ข่าวสารและบทความล่าสุด

   เหตุการละเมิดข้อมูลส่วนบุคคลนี้ เริ่มต้นจากการที่ลูกค้าของหน่วยงานเอกชนดังกล่าวถูกมิจฉาชีพโทรศัพท์หาทันทีหลังจากสั่งซื้อสินค้าออนไลน์ โดยมิจฉาชีพแอบอ้างเป็นพนักงานของหน่วยงานเอกชนนั้น ต่อมาลูกค้าในฐานะเจ้าของข้อมูลส่วนบุคคลจึงได้แจ้งข้อร้องเรียนไปที่ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล: “สคส.” ซึ่งคณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 ได้แจ้งตักเตือนหน่วยงานเอกชนดังกล่าวให้ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล หากแต่ทางหน่วยงานเอกชนเพิกเฉย ไม่มีการตอบสนองหรือแก้ไขเพื่อเยียวยาผู้เสียหายแต่อย่างใด

   ต่อมาคณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 จึงได้มีคำสั่งลงโทษปรับทางปกครองในอัตราสูงสุดรวมเป็นจำนวนเงินทั้งสิ้น 7,000,000 บาท เนื่องจากการละเมิดกฎหมายการคุ้มครองข้อมูลส่วนบุคคล 3 ข้อหลัก ดังนี้

       1. ไม่มีการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล (Data Protection Officer: DPO) บริษัทเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลของลูกค้ามากกว่า 100,000 รายและใช้ข้อมูลดังกล่าวในการประกอบธุรกิจหลักของบริษัท โดยไม่มีการแต่งตั้ง DPO เป็นการขัดต่อมาตรา 41 ส่งผลให้ถูกปรับเป็นจำนวนเงิน 1,000,000 บาท

       2. ขาดมาตรการรักษาความปลอดภัยที่เหมาะสม บริษัทไม่มีการจำกัดสิทธิการเข้าถึงข้อมูลและขาดมาตรการรักษาความปลอดภัยของเซิร์ฟเวอร์ ซึ่งขัดต่อมาตรา 37(1) ส่งผลให้ถูกปรับเป็นจำนวนเงิน 3,000,000 บาท

       3. ไม่แจ้งเหตุละเมิดข้อมูลส่วนบุคคลตามระยะเวลาที่กฎหมายกำหนด บริษัทไม่ตอบสนองต่อข้อร้องเรียนและแจ้งเหตุละเมิดข้อมูลล่าช้า ซึ่งขัดต่อมาตรา 37(4) ส่งผลให้ถูกปรับเป็นจำนวนเงิน 3,000,000 บาท

   นอกจากคำสั่งทางปกครองดังกล่าว คณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 ยังมีคำสั่งให้บริษัทผู้ถูกร้องเรียนปรับปรุงมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลให้เหมาะสม โดยต้องเพิ่มเติมมาตรการรักษาความมั่นคงปลอดภัยให้ทันสมัยกับเทคโนโลยีที่เปลี่ยนแปลงไป และกำชับให้บริษัทผู้ถูกร้องเรียนดำเนินการอบรมพนักงาน โดยหน่วยงานผู้ถูกร้องมีหน้าที่แจ้งให้ สคส. ทราบถึงมาตรการแก้ไขดังกล่าวภายใน 7 วันนับแต่ได้รับคำสั่ง

ในท้ายสุดทาง สคส. ได้เน้นย้ำว่าการคุ้มครองข้อมูลส่วนบุคคลเป็นเรื่องสำคัญที่ทุกหน่วยงาน ทั้งภาครัฐและเอกชนต้องให้ความสำคัญอย่างจริงจัง การละเลยอาจนำไปสู่ผลกระทบทางกฎหมายที่ร้ายแรง รวมถึงการสูญเสียความเชื่อมั่นจากลูกค้าและสาธารณชน

   เหตุการณ์นี้เป็นการลงโทษปรับครั้งแรกของ สคส. ตั้งแต่มีการบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ตั้งแต่วันที่ 1 มิถุนายน พ.ศ. 2565 แสดงให้เห็นภาพการขับเคลื่อนกฎหมายฉบับนี้อย่างจริงจังและอาจมองว่าเป็นจุดสิ้นสุดของระยะเวลาผ่อนผันการบังคับใช้กฎหมาย (grace period) รวมทั้งเป็นการตอบสนองต่อปัญหากลุ่มมิจฉาชีพทางโทรศัพท์ที่สร้างความเดือดร้อนอย่างต่อเนื่องมาเป็นระยะเวลานาน

   ตามระเบียบคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลว่าด้วยการยื่น การไม่รับเรื่อง การยุติเรื่อง การพิจารณา และระยะเวลาในการพิจารณาคำร้องเรียน พ.ศ. 2565 กำหนดให้คณะกรรมการผู้เชี่ยวชาญซึ่งเป็นคณะกรรมการที่กฎหมายกำหนดให้มีหน้าที่เฉพาะในการพิจารณาเรื่องร้องเรียน ตรวจสอบการกระทำของผู้ควบคุมและผู้ประมวลผลข้อมูลส่วนบุคคล และไกล่เกลี่ยข้อพิพาทเกี่ยวกับข้อมูลส่วนบุคคล โดยปัจจุบันมีคณะกรรมการผู้เชี่ยวชาญทั้งหมด 4 คณะ โดยคณะที่พิจารณาในประเด็นนี้คือ คณะที่ 2 ด้านเทคโนโลยี

 ทั้งนี้ คณะกรรมการผู้เชี่ยวชาญสามารถให้พิจารณาแก้ไขหรือตักเตือนกรณีไม่ร้ายแรง หรือต้องรับโทษปรับทางปกครองกรณีร้ายแรงได้ ตามประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล “ประกาศ กคส.” เรื่องหลักเกณฑ์การพิจารณาออกคำสั่งลงโทษปรับทางปกครอง ข้อ 8 ประกอบข้อ 9 โดยคำนึงถึงปัจจัยต่อไปนี้

       1. รายละเอียดการกระทำผิดที่เจตนาหรือจงใจ หรือประมาทเลินเล่ออย่างร้ายแรง หรือขาดความระมัดระวังตามสมควร

       2. ความร้ายแรงของพฤติกรรมที่กระทำผิด

       3. ขนาดกิจการของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล

       4. ผลของมาตรการลงโทษปรับทางปกครองที่จะบังคับว่าจะได้ช่วยบรรเทาความเสียหาย

       5. ประโยชน์ที่เจ้าของข้อมูลส่วนบุคคลจะได้รับจากมาตรการลงโทษปรับทางปกครอง และผลกระทบในวงกว้างต่อธุรกิจหรือกิจการอื่นที่เกี่ยวข้อง

       6. มูลค่าความเสียหายและความร้ายแรงที่เกิดจากการกระทำผิดนั้น

       7. ระดับโทษปรับทางปกครองและมาตรการบังคับทางปกครองที่เคยใช้

       8. ประวัติการถูกลงโทษปรับทางปกครอง

       9. ระดับความรับผิดชอบและมาตรฐานการดำเนินการในขณะที่มีการกระทำความผิด

       10. การดำเนินการตามประมวลจริยธรรม แนวปฏิบัติทางธุรกิจ หรือมาตรฐานความปลอดภัย

       11. การเยียวยาและบรรเทาความเสียหายการชดใช้ค่าสินไหมทดแทนเพื่อเยียวยาความเสียหายให้แก่เจ้าของข้อมูลส่วนบุคคล

       12. ข้อเท็จจริงอื่น ๆ ที่เกี่ยวข้อง

   จากการแถลงข่าวดังกล่าว คณะกรรมการผู้เชี่ยวชาญได้ตักเตือนโดยดำเนินการแจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคลแก้ไข แต่ผู้ควบคุมข้อมูลส่วนบุคคลเพิกเฉยไม่ปฏิบัติตาม จึงได้ดำเนินการลงโทษปรับในลำดับต่อไป กรณีนี้พิจารณาได้ว่าเมื่อคณะกรรมการพิจารณาตามหลักเกณฑ์ทั้ง 12 ข้อข้างต้นแล้วเห็นว่าเหตุการณ์ดังกล่าวเป็นกรณีไม่ร้ายแรง หรือ อาจตีความอีกอย่างว่าอาจเป็นกรณีร้ายแรงแต่เนื่องจากเป็นการกระทำผิดในช่วงแรกที่อยู่ระยะเวลาผ่อนผัน (grace period) คณะกรรมการจึงเริ่มด้วยการตักเตือนก่อน ซึ่งข้อมูลในการพิจารณาในส่วนนี้ควรเปิดเผยต่อสาธารณะ เพื่อเป็นบรรทัดฐานในการพิจารณาความร้ายแรงของการกำหนดโทษต่อไป

   ต่อมาคณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 จึงได้มีคำสั่งลงโทษปรับทางปกครองในอัตราสูงสุดรวมเป็นจำนวนเงินทั้งสิ้น 7,000,000 บาท เนื่องจากการละเมิดกฎหมายการคุ้มครองข้อมูลส่วนบุคคล 3 ข้อหลัก ดังนี้

       1. ไม่มีการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล (DPO) บริษัทเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลของลูกค้ามากกว่า 100,000 รายและใช้ข้อมูลดังกล่าวในการประกอบธุรกิจหลักของบริษัท โดยไม่มีการแต่งตั้ง DPO เป็นการขัดต่อมาตรา 41 ส่งผลให้ถูกปรับเป็นจำนวนเงิน 1,000,000 บาท

   หน่วยงานรัฐหรือองค์กรธุรกิจไม่ว่าจะอยู่ในฐานะผู้ควบคุมหรือผู้ประมวลผลข้อมูลส่วนบุคคลที่มีการดำเนินกิจกรรมในการเก็บรวบรวม ใช้ หรือเปิดเผย ที่มีลักษณะดังต่อไปนี้ ต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)

       1. ต้องตรวจสอบข้อมูลส่วนบุคคลหรือระบบอย่างสม่ำเสมอ

       2. โดยเหตุที่มีข้อมูลส่วนบุคคลเป็นจำนวนมาก

   จากการแถลงข่าวมีการพูดถึงการใช้ข้อมูลของลูกค้าในกิจกรรมหลัก คือ การนำมาใช้ในโปรแกรมการสืบค้น (Search Engine) และเพื่อการค้าออนไลน์ ตามกฎหมายคำว่า “กิจกรรมหลัก” นั้นหมายความว่า การดำเนินการที่จำเป็นและมีความสำคัญเพื่อบรรลุวัตถุประสงค์หรือเป้าหมายหลักในการดำเนินงานในกิจการหรือภารกิจของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล ซึ่งในกรณีนี้คือการขายสินค้าออนไลน์ที่ใช้โปรแกรมการสืบค้นอันเป็นการเข้าลักษณะตรวจสอบข้อมูลส่วนบุคคลหรือระบบอย่างสม่ำเสมอ และการสืบค้นนั้นเกิดขึ้นเป็นประจำหรือเป็นปกติธุระ (Regular)

   นอกจากนี้ ข้อมูลของลูกค้าที่รั่วไหลมีมากกว่า 100,000 ราย จึงตีความได้ว่ามีการประมวลผลข้อมูลของเจ้าของข้อมูลส่วนบุคคลมากกว่า 100,000 ราย จึงเข้าลักษณะการประมวลผลข้อมูลเป็นจำนวนมาก (On a large scale) ตาม ประกาศ กคส. เรื่อง การจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามมาตรา 41 (2) ข้อ 6 วรรคแรก

 ดังนั้น เมื่อหน่วยงานซึ่งเป็นผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่แต่งตั้ง DPO แต่ไม่ปฏิบัติตามจึงขัดต่อมาตรา 41 ซึ่งต้องรับโทษปรับทางปกครองตามมาตรา 82 เป็นจำนวน 1,000,000 บาท

       2. ขาดมาตรการรักษาความปลอดภัยที่เหมาะสม บริษัทไม่มีการจำกัดสิทธิการเข้าถึงข้อมูลและขาดมาตรการรักษาความปลอดภัยของเซิร์ฟเวอร์ ซึ่งขัดต่อมาตรา 37(1) ส่งผลให้ถูกปรับเป็นจำนวนเงิน 3,000,000 บาท

   หลักการทางกฎหมายคุ้มครองข้อมูลส่วนบุคคลนอกจากหลักการด้านความเป็นส่วนตัว (Privacy) เช่น การจัดทำเอกสารทางกฎหมายต่าง ๆ การขอความยินยอมแล้ว ยังต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัย (Security) ซึ่งเป็นอีกส่วนที่สำคัญในการคุ้มครองข้อมูลส่วนบุคคล โดยมาตรฐานขั้นต่ำที่ผู้ควบคุมต้องจัดให้มี ประกอบด้วยมาตรการ 4 ประเภท ได้แก่

   โดยต้องคำนึงถึงระดับความเสี่ยงตามลักษณะและวัตถุประสงค์ของการประมวลผลข้อมูล ตลอดจนโอกาสและผลกระทบที่อาจเกิดขึ้น หากเกิดเหตุการละเมิดข้อมูลส่วนบุคคลขึ้น

   ในช่วงการสัมภาษณ์ของสื่อมวลชนคณะกรรมการผู้เชี่ยวชาญได้ชี้แจงว่า บริษัทดังกล่าวไม่มีการจำกัดสิทธิการเข้าถึงข้อมูลที่เหมาะสม (access control) ซึ่งอาจรวมถึงการไม่มีมาตรการบริหารจัดการการเข้าถึงของผู้ใช้งาน (user access management) จึงขัดต่อมาตรฐานขั้นต่ำในการรักษาความมั่นคงปลอดภัยของข้อมูล

   นอกจากนี้ บริษัทดังกล่าวยังไม่มีมาตรการรักษาความมั่นคงปลอดภัยของเซิร์ฟเวอร์ (server) ที่เหมาะสมอีกด้วย ซึ่งอาจหมายความถึงการที่ยังไม่มีมาตรการเชิงองค์กร มาตรการเชิงเทคนิค หรือมาตรการเชิงกายภาพที่เหมาะสมตามที่กฎหมายกำหนด ดังนั้น เมื่อหน่วยงานซึ่งเป็นผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม แต่ไม่ดำเนินการจึงขัดต่อมาตรา 37 (1) ต้องรับโทษปรับทางปกครองตามมาตรา 83 เป็นจำนวน 3,000,000 บาท

       3. ไม่แจ้งเหตุละเมิดข้อมูลส่วนบุคคลตามระยะเวลาที่กฎหมายกำหนด บริษัทไม่ตอบสนองต่อข้อร้องเรียนและแจ้งเหตุละเมิดข้อมูลล่าช้า ซึ่งขัดต่อมาตรา 37 (4) ส่งผลให้ถูกปรับเป็นจำนวนเงิน 3,000,000 บาท

   ตามประกาศ กคส. เรื่อง หลักเกณฑ์และวิธีการในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล ข้อ 5 และข้อ 9 ผู้ควบคุมข้อมูลส่วนบุคคลต้องดำเนินการดังต่อไปนี้

       1. เมื่อผู้ควบคุมข้อมูลส่วนบุคคลทราบหรือได้รับแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล ต้องดำเนินการตรวจสอบยืนยันเหตุการละเมิดว่ามีเหตุเกิดขึ้นจริงหรือไม่

       2. ผู้ควบคุมข้อมูลส่วนบุคคลจะดำเนินการประเมินความเสี่ยงของเหตุการละเมิดข้อมูลส่วนบุคคล

       3. พิจารณาว่าเหตุการละเมิดก่อให้เกิดความเสี่ยงต่อสิทธิเสรีภาพของบุคคลหรือไม่

           3.1 หากไม่มีความเสี่ยงจะไม่ต้องแจ้งเหตุละเมิดต่อ สคส. เพียงแต่บันทึกเหตุละเมิดนั้นไว้

           3.2 หากมีความเสี่ยง จะต้องแจ้งเหตุละเมิดต่อ สคส. ภายใน 72 ชั่วโมงนับแต่ทราบเหตุ

       4. พิจารณาความเสี่ยงที่อาจเกิดขึ้นว่าเป็นความเสี่ยงต่อสิทธิเสรีภาพของบุคคลร้ายแรงหรือไม่ หากร้ายแรงต้องมีแจ้งเหตุการละเมิดต่อเจ้าของข้อมูลส่วนบุคคลประกอบด้วย

   ในกรณีที่มีเหตุจำเป็นที่ทำให้แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลล่าช้ากว่า 72 ชั่วโมง ผู้ควบคุมข้อมูลส่วนบุคคลต้องชี้แจงเหตุผลความจำเป็นและรายละเอียดที่เกี่ยวข้องเพื่อแสดงให้เห็นว่ามีเหตุจำเป็นที่ไม่อาจหลีกเลี่ยงได้ที่ทำให้การแจ้งล่าช้าแต่ต้องไม่เกิน 15 วันนับแต่ทราบเหตุ

   ดังนั้น เมื่อบริษัทซึ่งเป็นผู้ควบคุมข้อมูลส่วนบุคคลทราบหรือได้รับแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแต่เพิกเฉย ไม่ดำเนินการประเมินความเสี่ยง รวมทั้งแจ้ง สคส. ล่าช้ากว่า 72 ชั่วโมง โดยไม่สามารถแจ้งเหตุผลความจำเป็นที่แจ้งเหตุล่าช้าได้ หรือ ดำเนินการแจ้งล่าช้าเกินกว่า 15 วัน จึงเป็นการขัดต่อ มาตรา 37(4) ต้องรับโทษปรับทางปกครองตามมาตรา 83 เป็นจำนวน 3,000,000 บาท

   นอกจากการเพิ่มมาตรการรักษาความมั่นคงปลอดภัยให้เท่าทันกับเทคโนโลยีที่เปลี่ยนแปลงไป คณะกรรมการผู้เชี่ยวชาญยังกำหนดให้บริษัทดังกล่าวจัดให้มีการเสริมสร้างความตระหนักรู้และการแจ้งนโยบาย แนวปฏิบัติ และมาตรการคุ้มครองข้อมูลให้แก่บุคลากรที่เกี่ยวข้องทราบและถือปฏิบัติโดยคำนึงถึง

       (1) ลักษณะและวัตถุประสงค์ของการเก็บ ใช้ และเปิดเผย

       (2) ระดับความเสี่ยง

       (3) ทรัพยากรที่ต้องใช้

       (4) ความเป็นไปได้ในการดำเนินการประกอบกัน

   บริษัทจึงต้องดำเนินการจัดให้มีการอบรมเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัยที่ปรับปรุงเพิ่มเติม และบริษัทมีหน้าที่แจ้งให้ สคส. ทราบถึงมาตรการแก้ไขดังกล่าวภายใน 7 วันนับแต่ได้รับคำสั่ง ในส่วนระยะเวลา 7 วันนี้อาจเป็นบรรทัดฐานในการที่แต่ละหน่วยงานต้องชี้แจงความคืบหน้าในการดำเนินการแก้ไขช่องว่างทางกฎหมายที่ถูกร้องเรียน หรือที่ได้ตักเตือนแก่ สคส. ด้วยก็เป็นได้

   ในส่วนโครงการที่ สคส. ได้ดำเนินการให้บริการประชาชนทั้ง PDPC Eagle Eyes ในการตรวจสอบเชิงรุกที่สามารถติดตามข่าวสารได้ที่ https://www.facebook.com/pdpceagleeye และการให้บริการ PDPA Center ศูนย์บริการรับเรื่องร้องเรียน และบริการให้คำปรึกษาและตอบข้อหารือเกี่ยวกับกฎหมาย PDPA

   ทั้งนี้ เพื่อให้องค์กรของท่านมีแนวทางและขั้นตอนในการจัดการเหตุการละเมิดข้อมูลส่วนบุคคล บริการของ ATHENTIC CONSULTING จะช่วยกำจัดความเสี่ยงดังกล่าว โดยมีการให้บริการที่เกี่ยวข้อง ดังต่อไปนี้

       1. บริการให้คำปรึกษาในฐานะเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) หรือการให้บริการเป็นเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลภายนอก (Outsourced DPO) ซึ่งจะทำหน้าที่ในการให้คำแนะนำในประเด็นทางกฎหมายคุ้มครองข้อมูลส่วนบุคคล (Advisory) ตรวจสอบติดตามการดำเนินการด้านการคุ้มครองข้อมูลส่วนบุคคลภายในหน่วยงาน (Monitoring) รวมทั้งประสานงานกับ สคส.หรือเจ้าของข้อมูลส่วนบุคคลในกรณีทีมีเหตุละเมิดข้อมูลส่วนบุคคลเกิดขึ้น (Cooperation)

       2. การจัดทำเอกสารกฎหมายและวิเคราะห์ช่องว่างทางกฎหมายด้านมาตรการรักษาความมั่นคงปลอดภัย โดยการจัดให้มีการประเมินมาตรการรักษาความมั่นคงปลอดภัยของแต่ละระบบหรือเซิร์ฟเวอร์ เพื่อให้ทราบถึงความเสี่ยงเบื้องต้นและสามารถจัดการได้อย่างทันท่วงที รวมทั้งวิเคราะห์ช่องว่างทางกฎหมายทั้งในด้านความเป็นส่วนตัวและด้านมาตรการรักษาความมั่นคงปลอดภัย เพื่อปิดช่องว่างและเป็นแนวทางในร่างนโยบายความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ (IT Security Policy) ที่เหมาะสมกับหน่วยงานของท่าน

       3. เทคโนโลยีที่มาช่วยอำนวยความสะดวกในการจัดการเหตุการละเมิดข้อมูล ผ่าน PDPA Platform เรามีบริษัทในเครือผู้พัฒนาระบบการบริหารจัดการข้อมูลส่วนบุคคล ซึ่งรวมถึงระบบจัดการการแจ้งเหตุละเมิด (Data Breach Notification) โดยเข้ามาสนับสนุนตั้งแต่ขั้นตอนการยืนยันเหตุการละเมิด ประเมินความเสี่ยง ไปจนถึงขั้นตอบในการแจ้ง สคส. หรือ เจ้าของข้อมูลส่วนบุคคล

       4. บริการด้านการตรวจสอบค้นหาช่องโหว่ที่สามารถจะเกิดขึ้นได้ กับทรัพย์สินดิจิทัลในองค์กร (Attack Surface Management) เพื่อให้สามารถจัดการกับการโจมตีทางไซเบอร์ในปัจจุบันได้อย่างมีประสิทธิภาพและลดความเสี่ยงจากภัยคุกคามทางไซเบอร์

       5. บริการข่าวกรองภัยคุกคาม (Threat Intelligence) หรือ การรวบรวม วิเคราะห์ และใช้ข้อมูลเกี่ยวกับภัยคุกคามทางไซเบอร์เพื่อช่วยป้องกันและตอบสนองต่อการโจมตีที่อาจเกิดขึ้นในอนาคตอีกทั้งสามารถลดผลกระทบจากการถูกโจมตีได้มากขึ้น

       6. บริการและให้คำปรึกษาการป้องกันการสูญหาญของข้อมูล (DLP: Data Loss Prevention) เป็นระบบและกระบวนการที่ใช้ในองค์กรเพื่อป้องกันไม่ให้ข้อมูลสำคัญหรือข้อมูลที่เป็นความลับถูกเข้าถึง นำออก หรือรั่วไหลออกไปนอกองค์กรโดยไม่ได้รับอนุญาตการลดความเสี่ยงจากการสูญหายของข้อมูลและช่วยให้องค์กรปฏิบัติตามกฎหมายและข้อกำหนดเกี่ยวกับความปลอดภัยของข้อมูลได้