ความแตกต่างระหว่างการยืนยันตัวตนและการพิสูจน์ตัวตน

Cap & Corp Forum

เมื่อวันที่ 22 กรกฎาคม 2563 ธนาคารแห่งประเทศไทย (ธปท.) ได้ออกประกาศเรื่อง “แนวปฏิบัติการใช้เทคโนโลยีชีวมิติ (biometric technology) ในการให้บริการทางการเงิน” โดยมีเหตุผลในการออกแนวปฏิบัติเพื่อให้การใช้เทคโนโลยีชีวภาพซึ่งเป็นเทคโนโลยีที่ใช้ในการจำแนกอัตลักษณ์ทางกายภาพของบุคคล เช่น ใบหน้า ลายนิ้วมือ หรืออัตลักษณ์ทางพฤติกรรมของบุคคล ถูกนำมาใช้เพื่อเพิ่มประสิทธิภาพในการให้บริการทางการเงินมากขึ้น โดยเฉพาะอย่างยิ่งในการใช้เทคโนโลยีชีวมิติเพื่อการระบุ พิสูจน์ หรือยืนยันตัวตนผู้ใช้บริการ หรือการทำ KYC (know your customer) ในการเปิดบัญชีหรือเข้ารับการบริการต่าง ๆ อาทิ การเข้าสู่ระบบของ mobile banking ทั้งนี้เพื่อเป็นการลดโอกาสการเกิดทุจริตจากการปลอมแปลงตัวบุคคลเพื่อเปิดบัญชีหรือทำธุรกรรมทางการเงิน และเพิ่มช่องทางการให้บริการทางออนไลน์ที่ช่วยให้ผู้ใช้บริการสะดวกขึ้น โดยสามารถรู้จักผู้ใช้บริการผ่านช่องทางอิเล็กทรอนิกส์ (e-KYC) ได้อย่างน่าเชื่อถือ

โดยแนวทางปฏิบัติดังกล่าวของธปท.ได้วางแนวการคุ้มครองสิทธิและข้อมูลส่วนบุคคลของผู้ใช้บริการให้สอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลไว้ในหลักการที่ 5 โดยในหลักการดังกล่าวได้กำหนดว่าผู้ให้บริการที่จะดำเนินการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลประเภทข้อมูลชีวมิติหรือข้อมูลชีวภาพ (การประมวลผลข้อมูลฯ) ยังต้องคำนึงถึงฐานความชอบด้วยกฎหมายในการประมวลผลข้อมูลส่วนบุคคลตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

การพิจารณาถึงฐานความชอบด้วยกฎหมาย (legal basis) ในการประมวลผลข้อมูลส่วนบุคคลประเภทข้อมูลชีวภาพนั้น ผู้เขียนมีความเห็นว่าควรพิจารณาก่อนว่าการใช้ข้อมูลชีวภาพในแต่ละกิจกรรมการประมวลผลข้อมูลส่วนบุคคลนั้น ถือเป็นข้อมูลชีวภาพหรือข้อมูลอ่อนไหว (sensitive data) ตามความหมายของพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ มาตรา 26 วรรค 2 หรือไม่ หากการประมวลผลข้อมูลส่วนบุคคลประเภทชีวภาพ เข้าความหมายของมาตรา 26 วรรค 2 ในการดำเนินการประมวลผลข้อมูลส่วนบุคคลประเภทชีวภาพนั้น ผู้ประกอบการจำเป็นต้องดำเนินการขอความยินยอมโดยชัดแจ้ง (explicit consent) จากผู้ใช้บริการก่อน หรือขณะทำการจัดเก็บรวบรวมข้อมูลชีวภาพจากเจ้าของข้อมูลส่วนบุคคลเพียงเท่านั้น และไม่อาจใช้ฐานในการประมวลผลข้อมูลส่วนบุคคลอื่น ๆ ตามมาตรา 24 เช่น ฐานเพื่อประโยชน์โดยชอบด้วยกฎหมาย (legitimate interests) หรือฐานการปฏิบัติหน้าที่ตามสัญญา (contractual basis) ในการประมวลผลได้

การประมวลผลข้อมูลส่วนบุคคลประเภทชีวภาพแบบใดจะถือเป็นการประมวลผลข้อมูลอ่อนไหวตามความหมายของมาตรา 26 วรรค 2 บ้างนั้น กฎหมายกำหนดว่า “ข้อมูลชีวภาพให้หมายถึงข้อมูลส่วนบุคคลที่เกิดจากการใช้เทคนิคหรือเทคโนโลยีที่เกี่ยวข้องกับการนำลักษณะเด่นทางกายภาพหรือทางพฤติกรรมของบุคคลมาใช้ทำให้สามารถยืนยันตัวตนของบุคคลนั้นที่ไม่เหมือนกับบุคคลอื่นได้ เช่น ข้อมูลภาพจำลองใบหน้า ข้อมูลจำลองม่านตา หรือข้อมูลจำลองลายนิ้วมือ” ซึ่งหากเมื่อเปรียบเทียบกับ GDPR Article 4 (14) ซึ่งเป็นกฎหมายต้นแบบของไทย การจะถูกถือว่าเป็นข้อมูลชีวภาพ ข้อมูลนั้นจะต้องถูกใช้เพื่อการ “ยืนยันตัวตน” (identification) ไม่ใช่เพื่อการพิสูจน์ตัวตน (authentication)

หลักการสำคัญของการใช้ข้อมูลชีวภาพที่จะถือว่าเป็นข้อมูลที่กฎหมายคุ้มครองเป็นพิเศษ (special categories of personal data) หรือข้อมูลอ่อนไหวตาม GDPR นั้น คำอธิบายในทางวิชาการและแนวทางการบังคับใช้กฎหมายที่ออกโดย European Data Protection Board ซึ่งเป็นหน่วยงานที่มีหน้าที่โดยตรงในการให้คำแนะนำในการใช้และตีความกฎหมายคุ้มครองข้อมูลส่วนบุคคลแก่ประเทศสมาชิกของสหภาพยุโรป หรือ EDPB และ Article 29 Working Party (WP29) วางกรอบแนวทางการพิจารณา ไว้ดังนี้

การพิจารณาว่าเป็น special categories of personal data/sensitive data หรือไม่ องค์ประกอบสำคัญประการหนึ่งคือ การพิจารณาว่าข้อมูลนั้นได้ถูกใช้เพื่อ “ยืนยัน” ตัวตนหรือไม่ (unique identification) ซึ่งวัตถุประสงค์เพื่อการยืนยันตัวตนดังกล่าว ทำให้การ Identification นั้นแตกต่างจากการ Authentication/verification ดังนี้

1.WP29 Opinion 3/2012 อธิบายว่า identification แตกต่างจากการ authentication/verification ดังนี้

– Identification เป็นการเปรียบเทียบแบบ one-to many matching process (1 : n comparison)

– authentication/verification เป็นการเปรียบเทียบแบบ one-to one matching process (1 : 1 comparison)

2.ความเห็นในทางวิชาการโดย Richard Morganet al. และ Prof. Lee A. Bygrave และ Luca Tosoni ให้ความเห็นยืนยันความแตกต่างของ identification และ authentication/verification โดย GDPR Article 9 (professing of special categories of personal data) ในกรณีของข้อมูลชีวภาพจะเข้าเงื่อนไขการดำเนินการตามมาตรานี้ต่อเมื่อเป็นการใช้เพื่อการ identification เท่านั้น

3.UK Court of Appeal (R (Bridges) v Chief Constable of South Wales Police) ศาลอุทธรณ์ของอังกฤษวินิจฉัยในทำนองสนับสนุนความเห็นของ EDPB และความเห็นทางวิชาการว่าการที่จะเป็นข้อมูลอ่อนไหวตาม GDPR ข้อมูลดังกล่าวต้องถูกใช้เพื่อวัตถุประสงค์ในการ Identification เท่านั้น ซึ่งแตกต่างจากการใช้เพื่อ authentication/verification

ในทัศนะของผู้เขียนจึงเห็นว่า คำว่า “ยืนยันตัวตน” ในพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ มาตรา 26 น่าจะมาจากคำว่า “identification” ใน GDPR Article 4 (14) ดังนั้นหากผู้ควบคุมข้อมูลส่วนบุคคล ใช้ข้อมูลชีวภาพไม่ใช่เพื่อวัตถุประสงค์เพื่อการยืนยันตัวตนเช่นการใช้ข้อมูลชีวภาพเพื่อการพิสูจน์ตัวตน (authentication) ผู้ควบคุมข้อมูลส่วนบุคคลอาจสามารถพิจารณาใช้ฐานทางกฎหมายอื่น ๆ ในการประมวลผลข้อมูลส่วนบุคคลนั้นได้ตามที่กฎหมายกำหนดไว้ในมาตรา 24 ซึ่งแต่ละฐานก่อให้เกิดสิทธิและหน้าที่ของบุคคลที่เกี่ยวข้องแตกต่างกันออกไป อาทิ ฐานประโยชน์โดยชอบด้วยกฎหมาย (legitimate interests) หรือฐานการปฏิบัติหน้าที่ตามกฎหมาย (legal obligations) เป็นต้น

…

ศุภวัชร์ มาลานนท์, CIPP/E

Certified Information Privacy Professional/ Europe

คณะนิติศาสตร์ มหาวิทยาลัยสงขลานครินทร์

ชิโนภาส อุดมผล

Optimum Solution Defined (OSD)