วันนี้ (8 กันยายน) ปกรณ์วุฒิ อุดมพิพัฒน์สกุล ส.ส. พรรคก้าวไกล แถลงกรณีข้อมูลผู้ป่วยจากกระทรวงสาธารณสุขรั่วไหลสู่สาธารณะและถูกนำไปวางขายในตลาดมืดว่า ได้ติดตามเหตุที่เกิดขึ้นตั้งแต่ 2 วันก่อน ถึงตอนนี้พบว่ามีเหตุลักษณะคล้ายกันอีกหลายกรณี ดังที่เอกชนค้าปลีกรายหนึ่งออกมายอมรับว่ามีการรั่วไหล และข้อมูลของกองทัพซึ่งคงต้องรอยืนยันข้อเท็จจริงจากหน่วยงาน
ปกรณ์วุฒิยังกล่าวต่อไปว่า หลังเกิดเหตุดังกล่าว กระทรวงสาธารณสุขชี้แจงว่า ข้อมูลที่รั่วไหลเป็นเพียงข้อมูลทั่วไป ไม่ใช่ข้อมูลเชิงลึกที่อยู่ในระบบฐานข้อมูล ได้แก่ ชื่อ นามสกุล, เบอร์โทรศัพท์, สิทธิ์ในการรักษา เช่น ประกันสังคม ข้าราชการ บัตรทอง ประวัติการนัดคนไข้ของแพทย์ ข้อมูลการแอดมิต ตารางเวรของแพทย์ ตนคิดว่านี่เป็นวิธีคิดที่ไม่คํานึงถึงความปลอดภัยของประชาชนเลย เพราะข้อมูลเหล่านี้เป็นข้อมูลส่วนบุคคลของประชาชน เป็นข้อมูลอ่อนไหว เป็นช่องทางสำหรับมิจฉาชีพสามารถนําไปใช้ในทางที่จะเป็นอันตรายต่อเจ้าของข้อมูลได้ ถือว่าเป็นเรื่องใหญ่มากที่ภาครัฐปล่อยให้มีข้อมูลสําคัญขนาดนี้หลุดรอดออกไป
ทั้งนี้ จากการเข้าเป็นกรรมาธิการงบประมาณพบว่า หลายหน่วยงานของบในด้านนี้มาค่อนข้างสูง แต่ถึงตอนนี้พิสูจน์แล้วว่างบประมาณถูกใช้อย่างมีประสิทธิภาพหรือไม่ หน่วยงานต่างๆ เข้าใจความสําคัญ ความอันตรายที่อาจเกิดขึ้นแก่ประชาชน หากมีการรรั่วไหลของข้อมูลออกไปแค่ไหน จนถึงตอนนี้การชี้แจงถึงสถานการณ์ออกมาน้อยมาก อย่างมากคือแค่ออกมายอมรับว่าเกิดขึ้นจริง เช่นในกรณีของข้อมูลสาธารณสุข แต่ยังไม่มีการพูดถึงขั้นตอนในการแก้ไขปัญหา ประชาชนยังคงไม่ได้รับการรับรองว่ารัฐจะแก้ไขปัญหาเฉพาะหน้าอย่างไร จะมีแผนในการคุ้มครองข้อมูลของประชาชนให้ปลอดภัยจากภัยคุกคามเหล่านี้ในระยะยาวอย่างไร
ปกรณ์วุฒิยังกล่าวต่อไปว่า การเก็บข้อมูลของเอกชนหลายแห่งจะใช้วิธี Data Masking คล้ายกับการเข้ารหัสอีกชั้นโดยเจ้าของข้อมูล ทำให้ต่อให้โดนแฮ็กไปก็ไม่สามารถรู้ได้ว่าข้อมูลเหล่านั้นเป็นของใคร หรือทำให้อ่านไม่ออก แต่การจัดเก็บข้อมูลของรัฐพบว่าหลายหน่วยงานยังไม่คํานึงถึงความปลอดภัยของข้อมูลประชาชนในกรณีที่มีการถูกแฮ็กออกไป และอีกประการหนึ่งคือ จากที่ตนอภิปรายไม่ไว้วางใจเรื่องประกาศกระทรวงดิจิทัลภายใต้ พ.ร.บ.คอมพิวเตอร์ ว่าจะมีการบังคับให้ผู้ใช้บริการทั้งหมดเก็บข้อมูลจราจรคอมพิวเตอร์แบบสามารถระบุตัวตนของผู้ใช้ได้อย่างชัดเจน จึงยิ่งเป็นการเพิ่มความเสี่ยงให้ประชาชน เพราะหากเกิดเหตุการณ์แบบนี้อีก จะทําให้คนร้ายได้ข้อมูลของประชาชนแบบระบุตัวตนไป
ประเด็นสุดท้ายเกี่ยวเนื่องกับ พ.ร.บ. อย่างน้อย 2 ฉบับ คือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ซึ่งรัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมเป็นผู้รักษาการณ์ตาม พ.ร.บ. ถึงแม้จะถูกเลื่อนการบังคับใช้ไปบางส่วน และยังไม่มีการตั้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล แต่ส่วนที่บังคับใช้ไปแล้ว ในมาตรา 4 วรรค 3 ระบุไว้ว่า ‘ผู้ควบคุมข้อมูลส่วนบุคคลตามวรรคหนึ่ง (2) (3) (4) (5) และ(6) และผู้ควบคุมข้อมูลส่วนบุคคลของหน่วยงานที่ได้รับบยกเว้นตามที่กําหนดในพระราชกฤษฎีกาตามวรรคสอง ต้องจัดให้มีการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลให้เป็นไปตามมาตรฐานด้วย’
ส่วนอีกฉบับหนึ่งคือ พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ ที่รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมเป็นประธานคณะกรรมการกํากับดูแลด้านความมั่นคงปลอดภัยไซเบอร์โดยตำแหน่ง ระบุชัดเจนไว้ถึงหน้าที่ แผนการรับมือ และบทกําหนดโทษ โดยเฉพาะข้อที่ระบุว่า หากหน่วยงานไม่รายงานเหตุภัยคุกคามโดยไม่มีเหตุอันสมควร ต้องระวางโทษปรับไม่เกิน 2 แสนบาท
“จึงต้องตั้งคําถามไปยังรัฐมนตรีชัยวุฒิว่าจะดําเนินการเรื่องเหล่านี้อย่างไร เมื่อไรจะมีการแถลงข้อเท็จจริงในหลายกรณี ที่ปรากฏบนสื่อหลักไปแล้วคือข้อมูลส่วนตัว เช่น เลขบัตรประชาชน เบอร์โทร ที่อยู่วันเกิด ของประชาชน 30 ล้านคน รวมถึงที่ปรากฏบนสื่อโซเชียลเมื่อวานนี้ว่ามีข้อมูลด้านความมั่นคงของไทยวางขายอยู่บนเว็บไซต์ต่างประเทศ ทั้งสองกรณีเกิดขึ้นจริงหรือไม่ และข้อมูลที่หลุดออกไปแล้วจะแก้ปัญหาอย่างไร ถึงตอนนี้ได้ปฏิบัติตามขั้นตอน เช่น มีการแจ้งเจ้าของข้อมูลเพื่อให้เฝ้าระวังแล้วหรือไม่” ปกรณ์วุฒิระบุ