นายไชยชนก ชิดชอบ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) เป็นประธานการแถลงข่าว เปิดปฏิบัติการ Cut Down Scam สยบเครือข่ายค้าข้อมูลส่วนบุคคล ซึ่งกระทรวงดีอี โดย สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) หรือ PDPC ร่วมกับ ศูนย์ปฏิบัติการต่อต้านการฉ้อโกงออนไลน์สำนักงานตำรวจแห่งชาติ โดยมี นายพชร อนันตศิลป์ ปลัดกระทรวงดีอี นางสาวสุชาดา ซาง แทนทรัพย์ เลขานุการรัฐมนตรีว่าการกระทรวงดีอี และโฆษกกระทรวงดีอี พล.ต.ท.จิรภพ ภูริเดช ผู้ช่วยผู้บัญชาการตำรวจแห่งชาติ พล.ต.ต.พัฒนศักดิ์ บุบผาสุวรรณ ผู้บังคับการปราบปราม พ.ต.อ.เอกสิทธิ์ ปานสีทา ผู้กำกับการ 4 กองบังคับการปราบปราม และ พ.ต.อ.สุรพงศ์ เปล่งขำ เลขาธิการคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ร่วมแถลงข่าว ณ กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม
กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ให้ความสำคัญในการป้องกันและปราบปรามปัญหาอาชญากรรมหลอกลวงออนไลน์ ตามนโยบายของรัฐบาล โดยร่วมกับสำนักงานตำรวจแห่งชาติ ปฏิบัติการ “Cut Down Scam สยบเครือข่ายค้าข้อมูลส่วนบุคคล” ดำเนินการจับกุมเครือข่ายการซื้อขายข้อมูลส่วนบุคคล (บัตรประจำตัวประชาชน)
นายไชยชนก กล่าวว่า ได้รับความร่วมมือจากทุกฝ่าย โดยได้มีการพูดคุยกับแพลตฟอร์ม มีกลุ่มแพลตฟอร์มที่เข้าร่วมการแก้ปัญหา ได้แก่ TikTok Google และ Facebook และจากธนาคารในเรื่องของบัญชีม้า จะมีการเข้าไปพูดคุยดูกระบวนการทำโปรไฟล์ที่ใช้ข้อมูลจากบัญชีม้าภายในสัปดาห์หน้า เพื่อประเมินกลุ่มที่เป็น Potential Target (กลุ่มคนหรือลูกค้าเป้าหมาย) เพื่อเพิ่มปริมาณการระงับบัญชีให้มีประสิทธิภาพมากขึ้นในเชิงรุก ในส่วนของ Line มีการพูดคุยเรื่องของการ Verify User ID โดยทาง Line ประเทศไทย เพื่อให้เป็นไปตามพระราชกำหนดมาตรการป้องกันและปราบปรามอาชญากรรมทางเทคโนโลยี (ฉบับที่ 2) พ.ศ. 2568 ส่วน Google มีการทดสอบการค้นหาโดยพิมพ์คำว่า “เว็บพนันออนไลน์” ยังคงแสดงผลให้เห็นอยู่ แม้จะมีกระบวนการในการเซ็ตอัพเรื่องต่างๆ ไว้แล้ว โดยตัวแทน Google จะประชุมและดำเนินการให้การค้นหาในลักษณะนี้ไม่แสดงผลอีก
สำหรับการทำงานของศูนย์เฝ้าระวังการละเมิดข้อมูลส่วนบุคคล (PDPC Eagle Eye) ได้พัฒนาโปรแกรมบนฐานกฎหมาย PDPA ที่ถูกต้อง เพื่อตรวจสอบ ติดตาม เฝ้าระวังการละเมิดข้อมูลส่วนบุคคล บน Search engine เช่น Google และเว็บไซต์ใต้ดินต่าง ๆ ร่วมกับการทำ Social Listening ซึ่งได้ตรวจสอบพบแพลตฟอร์มหนึ่งที่มีการซื้อขายข้อมูลส่วนบุคคล PDPA ไม่ได้มีแค่ข้อมูลส่วนบุคคลสำหรับคนทั่วไปเท่านั้น แต่ยังรวมถึงข้อมูลผู้ที่เสียชีวิตไปแล้วอีกด้วย จึงส่งข้อมูลการซื้อขายนี้ให้สำนักงานตำรวจแห่งชาติ เพื่อตรวจสอบ สืบสวนสอบสวน และนำไปสู่การจับกุมผู้ต้องหาได้ทั้งหมด 6 ราย
พล.ต.ท.จิรภพ ภูริเดช ผู้ช่วยผู้บัญชาการตำรวจแห่งชาติ กล่าวว่า สำนักงานตำรวจแห่งชาติ ได้ใช้สรรพกำลัง ทั้งส่วนกลาง และโรงพักตามภูมิภาคต่าง ๆ ช่วยกันแก้ปัญหา เพื่อตัดแขนตัดขาของพวกกลุ่มสแกมเมอร์ ป้องกันการเอาข้อมูลประชาชนไปขายในโลกออนไลน์ โดยสแกมเมอร์จะนำข้อมูลบัตรประชาชน รายชื่อ ไปใช้เป็นข้อมูลในการคิดเรื่องมาหลอกลวงประชาชน เป้าหมายของสำนักงานตำรวจแห่งชาติคือ ใครกระทำผิดต้องถูกจับมาลงโทษ และถือเป็นการเตือนให้คนอื่นๆ ทราบว่ารัฐบาล ตำรวจเอาจริง ใครที่เอาข้อมูลละเมิดสิทธิส่วนบุคคลของคนอื่นไปขายจะต้องถูกลงโทษ
พล.ต.ต.พัฒนศักดิ์ บุบผาสุวรรณ ผู้บังคับการกองปราบปราม กล่าวว่า กองปราบปรามได้ร่วมมือกับเจ้าหน้าที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และสายตรวจ Social พบว่ามี Facebook ที่ใช้ชื่อว่า “การตลาดสายเทา” และพบกลุ่มต่าง ๆ ในเครือข่ายการตลาดสายเทา มีการซื้อขายข้อมูลในลักษณะที่เข้าข่าย การกระทำผิดกฎหมายหลายอย่าง ไม่ว่าจะเป็นการซื้อขายข้อมูลส่วนบุคคล การยิงแอด SMS ไปยังลูกค้าที่เป็นเว็บการพนัน จากนั้นได้ทำการ “ล่อซื้อข้อมูล” จากกลุ่มการประกาศขายข้อมูล โดยข้อมูลที่ล่อซื้อมาได้ประกอบด้วย ชื่อ นามสกุล ที่อยู่ หมายเลขโทรศัพท์ บัญชีธนาคาร ID Line และยังพบอีกเพจหนึ่งที่ขายข้อมูลบัตรประจำตัวประชาชน โดยมีอัตราการล่อซื้อข้อมูลส่วนบุคคลอยู่ที่ 100,000 รายชื่อต่อราคา 3,000-5,000 บาท หากซื้อ 1,000,000 รายชื่อ คิดเป็นเงิน 15,000-20,000 บาท ส่วนข้อมูลบัตรประจำตัวประชาชน จะขายใบละ 100 บาท เจ้าหน้าที่ได้ล่อซื้อไปทั้งหมด 6 เพจ ได้ข้อมูลส่วนบุคคลมาทั้งสิ้นกว่า 2,370,000 ข้อมูล และเป็นบัตรประจำตัวประชาชนอีก 18 ใบ โดยได้ออกหมายจับ 6 คน และทำการค้นสถานที่จำนวน 8 แห่ง ประกอบด้วย จังหวัดเชียงราย ปทุมธานี สระบุรี อุดรธานี สมุทรปราการ ประจวบคีรีขันธ์ และภูเก็ต จึงเป็นจุดเริ่มต้นของปฏิบัติการ“Cut Down Scam-สยบเครือข่ายค้าข้อมูลส่วนบุคคล” สามารถจับกุมผู้ต้องหาได้ครบทั้งหมด 6 คน และตรวจยึดอุปกรณ์ที่เกี่ยวข้องจากการกระทำความผิด ประกอบด้วย คอมพิวเตอร์ 6 เครื่อง โทรศัพท์มือถือ 17 เครื่อง อุปกรณ์สำรองข้อมูล 9 เครื่อง สมุดบัญชี 7 บัญชี และสิ่งของอื่น ๆ อีก 4 รายการ
จากการตรวจสอบฐานข้อมูลที่ยึดมาได้จากคอมพิวเตอร์และโทรศัพท์ พบข้อมูลผู้กระทำผิดกำลังจะซื้อขายให้กับคนที่มาซื้ออีกกว่า 6,000,000 รายชื่อ ซึ่งถ้านำมารวมกับข้อมูลที่ตำรวจได้ล่อซื้อแล้วเกือบ 3 ล้านรายชื่อ จะพบว่ามีข้อมูลการซื้อขายข้อมูลแล้วกว่า 9 ล้านรายชื่อ และตรวจสอบพบ 4,000 ใน 9 ล้านรายชื่อที่เป็นผู้เสียหาย มูลค่าความเสียหายกว่า 298 ล้านบาท และจากการสอบถามผู้ต้องหา เบื้องต้นข้อมูลเอามาจากหลายทิศทาง ไม่ว่าจะเป็นของกลุ่ม Call Center กลุ่มเว็บพนัน หรือกลุ่มที่เปิดเพจกู้เงิน โดยจะมีการขยายผลต่อใน เฟส 2 เฟส 3 ต่อไป
พ.ต.อ.สุรพงศ์ เปล่งขำ เลขาธิการคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) กล่าวว่า สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล บังคับใช้กฎหมายทุกรูปแบบเพื่อตัดวงจรสแกมเมอร์ ซึ่งสแกมเมอร์จะทำงานได้ไม่มีประสิทธิภาพหากขาดข้อมูลส่วนบุคคลไป ดังนั้น ในการบังคับใช้กฎหมายเพื่อการคุ้มครองข้อมูลส่วนบุคคล จึงเป็นการป้องกันอาชญากรรมทางสแกมเมอร์ได้ตั้งแต่ต้นทาง โดยศูนย์เฝ้าระวังการละเมิดข้อมูลส่วนบุคคล หรือ PDPC Eagle Eye ได้ทำงานเชิงรุก เข้าไปสำรวจตรวจสอบผ่านสื่ออิเล็กทรอนิกส์ Social ต่างๆ หากพบความเสี่ยงที่มีการละเมิดจะเข้าไปจัดการ แก้ไข ระงับยับยั้ง เพื่อไม่ให้เกิดความเสียหาย แต่หากพบพฤติกรรมที่ร้ายแรงกว่านั้น หรือมีการละเมิดที่ไปเกี่ยวข้องกับคดีอาญา ทาง PDPC จะร่วมมือกับสำนักงานตำรวจแห่งชาติ ซึ่งในครั้งนี้เป็นกรณีที่พบว่าเกี่ยวข้องกับความผิดอาญา และมีการร่วมกันตรวจสอบ รวบรวมหลักฐาน จนสามารถจับกุมผู้ต้องหาที่มีพฤติกรรมในการซื้อขายแลกเปลี่ยนข้อมูลเกี่ยวกับบุคคล เพื่อใช้หรือเอาไปให้คนอื่นใช้ในการทำผิดอาญา พฤติกรรมในการซื้อขายแลกเปลี่ยนข้อมูลเกี่ยวกับบุคคล หรือข้อมูลเกี่ยวกับผู้ถึงแก่กรรม เพื่อใช้ในการกระทำผิดอาญา หรือนำไปให้บุคคลอื่นใช้ มีโทษทางอาญาตามพระราชกำหนดมาตรการป้องกันและปราบปรามอาชญากรรมทางเทคโนโลยี (ฉบับที่ 2) พ.ศ. 2568 มาตรา 11/2 ต้องระวางโทษจำคุก ไม่เกิน 5 ปี หรือปรับไม่เกิน500,000 บาท หรือทั้งจำทั้งปรับ โดยจะมีการตรวจสอบข้อมูลส่วนบุคคลทั้ง 9 ล้านรายชื่อ ว่ามีการรั่วไหลมาจากที่ใด หน่วยงานนั้นมีมาตรการรักษาความปลอดภัยแค่ไหน เพื่อร่วมมือกันในเรื่องการป้องกันและปราบปราม รวมถึงมาตรการในการหยุดการสื่อสารของกระบวนการมิจฉาชีพ
นายไชยชนก กล่าวย้ำว่า ใน 9 ล้านรายชื่อนี้ จะต้องมีการสื่อสารให้ถึง 9 ล้านรายชื่อ และแจ้งให้รับทราบ ว่าข้อมูลของท่านรั่วไหลในรูปแบบใดบ้าง เพื่อให้เจ้าของข้อมูลดำเนินการได้เองก่อน เช่น อาจจะเปลี่ยนเบอร์โทรศัพท์ สำหรับเรื่องสัญญาณ นายกรัฐมนตรีได้ให้นโยบายว่า ต้องไม่มีสัญญาณจากไทยไปประเทศเพื่อนบ้าน ซึ่งได้มีการตรวจสอบมาตลอด แต่ก็พบว่ามีบางช่วงที่มีสัญญาณเล็ดลอด โดยกำชับให้ สำนักงานคณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์และกิจการโทรคมนาคมแห่งชาติ (กสทช.) ดำเนินการให้แล้วเสร็จ ภายในวันที่ 10 พฤศจิกายน 2568 ถ้าหลังจากนั้นยังมีการตรวจสอบพบเจอการเล็ดลอดของสัญญาณใด ๆ ต้องดำเนินการอย่างเด็ดขาดตามกฎหมายทุกกระบวนการ อีกทั้งยังได้มีการออกมาตรการ Operator ควบคุมปริมาณของซิม ต้องมีไม่เกิน 5 ซิมต่อบุคคล เนื่องจากกระบวนการสเกมเมอร์เหล่านี้มักจะต้องใช้ซิมปริมาณมาก และยังได้ออกมาตรการเด็ดขาดไปยัง กสทช. ในเรื่องของลูกตู้ พบว่ากระบวนการในการลงทะเบียนซิม Register SIM User ของลูกตู้ เป็นระบบที่ต้องลงทะเบียนตามกฎหมายในรูปแบบ Chip and PIN ที่มีบัตรประจำตัวประชาชน หรือ Application ที่ตรวจสอบได้เทียบเท่าในเชิงของ Security พบว่า การลงทะเบียนสำหรับลูกตู้มีการรักษาความปลอดภัยไม่เพียงพอ และได้ทำการประกาศหยุดลงทะเบียนของลูกตู้ทั้งหมดในประเทศไทย เว้นแต่จะมีเครื่องที่เป็น Chip and PIN ที่เป็นชิปในบัตรประชาชน ลูกตู้ไหนไม่มี ถือว่าไม่สามารถลงทะเบียนซิมได้แล้ว ถือว่าผิดกฎหมาย หากใครยังกระทำผิดอยู่ ต้องดำเนินการตามกฎหมายและต้องมีการรับผิดชอบ
เรื่องของสัญญาณและการทำ Geofencing คือเทคโนโลยีรั้วเสมือน โดยใช้ตำแหน่งจาก GPS, Wi-Fi, RFID (Radio Frequency Identification หรือการใช้คลื่นความถี่วิทยุแบบไร้สายโดยไม่ต้องสัมผัส เพื่อถ่ายโอนข้อมูล) สัญญาณเซลลูลาร์ เพื่อกำหนดขอบเขตที่อุปกรณ์สามารถตรวจจับได้ เมื่อเข้าออกพื้นที่นั้น ซึ่งหากถูกใช้งานภายในประเทศหรือนอกประเทศ อาจจะมองเห็นสัญญาณได้ แต่ใช้โทรไม่ได้ และเนื่องจากตัว Geofencing มีความเล็ดลอดของสัญญาณอยู่ตลอดเวลา จึงให้มาตรการที่เด็ดขาดรุนแรงเพิ่มขึ้น คือการที่ผู้ใช้ซิมอยู่ในพื้นที่ที่อยู่ใกล้เคียงประเทศเพื่อนบ้าน หรือพื้นที่ที่มีความเสี่ยง ต้องมีการลงทะเบียนซิม หากตัว Geofencing ใช้ไม่ได้ในพื้นที่เหล่านั้น เท่ากับว่าประชาชนต้องมาลงทะเบียนว่าเป็นคนไทยจริงหรือไม่ ใช้งานแบบปกติจริงหรือไม่ และเสาสัญญาณนี้จะสามารถให้สัญญาณได้แค่เฉพาะซิมที่ลงทะเบียนแล้วเท่านั้น ซึ่งน่าจะตัดปัญหาของการโดนแชร์ข้อมูล หรือโดนดูดข้อมูลสัญญาณไปใช้โดยองค์กรเหล่านั้นที่อยู่ต่างประเทศ โดยในระยะเวลา 2 สัปดาห์ที่ผ่านมา มีการระงับซิมไปแล้วประมาณกว่า 90,000 ซิม หากผู้ที่ทำข้อมูลส่วนบุคคลคนอื่นรั่วไหล จะถูกดำเนินคดีตามกฎหมาย เบื้องต้นข้อมูล 9 ล้านรายชื่อ มีต้นทางมากจาก แอปเงินกู้เถื่อน และการพนันออนไลน์ แต่ยังไม่มีความชัดเจนว่าใครเป็นผู้นำมา หรือเอามาจากที่ใด โดยปลายทางข้อมูล 9 ล้านรายชื่อ ยังไม่ทราบว่าขายไปแล้วที่ใดบ้าง เพราะเป็นการล่อซื้อที่เห็นการซื้อขายในอินเทอร์เน็ตเท่านั้น ขั้นตอนต่อไปคือการสืบสวน ขยายผลว่าขายไปให้ใครบ้าง แต่เท่าที่สอบสวนมา กลุ่มผู้ซื้อขายส่วนใหญ่เป็นเครือข่ายในประเทศ มีทั้งที่เป็นสแกมเมอร์นำข้อมูลไปทำต่อ และกลุ่มที่เอาข้อมูลไปทำโฆษณาพนันฟุตบอล มูลค่าความเสียหาย 4,630 เคส ประเมินความเสียหายแล้วกว่า 298 ล้านบาท โดยได้นำรายชื่อไปค้นหาในถังข้อมูลของ Thai Police Online ซึ่งเป็นข้อมูลการรับแจ้งอาชญากรรมออนไลน์ มีข้อมูลที่ตรงกันประมาณกว่า 4,000 ข้อมูล จากการสอบสวนผู้ต้องหาทั้ง 6 คน ยังไม่พบว่ามีส่วนเกี่ยวโยงกับตำรวจ หรือนักการเมือง หรือคนดังที่ไหน แต่ยืนยันว่าเจ้าหน้าที่จะดำเนินการตามกฎหมายเหมือนกันทุกคน หากผู้ที่ถูกจับเป็นคนธรรมดา ก็จะสืบสวนขยายผลต่อไปว่ามีใครอยู่เบื้องหลังหรือไม่
ประเด็นสำคัญที่ต้องแก้ไขคือการที่ข้อมูลส่วนบุคคล 9 ล้านรายชื่อนี้ กำลังถูกซื้อขายอยู่ คิดเป็นประชากรของประเทศไทยเท่ากับ 1 ใน 7 สิ่งที่ต้องทำตอนนี้คือ
1. แจ้ง 9 ล้านรายชื่อนี้ว่าพวกเขาอยู่ในกลุ่มเสี่ยง
2. PDPC ต้องไปดู Cross Reference Data ว่าข้อมูลนี้มาจากแหล่งไหน หากพบหน่วยงานไหนมีการรั่วไหล ต้องไปพูดคุยและตรวจสอบระบบว่าได้มาตรฐานหรือไม่
3. ต้องสืบสวนเพิ่มเติมว่าเรื่องนี้จะเกิดขึ้นในกลุ่มอื่นได้อีกหรือไม่
ซึ่งการรั่วไหลของข้อมูลมีปัจจัยอยู่ 2 ส่วนคือ ส่วนที่หนึ่ง การเก็บข้อมูลในเชิง Data Security ขององค์กรนั้น ๆ ไม่ดี อาจถูกแฮกได้ ส่วนที่สอง หากมีคนที่เป็น Operator หรือพนักงานที่อาจนำข้อมูลไปขาย ในปัจจุบันนี้การไว้ใจ 100% ในทุกเรื่องเป็นไปไม่ได้ เพราะเรากำลังประสบปัญหาในยุค Digitalization วันนี้สิ่งที่ทุกคนต้องให้ความสำคัญคือ การสื่อสารในเชิงของความตระหนัก ให้ทุกคนต้องมีความรับผิดชอบต่อข้อมูล
