กรณีพรรคส้มแถลงยอมรับว่าข้อมูลส่วนบุคคลของสมาชิกพรรครั่วไหล

แนะนำให้สมาชิกพรรคไปทำบัตรประชาชนใหม่

ยังอ้างว่าไม่เกี่ยวกับข้อมูลเลขหลังบัตรประชาชน (Laser ID)

1. ที่อ้างว่า ไม่เกี่ยวกับข้อมูลเลขหลังบัตรประชาชน (Laser ID)เพราะพรรคส้มเลือกปฏิเสธมาโดยตลอดว่าไม่ได้เก็บข้อมูลเลขหลังบัตรประชาชน (Laser ID)

แต่ถามจริงๆ

ตอนพรรคส้มขอให้สมาชิกพรรคกรอกข้อมูล ทั้งเลขบัตรประชาชน ชื่อ นามสกุล และเลขหลังบัตรประชาชน (Laser ID)ทั้งๆ ที่ ยังไม่ได้รับอนุญาตเชื่อมต่อไปตรวจสอบกับกรมการปกครอง

แล้วให้ประชาชนกรอกเลขหลังบัตรประชาชน (Laser ID) ไปทำไม? กรอกเพื่อใคร?

โดยที่การกรอกครั้งเดียวกันนั้น พรรคได้เก็บข้อมูลอื่นๆ ไปหมด แต่เฉพาะเลขหลังบัตรประชาชน (Laser ID) พรรคอ้างว่าไม่ได้เก็บไว้

เพราะถ้ายอมรับว่าเก็บไว้ มันผิดกฎหมาย

แต่ใครเชื่อบ้างว่า ไม่ได้เก็บไว้จริงๆ ?

ถ้าไม่เก็บไว้ แล้วให้กรอกทำไมตั้งแต่แรก เพราะพรรคส้มย่อมรู้อยู่แก่ใจว่ากรอกไปมันยังไม่ได้เชื่อมไปตรวจสอบกับกรมการปกครอง

มีใครต้องการข้อมูลส่วนบุคคลไปเปิดบัญชีอวตารมั้ย?บัญชีม้ามั้ย?

สงสัยว่า สเปกเตอร์ ซี เกี่ยวข้องกับการประมวลข้อมูลในเว็บของพรรคส้มแค่ไหน อย่างไร?

มาครั้งนี้ จึงอ้างว่า ข้อมูลสมาชิกรั่วไหล ไม่เกี่ยวกับเลขหลังบัตรประชาชน (Laser ID) เพราะไม่ได้เก็บไว้

2.ถูกแฮก หรือทำชุ่ยเอง ?

เพจ จักรวาลด้อมส้มให้ข้อสังเกตเชิงเทคนิค และตั้งข้อสงสัยน่าสนใจ ระบุว่า

“...กรณีข้อมูลสมาชิกพรรคส้มรั่ว ตอนนี้มีขบวนการปั่นให้คนเข้าใจผิดว่าระบบถูกแฮกและยกย่องว่าโปร่งใสที่ออกมายอมรับ

มันเป็นความเข้าใจผิดนะคะ

#เรื่องแรก นี่ไม่ใช่การแฮก มันคือความชุ่ย

พรรคส้มบอกว่า “ถูกบุคคลภายนอกพยายามเข้าถึงระบบโดยไม่ได้รับอนุญาต” ฟังราวกับโดนแฮกเกอร์ระดับสูงโจมตี

ความจริงคือ ช่องโหว่ที่เกิดขึ้นชื่อว่า IDOR อธิบายให้เห็นภาพคือ

นาย A เข้าพักโรงแรม ได้กุญแจห้อง 305 แล้วลองเดินไปเปิดห้อง 306, 307, 308 ดูเล่นๆ ประตูเปิดหมดทุกห้อง เห็นพาสปอร์ตผู้พัก เห็นของทุกอย่างในห้อง

นี่ไม่ใช่การงัดล็อก นี่คือโรงแรม ลืมใส่ล็อกตั้งแต่แรก

กรณีพรรคประชาชนเหมือนกันทุกอย่าง

ไฟล์บัตรประชาชนของสมาชิกถูกเก็บใน URL แบบนี้

.../id_card/สมาชิกคนที่-000123.jpg

.../id_card/สมาชิกคนที่-000124.jpg

.../id_card/สมาชิกคนที่-000125.jpg

แค่เปลี่ยนตัวเลขทีละ 1 ก็เห็นบัตรประชาชน ภาพ selfie คู่บัตร และเอกสารส่วนตัวของสมาชิกทุกคนได้ทันที

ไม่ต้องเจาะรหัสผ่าน

ไม่ต้องเขียนโค้ดโจมตี

ไม่ต้องมีทักษะใดๆ ทั้งสิ้น

#เรื่องที่สอง พรรคส้มออกแถลงการณ์ ไม่ใช่เพราะ “โปร่งใส” แต่เพราะกฎหมายบังคับ

หลายคนอาจคิดว่าพรรคสำนึกรับผิดชอบ ถึงออกมาแจ้งสมาชิก

ความจริงคือ PDPA บังคับไว้ทั้งหมด

มาตรา 37(4) - ต้องแจ้ง สคส. ภายใน 72 ชั่วโมงนับจากรู้เหตุ

มาตรา 37(5) - ต้องแจ้งเจ้าของข้อมูล “โดยไม่ชักช้า” เมื่อมีความเสี่ยงสูง

มาตรา 26 - ข้อมูลสมาชิกพรรคการเมืองคือข้อมูลละเอียดอ่อนระดับสูงสุด ต้องปกป้องเป็นพิเศษ

ไม่ทำตาม = โทษปรับสูงสุด 3 ล้านบาท และจำคุก

พรรคไม่ได้เลือกที่จะโปร่งใส

พรรคทำขั้นต่ำสุดที่หนีโทษได้

พรรคส้มรู้เรื่อง 23 ก.พ. แจ้งสมาชิกวันที่ 12 มี.ค. รวม 17 วัน ที่สมาชิกไม่รู้ว่าภาพบัตรประชาชนและ selfie คู่บัตรของตัวเองเปิดดูได้ ช้าไปหรือไม่

พรรคส้มคุยจะเอาเทคโนโลยีมาเปลี่ยนประเทศ แต่ยังทำระบบพื้นฐานให้ปลอดภัยไม่ได้ แบบนี้เราจะไว้ใจให้พรรคส้มดูแลประเทศได้หรือคะ ?”

3.ย้ำว่า ที่กรมการปกครองเคยอนุญาตพรรคส้ม เป็นงานระบบพิสูจน์และยืนยันตัวตนทางดิจิทัล (DOPA-Digital ID) ซึ่งไม่ใช่ให้ขอเลขหลังบัตรประชาชน (Laser ID)มาเชื่อม API ตรวจสอบกับกรมการปกครอง

ปรากฏว่า ล่าสุด กรมการปกครอง กระทรวงมหาดไทย ออกเอกสารข่าว ระบุว่า

“..ตามที่ปรากฏข่าวสาร กรณีพรรคประชาชน ได้ตรวจพบความพยายามจากบุคคลภายนอกในการเข้าถึงข้อมูล ในระบบฐานข้อมูลสมาชิกของพรรคโดยไม่ได้รับอนุญาต นั้น

เพื่อให้เกิดความเข้าใจที่ถูกต้อง เป็นไปตามระเบียบกฎหมายที่เกี่ยวข้อง และเป็นการสร้างความเชื่อมั่นให้กับพี่น้องประชาชน สํานักบริหารการทะเบียน กรมการปกครองขอเรียนชี้แจง ดังนี้

1. การดําเนินการของหน่วยงานรัฐ

(1) กรมการปกครอง โดยสํานักบริหารการทะเบียน ได้แจ้งยกเลิกการให้พรรคประชาชนใช้งานระบบพิสูจน์ และยืนยันตัวตนทางดิจิทัล (DOPA-Digital ID) รวมถึงใช้โปรแกรมสําหรับอ่านข้อมูลจากบัตรประจําตัวแบบอเนกประสงค์ (Smart Card) ตั้งแต่วันที่ 14 มีนาคม 2569 เวลา 12.00 น. เป็นต้นไป และได้แจ้งให้จัดส่งข้อมูลเกี่ยวกับการรั่วไหล ของข้อมูลส่วนบุคคลให้กรมการปกครองทราบ เพื่อคุ้มครองข้อมูลของประชาชน และดําเนินการประชาสัมพันธ์ เพื่อให้เกิดการตระหนักรู้ถึงความสําคัญของข้อมูล และพิจารณาการเชื่อมโยงข้อมูลต่างๆ กับทุกหน่วยงานด้วยนโยบาย การรักษาความลับตามกฎหมายว่าด้วยการคุ้มครอง ข้อมูลส่วนบุคคล และกฎหมายว่าด้วยการทะเบียนราษฎร

(2) กรณีที่มีการนําข้อมูลบัตรประจําตัวประชาชนของประชาชนไปใช้โดยไม่ได้รับความยินยอม หรือใช้เกิน วัตถุประสงค์ที่กฎหมายกําหนด หรือการเก็บรักษาข้อมูลส่วนบุคคลมิได้จัดให้มีมาตรการรักษาความมั่นคงปลอดภัย ที่เหมาะสม หากตรวจพบว่ามีการกระทําความผิด สํานักทะเบียนกลาง กรมการปกครอง จะพิจารณาเข้าร้องทุกข์ กล่าวโทษต่อพนักงานสอบสวนหรือร้องเรียนเพื่อให้มีการพิจารณาโทษทางปกครอง ตามพระราชบัญญัติคุ้มครองข้อมูล ส่วนบุคคล พ.ศ. 2562 และกฎหมายอื่นที่เกี่ยวข้อง กับผู้กระทําความผิด ต่อไป

2. กรณีหน่วยงานหรือองค์กรที่ได้รับการอนุญาตให้เชื่อมโยงข้อมูล มีการปล่อยปละละเลยให้มีการรั่วไหล ของข้อมูลส่วนบุคคลซึ่งอาจเข้าข่ายการกระทําผิดกฎหมาย หากปรากฏข้อเท็จจริงว่ามีการรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคลของประชาชนโดยไม่ชอบ อาจเข้าข่ายความผิดตามกฎหมายหลายฉบับ ได้แก่

(1) พระราชบัญญัติการทะเบียนราษฎร พ.ศ. 2534 และที่แก้ไขเพิ่มเติม

- เปิดเผยข้อความหรือตัวเลขซึ่งเป็นข้อมูลทะเบียนประวัติราษฎรโดยมิชอบ

(2) พระราชบัญญัติบัตรประจําตัวประชาชน พ.ศ. 2526 และที่แก้ไขเพิ่มเติม

- เข้าถึงข้อมูลหรือเปิดเผยข้อมูลที่บันทึกไว้ในหน่วยความจําอันมิใช่ข้อมูลที่ปรากฏอยู่บนบัตรโดยมิได้รับความยินยอมจากผู้ถือบัตร

(3) พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA)

- การเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่มีฐานกฎหมาย

- โทษ: โทษทางแพ่ง ทางปกครอง และทางอาญา

(4) พระราชบัญญัติคอมพิวเตอร์ พ.ศ. 2560

- หากมีการนําข้อมูลเข้าสู่ระบบคอมพิวเตอร์โดยมิชอบ หรือก่อให้เกิดความเสียหายแก่ผู้อื่น

(5) กฎหมายเลือกตั้ง กฎหมายพรรคการเมือง

- หากการได้มาของข้อมูลนําไปใช้เกี่ยวกับการสมัครสมาชิกพรรค หรือกิจกรรมทางการเมืองโดยมิชอบ ทั้งนี้ การพิจารณาความผิดต้องขึ้นอยู่กับ ข้อเท็จจริงและพยานหลักฐานที่ปรากฏ

3. สิทธิของประชาชนในการฟ้องร้องหน่วยงาน องค์กร หรือบุคคล

หากมีการนําข้อมูลหน้าบัตรประชาชนของบุคคลไปใช้โดยมิชอบ เช่น บริการทางการเงิน เปิดบัญชีทําธุรกรรมต่างๆ เป็นต้น จนทําให้เจ้าของข้อมูลได้รับความเสียหาย เจ้าของข้อมูลสามารถใช้สิทธิร้องทุกข์ต่อพนักงานสอบสวนในความผิด ที่มีโทษอาญา และมีสิทธิร้องเรียนเพื่อขอให้ชดใช้ค่าสินไหมทดแทน ได้แก่

(1) ความผิดฐานฉ้อโกง ตามประมวลกฎหมายอาญามาตรา 341 ซึ่งมีโทษจําคุกไม่เกินสามปี หรือปรับไม่เกินหกหมื่นบาท หรือทั้งจําทั้งปรับ

(2) ความผิดเกี่ยวกับเอกสาร ตามประมวลกฎหมายอาญามาตรา 264 - 268ซึ่งมีโทษจําคุกสูงสุดถึงสิบปี และหรือมีโทษปรับสูงสุดถึงสองแสนบาท

(3) ความผิดเกี่ยวกับการนําเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์ปลอม หรือข้อมูลคอมพิวเตอร์ อันเป็นเท็จ ตามมาตรา 14 (1) แห่งพระราชบัญญัติว่าด้วยการกระทําความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 ซึ่งมีโทษจําคุกไม่เกินห้าปี หรือปรับไม่เกินหนึ่งแสนบาท หรือทั้งจําทั้งปรับ

(4) ความผิดเกี่ยวกับเปิดเผยข้อความหรือตัวเลขซึ่งเป็นข้อมูลทะเบียนประวัติราษฎร ตามมาตรา 17 ประกอบมาตรา 49 วรรคหนึ่ง แห่งพระราชบัญญัติการทะเบียนราษฎร พ.ศ. 2534 และที่แก้ไขเพิ่มเติม ซึ่งมีโทษจําคุก ไม่เกินหกเดือน หรือปรับไม่เกินสองหมื่นบาทหรือทั้งจําทั้งปรับ

(5) หากมีการเปิดเผยข้อมูลที่บันทึกไว้ในหน่วยความจําโดยมิได้รับความยินยอมจากผู้ถือบัตรจะเป็นความผิด ตามมาตรา 12 แห่งพระราชบัญญัติบัตรประจําตัวประชาชน พ.ศ. 2526 และที่แก้ไขเพิ่มเติม ซึ่งมีโทษจําคุกไม่เกินห้าปี หรือปรับไม่เกินหนึ่งแสนบาท หรือทั้งจําทั้งปรับ

(6) ร้องเรียนต่อสํานักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ซึ่งมีอํานาจหน้าที่ในการตรวจสอบการคุ้มครองข้อมูลส่วนบุคคล เพื่อให้ตรวจสอบการกระทําที่อาจฝ่าฝืนกฎหมายที่ทําให้ เกิดความเสียหายต่อเจ้าของข้อมูลส่วนบุคคล ในการชดใช้ค่าสินไหมทดแทนเพื่อการนั้นแก่เจ้าของข้อมูลส่วนบุคคล..”

ส่วนการทำบัตรประชาชนใหม่ กรมการปกครองยืนยันว่า ทำได้ โดยเลขประจําตัวประชาชนยังคงเดิม แต่จะมีเลขหลังบัตร (Laser ID) ใหม่

4.นายศรีสุวรรณ จรรยา ผู้นำองค์กรรักชาติ รักแผ่นดิน ได้ยื่นคำร้องต่อคณะกรรมการการเลือกตั้ง และนายทะเบียนพรรคการเมือง

ขอให้สืบสวนหรือไต่สวนและวินิจฉัยยุบพรรคประชาชน

กรณีพรรคประชาชนออกมายอมรับว่ามีบุคคลภายนอกสามารถเข้าถึงฐานข้อมูลสมาชิกพรรคบางส่วนได้ ถือได้ว่าเป็นการเย่อหย่อนต่อการป้องกันข้อมูลส่วนตัวของสมาชิก อันอาจทำให้มิจฉาชีพอาจนำข้อมูลไปก่ออาชญากรรมอันเป็นการคุกคามความสงบเรียบร้อยหรือศีลธรรมอันดีของประชาชนได้ ซึ่งขัดต่อรัฐธรรมนูญ 2560 และ พ.ร.ป.ว่าด้วยพรรคการเมือง 2560

นายศรีสุวรรณ กล่าวว่าพรรคประชาชนได้ออกมายอมรับว่ามีการรั่วไหลของข้อมูลที่เป็นความลับของประชาชน ซึ่งเป็นสมาชิกพรรคมาเป็นเวลานาน จากระบบในการรับสมัครสมาชิกพรรคที่ไม่ถูกต้องตามหลักการและไม่ปลอดภัย เนื่องจากไปกำหนดว่าผู้สมัครสมาชิกพรรคต้องกรอกรหัสลับหรือ “หมายเลข Laser ID” (รหัสที่อยู่หลังบัตรประชาชน) ลงไปด้วย ซึ่งข้อมูลดังกล่าวถือว่าเป็นข้อมูลส่วนบุคคลตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล 2562 หรือ PDPA ซึ่งตาม พ.ร.ป.ว่าด้วยพรรคการเมือง 2560ไม่ได้บังคับให้พรรคการเมืองใดต้องขอ Laser ID จากผู้สมัครสมาชิกพรรคแต่อย่างใดเพราะไม่มีความจำเป็นที่พรรคการเมืองต้องล่วงรู้ แต่พรรคประชาชนกลับทำเป็นเท่โดยทำแบบฟอร์มการสมัครสมาชิกพรรคต้องมีการกรอก Laser ID แต่ทว่ากลับไม่สามารถปกป้องดูแลให้เกิดความปลอดภัยได้ จนบัดนี้ออกมายอมรับแล้วว่าถูกมือดีแฮกข้อมูลไปแล้ว(แม้อ้างว่าไม่เกี่ยวกับ Laser ID)

สรุปกรณีนี้กระตุกเตือนให้คิดว่า การคุยโม้สร้างภาพว่าไฮเทคเก่งกาจ แต่งานที่ลงมือทำจริง แค่ข้อมูลสมาชิกพรรคยังทำให้รั่วไหล ทำให้สมาชิกพรรคเดือดร้อน อย่างน้อยที่สุดต้องไปทำบัตรใหม่ แล้วจะเอาอะไรมาการันตีการบริหารประเทศที่ไม่เคยทำจริง มีแต่คำคุยโม้น้ำลายท่วม

สารส้ม