กมธ.ดีอี รับเรื่องสอบ 'ก.สาธารณสุข' ปมข้อมูลประชาชนรั่วไหล พบซื้อขายในตลาดมืด

“ภาคประชาชน” บุกสภาฯ ร้อง “กมธ.ดีอี” ปูดหน่วยงานดูแล “สิทธิ์สุขภาพ” ทำข้อมูลเลขบัตรประชาชน-สิทธิ์รักษา 67.1 ล้านคนรั่วไหล พบช่องโหว่ สะท้อนความล้มเหลวเชิงระบบ จี้ เปิดเผยจำนวนผู้เสียหาย-มาตรการเยียวยาด่วน ด้าน “อลงกต” เด้งรับ สัปดาห์หน้าเรียกหน่วยงานแจง ขณะ “ภาวุธ” แฉ “แฮ็คเกอร์” ซื้อข้อมูลในตลาดมืดหลักสิบ ให้สแกมเมอร์ต่อยอด

10 มิถุนายน 2569 - เมื่อเวลา 10.00 น. ที่รัฐสภา นายอลงกต มณีกาศ สส.นครพนม พรรคภูมิใจไทย ในฐานะประธานคณะกรรมาธิการ (กมธ.) การสื่อสาร โทรคมนาคม และดิจิทัลเพื่อเศรษฐกิจและสังคม สภาผู้แทนราษฎร รับหนังสือจากภาคประชาชน นำโดยนายธนารัตน์ กัววัฒนาพันธ์ CEO ของบริษัท โดมคลาวด์ จำกัด (DomeCloud) ผู้เชี่ยวชาญด้านซอฟต์แวร์และเทคโนโลยีบล็อกเชน เพื่อขอให้ตรวจสอบหน่วยงานรัฐที่ทำข้อมูลประชาชนรั่วไหล

โดยนายธนารัตน์ กล่าวว่า ระบบดังกล่าวสามารถค้นข้อมูลด้วยเลขประจำตัวประชาชน ชื่อนามสกุลง่ายมาก ในการใช้ชื่อนามสกุลสืบค้น โดยจะได้ข้อมูลออกมาหลายเรื่อง เช่น เลขบัตรประชาชน วันเกิด ที่อยู่ตามทะเบียนบ้าน สิทธิ์การรักษาพยาบาล โดยเฉพาะข้อมูลบิดามารดา ตนได้จัดทำรายงานตรวจพบช่องโหว่ของระบบส่งให้หน่วยงานต้นสังกัดเป็นครั้งที่สองในปีนี้ โดยประเมินว่าเป็นความรุนแรงในระดับวิกฤต

“นี่ไม่ใช่ข้อผิดพลาดที่เล็กน้อย เพราะก่อนหน้านี้ผมเคยแจ้งเหตุเกี่ยวกับฐานข้อมูลชุดเดียวกันรั่วไหลมาแล้ว เมื่อเดือนมี.ค. แม้ช่องโหว่ ครั้งก่อนและครั้งนี้จะเป็นคนละระบบและใช้คนละเทคนิค เพื่อเข้าถึงข้อมูลตามฐานข้อมูล โดย 2 ครั้งนี้ เป็นฐานข้อมูลเดียวกันหรือเกี่ยวข้องกัน สะท้อนถึงความล้มเหลวเชิงระบบในการควบคุมการเข้าถึงข้อมูลส่วนบุคคล จากข้อมูลล่าสุดที่เผยแพร่โดยหน่วยงานดังกล่าว ครอบคลุมประชากรประมาณ 67.1 ล้านคน ถือว่าเยอะมาก น่าจะกระทบแทบทุกคน“ นายธนารัตน์ กล่าว

นายธนารัตน์ กล่าวต่อว่า การประเมินเบื้องต้นของตน คือประชาชนทั้งหมดที่อยู่ในฐานข้อมูลนั้นมีความเสี่ยง เรื่องนี้จึงไม่ใช่ปัญหาของคนกลุ่มเล็ก แต่เป็นความเสี่ยงระดับประเทศ หน่วยงานดังกล่าวต้องเปิดเผยจำนวนผู้ได้รับผลกระทบ รวมถึงต้องแจ้งเตือนทุกครั้งที่เกิดขึ้นกับประชาชนให้รับทราบ เนื่องจากพบข้อมูลการซื้อขายในตลาดมืดเรียบร้อยแล้ว ขอเรียกร้องให้หน่วยดังกล่าวเปิดเผยทันทีว่ามีประชาชนกี่รายที่ได้รับผลกระทบแล้วและต้องชี้แจงด้วยว่านับจากเหตุรั่วไหลเมื่อเดือนมี.ค. ได้แจ้งเหตุละเมิดข้อมูลส่วนบุคคลต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลแล้วหรือไม่ เนื่องจากตามกฎหมายต้องแจ้งภายใน 72 ชั่วโมง

นายธนารัตน์ กล่าวว่า ข้อมูลส่วนบุคคลที่รั่วไหลคือข้อมูลดิบสำคัญของแกงค์คอลเซ็นเตอร์ ที่ผ่านมา รัฐให้ความสำคัญกับการปราบล้างบัญชีม้า แต่บัญชีม้าคือปลายทาง ก่อนจะถูกหลอก มิจฉาชีพต้องมีข้อมูลประชาชนก่อน ถ้าต้องการแก้ปัญหากันคอลเซ็นเตอร์อย่างยั่งยืน ต้องแก้ที่ต้นทางคือตัวเราเอง ต้องหยุดทำข้อมูลประชาชนรั่วไหล ข้อมูลเหล่านี้ทำให้มิจฉาชีพเลือกทำให้เหยื่อเชื่อได้ง่ายยิ่งขึ้น ประชาชนมีสิทธิ์รู้ว่าข้อมูลของตนเองปลอดภัยหรือไม่ หากเกิดความเสี่ยง ควรต้องแจ้งเยียวยาและถูกตรวจสอบอย่างโปร่งใส

ด้านนายอลงกต กล่าวว่า คณะกรรมาธิการฯ ถือว่าข้อมูลนี้เป็นข้อมูลที่สำคัญ เป็นข้อมูลความปลอดภัยส่วนบุคคล เพราะเมื่อรั่วไหลออกไปแล้วจะเกิดปัญหาในหลายด้าน โดยเฉพาะอย่างยิ่งที่น่ากลัว คือเรื่องสแกมเมอร์ โดยคณะกรรมาธิการฯ จะเชิญหน่วยงานที่เกี่ยวข้องเข้ามาชี้แจงเพื่อหาข้อเท็จจริงภายในสัปดาห์หน้า ทั้งนี้ เบื้องต้นที่คณะกรรมาธิการฯ ให้ความสำคัญ คือการยกระดับมาตรการคุ้มครองข้อมูลส่วนบุคคลของประชาชนให้มีประสิทธิภาพมากขึ้น สร้างมาตรฐานความมั่นคงปลอดภัยทางไซเบอร์ของหน่วยงานภาครัฐ ภาคเอกชนโดยจะเน้นหนักไปที่ภาครัฐ การกำหนดกลไกการแจ้งเตือน การเยียวยาผู้เสียหายจากข้อมูลรั่ว และการบูรณาการกับหน่วยงานที่เกี่ยวข้อง เพื่อให้การป้องกันปราบปรามภัยทางไซเบอร์ให้ทันต่อสถานการณ์ และการสร้างความรู้เท่าทันดิจิทัล และการตระหนักด้านการปกป้องข้อมูลส่วนบุคคลให้กับประชาชนทั่วไป

นายอลงกต กล่าวว่า คณะกรรมาธิการ ฯจะทำหน้าที่ตรวจสอบติดตาม และเสนอแนะแนวทางเชิงให้กับหน่วยงานที่เกี่ยวข้องอย่างเต็มกำลัง เพื่อให้ประชาชนสามารถใช้เทคโนโลยีดิจิตอลได้อย่างมั่นใจ ปลอดภัย และได้รับการคุ้มครองสิทธิ์อย่างเหมาะสม

ด้านนายภาวุธ พงษ์วิทยภานุ สส.บัญชีรายชื่อ พรรคประชาชน ในฐานะกรรมาธิการฯ กล่าวว่า เหตุการณ์ข้อมูลรั่วไหลไม่ใช่ครั้งแรก แต่เกิดขึ้นมาโดยตลอดและบ่อยมากที่ข้อมูลภาครัฐรั่วไหล ซึ่งน้อยครั้งมากที่หน่วยงานภาครัฐจะออกมารับผิดชอบ ออกมาทำตามกระบวนที่กฎหมายมีอยู่แล้ว โดยเรื่องนี้คณะกรรมาธิการฯ จะทำให้เป็นระบบเพื่อส่งสัญญาณเตือนหน่วยงานภาครัฐที่เก็บข้อมูลของประชาชนเอาไว้ หลายหน่วยงานปล่อยปะละเลย ไม่ให้ความสำคัญกับการเก็บรักษาข้อมูลอย่างดี ทำให้วันนี้เรามีแฮ็คเกอร์ ที่สามารถเจาะข้อมูลและนำมาขายในตลาดมืด ซึ่งในราคาขาย ไม่ใช่หลักแสนหลักล้าน แต่แค่หลักสิบ ทำให้ข้อมูลกระจาย และสแกมเมอร์ มิจฉาชีพ ก็เอาข้อมูลเหล่านี้ไปต่อยอด เราอยากส่งเสียงไปยังหน่วยงานภาครัฐให้ตรวจสอบ แล้วจะเชิญหน่วยงานที่เกี่ยวข้องมาให้ข้อมูลกับ กรรมาธิการฯ ว่าเกิดอะไรขึ้น พร้อมจะทำหน้าที่ร่วมกับหน่วยงาน เราจะปลุกความตระหนักของหน่วยงานภาครัฐที่ต้องรับผิดชอบ รักษาข้อมูลของประชาชนได้ดีที่สุด

ขณะที่นางการดี เลียวไพโรจน์ สส.บัญชีรายชื่อ พรรคประชาธิปัตย์ ในฐานะกรรมาธิการการสื่อสารโทรคมนาคม ฯ กล่าวว่า ข้อมูลนี้ถือเป็นข้อมูลที่อ่อนไหว ในความหมายของ PDPA ตั้งแต่ต้น และตนพร้อมสนับสนุนในการดำเนินการครั้งนี้ให้มีการตรวจสอบเรื่องกรอบของกฎหมาย วิธีการการทำงานและที่สำคัญคือสิทธิ์ของประชาชนที่ต้องรับรู้ว่าสิทธิ์และข้อมูลรั่วไหลมากแค่ไหน เพื่อประโยชน์ป้องกันตนเอง ขณะเดียวกันการใช้กฎหมายของภาครัฐเองต้อง เข้มข้น เข้มแข็งมากกว่านี้ เพราะเรากำลังเข้าสู่เศรษฐกิจ AI เศรษฐกิจดิจิตอลเรื่องนี้ถือเป็นพื้นฐานสำคัญ

เมื่อถามว่าสามารถระบุให้แคบลงได้หรือไม่ว่าเป็นหน่วยงานไหนที่ทำข้อมูลรั่วไหล นายธนารัตน์ กล่าวว่าเป็นหน่วยงานเกี่ยวกับสิทธิ์เรื่องสุขภาพ ผู้สื่อข่าวจึงถามย้ำว่า ใช่กระทรวงสาธารณสุขหรือไม่ นายธนารัตน์ กล่าวว่า “น่าจะชัดมากแล้วนะครับ”