Face Recognition กับข้อคิดทางกฎหมาย

Face Recognition กับข้อคิดทางกฎหมาย

ยังมีข้อห่วงกังวลถึงเทคโนโลยีจดจำใบหน้า ว่าจะเป็นการละเมิดสิทธิส่วนบุคคลและสิทธิขั้นพื้นฐานหรือไม่ ซึ่งในกฎหมายไทยนั้น ถือเป็นข้อมูลอ่อนไหว ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล นั่นหมายความว่ากฎหมายจะให้ความคุ้มครองเป็นพิเศษ

ฉบับนี้ ผู้เขียนจะขอกล่าวถึงประเด็นทางกฎหมายกับเทคโนโลยีการประมวลผลและจดจำใบหน้า หรือ Face Recognition

ส่วนตัวผู้เขียนเห็นว่า เทคโนโลยีเปรียบเทียบข้อมูลชีวมิติ (Biometric comparison) จะช่วยอำนวยความสะดวกในการทำธุรกรรมของทั้งภาครัฐและเอกชน แต่ในทางกลับกันก็มีประเด็นที่น่าสนใจที่ควรพิจารณา ด้วยเมื่อกลางเดือน ม.ค.ที่ผ่านมา คณะกรรมการสภาผู้แทนราษฎรของสหรัฐ ได้การกล่าวถึงความเป็นไปได้และความจำเป็นในการออกกฎหมายเพื่อควบคุมการใช้เทคโนโลยี Face Recognition ดังกล่าว 

Face Recognition คืออะไร

หลักการในการทำงานของ Face Recognition คือ การพัฒนาการทำงานของ AI ด้วยระบบประมวลผลแบบ Machine learning เพื่อหาความสัมพันธ์และตรรกะของชุดข้อมูลเพื่อให้ได้ผลลัพธ์ในรูปแบบอัตโนมัติ หรืออีกนัย คือการให้ Machine หาความสัมพันธ์ของข้อมูล เพื่อให้ได้ผล (output) ตามเป้าหมายหรือแผนงานที่ตั้งไว้ ดังนั้น ในกรณีของ Face recognition ผู้สร้างโปรแกรมจะใส่ภาพใบหน้าของบุคคลต่างๆ จำนวนมาก และให้ AI หาความสัมพันธ์ว่าใครเป็นใคร โดยให้พิจารณาความแตกต่างบนใบหน้าของบุคคล (พิจารณาและหาความสัมพันธ์ของชุดข้อมูล) เพื่อให้ได้ผลลัพธ์ คือ การระบุและยืนยันตัวตนของแต่ละบุคคลได้อย่างถูกต้อง 

การใช้ Face Recognition ในปัจจุบัน 

ในปัจจุบัน AI ได้ถูกพัฒนาให้สามารถจับรูปใบหน้าของบุคคลที่มีการเคลื่อนไหวได้ ดังนั้น นอกจากประโยชน์ของภาคธุรกิจที่นำมาปรับใช้เพื่อเป็นวัตถุประสงค์ในการยืนยันตัวตนแบบ Face ID แล้ว ในสหรัฐหน่วยงานตรวจคนเข้าเมือง(Customs and Border Protection) ยังได้ทำการศึกษาร่วมกับสายการบินเพื่อนำเทคโนโลยีนี้มาใช้ในสนามบิน ตั้งแต่การตรวจสอบคนเข้าออกไปจนถึงการออกตั๋วโดยสาร โดยใช้ฐานข้อมูลที่เชื่อมโยงกับข้อมูลของกระทรวงความมั่นคงแห่งมาตุภูมิ (Department of Homeland Security) ซึ่งระบบดังกล่าว เริ่มติดตั้งในหลายสนามบินทั่วสหรัฐตั้งแต่ปีก่อน ดังนั้น ตามกฎหมายคนเข้าเมือง สหรัฐ U.S. citizen จึงจำเป็นต้องให้ข้อมูล Biometrics ดังกล่าว ในขณะที่คนต่างชาติสามารถเลือกปฏิเสธการให้ข้อมูลเช่นว่าได้ตามเงื่อนไขที่กฎหมายกำหนด 

ประเด็นข้อโต้แย้งในทางกฎหมาย

จากการใช้งานที่หลากหลายของ Face Recognition จึงเป็นที่มาของการเสนอกฎหมายควบคุมการใช้เทคโนโลยีดังกล่าว ซึ่งเหตุผลที่คณะกรรมการยกขึ้นมาถกกันนั้น มีหลายประเด็น ประเด็นแรก คือ การละเมิดสิทธิส่วนบุคคลและอาจขัดกับสิทธิขั้นพื้นฐานที่กำหนดไว้ในรัฐธรรรมนูญ ซึ่งเชื่อมโยงไปยังประเด็นที่ 2 คือ เรื่องความถูกต้องของเทคโนโลยี โดยข้อมูลจากการศึกษาของสถาบันมาตรฐานและเทคโนโลยีของสหรัฐ (NIST) พบว่า Accuracy Rate ของ Algorithms ที่นำมาใช้ในการตรวจสอบใบหน้านั้น ไม่ได้ให้ผลถูกต้องเสมอไป ในการอภิปรายระบุว่า ข้อผิดพลาดมักเกิดขึ้นกับการยืนยันตัวบุคคลที่มีผิวสีและใบหน้าของคนเอเซีย และโดยทั่วไปเทคโนโลยีมักทำนายผลของเพศหญิงคลาดเคลื่อนมากกว่าเพศชาย

ดังนั้น เมื่อความถูกต้องของเทคโนโลยีอาจมีประเด็นเรื่องการละเมิดสิทธิส่วนบุคคล (Privacy and Civil Rights) และการล่วงล้ำเสรีภาพของพลเมือง (Civil Liberty) ก็จะเกิดความเสี่ยงในการนำมา Algorithms ดังกล่าวมาปรับใช้ในกระบวนการยุติธรรม คณะกรรมการจึงได้ตั้งขอสันนิษฐานไปถึงข้อผิดพลาดอันอาจส่งผลต่อการกล่าวหาผู้บริสุทธิ์ ประกอบกับปัจจุบัน ผู้ให้บริการบางรายได้มีการเก็บข้อมูลใบหน้าของผู้ใช้บริการเพื่อประโยชน์ในทางพาณิชย์ไว้อยู่ก่อนแล้ว ซึ่งข้อมูลเหล่านี้ล้วนแล้วแต่เป็นข้อมูลส่วนบุคคลที่พึ่งต้องทำตามขั้นตอนของกฎหมายทั้งสิ้น 

บริบทกฎหมายไทย 

หากย้อนกลับมาดูกฎหมายไทย เทคโนโลยี Face Recognition ถือเป็นข้อมูลอ่อนไหว (Sensitive Data) หรือข้อมูลที่เป็นเรื่องส่วนตัวของบุคคลโดยแท้ตามความในมาตรา 26 ของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ซึ่งตามมาตราดังกล่าวเรียกข้อมูลประเภทนี้ว่า “ข้อมูลชีวภาพ” หรือ “ข้อมูลส่วนบุคคลที่เกิดจากการใช้เทคโนโลยีที่เกี่ยวข้องกับการนำลักษณะเด่นทางกายภาพหรือทางพฤติกรรมของบุคคลมาใช้ทำให้สามารถยืนยันตัวตนของบุคคลนั้นที่ไม่เหมือนกับบุคคลอื่นได้ เช่น ข้อมูลจำลองใบหน้า ... ” 

เมื่อถูกจัดอยู่ในกลุ่มอ่อนไหว ก็หมายความว่า กฎหมายจะให้ความคุ้มครองเป็นพิเศษเนื่องจากเป็นข้อมูลที่เป็นเรื่องเฉพาะตัว และหากถูกเปิดเผยโดยไม่ชอบก็จะมีความเสี่ยงในการถูกปฏิบัติอย่างไม่เป็นธรรมได้โดยง่าย ดังนั้น ถ้อยคำในกฎหมายจึงระบุชัดเจนว่า ห้าม ทำการเก็บรวบรวมโดยปราศจากความยินยอมโดย “ชัดแจ้ง” จากเจ้าของข้อมูล ซึ่งชัดแจ้งในที่นี้แม้กฎหมายไม่ได้อธิบายว่าต้องดำเนินการอย่างไร แต่ก็สามารถ ตีความได้ว่า ก่อนจะมีการเก็บข้อมูลใบหน้าไปประมวลผลนั้น จะต้องมีการขอความยินยอมก่อนเสมอ และจะต้องกระทำอย่างไม่คลุมเครือ เพื่อให้เจ้าของข้อมูลเข้าใจถึงวัตถุประสงค์ในการเก็บได้อย่างถูกต้อง 

ดังนั้น ในทางปฏิบัติ ต้องแยกส่วนของถ้อยคำในการขอความยินยอมดังกล่าวออกจากเงื่อนไขในการให้บริการอื่นๆ ให้ชัดเจน เพราะจะเป็นการเอื้อต่อการแสดงเจตนายินยอมโดยอิสระของเจ้าของข้อมูลในการให้ใช้ข้อมูลจำลองใบหน้านั้น (ซึ่งเมื่อเป็นฐานความยินยอม เจ้าของข้อมูลอาจปฏิเสธ หรือยกเลิกความยินยอมดังกล่าวในอนาคตได้) 

นอกจากนี้ หากมองในภาคธุรกิจ ปัจจุบันกฎหมายไทยก็ให้การยอมรับการใช้ face recognition ภายใต้กรอบการกำกับดูแลของธนาคารแห่งประเทศไทย พิจารณาได้จากประกาศ ธปท. ที่ สนส. 19/2562 เรื่องเกณฑ์ KYC สำหรับการเปิดบัญชีเงินฝากของสถาบันการเงิน ที่อนุญาตให้สถาบันการเงินสามารถเปิดบัญชีเงินฝากได้แบบ Non face-to-face โดยสถาบันการเงินอาจเลือกใช้ Biometrics ในรูปแบบต่างๆ รวมถึง Face Recognition เพื่อวัตถุประสงค์ในการพิสูจน์ยืนยันตัวตนลูกค้า 

ทั้งนี้ เทคโนโลยีแบบใหม่ที่เลือกใช้นั้นจะต้องเข้าร่วมทดสอบตามเกณฑ์ Regulatory Sandbox ด้วย ประกอบกับในอนาคตอันใกล้ หากร่าง พ.ร.ฎ. ที่ออกตามความในกฎหมาย Digital ID เสร็จสมบูรณ์ เราจะได้เห็นการประกอบธุรกิจบริการเกี่ยวกับระบบการพิสูจน์ยืนยันตัวตนทางดิจิทัลอย่างเป็นรูปธรรมในประเทศไทย

ท้ายที่สุด ผู้เขียนเชื่อว่า Eco system ในทางกฎหมายของไทยค่อนข้างสนับสนุนการพัฒนาเทคโนโลยีเปรียบเทียบข้อมูลทางชีวภาพ อย่างไรก็ดี ผู้ควบคุมข้อมูลดังกล่าวพึงต้องมีมาตรฐานในการดูแลข้อมูลอ่อนไหวเหล่านี้อย่างมีประสิทธิภาพ เพื่อป้องกันปัญหาข้อพิพาทในทางกฎหมายที่เป็นเหรียญอีกด้านหนึ่งของเรื่องนี้