การพิสูจน์ตัวตนด้วยหัวใจ (Heartprint)

การพิสูจน์ตัวตนด้วยหัวใจ (Heartprint)

หน่วยงานในสหรัฐอเมริกาได้ใช้ข้อมูลชีวภาพของหัวใจ หรือที่เรียกกันว่า Heartprint ในการระบุตัวตน เช่นเดียวกับการสแกนรูม่านตาหรือลายนิ้วมือ

HIGHLIGHTS

  • การใช้ข้อมูล Heartprint ในการระบุตัวตน
  • โลกอนาคตกับเทคโนโลยี Heartprint ในโรงพยาบาล
  • การให้ความยินยอมและความเสี่ยงในการละเมิดข้อมูลส่วนบุคคลในการประมวลผลข้อมูลชีวภาพ

    ท่านผู้อ่านคงจะทราบดีอยู่แล้วว่า ปัจจุบันมีการใช้เทคโนโลยีมากมายที่ใช้ข้อมูลส่วนบุคคล ที่เก็บจากลักษณะเด่นทางกายภาพของบุคคล หรือที่เรียกว่าข้อมูลทางชีวภาพเพื่อใช้ในการพิสูจน์ตัวตน (Biometrics) อาทิ การสแกนลายนิ้วมือในการทำธุรกรรมทางการเงิน การสแกนรูม่านตาในการปลดล็อคโทรศัพท์มือถือ การสแกนโครงหน้าเพื่อการสืบสวนสอบสวน เป็นต้น แต่ท่านผู้อ่านจะรู้ไหมว่านอกจากการสแกนลายนิ้วมือ รูม่านตา หรือการใช้โครงหน้าเพื่อพิสูจน์ตัวตนแล้ว หัวใจของคนเราก็สามารถใช้พิสูจน์ตัวตนได้เช่นกัน 

    ในประเทศสหรัฐอเมริกา หน่วยงาน The Combating Terrorism Technical Support Office หรือ CTTSO ได้ใช้ข้อมูลชีวภาพของหัวใจ เช่น ลักษณะการเต้นของหัวใจ ขนาด รูปร่าง และการสูบฉีดเลือดของหัวใจ หรือที่เรียกกันว่า “Heartprint” ซึ่งเป็นลักษณะเฉพาะตัวของบุคคลในการพิสูจน์ตัวตนเพื่อประโยชน์ทางการทหาร โดยการพิสูจน์ตัวตนดังกล่าวทำโดยใช้เทคโนโลยีการยิงเลเซอร์ที่เรียกว่า laser vibrometer ในการประมวลผล Heartprint สิ่งที่น่าสนใจของเทคโนโลยีนี้คือ ความสามารถในการระบุตัวบุคคลแม้ตัวเจ้าของข้อมูลจะสวมใส่เสื้อผ้าอยู่และอยู่ห่างออกไปถึง 200 เมตร ซึ่งเทคโนโลยีนี้เป็นการแก้ปัญหาการระบุตัวตนผ่านการตรวจจับโครงหน้าของบุคคล เพราะหากตัวบุคคลนั้นสวมใส่หน้ากากหรือใส่แว่นปิดตาเพื่ออำพรางหน้าของเขาการระบุตัวตนก็อาจจะทำได้ยากขึ้น

    นอกจากนี้ มีงานวิจัยจากมหาวิทยาลัย The State University of New York ซึ่งวิเคราะห์ความน่าเชื่อถือของเทคโนโลยีระบุตัวตนโดยใช้ข้อมูล Heartprint จากกลุ่มตัวอย่างบุคคลที่อยู่ห่างออกไปกว่า 20 เมตร ซึ่งในงานวิจัยนี้เรียกว่า Cardiac Scan จากงานวิจัยพบว่า Cardiac Scan ให้ผลลัพธ์ที่ค่อนข้างแม่นยำถึงร้อยละ 98.61 การระบุตัวตนโดยใช้ข้อมูล Heartprint เป็นเทคโนโลยีที่มีจุดเด่นในเรื่องของการตรวจจับที่ครอบคลุมระยะทางที่ไกลและตรวจจับได้ภายใต้สภาพสิ่งแวดล้อมที่หลากหลาย เช่น ในที่มืดหรือมีแสงน้อย และยากต่อการปกปิด

    ในปัจจุบันมีการใช้ข้อมูล Heartprint ในโรงพยาบาลต่าง ๆ ถึงแม้ว่าอาจจะยังไม่ได้ใช้ในแง่ของการระบุตัวตน แต่ก็ใช้เพื่อประโยชน์ในการรักษาโรค ตัวอย่างเช่น การประเมินการสูบฉีดของเลือดและความผิดปกติของหัวใจ ซึ่งในอนาคตอาจมีการใช้ข้อมูล Heartprint ทั้งในแง่การรักษาโรคและการระบุตัวตน ลองจินตนาการว่าจะเป็นเช่นไร หากในอนาคตผู้ป่วยสามารถใช้เทคโนโลยีในการส่งต่อข้อมูลชีวภาพของหัวใจของตนไปยังหมอโรคหัวใจผ่านทางระบบคอมพิวเตอร์ที่บ้านโดยไม่จำเป็นต้องเดินทางไปที่โรงพยาบาล โรงพยาบาลเมื่อได้รับข้อมูล Heartprint แล้วก็สามารถพิสูจน์ตัวตนของคนไข้ได้และนำข้อมูลดังกล่าวมาประมวลผลอาการของคนไข้รวมทั้งวางแผนระบบการรักษาให้กับคนไข้ได้อย่างทันท่วงที 

    อย่างไรก็ดี หากเหตุการณ์ดังกล่าวเกิดขึ้นในประเทศไทยและข้อมูลชีวภาพนั้นถูกจัดเก็บหรือใช้ภายในโรงพยาบาลเอกชนของไทย ผู้เขียนได้ตั้งข้อสังเกตเกี่ยวกับประเด็นทางกฎหมายอันเกี่ยวข้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ดังต่อไปนี้

    1. ประเด็นการให้ความยินยอมในการประมวลผลข้อมูล

    เนื่องจากข้อมูล Heartprint นั้นเป็นข้อมูลชีวภาพที่เกิดจากการใช้เทคโนโลยีที่เกี่ยวข้องกับการนำลักษณะเด่นทางกายภาพของบุคคลซึ่งสามารถใช้ระบุตัวตนของบุคคลได้ ทำให้ข้อมูล Heartprint เป็นหนึ่งในข้อมูลส่วนบุคคล ซึ่งในการเก็บ ใช้ หรือเปิดเผย โดยอาจเรียกรวมกันว่าการประมวลผล จะต้องถูกควบคุมภายใต้พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ โดยเฉพาะอย่างยิ่งข้อมูลชีวภาพเป็นหนึ่งในข้อมูลตามมาตรา 26 ของพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ หรือที่เรียกกันว่า sensitive data/special categories ซึ่งเมื่อโรงพยาบาลในฐานะผู้ควบคุมข้อมูลส่วนบุคคลจะกระทำการประมวลผลข้อมูลส่วนบุคคลจะต้องได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลและต้องอยู่ภายในกรอบวัตถุประสงค์ที่เจ้าของข้อมูลได้ให้ความยินยอมไว้ เว้นแต่โรงพยาบาลจะประมวลผลข้อมูลดังกล่าวภายใต้ข้อยกเว้นไม่ต้องได้รับความยินยอมจากเจ้าของข้อมูล

    ยกตัวอย่างเช่น (ก) การประมวลผลข้อมูลเป็นการกระทำเพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกายหรือสุขภาพของเจ้าของข้อมูลส่วนบุคคล โดยที่เจ้าของข้อมูลไม่อาจให้ความยินยอมได้ไม่ว่าด้วยกรณีใดก็ตาม หรือ (ข) เป็นการกระทำด้วยความจำเป็นในการปฏิบัติตามกฎหมายเพื่อในบรรลุวัตถุประสงค์เกี่ยวกับการวินิจฉัยโรคทางการแพทย์ แต่หากการกระทำนั้นไม่ได้เป็นการปฏิบัติตามกฎหมายและข้อมูลดังกล่าวอยู่ในความรับผิดชอบของผู้ประกอบวิชาชีพหรือผู้มีหน้าที่รักษาข้อมูลส่วนบุคคลนั้นไว้เป็นความลับตามกฎหมาย การประมวลผลข้อมูลนั้นก็จะต้องปฏิบัติตามฐานสัญญาระหว่างเจ้าของข้อมูลและผู้ประกอบวิชาชีพทางการแพทย์

    2.ประเด็นความเสี่ยงอันเกิดจากการละเมิดข้อมูลส่วนบุคคล

    หากในอนาคต โรงพยาบาลมีการประมวลผลข้อมูล Heartprint ของคนไข้แล้วเกิดเหตุการณ์ข้อมูลนั้นถูกโจรกรรมไปจากระบบฐานข้อมูลของโรงพยาบาล โรงพยาบาลในฐานะผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ที่จะต้องแจ้งเหตุการละเมิดนั้นแก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลโดยไม่ชักช้า ภายใน 72 ชั่วโมงนับแต่ทราบเหตุละเมิด และในกรณีที่การละเมิดนั้นมีความเสี่ยงสูงที่จะกระทบต่อสิทธิและเสรีภาพของบุคคล โรงพยาบาลจะต้องแจ้งเหตุการละเมิดให้คนไข้ซึ่งเป็นเจ้าของข้อมูลทราบพร้อมทั้งมีแนวทางการเยียวยาโดยไม่ชักช้า ตามมาตรา 37(4) แห่งพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ นอกจากนี้ มาตรานี้ยังได้วางหลักเกณฑ์และวิธีการแจ้งรวมถึงข้อยกเว้นไว้ ซึ่งในขณะนี้ยังอยู่ระหว่างการรอประกาศออกมาจากทางคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

                ในกรณีที่คนไข้หรือเจ้าของข้อมูลส่วนบุคคลสามารถพิสูจน์ได้ว่าตนได้รับความเสียหายจากการโจรกรรมข้อมูล และหากพิสูจน์ได้ว่าความเสียหายนั้นเกิดจากการดำเนินการใด ๆ อันเป็นการฝ่าฝืนหรือไม่ปฏิบัติตามบทบัญญัติตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ไม่ว่าการดำเนินการหรือการไม่ปฏิบัติตามกฎหมายนั้นจะกระทำไปโดยจงใจหรือประมาทเลินเล่อก็ตาม (strict liability) โรงพยาบาลก็อาจจะต้องรับผิดทางแพ่งตามมาตรา 77 โดยต้องชดใช้ค่าสินไหมทดแทนให้แก่เจ้าของข้อมูล เว้นแต่พิสูจน์ได้ว่าความเสียหายนั้นเกิดจากเหตุสุดวิสัย นอกจากนี้ ศาลก็อาจสั่งให้โรงพยาบาลจ่ายค่าสินไหมทดแทนเพื่อการลงโทษเพิ่มขึ้นได้อีกไม่เกินสองเท่าของค่าสินไหมทดแทนที่แท้จริง หรือซ้ำร้ายกว่านั้น หากความเสียหายส่งผลกระทบในวงกว้าง ก็อาจนำมาซึ่งการถูกฟ้องคดีแบบกลุ่มก็อาจเป็นไปได้.

    *บทความโดย ศุภวัชร์ มาลานนท์ คณะนิติศาสตร์ มหาวิทยาลัยสงขลานครินทร์, Max Planck Institute Luxembourg

    ญาดา หงส์ชยางกูร DFDL (Thailand) Limited