การจดจำใบหน้าและการละเมิดข้อมูลส่วนบุคคล

Cap & Corp Forum

Facial recognition หรือเทคโนโลยีการจดจำใบหน้าโดยการใช้ความสามารถของกล้อง CCTV หรือกล้องดิจิทัล ผสานกับความสามารถของซอฟต์แวร์เพื่อทำให้สามารถระบุอัตลักษณ์บุคคลได้อย่างแม่นยำมากขึ้นได้ถูกนำมาใช้อย่างแพร่หลายเพื่อวัตุประสงค์แตกต่างกัน อาทิ ภาครัฐนำไปใช้เพื่อประโยชน์ด้านความมั่นคงปลอดภัยสาธารณะ ภาคธุรกิจนำไปใช้เพื่อการสร้างความประทับใจให้กับลูกค้าหรือเพื่อประโยชน์ในการอำนวยความสะดวกในการทำธุรกรรม บริษัทใช้ในการยืนยันการเข้ามาปฏิบัติงานแทนการลงชื่อ หรือสถาบันการศึกษานำมาใช้เพื่อยืนยันการเข้าเรียนของนักเรียน เป็นต้น

ในประเทศสวีเดนมีกรณีศึกษาเกี่ยวกับการใช้เทคโนโลยีการจดจำใบหน้าที่น่าสนใจเกิดขึ้นกรณีหนึ่ง โดยคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลของสวีเดน (“คณะกรรมการฯ”) มีคำสั่งเมื่อวันที่ 20 สิงหาคม 2562 กำหนดโทษปรับทางปกครองกับโรงเรียนแห่งหนึ่งที่ใช้เทคโนโลยีการจดจำใบหน้าเพื่อตรวจสอบการเข้าเรียนของนักเรียน ซึ่งเป็นการขัดกับ GDPR (กฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป) โดยคดีนี้องค์กรปกครองส่วนท้องถิ่นในฐานะเจ้าของโรงเรียนถูกปรับเป็นเงินทั้งสิ้น 200,000 โครน (ประมาณ 650,000 บาท) และถือเป็นการใช้โทษปรับครั้งแรกของประเทศสวีเดนภายหลังจากการบังคับใช้ GDPR

คดีดังกล่าวสืบเนื่องจากการที่คณะกรรมการฯ ได้ทราบเรื่องการนำระบบการจดจำใบหน้ามาใช้ในโรงเรียนมัธยมแห่งหนึ่งทางตอนเหนือของประเทศ โดยอยู่ในขั้นตอนการทดสอบระบบเพื่อนำไปใช้ในการตรวจสอบการเข้าห้องเรียนในอนาคต โครงการนี้มีนักเรียนร่วมทดสอบจำนวน 22 คน เป็นระยะเวลา 3 สัปดาห์ มีวัตถุประสงค์เพื่อลดการใช้แรงงานของบุคคลในการตรวจสอบการเข้าชั้นเรียน โดยมีการประมาณการว่าหากนำระบบการจดจำใบหน้ามาใช้จะสามารถลดจำนวนชั่วโมงการทำงานในส่วนการตรวจสอบรายชื่อได้ประมาณ 17,280 ชั่วโมงต่อปี

คณะกรรมการฯ ตรวจสอบแล้วมีความเห็นว่า การดำเนินการของโรงเรียนนั้นไม่ชอบด้วยกฎหมาย เนื่องจากการขอความยินยอมไม่ถูกต้องสำหรับข้อมูลประเภท Sensitive information อย่างข้อมูลชีวภาพ และประการสำคัญเป็นมาตรการที่ไม่ได้สัดส่วนและไม่มีความจำเป็น เนื่องจากโรงเรียนสามารถนำมาตรการตรวจสอบการเข้าห้องเรียนโดยวิธีการอื่นมาใช้ได้โดยที่ไม่กระทบต่อสิทธิในความเป็นส่วนตัวของนักเรียนในวงกว้างอย่างกล้องวงจรปิดที่มีระบบจดจำใบหน้า

กรณีดังกล่าว เมื่อเปรียบเทียบกับกฎหมายไทยจะพบว่าพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลพ.ศ. 2562 ก็บัญญัติไปในลักษณะเดียวกัน กล่าวคือมาตรา 26 กำหนดว่าข้อมูลภาพจำลองใบหน้าถือเป็นข้อมูลชีวภาพที่กฎหมายห้ามมิให้เก็บรวบรวมข้อมูลส่วนบุคคลเว้นแต่กรณีที่กฎหมายกำหนด ดังนี้

(1) เพื่อป้องกันหรือระงับอันตรายต่อชีวิตร่างกายหรือสุขภาพของบุคคลซึ่งเจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมได้ไม่ว่าด้วยเหตุใดก็ตาม

(2) เป็นการดำเนินกิจกรรมโดยชอบด้วยกฎหมายที่มีการคุ้มครองที่เหมาะสมของมูลนิธิสมาคมหรือองค์กรที่ไม่แสวงหากำไรที่มีวัตถุประสงค์เกี่ยวกับการเมือง ศาสนา ปรัชญา หรือสหภาพแรงงาน

(3) เป็นข้อมูลที่เปิดเผยต่อสาธารณะด้วยความยินยอมโดยชัดแจ้งของเจ้าของข้อมูลส่วนบุคคล

(4) เป็นการจำเป็นเพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย

(5) เป็นการจำเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับ

(ก) เวชศาสตร์ป้องกันหรืออาชีวเวชศาสตร์การประเมินความสามารถในการทำงานของลูกจ้าง การวินิจฉัยโรคทางการแพทย์ การให้บริการด้านสุขภาพ การรักษาทางการแพทย์ ฯลฯ

(ข) ประโยชน์สาธารณะด้านการสาธารณสุข

(ค) การคุ้มครองแรงงานการประกันสังคม หลักประกันสุขภาพแห่งชาติฯลฯ

(ง) การศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติหรือประโยชน์สาธารณะอื่น

(จ) ประโยชน์สาธารณะที่สำคัญ

ดังนั้น หากเปรียบเทียบกับกรณีศึกษาที่เกิดขึ้นในสวีเดน การใช้เทคโนโลยีการจดจำใบหน้าด้วยกล้องหรืออุปกรณ์อิเล็กทรอนิกส์ต่าง ๆ จึงเป็นการเก็บรวบรวมข้อมูลส่วนบุคคลที่ถูกจัดอยู่ในกลุ่มเฉพาะ (sensitive personal data) การดำเนินการต่าง ๆ เพื่อให้ได้มาและการนำไปใช้จึงต้องอยู่ภายใต้หลักการได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคลก่อน ในกรณีที่เจ้าของข้อมูลส่วนบุคคลเป็นผู้เยาว์ซึ่งยังไม่บรรลุนิติภาวะก็ต้องได้รับความยินยอมโดยชัดแจ้งจากผู้ใช้อำนาจปกครองผู้เยาว์นั้นด้วย (บิดา/มารดา) และต้องปฏิบัติตามเงื่อนไขอื่น ๆ ที่กฎหมายกำหนดโดยเคร่งครัดและเคารพสิทธิต่าง ๆ ของเจ้าของข้อมูลส่วนบุคคลด้วย อาทิ

(1) ต้องเก็บข้อมูลเท่าที่จำเป็นและน้อยที่สุดเท่านั้น เพื่อให้สามารถบรรลุวัตถุประสงค์ที่ต้องการในการเก็บข้อมูล

(2) ต้องแจ้งวัตถุประสงค์โดยแจ้งชัดให้เจ้าของข้อมูลทราบ และวัตถุประสงค์นั้นต้องชอบด้วยกฎหมาย

(3) เจ้าของข้อมูลมีสิทธิเข้าถึงข้อมูลของตนเอง ขอให้ลบ ขอให้ทำสำเนา หรือขอให้แก้ไขให้ถูกต้องได้

(4) ต้องมีมาตรการด้านความปลอดภัยที่เหมาะสมในการคุ้มครองข้อมูลนั้น อาทิ มีการเข้ารหัสเพื่อป้องกันการเข้าถึง มีการจำกัดผู้เข้าถึงข้อมูล มีการอบรมบุคคลที่เกี่ยวข้องกับมาตรการด้านความปลอดภัย

ตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ นอกจากข้อมูลภาพจำลองใบหน้าแล้ว ข้อมูลจำลองม่านตาหรือข้อมูลจำลองลายนิ้วมือ ก็ถือว่าเป็นข้อมูลชีวภาพเช่นกัน (มาตรา 26) ซึ่งถ้าไม่ใช่หน่วยงานด้านความมั่นคง หน่วยงานในกระบวนการยุติธรรม หรือหน่วยงานด้านการสาธารณสุข การใช้ การเก็บรวบรวมข้อมูลส่วนบุคคลที่เป็นข้อมูลชีวภาพต้องกระทำด้วยความระมัดระวังอย่างยิ่ง

ดังนั้น หากสถาบันการศึกษา ห้างสรรพสินค้า หรือบริษัทต่าง ๆ จะนำระบบการจดจำใบหน้ามาใช้ในองค์กรจึงต้องกระทำด้วยความระมัดระวังอย่างยิ่ง เพราะตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ผู้กระทำการฝ่าฝืนกฎหมายอาจต้องมีความรับผิดทั้งทางแพ่งและทางปกครองได้ และกฎหมายฉบับนี้ใช้บังคับกับหน่วยงานของรัฐด้วย

นอกจากนี้ ก็ต้องยอมรับว่าผู้เขียนเองก็ยังมีความไม่แน่ใจหลาย ๆ ประการเกี่ยวกับการบังคับใช้กฎหมาย เนื่องจากบางมาตรานั้นเขียนไม่ชัดเจน โดยเฉพาะการใช้เทคโนโลยีการจดจำใบหน้าเพื่อประโยชน์ในเชิงพาณิชย์ว่าสามารถกระทำได้หรือไม่เพราะภาคธุรกิจไม่ได้รับยกเว้นในเชิงองค์กร และลักษณะการดำเนินการก็ไม่ได้รับยกเว้นในเชิงเนื้อหา และถ้าได้รับยกเว้นให้เก็บหรือใช้ข้อมูลส่วนบุคคลได้ก็ต้องดำเนินการตามเงื่อนไขอื่น ๆ ที่กฎหมายกำหนดอีกด้วย โดยถ้าเป็นสถาบันการศึกษาก็ยังอาจจะพออ้างได้ว่า “เพื่อประโยชน์สาธารณะ”

ดังนั้นในโอกาสวันคุ้มครองข้อมูลส่วนบุคคล (Data Protection Day) เมื่อวันที่ 28 มกราคมที่ผ่านมา ผู้เขียนจึงขอส่งกำลังใจและความหวังไปยังหน่วยงานบังคับใช้กฎหมายของไทยเพื่อให้สามารถดำเนินการในประเด็นต่าง ๆ ให้มีความชัดเจน สามารถออกประกาศและกำหนดหลักเกณฑ์ที่เกี่ยวข้องให้เสร็จสิ้นก่อนที่กฎหมายจะมีผลใช้บังคับในวันที่ 27 พฤษภาคม 2563 นี้

…

ศุภวัชร์ มาลานนท์

คณะนิติศาสตร์ มหาวิทยาลัยสงขลานครินทร์

Fulbright Hubert H. Humphrey Fellowship

American University Washington College of Law