Biometrics Vs ข้อมูลส่วนบุคคล

 โดยเฉพาะอย่างยิ่งธนาคารที่นำเทคโนโลยี Biometrics มาประยุกต์ใช้เพื่อป้องกันการทุจริตทางการเงินและสร้างความปลอดภัยในการเข้าถึงบริการทางการเงินในรูปแบบต่าง ๆ

อย่างไรก็ดี ในทางกฎหมาย ข้อมูลของลูกค้า/ผู้รับบริการในรูปแบบ Biometrics (หรือ Biometric data) ได้รับความคุ้มครองอย่างไรและถือเป็นข้อมูลส่วนบุคคลของผู้รับบริการหรือไม่ เป็นประเด็นที่ผู้เขียนจะกล่าวถึงในบทความฉบับนี้ 

เทคโนโลยี Biometrics คือ อะไร

คือ เทคโนโลยีที่ใช้สำหรับยืนยัน/พิสูจน์ตัวตนของบุคคล โดยเป็นการผสมผสานระหว่างเทคโนโลยีด้านชีวภาพ ความรู้ทางการแพทย์ และเทคโนโลยีทางคอมพิวเตอร์เข้าด้วยกัน โดยเทคโนโลยี Biometrics สามารถใช้ลักษณะทางกายภาพของบุคคล (Physical) เช่น ลายนิ้วมือ รูม่านตา โครงสร้างใบหน้า เพื่อยืนยันและระบุความเป็นตัวตน (Individual’s Identity)

ดังนั้น Physical Biometrics คือ การประยุกต์ใช้เทคโนโลยีเพื่อทดแทนการเข้าถึงบริการ โดยใช้ Username/Password ในแบบเดิม ซึ่งมีข้อจำกัด เช่น ผู้ใช้บริการต้องตั้งและจดจำรหัสเข้าถึงข้อมูล ซึ่งหากผู้เข้าใช้บริการลืมชุดรหัสตัวเลขหรือชุดข้อมูลที่ได้ตั้งไว้ ก็อาจไม่สามารถเข้าใช้บริการได้

ตัวอย่างของ Physical Biometrics ที่นำมาใช้ในอุตสาหกรรม เช่น การสแกนลายนิ้วมือของ Smart phone แต่ละรุ่น การจดจำโครงสร้างใบหน้าเพื่อเข้าถึงบริการ และการสแกนลายนิ้วมือ/โครงสร้างมือของบุคคลเพื่อใช้ทำหนังสือเดินทางและขอวีซ่า เป็นต้น

เพิ่มความปลอดภัยด้วย Behavioral Biometrics

ในขณะที่ Physical Biometrics คือ การยืนยันตัวตนโดยอ้างอิงถึงส่วนใดส่วนหนึ่ง/อวัยวะ ในร่างกาย แต่ “Behavioral Biometrics” คือ การนำลักษณะหรือพฤติกรรมเฉพาะของแต่ละบุคคล (Behavioral trait) เช่น ลักษณะการเดิน การเคลื่อนไหวของมือ (รวมถึงการถนัดซ้าย-ขวา) เสียงพูด และวิธีการเคาะแป้นพิมพ์ (ความเร็ว, การวางนิ้ว หรือแรงกด) มาใช้ในการยืนยันหรือพิสูจน์ตัวตน โดยเทคโนโลยี Behavioral Biometrics สามารถนำลักษณะเฉพาะของบุคคลในการเคลื่อนไหวหรือวิธีการจับอุปกรณ์สื่อสารมาแยกแยะเพื่อสร้างอัตลักษณ์และความเฉพาะเป็นรายบุคคลได้ เช่น การเข้าสู่ระบบธนาคารออนไลน์ ในปัจจุบันผู้ใช้บริการอาจต้องกรอกรหัสที่เป็นชุดตัวเลข แต่สำหรับ Behavioral Biometrics ผู้ใช้บริการอาจเข้าถึงระบบธนาคารได้โดยการพิสูจน์ตัวตนผ่าน ลักษณะการหยิบและกดเครื่องมือสื่อสาร (ใช้มือที่ถนัดตามลักษณะการเคลื่อนไหวของบุคคลๆ นั้น) หรือใช้เสียงพูดเพื่อยืนยันตัวตนของผู้ใช้บริการ เป็นต้น

Biometric Data เป็นข้อมูลส่วนบุคคล?

หากพิจารณาตามกฎหมายไทย คำว่า “ข้อมูลส่วนบุคคล” ปรากฎอยู่ใน พ.ร.บ. ข้อมูลข่าวสารของราชการ พ.ศ. 2540 กำหนดว่า ข้อมูลข่าวสารทั้งหลายที่เกี่ยวกับสิ่งเฉพาะตัวของบุคคล โดยมีชื่อ/เลขหมาย/รหัส หรือสิ่งบอกลักษณะอื่นใดที่ทำให้รู้ตัวผู้นั้นได้ และร่างพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. .... ได้บัญญัติไว้ในทำนองเดียวกันว่า ข้อมูลส่วนบุคคล หมายถึง ข้อมูลเกี่ยวกับบุคคล ซึ่งทำให้สามารถระบุตัวของบุคคลนั้นได้

ดังนั้น หากพิจารณาตามถ้อยคำของกฎหมาย ข้อมูลของลูกค้า/ผู้รับบริการที่ได้จากการใช้ Biometrics แม้จะอยู่ในรูปของรหัสชุดหรือรูปแบบอิเล็กทรอนิกส์ ย่อมเป็นข้อมูลส่วนบุคคลของลูกค้า/ผู้รับบริการทั้งสิ้น เพราะเป็นสิ่งที่ทำให้ธนาคารหรือผู้ให้บริการสามารถระบุ ยืนยัน และ ทราบถึงตัวตนของลูกค้าแต่ละรายได้อย่างถูกต้องก่อนให้บริการ หรืออาจกล่าวได้ว่าBiometric Data คือ ข้อมูลส่วนบุคคลที่ธนาคารต้องดูแลตามมาตรฐานที่กฎหมายกำหนด

หากเปรียบเทียบกับกฎหมายต่างประเทศ เช่น สหภาพยุโรป ข้อมูลส่วนบุคคลได้หมายความรวมถึง Biometric Data ไว้อย่างชัดเจน โดยกฎหมายได้อธิบายการใช้เทคโนโลยี Biometrics เพื่อได้ข้อมูลทั้งในเชิงกายภาพ พฤติกรรม รวมถึงคุณลักษณะต่างๆ ที่สามารถแยกแยะลักษณะเฉพาะของแต่ละบุคคลได้ ดังนั้น จึงไม่น่าแปลกใจที่ข้อมูลส่วนบุคคลแบบ Biometric Data จึงได้รับความคุ้มครองภายใต้กฎหมายข้อมูลส่วนบุคคลของประเทศในกลุ่มสหภาพยุโรป (Working Group มาตรา 29, EU Directive 95/46/EC)

สิ่งที่ผู้ประกอบธุรกิจต้องคำนึงในการรักษาข้อมูล?

ในทางปฏิบัติ Biometric Data ของลูกค้าหรือผู้รับบริการจะถูกเก็บไว้ในอุปกรณ์อิเล็กทรอนิกส์ในหลายรูปแบบ เช่น อาจเก็บไว้ใน Smart mobile devices (SMDs) โดยผู้ให้บริการบางรายอาจเก็บข้อมูลทั้งหมดบนฐานข้อมูลประเภท Cloud ด้วยอีกชั้นหนึ่ง หรือ อาจกล่าวได้ว่าBiometric data เป็นข้อมูลส่วนบุคคลที่อยู่ในรูปของข้อมูลอิเล็กทรอนิกส์ ซึ่งมาตรฐานในการให้ความคุ้มครองย่อมไม่ต่างไปจากข้อมูลส่วนบุคคลประเภทอื่นๆ

แม้ในปัจจุบัน ร่างพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. …. จะยังอยู่ในขั้นตอนการจัดทำ แต่หากพิจารณาหลักการสากลในการคุ้มครองข้อมูลส่วนบุคคลทั้งจากหลักการของ OECD และ กฎหมาย General Data Protection Regulation (GDPR) ของสหภาพยุโรป พบว่า กรอบการคุ้มครองข้อมูลส่วนบุคคลประกอบไปด้วยหลักการสำคัญหลายประการ โดยผู้เขียนขอสรุป บางหลักการที่เห็นว่ามีความสำคัญ ได้แก่

1. หลักความเหมาะสมในการเก็บข้อมูล กล่าวคือ ในการเก็บรวบรวมข้อมูลต้องได้รับ ความยินยอมและมีบอกกล่าวถึงวัตถุประสงค์ในการนำข้อมูลไปใช้จากเจ้าของข้อมูลก่อนเสมอ(หลัก Consent)

2. หลักข้อจำกัดในการนำไปใช้ กล่าวคือ ข้อมูลส่วนบุคคลจะต้องไม่มีการนำไปเปิดเผย เกินจากขอบวัตถุประสงค์ที่ได้ขอความยินยอมจากเจ้าของข้อมูล (เว้นแต่ได้รับความยินยอมจากเจ้าของข้อมูลหรือเป็นไปตามบทบัญญัติของกฎหมาย)

3. หลักการรักษาความปลอดภัย กล่าวคือ ผู้เก็บข้อมูลจะต้องจัดให้มีมาตรการในการรักษาความปลอดภัยของข้อมูลส่วนบุคคลที่เหมาะสม หรือเป็นไปตามมาตรฐานที่กฎหมายกำหนด ทั้งนี้ หากเกิดกรณีข้อมูลรั่วไหล GDPR ยังได้กำหนดให้แจ้งเจ้าของข้อมูลภายใน 72 ชั่วโมง

4. หลักในการเพิ่มสิทธิประเภทต่าง ๆ ให้กับเจ้าของข้อมูล เช่น เจ้าของข้อมูลสามารถ ร้องขอให้นำส่งข้อมูลของตนต่อไปยังหน่วยงานอื่น ๆ ที่ร้องขอ (Data Portability) หรือ สิทธิของเจ้าของข้อมูลในการขอให้มีการลบข้อมูลของตนเอง (Right to be forgotten) เป็นต้น

ท้ายที่สุด สำหรับผู้เขียน เชื่อว่าเทคโนโลยี Biometrics จะช่วยสร้างความปลอดภัยให้กับผู้บริโภค และจะเป็นนิยมมากขึ้นในอนาคตอันใกล้ แต่ประเด็นที่อยากจะฝากไว้สำหรับผู้ให้บริการ คือ การจัดการความปลอดภัยของข้อมูลประเภท Biometric data เพราะ หากมีการโจรกรรมข้อมูลในลักษณะนี้ไป ผู้ใช้บริการคงไม่สามารถ Reset password ใหม่อย่างการตั้งค่ารหัสตัวเลขในแบบเดิมได้

บทความนี้เป็นความเห็นส่วนตัวของผู้เขียน