สคส. ร่วมกับ บช.สอท. และ สกมช. แถลงขยายผลจับกุมผู้ขายข้อมูลส่วนบุคคลให้กลุ่มธุรกิจสีเทา-แก๊งคอลเซ็นเตอร์

สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) หรือ PDPC ร่วมกับ กองบัญชาการตำรวจสืบสวนสอบสวนอาชญากรรมทางเทคโนโลยี (บช.สอท.) และ สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ร่วมแถลงข่าวการขยายผลจับกุมผู้ขายข้อมูลส่วนบุคคลให้กลุ่มธุรกิจสีเทาและแก๊งคอลเซ็นเตอร์ ชี้การกระทำผิดฝ่าฝืนกฎหมาย พ.ร.บ. คุ้มครองครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) และ พ.ร.บ. คอมพิวเตอร์ฯ พ.ศ. 2560 แนะผู้เสียหายเอาผิดคนร้ายได้ทั้งทางแพ่ง อาญา และปกครอง

นายศิวรักษ์ ศิวโมกษธรรม เลขาธิการสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เปิดเผยถึงกรณีที่สำนักงานฯ ได้ประสานความร่วมมือกับตำรวจไซเบอร์ ในการจับกุมมิจฉาชีพคนร้ายผู้ขายข้อมูลส่วนบุคคล (Personal Data) กว่า 2,000,000 รายชื่อ เมื่อวันที่ 14 ก.ค.2566 ที่ผ่านมา โดยขยายผลจนสืบทราบว่าผู้ต้องหาได้นำข้อมูลส่วนบุคคลของผู้เสียหายมาจากกลุ่มลูกค้าซื้อขายอาหารเสริมยี่ห้อดัง ตลอดจนลูกค้าธุรกรรมอื่นๆ มาโพสต์ขายบนเฟซบุ๊กให้กับกลุ่มธุรกิจสีเทา, กลุ่มเว็บพนันออนไลน์ (บัญชีม้า), กลุ่มแก๊งคอลเซ็นเตอร์ต่าง ๆ อีกทั้งในเบื้องต้นผู้ต้องหายังให้การสารภาพว่าประกอบอาชีพเป็นคนกลางรับซื้อข้อมูล ซึ่งมีรายได้จากการกระทำดังกล่าว สูงสุดกว่า 400,000 บาท

การกระทำความผิดในครั้งนี้ ถือเป็นการเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับคำยินยอมจากเจ้าของข้อมูลส่วนบุคคล เป็นการฝ่าฝืนมาตรการตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ที่อาจเข้าข่ายความผิดฐานล่วงรู้ข้อมูลส่วนบุคคลของผู้อื่นแล้วนำไปเปิดเผยแก่ผู้อื่น อีกทั้งโพสต์ดังกล่าวเป็นการทำให้เข้าใจว่าสามารถนำข้อมูลส่วนบุคคลมาซื้อขายได้ หรือเจ้าของข้อมูลส่วนบุคคลนั้นได้ให้ความยินยอมแล้ว ซึ่งอาจเข้าข่ายเป็นการนำเข้าข้อมูลที่บิดเบือนหรือเป็นเท็จสู่ระบบคอมพิวเตอร์ ที่เป็นความผิดตาม พ.ร.บ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ (ฉบับที่ 2) พ.ศ. 2560 อีกด้วย

นายศิวรักษ์ กล่าวว่าความร่วมมือในการจับกุมครั้งนี้ ทาง สคส. ได้ร่วมมือกับ บช.สอท. และ สกมช. ในบทบาทหน่วยงานกำกับดูแลด้านกฎหมายคุ้มครองข้อมูลส่วนบุคคล ซึ่งจากที่ผ่านมาในอดีต การดำเนินการจับกุมเรื่องซื้อขายข้อมูลส่วนบุคคลหลายครั้ง มักจะเกิดข้อติดขัดและข้อถกเถียงว่าผิดกฎหมายในส่วนใด แต่เมื่อมีการประกาศใช้กฎหมาย PDPA แล้ว ทำให้เรื่องของการซื้อขายข้อมูลส่วนบุคคลโดยมิชอบกลายเป็นการกระทำที่ชัดเจนว่าฝ่าฝืนกฎหมาย ประกอบกับเมื่อใช้กฎหมาย PDPA ร่วมกับกฎหมายอื่นๆ ที่ บช.สอท. ใช้ดำเนินการอยู่ จึงทำให้เราสามารถจับกุมผู้ต้องหาได้อย่างมีประสิทธิภาพมากขึ้น

“เมื่อมีการจับกุมผู้กระทำผิดที่ขายข้อมูลส่วนบุคคลได้ ประชาชนผู้เสียหายสามารถฟ้องร้องเอาผิดกับคนร้ายได้ทั้งทางแพ่งเพื่อให้ชดใช้ค่าเสียหายให้ หรือดำเนินคดีอาญา ตามกระบวนการยุติธรรม สำหรับกรณีซื้อ-ขายข้อมูลส่วนบุคคลข้างต้น ผู้กระทำผิดจะได้รับโทษตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และ พ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ (ฉบับที่ 2) พ.ศ.2560 มีโทษจำคุกสูงถึง 5 ปี นอกจากนี้ ผู้เสียหายที่ถูกนำข้อมูลไปซื้อขายโดยมิชอบ สามารถร้องเรียนมายังสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หรือ PDPC เพื่อให้คณะกรรมการผู้เชี่ยวชาญตามกฎหมายพิจารณาสั่งลงโทษปรับทางปกครองเพิ่มเติม ซึ่งมีโทษปรับสูงสุดอยู่ที่ 3 ล้านบาท แต่เงินค่าปรับทางปกครองเป็นส่วนที่จะต้องนำส่งเข้ากระทรวงการคลัง ไม่ใช่ค่าชดเชยให้แก่ผู้เสียหายโดยตรง” นายศิวรักษ์ กล่าว และย้ำว่า

“ความร่วมมือระหว่าง สคส. กับ บช.สอท. และ สกมช. จะสร้างความเชื่อมั่นในการคุ้มครองข้อมูลส่วนบุคคลให้แก่สังคมได้อย่างดี ทั้งนี้ สคส. ยังมีการเฝ้าระวังติดตามสถานการณ์หากตรวจพบการกระทำผิดจะได้ประสาน บช.สอท. , สกมช. และหน่วยงานอื่นๆ ที่เกี่ยวข้อง ดำเนินการตามกฎหมายโดยทันที และมีศูนย์รับเรื่องร้องเรียนสำหรับบริการประชาชน เพื่อให้การคุ้มครองข้อมูลส่วนบุคคลเป็นไปอย่างมีประสิทธิภาพต่อไป”