ผู้แต่ง: นางสาวภัคจิรา ตั้งสุทธิมงคล
บทความนี้เป็นส่วนหนึ่งของเอกัตศึกษาเรื่อง ข้อจำกัดการประมวลผลข้อมูลส่วนบุคคลเพื่อป้องกันการทุจริตในธุรกิจธนาคารพาณิชย์ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
ด้วยประเทศไทยมีการตราพระราชบัญญัติพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ขึ้นเพื่อเป็นการปกป้องสิทธิของเจ้าของข้อมูลส่วนบุคคลโดยกำหนดหน้าที่ให้ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลมีหน้าที่ต้องปฏิบัติตามกฎหมายฉบับนี้ ซึ่งกิจกรรมของชมรมตรวจสอบและป้องกันการทุจริตในธุรกิจธนาคารพาณิชย์ (ชมรม fraud) มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลระหว่างธนาคารพาณิชย์ ทำให้มีประเด็นปัญหาว่ากิจกรรมดังกล่าวเป็นการปฏิบัติสอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ที่กำหนดห้ามมิให้ผู้ใดเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลหากไม่ได้รับความยินยอมจากเจ้าของข้อมูลเว้นแต่กฎหมายจะบัญญัติยกเว้นไว้ หรือไม่
อย่างไรก็ตามการนำกฎหมายมาปรับใช้นั้นยังคงเป็นเรื่องใหม่สำหรับภาคธุรกิจ ผู้ศึกษาจึงมุ่งที่จะศึกษาแนวปฏิบัติของประเทศอังกฤษเพื่อเป็นแนวทางดังนี้
ประเทศอังกฤษมีการจัดตั้งสำนักข่าวกรองทุจริตแห่งชาติ National Fraud Intelligence Bureau (NFIB) ขึ้นเพื่อเป็นหน่วยงานที่ทำหน้าที่วิเคราะห์ข้อมูลการทุจริตจากองค์กรจำนวนมากในภาครัฐและเอกชนรวมถึงแหล่งอุตสาหกรรมการพาณิชย์และภาครัฐ โดยมีตำรวจลอนดอนเป็นผู้ดำเนินกิจกรรมต่าง ๆ ทั้งการเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคล (มีกฎหมายให้อำนาจในการดำเนินการ) และมีหน่วยงาน Action Fraud เป็นศูนย์รับเรื่องราวการทุจริตให้กับ NFIB
จากการศึกษาการไหลเวียนของข้อมูลส่วนบุคคล (Data flow) ในประเทศอังกฤษ พบว่าประเทศอังกฤษมีการจัดเก็บเก็บข้อมูลการทุจริตโดยแยกเป็นรหัสตามประเภทของการทุจริตและอยู่ในฐานข้อมูลกลางขององค์กรตามภาพที่ 1 และตารางที่ 1 ซึ่งมีความแตกต่างอย่างชัดเจนกับการไหลเวียนของข้อมูลส่วนบุคคล (Data flow) ของประเทศไทยตามภาพที่ 2 และตารางที่ 2
ทั้งเรื่องสถานะทางกฎหมายของชมรม fraud ก็มีฐานะเป็นเพียงชมรมที่จัดตั้งขึ้นภายใต้สมาคมธนาคารไทย และไม่มีอำนาจหน้าที่ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลการทุจริตไปยังบุคคลอื่น อีกทั้งยังไม่มีฐานข้อมูลทุจริตกลางของชมรม จึงทำให้การดำเนินกิจกรรมต่าง ๆ ไม่มีมาตรฐานกลางเนื่องจากสมาชิกจะดำเนินการต่าง ๆ ทั้งการเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคลภายใต้แนวนโยบายบริหารความเสี่ยงของแต่ละสมาชิกเอง
ตารางที่ 1 รหัสที่ใช้บันทึกเพื่อการแยกประเภทของกิจกรรมของ NFIB
| CODE | DETAIL |
|---|---|
| NFIB1 | Advance Fee Payments |
| NFIB1A | 419 Advance Fee Fraud |
| NFIB1B | Lottery Scams |
| NFIB1C | Counterfeit Cashiers Cheques |
| NFIB1D | Dating Scam |
| NFIB1E | Fraud Recovery |
| NFIB1F | Inheritance Fraud |
| NFIB1G | Rental Fraud |
| NFIB1H | Other Advance Fee Frauds |
| NFIB1J | Lender Loan Fraud |
| NFIB2 | Financial Investments |
| NFIB2A | Share sales or Boiler Room Fraud |
| NFIB2B | Pyramid or Ponzi Schemes |
| NFIB2C | Prime Bank Guarantees |
| NFIB2D | Time Shares and Holiday Club Fraud |
| NFIB2E | Other Financial Investment |
| NFIB3 | Consumer and Retail Fraud |
| NFIB3A | Online Shopping and Auctions |
| NFIB3B | Consumer Phone Fraud |
| NFIB3C | Door to Door Sales and Bogus Tradesmen |
| NFIB3D | Other Consumer and Retail Fraud |
| NFIB3E | Computer Software Service Fraud |
| NFIB3F | Ticket Fraud |
| NFIB3G | Retail Fraud (not NFIB3A or NFIB5A) |
| NFIB4A | Charity Fraud |
| NFIB4B | Fraudulent Applications for Grants from Charities or Lottery Fund Organisations |
| NFIB5 | Banking and Credit Industry Fraud |
| NFIIB5A | Cheque, Pllastiic Card and Onlliine Bank Accounts (not PSP) |
| NFIIB5B | Applliicatiion Fraud (exclludiing Mortgages) |
| NFIIB5C | Mortgage Rellated Fraud |
| NFIIB5D | Mandate Fraud |
| NFIIB5E | Diishonestlly retaiiniing a wrongfull crediit |
| NFIB6A | Insurance Related Fraud |
| NFIB6B | Insurance Broker Fraud |
| NFIB7 | Telecom Industry Fraud (Misuse of Contracts) |
| NFIB8A | Corporate Employee Fraud |
| NFIIB8B | Corporate Procurement Fraud |
| NFIIB9 | Busiiness Tradiing Fraud |
| NFIIB10 | Fallse Accountiing |
| NFIB11 | Bankruptcy and Insolvency |
| NFIB12 | Passport Application Fraud |
| NFIB13 | Department of Works and Pensions (DWP) Fraud |
| NFIB14 | Fraudulent Applications for Grants from Government Organisations |
| NFIB15 | HM Revenue and Customs Fraud (HMRC) |
| NFIB16 | Pension Fraud |
| NFIB16A | Pension Fraud by Pensioners (or their Estate) |
| NFIB16B | Pension Fraud committed on Pensioners |
| NFIB16C | Pension Liberation Fraud |
| NFIB17 | Other Regulatory Fraud |
| NFIB18 | Fraud by Failing to Disclose Information |
| NFIB19 | Abuse of Position of Trust |
| NFIB20A | DVLA Driver Licence Application Fraud |
| NFIB90 | Other Fraud (Not covered ellsewhere) |
| NFIB50 | Computer Misuse Crime |
| NFIB50A | Computer Viruses\Malware\Spyware |
| NFIB51A | Denial of Service Attack |
| NFIB51B | Denial of Service Attack Extortion |
| NFIB52A | Hacking-Server |
| NFIB52B | Hacking-Personal |
| NFIB52C | Hacking-Social Media and E-mail |
| NFIB52D | Computer Hacking – PBX/Dial Through |
| NFIB52E | Hacking (Extortion) |
ภาพที่ 2 การไหลเวียนของข้อมูลส่วนบุคคล (Data flow) ของประเทศไทย
ตารางที่ 2 เปรียบเทียบข้อมูลของชมรมตรวจสอบและป้องกันการทุจริตในประเทศไทย
และ National intelligence Fraud Bureau (NFIB) ประเทศอังกฤษ
| หัวข้อ | ประเทศไทย | ประเทศอังกฤษ |
|---|---|---|
| สถานะชมรม/องค์กร | ชมรม fraud เป็นชมรมที่จัดตั้งขึ้นและดำเนินการภายใต้สมาคมธนาคารไทย | NFIB เป็นหน่วยงานของรัฐที่ดำเนินการโดยตำรวจลอนดอน |
| วัตถุประสงค์ | เพื่อป้องกันไม่ให้ บุคคล/นิติบุคคล ที่มีความเสี่ยงทุจริตไปสร้างความเสียหายกับธุรกิจทางการเงินการธนาคาร | เพื่อสืบสวนสอบสวน ป้องกัน และแจ้งข่าวการทุจริต |
| กลุ่มกิจกรรม | ประกอบไปด้วย 3 กลุ่มกิจกรรม 1. Fraud Lending 2. Internet Cyber and Crime Fraud 3. Financial Crime and Scam Fraud | ประกอบไปด้วย 57 กลุ่มกิจกรรม (รายละเอียดตามตารางที่ 1) |
| กิจกรรม | – การสอบทานข้อมูล – การตรวจสอบข้อมูล – การแจ้งข้อมูล | – การรวบรวมข้อมูล – วิเคราะห์ข้อมูล/ประมวลผล – การแจ้งข่าวการทุจริต |
| ฐานข้อมูล | ชมรม fraud ไม่มีฐานข้อมูลกลาง | มีการเก็บฐานข้อมูลกลางโดยมีการกำหนดรหัสเพื่อแยกตามประเภทการทุจริต |
| ฐานการประมวลผล | เพื่อประโยชน์โดยชอบด้วยกฎหมาย | เพื่อปฏิบัติตามกฎหมาย (Fraud Act 2006 / Police and Criminal Evidence Act 1984/ the Police Act 1996 / Police Reform Act 2002) |
| การเปิดเผยข้อมูล | – ธนาคารที่เป็นสมาชิกของชมรม fraud – หน่วยงานทางการ เช่น ตำรวจ ปปส. ปปง. | – บุคคล/องค์กรที่มีส่วนเกี่ยวข้องซึ่งได้รับความเสียหายจากการทุจริต – หน่วยงานทางการ/หน่วยงานกำกับดูแล |
| ระยะเวลาในการจัดเก็บข้อมูล | – ข้อมูลเอกสารทำลายเมื่อครบ 10 ปี นับจากวันที่ลูกค้าปิดบัญชี – ข้อมูลในรูปแบบอิเล็กทรอนิกส์ ขึ้นอยู่กับนโยบายการบริหารความเสี่ยงของหน่วยงานงานบริหารความเสี่ยงด้านการทุจริตของแต่ละธนาคาร | จัดเก็บถาวร โดยลบข้อมูลต่อเมื่อ – เสียชีวิต – มีการตรวจสอบและการกำกับดูแลอย่างเพียงพอสำหรับข้อมูลนั้น ๆ – ข้อมูลไม่เป็นปัจจุบัน – อาชญากรรมถูกยกเลิก – ตามวัตถุประสงค์อื่น ๆ ของตำรวจ – มีการลบประวัติจากระบบตำรวจแห่งชาติ |
ข้อค้นพบ
จากการศึกษาพบว่า กิจกรรมการตรวจสอบและป้องกันการทุจริตของชมรมตรวจสอบและป้องกันการทุจริตในภาคธุรกิจธนาคารพาณิชย์ (ชมรม fraud) ของประเทศไทยยังมีข้อจำกัด ทำได้เพียงกิจกรรมที่จำกัดเฉพาะเป็นฐานของธนาคารเองเท่านั้น ซึ่งจำเป็นต้องมีกฎหมายรองรับให้ทำกิจกรรมที่เป็นประโยชน์สาธารณะได้มากขึ้น ประกอบกับชมรมตรวจสอบและป้องกันการทุจริตยังไม่มีการจัดทำประมวลแนวปฏิบัติอันอาจเป็นแนวทางที่จะก่อให้เกิดมาตรฐานกลางในการปฏิบัติงาน
