รู้จัก Biometrics กับข้อถกเถียงเรื่องความเป็นส่วนตัวประชาชน

ย้อนมองข้อถกเถียงเรื่องความเป็นส่วนตัวของข้อมูลส่วนบุคคลในวันที่แอปพลิเคชั่นและธนาคารทยอยใช้ระบบสแกนใบหน้า จากข้อมูล “ชีวมาตร” หรือ biometrics จากภาครัฐ หวังป้องกันมิจฉาชีพ

วันที่ 28 มิถุนายน 2566 ปัจจุบันนี้แอปพลิเคชั่นธนาคารทั้งหลายของไทยกำลังทยอย เปลี่ยนระบบ การยืนยันตัวตนเวลาทำธุรกรรม ด้วยการสแกนใบหน้า เพื่อป้องกันการสวมรอยเป็นบุคคลผู้ไม่ใช่เจ้าของบัญชีหรือ “มิจฉาชีพ” ที่แพร่ระบาดอย่างมากในช่วงไม่กี่ปีมานี้

ล่าสุดแอปพลิเคชั่นทางการเงินที่เป็น nonbank อย่าง True Money ก็ได้ พัฒนาระบบการยืนยัน ตัวตนถึง 3 ชั้น ซึ่งท้ายที่สุดการยืนยันตัวตนด้วยการสแกนใบหน้าเป็นจุดสำคัญที่ช่วยตรวจสอบธุรกรรมที่ไม่พึงประสงค์

เทคโนโลยีการสแกนใบหน้าเป็น 1 ในการใช้งานข้อมูล “ชีวมาตร” หรือ biometrics จัดเป็นข้อมูลที่ “เปราะบาง” ของปัจเจกบุคคล และเป็นอันตรายอย่างยิ่งหากไม่เก็บรักษาไว้ให้ดี จึงเป็นข้อถกเถียงมายาวนานว่าภาครัฐควรจะเก็บข้อมูลชีวมาตรเหล่านี้มากน้อยเพียงใด และจะใช้ประโยชน์อย่างไรไม่ให้ละเมิดความเป็นส่วนตัวของประชาชน

“ประชาชาติธุรกิจ” ได้รวบรวมข้อมูลเกี่ยวกับประเภทและข้อมูล biometrics มาไว้ที่นี้ พร้อมกับหยิบยกเอาปัญหาสำคัญในการเก็บข้อมูล ซึ่งมีการถกเถียงตั้งแต่ก่อนมีกฎหมายคุ้มครองข้อมูลส่วนบุคคลหรือ PDPA

ข้อมูลชีวมาตร Biometrics คืออะไร

Biometrics หมายถึงการวัดและวิเคราะห์ลักษณะทางกายภาพหรือพฤติกรรมเฉพาะของบุคคล ทั้งการใช้ลักษณะทางชีววิทยาหรือทางสรีรวิทยาเพื่อระบุและยืนยันตัวปัจเจกบุคคลหนึ่ง ๆ ว่าเป็นบุคคลเดียวกันในสถานที่และเวลานั้น ๆ ไม่ว่าจะเป็นในโลกจริงหรือโลกดิจิทัล กล่าวง่าย ๆ ว่า ระบบไบโอเมตริกได้รับการออกแบบมาเพื่อตรวจจับและวิเคราะห์ลักษณะเหล่านี้เพื่อวัตถุประสงค์ต่าง ๆ เช่น การระบุตัวตน การยืนยัน และการควบคุมการเข้าถึง สามารถแบ่งข้อมูลเป็นประเภทต่าง ๆ ได้ดังนี้

1. 1. ลายนิ้วมือ : รูปแบบที่เป็นเอกลักษณ์ของรอยนูนและยุบบนปลายนิ้ว
   2. การจดจำใบหน้า : วิเคราะห์ลักษณะเฉพาะของใบหน้า เช่น ระยะห่างระหว่างดวงตาหรือรูปทรงของจมูก
   3. การจดจำม่านตา : การตรวจสอบรูปแบบที่ซับซ้อนมากขึ้น โดยตรวจจับถึงส่วนที่เป็นสีของดวงตา (ม่านตา)
   4. การจดจำเรตินา : การวิเคราะห์รูปแบบเส้นเลือดที่ด้านหลังของดวงตา (เรตินา, จอตา)
   5. การจดจำเสียง : การประเมินอัตลักษณ์ของคลื่นเสียงและรูปแบบการพูด
   6. รูปลักษณ์ของมือ : การวัดรูปร่างและขนาดของมือและนิ้ว
   7. การจดจำลายเซ็น : การวิเคราะห์อัตลักษณ์เฉพาะและพลวัตบนลายเซ็นของบุคคล
   8. การจับคู่ดีเอ็นเอ : การเปรียบเทียบรหัสพันธุกรรมเพื่อบ่งอัตลักษณ์

ระบบ biometrics จะจับและจัดเก็บข้อมูลประเภทต่าง ๆ ข้างต้นของบุคคล โดยใช้อุปกรณ์ที่ต่างกันไปด้วย เช่น ลายนิ้วมือ ใช้เซ็นเซอร์ ใบหน้าใช้กล้อง ม่านตาอาจต้องใช้เซ็นเซอร์เฉพาะ ขณะที่การจดจำเสียงใช้ไมโครโฟน

ข้อมูลที่ถูกเก็บจากบุคคลในตำแหน่งแห่งที่นั้น ๆ จะนำไปเปรียบเทียบกับแม่แบบหรือฐานข้อมูลที่มีอยู่แล้วเพื่อตรวจสอบหรือระบุตัวบุคคล ระบบเหล่านี้ใช้กันอย่างแพร่หลาย โดยเฉพาะในมิติด้านการบังคับใช้กฎหมาย การควบคุมชายแดน การควบคุมการเข้าถึงสิ่งอำนวยความสะดวกที่ปลอดภัย การติดตามเวลาและการเข้างาน และการรับรองความถูกต้องของอุปกรณ์เคลื่อนที่

จุดเเข็งที่สำคัญประการหนึ่งของระบบไบโอเมตริกคือความยากในการจำลองหรือปลอมแปลงลักษณะทางสรีระและชีวภาพ ในจังหวะและเวลาที่เรียลไทม์ ซึ่งทำให้ปลอดภัยกว่าวิธีการระบุตัวตนแบบเดิม เช่น รหัสผ่านหรือบัตรประจำตัวประชาชน อย่างไรก็ตาม สิ่งสำคัญคือต้องจัดการและจัดเก็บข้อมูลชีวมาตรอย่างปลอดภัย เพื่อปกป้องความเป็นส่วนตัวของบุคคลและป้องกันการนำไปใช้ในทางที่ผิด

ข้อถกเถียงเรื่องความเป็นส่วนตัวของประชาชน

“ประชาชาติธุรกิจ” ได้เคย รายงาน ไปก่อนหน้าหนี้ว่า การใช้ข้อมูล “ชีวมาตร” หรือ biometrics เพื่อยืนยันตัวตน ไม่ว่าจะเป็นการสแกนใบหน้า ลายนิ้วมือ หรือแม้แต่ภาพม่านตา เข้ามาใกล้ชิดกับผู้คนในยุคนี้มากขึ้น

อย่างน้อยก็สมาร์ทโฟนแทบทุกรุ่นล้วนมีการใช้ลายนิ้วมือปลดล็อก ในหน่วยงานของรัฐต่างใช้การเก็บข้อมูลชีวมาตร ไม่ว่าจะเป็นการลงทะเบียน “ซิมการ์ด” โทรศัพท์เคลื่อนที่ในพื้นที่ ใน 3 จังหวัดภาคใต้ และ 4 อำเภอของสงขลา การผลักดัน digital ID ของธนาคารแห่งประเทศไทย หรือล่าสุดกระทรวงการต่างประเทศเตรียมจัดเก็บข้อมูล “ม่านตา” ในหนังสือเดินทาง นอกเหนือจากการจัดเก็บ “ลายนิ้วมือ”

ปรากฏการณ์เหล่านี้เกิดมาตั้งแต่ปี 2562 ที่มีการเร่งสปีดเรื่องการจัดเก็บข้อมูล biometrics ทำให้ TISA “สมาคมความมั่นคงปลอดภัยระบบสารสนเทศ” มีความกังวลจนต้องยื่นหนังสือถึงนายกรัฐมนตรีเกี่ยวกับประเด็น “อ่อนไหว” ที่อาจจะเกิดขึ้นได้ พร้อมกับการเปิดเวทีเสวนา “การเก็บข้อมูลชีวมาตร (biometrics) ของหน่วยงานรัฐกับการละเมิดสิทธิและเสรีภาพประชาชน”

“เมธา สุวรรณสาร” นายกสมาคมความมั่นคงปลอดภัยระบบสารสนเทศ เปิดเผยมุมมองที่น่าสนใจว่า กรณีศึกษาจากกฎหมายคุ้มครองส่วนบุคลลแห่งสหภาพยุโรป หรือ GPRR บ่งชี้ตรงกันว่า biometrics มีความเฉพาะตัวและเป็นข้อมูล “อ่อนไหว” หากจัดเก็บไม่ได้มาตรฐาน มีการรั่วไหลจะทำให้บุคคลผู้เป็นเจ้าของข้อมูลเสียหาย “ตลอดชีวิต” เพราะ biometrics เป็นข้อมูลที่เปลี่ยนแปลงแก้ไขไม่ได้

ดังนั้น ในกฎหมาย GDPR จึงได้ระบุให้ biometrics เป็นข้อมูลส่วนบุคคลที่มีความสำคัญเป็น “พิเศษ” ห้าม “เก็บบันทึก-ประมวลผล” ยกเว้นจะจำเป็นอย่างเลี่ยงไม่ได้ หรือได้รับความยินยอมชัดแจ้ง และจะมีค่าปรับสูงมากหากละเมิด

“ในไทยแม้จะมี พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล แต่ยังมีหลายหน่วยงานรัฐที่เก็บ biometrics ของประชาชนโดยไม่จำเป็น และไม่ได้คำนึงถึงผลกระทบที่จะเกิดขึ้น หากข้อมูลรั่วไหลหรือเจ้าหน้าที่นำไปใช้ในทางมิชอบ รวมถึงยังพบว่ามีการให้สัมปทานเอกชนเข้ามาบริหารจัดการฐานข้อมูล biometrics ซึ่งเสี่ยงมากทั้งในแง่ของผลกระทบกับเจ้าของข้อมูลและความมั่นคง ความน่าเชื่อถือของประเทศ”

ฉะนั้น จึงอยากให้มีการวิเคราะห์เหตุผลความจำเป็นในการจัดเก็บ มองในมุมของการละเมิดสิทธิประชาชน และความเสี่ยงด้านความมั่นคงของประเทศในกรณีที่มีการรั่วไหลหรือถูกละเมิด

“การเก็บข้อมูลชีวมาตรต้องทำเท่าที่จำเป็น โดยมีมาตรฐานด้านไซเบอร์ซีเคียวริตี้และการคุ้มครองข้อมูลในระดับสูงสุด เปิดเผยและโปร่งใสด้วยการให้หน่วยงานที่จัดเก็บต้องรายงานผลการดำเนินงาน การตรวจสอบต่อสภาผู้แทนราษฎร หรือผู้ตรวจการแผ่นดินของรัฐสภา มีหลักประกันด้วยการกำหนดหน้าที่ ความรับผิดชอบและบทลงโทษกรณีเกิดเหตุละเมิด”

แม้ข้อถกเถียงเรื่องความเป็นส่วนตัวของประชาชนที่ “รัฐไม่ควรมีบทบาทมากเกินไป” ข้างต้นจะดำเนินมากว่า 4 ปีแล้ว ณ ปัจจุบันการเก็บข้อมูลชีวมาตรของประชาชนโดยหน่วยงานรัฐยังดำเนินการอยู่อย่างต่อเนื่อง รวมถึงภาคเอกชนโดยเฉพาะในภาคการเงินที่จำเป็นต้องใช้ข้อมูลดังกล่าว ที่เห็นได้ชัดคือ digital ID ที่เริ่มเป็นรูปร่างสามารถนำฐานข้อมูลนี้ไปใช้ในระบบธนาคารได้

ยังไม่รวมถึงบรรดาบรรษัทเทคโนโลยีข้ามชาติที่เก็บลายนิ้วมือ ม่านตา รูปหน้า และอื่น ๆ อีกมากมายจากอุปกรณ์ปัจจุบันที่ครบครันทั้งสมาร์ทโฟน หรือสมาร์ทวอตช์ ที่เก็บรายละเอียดได้ถึงจังหวะการหายใจ ที่ไม่ทราบว่าจะเอาไปใช้ประโยชน์อะไรเมื่อไหร่

ปัจจุบันหลายองค์กรของรัฐมีการขยับในด้านการรักษาความปลอดภัยต่าง ๆ ให้เห็นอยู่บ้าง แต่นับว่าน้อยเมื่อเทียบกับความสำคัญของข้อมูลส่วนบุคคลที่ประชาชนมี โดยเฉพาะเหตุล่าสุด คือ การแฮกแอปพลิเคชั่น “หมอพร้อม” ของกระทรวงสาธารณสุข โดย “9Near” ที่เสี่ยงอย่างยิ่งที่ข้อมูลเปราะบางและพิเศษจะรั่วไหล เพราะต้องไม่ลืมว่าหากใครจะเก็บข้อมูลชีวมาตรของเราไว้มากที่สุด ย่อมเป็นกระทรวงสาธารณสุขและมหาดไทย

และหากรั่วไหล เราจะไม่สามารถแก้ไขข้อมูลชีวมาตรได้เหมือนแก้ไขที่อยู่และเบอร์โทรศัพท์ จะต้อง “ตายแล้วเกิดใหม่” เท่านั้น

• มิจฉาชีพเหนื่อย ทรู มันนี่ ตั้งระบบป้องกันดูดเงิน 3 ชั้น
• เริ่มพรุ่งนี้ (27 มิ.ย.) ธอส. สแกนใบหน้าก่อนโอนเงินตามเงื่อนไขแบงก์ชาติ