่สอง เพื่อให้องค์กรจัดหามาตรการรักษาความปลอดภัยของข้อมูลให้เหมาะสม

แนวปฏิบัติของ Data Privacy และ Data Security ตามหลัก PDPA

แนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสมตามหลัก PDPA ทั้งในแง่ของ Data Privacy และ Data Security มีดังนี้

ตัวอย่างแนวปฏิบัติของ Data Privacy

• นโยบายความเป็นส่วนตัว (Privacy Policy) แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบบนเว็บไซต์หรือแอปพลิเคชัน หรือช่องทางการติดต่ออื่นๆ ถึงวัตถุประสงค์และสิทธิของการเก็บรวบรวมข้อมูล
• การขอความยินยอมการใช้คุ้กกี้ (Cookies Consent) มักแจ้งขอผ่าน Pop up เล็กๆ หรือ Banner ทางด้านล่างเว็บไซต์ และมีปุ่มการตั้งค่าเพื่อเลือกเก็บประเภทคุ้กกี้ที่ไม่จำเป็น
• บันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (Record of Processing Activity หรือ ROPA) เพื่อตรวจสอบเส้นทางการใช้ข้อมูล โดยจะระบุรายละเอียดการจัดเก็บข้อมูล ว่ามีวัตถุประสงค์เพื่ออะไร และมีใครที่เกี่ยวข้องบ้าง ซึ่งองค์กรจำเป็นจะต้องกำหนดนโยบายสำหรับการดำเนินการด้านข้อมูลส่วนบุคคล (Standard Operating Procedure) จัดทำ Gap Analysis และสร้างเอกสารให้สอดคล้องกับกฎหมาย PDPA

ตัวอย่างแนวปฏิบัติของ Data Security

• Perimeter protection หรือการติดตั้ง Firewall ซึ่งถือว่าเป็นตัวกรอง traffic ทางอินเตอร์เน็ตก่อนที่จะเข้าสู่ระบบคอมพิวเตอร์หรือเครือข่ายภายในบริษัท firewall ที่ตั้งค่าดีจะป้องกันองค์กรจากอันตรายจากการเข้าถึงที่ไม่ได้รับอนุญาตทางอินเตอร์เน็ตได้
• การเข้ารหัสข้อมูล (Data Encryption) เป็นการแปลงข้อมูลให้เป็นรหัสลับ จะช่วยป้องกันข้อมูลให้ปลอดภัยจากผู้ไม่ประสงค์ดี นอกจากนี้ ยังแนะนำให้ใช้ https certificates เพื่อเพิ่มความปลอดภัยทางออนไลน์อีกด้วย
• การใช้การตรวจสอบสิทธิ์และการควบคุมการอนุญาตสำหรับการเข้าถึงข้อมูล (Authentication and Authorization) โดยจำกัดสิทธิการเข้าถึงข้อมูลที่แตกต่างกันตามตำแหน่งหน้าที่ และไม่ควรให้ใช้ account ร่วมกัน โดยแต่ละคนควรมี account, username, password ที่แยกออกจากกัน เพื่อให้สามารถติดตามหาสาเหตุจาก log ได้ในกรณีที่ข้อมูลถูกละเมิด และใช้ two-factor authentication ในการเข้าถึงข้อมูลสำคัญ
• Endpoint security เป็นการรักษาความปลอดภัยแบบภาพรวม โดยใช้วิธีการรักษาความปลอดภัยเบื้องต้นอย่างการใช้ซอฟท์แวร์ Antivirus

“เราทุกคนมีภาระหน้าที่ในการคุ้มครองข้อมูลส่วนบุคคล เมื่อเราอนุญาตให้องค์กรใช้หรือเก็บรวบรวมข้อมูล เจ้าของข้อมูลและองค์กรจึงมีหน้าที่ร่วมกันคุ้มครองข้อมูลนั้น”

จะเห็นได้ว่าการจัดทำนโยบายการรักษาความมั่นคงปลอดภัยขององค์กร เป็นแนวทางการปฏิบัติตามกฎหมาย PDPA เพื่อคุ้มครอง Data Privacy และ Data Security ที่ต้องใช้องค์ความรู้หลากหลายแขนงทั้งการออกแบบ เทคโนโลยี กฎหมาย ซึ่งมีรายละเอียดปลีกย่อยมากมายที่องค์กรต้องให้ความสำคัญ

อย่างไรก็ตาม PDPA Core ที่ปรึกษาผู้ให้บริการด้าน PDPA ซึ่งได้รับการรับรองมาตรฐาน ISO27001ด้านการจัดการความมั่นคงปลอดภัยสำหรับสารสนเทศ (ISMS) และ ISO27701 (PIMS) ด้านการจัดการข้อมูลส่วนบุคคลระดับสากล สามารถช่วยให้องค์กรของคุณปฏิบัติตามกฎหมายได้อย่างครอบคลุมและมีประสิทธิภาพในการคุ้มครองข้อมูลส่วนบุคคลและรักษาความเป็นส่วนตัว ส่งผลให้ความเสี่ยงกรณีข้อมูลถูกละเมิดน้อยลง และสร้างความเชื่อมั่นต่อองค์กรให้กับผู้ใช้งานได้อย่างยั่งยืน

Reference:

https://www.cavelo.com/blog/data-privacy-vs.-data-security-whats-the-difference https://dataprivacymanager.net/security-vs-privacy/ https://www.techtarget.com/searchdatabackup/tip/Comparing-data-protection-vs-data-security-vs-data-privacy https://www.forbes.com/sites/forbestechcouncil/2018/12/19/data-privacy-vs-data-protection-understanding-the-distinction-in-defending-your-data/?sh=96a349550c9e https://www.informatica.com/blogs/data-security-vs-data-privacy-whats-the-difference.html