9 ล้านชีวิตในกำมือสแกมเมอร์ ใครรับผิดชอบ?

เมื่อวันที่ 7 พฤศจิกายน 2568 กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) ร่วมกับสำนักงานตำรวจแห่งชาติ (สตช.) ได้เปิดเผยผลปฏิบัติการ “Cut Down Scam – สยบเครือข่ายค้าข้อมูลส่วนบุคคล” ที่น่าตกใจยิ่ง: ข้อมูลส่วนบุคคลของคนไทยกว่า 9 ล้านรายชื่อ ถูกยึดได้จากเครือข่ายอาชญากรที่นำไปประกาศขายผ่านช่องทางโซเชียลมีเดีย ข้อมูลเหล่านี้ถูกระบุว่ามาจากแหล่งที่หลากหลาย เช่น เว็บพนัน กลุ่มเงินกู้เถื่อน และอาจรวมถึงข้อมูลผู้เสียหายที่เคยแจ้งความออนไลน์

ตัวเลข 9 ล้านรายชื่อนี้ ไม่ได้เป็นเพียงตัวเลขทางสถิติ แต่เป็นสัญลักษณ์ของ วิกฤตความมั่นคงทางข้อมูลส่วนบุคคล ของประเทศ ข้อมูลเหล่านี้ได้กลายเป็น “อาวุธ” ที่ส่งต่อให้แก๊งคอลเซ็นเตอร์และสแกมเมอร์ใช้ในการหลอกลวงประชาชน สร้างความเสียหายรวมแล้วกว่า 290-300 ล้านบาท เฉพาะจากคดีที่ผู้เสียหายมีการแจ้งความออนไลน์แล้วกว่า 4,630 ราย [ที่มา: เดลินิวส์, Thai PBS News] ข้อมูลที่รั่วไหลบางส่วนยังรวมถึงรายชื่อของบุคคลที่เสียชีวิตไปแล้ว แสดงให้เห็นว่าข้อมูลเหล่านี้ถูกสะสมและซื้อขายมาเป็นเวลานานโดยไม่ได้รับการจัดการความปลอดภัยที่เพียงพอ

PDPA: กฎหมายที่ยังไม่ศักดิ์สิทธิ์พอ?

หัวใจของปัญหานี้วนเวียนอยู่ที่ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ที่มีผลบังคับใช้เต็มรูปแบบมาตั้งแต่ปี 2565 แม้จะมีกฎหมายนี้ แต่การรั่วไหลครั้งใหญ่ยังคงเกิดขึ้นอย่างต่อเนื่อง และถูกนำไปใช้ในทางที่ผิดอย่างโจ่งแจ้ง

ใครคือผู้รับผิดชอบ?

1. ผู้กระทำผิดโดยตรง: กลุ่มผู้ต้องหา 6 รายที่ถูกจับกุม ซึ่งทำหน้าที่เป็นเครือข่ายค้าข้อมูล ถือเป็นผู้ที่ละเมิดกฎหมายอย่างชัดเจน และต้องรับโทษตามกฎหมายอาญา
2. ต้นทางของข้อมูล (Data Controller/Processor): นี่คือประเด็นที่ต้องวิเคราะห์อย่างลึกซึ้ง หากข้อมูล 9 ล้านรายชื่อนี้มาจากหน่วยงาน องค์กร หรือบริษัทใดบริษัทหนึ่ง (แม้จะมาจากการหลอกลวงหรือการแฮ็กระบบก็ตาม) องค์กรนั้นๆ ในฐานะ ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) มีหน้าที่ตาม PDPA ในการจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมเพื่อป้องกันการสูญหาย การเข้าถึง การใช้ การเปลี่ยนแปลง หรือการเปิดเผยข้อมูลโดยไม่ได้รับอนุญาต (มาตรา 37) [ที่มา: พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562]
   • บทลงโทษตาม PDPA: หากพิสูจน์ได้ว่าองค์กรต้นทางละเลยหน้าที่จนทำให้ข้อมูลรั่วไหล องค์กรอาจต้องรับโทษ ทางปกครอง สูงสุดถึง 5 ล้านบาท (กรณีเก็บรวบรวมข้อมูลส่วนบุคคลที่อ่อนไหวโดยไม่ชอบด้วยกฎหมาย) และ ทางอาญา สูงสุดจำคุก 1 ปี หรือปรับไม่เกิน 1 ล้านบาท หรือทั้งจำทั้งปรับ (กรณีแสวงหาประโยชน์โดยทุจริต) [ที่มา: สรุปบทลงโทษ PDPA] นอกจากนี้ยังมีความรับผิด ทางแพ่ง ในการชดใช้ค่าสินไหมทดแทนที่เกิดขึ้นจริง บวกกับค่าสินไหมทดแทนเพื่อการลงโทษเพิ่มเติมอีกไม่เกิน 2 เท่าของค่าเสียหายจริง [ที่มา: PDPA Thailand]

กลยุทธ์ของสแกมเมอร์: การใช้ข้อมูลเชิงลึก (Phishing 2.0)

การที่สแกมเมอร์มีข้อมูลรั่วไหลจำนวนมาก ทำให้การหลอกลวงมีประสิทธิภาพสูงขึ้นมาก จากเดิมที่ใช้การสุ่มโทรศัพท์ (Random Call) พวกเขาสามารถเปลี่ยนมาใช้ “การหลอกลวงโดยอ้างอิงข้อมูลส่วนบุคคล” (Targeted Phishing/Spear Phishing) ซึ่งทำให้เหยื่อหลงเชื่อได้ง่ายขึ้น เพราะสแกมเมอร์สามารถอ้างอิงข้อมูลที่ถูกต้อง เช่น ชื่อ-นามสกุลจริง, ที่อยู่, เบอร์โทรศัพท์, หรือแม้กระทั่งประวัติการทำธุรกรรมบางส่วน (เช่น เคยเล่นเว็บพนัน หรือเคยสนใจสินเชื่อ) ทำให้เหยื่อคิดว่าเป็นการติดต่อจากหน่วยงานราชการหรือองค์กรที่น่าเชื่อถือจริง ๆ

แนวทางป้องกันและข้อเรียกร้องต่อรัฐ

สำหรับประชาชน (รู้ทันและป้องกันตัวเอง):

1. ตั้งสติและสงสัยไว้ก่อน: หากมีใครโทรศัพท์หรือส่งข้อความมา โดยอ้างถึงข้อมูลส่วนตัวของเรา ให้คิดไว้ก่อนว่าเป็นการหลอกลวงเสมอ ห้ามให้ข้อมูลเพิ่มเติมหรือทำธุรกรรมใด ๆ ทันที
2. ตรวจสอบและยืนยัน: หากอ้างว่าเป็นหน่วยงานรัฐ ให้วางสายและโทรศัพท์กลับไปยังเบอร์โทรศัพท์ของหน่วยงานนั้นๆ โดยตรง (เบอร์ที่ปรากฏบนเว็บไซต์ทางการเท่านั้น)
3. อัปเดตความปลอดภัย: ใช้รหัสผ่านที่ซับซ้อนและแตกต่างกันในแต่ละบริการ เปิดใช้การยืนยันตัวตนแบบสองขั้นตอน (2FA) กับทุกบัญชีที่สำคัญ
4. แจ้งเบาะแส/ระงับบัญชี: หากถูกหลอกลวง ให้รวบรวมหลักฐานและแจ้งความผ่านระบบแจ้งความออนไลน์ (Thai Police Online) และติดต่อธนาคารเพื่อระงับบัญชีม้า

สำหรับภาครัฐและองค์กร (การบังคับใช้กฎหมาย):

1. เร่งระบุต้นตอ: ดีอีและ สตช. ต้องเร่งสืบสวนและเปิดเผยต่อสาธารณะว่าข้อมูล 9 ล้านรายชื่อนี้มีต้นตอมาจากองค์กรใด เพื่อให้เกิดการรับผิดชอบตามกฎหมาย PDPA และเพื่อให้ผู้เสียหายสามารถเรียกร้องความเสียหายได้
2. บังคับใช้ PDPA อย่างเข้มงวด: คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ต้องพิจารณาใช้โทษทางปกครองและทางอาญาอย่างจริงจังต่อองค์กรที่มีส่วนในการละเลยจนข้อมูลรั่วไหล เพื่อสร้างบรรทัดฐานด้านความปลอดภัยของข้อมูล
3. ความร่วมมือระหว่างประเทศ: เนื่องจากแก๊งสแกมเมอร์มักปฏิบัติการข้ามชาติ รัฐบาลไทยต้องเร่งผลักดันความร่วมมือด้านกฎหมายและเทคโนโลยีกับประเทศเพื่อนบ้านและประเทศคู่ค้าเพื่อตัดวงจรอาชญากรรมให้ถึงราก

การจับกุมเครือข่ายค้าข้อมูลครั้งนี้เป็นเพียงจุดเริ่มต้นของการตัดวงจรอาชญากรรมไซเบอร์ แต่ปัญหาที่แท้จริงคือการป้องกันการรั่วไหลจากต้นทาง การที่ข้อมูลกว่า 9 ล้านรายชื่อถูกนำไปขายอย่างโจ่งแจ้ง สะท้อนให้เห็นถึงความเปราะบางของระบบข้อมูลในประเทศไทย ภาครัฐและภาคเอกชนต้องยกระดับมาตรฐานความปลอดภัยข้อมูลให้สูงขึ้นอย่างเร่งด่วน ขณะที่ประชาชนก็ต้องยกระดับ “ความรู้เท่าทัน” เพื่อไม่ให้กลายเป็นเหยื่อรายต่อไปของอาชญากรไซเบอร์.

แหล่งอ้างอิงที่เชื่อถือได้:

• ไทยรัฐออนไลน์: (https://www.thairath.co.th/news/crime/2894072)
• PPTVHD36: (https://www.pptvhd36.com/news/%E0%B8%AA%E0%B8%B1%E0%B8%87%E0%B8%84%E0%B8%A1/260988)
• เดลินิวส์: (https://www.dailynews.co.th/news/5279141/)
• Thai PBS News: (https://www.thaipbs.or.th/news/content/358328)

อ่านข่าวอื่น ๆ :

• #หลุดล่าฝัน EP1 เจาะปิรามิดลวงตา: 17 เยาวชน ‘เตะล่าฝัน’ สู่เยอรมนี และอีก 7 แสนคนที่หายไปจากระบบฟุตบอลไทย
• 9 ล้านชีวิตในกำมือสแกมเมอร์ ใครรับผิดชอบ?
• ฟีฟ่าไฟเขียวแล้ว “จู๊ด เบลล์” พร้อมสวมเสื้อทีมชาติไทยบู๊ศึกช้างศึกพฤศจิกา
• นโยบายขัดแย้ง: ‘ผับตี 4’ ชน ‘กฎหมายเหล้า 10,000 บาท’ – ช่องว่างทางกฎหมายที่เปิดทางให้ ‘ดุลยพินิจตำรวจ’?
• เริ่ม 8 พ.ย. 68! ดื่มผิดเวลา ปรับ 10,000 บาท (470 ดอลลาร์) – สื่อออสเตรเลียเตือนนักท่องเที่ยว : 3 ข้อต้องรู้ก่อนชนแก้วในไทย!