'Biometrics' กฎหมาย เทคโนโลยี และการใช้งาน
"Biometrics" เทคโนโลยีพิสูจน์ตัวตน ที่ปัจจุบันถูกนำมาใช้ในการบริการทางการเงิน ไม่ว่าจะเป็นการสแกนใบหน้า ลายนิ้วมือ เช่น การเปิดบัญชีโดยไม่ต้องไปธนาคาร นั่นเท่ากับว่าเทคโนโลยีนี้เป็น e-Signature โดยปริยาย ในลักษณะนี้มีกฎหมายคุ้มครองผู้บริโภคหรือไม่?
Biometrics เป็นเทคโนโลยีที่ช่วยอำนวยความสะดวกให้กิจกรรมทางเศรษฐกิจยังดำเนินอยู่ได้แบบไร้การสัมผัส อย่างไรก็ดี ในมุมกฎหมายและการใช้งาน มีอะไรอีกบ้างที่เราควรทราบ
Biometrics คือ เทคโนโลยีที่ใช้ยืนยัน/พิสูจน์ตัวตนบุคคล โดยนำลักษณะทางกายภาพ เช่น ลายนิ้วมือ รูม่านตา และโครงสร้างใบหน้า หรือพฤติกรรมเฉพาะของแต่ละบุคคล เช่น ลักษณะการเดิน การเคลื่อนไหวของมือ เสียงพูด มาใช้ในการจำแนก
- การพัฒนา Biometrics ในกระบวนการ KYC
Know Your Customer คือ กระบวนการที่ผู้ให้บริการต้องดำเนินการเพื่อพิสูจน์ตัวตนลูกค้าว่าเป็นบุคคลนั้นจริง สำหรับภาคการเงิน การทำ KYC คือด่านแรกในการทำความรู้จักลูกค้าก่อนให้บริการ ดังนั้น กฎหมายจึงต้องกำหนดหลักเกณฑ์กระบวนการ KYC ให้รัดกุมเพื่อป้องกันการใช้สถาบันการเงินเป็นช่องทางฟอกเงิน และเพื่อคุ้มครองความปลอดภัยของทรัพย์สิน และป้องกันการทุจริต ใช้ข้อมูลทางการเงินโดยมิชอบ
ในอดีตการเปิดบัญชีจำเป็นต้องมาแสดงตนที่สำนักงานสาขาเท่านั้น (Face to Face) ซึ่งข้อด้อยคือต้องเดินทางมาที่ธนาคาร และการปลอมตัวตน/เอกสาร หรือใช้ข้อมูลของบุคคลอื่นในการเปิดบัญชีเป็นเรื่องที่เกิดขึ้นได้
ต่อมาในปี 2562 ธปท.จึงปรับเกณฑ์ให้การเปิดบัญชี สามารถทำ KYC โดยวิธีไม่พบเห็นลูกค้าต่อหน้า (Non-Face to Face) ประกอบกับอนุญาตให้ใช้เทคโนโลยีเปรียบเทียบข้อมูลชีวมิติของลูกค้า (Biometric Comparison) ตามมาตรฐานที่ ธปท.กำหนด ดังนั้นประกาศ ธปท.ปี 2562 จึงถือเป็นจุดเริ่มต้นในการยอมรับ Biometric Comparison และเป็นการส่งเสริมให้กระบวน e-KYC ที่มีมาตรฐานสูงขึ้น
- Biometrics กับการให้บริการทางการเงิน
ในเดือน ก.ค.2563 ที่ผ่านมา ธปท.ได้ออกเกณฑ์ “แนวปฏิบัติการใช้เทคโนโลยีชีวมิติ (Biometric Technology)” เป็นการกำหนดหลักเกณฑ์ในการทำ KYC ที่ประยุกต์ใช้ Biometrics เพื่อตรวจสอบความถูกต้องในการรู้จักตัวตนลูกค้า โดยสถาบันการเงินที่ประสงค์จะใช้ Biometrics ต้องเข้าทดสอบใน Sandbox ของ ธปท.ก่อน และต้องมีการเปรียบเทียบข้อมูลชีวมิติของบุคคลกับแหล่งข้อมูลที่เชื่อถือได้ (บัตรประชาชน หนังสือเดินทาง) ทั้งนี้ ต้องมีการใช้เทคโนโลยีที่ตรวจจับการปลอมแปลงชีวมิติควบคู่ไปด้วย
และต่อมาหาก Biometric Technology ผ่านการทดสอบแล้ว สถาบันการเงินสามารถปรับใช้กับบริการอื่นๆ นอกจากบริการเปิดบัญชีเงินฝากได้หากมีการทำ KYC ในลักษณะเดียวกัน แต่หากบริการดังกล่าวมีลักษณะที่แตกต่างหรือเป็นธุรกรรมที่มีความเสี่ยงมากจำเป็นต้องปรึกษา ธปท.ก่อนให้บริการ
- Biometrics คือ e-Signature ภายใต้กฎหมายธุรกรรมอิเล็กทรอนิกส์
“e-Signature” ตามกฎหมายธุรกรรมทางอิเล็กทรอนิกส์ หมายถึง การสร้างชุดข้อมูลอิเล็กทรอนิกส์ (รูปแบบ ตัวเลข อักษร เสียง หรือสัญลักษณ์อื่นใด) เพื่อให้แสดงความสัมพันธ์กับบุคคลผู้เป็นเจ้าของชุดข้อมูล (เจ้าของลายมือชื่อ) ดังนั้น ข้อมูลอิเล็กทรอนิกส์ที่สร้างขึ้นมาต้องสามารถระบุตัวตนหรือเชื่อมโยงไปยังบุคคลผู้เป็นเจ้าของข้อมูลดังกล่าวได้
หรืออาจกล่าวได้ว่า e-Signature คือการใช้เทคโนโลยีในการสร้างเครื่องยืนยันตัวตนของบุคคลในรูปแบบดิจิทัล ซึ่งให้ผลไม่ต่างจากการจับปากกาเซ็นบนกระดาษเพื่อยืนยันตัวตนและรับรองข้อความ
สำหรับเทคโนโลยี Biometrics ก็เช่นกัน ถือเป็น e-Signature ประเภทหนึ่งที่ใช้เพื่อยืนยันตัวบุคคลในกระบวนการตรวจสอบตัวตนทางอิเล็กทรอนิกส์ ซึ่งเป็นการให้บริการที่ไม่จำเป็นต้องพบหน้าลูกค้าในแบบเดิม และไม่มีแบบฟอร์มใดๆ อยู่ในรูปกระดาษ ดังนั้น การที่ท่านยืนยันตัวตนผ่านระบบ Biometrics ของธนาคาร จึงมีค่าไม่ต่างไปจากการลงลายมือชื่อเพื่อยืนยัน/รับรองการทำธุรกรรมต่อหน้าเจ้าหน้าที่ธนาคาร
นอกจากนี้ สำหรับธนาคาร กระบวนการจัดการและเก็บรักษาข้อมูลต้องคำนึงถึงหลักการของ “วงจรเอกสารอิเล็กทรอนิกส์” ภายใต้กฎหมายธุรกรรมทางอิเล็กทรอนิกส์ด้วย กล่าวคือควรออกแบบระบบในลักษณะ By design เพื่อจัดเก็บข้อมูลโดยความหมายไม่เปลี่ยนแปลงตั้งแต่แรกสร้าง และประกันการแสดงข้อความให้ปรากฏได้อย่างถูกต้อง ครบถ้วนในภายหลัง
- Biometrics ภายใต้กฎหมายข้อมูลส่วนบุคคล
Biometrics ถือเป็นข้อมูลอ่อนไหว (Sensitive Data) ประเภท “ข้อมูลชีวภาพ” หรือ “ข้อมูลส่วนบุคคลที่เกิดจากการใช้เทคโนโลยีที่เกี่ยวข้องกับการนำลักษณะเด่นทางกายภาพหรือทางพฤติกรรมของบุคคลมาใช้ทำให้สามารถยืนยันตัวตนของบุคคลนั้นที่ไม่เหมือนกับบุคคลอื่นได้ เช่น ข้อมูลจำลองใบหน้า...” (มาตรา 26 พ.ร.บ.ข้อมูลส่วนบุคคล)
เมื่อถูกจัดอยู่ในกลุ่มอ่อนไหว ก็แปลว่ากฎหมายจะให้ความคุ้มครองเป็นพิเศษเนื่องจากเป็นข้อมูล ที่เป็นเรื่องเฉพาะตัวของบุคคลโดยแท้ และหากถูกเปิดเผยโดยไม่ชอบก็จะมีความเสี่ยงในการถูกปฏิบัติอย่างไม่เป็นธรรมได้โดยง่าย ดังนั้น ถ้อยคำในกฎหมายจึงระบุชัดเจนว่า “ห้าม” ทำการเก็บรวบรวมโดยปราศจากความยินยอมโดย “ชัดแจ้ง” จากเจ้าของข้อมูล
ซึ่ง “ชัดแจ้ง” ในที่นี้แม้กฎหมายไม่ได้อธิบายว่าต้องดำเนินการอย่างไร แต่ก็สามารถตีความได้ว่า ก่อนจะมีการเก็บข้อมูลอัตลักษณ์ไปประมวลผล จะต้องมีการขอความยินยอมก่อนเสมอ และจะต้องกระทำอย่างไม่คลุมเครือเพื่อให้เจ้าของข้อมูลเข้าใจถึงวัตถุประสงค์ในการเก็บได้อย่างถูกต้อง ดังนั้นในทางปฏิบัติ ผู้ให้บริการควรต้องแยกส่วนของถ้อยคำในการขอความยินยอมดังกล่าวออกจากเงื่อนไขในการให้บริการอื่นๆ ให้ชัดเจน
- คดีละเมิดข้อมูล Biometrics
ในต่างประเทศ คดีละเมิดข้อมูล Biometrics มีให้เห็นบ่อยครั้ง เช่น คดี Home Depot ในสหรัฐที่โดนฟ้องคดีแบบกลุ่ม (Class Action) จากลูกค้าที่อ้างว่าบริษัทได้เก็บข้อมูลชีวมิติ เช่น ข้อมูลภาพใบหน้า ผ่านระบบกล้องวงจรปิดเพื่อติดตามพฤติกรรมการซื้อสินค้าภายในร้าน หรือคดี Google ที่ถูกฟ้องแบบ Class Action ในสหรัฐ ที่อ้างว่าบริการ Google photos service นำภาพใบหน้าของผู้ใช้บริการไปใช้โดยปราศจากความยินยอม
ท้ายที่สุด ผู้ให้บริการที่จะใช้เทคโนโลยี Biometrics นั้น นอกจากจะต้องศึกษาข้อกฎหมายที่เกี่ยวข้องอย่างรอบคอบแล้ว การลงทุนในเรื่องความปลอดภัยของข้อมูลก็มิอาจมองข้ามได้ เพราะหากองค์กรของท่านโดน Hack ข้อมูล Biometrics แล้ว ผู้ได้รับความเสียหายจะสูญเสียข้อมูลอัตลักษณ์ที่ไม่อาจกู้คืนได้
[บทความนี้เป็นความเห็นส่วนตัวของผู้เขียน]