| ผู้เขียน | สกู้ปข่าวหน้า 1 นสพ.มติชนรายวัน 21 กันยายน 2562 |
|---|
เทคโนโลยีระบุตัวตน
ชีวมาตร
น่ากลัวหรือไม่
ตั้งแต่เกิดมา เรามีใบหน้า-รูปร่างที่เปลี่ยนตามอายุขัย แต่ 10 ลายนิ้วมือ-นิ้วเท้าที่แม่พ่อให้ ไม่พอใจอย่างไรก็เปลี่ยนไม่ได้ เช่นเดียวกับ “ม่านตา”
ในยุคที่โทรศัพท์มือถือจำเป็นตั้งแต่ตื่นจนนอนหลับ จะเรียกว่าน่ากลัวหรือไม่ ถ้าใครคนใดคนหนึ่งมีรูปถ่าย หรือลายนิ้วของมือของเราครบทั้งสิบ?
ไม่ว่าจะพร้อมหรือไม่ ก็ไม่อาจหลีกหนีสถานะประชากรในยุค 4.0 ได้อย่างแน่นอน
ล่าสุด สมาคมความมั่นคงปลอดภัยระบบสารสนเทศ ร่วมกับ คณะนิติศาสตร์ มหาวิทยาลัยศรีปทุม จัดเวทีพูดคุยแลกเปลี่ยนในประเด็นนี้ ที่ห้องพัชรกิติยาภา อาคารเฉลิมพระบารมี 50 ปี ซอยศูนย์วิจัย เมื่อวันที่ 20 กันยายนที่ผ่านมา
นพ.สุธี ทุวิรัตน์ กรรมการสมาคมความมั่นคงปลอดภัยระบบสารสนเทศ กล่าวถึงความหมายของ “ชีวมาตร” ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ที่เพิ่งประกาศใช้เมื่อเร็วๆ นี้ว่า “ชีวมาตร” หรือไบโอเมทริกซ์ คือข้อมูลส่วนบุคคลที่เป็นเทคโนโลยีในการระบุตัวตน ได้แก่ 1.ภาพถ่าย 2.ลายนิ้วมือ และ 3.ม่านตา ซึ่ง “หน้าตา” เปลี่ยนได้ แต่ช้า เป็นเหตุผลให้ต้องทำบัตรใหม่ทุก 5 ปี ทว่า “ลายนิ้วมือ” คือเซลล์ที่ตายของผิวหนังจึงไม่เปลี่ยนแปลง ส่วน “ม่านตา” เป็นอวัยวะที่ไม่ได้บอกแค่เพียงลักษณะ แต่ยังบอกสุขภาพ พฤติกรรม และโรคทางพันธุกรรมได้หลายโรค
แล้วเทคโนโลยีชีวมาตรคืออะไร
สงสัยไหมว่าเฟซบุ๊กหรือโทรศัพท์มือถือระบุได้อย่างไรว่าเราเป็นใคร
นพ.สุธี อธิบายว่า เกิดจากการเอาข้อมูลชีวมาตรมากำหนดสัดส่วนเป็นจุด 20 จุด และคำนวณออกมาในลักษณะของแม่แบบ เพื่อเทียบกับใบหน้า ซึ่งการจดจำลายนิ้วมือก็ใช้หลักการเดียวกัน แต่เป็น 40 จุด จึงมีความแม่นยำกว่า ส่วนม่านตาใช้ประมาณ 250 จุด จึงเชื่อถือได้สูงกว่าทั้งหมด
“สิ่งที่ทั่วโลกใช้แล้วแต่เรากำลังจะตามไปคือใช้ Biometric Payment ที่มีสองรูปแบบคือ ใช้มือถือเป็นกระเป๋าสตางค์ วิธีนี้ลายนิ้วมือจะไม่ได้ถูกส่งไปให้ธนาคารรู้ แต่จะถูกฝังไว้ในเครื่อง ยากต่อการปลอมแปลง อีกรูปแบบคือใช้บัตร แต่มีการประกาศมาแล้วว่าบัตรเครดิตรุ่นใหม่จะอาศัยการระบุตัวตน โดยพึ่งเทคโนโลยีชีวมาตร แต่เราไว้ใจได้หรือไม่ว่าธนาคารจะไม่เอาข้อมูลของเราไปปลอมแปลงเป็นตัวตนของเรา”
แล้วประเทศไทยควรมีกฎหมายควบคุมการจัดเก็บและการใช้ข้อมูลชีวมาตรโดยหน่วยงานรัฐและเอกชนหรือไม่
นพ.สุธี บอกว่า กระทรวงการต่างประเทศกำลังจะมีการเก็บม่านตา ปัญหาคือหน่วยงานรัฐไม่ได้เก็บเอง อย่างกระทรวงมหาดไทยให้บริษัทอื่นเก็บ ทั้งนี้ ปัญหาคือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ระบุว่า ถ้ามีการละเมิด ประชาชนไม่สามารถฟ้องการละเมิดสิทธินี้ได้เลย เพราะมาตรา 24 ระบุว่า การเก็บและการใช้ข้อมูลต้องได้รับความยินยอม เว้นแต่เพื่อประโยชน์สาธารณะและการใช้อำนาจรัฐ ส่วนมาตรา 27 ห้ามไม่ให้เปิดเผยข้อมูลที่เก็บ เว้นแต่ตามมาตรา 24 และ 27
ดังนั้น ข้อเสนอแนะคือ 1.มีกฎหมายควบคุมการจัดการและการใช้ข้อมูลชีวมาตรของหน่วยงานรัฐและเอกชน 2.การจัดเก็บและการใช้ข้อมูลชีวมาตรต้องได้รับความยินยอมจากเจ้าของข้อมูล 3.ต้องมีกำหนดระยะเวลาในการทำลายข้อมูลชีวมาตร 4.ในกรณีหน่วยงานรัฐหรือเอกชนฝ่าฝืน ประชาชนมีสิทธิฟ้องเรียกค่าเสียหายแบบคดีผู้บริโภค โดยให้ภาระการพิสูจน์เป็นของผู้ถูกฟ้องคดี 5.ในกรณีที่มีการล่วงละเมิด ต้องรับผิดชอบโดยไม่มีอายุความ
ขณะที่ พิสิฐ ลี้อาธรรม ส.ส.บัญชีรายชื่อ พรรคประชาธิปัตย์ มองว่านี่คือเรื่องใหญ่ของประเทศ เพราะเมื่อมีความก้าวหน้าทางเทคโนโลยีที่เราคิดว่าจะเป็นประโยชน์อาจกลับกลายเป็นสิ่งที่สร้างปัญหากับเรามากมายในอนาคต โดยเฉพาะเรื่องความปลอดภัย
อย่างกรณีที่เกิดกับเฟซบุ๊กโดนปรับ 5,000 ล้านเหรียญ จากข้อมูลที่เอาไปขายให้อนาไลติกา ซึ่งมีผลต่อการเปลี่ยนแปลงเรื่องการเลือกตั้งที่ผลออกมาไม่ตรงกับโพลหรือที่เคยเป็นอยู่ ดังนั้น การเก็บข้อมูลจึงเป็นเรื่องใหญ่ที่นิ่งนอนใจไม่ได้ หรือการทำธุรกรรมใดๆ ก็มีความยุ่งยาก จึงไม่สามารถใช้ประโยชน์ได้อย่างที่เป็น
“เรื่องนี้ไม่เกี่ยวเฉพาะศาสตร์ใดศาสตร์หนึ่ง แต่เรื่องไบโอเมทริกซ์และเทคโนโลยีชีวมาตรเกี่ยวข้องกับการทำธุรกิจภาครัฐ เช่น การทำพาสปอร์ต บัตรประจำตัวประชาชน โดยที่เราไม่รู้ว่าข้อมูลที่เอาไปมีการจัดเก็บอย่างไร อย่างแบงก์พาณิชย์ มีแบงก์ชาติคอยดูแล ถึงเวลาแล้วที่ภาครัฐในฐานะผู้ดูแลประชาชนจะต้องมีกลไกมาดูเรื่องนี้ให้ชัดเจน แต่ก่อนจะถึงจุดนั้น ในฐานะที่เข้ามาเป็น ส.ส.จะสนับสนุนและช่วยผลักดันเรื่องนี้ โดยยื่นญัตติ ตั้งกระทู้ เพื่อทำประชาพิจารณ์ สุดท้ายอาจจะเสนอเป็นกฎหมายในการจัดระบบการดูแล” ดร.พิสิฐระบุ
ก่อนจะเสนอว่า ถ้าเรื่องข้อมูลถูกปิดกั้นจนเกิดมีปัญหาจะกลายเป็นว่าประโยชน์ของทุกฝ่ายจะหายไป จึงเห็นว่ามีเหตุผลที่จะต้องเก็บข้อมูลเพื่อยืนยันตัวบุคคล เช่น ข้อมูลในสมาร์ทการ์ดให้เป็นข้อมูลที่อ่านได้ แต่ควรมีข้อมูลเฉพาะที่อยู่ในหน้าบัตรเท่านั้น ส่วนผู้ประกอบการที่มาดูดข้อมูลโดยไม่ได้รับความยินยอมก็ควรจะโดนข้อหา กฎหมายไทยควรต้องเป็นแบบนี้
ด้าน ดร.มนศักดิ์ โซ่เจริญ ที่ปรึกษาสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ปัจจุบันเป็นที่ปรึกษาสำนักงานส่งเสริมเศรษฐกิจดิจิทัล (DEPA) มองว่า เทคโนโลยีพัฒนาเร็ว อย่างเฟซบุ๊ก เราคิดไม่ทัน คิดไม่ลึกเท่าเขา เขาขอข้อมูลเราไปเก็บโดยอาจจะเขียนหลวมๆ ดูไม่มีอะไร แต่สามารถเอาไปทำอะไรได้เยอะ จึงต้องมีการสร้างความตระหนักในคน 4 กลุ่มคือ 1.ผู้บริหาร 2.ต้องเข้าใจหลักการเก็บและเผยแพร่ 3.คนตรวจระบบ และ 4.คนทั่วไป
“มาตรา 24 และ 27 คือให้รัฐเก็บและใช้ได้โดยไม่ต้องขออนุญาต มองในอีกมุมก็สุ่มเสี่ยง อาจจะทำให้รัฐมีความยืดหยุ่น แต่อีกมุมหนึ่งรัฐก็ชะล่าใจ เป็นดาบสองคม ถ้าปิดให้หมดระบบของรัฐก็ขับเคลื่อนได้ยาก ต้องถ่วงดุลกัน สำนักงานคงไปแก้ พ.ร.บ.ให้ดักไปทางใดทางหนึ่งก็ยาก ดังนั้นจึงต้องทำตั้งแต่ข้อแรก คือมาตรา 24 และมีกฎหมายลูก เพื่อธรรมาภิบาลและความปลอดภัย ทั้งนี้ เราห้ามโลกไม่ได้ อย่างไรแล้วเราต้องตาม เมื่อจะมีการเก็บ เราก็คงห้ามการเก็บไม่ได้ แต่ควรจะมีกระบวนการที่สืบย้อนกลับได้ว่าใครมาดึง มาดู มาทำอะไรกับข้อมูล เซฟไว้โดยไม่สามารถแก้ไขได้ เมื่อมีเหตุการณ์อะไร มาดู บล็อกเชนย้อนกลับได้ ซึ่งคนที่ทำก็จะได้รู้ในเบื้องต้นว่าเขาจะถูกตามตัวได้” ดร.มนศักดิ์แนะ
เมื่อกล่าวถึงข้อกฎหมาย นพ.สุธีออกความเห็นเพิ่มเติมว่า ตอนนี้ไทยกำลังจะมีบริการพิสูจน์และยืนยันตัวตน การที่ธนาคารบังคับเก็บลายนิ้วมือประชาชนในการเก็บข้อมูลเพื่อเปิดบัญชี เป็นมาตรา 26 ซึ่งการพูดถึงข้อมูลชีวภาพ แต่ต้องมีกฎหมายลูก เพราะการเก็บโดยมาตรา 26 โดยไม่มีอำนาจรัฐ ถ้าทำผิด บอร์ดของหน่วยงานรัฐต้องรับผิดชอบ สำหรับมาตรา 26 คือข้อเดียวที่มีการดำเนินคดีและปรับ
ดังนั้น บริษัทเอกชนที่จะจัดเก็บข้อมูลเหล่านี้จึงต้องไปดูมาตรา 26 ให้ดี
ส่วนเรื่องความยินยอม ควรจะกำหนดขอบเขตหรือไม่อย่างไรนั้น ข้อมูลส่วนบุคคลคือข้อมูลที่ระบุตัวตนได้และมีความสำคัญ เช่น ชื่อ นามสกุล ในเรื่องกฎหมายต้องไปดูมาตรา 32 ของรัฐธรรมนูญ 2560 มีสองทางคือสิทธิและเสรีภาพ กล่าวคือ เสรีภาพของประชาชนไม่ต้องมีรัฐธรรมนูญรับรอง แต่ถ้าสิทธิ รัฐต้องมาดูแล การจะจำกัดสิทธิต้องมีกฎหมายรองรับ อย่างน้อยต้องเป็นระดับ พ.ร.บ. เช่น บัตรประชาชน ที่ให้เก็บลายนิ้วมือ 2 นิ้ว แต่เป็นการใช้อำนาจตาม พ.ร.บ.บัตรประชาชน เป็นต้น ถ้าการกระทำที่เป็นการละเมิดจะต้องไม่ใช่การขออนุญาตธรรมดา ต้องมีกฎหมายรองรับ เพราะเสรีภาพในการใช้ชีวิตในยุคดิจิทัลจะหายไป ถ้าข้อมูลส่วนบุคคลหาย เพราะไม่สามารถใช้ข้อมูลเหล่านี้ในชีวิตประจำวันได้ เป็นการละเมิดอย่างหนึ่งที่ไม่ได้ละเมิดเฉพาะสิทธิแต่ยังละเมิดเสรีภาพด้วย
“จะมั่นใจได้อย่างไรว่ารัฐจะมีการแบ๊กอัพข้อมูลไว้หลายชุดหรือไม่ ไม่มีใครรู้ อย่าง ‘บล็อกเชน’ ทั่วโลกมีข้อมูลคนไทยทั้งประเทศ ประเทศยอมรับได้หรือไม่ นี่คือเสรีภาพ คือเรื่องความมั่นคงของประเทศ” นพ.สุธีกล่าวปิดท้าย
เราคงหลีกหนีเทคโนโลยีการนำ“ชีวมาตร” หรือไบโอเมทริกซ์ ไปไม่ได้ แต่จะใช้อย่างไรให้ปลอดภัย คงอยู่ที่การร่างกฎหมายให้ครอบคลุมและคุ้มครองข้อมูลบุคคลให้รัดกุมที่สุด
