การยืนยันตัวตนด้วยวิธีสแกนใบหน้า สแกนม่านตา หรือลายนิ้วมือในปัจจุบันอาจไม่ใช่เรื่องแปลกใหม่แต่อย่างใด แต่สิ่งหนึ่งที่ผู้ประกอบธุรกิจควรจะทราบด้วยว่า ไบโอเมตริกซ์ (Biometrics) คือ ข้อมูลทางสรีรวิทยาที่เป็นอัตลักษณ์เฉพาะทางกายภาพของบุคคลนั้นๆ เป็น ‘ข้อมูลส่วนบุคคลอ่อนไหว’ (Sensitive Data) ซึ่งกฎหมาย PDPA หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 บัญญัติไว้ว่า ห้ามไม่ให้เก็บรวบรวม ใช้ หรือเปิดเผยโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล และการเก็บใช้จะต้องอยู่บนพื้นฐานของความจำเป็นและมาตรการป้องการการรั่วไหลของข้อมูลส่วนบุคคลอย่างเหมาะสมกับความเสี่ยง
ข้อมูล Biometrics คืออะไร และใช้ทำอะไรได้บ้าง
ไบโอเมตริกซ์ (Biometrics) ภาษาไทยบัญญัติคำว่า ‘ข้อมูลชีวภาพ’ หรือบางแห่งเรียก ‘ข้อมูลชีวมาตร’ ก็คือข้อมูลเฉพาะที่สามารถยืนยันตัวบุคคลนั้น เป็นลักษณะพิเศษที่แต่ละคนมีไม่เหมือนกัน ด้วยเหตุนี้จึงไม่ได้จำกัดเฉพาะใบหน้า ม่านตา ลายนิ้วมือ แต่ยังรวมไปถึง เสียงพูด แผลเป็น ดีเอ็นเอ และลายเซ็น
ขณะที่บัญญัติในกฎหมาย PDPA ระบุถึงคำว่า ‘ข้อมูลชีวภาพ’ หมายถึงข้อมูลส่วนบุคคลที่เกิดจากการใช้เทคนิคหรือเทคโนโลยีที่เกี่ยวข้องกับการนำลักษณะเด่นทางกายภาพ หรือทางพฤติกรรมของบุคคลมาใช้ทำให้สามารถยืนยันตัวตนของบุคคลนั้นที่ไม่เหมือนกับบุคคลอื่นได้ เช่น ข้อมูลภาพจำลองใบหน้า ข้อมูลจำลองม่านตา หรือข้อมูลจำลองลายนิ้วมือ
โดยปัจจุบันจะเห็นว่า สถานประกอบการและองค์กรต่างๆ ได้นำเทคโนโลยีชีวภาพ บวกกับเทคโนโลยีปัญญาประดิษฐ์ (AI) มาผสานกับความรู้เกี่ยวกับการแพทย์ด้านโครงสร้างและสรีระวิทยาเพื่อสร้าง ‘Username’ และ ‘Password’ เฉพาะบุคคล โดยจัดเก็บไว้ในระบบคอมพิวเตอร์ ที่มีประโยชน์ในด้านการยืนยันตัวตนด้วยการเข้ารหัสที่แม่นยำและปลอดภัยสูง แถมยังสามารถป้องกันการลืมรหัสผ่านที่เป็นตัวเลข แถบแม่เหล็ก หรือรหัสผ่านรูปแบบอื่นๆ ได้อีกด้วย ด้วยเหตุนี้ หน่วยงานราชการและองค์กรธุรกิจต่างๆ จึงมีการนำไปใช้ประโยชน์ในหลายด้าน เช่น
- ตรวจสอบบุคคลเข้าเมืองภายในสนามบินและเฝ้าระวังบุคคลอันตราย เช่น โครงสร้างใบหน้า ลักษณะการเดิน หรือภาพสแกนโครงสร้างร่างกาย
- กิจกรรมการขอวีซ่าเดินทาง หนังสือเดินทางและบัตรประจำตัวประชาชน เช่น มีการเก็บภาพถ่ายสแกนใบหน้า ลายนิ้วมือ สีผม สีตา หรือลักษณะพิเศษเช่น ไฝ ปาน แผลเป็น
- ยืนยันตัวตนเพื่อทำธุรกรรมการเงิน เช่น ธนาคารหลายแห่งมีระบบการจดจำและสแกนใบหน้า ลายนิ้วมือ หรือการเปิดบัญชีธนาคารมีการเก็บลายเซ็น
- ยืนยันตัวตนเพื่อรับสินค้าหรือบริการ เช่น การสแกนใบหน้าภายในห้างสรรพสินค้า ซูเปอร์มาร์เก็ต ช้อปปิ้งมอลล์
- ตรวจสอบบุคคลในการเข้าออกสถานที่ เช่น สแกนลายนิ้วมือ หรือม่านตาในการลงเวลาเข้าออกที่ทำงาน โรงงานอุตสาหกรรม หรือพื้นที่เฉพาะที่ต้องควบคุมการเข้าออก เช่น ภายในคลังสินค้า ห้องบัญชี หรือห้องควบคุมระบบคอมพิวเตอร์ภายในสำนักงาน
- จัดทำระบบสมาชิกหรือการลงทะเบียน เช่น การลงทะเบียนด้วยการสแกนใบหน้าหรือลายนิ้วมือเพื่อใช้งานแอพพลิเคชันต่างๆ
- การสั่งการฟังก์ชันของผลิตภัณฑ์ต่างๆ เช่น การจดจำเสียงเพื่อสั่งการอุปกรณ์สมาร์ทโฟน หรืออุปกรณ์สมาร์ทโฮม
- ตรวจสอบเพื่อยืนยันความสัมพันธ์ทางสายเลือด เช่น การตรวจดีเอ็นเอเพื่อยืนยันความเป็นทายาท
- กิจกรรมด้านการขายและการตลาด เช่น การใช้เซ็นเซอร์ตรวจจับระยะใกล้ร่วมกับเทคโนโลยีการจดจำใบหน้าเพื่อการประมวลผล หรือวิเคราะห์ความต้องการเฉพาะของลูกค้า
- กิจกรรมเพื่อความบันเทิง เช่น วงการภาพยนตร์มีการสแกนลักษณะสรีระของบุคคลเพื่อสร้างแบบจำลองสามมิติเสมือนจริง
- ฯลฯ
จะเห็นว่าข้อมูลไบโอเมตริกซ์ ซึ่งเป็นข้อมูลส่วนบุคคลอ่อนไหวตามบัญญัติของกฎหมาย PDPA ได้ถูกนำไปใช้ในกิจการต่างๆ มากมาย เนื่องจากการพัฒนาของเทคโนโลยีสมัยใหม่ทำให้หลายกิจกรรมนั้นง่าย สะดวกรวดเร็ว และมีความแม่นยำสูง ทว่า แต่อย่างไรก็ตาม ข้อมูลไบโอเมตริกซ์ซึ่งเป็นข้อมูลเฉพาะ หากตกไปอยู่ในการครอบครองของบุคคลอื่นย่อมสามารถแก้ไขได้เหมือนรหัสผ่าน ดังนั้นหากเกิดการรั่วไหลก็อาจก่อให้เกิดผลกระทบทั้งทางร่างกาย ทรัพย์สิน และจิตใจของบุคคลนั้นได้
ด้วยเหตุนี้กฎหมายจึงขีดเส้นใต้ไว้ว่า การเก็บข้อมูลไบโอเมตริกซ์ จะทำได้ก็ต่อเมื่อได้รับความยินยอมจากเจ้าของข้อมูลโดยชัดแจ้งรวมถึงบอกวัตถุประสงค์ในการจัดเก็บ ระยะเวลาจัดเก็บและทำลาย มิใช่เพียงแค่ ‘แจ้งให้ทราบ’ แต่ควร ‘เก็บเท่าที่จำเป็น’ เท่านั้น
รวมทั้ง เจ้าของข้อมูลส่วนบุคคลสามารถถอนความยินยอม ขอให้ระงับการใช้ แก้ไข หรือทำงายข้อมูลได้โดยง่ายตามสิทธิของกฎหมายเมื่อไหร่ก็ได้โดยไม่มีข้อแม้หรือไม่มีเงื่อนไข เว้นแต่การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลดังกล่าวมีความจำเป็น หรือปฏิบัติตามกฎหมาย เช่น
- ส่งผลต่อเพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของเจ้าของข้อมูล
- กฎหมายอื่นๆ อนุญาตให้ทำได้ หรือเป็นการดำเนินการโดยชอบตามกฎหมาย
- เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญา หรือดำเนินการตามคำขอของบุคคลเจ้าของข้อมูล
- เป็นประโยชน์สาธารณะที่สำคัญ เช่น การป้องกันด้านสุขภาพจากโรคติดต่อ การป้องกันความปลอดภัยของหน่วยงานราชการความมั่นคงของชาติ
- เพื่อการศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ
หน้าที่ของ ‘ผู้ควบคุมข้อมูลส่วนบุคคล’ ที่เก็บข้อมูลชีวภาพต้องปฏิบัติตามกฎหมาย
ทั้งนี้จะเห็นว่า สำหรับองค์กรธุรกิจสาระสำคัญในการจะเก็บข้อมูลส่วนบุคคล และข้อมูลส่วนบุคคลอ่อนไหวได้ก็ต่อเมื่อ เจ้าของข้อมูลส่วนบุคคลให้ความยินยอม แต่กระนั้น ผู้เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลจะอยู่ในสถานะเป็น ‘ผู้ควบคุมข้อมูลส่วนบุคคล’ (Data Controller) ที่หมายความว่า บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามข้อบัญญัติขอกฎหมาย PDPA
โดยในการ ‘ขอความยินยอม’ จากเจ้าของข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้ง วัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไปด้วย และต้องแยกส่วนออกจากข้อความอื่นอย่างชัดเจน มีแบบหรือข้อความที่เข้าถึงได้ง่ายและเข้าใจได้ รวมทั้ง ใช้ภาษาที่อ่านง่าย และไม่เป็นการหลอกลวงหรือทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์ ดังกล่าว
และอย่างที่ระบุในก่อนหน้านี้ว่า ‘ข้อมูลชีวภาพ’ หรือไบโอเมตริกซ์ เป็นข้อมูลส่วนบุคคลอ่อนไหว ซึ่งหน่วยงานที่มีสถานะเป็นผู้ควบคุมข้อมูลส่วนบุคคลที่มีการจัดเก็บหรือใช้ข้อมูลชีวภาพ จึงมีบทบาทหน้าที่ตามกฎหมาย ดังนี้
1.มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลที่เหมาะสมกับความเสี่ยง หรือทันสมัยตามเทคโนโลยี
2.มีมาตรการป้องกันการเข้าถึงข้อมูลโดยบุคคลที่ไม่มีอำนาจหน้าที่ เพื่อป้องกันการนำข้อมูลส่วนบุคคลไปใช้ประโยชน์โดยมิชอบ
3.มีระบบตรวจสอบเพื่อดำเนินการลบ หรือทำลายข้อมูลส่วนบุคคล โดยในอนาคตคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลอาจจะกำหนดหลักเกณฑ์ในการลบ หรือทำลายข้อมูลส่วนบุคคลได้
4.หากเกิดการละเมิดข้อมูลส่วนบุคคล ต้องแจ้งเหตุให้คณะกรรมการคุ้มครองข้อมูลภายใน 72 ชม. นับแต่เมื่อทราบเหตุ
5.จัดทำบันทึกรายการกิจกรรมการประมวลผลข้อมูล โดยต้องจดบันทึกรายการเกี่ยวกับข้อมูลที่เก็บรวบรวม วัตถุประสงค์ ข้อมูลของผู้ควบคุมข้อมูลฯ ระยะเวลาเก็บรักษา สิทธิและวิธีการเข้าถึงข้อมูล เงื่อนไขของผู้มีสิทธิเข้าถึงข้อมูลและการเข้าถึงข้อมูล คำร้องหรือเหตุการณ์ละเมิด
6.จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ DPO (Data Protection Officer) ข้อนี้อาจจะต้องตีความตามกฎหมายที่ระบุว่า ผู้ควบคุมข้อมูลฯ ที่จำเป็นต้องแต่งตั้ง DPO คือ หน่วยงานรัฐ องค์กรสาธารณะ หรือธุรกิจที่มีการเก็บ รวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคลเป็นจำนวนมาก
(‘จำนวนมาก’ ในที่นี้อ้างอิงจากกฎหมาย PDPA ที่ระบุว่า บุคคลหรือนิติบุคคลที่มีการจัดเก็บข้อมูลบุคคลทั่วไปที่สามารถระบุตัวตนของเจ้าของข้อมูล 50,000 ราย หรือมีข้อมูลอ่อนไหวของเจ้าของข้อมูล 5,000) รวมถึงองค์กรธุรกิจที่มีการเก็บ รวบรวมใช้หรือเปิดเผยข้อมูลส่วนบุคคล ‘อย่างต่อเนื่อง’ หรือ ‘มีความเสี่ยง’ ที่อาจจะก่อให้เกิดการละเมิดข้อมูลส่วนบุคคลได้ง่าย
อย่างไรก็ตาม กฎหมาย PDPA ยังเป็นกฎหมายที่ทุกองค์กรต้องให้ความสนใจ ปรับรูปแบบการดำเนินการด้านข้อมูลส่วนบุคคลให้สอดคล้องตามที่กฎหมายกำหนด และมีรายละเอียดบางมาตราที่ต้องอาศัยการวิเคราะห์และตีความตามรูปแบบการการดำเนินกิจกรรมทางธุรกิจ
