วันจันทร์ที่ 30 กันยายน พ.ศ. 2567

กรอบกฎหมายการกำกับดูแลการเข้ารหัสในสหภาพยุโรป

ระบบการคุ้มครองข้อมูลของสหภาพยุโรปพัฒนามาจากกฎหมายคุ้มครองข้อมูลปี ค.ศ. 1995 (กฎหมายปี ค.ศ. 1995) และกฎหมายคุ้มครองความเป็นส่วนตัวและการสื่อสารอิเล็กทรอนิกส์ปี ค.ศ. 2002 (กฎหมาย ePrivacy) อย่างไรก็ตาม ในการพิจารณากรอบกฎหมายสำหรับการเข้ารหัส สิ่งสำคัญคือต้องพิจารณากฎหมายบริการการชำระเงินของสหภาพยุโรปฉบับใหม่ (PSD 2) ด้วย กฎหมายคุ้มครองข้อมูลปี ค.ศ. 1995 ที่กำหนดกรอบการทำงานโดยรวมสำหรับการคุ้มครองข้อมูลในสหภาพยุโรป และนำไปใช้กับผู้ควบคุมข้อมูล กล่าวคือ องค์กรที่กำหนดวิธีและเหตุผลที่ต้องประมวลผลข้อมูลส่วนบุคคลที่ประมวลผล "ข้อมูลส่วนบุคคล" กฎหมายปี ค.ศ. 1995 กำหนดหลักการพื้นฐานบางประการเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล และมีข้อกำหนดเฉพาะภายใต้มาตรา 17 สำหรับประเทศสมาชิกในการใช้ "มาตรการทางเทคนิคและองค์กรที่เหมาะสม" เพื่อปกป้องข้อมูลส่วนบุคคลจากการสูญหายโดยไม่ได้ตั้งใจหรือการเปิดเผยโดยไม่ได้รับอนุญาต และเพื่อให้แน่ใจว่ามาตรการเหล่านั้นรักษา "ระดับความปลอดภัยที่เหมาะสมกับความเสี่ยงที่เกิดจากการประมวลผลและลักษณะของข้อมูลที่ต้องได้รับการปกป้อง" โดยนัยแล้ว เห็นได้ว่ามีภาระผูกพันที่ชัดเจนในการใช้เทคโนโลยีการเข้ารหัสในสถานการณ์บางสถานการณ์ และได้รับการสนับสนุนจากข้อกำหนดด้านกฎระเบียบและแนวทางมากมายจากหน่วยงานคุ้มครองข้อมูลของสหภาพยุโรปหลายแห่ง
กฎหมาย ePrivacy ใช้กับการสื่อสารอิเล็กทรอนิกส์โดยเฉพาะ กล่าวคือ ผู้ให้บริการบริษัทโทรคมนาคมและผู้ให้บริการ ISP และการประมวลผลข้อมูลส่วนบุคคลในระบบการสื่อสารอิเล็กทรอนิกส์ กฎหมาย ePrivacy ยังกำหนดภาระผูกพันที่สำคัญหลายประการให้กับองค์กรต่างๆ เพื่อจุดประสงค์ในการปรับปรุงความปลอดภัยของข้อมูล ผู้ให้บริการต้อง "ให้แน่ใจว่าสามารถเข้าถึงข้อมูลส่วนบุคคลได้เฉพาะโดยบุคลากรที่ได้รับอนุญาตเพื่อวัตถุประสงค์ที่ได้รับอนุญาตตามกฎหมายเท่านั้น" และต้อง "ปกป้องข้อมูลส่วนบุคคลที่จัดเก็บหรือส่งต่อจากการทำลายโดยไม่ได้ตั้งใจหรือผิดกฎหมาย การสูญหายหรือการเปลี่ยนแปลงโดยไม่ได้ตั้งใจ และการจัดเก็บ การประมวลผล การเข้าถึง หรือการเปิดเผยโดยไม่ได้รับอนุญาตหรือผิดกฎหมาย"
นอกจากนี้ ผู้ให้บริการจะต้องแจ้งให้บุคคลที่ได้รับผลกระทบทราบถึงการละเมิดข้อมูลส่วนบุคคลโดยไม่ชักช้า นี่เป็นข้อกำหนดของระเบียบข้อบังคับของสหภาพยุโรป (หมายเลข 611/2013) เกี่ยวกับมาตรการที่บังคับใช้กับการแจ้งการละเมิดข้อมูลส่วนบุคคลภายใต้กฎหมาย ePrivacy ซึ่งมีผลบังคับใช้เมื่อวันที่ 25 สิงหาคม ค.ศ. 2013 อย่างไรก็ตาม ไม่มีข้อกำหนดที่ผู้ให้บริการจะต้องแจ้งให้บุคคลทราบถึงการละเมิดหากสามารถพิสูจน์ได้ว่าได้ดำเนินการตามมาตรการทางเทคโนโลยีที่เหมาะสมซึ่งจะทำให้ "ข้อมูลไม่สามารถเข้าใจได้" สำหรับบุคคลที่สาม กล่าวอีกนัยหนึ่ง บริษัทโทรคมนาคมและผู้ให้บริการ ISP ไม่มีภาระผูกพันที่จะต้องแจ้งให้บุคคลที่ได้รับผลกระทบทราบในกรณีที่ข้อมูลได้รับการเข้ารหัสอย่างมีประสิทธิผล ระเบียบข้อบังคับของสหภาพยุโรป (หมายเลข 611/2013) กำหนดข้อยกเว้นที่ชัดเจนจากข้อกำหนดการแจ้งการละเมิดในกรณีที่ข้อมูลไม่สามารถเข้าใจได้สำหรับบุคคลใดๆ ที่ไม่ได้รับอนุญาตให้ดูข้อมูลดังกล่าว โดยเฉพาะอย่างยิ่ง ข้อมูลจะถือว่า "ไม่สามารถเข้าใจได้" หากข้อมูลได้รับการเข้ารหัสอย่างมีประสิทธิผล 
ควบคู่ไปกับระเบียบข้อบังคับของสหภาพยุโรป (หมายเลข 611/2013) คณะกรรมาธิการมีแผนที่จะเผยแพร่รายการมาตรการการเข้ารหัสที่เหมาะสม และในการดำเนินการดังกล่าวจะหารือกับคณะทำงานตามมาตรา 29 และหน่วยงานด้านความปลอดภัยเครือข่ายและข้อมูลของสหภาพยุโรป (ENISA) ENISA ได้เผยแพร่บันทึกแนวทางและคำแนะนำที่เกี่ยวข้องเกี่ยวกับมาตรการการเข้ารหัสแล้ว คำแนะนำนี้เผยแพร่ในเดือนกันยายน ค.ศ. 2013 และ ENISA ตั้งใจที่จะอัปเดตคำแนะนำทางเทคนิคเฉพาะทุกปีโดยคำนึงถึงสถานะของการพัฒนาด้านเทคโนโลยี กฎหมายบริการชำระเงิน กฎหมายของสหภาพยุโรปฉบับปัจจุบันเกี่ยวกับบริการชำระเงินวางรากฐานทางกฎหมายสำหรับการสร้างตลาดเดียวสำหรับการชำระเงินทั่วทั้งสหภาพยุโรป และใช้กับบริษัทที่ให้บริการบัญชีชำระเงิน ดำเนินธุรกรรมการชำระเงิน ออกกฎหมายการชำระเงิน และให้บริการโอนเงิน ในเดือนกรกฎาคม ค.ศ. 2556 คณะกรรมาธิการสหภาพยุโรปได้เผยแพร่การปรับปรุงในรูปแบบของ PSD2 ซึ่งยังอยู่ในรูปแบบร่าง แต่คาดว่าจะได้รับความเห็นชอบและนำไปปฏิบัติอย่างสมบูรณ์ภายในปี พ.ศ. 2559 เมื่อแต่ละประเทศสมาชิกของสหภาพยุโรปนำไปปฏิบัติแล้ว PSD2 จะดึงดูดผู้เล่นรายใหม่จำนวนมากเข้ามาอยู่ในระบอบการกำกับดูแล โดยมีเป้าหมายเพื่อส่งเสริมโซลูชันการชำระเงินทางอินเทอร์เน็ตต้นทุนต่ำใหม่ๆ เช่น แอปพลิเคชันการชำระเงินผ่านมือถือภายใต้เงื่อนไขที่กำหนดและควบคุม ที่สำคัญที่สุด PSD2 ครอบคลุมข้อกำหนดด้านความปลอดภัยที่เพิ่มขึ้นสำหรับเครื่องมือการชำระเงิน โดยมีภาระผูกพันด้านปฏิบัติการ ความปลอดภัย และการรับรองความถูกต้องใหม่
ผู้ให้บริการชำระเงินจะต้องปฏิบัติตามกฎหมายความปลอดภัยทางไซเบอร์ของสหภาพยุโรปฉบับใหม่ ซึ่งเช่นเดียวกับกฎหมายปี 2538 กำหนดให้ใช้ "มาตรการทางเทคนิคและองค์กรที่เหมาะสม" เพื่อจัดการความเสี่ยงที่เกิดจากความปลอดภัยของเครือข่ายและระบบข้อมูลที่เกี่ยวข้อง นอกจากนี้ ผู้ให้บริการด้านการชำระเงินจะต้องใช้ "การตรวจสอบสิทธิ์ลูกค้าที่เข้มงวด" เมื่อเริ่มทำธุรกรรมการชำระเงินทางอิเล็กทรอนิกส์ และจะต้องแจ้งให้ผู้ใช้ทราบโดยไม่ชักช้าเกี่ยวกับเหตุการณ์ด้านความปลอดภัยที่อาจส่งผลกระทบต่อผลประโยชน์ทางการเงินของผู้ใช้ ตลอดจนแจ้งให้ผู้ใช้ทราบถึงมาตรการที่เป็นไปได้ที่ผู้ใช้สามารถใช้เพื่อลดผลกระทบเชิงลบจากเหตุการณ์ดังกล่าวได้ หากเราใช้แนวทางเดียวกันกับกฎหมาย ePrivacy การใช้มาตรการเข้ารหัสที่มีประสิทธิผลจะเพียงพอที่จะหลีกเลี่ยงภาระผูกพันในการแจ้งการละเมิดเหล่านี้ได้ ผลกระทบด้านกฎระเบียบเหล่านี้น่าจะมีขอบเขตกว้างไกล เมื่อ PSD 2 และกฎหมาย Cyber Security Directive ฉบับใหม่ถูกผนวกเข้าในระบบกฎหมายของยุโรปแล้ว เราก็คาดหวังได้ว่าระบอบกฎหมายระหว่างประเทศอื่นๆ จะทำตามเช่นกัน แม้ว่าระบอบกฎหมายอื่นๆ จะไม่ทำตามในทันที เราก็คาดหวังได้ว่าอย่างน้อยที่สุด หน่วยงานกำกับดูแลและประชาชนทั่วโลกจะมีความคาดหวังที่สูงเมื่อกล่าวถึงความปลอดภัยของธุรกรรมการชำระเงิน หรือกล่าวอีกนัยหนึ่งคือ การตรวจสอบสิทธิ์ผู้ใช้ที่เข้มงวดจะกลายเป็นบรรทัดฐานที่คาดหวัง
การเข้ารหัสในสหภาพยุโรป พื้นที่ปลอดภัยสำหรับการเข้ารหัสภายใต้กฎหมายของสหภาพยุโรปยังขยายไปถึงฐานข้อมูลและแอปพลิเคชันอีกด้วย สิ่งสำคัญคือ ควรเข้าใจว่ากฎหมายของสหภาพยุโรปเขียนขึ้นเพื่อให้ "เป็นกลางทางเทคโนโลยี" เพื่อหลีกเลี่ยงความซ้ำซ้อนในกฎหมายเมื่อเทคโนโลยีล้าสมัย ดังนั้น องค์กรที่ดำเนินงานในสหภาพยุโรปควรเตรียมพร้อมสำหรับความคลุมเครือที่อาจเกิดขึ้นในกฎหมาย 
อย่างไรก็ตาม กฎหมายว่าด้วยการเข้ารหัสนั้นไม่คลุมเครือ และหลักการสำคัญที่ควรทราบ: 
1. กฎหมายระดับชาติบางฉบับของประเทศสมาชิกสหภาพยุโรปได้กล่าวถึงการเข้ารหัสโดยเฉพาะ แต่ส่วนใหญ่ไม่ได้กล่าวถึง 
2. "รายละเอียด" ของกฎหมายนั้นกำหนดโดยหน่วยงานกำกับดูแลและศาล ซึ่งพัฒนากฎหมายขึ้นเมื่อพิจารณาถึงประเด็นบางประเด็นของกฎหมาย 
3. หน่วยงานกำกับดูแลการคุ้มครองข้อมูลของสหภาพยุโรปคาดหวังให้องค์กรต่างๆ ใช้เทคโนโลยีการเข้ารหัสเพื่อปกป้องข้อมูลส่วนบุคคล โดยเฉพาะอย่างยิ่งในกรณีที่ข้อมูลเหล่านั้นมีความละเอียดอ่อนหรือเป็นความลับสูง เพื่อไม่ให้เกิดอันตรายหากเกิดการละเมิดความปลอดภัย 
4. หน่วยงานกำกับดูแลของสหภาพยุโรปยังไม่ได้วิเคราะห์รูปแบบการเข้ารหัสทั้งหมดที่มีอยู่ในตลาด หรือสถานการณ์ทั้งหมดที่อาจใช้การเข้ารหัสได้ เนื่องจากกฎระเบียบพัฒนาขึ้นในลักษณะที่ไม่ต่อเนื่อง อย่างไรก็ตาม มาตรการการเข้ารหัสที่แนะนำโดย ENISA ถือเป็นมาตรการที่เด็ดขาด และจากวิธีการที่กฎหมายได้รับการพัฒนาและนำไปใช้ เป็นที่ชัดเจนว่าองค์กรที่ประมวลผลข้อมูลส่วนบุคคลต้องพิจารณาถึงสิ่งที่มีอยู่ในตลาดและสถานการณ์ที่สามารถใช้การเข้ารหัสได้ ขณะที่พัฒนากลยุทธ์ด้านเทคโนโลยีสารสนเทศและการสื่อสาร
เมื่อพิจารณากฎหมายคุ้มครองข้อมูลของสหภาพยุโรปโดยรวมแล้ว จะได้ข้อสรุปที่น่าสนใจมาก นั่นคือ มีข้อกำหนดทางกฎหมายสำหรับการเข้ารหัสแอปพลิเคชัน การเข้ารหัสฐานข้อมูล การเข้ารหัสคลาวด์ การเข้ารหัสเซิร์ฟเวอร์/พีซี/แล็ปท็อป/มือถือในสหภาพยุโรป (ซึ่งครอบคลุมถึงข้อมูลที่ไม่ได้ใช้งานและข้อมูลระหว่างการส่ง) และมีสัญญาณชัดเจนว่าจะมีข้อผูกพันทางกฎหมายในการใช้โซลูชันการตรวจสอบผู้ใช้ที่เข้มงวด เป็นที่น่าสังเกตว่า นอกเหนือจาก PSD 2 และร่างกฎหมายว่าด้วยการรักษาความปลอดภัยทางไซเบอร์แล้ว กรอบกฎหมายคุ้มครองข้อมูลทั่วไปของสหภาพยุโรปกำลังอยู่ในระหว่างกระบวนการแก้ไข แม้ว่าสิ่งนี้จะไม่ทำให้ถ้อยคำของกฎหมายมีความเฉพาะเจาะจงมากขึ้น แต่ก็มีการคาดหวังที่ชัดเจนว่าการไม่ปฏิบัติตามกฎหมายจะได้รับการปฏิบัติที่เข้มงวดยิ่งขึ้นในอนาคต และหากขาดการเข้ารหัส อาจได้รับค่าปรับทางการเงินเป็นจำนวนมาก อาจสูงถึง 100,000,000 เหรียญยูโร หรือร้อยละ 5 ของยอดขายรวมประจำปีทั่วโลก

ไม่มีความคิดเห็น:

แสดงความคิดเห็น