การใช้ข้อมูล “ชีวมาตร” หรือ biometric เพื่อยืนยันตัวตน ไม่ว่าจะเป็นการสแกนใบหน้า ลายนิ้วมือ หรือแม้แต่ภาพม่านตา เข้ามาใกล้ชิดกับผู้คนในยุคนี้มากขึ้น อย่างในสมาร์ทโฟนรุ่นกลาง ๆ ก็มีการใช้ลายนิ้วมือปลดล็อกได้แล้วเกือบทุกรุ่น และแม้ในหน่วยงานของรัฐก็เริ่มมีการใช้ข้อมูลเหล่านี้มากขึ้น ไม่ว่าจะเป็นการลงทะเบียน “ซิมการ์ด” โทรศัพท์เคลื่อนที่ในพื้นที่ ใน 3 จังหวัดภาคใต้ และ 4 อำเภอของสงขลา การผลักดัน digital ID ของธนาคารแห่งประเทศไทย หรือล่าสุดกระทรวงการต่างประเทศเตรียมจัดเก็บข้อมูล “ม่านตา” ในหนังสือเดินทาง นอกเหนือจากการจัดเก็บ “ลายนิ้วมือ”
การเร่งสปีดเรื่องการจัดเก็บข้อมูล biometric นี้ ได้ทำให้ TISA “สมาคมความมั่นคงปลอดภัยระบบสารสนเทศ” มีความกังวลจนต้องยื่นหนังสือถึงนายกรัฐมนตรีเกี่ยวกับประเด็น “อ่อนไหว” ที่อาจจะเกิดขึ้นได้ พร้อมกับการเปิดเวทีเสวนา “การเก็บข้อมูลชีวมาตร (biometrics) ของหน่วยงานรัฐกับการละเมิดสิทธิและเสรีภาพประชาชน”
โดย “เมธา สุวรรณสาร” นายกสมาคมความมั่นคงปลอดภัยระบบสารสนเทศ เปิดเผยว่า ได้เสนอให้นายกรัฐมนตรีพิจารณาตั้งคณะทำงานเพื่อรวบรวมข้อมูลการบังคับเก็บข้อมูลชีวมาตรของประชาชน โดยใช้อำนาจรัฐของหน่วยงานราชการหรือองค์กรของรัฐ แต่ละแห่งเป็นไปโดยชอบธรรมและมีอำนาจตามกฎหมายหรือไม่ ทั้งต้องประเมินแนวทางการกำกับดูแลและการรักษาความมั่นคงปลอดภัยไซเบอร์ และการคุ้มครองข้อมูลส่วนบุคคลของหน่วยงานรัฐที่บังคับเก็บข้อมูล biometrics ว่าได้มาตรฐานสากลหรือไม่ รวมถึงการป้องกันไม่ให้เอกชนนำข้อมูลไปใช้ประโยชน์ในทางมิชอบ
GDPR ห้าม “เก็บ-ประมวลผล”
เนื่องจาก biometrics มีความเฉพาะตัวและเป็นข้อมูล “อ่อนไหว” หากจัดเก็บไม่ได้มาตรฐาน มีการรั่วไหลจะทำให้บุคคลผู้เป็นเจ้าของข้อมูลเสียหาย “ตลอดชีวิต” เพราะ biometrics เป็นข้อมูลที่เปลี่ยนแปลงแก้ไขไม่ได้
ดังนั้น ในกฎหมายคุ้มครองข้อมูลส่วนบุคคลของอียู GDPR จึงได้ระบุให้ biometrics เป็นข้อมูลส่วนบุคคลที่มีความสำคัญเป็นพิเศษ ห้าม “เก็บบันทึก-ประมวลผล” ยกเว้นจะจำเป็นอย่างเลี่ยงไม่ได้ หรือได้รับความยินยอมชัดแจ้ง และจะมีค่าปรับสูงมากหากละเมิด
“ในไทยแม้จะมี พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล แต่ยังมีหลายหน่วยงานรัฐที่เก็บ biometrics ของประชาชนโดยไม่จำเป็น และไม่ได้คำนึงถึงผลกระทบที่จะเกิดขึ้น
หากข้อมูลรั่วไหลหรือเจ้าหน้าที่นำไปใช้ในทางมิชอบ รวมถึงยังพบว่ามีการให้สัมปทานเอกชนเข้ามาบริหารจัดการฐานข้อมูล biometrics ซึ่งเสี่ยงมากทั้งในแง่ของผลกระทบกับเจ้าของข้อมูลและความมั่นคง ความน่าเชื่อถือของประเทศ”
จี้รัฐบาลทบทวน
ฉะนั้น จึงอยากให้มีการวิเคราะห์เหตุผลความจำเป็นในการจัดเก็บ มองในมุมของการละเมิดสิทธิประชาชน และความเสี่ยงด้านความมั่นคงของประเทศในกรณีที่มีการรั่วไหลหรือถูกละเมิด
“การเก็บข้อมูลชีวมาตรต้องทำเท่าที่จำเป็น โดยมีมาตรฐานด้านไซเบอร์ซีเคียวริตี้และการคุ้มครองข้อมูลในระดับสูงสุด เปิดเผยและโปร่งใสด้วยการให้หน่วยงานที่จัดเก็บต้องรายงานผลการดำเนินงาน การตรวจสอบต่อสภาผู้แทนราษฎร หรือผู้ตรวจการแผ่นดินของรัฐสภา มีหลักประกันด้วยการกำหนดหน้าที่ ความรับผิดชอบและบทลงโทษกรณีเกิดเหตุละเมิด”
“ตาย-เกิดใหม่” ถึงจะเปลี่ยนได้
ด้าน “ปริญญา หอมเอนก” กรรมการและเลขานุการ TISA กล่าวในเวทีเสวนาว่า “รัฐไม่ควรมีบทบาทมากเกินไปในข้อมูลส่วนบุคคล” การควบคุมสิทธิเสรีภาพประชาชนทำได้แต่ต้องปลอดภัยและไม่ละเมิดสิทธิส่วนบุคคล ฉะนั้น หากรัฐบาลระบุว่าจำเป็นต้องจัดเก็บจะต้องมีมาตรฐานในกรรมวิธีเก็บรักษาข้อมูลให้ไม่รั่วไหล
“ระบบคอมพิวเตอร์ห้ามล่ม ข้อมูลห้ามรั่วไหลโดยเด็ดขาด เพราะถ้า biometrics รั่วไหลก็ยากจะประเมินค่าและเยียวยา เพราะเป็นข้อมูลส่วนบุคคลที่อยู่ในตัวบุคคล ไม่สามารถเปลี่ยนแปลงได้ ถ้าหากจะเปลี่ยนหนทางที่เป็นไปได้ คือ ตายแล้วเกิดใหม่”
ต้องไม่ให้เอกชนบริหาร
“สุธี ทุวิรัตน์” กรรมการ TISA เปิดเผยว่า ในกรณีของการจัดเก็บ “ภาพม่านตา” ในหนังสือเดินทางนั้น ในกรณีของ “สหรัฐอเมริกา” เก็บข้อมูลเฉพาะภาพถ่าย ไม่ได้เก็บลายนิ้วมือ “สหภาพยุโรป”
อาจจะมีบางประเทศที่เก็บลายนิ้วมือเพิ่มจากปกติที่เก็บแต่ภาพถ่าย เช่น เยอรมนี แต่ก็เก็บแค่ 2 นิ้วมือ ไม่ได้มีการเก็บภาพม่านตา แตกต่างจากระบบหนังสือเดินทางไทยที่ปัจจุบันเก็บทั้งภาพถ่าย ลายนิ้วมือทั้ง 10 นิ้ว และยังมีโครงการจะเก็บภาพม่านตาอีก
ที่สำคัญคือ ในต่างประเทศจะเก็บข้อมูลลายนิ้วมือกับรูปหน้าเอาไว้ในชิปที่ฝังอยู่ในเอกสารยืนยันตัวตน ไม่ได้เก็บไว้ในฐานข้อมูล เพราะมีความปลอดภัยของข้อมูลสูงกว่า การเก็บไว้ในฐานข้อมูลที่เจ้าหน้าที่รัฐหรือเอกชนที่มีสิทธิบริหารจัดการข้อมูลก็สามารถทำสำเนาออกไปได้ และอาจนำไปใช้ในทางมิชอบได้
“รัฐไม่ควรจะยอมให้เอกชนเข้ามาบริหารจัดการฐานข้อมูลชีวมาตร และต้องมีมาตรการเยียวยาแก้ไขสำหรับเจ้าของข้อมูลที่รั่วไหล”
เอสโตเนียยังเคย “รั่ว”
พร้อมยกตัวอย่างกรณีของประเทศ “เอสโตเนีย” ที่มีความก้าวหน้าด้าน digital ID อย่างมาก แต่ก็เคยมีปัญหาการรั่วไหลของข้อมูล ซึ่งแม้จะมีการเก็บข้อมูล biometrics ในชิปแล้ว
แต่ “อัลกอริทึ่ม” ที่เข้ารหัสข้อมูลไม่แข็งแรงพอ จึงทำให้ข้อมูลบัตรประชาชนเกือบ 7 แสนรายหลุดรั่ว
กสทช. ผุดโมเดล “Mobile ID” ใช้ยืนยันตัวตนด้วยมือถือแทนบัตรประชาชน
รู้จัก Biometrics กับข้อถกเถียงเรื่องความเป็นส่วนตัวประชาชน
กว่าจะเป็น ‘Digital ID’ เหลียวมองเพื่อนบ้านก่อนเร่งพัฒนา
