การคุ้มครองข้อมูลส่วนบุคคลและความมั่นคงปลอดภัยจากการใช้คลาวด์ ตอนที่ 3

ในตอนที่ 1 เราพูดถึงความจำเป็นที่ต้องมีมาตรการสร้างความมั่นใจให้แก่ผู้ใช้บริการคลาวด์ด้านความมั่นคงปลอดภัย และในตอนที่ 2 เราพูดถึงสถานภาพการคุ้มครองข้อมูลส่วนบุคคลของไทย สำหรับตอนที่ 3 นี้ เราจะพูดเรื่องกรอบของการคุ้มครองความมั่นคงและปลอดภัยการใช้บริการคลาวด์ ในลักษณะคุ้มครองขั้นต่ำ (Minimum coverage) ที่จะต้องถูกกำหนดไว้ในสัญญาที่ทำขึ้นระหว่างผู้ให้บริการและผู้รับบริการ ข้อกำหนดและเงื่อนไขในสัญญา จะเข้มข้นเพียงใด มักจะต้องเจรจาระหว่างสองฝ่าย  ผู้ให้บริการที่มีจิตสำนึกในความรับผิดชอบต่อลูกค้า ก็จะเสนอข้อกำหนดและเงื่อนไขไว้อย่างครบถ้วน อย่างสมเหตุสมผล แต่บางรายก็พยายามหลีกเลี่ยงความรับผิดชอบให้ได้มากที่สุด ถ้าลูกค้าไม่ระวังและรอบคอบ ก็จะบริหารความเสี่ยงที่เกิดจากการใช้บริการคลาวด์ได้ยาก แต่อย่าลืมว่า บริการทุกขั้นตอนมีต้นทุน การคุ้มครองเกินความจำเป็น ก็อาจทำให้มีค่าใช้จ่ายสูงได้ การแข่งขันในธุรกิจบริการคลาวด์ทั่วโลก จะแข่งขันกันด้วยข้อเสนอที่จะคุ้มครองความมั่นคงปลอดภัยของลูกค้าด้วยราคาที่เหมาะสม ที่สะท้อนออกมาในรูปของสัญญาบริการ ที่ต้องทำให้เกิดผลจริงตามข้อสัญญาได้

ขอกล่าวย้ำว่า ทันทีที่เราเริ่มใช้บริการคลาวด์ เราได้มอบการจัดการงานที่เกี่ยวกับความมั่นคงปลอดภัยของระบบข้อมูล และเสถียรภาพของการใช้ระบบไอซีทีไปให้ผู้อื่นรับผิดชอบแทน ซึ่งก็คือผู้ให้บริการคลาวด์ โดยเราไม่สามารถเข้าไปมีส่วนในการบริหารจัดการ ชะตากรรมขององค์กร และของธุรกิจได้ส่งมอบไปอยู่ในมือของผู้ให้บริการ ที่เราจะไม่สามารถเข้าไปควบคุมดูแลได้ การกำกับดูแลที่ดี (Good governance) ที่องค์กรเคยสร้างมาอย่างดี จะต้องนำมาปรับปรุง ต่อเติมด้วยมาตรการการทำงานร่วมกับผู้ให้บริการคลาวด์ และมีมาตรการข้อผูกพันทางด้านกฎหมาย และผูกพันผู้ให้บริการในความรับผิดชอบ ทั้งด้านพันธะสัญญาบริการ (Service Level Agreement) และด้านความมั่นคงปลอดภัยของข้อมูล ที่สำคัญกว่านี้ ผู้ใช้บริการคลาวด์ยังต้องตระหนักว่า ความรับผิดชอบ และพันธะผูกผันทางกฎหมายบางชนิดไม่สามารถโอนย้ายไปให้ผู้ให้บริการได้ ตัวอย่างเช่น บริษัทมหาชนต้องไม่เปิดเผยข้อมูลบางชนิดขององค์กรให้แก่สาธารณชนก่อนเวลาอันควร ตามกฎหมายบริษัทมหาชน (มาตรา ๒๒๐ ผู้ใดได้ล่วงรู้กิจการของบริษัทใดเนื่องจากการปฏิบัติตามอำนาจหน้าที่ที่กำหนดไว้ในพระราชบัญญัตินี้ อันเป็นกิจการที่ตามปกติวิสัยของบริษัทจะพึงสงวนไว้ไม่เปิดเผย…..) ถ้าข้อมูลที่อยู่ในข่ายดังกล่าวเกิดหลุดไปสู่สาธารณชนด้วยวิธีใดวิธีหนึ่ง ผ่านการใช้บริการคลาวด์ ความรับผิดชอบก็ยังตกอยู่กับบริษัท การกำกับดูแลที่ดีต้องครอบคลุมถึงประเด็นสำคัญเหล่านี้ด้วย

ข้อกำหนดและเงื่อนไขของสัญญาใช้บริการคลาวด์

              สัญญาใช้บริการคลาวด์ มีกำหนดเงื่อนไขที่สำคัญอยู่สองหมวด หมวดแรกคือเรื่องที่เกี่ยวข้องกับกฎหมายบ้านเมือง ในด้าน

·      คุ้มครองไม่ให้เกิดความเสียหายจากการเข้าถึงข้อมูลจากบุคคลที่สาม (ข้อมูลของเราในฐานะลูกค้า ที่เก็บรักษาไว้ในศูนย์บริการคลาวด์ของผู้ให้บริการ อาจถูกบุคคลที่สามละเมิด หรือถูกบังคับให้เปิดเผยโดยมิชอบ)

·      คุ้มครองข้อมูลส่วนบุคคล

·      คุ้มครองด้านทรัพย์สินทางปัญญา

·      คุ้มครองการเคลื่อนย้ายข้อมูล ได้อย่างปลอดภัย หรือไม่ถูกเคลื่อนย้ายไปสู่ประเทศอื่น อันเป็นการละเมิดกฎหมายว่าด้วยการเคลื่อนย้ายข้อมูลออกนอกประเทศ

ดังที่ได้กล่าวมาแล้วในตอนที่ 2 ว่ารัฐบาลไทยยังไม่มีความชัดเจนเรื่องกฎหมายคุ้มครองข้อมูลส่วนบุคคล (เข้าใจว่า ร่างพรบว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ฉบับที่ได้ผ่านความเห็นชอบของรัฐบาลสมัยประชาธิปัตย์ ได้กลับเข้าสู่กระบวนการระลอกใหม่ หลังจากเปลี่ยนรัฐบาล ยังไม่แน่ใจว่า กระบวนการใหม่นี้จะใช้เวลานานแค่ไหน ยังไม่มีใครรู้อนาคต) สิ่งที่เรามีอยู่ในมือ คือ พระราชบัญญัติลิขสิทธิ์ พ.ศ. 2537 อย่างอื่นล้วนไม่มีความชัดเจนในขณะนี้ จึงยากที่ผู้ใช้บริการ และผู้ให้บริการ จะสามารถตกลงกำหนดเงื่อนไข และความรับผิดชอบ ไว้ในสัญญาบริการคลาวด์ได้

                             หมวดที่สองของตัวสัญญาใช้บริการ เป็นเรื่องข้อกำหนดการใช้บริการ เรื่องคุณภาพการให้บริการ ซึ่งมักจะกำหนดเป็นพันธะสัญญาบริการ (Service Level Agreement) และเรื่องข้อกำหนดในตัวหน้าที่ของผู้ใช้บริการ (Acceptable Use Policy)

                             โดยสรุป สัญญาใช้บริการ จะต้องมีอย่างน้อย 4 เรื่องดังนี้

1.          ข้อกำหนดและเงื่อนไขของบริการ (Terms of Service) ระบุ เงื่อนไข และข้อตกลงการใช้บริการคลาวด์ ระบุหน้าที่และความรับผิดชอบอย่างกว้าง ๆ ของคู่สัญญาทั้งสองฝ่าย ชนิดของบริการ รูปแบบการใช้บริการ ระยะเวลาการใช้บริการ เงื่อนไขการเลิกสัญญา โดยสรุป รูปแบบของข้อกำหนดและเงื่อนไขของบริการ ไม่แตกต่างจากสัญญาบริการทั่วไป แต่ผู้ใช้ต้องระวัง เงื่อนไขเมื่อเลิกใช้บริการ ไม่ว่ากรณีใดก็ตาม ต้องให้มีความชัดเจน ในเรื่องกรรมสิทธิในข้อมูล และระบบซอฟต์แวร์ของตนเอง (ถ้ามี) พูดกันชัด ๆ คือเมื่อไรที่เลิกใช้บริการ ไม่ว่าจะเป็นกรณีใด เราต้องมีข้อตกลงว่า เราในฐานะผู้ใช้บริการ เป็นเจ้าของข้อมูล และมีสิทธิที่จะนำข้อมูลออกมาใช้ได้

2.          พันธะสัญญาบริการ (Service Level Agreement, SLA) เป็นสัญญาที่ผู้ให้บริการ สัญญาจะให้บริการอย่างมีคุณภาพ และตกลงที่จะทดแทนผู้ใช้บริการ ในกรณีที่เกิดเหตุอันทำให้ไม่สามารถบริการตามที่สัญญาไว้ พันธะสัญญาบริการมักจะต้องกำหนดรายละเอียดเกี่ยวกับ Performance หรือ Up time ของอุปกรณ์ และระบบหลัก ๆ เช่น ระบบเซิร์ฟเวอร์ ระบบบันทึกข้อมูล ระบบสื่อสารข้อมูลและอินเทอร์เน็ต ถ้าสัญญาบริการรวมถึงระบบซอฟต์แวร์ ก็จะต้องระบุเงื่อนไขการทำงานอย่างมีคุณภาพของระบบซอฟต์แวร์ที่เกี่ยวข้องด้วย นอกจากนี้ ยังต้องมีการกำหนดระยะเวลาของการแก้ไขปัญหา และความฉับไวในการตอบรับการบริการ (Support response time) รวมทั้งข้อสัญญาเกี่ยวกับระบบรักษาความปลอดภัย ทั้งความปลอดภัยทางกายภาพ และความปลอดภัยที่เกี่ยวกับการใช้ไอซีทีด้วย

นอกจากนี้ พันธะสัญญาบริการยังต้องมีข้อกำหนดเกี่ยวกับการทดแทน หรือชดใช้ ในกรณีที่ผู้ให้บริการไม่สามารถบริการได้ตามสัญญา รวมทั้งข้อสัญญาที่จะชดใช้ในกรณีที่มีความเสียหายอื่น ๆ เกิดขึ้นด้วย

ตัวอย่างของพันธะสัญญา สามารถดูได้จาก Link นี้ http://www.gogrid.com/legal/sla.php

3.          นโยบายการใช้งาน (Acceptable Use Policy) เป็นข้อกำหนดและเงื่อนไขที่ต้องการปกป้องตัวผู้ให้บริการ จากเหตุการณ์ที่ไม่พึ่งปรารถนา ที่อาจเกิดจากตัวลูกค้า โดยเจตนาหรือไม่เจตนาก็ตาม ที่อาจก่อเกิดความเสียหาย โดยเฉพาะแก่บุคคลที่สาม เพื่อผู้ให้บริการหลุดพ้นจากความรับผิดชอบ โดยเฉพาะการใช้อินเทอร์เน็ต ความเสี่ยงที่พนักงานของผู้ใช้บริการคลาวด์อาจทำสิ่งผิดกฎหมาย หรือไปละเมิดสิทธิ หรือละเมิดลิขสิทธิ์ของบุคคลอื่น มีค่อนข้างสูง จึงจำเป็นที่ผู้ให้บริการจะกำหนดเงื่อนไขเพื่อปกป้องตนเอง ตัวอย่างของข้อกำหนดและเงื่อนไขมีดังนี้

a.           กำหนดให้ผู้ใช้บริการ ซึ่งรวมถึงพนักงานของผู้ใช้บริการ ต้องมีความรับผิดชอบ ที่จะใช้บริการตามวัตถุประสงค์ของธุรกิจของลูกค้า รวมทั้งการใช้ข้อมูลที่เกี่ยวข้องเพื่อกิจกรรมของธุรกิจของลูกค้าเท่านั้น

b.          ผู้ใช้บริการจะต้องไม่ให้พนักงาน หรือผู้ใช้ระบบงาน และระบบข้อมูลของผู้ใช้บริการ รับส่งข้อมูลและสาระที่ผิดกฎหมาย และผิดศิลธรรมอันดีของสังคม ผู้ให้บริการมีสิทธิที่จะระงับการให้บริการ ถ้าปรากฎผู้ใช้บริการ และหรือบริวารได้กระทำอันไม่สมควรดังกล่าว

(ท่านสามารถศึกษาจากตัวอย่างที่ Link นี้ http://www.gfi.com/whitepapers/acceptable_use_policy.pdf )

4.          นโยบายคุ้มครองข้อมูลส่วนบุคคล ตามที่ได้กล่าวมาแล้วข้างต้นว่า เป็นเรื่องใหญ่ มีความสำคัญอย่างมากที่จะสร้างความมั่นใจในการใช้บริการคลาวด์ แต่ปัญหาของพวกเรา คือ ยังไม่มีความชัดเจนในการคุ้มครองจากกฎหมายบ้านเมือง อย่างไรก็ตาม ยังมีเรื่องเกี่ยวกับการคุ้มครองข้อมูลอื่น ๆ ที่อยู่ในความรับผิดชอบของผู้ให้บริการ เช่น เรื่องมาตรการกำกับดูแลที่เกี่ยวข้องกับความมั่นคงปลอดภัย เรื่องที่ต้องมีการกำกับการปฏิบัติตามกฎเกณฑ์ของกฎหมายเฉพาะ (Compliance) เช่นในกรณีของสถาบันการเงิน และกฎหมายบริษัทมหาชน รวมทั้งต้องมีมาตรการเก็บรักษาและกู้คืนข้อมูลอย่างปลอดภัย ฯลฯ 

เรื่องความมั่นคงปลอดภัยการใช้บริการคลาวด์ เป็นเรื่องสลับซับซ้อน และมีความสำคัญมากต่อการพัฒนาการใช้บริการไอซีทีในรูปแบบสาธารณูปโภค ด้วยเหตุที่การบริการสาธารณูปโภคมีความสำคัญต่อการพัฒนาเศรษฐกิจและสังคม ถ้าการสร้างความมั่ใจในหมู่ผู้ใช้บริการไม่ได้รับการแก้ไข ก็จะส่งผลต่อการพัฒนาโดยรวมของประเทศได้ แต่ลำพังผู้ใช้บริการคลาวด์ ที่จะตระหนักและมีความรู้ในเรื่องรายละเอียดเกี่ยวกับเงื่อนไขและข้อกำหนด เพียงพอที่จะต่อรองกับผู้ให้บริการอย่างเหมาะสมและเป็นธรรมนั้น เป็นไปได้ยาก น่าที่จะมีหน่วยงานรับผิดชอบ ช่วยกำหนดและชี้แนะ ให้มีข้อกำหนดและเงื่อนไขการใช้คลาวด์อย่างมั่นคงปลอดภัยขั้นต่ำ เพื่อช่วยให้ผู้ใช้บริการคลาวด์สามารถนำไปเจรจาต่อรองกับผู้ให้บริการอย่างสมเหตุสมผลและเป็นธรรม

เอกสารอ้างอิง:

1.          Ballantine, Russel, “Cloud Computing, Security Compliance and Governance”, Bookbaby 1^st Edition, January 31, 2012.

2.          Jansen, Wayne, Grance, Timothy, “Guidelines on Security and Privacy in Public Cloud Computing”, National Institute of Standards and Technology, U>S> Department of Commerce, Special Publication 800-144, December 2011.