ใช้ประโยชน์จาก MyBigData ของเรา

 

จากบริษัท Nextwaver

 

 

วันที่  23 กรกฏาคม  2562

นำเสนอโดย    ฉัตรชัย หลิมประเสริฐศิริ  

บริษัท Nextwaver.Net 

ฉัตรชัย หลิมประเสริฐศิริ  

ลำดับเนื้อหา

 

  • รู้จัก GDPR 360 องศา
  • กรณี นำเข้ามูลกลับมาใช้ประโยชน์
  • กรณี ปรับปรุงระบบให้สอดคล้องกับ GDPR โดยใช้  SPADA Framework

 

 

 

มุมมอง: บุคคลทั่วไป

สิทธิในความเป็นส่วนตัว

 หมายถึงสิทธิของบุคคลที่ประกอบไปด้วยสิทธิของบุคคลในครอบครัว เกียรติยศ ชื่อเสียง หรือความเป็นอยู่ส่วนตัว ในเรื่องดังกล่าวน่าจะจัดอยู่ในเรื่องของความเป็นอยู่ส่วนตัวซึ่งหมายความว่า สถานะที่บุคคลจะรอดพ้นจากการสังเกต การรู้เห็น การสืบความลับ การรบกวนต่างๆ และความมีสันโดษ ไม่ติดต่อสัมพันธ์กับสังคม โดยทั้งนี้ โดยอิสระ มีการพัฒนาบุคลิกลักษณะตามที่ต้องการ

 

สิทธิที่จะแสวงหาความสุขในชีวิตตามวิถีทางที่อาจเป็นไปได้และเป็นความพอใจตราบเท่าที่ไม่ขัดต่อกฎหมาย ไม่ขัดต่อความสงบเรียบร้อยและศีลธรรมอันดีของประชาชนและไม่เป็นการล่วงละเมิดสิทธิเสรีภาพของผู้อื่น

มุมมอง: รัฐบาล

  1. ลดปัญหาความขัดแย้งการละเมิดการใช้ข้อมูลส่วนบุคคล
  2. ลดภัยจากการก่ออาชญากรรมทางคอมพิวเตอร์
  3. ช่วยให้ประเทศมีความพร้อม เป็น Digital Goverment ไปพร้อมกับ ธุรกิจและประชาชนั จากการบริหารใช้ประโยชน์ข้อมูลส่วนบุคคล
  4. กระตุ้นให้เกิดมาตรฐาน OpenStandard ชุดข้อมูลต่างๆ  ที่เป็นผลพ่วงจากกฏหมาย GDPR ในขั้นตอนการ เคลื่อนย้ายข้อมูลบนเครือข่าย ผ่าน  OpenAPI , OpenData
  5. สร้างเครือข่ายปลอดภัย  Trust Network
  6. ช่วยให้ประเทศมีข้อมูล  BigData เกิดขึ้นในทุกกลุ่มอุตสาหกรรม

มุมมอง: ผู้ให้บริการ

  1. สร้างความไว้วางใจให้กับลูกค้า สมาชิก

  2. ระบบมีความมั่นคงปลอดภัย

  3. ต้นทุนการบำรุงดูแลรักษา ลดลง 

  4. สามารถบูรณาการการทำงานทุกระบบ ได้บนฐานข้อมูล ประมวลผลข้อมูลส่วนบุคคล 

  5. สนับสนุนการตัดสินใจดำเนินการบนข้อมูลที่เชื่อถือได้

  6. ลดความเสี่ยงจากค่าปรับ  กฏหมาย  GDPR

 

 

 

 

มุมมอง: สมาชิกใช้บริการ

  1. มั่นใจในความปลอดภัยบริการ
  2. สามารถใช้ประโยชน์จากข้อมูลตนเอง เพื่อวิเคราะห์พฤติกรรมการใช้บริการ
  3. บริหารความเสี่ยงได้ด้วยตนเอง
  4. ตรวจสอบติดตามการใช้งานข้อมูลตนเอง
  5. รู้วิธีการรับมือจัดการเหตุละเมิดการใช้ข้อมูลส่วนตัว
  6. ข้อมูลตนเองมีคุณค่ามีราคา สามารถใช้แลกเปลี่ยนคุณค่าระหว่างผู้อื่นได้
  7. สามารถปกป้องตนเองจากภัย อาชกรรมทางคอมพิวเตอร์

 

มุมมอง: เทคโนโลยีที่สอดคล้อง สนับสนัน GDPR

  1. Open Standard  มาตรฐานข้อมูล ที่ใช้เป็นตัวแทนโครงสร้างข้อมูล ส่วนบุคคล
  2. Open Data/Open API สำหรับแลกเปลี่ยนข้อมูลตามกฏหมาย  GDPR
  3. E-Kyc NDID ฺBlockchain   สำหรับการยืนยันตัวบุคคล บนเครือข่ายสื่อสารปลอดภัย
  4. BigData Processing กระบวนการจัดการข้อมูลส่วนบุคคลที่ได้จาก  Social
  5. AI  Processing  จัดเตรียมข้อมูลส่วนบุคคลเพื่อนำมาใช้สอน AI สำหรับเรียนรู้นำมาใช้งาน
  6. Iot ข้อมูลจากผู้ให้บริการ สามารถนำกลับมาใช้ประโยชน์

 

GDPR

General Data Protection Regulation  

ส่วนนี้เริ่มจาก สหภาพยุโรป EU

ของไทยก็จะเป็น

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล 2018

โหลดเอกสารอ่านประกอบ

ด้านซ้ายจะเป็น เอกสาร GDPR EU

 

ด้านขวาเป็นบทความเปรียบเทียบ EU กับ TH

 

เริ่มจากปัญหาข้อมูลส่วนบุคคลถูกละเมิด

 ข้อมูลหลุด จากบริษัท​Facebook บอกข้อมูลผู้ใช้หลุดไป 87 ล้านบัญชี 

 

รหัส User Password โดน Hack จำนวน >800 ล้านบัญชี

 

  

 

 

อันตรายจากการถูกละเมิดข้อมูลส่วนบุคคล

กฏหมายมีบทปรับเป็นเงิน

ค่าปรับเมือละเมิดกฏหมาย  GDPR 

= 20 ล้าน EURO   หรือ

= 4% ของรายได้บริษัททั้งปี ขึ้นอยู่กับอะไรมากว่า

ค่าปรับเมือละเมิดพรบ คุ้มครองข้อมูลส่วนบุคคล

= 1-5  ล้านบาท  อ้างอิง

เราจะขอคืนข้อมูล   

นำกลับมาจัดเก็บดูแลปรับปรุงและแบ่งบันกันเอง

 

Facebook ยอบรับ GDPR

Facebook ยอบรับ GDPR

Mark Zuckerberg ยอบรับ GDPR ต่อหน้าสภา EU

เข้าถึงส่วนตั้งค่า  My Account Facebook

เลือกหัวข้อ Download ข้อมูลของคุณ

เข้าถึงส่วนตั้งค่า การ Download ข้อมูล

ตั้งค่า  Download ครั้งแรกหรือ มารับไฟร์ข้อมูล

  Download ข้อมูล

จัดการข้อมูลบุคคลบน Facebook

มาดูรายละเอียดข้อมูลส่วนบุคคลที่ได้รับจาก Facebook

1,2,3,4,5,6,7,8,9,A,B,C,D,E,F,G,H,I,J

พรบ คุ้มครองข้อมูลส่วนบุคคล  

 

1,2,3,4,5,6,7,8,9,A,B,C,D,E,F,G,H,I,J

 

1,2,3,4,5,6,7,8,9,A,B,C,D,E,F,G,H,I,J

 

พรบ คุ้มครองข้อมูลส่วนบุคคล ของประเทศไทย

เริ่มใช้วันที่  28 MAY 2019

1,2,3,4,5,6,7,8,9,A,B,C,D,E,F,G,H,I,J

 

1,2,3,4,5,6,7,8,9,A,B,C,D,E,F,G,H,I,J

 

1,2,3,4,5,6,7,8,9,A,B,C,D,E,F,G,H,I,J

 

1,2,3,4,5,6,7,8,9,A,B,C,D,E,F,G,H,I,J

 

1,2,3,4,5,6,7,8,9,A,B,C,D,E,F,G,H,I,J

 

1,2,3,4,5,6,7,8,9,A,B,C,D,E,F,G,H,I,J

 

1,2,3,4,5,6,7,8,9,A,B,C,D,E,F,G,H,I,J

 

1,2,3,4,5,6,7,8,9,A,B,C,D,E,F,G,H,I,J

 

1,2,3,4,5,6,7,8,9,A,B,C,D,E,F,G,H,I,J

 

ควบคุมการแชร่และใช้ประโยชน์จากข้อมูลส่วนบุคคล

1,2,3,4,5,6,7,8,9,A,B,C,D,E,F,G,H,I,J

 

ควบคุมประเภทเนื้อหาข้อมูลส่วนบุคคล

1,2,3,4,5,6,7,8,9,A,B,C,D,E,F,G,H,I,J

 

ผลกระทบเมือถูกละเมิดการใช้ข้อมูล

1,2,3,4,5,6,7,8,9,A,B,C,D,E,F,G,H,I,J

 

1,2,3,4,5,6,7,8,9,A,B,C,D,E,F,G,H,I,J

 

1,2,3,4,5,6,7,8,9,A,B,C,D,E,F,G,H,I,J

 

1,2,3,4,5,6,7,8,9,A,B,C,D,E,F,G,H,I,J

 

1,2,3,4,5,6,7,8,9,A,B,C,D,E,F,G,H,I,J

 

1,2,3,4,5,6,7,8,9,A,B,C,D,E,F,G,H,I,J,K,L,M,N

 

ย้ายข้อมูลของตนเองออกมาภายนอก ในรูปแบบง่าย

1,2,3,4,5,6,7,8,9,A,B,C,D,E,F,G,H,I,J,K,L,M,N

 

1,2,3,4,5,6,7,8,9,A,B,C,D,E,F,G,H,I,J,K,L,M,N

 

1,2,3,4,5,6,7,8,9,A,B,C,D,E,F,G,H,I,J,K,L,M,N

 

ค่าปรับตามกฏหมาย พรบ คุ้มครองข้อมูลส่วนบุคคลของประเทศไทย มีลำดับมูลค่าตามความผิด ขั้นต่ำ 3แสน ถึง 5 ล้านบาท 

 

Big Data  จาก

ข้อมูลส่วนบุคคล (Person Data) และการแบ่งบัน ( ShareData )

แบ่งบันข้อมูล (ShareData)

ใช้ช่องทางไหนได้บ้าง

 

 เลือก  Google Drive

 

จัดเก็บส่วนบุคคลไว้ในพื้นที่(Google Drive)

จัดเก็บส่วนบุคคลไว้ในพื้นที่(Google Drive)

สร้างพื้นที่ชื่อ MyFaceBook

Text

สอน AI ให้เรียนรู้จากข้อมูลส่วนบุคคล เพื่อช่วยทำงาน

ตัวอย่างการสอน AI ให้เรียนรู้จากข้อมูลส่วนบุคคล

ตัวอย่างการสอน AI ให้เรียนรู้จากข้อมูลส่วนบุคคล

ตัวอย่างการสอน AI ให้เรียนรู้จากข้อมูลส่วนบุคคล

ตัวอย่างการสอน AI ให้เรียนรู้จากข้อมูลส่วนบุคคล

ตัวอย่างการสอน AI ให้เรียนรู้จากข้อมูลส่วนบุคคล

ตัวอย่างการสอน AI ให้เรียนรู้จากข้อมูลส่วนบุคคล

ถ้าหากคุณเป็นผู้ให้บริการ มาสำรวจกันว่า

ระบบสอดคล้องกับ GDPR หรือ พรบคุ้มครองข้อมูลส่วนบุคคลหรือไม่ ?

1. กำหนดว่าแอปต้องการข้อมูลส่วนบุคคลทั้งหมดที่ต้องการหรือไม่

การใช้ข้อมูลส่วนบุคคลที่เหมาะจะช่วยประหยัดข้อมูลส่วนบุคคลให้น้อยที่สุดเช่นวันเดือนปีเกิดชื่อประเทศที่พำนัก ฯลฯ ซึ่งไม่สามารถทำได้ในทุกกรณี บางหน่วยงานจะต้องการข้อมูลเพิ่มเติม ในทุกกรณีนักพัฒนาซอฟต์แวร์และผู้บริหารควรกำหนดว่าจำเป็นต้องใช้ข้อมูลใด

 

15 steps to developing GDPR-compliant apps
15 steps to developing GDPR-compliant apps

2. เข้ารหัสข้อมูลส่วนบุคคลทั้งหมดและแจ้งให้ผู้เจ้าของข้อมูลทราบ

หากแอปพลิเคชันต้องการบันทึกข้อมูลส่วนบุคคลข้อมูลควรได้รับการเข้ารหัสด้วยอัลกอริทึมการเข้ารหัสที่เหมาะสมและเข้มงวดรวมทั้งการแฮช ในการละเมิดข้อมูลข้อมูลส่วนบุคคลทั้งหมด ที่ชัดเจนซึ่ง มีผลกระทบอย่างมากต่อผู้ใช้ ควรระบุอย่างชัดเจนต่อผู้ใช้ว่าข้อมูลส่วนบุคคลทั้งหมดของพวกเขารวมทั้งหมายเลขโทรศัพท์ประเทศที่อยู่และที่อยู่จะได้รับการเข้ารหัสและแฮชเพื่อหลีกเลี่ยงการดึงข้อมูลและโอกาสที่อาจเกิดขึ้นในกรณีที่มีการละเมิดข้อมูล

 

15 steps to developing GDPR-compliant apps

3. ติดตั้ง OAUTH สำหรับพิสูจน์ตัวตน  

โปรโตคอลสำหรับการเข้าสู่ระบบแบบครั้งเดียวเช่น OAUTH อนุญาตให้ผู้ใช้สร้างบัญชีอื่นเช่น  FaceBook ID มาเข้าถึงข้อมูลของตนได้เพื่อความสดวกในการเข้าถึงข้อมูลของตนเอง

15 steps to developing GDPR-compliant apps

4. บังคับให้มีการสื่อสารที่ปลอดภัยผ่าน HTTPS

 

นิติบุคคลหลายแห่งไม่ได้ใช้ HTTPS สำหรับเว็บไซต์ของตนเพราะพวกเขาไม่เห็นว่าจำเป็น ตัวอย่างเช่นถ้าแอปพลิเคชันไม่ต้องมีการรับรองความถูกต้องรูปแบบใด ๆ HTTPS อาจดูเหมือนจะไม่เป็นที่ต้องการ แต่มันง่ายที่จะมองข้ามบางสิ่งบางอย่าง ตัวอย่างเช่นแอ็พพลิเคชันบางอย่างจะเก็บรวบรวมข้อมูลส่วนบุคคลผ่านรูปแบบ "ติดต่อเรา" หากข้อมูลนี้ถูกส่งไปเป็นข้อความที่ชัดเจนก็จะถูกเปิดเผยผ่านทางอินเทอร์เน็ต นอกจากนี้คุณควรตรวจสอบให้แน่ใจว่าใบรับรอง SSL ได้รับการติดตั้งอย่างถูกต้องและไม่มีช่องโหว่ที่เกี่ยวข้องกับโปรโตคอล SSL

 

15 steps to developing GDPR-compliant apps

5. แจ้งผู้ใช้เกี่ยวกับและเข้ารหัสข้อมูลส่วนบุคคลจากฟอร์ม 'ติดต่อเรา'

 

แอ็พพลิเคชันไม่ได้เก็บรวบรวมข้อมูลโดยการรับรองความถูกต้องหรือการสมัครรับข้อมูล แต่ยังผ่านรูปแบบการติดต่อ ข้อมูลส่วนใหญ่เป็นข้อมูลส่วนบุคคลรวมถึงที่อยู่อีเมลหมายเลขโทรศัพท์และประเทศที่พำนัก ผู้ใช้ต้องได้รับแจ้งว่าข้อมูลนี้จะได้รับการจัดเก็บและนานเท่าใด ขอแนะนำให้ใช้การเข้ารหัสลับที่เข้มงวดในการจัดเก็บข้อมูลนี้

 

 

15 steps to developing GDPR-compliant apps

6. ตรวจสอบว่าเซสชันและคุกกี้หมดอายุและถูกทำลายหลังจากออกจากระบบ

 

ผู้ใช้ต้องมีการเปิดเผยข้อมูลที่เหมาะสมเกี่ยวกับการใช้คุกกี้โดยแอปพลิเคชัน พวกเขาต้องได้รับแจ้งว่าแอปพลิเคชันใช้คุกกี้แอ็พพลิเคชันควรให้โอกาสผู้ใช้ยอมรับหรือปฏิเสธคุกกี้และคุกกี้ต้องถูกทำลายอย่างถูกต้องหลังจากไม่มีการใช้งานหรือออกจากระบบ

 

 

15 steps to developing GDPR-compliant apps

7. ไม่ติดตามกิจกรรมของผู้ใช้ทางธุรกิจ

        แอปพลิเคชันอีคอมเมิร์ซหลายรายการ ติดตาม ตรวจสอบรสนิยมของตนผ่านการค้นหาหรือผลิตภัณฑ์ที่ซื้อ บ่อยครั้งที่ บริษัท ต่างๆเช่น Amazon และ Netflix ใช้ข้อมูลประเภทนี้สำหรับระบบแนะนำของพวกเขา เนื่องจากรสนิยมและทางเลือกส่วนบุคคลของผู้ใช้กำลังได้รับการตรวจสอบและเก็บไว้

             เพื่อจุดประสงค์ทางการค้าผู้ใช้จึงควรยอมรับหรือปฏิเสธตัวเลือกนี้ได้ หากผู้ใช้ตัดสินใจที่จะยอมรับการติดตามดังกล่าวระบบจะแจ้งให้ทราบว่าข้อมูลจะได้รับการบันทึกไว้ในระบบในระยะเวลาเท่าใด และ สิ่งที่เกี่ยวข้องกับข้อมูลส่วนบุคคลควรได้รับการเข้ารหัส

 

 

15 steps to developing GDPR-compliant apps

8. ปกปิดข้อมูลบันทึก ที่ตั้งหรือที่อยู่ IP ของผู้ใช้งาน

แอ็พพลิเคชันจำนวนมากใช้ที่อยู่ IP หรือตำแหน่งเป็นพารามิเตอร์ในการควบคุมการตรวจสอบสิทธิ์และการให้สิทธิ์และจะบันทึกข้อมูลนี้ในกรณีที่มีผู้พยายามข้ามการควบคุมการตรวจสอบ ผู้ใช้ควรได้รับการบอกกล่าวเกี่ยวกับเรื่องนี้รวมถึงระยะเวลาที่บันทึกจะถูกบันทึกลงในระบบ อย่าใส่ข้อมูลที่ละเอียดอ่อนเช่นรหัสผ่านในบันทึก

 

 

15 steps to developing GDPR-compliant apps

10. คำถามเกี่ยวกับความปลอดภัยไม่ควรเปิดข้อมูลส่วนบุคคลของผู้ใช้

   ในหลายแอปพลิเคชันคำถามเกี่ยวกับความปลอดภัยจะใช้เป็นรูปแบบเพื่อยืนยันตัวตนของผู้ใช้ คำถามเหล่านี้ไม่ควรรวมถึงส่วนประกอบส่วนบุคคลเช่นชื่อนามสกุลของมารดาหรือแม้แต่สีที่ชอบของผู้ใช้ ถ้าเป็นไปได้ให้แทนที่คำถามเหล่านี้ด้วยการตรวจสอบสิทธิ์แบบสองปัจจัย หากเป็นไปไม่ได้ให้ผู้ใช้สร้างคำถามของตนเองและเตือนพวกเขาต่อการสร้างคำถามที่มีข้อมูลส่วนบุคคล ข้อมูลที่ให้ไว้ควรได้รับการเข้ารหัส

 

 

15 steps to developing GDPR-compliant apps

11. สร้างข้อกำหนดและเงื่อนไขที่ชัดเจนและตรวจสอบให้แน่ใจว่าผู้ใช้อ่าน

          อย่าซ่อนข้อกำหนดและเงื่อนไขของคุณ ภายใต้กฎหมายใหม่เกี่ยวกับข้อมูลส่วนบุคคลของ EU ข้อตกลงและเงื่อนไขควรอยู่ในหน้า Landing Page ของเว็บแอปพลิเคชันและสามารถมองเห็นได้ตลอดเวลาในขณะที่ผู้ใช้นำทางแอพพลิเคชัน จำเป็นต้องมีกลไกการบังคับใช้เพื่อให้ผู้ใช้ต้องยอมรับข้อกำหนดในการให้บริการก่อนที่จะได้รับอนุญาตให้เข้าถึงแอปพลิเคชันโดยเฉพาะอย่างยิ่งเมื่อมีการเปลี่ยนแปลงข้อกำหนด ข้อกำหนดและเงื่อนไขควรเป็นภาษาที่เข้าใจได้ง่าย

 

 

15 steps to developing GDPR-compliant apps

12. แจ้งผู้ใช้เกี่ยวกับการแชร์ข้อมูลกับบุคคลที่สาม

หากองค์กรของคุณแชร์ข้อมูลส่วนบุคคลกับบุคคลที่สามไม่ว่าจะเป็นปลั๊กอินภายนอก บริษัทในเครือหรือองค์กรภาครัฐ   ต้องระบุรวมอยู่ในข้อกำหนดในการให้บริการ

 

 

15 steps to developing GDPR-compliant apps

13. สร้างนโยบายที่ชัดเจนสำหรับการละเมิดข้อมูล

หนึ่งในประเด็นที่สำคัญที่สุดของกฎหมายของสหภาพยุโรปคือสิทธิของผู้ใช้ที่จะได้รับแจ้งหากมีการละเมิดข้อมูลเกิดขึ้น องค์กรต้องดำเนินการตามนโยบายที่ชัดเจนซึ่งจะกำหนดบทบาทและขั้นตอนในการปฏิบัติตามเพื่อให้ตัวอย่างเช่นผู้ใช้จะได้รับแจ้งอย่างทันท่วงทีเกี่ยวกับการฝ่าฝืนใด ๆ  ภายใน  72 ชั่วโมง

 

 

15 steps to developing GDPR-compliant apps

14. ลบข้อมูลของผู้ใช้ที่ยกเลิกบริการ

แอ็พพลิเคชันเว็บจำนวนมากไม่ได้ระบุชัดเจนว่าเกิดอะไรขึ้นกับข้อมูลส่วนบุคคลหลังจากที่ผู้ใช้ยกเลิกบริการหรือลบบัญชีแล้ว ด้วยสิทธิ์ที่จะถูกลืม บริษัท ต่างๆควรเคารพสิทธิ์ของผู้ใช้ในการลบข้อมูลบัญชีและข้อมูลที่เกี่ยวข้องทั้งหมดของตน ต้องเปิดเผยให้กับผู้ใช้ว่าพวกเขาสามารถออกจากบริการและข้อมูลทั้งหมดของพวกเขาจะถูกลบ บริษัท ที่ถือว่าบัญชีที่ถูกลบเป็นเพียงที่ไม่ใช้งานอาจทำให้เกิดการฝ่อฝืนกฎหมายได้

 

 

15 steps to developing GDPR-compliant apps

15. แก้ไขช่องโหว่ของเว็บ

 

 

 

ตัวอย่างการออกแบบ WebApp รองรับ GDPR

จบเนื้อหา ..

สอบถามและแลกเปลี่ยนความคิดเห็น

 

Challenges

  1. เห็นความสำคัญของข้อมูลตนเองหรือไม่

  2. อยากได้ข้อมูลตนเองคืนกลับมาจาก Social service หรือไม่

  3. เมื่อมี Data อยากแชร์ให้ผู้อื่นกลับไปที่ Social หรือไม่

  4. สนใจ อยากใช้ประโยชน์ Data หรือไม่

Made with Slides.com