เดินหน้าชน : ไบโอเมทริกซ์ : โดย สราวุฒิ สิงห์เอี่ยม
ยุคดิจิทัล อะไรต่อมิอะไรล้วนรวดเร็ว ทันใจ มีประโยชน์มากมาย อย่างเช่น “Digital ID” หรือการพิสูจน์และยืนยันตัวตนทางดิจิทัล ที่เริ่มใช้อย่างแพร่หลายในหน่วยงานภาครัฐและเอกชน ช่วยประหยัดทั้งเวลา และค่าใช้จ่าย
แต่ก็มีข้อพึงระวัง เพราะมีความเสี่ยงแฝงอยู่ด้วย หากไม่มีมาตรการกำกับดูแลที่ดี
แม้ประเทศไทยจะมี พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล บังคับใช้แล้ว แต่ยังมีช่องโหว่ที่เปิดให้หน่วยงานรัฐบังคับเก็บข้อมูลส่วนบุคคลของประชาชน
แถมบางหน่วยงานรัฐ ให้เอกชนเป็นผู้จัดเก็บและเข้าถึงคลังข้อมูล เช่น การทำบัตรประชาชน และพาสปอร์ต
โดยเฉพาะข้อมูลชีวมาตร เช่น ภาพใบหน้า ภาพม่านตา และลายนิ้วมือ ที่จะใช้เทคโนโลยี “ไบโอเมทริกซ์” ในการยืนยันอัตลักษณ์ตัวบุคคล มีความอ่อนไหวมาก
การจัดเก็บข้อมูลชีวมาตรจึงต้องมีความจำเป็นอย่างแท้จริง ในต่างประเทศส่วนใหญ่จะดำเนินการโดยรัฐบาล ไม่ให้เอกชนเข้าถึงและบริหารจัดการฐานข้อมูล เพราะมีความเสี่ยงต่อความมั่นคงของประเทศ
ในสหภาพยุโรป (อียู) ออกกฎหมายคุ้มครองข้อมูลส่วนบุคคล “General Data Protection Regulation” หรือ “GDPR” จัดให้ข้อมูลชีวมาตรเป็นข้อมูลส่วนบุคคลที่มีความสำคัญเป็นพิเศษ (Special Categories of Personal Data) ที่ห้ามเก็บบันทึกหรือประมวลผล ยกเว้นแต่มีความจำเป็นอย่างหลีกเลี่ยงไม่ได้ หรือได้รับความยินยอมโดยชัดแจ้ง
ทั้งนี้ เพราะหากข้อมูลส่วนนี้รั่วไหลไปถึงมือบุคคลที่นำไปใช้ประโยชน์ในทางมิชอบ จะทำให้เจ้าของตัวจริงที่ถูกสวมรอยจะเดือดร้อนไปตลอดชีวิต เพราะไม่สามารถเปลี่ยนแปลงข้อมูลชีวมาตรของตัวเองได้
หรือมีการนำข้อมูลไปแอบอ้างในการทำธุรกรรมต่างๆ เช่น การยืนยันตัวบุคคลในการชำระเงินออนไลน์ (Biometric Payment) จะทำให้เจ้าของข้อมูลเสียหายมาก
ในยุคดิจิทัลนั้น ไม่ได้มีแต่พวก “สายขาว” ที่เป็นบวกอย่างเดียว แต่ยังมีพวก “สายดำ” ที่มักหาประโยชน์จากช่องโหว่ต่างๆ ด้วย
มิใช่ต่อต้านเทคโนโลยีในยุคดิจิทัล เพียงแต่ต้องรอบคอบ ปิดช่องโหว่ ป้องกันไม่ให้เกิดความเสียหายให้ดีที่สุด
เมื่อเร็วๆ นี้ทางสมาคมความมั่นคงปลอดภัยระบบสารสนเทศ (ทีซ่า) ทำจดหมายเปิดผนึกถึงนายกฯ ให้พิจารณาเรื่องนี้ เพราะกังวลว่าการจัดเก็บข้อมูลชีวมาตรของประชาชนโดยหน่วยงานรัฐ อาจไม่ได้พิจารณาถึงความจำเป็นอย่างรอบคอบ
รวมทั้งการที่หน่วยงานรัฐให้เอกชนเข้ามาเป็นผู้บริหารจัดการฐานข้อมูลชีวมาตรของประชาชน มีความเสี่ยงที่ข้อมูลจะรั่วไหลได้
“ทีซ่า” เสนอให้จัดตั้งคณะทำงานเพื่อรวบรวมข้อมูลที่หน่วยงานรัฐบังคับเก็บข้อมูลชีวมาตรของประชาชน และพิจารณาว่าเป็นไปโดยชอบธรรม หรือขัดกับรัฐธรรมนูญเรื่องการคุ้มครองสิทธิและเสรีภาพของประชาชน หรือไม่
นอกจากนี้ต้องประเมินมาตรฐานการกำกับดูแลและการรักษาความมั่นคงปลอดภัยไซเบอร์ รวมทั้งดูว่าการคุ้มครองข้อมูลส่วนบุคคลของหน่วยงานรัฐที่บังคับเก็บข้อมูลชีวมาตรของประชาชนนั้น เป็นไปตามมาตรฐานสากลหรือไม่
ให้ทบทวนเหตุผลและความจำเป็น ที่หน่วยงานรัฐให้เอกชนเข้ามาบริหารจัดการฐานข้อมูลชีวมาตรของประชาชน เช่น การทำบัตรประชาชนและการทำหนังสือเดินทาง
ที่สำคัญคือการจัดเก็บข้อมูลชีวมาตร ต้องทำเท่าที่จำเป็นจริงๆ และต้องมีมาตรฐานการรักษาความมั่นคงปลอดภัยไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคลในระดับสูงสุด
ขณะเดียวกันต้องมีมาตรการเยียวยาประชาชนที่ได้รับผลกระทบจากการรั่วไหลหรือถูกละเมิด อย่างเหมาะสมและเป็นธรรม
เป็นเรื่องที่นายกฯควรพิจารณา เพราะหากข้อมูลชีวมาตรที่หน่วยงานรัฐเก็บนั้นรั่วไหลออกไป ผลเสียหายไม่ใช่เกิดเฉพาะเจ้าของข้อมูล แต่ยังส่งผลต่อความมั่นคงของประเทศ และผลต่อนโยบายเศรษฐกิจดิจิทัลของรัฐบาลด้วย
สราวุฒิ สิงห์เอี่ยม
