ทพพล น้อยปัญญา
เมื่อวันที่ 12 กุมภาพันธ์ 2563 ธนาคารไทยพาณิชย์ และบริษัท เคาน์เตอร์เซอร์วิส จำกัด เปิดบริการ “ยืนยันตัวตนผ่านเคาน์เตอร์เซอร์วิส” ใน 7-Eleven ซึ่งเป็นรายแรกที่นำเอาเทคโนโลยีสแกนใบหน้า (facial recognition) มาใช้สำหรับลูกค้าใหม่ที่ไม่เคยใช้บริการของไทยพาณิชย์มาก่อนเพื่อเปิดบัญชีเงินฝากออมทรัพย์แบบไม่มีสมุด (ออนไลน์) ของธนาคารด้วยตนเอง โดยไม่จำเป็นต้องไปยืนยันตัวตนที่สาขาอีกต่อไป นี่เป็นอีกก้าวหนึ่งของความก้าวหน้าทางอิเล็กทรอนิกส์ในระบบธนาคารพาณิชย์ในประเทศไทย
โดยธนาคารแห่งประเทศไทยก็ได้จัดทำร่างแนวปฏิบัติการใช้เทคโนโลยีชีวมิติ (biometrics — เป็นเทคโนโลยีที่ใช้ข้อมูลอัตลักษณ์ทางกายภาพของบุคคล เช่น ใบหน้า ลายนิ้วมือ หรือพฤติกรรมของผู้ใช้เพื่อพิสูจน์และยืนยันตัวบุคคลในการให้บริการทางการเงิน) เมื่อวันที่ 16 ธันวาคม 2562 เพื่อเป็นหลักการที่ดีที่ผู้ให้บริการปฏิบัติและสามารถใช้อ้างอิงเป็นมาตรฐานขั้นต่ำในการนำเทคโนโลยีชีวมิติมาใช้ในการให้บริการทางการเงินอย่างปลอดภัย น่าเชื่อถือ เพื่อให้มั่นใจว่าผู้ให้บริการทางการเงินมีนโยบายและการบริหารจัดการในการนำเทคโนโลยีชีวมิติมาใช้ด้วยกระบวนการที่เหมาะสม มั่นคงปลอดภัย และสอดคล้องกับหลักการที่ดีที่ได้รับการยอมรับในระดับสากล เหล่านี้เป็นสัญญาณที่แสดงว่าต่อไปจะมีการใช้ข้อมูล biometrics ในกิจการต่างๆ เพิ่มมากขึ้นด้วยในประเทศไทย
การยืนยันตัวตนโดยการสแกนใบหน้านั้นเป็นส่วนหนึ่งของข้อมูล biometrics ซึ่งยังไม่มีชื่อเรียกในภาษาไทยเป็นการแน่นอน บ้างก็เรียกว่า “ข้อมูลชีวมาตร” ธนาคารแห่งประเทศไทยก็เรียกว่า “ข้อมูลชีวมิติ” ฯลฯ แต่ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้มีการบัญญัติถึง “ข้อมูลชีวภาพ” ไว้ในมาตรา 26 ว่า
“ห้ามมิให้เก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใด ซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการประกาศกำหนด โดยไม่ได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล
………………………………..
ข้อมูลชีวภาพตามวรรคหนึ่งให้หมายถึงข้อมูลส่วนบุคคลที่เกิดจากการใช้เทคนิคหรือเทคโนโลยีที่เกี่ยวข้องกับการนำลักษณะเด่นทางกายภาพหรือทางพฤติกรรมของบุคคลมาใช้ทำให้สามารถยืนยันตัวตนของบุคคลนั้นที่ไม่เหมือนกับบุคคลอื่นได้ เช่น ข้อมูลภาพจำลองใบหน้า ข้อมูลจำลองม่านตา หรือข้อมูลจำลองลายนิ้วมือ
………………………………………..”
“ข้อมูลชีวภาพ” นี้ ถ้า “ผู้ควบคุมข้อมูลส่วนบุคคล” คนใดทำการเก็บรวบรวมข้อมูลไว้โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลก็จะมีโทษตามกฎหมาย
คราวนี้ “ผู้ควบคุมข้อมูลส่วนบุคคล” หมายความถึงใคร?
กฎหมายก็บอกไว้ว่าหมายถึง “บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล” ถ้าจะยกตัวอย่างให้เข้าใจง่ายๆ ก็คือ ในที่ทำงานแห่งหนึ่ง นายจ้างก็ต้องเก็บหรือมีข้อมูลงานของลูกจ้างไว้ เช่น ที่อยู่ วันเดือนปีเกิด ศาสนา ฯลฯ หรือเราไปเป็นสมาชิกของชมรมกอล์ฟ ทางชมรมก็อาจจะมีการเก็บข้อมูลทั่วไปของเราไว้ รวมทั้งประวัติการตีกอล์ฟของเราด้วย เหล่านี้เป็นข้อมูลส่วนบุคคล นายจ้างและชมรมกอล์ฟที่เก็บรวบรวมข้อมูลเหล่านี้ไว้ก็เป็น “ผู้ควบคุมข้อมูลส่วนบุคคล”
คราวนี้ “ผู้ควบคุมข้อมูลส่วนบุคคล” คนใดทำการเก็บรวบรวมข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล เช่น นายจ้างมาทำการสแกนใบหน้าของลูกจ้างเก็บเอาไว้โดยลูกจ้างไม่ได้ให้ความยินยอมไว้ก่อน หรือร้านอาหารไหนทำการสแกนใบหน้าของลูกค้าที่มากินอาหารเก็บเอาไว้โดยพลการ ลูกค้าไม่ได้ยินยอมด้วย มาตรา 84 ก็บอกว่า
“ผู้ควบคุมข้อมูลส่วนบุคคลผู้ใดฝ่าฝืนมาตรา 26 วรรคหนึ่ง …. ต้องระวางโทษปรับทางปกครองไม่เกินห้าล้านบาท”
โทษปรับอันนี้เป็นโทษปรับทางปกครอง เป็นมาตรการบังคับเพื่อให้คำสั่งทางปกครองของเจ้าหน้าที่บรรลุผลเท่านั้น และเจ้าหน้าที่เป็นผู้มีคำสั่งปรับทางปกครองได้เองโดยไม่ต้องดำเนินคดีต่อศาลเพื่อให้ศาลลงโทษปรับทางอาญา (ซึ่งตามกฎหมายนี้คือ “คณะกรรมการผู้เชี่ยวชาญ” ซึ่ง “คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล” เป็นผู้แต่งตั้ง) การฝ่าฝืนมาตรา 26 นี้จึงไม่เป็นโทษทางอาญาที่ผู้ฝ่าฝืนจะต้องติดคุกหรือถูกปรับเพราะมีความผิด และก็ไม่ถือว่าผู้ที่ถูกปรับทางปกครองนี้มีประวัติการกระทำผิดทางอาญา เพราะเป็นคนละเรื่องกัน
ส่วนการใช้หรือเปิดเผยข้อมูลที่เก็บรวบรวมไว้นั้นก็มีการกำหนดไว้ในมาตรา 27 ว่า “ห้ามมิให้ผู้ควบคุมข้อมูลส่วนบุคคลใช้หรือเปิดเผยข้อมูลส่วนบุคคล โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล..”
ซึ่งตามมาตรา 27 ก็ห้ามมิให้ใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่รวบรวมไว้นั้นโดยที่เราไม่ได้ให้ความยินยอม ที่ฝ่าฝืนมาตรา 27 ในมาตรา 79 ก็บอกว่า “ผู้ควบคุมข้อมูลส่วนบุคคลผู้ใดฝ่าฝืนมาตรา 27 วรรคหนึ่งหรือวรรคสอง ……. โดยประการที่น่าจะทำให้ผู้อื่นเกิดความเสียหาย เสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอาย ต้องระวางโทษจำคุกไม่เกินหกเดือน หรือปรับไม่เกินห้าแสนบาท หรือทั้งจำทั้งปรับ”
นอกจากนี้ มาตรา 84 ที่ว่ามาข้างต้นก็ยังกำหนดว่า “ผู้ควบคุมข้อมูลส่วนบุคคลผู้ใด……….ฝ่าฝืนมาตรา 27 วรรคหนึ่งหรือวรรคสอง….ต้องระวางโทษปรับทางปกครองไม่เกินห้าล้านบาท” อีกด้วย
ทั้งหมดนี้เป็นการอธิบายเพียงคร่าวๆ ให้พอเข้าใจว่ากฎหมายบอกไว้ว่าอย่างไรนะครับ ยังมีรายละเอียดในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 อีกมาก
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ประกาศใช้มาตั้งแต่วันที่ 27 พฤษภาคม 2562 แต่จะมีผลบังคับจริงๆ วันที่ 28 พฤษภาคม 2563 ที่จะถึงนี้ จึงต้องรอดูต่อไปว่าเมื่อใช้บังคับจริงๆ แล้วจะเกิดปัญหาในเรื่องนี้มากน้อยเพียงใด เพราะเป็นกฎหมายใหม่ที่ประเทศไทยไม่เคยมีมาก่อน
แต่ในต่างประเทศนั้นมีกฎหมายคุ้มครองข้อมูลส่วนบุคคลกันมานานแล้วมีคดีเกิดขึ้นมากมาย ยิ่งในยุคของเทคโนโลยีอินเทอร์เน็ต ก็ยิ่งมีปัญหากฎหมายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลกับเว็บที่มีชื่อเสียงต่างๆ ในเรื่องของเทคโนโลยีการสแกนใบหน้าหรือ facial recognition เช่น
เมื่อปลายเดือนมกราคมที่ผ่านมา Facebook ก็จะตกลงประนีประนอมยอมความในคดีที่ผู้ใช้ Facebook ฟ้องร้องต่อศาลว่า Facebook ละเมิดกฎหมายคุ้มครองข้อมูลส่วนบุคคลของรัฐอิลลินอยส์ (Biometric Information Privacy Act – BIPA) การประนีประนอมครั้งนี้เป็นมูลค่าสูงถึง 550 ล้านดอลลาร์สหรัฐ
โดยคดีนี้ยืดเยื้อมาตั้งแต่ปี 2559 ซึ่ง Facebook ถูกฟ้องเพราะเหตุว่าใช้โปรแกรม facial recognition ที่เรียกว่า “tagging” ไปติดตามใบหน้าของผู้ใช้ Facebook เมื่อที่อัปโหลดรูปถ่ายขึ้น Facebook โปรแกรม “tagging” ก็จะทำงานโดยการเปรียบเทียบใบหน้าของบุคคลโดย parameter ต่างๆ จากรูปภาพที่เคยอัปโหลดเข้าบน Facebook เมื่อโปรแกรมเห็นว่าบุคคลในภาพมี parameter ตรงกับที่ Facebook ได้บันทึกไว้ Facebook ก็จะแนะนำให้ tag บุคคลนั้น
ผู้ใช้ Facebook จึงมาฟ้องร้องต่อศาลว่า Facebook ละเมิดกฎหมายเกี่ยวกับข้อมูลชีวภาพของตน โดยการ tagging นั้นไม่ได้มีการแจ้งให้ตนทราบก่อนและไม่ได้รับความยินยอมเป็นลายลักษณ์อักษรก่อน
Facebook พยายามต่อสู้คดีด้วยข้อต่อสู้ต่างๆ ทั้งที่ตรงประเด็นและไม่ตรงประเด็น เช่น ฝ่ายโจทก์กล่าวหาว่า Facebook ทำการละเมิดกฎหมาย BIPA แต่ไม่ได้กำหนดความเสียหายมาด้วย หรือฝ่ายโจทก์เป็นพลเมืองของรัฐอิลลินอยส์แต่มาฟ้อง Facebook ที่แคลิฟอร์เนีย (ภูมิลำเนาของ Facebook) โดยใช้กฎหมายของรัฐอิลลินอยส์ ฯลฯ แต่ปรากฏว่าศาลไม่รับฟังและหักล้างข้อต่อสู้เหล่านี้ และตัดสินให้โจทก์เป็นฝ่ายชนะ คดีนี้อุทธรณ์ไปยังศาลอุทธรณ์ของสหรัฐอเมริกา ซึ่งก็ปรากฏว่า ศาลอุทธรณ์ตัดสินให้ Facebook แพ้คดีอีก สุดท้ายก็ไปที่ศาลฎีกา แต่ศาลฎีกามีคำสั่งไม่รับฎีกา
ผลสุดท้าย Facebook เลยต้องยอมประนีประนอมกับฝ่ายโจทก์ ซึ่งการที่ Facebook ยอมประนีประนอมในคดีนี้ก็เชื่อกันว่าจะทำให้เกิดคดีทำนองเดียวกันตามมาอีก
เมื่อวันที่ 6 กุมภาพันธ์ 2563 ที่ผ่านมา Google ก็ตกเป็นจำเลยในศาล U.S. District Court ในรัฐแคลิฟอร์เนีย ในข้อหาทำผิดต่อกฎหมาย BIPA โดยการเก็บและใช้ข้อมูลชีวภาพของบุคคลที่มีใบหน้าปรากฏในรูปถ่ายที่อัปโหลดเก็บไว้ใน Google Photos โดยไม่ได้แจ้งให้บุคคลนั้นทราบก่อนและไม่ได้รับความยินยอมเป็นลายลักษณ์อักษรก่อนเช่นเดียวกัน
ใครที่เคยใช้บริการ Google Photos ก็คงจะทราบดีว่า เมื่อเราเอารูปถ่ายไปอัปโหลดฝากไว้ Google ก็จะจดจำใบหน้าของเราและคนอื่นๆ ไว้ด้วยโปรแกรม facial recognition และทำการจัดรูปภาพนั้นออกเป็นกลุ่มตามใบหน้าเก็บไว้ ตรงนี้แหละที่เขามาฟ้องร้อง Google ฐานไปยุ่งกับใบหน้าของเขาโดยไม่ได้รับอนุญาต
ล่าสุดที่เป็นปัญหาก็คือ โปรแกรมชื่อ Clearview AI ที่สามารถหาภาพของบุคคลได้แม้จะอยู่ในโซเชียลส่วนตัว โดยโปรแกรมนี้ไปรวบรวมรูปภาพของบุคคลจากเว็บโซเชียลต่างๆ เช่น Instagram, Twitter, YouTube, Facebook, Venmo และ ฯลฯ กว่า 3,000 ล้านรูปมาเป็นฐานข้อมูล กรมตำรวจของเมืองชิคาโกก็ได้ทำสัญญาทดลองใช้โปรแกรมนี้เป็นเวลา 2 ปีนับแต่วันที่ 1 มกราคม 2563 เป็นต้นมา โดยกรมตำรวจชิคาโกใช้ประโยชน์จากโปรแกรมดังกล่าวในการสืบสวนคดีอาชญากรรม อย่างไรก็ตาม ตอนนี้ Clearview AI ก็ถูกฟ้องไปแล้ว 4 คดีในศาลนิวยอร์ก ศาลอิลลินอยส์ (2 คดี) และศาลเวอร์จิเนียในข้อหาละเมิดสิทธิส่วนบุคคล
facial recognition จึงกลายเป็นประเด็นร้อนในสหรัฐอเมริกาเกี่ยวกับสิทธิส่วนบุคคลอยู่ในขณะนี้
