ออสเตรเลียแนะนำบทลงโทษที่รุนแรงขึ้นสำหรับการละเมิดความเป็นส่วนตัว แต่จะปรับปรุงการปกป้องข้อมูลหรือไม่
รู้สึกเหมือนผ่านไปเกือบสัปดาห์ที่การละเมิดข้อมูลสำคัญไม่ได้อยู่เบื้องหน้าและเป็นศูนย์กลางของวงจรข่าวของออสเตรเลีย ในเดือนกันยายน Optus ได้ประกาศการละเมิดประวัติลูกค้า 10 ล้านราย ในเดือนตุลาคม Woolworths ประกาศว่า MyDeal ซึ่งเป็นบริษัทในเครือมีบันทึกลูกค้า 2 ล้านคนถูกบุกรุก และ Medibank ประกาศการรั่วไหลที่ส่งผลกระทบต่อบุคคล 10 ล้านคน ในเดือนพฤศจิกายน แฮกเกอร์เจาะข้อมูลลูกค้าและพนักงานกว่า 5 ล้านคนจากแอร์เอเชีย นี่เป็นเพียงการแฮ็กที่ใหญ่ที่สุดเท่านั้น โดยมีเหตุการณ์ขนาดเล็กเกิดขึ้นมากมายในแต่ละสัปดาห์
แน่นอน เป็นเรื่องที่สมเหตุสมผลสำหรับเราที่จะคาดหวังให้องค์กรต่างๆ ปฏิบัติต่อข้อมูลของเราด้วยความรับผิดชอบและด้วยความเคารพ น่าเสียดายที่บริษัทขนาดใหญ่และขนาดเล็กจำนวนมากล้มเหลวในหน้าที่และทรยศต่อความไว้วางใจของเรา รู้สึกเหมือนเป็นเรื่องของการละเมิดข้อมูลเกิดขึ้นเมื่อใด ไม่ใช่ว่าจะเกิดขึ้น มาตรการรักษาความปลอดภัยที่แข็งแกร่งกว่านี้ไม่ใช่เรื่องดีที่จะมีอีกต่อไป แต่จำเป็นสำหรับองค์กรที่ต้องการรักษาความไว้วางใจของลูกค้า
จนถึงสัปดาห์นี้ กฎหมายความเป็นส่วนตัวปี 1998 จำกัดบทลงโทษทางแพ่งสูงสุดในกรณีที่ละเมิด 'ร้ายแรงหรือซ้ำซาก' ไว้ที่ 2.22 ล้านดอลลาร์ออสเตรเลีย (AUD) อย่างไรก็ตาม ความเสียหายเชิงลงโทษที่อาจเกิดขึ้นนั้นเล็กน้อยเมื่อเทียบกับขนาดของธุรกิจ ตัวอย่างเช่น รายรับของ Optus อยู่ที่ 8 พันล้านดอลลาร์ และ EBITDA อยู่ที่ 2 พันล้านดอลลาร์ในปีที่สิ้นสุดในปี 2565 รายรับของ Woolworths อยู่ที่ 61 พันล้านดอลลาร์ และรายรับของ Medibank อยู่ที่ 7 พันล้านดอลลาร์ ยิ่งไปกว่านั้น Office of the Australian Information Commissioner (OAIC) แทบจะไม่บังคับใช้กับความเสียหาย
อย่างไรก็ตาม ทั้งหมดนี้อาจมีการเปลี่ยนแปลงและเนื่องจากธุรกิจจะมีความเสี่ยงมากขึ้นจากการถูกลงโทษทางการเงิน ในวันจันทร์ที่ 28 พฤศจิกายน ต้นสัปดาห์นี้ ร่างกฎหมายความเป็นส่วนตัวฉบับแก้ไข (การบังคับใช้และมาตรการอื่นๆ) ปี 2022 ผ่านสภาทั้งสองแห่งโดยได้รับการสนับสนุนจากพรรคสองฝ่าย สาระสำคัญของกฎหมายคือการเพิ่มบทลงโทษสูงสุดถึง:
- 50 ล้านเหรียญ;
- มูลค่าสามเท่าของผลประโยชน์ใด ๆ ที่ได้รับจากการใช้ข้อมูลในทางที่ผิด หรือ
- 30% ของมูลค่าการซื้อขายที่ปรับปรุงแล้วของบริษัทในช่วงเวลาที่เกี่ยวข้อง
นอกเหนือจากบทลงโทษที่รุนแรงขึ้นแล้ว ร่างกฎหมายดังกล่าวยังเพิ่มอำนาจของคณะกรรมาธิการข้อมูลของออสเตรเลียในการสอบสวนการละเมิด รวมถึง:
- เพื่อให้คณะกรรมาธิการข้อมูลของออสเตรเลียมีอำนาจมากขึ้นในการแก้ไขการละเมิดความเป็นส่วนตัว
- เพื่อเสริมสร้างแผนการละเมิดข้อมูลที่แจ้งเตือนได้ เพื่อให้แน่ใจว่า Australian Information Commissioner มีความรู้และความเข้าใจอย่างครอบคลุมเกี่ยวกับข้อมูลที่ถูกบุกรุกเพื่อประเมินความเสี่ยงของอันตรายต่อบุคคล และ
- เพื่อให้คณะกรรมการข้อมูลของออสเตรเลียและหน่วยงานสื่อสารและสื่อของออสเตรเลียมีอำนาจในการแบ่งปันข้อมูลมากขึ้น
กลุ่มล็อบบี้บาง กลุ่มในอุตสาหกรรม AWSและทั้งฝ่ายค้านและกลุ่มสีเขียวในรัฐสภาแสดงความกังวลเกี่ยวกับบางแง่มุมของร่างกฎหมาย สิ่งเหล่านี้มุ่งเน้นไปที่การไม่มีบทลงโทษตามลำดับชั้นสำหรับองค์กรขนาดต่างๆ และองค์กรการกุศล การขาดคำจำกัดความที่ชัดเจนสำหรับการแทรกแซงความเป็นส่วนตัวที่ 'ร้ายแรง' หรือ 'ซ้ำซาก' และการรวมคำศัพท์เช่น 'ผลประโยชน์' ไว้ในระบบการลงโทษ ซึ่งถือว่าบริษัทต่าง ๆ ได้รับประโยชน์จากการแทรกแซงความเป็นส่วนตัวเสมอ
แม้จะมีความกังวลดังกล่าวข้างต้น เราควรยินดีกับมาตรการเหล่านี้เนื่องจากมาตรการเหล่านี้แสดงถึงความก้าวหน้าที่จำเป็นและแสดงความเต็มใจที่จะให้บริษัทต่างๆ เข้าร่วม อย่างไรก็ตาม มีเหตุผลสามประการว่าทำไมมาตรการเหล่านี้เพียงอย่างเดียว ซึ่งเน้นไปที่การเพิ่มบทลงโทษอย่างกว้างๆ จะไม่สามารถเปลี่ยนเกมและปกป้องผลประโยชน์ของผู้บริโภคได้อย่างแท้จริง
ประการแรก ประวัติศาสตร์แสดงหลักฐานเพียงเล็กน้อยที่แสดงถึงความตั้งใจหรือความสามารถของรัฐบาลในการบังคับใช้ค่าปรับภายใต้พระราชบัญญัติความเป็นส่วนตัว เว้นแต่เราจะเห็นการจากไปอย่างรุนแรงจากจุดยืนอนุรักษ์นิยมนี้ และ AOIC แสดงให้เห็นถึงแนวทางเชิงรุกในการใช้ประโยชน์จากอำนาจใหม่ เป็นไปได้ยากที่เราจะได้เห็นการเปลี่ยนแปลงพื้นฐานไปสู่การขัดขวางการปฏิบัติที่ไม่ดีได้สำเร็จ
ประการที่สอง ลูกค้ามักจะตกเป็นเหยื่อที่แท้จริงของการละเมิดข้อมูล แต่พวกเขาไม่ใช่ผู้รับโทษ ดีที่สุด การละเมิดอาจจำกัดเพียงชื่อและอีเมลของบุคคล แต่ที่แย่ที่สุด อาจรุนแรงกว่านั้นมาก: มีรายงานว่าครอบครัวหนึ่งต้องสูญเสียเงิน 40,000 ดอลลาร์เนื่องจากการโจรกรรมข้อมูลประจำตัวหลังจากการละเมิด Optusในขณะที่เหยื่อหลายร้อยรายได้รับข้อมูล เกี่ยวกับการเสพติด ปัญหาสุขภาพจิต และการทำแท้งที่โพสต์ออนไลน์จากบันทึกของ Medibank แม้แต่ค่าปรับจำนวนมากก็ไม่สามารถลดความเจ็บปวดลงได้เมื่อข้อมูลส่วนบุคคลของพวกเขาถูกเปิดเผยอย่างถาวร
ประการที่สาม และที่สำคัญที่สุด กฎหมายไม่ได้เข้าถึงหัวใจของปัญหา องค์กรหลายแห่งพยายามก้าวให้ทันกับภูมิทัศน์ที่เปลี่ยนแปลงอย่างรวดเร็ว และขาดความสามารถในการพัฒนาการควบคุมที่ปลอดภัยมากขึ้นเพื่อป้องกันการละเมิดข้อมูล แม้แต่หน่วยงานของรัฐก็ยังพยายามป้องกันตนเองอย่างเต็มที่จากการโจมตีทางไซเบอร์ บ่อยครั้งที่แครอทมีประสิทธิภาพมากกว่าแท่ง ดังนั้นรัฐบาลควรดำเนินการมากกว่านี้เพื่อสนับสนุนธุรกิจและส่งเสริมพฤติกรรมที่ดีมากกว่าการใช้การลงโทษเป็นสิ่งจูงใจ
พระราชบัญญัติความเป็นส่วนตัวอยู่ภายใต้การตรวจสอบเพิ่มเติมตลอดปี 2023 เราหวังว่าปัญหาเหล่านี้บางส่วนจะได้รับการแก้ไข แต่เชื่ออย่างยิ่งว่าองค์กรต่างๆ ต้องการการสนับสนุนมากขึ้นเพื่อนำเสนอมาตรการความเป็นส่วนตัวและการป้องกันที่แข็งแกร่งในระยะเวลาอันใกล้นี้
อย่าลังเลที่จะติดตามเราบน LinkedIn หรือติดต่อหากคุณต้องการพูดคุยเกี่ยวกับความเป็นส่วนตัวและการปกป้องข้อมูล
![รายการที่เชื่อมโยงคืออะไร? [ส่วนที่ 1]](https://post.nghiatu.com/assets/images/m/max/724/1*Xokk6XOjWyIGCBujkJsCzQ.jpeg)