Site icon Thumbsup

โดนปรับอ่วม! บทเรียน 3 แบรนด์ดังที่เอา Data ลูกค้าไปใช้แบบผิดๆ 

คุณผู้อ่านครับ คุณรู้จักคำว่า “สังคมความเสี่ยง” หรือเปล่าครับ…

สังคมความเสี่ยง หรือ risk society อาจเป็นคำไม่คุ้นหูของเราสักเท่าไหร่แต่สังคมตะวันตกตื่นตัวเรื่องนี้มานานแล้วครับ พูดอย่างง่ายที่สุดมันคือการอธิบายว่ายิ่งเทคโนโลยี ยิ่งการสื่อสาร ยิ่งอุตสาหกรรมต่างๆ พัฒนาขึ้นไปเท่าไหร่ มนุษย์ก็ยิ่งถูกผลักให้เผชิญหน้ากับความเสี่ยงด้านต่างๆ มากมาย

เช่น ยิ่งรถยนต์เยอะขึ้นเท่าไหร่ คุณก็ต้องเผชิญกับ PM 2.5 มากขึ้นทุกปี ยิ่งเราเชื่อมต่อการเดินทางกันได้มากเท่าไหร่ เราก็ยิ่งป้องกันเหตุก่อการร้ายได้ยากขึ้นทุกขณะ และที่สำคัญ ยิ่งโลกดิจิทัลพัฒนามากขึ้นเท่าไหร่ ผู้ใช้งานก็ยิ่งเสี่ยงสูญเสียความเป็นส่วนตัว (privacy) และข้อมูล (data) ของตัวเองให้แก่สื่อทั้งหลายมากขึ้นเท่านั้น

เมื่อคอนเซปต์นี้แพร่หลาย ก็แน่นอนครับว่าคนตะวันตกทั้งตื่นตัวและตื่นตูมกับเรื่องนี้มากเพราะไม่เคยคิดเลยว่าข้อมูลที่ตัวเองให้กับ Facebook, Instagram,  Whatsapp หรือบริษัทบนดิจิทัลทั้งหลายจะถูกนำไปใช้โดยไม่ขออนุญาต เป็นที่มาของขบวนการเคลื่อนไหวเพื่อปกป้องความเป็นส่วนตัวของภาคประชาชนที่คอยกดดันให้รัฐบาลหลายประเทศจัดการบริษัทเหล่านี้ (ซึ่งรัฐบาลหลายประเทศก็รับลูกอย่างเต็มใจเพราะจริงๆ แล้วก็หมั่นไส้บริษัทดิจิทัลข้ามชาติพวกนี้ที่เข้ามาหากินแต่ไม่จ่ายภาษีเป็นทุนเดิมอยู่แล้ว)

และนี่ล่ะครับเป็นที่มาของขบวนการเคลื่อนไหวเพื่อปกป้องความเป็นส่วนตัวของภาคประชาชน องค์กรเหล่านี้จะคอยกดดันรัฐบาลให้จัดการกับบริษัทที่ใช้ข้อมูลส่วนตัวของลูกค้าอย่างผิดๆ

องค์กร Open Right Group (ORG) องค์กรจากสหราชอาณาจักรที่ทำหน้าที่ปกป้องสิทธิและเสรีภาพทางการพูดออนไลน์ระบุว่านักการตลาดกว่า 81% ในปัจจุบันแชร์ข้อมูลของลูกค้าโดยไม่บอกกล่าว และลูกค้ากว่า 92% ก็ไม่รู้ว่าข้อมูลของพวกเขาถูกนักการตลาดนำไปใช้อย่างไร

ที่น่ากลัวคือนักการตลาดกว่าครึ่งยอมรับว่ารู้ว่าการเก็บและใช้ข้อมูลลูกค้าที่ทำกันอยู่นั่นผิดกฎหมายแต่มีเพียง 33% ของนักการตลาดเท่านั้นที่กล้าบอกว่าพวกเขาเก็บข้อมูลลูกค้ามาได้อย่างไร และ 68% ของนักการตลาดจะไม่ยอมเปิดเผยข้อมูลของตัวเองเพราะรู้ว่ามันจะถูกนำไปใช้อย่างไร

ด้วยเหตุนี้ ไม่แปลกที่เราจะเห็นรัฐบาลหลายประเทศลงดาบปรับบริษัทบนโลกดิจิทัลมโหราฬ อ่านกรณีศึกษาเหล่านี้และเรียนรู้เพื่อไม่ให้บริษัทของคุณเป็นรายต่อไปดีกว่าครับ

1. Facebook ถูกศาลสหรัฐฯ ปรับกว่า 1.55 แสนล้านบาท

เมื่อกลางปีนี้ คณะกรรมาธิการการค้าสหรัฐ (Federal Trade Commission) สั่งปรับ Facebook เป็นจำนวนเงินสูงเป็นประวัติการณ์ที่ 5 พันล้านดอลลาร์สหรัฐ หรือประมาณ 155,000 ล้านบาท (หรือคิดเป็น 9% ของรายได้ทั้งหมดของ Facebook ในปี 2018) ฐานบกพร่องการป้องกันข้อมูลความเป็นส่วนตัวผู้ใช้

สาเหตุมาจากทั้งกรณี Facebook ปล่อยให้ข้อมูลผู้ใช้งานมากกว่า 87 ล้านราย โดยให้ข้อมูลผู้ใช้งานกว่า 10 ล้านรายรั่วไหลไปยัง Cambridge Analytica จนถูกนำไปใช้ในทางที่ผิด รวมถึงมีการเปิดฟีเจอร์ระบบจดจำใบหน้าถูกตั้งค่าใช้งานเปิด Auto ตั้งแต่เข้าเฟซบุ๊ก (ทั้งๆ ที่จริงๆ แล้วควรถูกตั้งค่าให้เป็น default) รวมถึงการนำเบอร์โทรศัพท์ของผู้ใช้งานที่อ้างว่าจัดเก็บเพื่อเหตุผลด้านความปลอดภัยไปใช้ทางโฆษณา

2. British Airways ถูกปรับฐานปล่อยแฮคเกอร์เจาะข้อมูลลูกค้า

คณะกรรมาธิการสารสนเทศ (Information Commissioner’s Office – ICO) ของอังกฤษสั่งปรับสายการบิน British Airways เป็นจำนวนเงินสูงถึง 183 ล้านปอนด์ หรือประมาณ 7,055 ล้านบาท (ราว 1.5% ของรายได้ทั้งหมดของสายการบินในปี 2017) หลังละเมิด GDPR จากเหตุการณ์ Data Breach ซึ่งเป็นเหตุการณ์ที่กลุ่มแฮ็กเกอร์ Magecart เจาะข้อมูลข้อมูลส่วนบุคคลและบัตรเครดิตของลูกค้าที่จองตั๋วผ่านเว็บไซต์และแอปพลิเคชันบนมือถือกว่า 380,000 ราย

โดย ICO ตั้งข้อหาว่า British Airways มี “การจัดการด้านความมั่นคงปลอดภัยไม่ดีเพียงพอ” (Poor security arrangements)

3. Marriott ก็ไม่รอด โดนปรับทั้งๆ ที่เพิ่งควบซื้อระบบเจ้าปัญหามา

ICO สั่งปรับเครือโรงแรมระดับโลก Marriott เป็นจำนวนเงินกว่า 99 ล้านปอนด์ หรือ 3,700 พันล้านบาท เนื่องจากถูกแฮกเกอร์โจมตีระบบการจองจนข้อมูลลูกค้ารั่วไหลกว่า 50 ล้านรายทั่วโลก ซึ่งในนั้นมีข้อมูลส่วนตัว เช่น ชื่อนามสกุล หมายเลขหนังสือเดินทาง อีเมล เบอร์โทรศัพท์ วันเดือนปีเกิด ของผู้ที่เคยจองผ่านระบบของ Starwood

แม้โฆษกของ Marriott จะบอกว่าการแฮ็กข้อมูลนั้นเกิดขึ้นตั้งแต่ปี 2014 ซึ่่งก่อนที่ Marriott จะเข้ามาควบซื้อระบบการสำรองห้องพัก Starwood แต่ ICO ก็ยังยืนยันปรับเพราะกล่าวหาว่า Marriott ไม่ใส่ใจปรับปรุงระบบนี้ตั้งแต่ตอนนั้น 

สุดท้ายจะเห็นได้ว่าการมีข้อมูลของลูกค้าเยอะและละเอียดนั้นอาจไม่ดีเสมอไปเพราะสุดท้ายคุณก็ต้องเสียค่าใช้จ่ายและรับผิดชอบรักษาข้อมูลเหล่านั้น ยิ่งถ้าคุณไม่ได้ใช้มันไปวิเคราะห์อะไรก็ยิ่งเสียเงินโดยใช่เหตุ ดังนั้น ต่อไปนี้เก็บแต่ข้อมูลที่ได้ใช้จริงๆ และมีกำหนดระยะเวลาทำลายข้อมูลเก่าๆ ทิ้งหรือเปลี่ยนไปเก็บในรูปแบบอื่นก็เป็นทางเลือกที่ไม่เลวเลย