Biometrics: กฎหมาย เทคโนโลยี และการใช้งาน
Biometrics เป็นเทคโนโลยีที่ช่วยให้กิจกรรมทางเศรษฐกิจยังดำเนินอยู่ได้แบบไร้การสัมผัส อย่างไรก็ดี ในมุมกฎหมายการใช้งาน มีอะไรบ้างที่เราควรทราบ
Biometrics คืออะไร คือ เทคโนโลยีที่ใช้สำหรับการยืนยัน/พิสูจน์ตัวตนของบุคคล โดยนำลักษณะทางกายภาพ เช่น ลายนิ้วมือ
รูม่านตา และโครงสร้างใบหน้า หรือพฤติกรรมเฉพาะของแต่ละบุคคล เช่น ลักษณะการเดิน การเคลื่อนไหวของมือ เสียงพูด มาใช้ในการจำแนกอัตลักษณ์ของแต่ละบุคคล
การพัฒนา Biometrics ในกระบวนการ KYC
KYC (Know Your Customer) คือ กระบวนการที่ผู้ให้บริการต้องดำเนินการเพื่อพิสูจน์ตัวตนลูกค้าว่าเป็นบุคคลนั้นจริง สำหรับภาคการเงิน การทำ KYC คือด่านแรกในการทำความรู้จักลูกค้าก่อนให้บริการ ดังนั้น เมื่อเป็นกระบวนการแรกในการให้บุคคลเข้าสู่ระบบสถาบันการเงิน กฎหมายจึงต้องกำหนดหลักเกณฑ์ต่าง ๆ ในกระบวนการ KYC ให้รัดกุมเพื่อป้องกันการใช้สถาบันการเงินเป็นช่องทางในการฟอกเงิน และเพื่อคุ้มครองความปลอดภัยของทรัพย์สิน และป้องกันการทุจริตหรือปลอมแปลงโดยการใช้ข้อมูลทางการเงินโดยมิชอบ
ในอดีต การเปิดบัญชีจำเป็นต้องมาแสดงตนที่สำนักงานสาขาเท่านั้นจึงจะสามารถรับบริการได้ (Face to Face) ซึ่งข้อด้อย คือ การเปิดบัญชียังคงต้องเดินทางมาที่ธนาคาร และการปลอมตัวตน/เอกสาร หรือใช้ข้อมูลของบุคคลอื่นในการเปิดบัญชีเป็นเรื่องที่เกิดขึ้นได้
ต่อมาในปี 62 ธปท. จึงปรับเกณฑ์ให้การเปิดบัญชีไม่ต้องมาที่ธนาคารก็ได้ และสามารถทำ KYC โดยวิธีไม่พบเห็นลูกค้าต่อหน้า (Non-Face to Face) ประกอบกับอนุญาตให้ใช้เทคโนโลยีเปรียบเทียบข้อมูลชีวมิติของลูกค้า (Biometric Comparison) ตามมาตรฐานที่ ธปท. กำหนด ดังนั้น ประกาศ ธปท. ปี 62 จึงถือเป็นจุดเริ่มต้นในการยอมรับ Biometric Comparison และเป็นการส่งเสริมให้กระบวน e-KYC มีมาตรฐานไม่ต่างไม่จากกรณีการพบเห็นลูกค้าต่อหน้า
Biometrics กับการให้บริการทางการเงิน
ในเดือน ก.ค. 63 ที่ผ่านมา ธปท. ได้ออกเกณฑ์เรื่อง แนวปฏิบัติการใช้เทคโนโลยีชีวมิติ (Biometric Technology) ในการให้บริการทางการเงิน ซึ่งเป็นการกำหนดหลักเกณฑ์ในการทำ KYC ที่ประยุกต์ใช้ Biometrics เพื่อตรวจสอบความถูกต้องในการรู้จักตัวตนลูกค้า โดยสถาบันการเงินที่ประสงค์จะใช้ Biometrics ต้องเข้าทดสอบใน Sandbox ของ ธปท. ก่อน และต้องมีการเปรียบเทียบข้อมูลชีวมิติของบุคคลกับแหล่งข้อมูลที่เชื่อถือได้ (บัตรประจำตัวประชาชน หนังสือเดินทาง) ทั้งนี้ ต้องมีการใช้เทคโนโลยีที่ตรวจจับการปลอมแปลงชีวมิติควบคู่ไปด้วย และต่อมาหาก Biometric Technology ผ่านการทดสอบจาก Sandbox แล้ว สถาบันการเงินสามารถปรับใช้กับบริการอื่น ๆ นอกจากบริการเปิดบัญชีเงินฝากได้หากมีการทำ KYC ในลักษณะเดียวกัน แต่หากบริการดังกล่าวมีลักษณะที่แตกต่างหรือเป็นธุรกรรมที่มีความเสี่ยงมากจำเป็นต้องปรึกษา ธปท. ก่อนให้บริการ
Biometrics คือ e-Signature ภายใต้กฎหมายธุรกรรมอิเล็กทรอนิกส์
“e-Signature” ตามกฎหมายธุรกรรมทางอิเล็กทรอนิกส์ หมายถึง การสร้างชุดข้อมูลอิเล็กทรอนิกส์ (รูปแบบ ตัวเลข อักษร เสียง หรือสัญลักษณ์อื่นใด) เพื่อให้แสดงความสัมพันธ์กับบุคคลผู้เป็นเจ้าของชุดข้อมูล (เจ้าของลายมือชื่อ) ดังนั้น ข้อมูลอิเล็กทรอนิกส์ที่สร้างขึ้นมาต้องสามารถระบุตัวตนหรือเชื่อมโยงไปยังบุคคลผู้เป็นเจ้าของข้อมูลดังกล่าวได้ หรืออาจกล่าวได้ว่า e-Signature คือ การใช้เทคโนโลยีในการสร้างเครื่องยืนยันตัวตนของบุคคลในรูปแบบดิจิทัล ซึ่งให้ผลไม่ต่างจากการจับปากกาเซ็นบนกระดาษเพื่อยืนยันตัวตนและรับรองข้อความ
สำหรับเทคโนโลยี Biometrics ก็เช่นกัน ถือเป็น e-Signature ประเภทหนึ่งที่ใช้เพื่อยืนยันตัวบุคคลในกระบวนการตรวจสอบตัวตนทางอิเล็กทรอนิกส์ ซึ่งเป็นการให้บริการที่ไม่จำเป็นต้องพบหน้าลูกค้าในแบบเดิม
และไม่มีแบบฟอร์มใด ๆ อยู่ในรูปกระดาษ ดังนั้น การที่ท่านยืนยันตัวตนผ่านระบบ Biometrics ของธนาคาร จึงมีค่าไม่ต่างไปจากการการลงลายมือชื่อเพื่อยืนยัน/รับรองการทำธุรกรรมต่อหน้าเจ้าหน้าที่ธนาคาร
นอกจากนี้ สำหรับธนาคาร กระบวนการจัดการและเก็บรักษาข้อมูลต้องคำนึงถึงหลักการของ “วงจรเอกสารอิเล็กทรอนิกส์” ภายใต้กฎหมายธุรกรรมทางอิเล็กทรอนิกส์ด้วย กล่าวคือ ควรออกแบบระบบในลักษณะ By design เพื่อจัดเก็บข้อมูลโดยความหมายไม่เปลี่ยนแปลงตั้งแต่แรกสร้าง และประกันการแสดงข้อความให้ปรากฎได้อย่างถูกต้องและครบถ้วนในภายหลัง
Biometrics ภายใต้กฎหมายข้อมูลส่วนบุคคล
Biometrics ถือเป็น ข้อมูลอ่อนไหว (Sensitive Data) ประเภท “ข้อมูลชีวภาพ” หรือ “ข้อมูลส่วนบุคคลที่เกิดจากการใช้เทคโนโลยีที่เกี่ยวข้องกับการนำลักษณะเด่นทางกายภาพหรือทางพฤติกรรมของบุคคลมาใช้ทำให้สามารถยืนยันตัวตนของบุคคลนั้นที่ไม่เหมือนกับบุคคลอื่นได้ เช่น ข้อมูลจำลองใบหน้า ...” (ม.26 พ.ร.บ.ข้อมูลส่วนบุคคล) ดังนั้น เมื่อถูกจัดอยู่ในกลุ่มอ่อนไหว ก็แปลว่า กฎหมายจะให้ความคุ้มครองเป็นพิเศษเนื่องจากเป็นข้อมูล ที่เป็นเรื่องเฉพาะตัวของบุคคลโดยแท้ และหากถูกเปิดเผยโดยไม่ชอบก็จะมีความเสี่ยงในการถูกปฏิบัติอย่างไม่เป็นธรรมได้โดยง่าย ดังนั้น ถ้อยคำในกฎหมายจึงระบุชัดเจนว่า “ห้าม” ทำการเก็บรวบรวมโดยปราศจากความยินยอมโดย “ชัดแจ้ง” จากเจ้าของข้อมูล ซึ่ง “ชัดแจ้ง” ในที่นี้แม้กฎหมายไม่ได้อธิบายว่าต้องดำเนินการอย่างไร แต่ก็สามารถตีความได้ว่า ก่อนจะมีการเก็บข้อมูลอัตลักษณ์ไปประมวลผล จะต้องมีการขอความยินยอมก่อนเสมอ และจะต้องกระทำอย่างไม่คลุมเครือเพื่อให้เจ้าของข้อมูลเข้าใจถึงวัตถุประสงค์ในการเก็บได้อย่างถูกต้อง
ดังนั้น ในทางปฏิบัติ ผู้ให้บริการควรต้องแยกส่วนของถ้อยคำในการขอความยินยอมดังกล่าวออกจากเงื่อนไขในการให้บริการอื่นๆ ให้ชัดเจน เพราะจะเป็นการเอื้อต่อการแสดงเจตนายินยอมโดยอิสระของเจ้าของข้อมูลในการให้ใช้ข้อมูลอัตลักษณ์
คดีละเมิดข้อมูล Biometrics
ในต่างประเทศ คดีละเมิดข้อมูล Biometrics มีให้เห็นบ่อยครั้ง เช่น คดี Home Depot บริษัทผู้ค้าปลีกวัสดุก่อสร้างและของตกแต่งบ้านในสหรัฐฯ ที่โดนฟ้องคดีแบบกลุ่ม (Class Action) จากลูกค้าที่อ้างว่า บริษัทได้เก็บข้อมูลชีวมิติ เช่น ข้อมูลภาพใบหน้า ผ่านระบบกล้องวงจรปิดเพื่อติดตามพฤติกรรมการซื้อสินค้าภายในร้าน หรือคดี Google ที่ถูกฟ้องแบบ Class Action ในสหรัฐฯ เรื่องการใช้ข้อมูลภาพใบหน้าเช่นกัน โดยถูกกล่าวอ้างว่าบริการ Google photos service ได้นำภาพใบหน้าของผู้ใช้บริการไปใช้โดยปราศจากความยินยอม
ท้ายที่สุด ผู้ให้บริการที่จะใช้เทคโนโลยี Biometrics นั้น นอกจากจะต้องศึกษาข้อกฎหมายที่เกี่ยวข้องอย่างรอบคอบแล้ว การลงทุนในเรื่องความปลอดภัยของข้อมูลก็มิอาจมองข้ามได้ เพราะหากองค์กรของท่านโดน Hack ข้อมูล Biometrics แล้ว ผู้ได้รับความเสียหายจะสูญเสียข้อมูลอัตลักษณ์ที่ไม่อาจกู้คืนได้
[ บทความนี้เป็นความเห็นส่วนตัวของผู้เขียน ]