ความเสี่ยงโลกออนไลน์เมื่อ 'ข้อมูลบัตรประชาชน' ไม่เป็นความลับ

ความเสี่ยงโลกออนไลน์เมื่อ 'ข้อมูลบัตรประชาชน' ไม่เป็นความลับ

บัตรประชาชนมีความสำคัญยิ่งกว่าบัตรเครดิต เพราะสามารถทำธุรกรรมต่างๆ ได้มากมาย

“ขอแลกบัตรประชาชนหน่อยครับ” เป็นสิ่งที่ผมมักพบเจอเมื่อเข้าไปติดต่อในสถานที่ต่างๆ และ “ขอสำเนาบัตรประชาชนด้วยครับ” ในกรณีที่จะต้องทำธุรกรรมต่างๆ

การให้บัตรประชาชน หรือถ่ายสำเนาบัตร ให้แก่บุคคลอื่นดูเหมือนจะเป็นเรื่องปกติสำหรับคนไทยส่วนใหญ่ ที่ผ่านมาเราอาจจะยื่นบัตรประชาชนไปให้คนหลายร้อยหลายพันคน ไม่นับที่ให้สำเนาบัตรแก่หน่วยงานต่างๆ อีกมากมาย รวมไปถึงการที่ผมต้องเขียนชื่อ เบอร์โทรศัพท์ และหมายเลขบัตรประชาชน ลงกระดาษอีกมากมาย

ทุกวันนี้หลายๆ หน่วยงานที่มีการทำธุรกรรมออนไลน์ทั้งภาครัฐและภาคเอกชน ต่างก็ให้กรอกหมายเลขบัตรประชาชนเพื่อระบุตัวตน บางแห่งก็ระบุง่ายๆ ถามแค่หมายเลขบัตรประชาชน แต่บางแห่งก็อาจถามมากขึ้นไปที่เลขหลังบัตร หรือวันเดือนปีเกิด บ่อยครั้งที่ผมเข้าไปใช้บริการบางหน่วยงานแล้วพบว่าการระบุตัวตนไม่มีระบบตรวจสอบอีกชั้นหนึ่ง ดังเช่น การส่งรหัส OTP ทางมือถือจึงสงสัยไม่ได้ว่า ถ้าคนอื่นมาลงทะเบียนแทนตัวเราทางออนไลน์ก็น่าจะเป็นไปได้

ทุกวันนี้ระบบลงทะเบียนต่างๆ มักจะยึดตามหมายเลขบัตรประชาชนเป็นหลักในการระบุตัวตนครั้งแรก ดังนั้นบัตรประชาชนของทุกคนน่าจะเป็นความลับที่คนอื่นๆ ไม่ควรจะล่วงรู้ ไม่ควรมีสำเนาบัตรที่กระจายทั่วไปในทุกหน่วยงาน

ในมุมของผมจึงมองว่า บัตรประชาชนมีความสำคัญยิ่งกว่าบัตรเครดิต เพราะสามารถทำธุรกรรมต่างๆ ได้มากมาย และคนทุกคนจะมีบัตรประชาชน ปกติผมจะหวงบัตรเครดิตมากใม่ยื่นให้ใครไปง่ายๆ และจะลบข้อมูลหลังบัตรออกเพื่อไม่ให้ใครนำไปทำธุรกรรมได้ และแน่นอนใครจะมาขอสำเนาบัตรเครดิตผมก็จะต้องคิดหนักพอควร เพราะเป็นการให้ข้อมูลการทำธุรกรรมการเงินที่สำคัญยิ่ง หรือแม้แต่จะถามเลขบัตรและข้อมูลต่างๆ ในบัตรย่อมเป็นไปไม่ได้

แต่การใช้บัตรประชาชนผมอยู่ในภาวะจำยอม จำเป็นต้องยื่นบัตรให้คนอื่น ต้องสำเนาบัตร เพราะกฎระเบียบต่างๆ บังคับ ในยุคก่อนดิจิทัลที่เราต้องไปติดต่อทำธุรกรรมต่างๆ ด้วยตนเอง ความเสี่ยงเรื่องการใช้บัตรประชาชนในการยืนยันตัวตนยังมีน้อย เพราะต้องมีบัตรประชาชนและตัวเราไปแสดงตัวตน แต่ในวันนี้เรากำลังอยู่ในโลกดิจิทัล การยืนยันตัวตนในหลายระบบทำผ่านออนไลน์ เราสามารถจะทำธุรกรรมจากที่ไหนก็ได้ จึงมีคำถามว่าจะแน่ใจได้อย่างไรว่า นั่นคือตัวตนของเราที่แท้จริงที่มายืนยันตัวตน

ผมนึกถึงภาพยนตร์เรื่อง The Net ที่นางเอกถูกปลอมตัวตนทุกอย่างโดยเฉพาะการใช้ระบบออนไลน์ มีคนอื่นสวมเอาเลขรหัสประจำตัวของเธอไปใช้ เปลี่ยนข้อมูลหน้าตา และข้อมูลอื่นๆ ของเธอไปเป็นคนอื่น ผมจึงอดคิดไม่ได้ว่า ทุกวันนี้ข้อมูลเลขบัตรประชาชน เลขหลังบัตร ชื่อนามสกุล และวันเดือนปีเกิด ของเราทุกคนสามารถหาได้ง่ายมาก จากสำเนาบัตรที่เราให้ไว้ หรือแม้แต่ฝากบัตรประชาชนไว้คนอื่นก็สามารถจะจดเก็บไว้ได้ และหากวันหนึ่งเขานำข้อมูลเหล่านั้นไปทำธุรกรรมออนไลน์แทนเรา จะเกิดอะไรขึ้น??

บางท่านอาจจะมองว่าตอนนี้เรามี พรบ.คุ้มครองข้อมูลส่วนบุคคล ที่กำลังจะเริ่มใช้บังคับในปีหน้า ก็น่าจะช่วยได้ แต่สำหรับผมคิดว่ามันสายไปแล้วสำหรับข้อมูลในบัตรประชาชนของคนจำนวนมากครับ เพราะข้อมูลบัตรเรากระจายออกไปมากเกินกว่าที่จะควบคุมได้ ข้อมูลบัตรประชาชนของแต่ละคนไม่ใช่ความลับแล้ว การจะเอามาใช้ยืนยันตัวตนทางดิจิทัลด้วยข้อมูลในบัตรประชาชนเพียงอย่างเดียวไม่น่าจะเพียงพออีกต่อไป และเป็นความเสี่ยงต่อผู้ใช้บริการออนไลน์ต่างๆ เป็นอย่างยิ่ง

และที่น่าตกใจก็คือ ทุกๆ หน่วยงานที่ให้เรายืนยันตัวตนไม่ว่าจะเป็นภาครัฐหรือเอกชน ต่างก็ทราบข้อมูลในบัตรประชาชนของเรา จึงให้เรายืนยันตัวตนได้ ก็แสดงว่าข้อมูลไม่เป็นความลับ ระบบต่างๆ ในทุกหน่วยงานมีข้อมูลเราเกือบทั้งหมด

การยืนยันตัวตนในระบบดิจิทัลจำเป็นจะต้องเปลี่ยนแปลงโดยเร็ว ในขั้นแรกอย่างน้อยต้องทำการยืนยันตัวตนสองชั้นอาจต้องใช้รหัส OTP ที่ลงทะเบียนทางหมายเลขโทรศัพท์ หรือต้องใช้ระบบ Biometric เช่น ใบหน้าหรือลายนิ้วมือเพิ่มเติม จริงๆ แล้วโครงการ NDID (National Digital Identification) ที่ภาครัฐและเอกชนโดยเฉพาะกลุ่มสถาบันทางการเงินได้ทำขึ้นมาเพื่อยืนยันตัวตนในรูปแบบดิจิทัลเป็นเรื่องที่ดีมาก แต่การจะขยายไปในวงกว้างให้ใช้ทุกบริการของภาครัฐและเอกชน คงมีค่าใช้จ่ายค่อนข้างสูง และข้อสำคัญการยืนยันยังเริ่มต้นผ่านข้อมูลจากบัตรประชาชนที่ไม่มีความลับเสียก่อน

ดังนั้นในระยะยาวอาจถึงเวลาที่จะต้องออกหมายเลขบัตรประชาชนแบบดิจิทัลใหม่หมดให้กับคนทุกคน และเป็นเลขหมายที่แยกต่างหากมาจากหมายเลขบัตรประชาชน หมายเลขนี้ต้องมีความปลอดภัยไม่ได้ถูกนำมาใช้กันอย่างพร่ำเพรือ ต้องเป็นความลับ และอาจมีเพียงแค่หน่วยงานเพียงไม่กี่หน่วยงานที่คอยบริหารจัดการข้อมูลหมายเลขนี้ ทำหน้าที่ออกหมายเลขดิจิทัล ยืนยันตัวตน การเปลี่ยนแปลงข้อมูลต่างๆ ซึ่งก็อาจเป็นหน่วยงานอย่าง NDID ที่สามารถเข้ามาช่วยบริหารจัดการได้ ทำให้นึกถึงโมเดลของประเทศสิงคโปร์ที่มีระบบ Singpass (Singapore Personal Access) ในการยืนยันตัวตนด้วยหมายเลขบัตรประชาชนดิจิทัล

แต่สิ่งที่ผมคิดอาจเป็นฝันเกินจริงไปหรือไม่ เพราะอาจทำให้บางหน่วยงานเสียอำนาจในการทำงานรูปแบบเดิมๆ และทำให้เกิดความวุ่นวายมากขึ้นในการจัดทำระบบ แต่หากจะให้ใช้บริการออนไลน์ก็ต้องมีความปลอดภัย และสร้างความเชื่อมั่นให้กับประชาชนมากกว่าจะยืนยันตัวตนด้วยข้อมูลที่ใครๆ ก็หามาได้เช่นปัจจุบัน