เมื่อวันที่ 24 กรกฎาคม นายเมธา สุวรรณสาร นายกสมาคมความมั่นคงปลอดภัยระบบสารสนเทศ(ทีซ่า) ทำจดหมายเปิดผนึกถึง พล.อ.ประยุทธ์ จันทร์โอชา นายกฯ เรื่องข้อวิตกกังวลถึงการเก็บข้อมูลชีวมาตรส่วนบุคคล ในความรับผิดชอบของหน่วยงานรัฐ
เนื้อหาระบุว่า ปัจจุบันความก้าวหน้าทางเทคโนโลยีทาให้มีการใช้ข้อมูลชีวมาตร (Biometrics) เช่น ภาพใบหน้า ลายนิ้วมือ ภาพม่านตา ในการระบุตัวตนและการพิสูจน์ยืนยันตัวบุคคลกันอย่างแพร่หลายและกว้างขวาง ทั้งในภาครัฐและเอกชน ความอ่อนไหวของการใช้ข้อมูลชีวมาตรในการระบุตัวบุคคลและพิสูจน์ยืนยันตัวบุคคลก็คือ ข้อมูลเหล่านี้เป็นข้อมูลเฉพาะตัวบุคคลที่สามารถระบุอัตลักษณ์ตัวบุคคลได้ และถ้าหากเกิดการรั่วไหลออกไป จะมีผลกระทบเป็นอย่างมากต่อบุคคลผู้เป็นเจ้าของข้อมูลชีวมาตร
ข้อมูลที่รั่วไหลออกไปเหล่านี้มีโอกาสที่จะถูกนำมาใช้ประโยชน์ในทางมิชอบ ซึ่งจะสร้างความเดือดร้อนและความเสียหายต่อเจ้าของข้อมูลได้ตลอดชีวิตของเจ้าของข้อมูล เพราะเจ้าของข้อมูลชีวมาตรจะไม่สามารถที่จะเปลี่ยนแปลงแก้ไขข้อมูลชีวมาตรของตนเองได้เลย
การที่ข้อมูลชีวมาตรมีผลกระทบต่อบุคคลผู้เป็นเจ้าของข้อมูลเป็นอย่างมาก ทาให้ GDPR ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของอียู ได้จัดให้ข้อมูลชีวมาตรเป็นข้อมูลส่วนบุคคลที่มีความสำคัญเป็นพิเศษ (Special Categories of Personal Data) ห้ามการเก็บบันทึกหรือประมวลผล ยกเว้นแต่มีความจำเป็นอย่างหลีกเลี่ยงไม่ได้ หรือได้รับความยินยอมโดยชัดแจ้ง
สำหรับปัญหาของประเทศไทยแม้ว่าจะมีบทบัญญัติให้การคุ้มครองตามมาตรา 26 ของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล แต่ก็ยังมีประเด็นการบังคับใช้กับหน่วยงานรัฐ เนื่องจากปัจจุบันมีหน่วยงานรัฐหลายแห่งมีการใช้อำนาจรัฐในการบังคับเก็บข้อมูลชีวมาตรของประชาชนทุกคน โดยที่ไม่ได้มีการพิจารณาเหตุผลและความจำเป็นอย่างรอบคอบ และอาจจะไม่ได้มีการคำนึงถึงผลกระทบที่จะเกิดกับเจ้าของข้อมูลชีวมาตรส่วนบุคคลในกรณีที่เกิดการรั่วไหลหรือถูกนำไปใช้ในทางที่มิชอบโดยเจ้าหน้าที่ของรัฐเอง
นอกจากนี้ ยังพบว่าหน่วยงานรัฐที่มีการบังคับเก็บข้อมูลชีวมาตรของประชาชน ได้มีการให้สัมปทานบริษัทเอกชนเข้ามาเป็นผู้บริหารจัดการฐานข้อมูลชีวมาตรที่อยู่ในความรับผิดชอบของหน่วยงานรัฐ ซึ่งทำให้มีความสุ่มเสี่ยงที่เอกชนที่ได้รับสัมปทานจะนำข้อมูลเหล่านี้ไปหาประโยชน์ในทางมิชอบ
ผลกระทบในกรณีที่มีการรั่วไหลหรือละเมิดข้อมูลชีวมาตรที่อยู่ในความรับผิดชอบของหน่วยงานรัฐ ไม่ได้มีเพียงผลกระทบต่อเจ้าของข้อมูลเท่านั้น แต่ยังมีผลกระทบต่อภาพพจน์ความน่าเชื่อถือของประเทศ ผลกระทบด้านความมั่นคงของประเทศ และผลกระทบต่อนโยบายการขับเคลื่อนเศรษฐกิจดิจิทัลของรัฐบาล
สมาคมความมั่นคงปลอดภัยระบบสารสนเทศ เป็นสมาคมของนักวิชาการด้านการรักษาความมมั่นคงปลอดภัยไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคล มีความกังวลต่อประเด็นปัญหาดังต่อไปนี้
(1) การจัดเก็บข้อมูลชีวมาตรของประชาชนโดยหน่วยงานรัฐ ที่อาจจะไม่ได้มีการพิจารณาถึงเหตุผล และความจำเป็นอย่างรอบคอบและรอบด้าน รวมทั้่ง ไม่ได้มีการพิจารณาถึงผลกระทบต่อเจ้าของข้อมูล ในกรณีที่เกิดการรั่วไหลหรือถูกละเมิด
(2) การที่หน่วยงานรัฐให้เอกชนเข้ามาเป็นผู้บริหารจัดการฐานข้อมูลชีวมาตรของประชาชนที่อยู่ในความรับผิดชอบของตนเอง
(3) การที่ไม่มีมาตรการเยียวยาบุคคลผู้เป็นเจ้าของข้อมูลชีวมาตรที่อยู่ในความควบคุมของหน่วยงานรัฐ ในกรณีที่เกิดการรั่วไหลหรือถูกละเมิด
(4) การที่ไม่มีมาตรการกำกับดูแลแบบมีธรรมาภิบาลเปิดเผยและโปร่งใส บังคับใช้กับหน่วยงานรัฐที่มีการบังคับจัดเก็บข้อมูลส่วนบุคคลของประชาชน โดยเฉพาะอย่างยิ่งข้อมูลชีวมาตร
(5) การจัดเก็บข้อมูลชีวมาตรของประชาชน โดยที่ไม่มีมาตรฐานการรักษาความมั่นคงปลอดภัยที่เพียงพอ จะมีผลทำให้มีความเสี่ยงที่ข้อมูลรั่วไหลหรือถูกละเมิด มีผลกระทบกับยุทธศาสตร์ชาติด้านความมั่นคงทางไซเบอร์ การดำเนินตามนโยบายเศรษฐกิจดิจิทัลของรัฐบาล ทำให้ไม่สามารถเอาชีวมาตรมาใช้ในการพิสูจน์ยืนยันตัวบุคคลในการทำธุรกรรมทางอิเล็กทรอนิกส์ เช่น ไม่สามารถใช้ชีวมาตรในการยืนยันตัวบุคคลในการชาระเงินออนไลน์ (Biometric Payment) ที่กำลังดำเนินการโดยธนาคารแห่งประเทศไทย หรือ การลงคะแนนเลือกตั้ง ทางอิเล็กทรอนิกส์ ที่จะเกิดขึ้นในอนาคตอันใกล้ เนื่องจากข้อมูลชีวมาตรส่วนบุคคลที่รั่วไหลออกไป จะถูกนำมาใช้แอบอ้างสวมรอยตัวบุคคลในการทำธุรกรรมทางดิจิทัลไปตลอดชีวิตของเจ้าของข้อมูล โดยที่เจ้าของข้อมูลไม่สามารถที่จะเปลี่ยนแปลงแก้ไขข้อมูลชีวมาตรของตนเองได้เลย
ข้อเสนอแนะแนวทางการดาเนินการแก้ไข
(1) จัดตั้งคณะทางานเพื่อรวบรวมข้อมูลการบังคับเก็บข้อมูลชีวมาตรของประชาชน โดยใช้อำนาจรัฐของหน่วยงานราชการหรือองค์กรของรัฐ ที่มีการดำเนินการในปัจจุบันของทุกกระทรวง
(2) ศึกษาว่าประกาศบังคับเก็บข้อมูลชีวมาตรของหน่วยงานรัฐแต่ละแห่ง เป็นไปโดยชอบธรรมและมีอำนาจตามกฎหมายหรือไม่ และเป็นการใช้อำนาจรัฐที่ขัดกับบทบัญญัติเรื่องการคุ้มครองสิทธิและเสรีภาพของประชาชนในรัฐธรรมนูญแห่งราชอาณาจักรไทย พ.ศ.2560 หรือไม่
(3) ประเมินมาตรฐานแนวทางการกำกับดูแลและการรักษาความมั่นคงปลอดภัยไซเบอร์ และการคุ้มครองข้อมูลส่วนบุคคลของหน่วยงานรัฐที่บังคับเก็บข้อมูลชีวมาตรของประชาชน ที่มีอยู่ในปัจจุบัน ว่าเป็นไปตามมาตรฐานที่ยอมรับในระดับสากลหรือไม่
(4) รายชื่อหน่วยงานรัฐที่ให้เอกชนเข้ามารับผิดชอบบริหารจัดการฐานข้อมูลชีวมาตรของประชาชน ที่อยู่ในความรับผิดชอบ และแนวทางการกำกับดูแลเพื่อป้องกันมิให้เอกชน นำเอาข้อมูลเหล่านี้ไปใช้ประโยชน์ในทางมิชอบ รวมทั้งหลักฐานการดำเนินการติดตามควบคุมกำกับดูแลบริษัทเอกชน ผู้ที่ได้รับสัมปทานบริหารจัดการฐานข้อมูลของหน่วยงานรัฐ
(5) ทบทวนเหตุผลและความจำเป็น ที่หน่วยงานรัฐยอมให้เอกชนเข้ามาควบคุมบริหารจัดการฐานข้อมูลชีวมาตรของประชาชน เช่น การทำบัตรประชาชน การทำหนังสือเดินทาง ซึ่งในต่างประเทศแล้วส่วนมากจะเป็นการดำเนินการโดยรัฐบาล ไม่ยอมให้เอกชนเข้าถึงและบริหารจัดการฐานข้อมูลอย่างเด็ดขาด เพราะมีผลกระทบถึงความมั่นคงและอธิปไตยของประเทศ
(6) วิเคราะห์ถึงความจำเป็นในการบังคับจัดเก็บข้อมูลชีวมาตรของประชาชน ความเสี่ยงและผลกระทบต่อบุคคลผู้เป็นเจ้าของข้อมูล การละเมิดสิทธิประชาชน และความเสี่ยงและผลกระทบด้านความมั่นคงของประเทศในกรณีที่มีการรั่วไหลหรือถูกละเมิด
(7) กำหนดมาตรการในการกำกับดูแลหน่วยงานรัฐที่มีการเก็บข้อมูลชีวมาตรประชาชน ให้เป็นไปอย่างมีธรรมภิบาล จัดเก็บข้อมูลชีวมาตรเท่าที่จำเป็นจริงๆ และต้องมีมาตรฐานการรักษาความมั่นคงปลอดภัยไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคล ในระดับสูงสุด เปิดเผยและโปร่งใส เพื่อสร้างความมั่นใจให้กับประชาชน และเป็นหลักประกันด้านความมั่นคงทางดิจิทัลของประเทศ
(8) กำหนดหน้าที่ ความรับผิดชอบและบทลงโทษเจ้าหน้าที่รัฐในกรณีที่เกิดเหตุละเมิด
(9) จัดทำมาตรการเยียวยาประชาชนที่ได้รับผลกระทบจากการรั่วไหลหรือถูกละเมิด อย่างเหมาะสมและเป็นธรรม
(10) กำหนดให้เป็นหน้าที่ของหน่วยงานรัฐที่มีการบังคับเก็บข้อมูลชีวมาตรของประชาชน ต้องรายงานผลการดำเนินการ รายงานการตรวจสอบ และการละเมิด ต่อสภาผู้แทนราษฎร หรือผู้ตรวจการแผ่นดินของรัฐสภา
จึงเรียนมาเพื่อโปรดพิจารณาและมีบัญชาให้หน่วยงานที่เกี่ยวข้องได้มีการพิจารณาแก้ไขเรื่องนี้อย่างเร่งด่วน
