สคส. ครบรอบ 4 ปี ชู PDPA สร้าง Digital Trust หนุนเศรษฐกิจดิจิทัล เดินหน้ารับมือความท้าทายยุค AI

สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) จัดงานครบรอบ 4 ปี การจัดตั้งสำนักงานและการบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) อย่างเต็มรูปแบบ ภายใต้เวทีเสวนา ‘4th Anniversary PDPC Thailand ความก้าวหน้า และพัฒนาการด้านการคุ้มครองข้อมูลส่วนบุคคล กับการขับเคลื่อนเศรษฐกิจและสังคมดิจิทัลของประเทศ’ สะท้อนพัฒนาการตลอด 4 ปีที่ผ่านมา พร้อมประกาศเดินหน้าสร้างความเชื่อมั่นด้านข้อมูลส่วนบุคคล (Digital Trust) เพื่อรองรับการเติบโตของเศรษฐกิจดิจิทัลและการใช้ปัญญาประดิษฐ์ (AI)

6 ก.ค. 2569 – พ.ต.อ.สุรพงศ์ เปล่งขำ เลขาธิการคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล กล่าวว่า ตลอดระยะเวลา 4 ปีที่ผ่านมา PDPA ไม่ได้เป็นเพียงกฎหมายคุ้มครองข้อมูลส่วนบุคคล แต่เป็นกลไกสำคัญในการสร้างความเชื่อมั่นให้กับภาคธุรกิจและประชาชนในการใช้เทคโนโลยีดิจิทัล ซึ่งถือเป็นรากฐานสำคัญของการพัฒนาเศรษฐกิจดิจิทัลของประเทศ

นายพันธ์ศักดิ์ ศิริรัชตพงษ์ กรรมการผู้ทรงคุณวุฒิด้านเทคโนโลยีสารสนเทศและการสื่อสาร ในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล กล่าวว่า PDPA เป็นกฎหมายที่มีลักษณะเฉพาะ เนื่องจากเป็น “กฎหมายมาก่อนองค์กร” ต่างจากกฎหมายส่วนใหญ่ที่มีหน่วยงานรองรับอยู่ก่อน จึงต้องเร่งสร้างโครงสร้างองค์กรควบคู่กับการขับเคลื่อนการบังคับใช้กฎหมาย

นายปริญญา หอมเอนก กรรมการผู้ทรงคุณวุฒิในคณะกรรมการกำกับสำนักงานฯ กล่าวว่า การจัดตั้ง สคส. เปรียบเสมือนการสร้างสตาร์ตอัพจากศูนย์ โดยในช่วงเริ่มต้นยังไม่มีทั้งเลขาธิการ สำนักงาน และงบประมาณ แต่ต้องเร่งสรรหาบุคลากรและวางระบบให้สามารถรองรับการบังคับใช้กฎหมายได้อย่างมีประสิทธิภาพ

สำหรับในปีแรกของการดำเนินงาน สคส. มีบุคลากรเพียง 50 คน แต่สามารถเร่งออกกฎหมายลูกรวม 22 ฉบับ พร้อมจัดตั้งศูนย์รับเรื่องร้องเรียนและให้คำปรึกษา โดยมีเรื่องร้องเรียนกว่า 200 เรื่อง ต่อมาในปีที่ 2 สถานการณ์แก๊งคอลเซ็นเตอร์และการหลอกลวงทางออนไลน์ที่ทวีความรุนแรง ทำให้การคุ้มครองข้อมูลส่วนบุคคลกลายเป็นหนึ่งในกลไกสำคัญในการป้องกันอาชญากรรมทางเทคโนโลยี สคส. จึงจัดตั้งศูนย์เฝ้าระวังการละเมิดข้อมูลส่วนบุคคล (PDPC Eagle Eye) เพื่อค้นหาและแจ้งเตือนการรั่วไหลของข้อมูลเชิงรุก

พ.ต.อ.สุรพงศ์ กล่าวว่า นับตั้งแต่ปี 2566 จนถึงปัจจุบัน ระบบ PDPC Eagle Eye ตรวจสอบข้อมูลแล้วกว่า 900,000 URL และสามารถดำเนินการแก้ไขได้กว่า 7,000 กรณี ก่อนเกิดความเสียหาย พร้อมทั้งร่วมกับสำนักงานตำรวจแห่งชาติผลักดันการบังคับใช้มาตรา 11/2 ของพระราชกำหนดมาตรการป้องกันและปราบปรามอาชญากรรมทางเทคโนโลยี (ฉบับที่ 2) พ.ศ. 2568 จนนำไปสู่การจับกุมผู้กระทำผิดจากการซื้อขายข้อมูลส่วนบุคคลแล้ว 18 ราย

ดร.ปริญญา กล่าวว่า ปัญหาสำคัญของอาชญากรรมออนไลน์คือการรั่วไหลของข้อมูลส่วนบุคคล (Data Breach) หากสามารถลดปัญหาดังกล่าวได้ จะช่วยลดโอกาสที่มิจฉาชีพจะนำข้อมูลไปใช้ก่ออาชญากรรม โดยปัจจุบันเริ่มเห็นผลลัพธ์ที่ชัดเจนจากมูลค่าความเสียหายของภัยออนไลน์ที่ลดลงจากเฉลี่ยวันละประมาณ 117 ล้านบาทในช่วงต้นปี 2567 เหลือประมาณ 65 ล้านบาทในช่วงต้นปี 2568 หรือลดลงเกือบ 40%

ปัจจุบัน สคส. มีบุคลากรเพิ่มเป็น 175 คน และขยายเครือข่ายเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ครอบคลุมหน่วยงานภาครัฐและเอกชนเกือบ 4,000 แห่ง พร้อมพัฒนาเครื่องมือสนับสนุนทั้งแพลตฟอร์ม GPPC สำหรับผู้ประกอบการ SME แอปพลิเคชัน Smart PDPA และระบบ e-Learning ซึ่งมีผู้เข้าใช้งานแล้วเกือบ 100,000 คน

นอกจากนี้ โครงการ GPPC ยังได้รับการคัดเลือกเข้าสู่รอบ Champions (Top 5) ในเวที WSIS Prizes 2026 สาขานโยบายและการส่งเสริมเทคโนโลยีสารสนเทศและการสื่อสาร ซึ่งเป็นเวทีระดับนานาชาติที่ยกย่องโครงการดิจิทัลที่สร้างผลกระทบเชิงบวกต่อสังคม

สำหรับทิศทางในอนาคต สคส. เตรียมรับมือความท้าทายด้านการคุ้มครองข้อมูลในยุค AI โดย ดร.ปริญญา ระบุว่า ความเสี่ยงในปัจจุบันไม่ได้มาจากการโจมตีทางไซเบอร์เพียงอย่างเดียว แต่รวมถึงการออกแบบแพลตฟอร์มที่ทำให้ผู้ใช้ยินยอมเปิดเผยข้อมูลโดยไม่รู้ตัว หรือที่เรียกว่า Privacy Engineering ซึ่งปัจจุบันพบว่า 17 ใน 20 แพลตฟอร์มมีการเก็บและแชร์ข้อมูลผู้ใช้งาน

ขณะที่ นายพันธ์ศักดิ์ กล่าวว่า สคส. ได้จัดตั้งคณะอนุกรรมการเพื่อจัดทำแนวปฏิบัติด้าน AI สำหรับ 5 กลุ่ม ได้แก่ ประชาชน ผู้บริหาร ผู้ควบคุมข้อมูล ผู้ประมวลผลข้อมูล และนักพัฒนา ควบคู่กับการผลักดันแนวทางการส่งข้อมูลข้ามพรมแดน (Cross Border Transfer) และความร่วมมือกับหน่วยงานคุ้มครองข้อมูลส่วนบุคคลในต่างประเทศ เพื่อสนับสนุนการใช้ข้อมูลและ AI ในการขับเคลื่อนเศรษฐกิจดิจิทัลของไทย

ด้านการบังคับใช้กฎหมาย สคส. เปิดเผยว่า ปัจจุบันมีการลงโทษทางปกครองทั้งภาครัฐและเอกชนรวมกว่า 21.5 ล้านบาท (ข้อมูลสะสม ณ ปีงบประมาณ 2568) พร้อมเดินหน้าส่งเสริมมาตรฐานการคุ้มครองข้อมูลผ่านเครื่องหมายรับรอง PDPC Certification (Trust Mark) ซึ่งผู้ขอรับรองจะต้องผ่านการประเมินระดับความพร้อมด้านการคุ้มครองข้อมูลส่วนบุคคล (Privacy Maturity Model: PMM) ระดับ 5 และต้องไม่เคยถูกลงโทษตามกฎหมาย PDPA ภายในระยะเวลา 2 ปี

พ.ต.อ.สุรพงศ์ กล่าวทิ้งท้ายว่า การคุ้มครองข้อมูลส่วนบุคคลที่ดีที่สุดยังเริ่มต้นจากตัวประชาชนเอง โดยควรเปิดเผยข้อมูลเท่าที่จำเป็น ใช้รหัสผ่านที่มีความปลอดภัย เปลี่ยนรหัสผ่านเป็นประจำ และยึดหลัก “ไม่หลงเชื่อ ไม่หลงโหลด ไม่หลงโอน” รวมถึงการกำหนดรหัสลับภายในครอบครัวเพื่อใช้ยืนยันตัวตน ท่ามกลางสถานการณ์ที่มิจฉาชีพสามารถใช้ AI ปลอมแปลงทั้งใบหน้าและเสียงได้อย่างแนบเนียน

เพิ่มเพื่อน

ข่าวที่เกี่ยวข้อง