x
sharethis

สมาคมความมั่นคงปลอดภัยระบบสารสนเทศ (TISA) ยื่นหนังสือถึงนายกฯ กังวลเก็บข้อมูลชีวมาตร เช่น ใบหน้า ลายนิ้วมือ ม่านตา ของรัฐขาดการกำกับ ธรรมาภิบาล ไม่โปร่งใส ไม่มีมาตรการเยียวยาข้อมูลรั่วไหล แถมให้เอกชนเข้ามารับงาน เสี่ยงถูกนำข้อมูลไปใช้งานอย่างมิชอบ แนะ ทำคณะทำงานตรวจสอบการเก็บข้อมูลว่าชอบด้วยกฎหมาย ได้มาตรฐานสากลหรือไม่ สร้างธรรมาภิบาล-ความโปร่งใส

ภาพจาก สำนักข่าวกรมประชาสัมพันธ์

11 ส.ค. 2562 เมื่อวันพฤหัสบดีที่ผ่านมา (8 ส.ค.) สมาคมความมั่นคงปลอดภัยระบบสารสนเทศ (TISA) กลุ่มนักวิชาการด้านการรักษาความมั่นคงปลอดภัยไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคลได้เดินทางไปยื่นหนังสือที่สำนักนายกรัฐมนตรี ถึงข้อวิตกการเก็บข้อมูลชีวมาตรส่วนบุคคล (biometric) ในความรับผิดชอบของหน่วยงานรัฐ เพราะการเก็บข้อมูลชีวิตรอย่างใบหน้า ลายนิ้วมือ ภาพม่านตาในการระบุและพิสูจน์ยืนยันตัวบุคคลโดยรัฐ หรือหน่วยงานที่รัฐให้อำนาจ อาจมีการรั่วไหล หรือถูกนำไปใช้ประโยชน์ได้โดยมิชอบ มีใจความดังนี้ 

กอ.รมน.ภาค 4 ขอให้ผู้ใช้มือถือ ชายแดนใต้ลงทะเบียนซิม ด้วยระบบตรวจสอบใบหน้า และอัตลักษณ์

แค่ไหน อย่างไร กับการออกแบบฐานข้อมูลประชาชนดิจิทัล

วงถกเก็บข้อมูล ปชช. ทางดิจิทัลชี้ เรื่องสำคัญคือโปร่งใส มีปฏิสัมพันธ์ รับผิดรับชอบ

เรื่อง ข้อวิตกกังวลถึงการเก็บข้อมูลชีวมาตรส่วนบุคคลในความรับผิดชอบของหน่วยงานรัฐ

กราบเรียน นายกรัฐมนตรี

ปัจจุบันความก้าวหน้าทางเทคโนโลยีทำให้มีการใช้ข้อมูลชีวมาตร เช่นภาพใบหน้า ลายนิ้วมือ ภาพม่านตาในการระบุตัวตนและการพิสูจน์ยืนยันตัวบุคคลกันอย่างแพร่หลายและกว้างขวางทั้งในภาครัฐและเอกชน

ความอ่อนไหวของการใช้ข้อมูลชีวมาตรในการระบุตัวบุคคลและพิสูจน์ยืนยันตัวบุคคลก็คือข้อมูลเหล่านี้ เป็นข้อมูลเฉพาะตัวบุคคลที่สามารถระบุอัตลักษณ์ตัวบุคคลได้ และถ้าหากเกิดการรั่วไหลออกไป จะมีผลกระทบเป็นอย่างมากต่อบุคคลผู้เป็นเจ้าของข้อมูลชีวมาตร ข้อมูลที่รั่วไหลออกไปเหล่านี ้มีโอกาสที่จะถูกนำมาใช้ประโยชน์ในทางมิชอบ ซึ่งจะสร้างความเดือดร้อนและความเสียหายต่อเจ้าของข้อมูลได้ตลอดชีวิตของเจ้าของข้อมูล เพราะเจ้าของข้อมูลชีวมาตรจะไม่สามารถที่จะเปลี่ยนแปลงแก้ไขข้อมูลชีวมาตรของตนเองได้เลย

การที่ข้อมูลชีวมาตรมีผลกระทบต่อบุคคลผู้เป็นเจ้าของข้อมูลเป็นอย่างมาก ทำให้ GDPR ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของอียู ได้จัดให้ข้อมูลชีวมาตรเป็นข้อมูลส่วนบุคคลที่มีความสำคัญเป็นพิเศษ (Special Categories of Personal Data) ห้ามการเก็บบันทึกหรือประมวลผล ยกเว้นแต่มีความจำเป็นอย่างหลีกเลี่ยงไม่ได้ หรือได้รับความยินยอมโดยชัดแจ้ง

สำหรับปัญหาของประเทศไทยแม้ว่าจะมีบทบัญญัติให้การคุ้มครองตามมาตรา 26 ของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล แต่ก็ยังมีประเด็นการบังคับใช้กับหน่วยงานรัฐ เนื่องจากปัจจุบันมีหน่วยงานรัฐหลายแห่งมีการใช้อำนาจรัฐในการบังคับเก็บข้อมูลชีวมาตรของประชาชนทุกคน โดยที่ไม่ได้มีการพิจารณาเหตุผลและความจำเป็นอย่างรอบคอบ และอาจจะไม่ได้มีการคำนึงถึงผลกระทบที่จะเกิดกับเจ้าของข้อมูลชีวมาตรส่วนบุคคลในกรณีที่เกิดการรั่วไหลหรือถูกนำไปใช้ในทางที่มิชอบโดยเจ้าหน้าที่ของรัฐเอง

นอกจากนี้ยังพบว่าหน่วยงานรัฐที่มีการบังคับเก็บข้อมูลชีวมาตรของประชาชน ได้มีการให้สัมปทานบริษัทเอกชนเข้ามาเป็นผู้บริหารจัดการฐานข้อมูลชีวมาตรที่อยู่ในความรับผิดชอบของหน่วยงานรัฐ ซึ่งทำให้มีความสุ่มเสี่ยงที่เอกชนที่ได้รับสัมปทานจะนำข้อมูลเหล่านี้ไปหาประโยชน์ในทางมิชอบ

ผลกระทบในกรณีที่มีการรั่วไหลหรือละเมิดข้อมูลชีวมาตรที่อยู่ในความรับผิดชอบของหน่วยงานรัฐ ไม่ได้มีเพียงผลกระทบต่อเจ้าของข้อมูลเท่านั้น แต่ยังมีผลกระทบต่อภาพพจน์ความน่าเชื่อถือของประเทศ ผลกระทบด้านความมั่นคงของประเทศ และผลกระทบต่อนโยบายการขับเคลื่อนเศรษฐกิจดิจิทัลของรัฐบาล

สมาคมความมั่นคงปลอดภัยระบบสารสนเทศ เป็นสมาคมของนักวิชาการด้านการรักษาความมั่นคงปลอดภัยไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคล มีความกังวลต่อประเด็นปัญหาดังต่อไปนี้

  1. การจัดเก็บข้อมูลชีวมาตรของประชาชนโดยหน่วยงานรัฐ ที่อาจจะไม่ได้มีการพิจารณาถึงเหตุผลและความจำเป็นอย่างรอบคอบและรอบด้าน รวมทั้งไม่ได้มีการพิจารณาถึงผลกระทบต่อเจ้าของข้อมูล ในกรณีที่เกิดการรั่วไหลหรือถูกละเมิด
  2. การที่หน่วยงานรัฐให้เอกชนเข้ามาเป็นผู้บริหารจัดการฐานข้อมูลชีวมาตรของประชาชนที่อยู่ในความรับผิดชอบของตนเอง
  3. การที่ไม่มีมาตรการเยียวยาบุคคลผู้เป็นเจ้าของข้อมูลชีวมาตรที่อยู่ในความควบคุมของหน่วยงานรัฐ ในกรณีที่เกิดการรั่วไหลหรือถูกละเมิด
  4. การที่ไม่มีมาตรการกำกับดูแลแบบมีธรรมาภิบาลเปิดเผยและโปร่งใส บังคับใช้กับหน่วยงานรัฐที่มีการบังคับจัดเก็บข้อมูลส่วนบุคคลของประชาชน โดยเฉพาะอย่างยิ่งข้อมูลชีวมาตร
  5. การจัดเก็บข้อมูลชีวมาตรของประชาชน โดยที่ไม่มีมาตรฐานการรักษาความมั่นคงปลอดภัยที่เพียงพอ จะมีผลทำให้มีความเสี่ยงที่ข้อมูลรั่วไหลหรือถูกละเมิด มีผลกระทบกับยุทธศาสตร์ชาติด้านความมั่นคงทางไซเบอร์ การดำเนินตามนโยบายเศรษฐกิจดิจิทัลของรัฐบาล ทำให้ไม่สามารถเอาชีวมาตรมาใช้ในการพิสูจน์ยืนยันตัวบุคคลในการทำธุรกรรมทางอิเล็กทรอนิกส์ เช่นไม่สามารถใช้ชีวมาตรในการยืนยันตัวบุคคลในการชำระเงินออนไลน์ (Biometric Payment) ที่กำลังดำเนินการโดยธนาคารแห่งประเทศไทย หรือการลงคะแนนเลือกตั้งทางอิเล็กทรอนิกส์ ที่จะเกิดขึ้นในอนาคตอันใกล้ เนื่องจากข้อมูลชีวมาตรส่วนบุคคลที่รั่วไหลออกไปจะถูกนำมาใช้แอบอ้างสวมรอยตัวบุคคลในการทำธุรกรรมทางดิจิทัลไปตลอดชีวิตของเจ้าของข้อมูล โดยที่เจ้าของข้อมูลไม่สามารถที่จะเปลี่ยนแปลงแก้ไขข้อมูลชีวมาตรของตนเองได้เลย

ข้อเสนอแนะแนวทางการดำเนินการแก้ไข

  1. จัดตั้งคณะทำงานเพื่อรวบรวมข้อมูลการบังคับเก็บข้อมูลชีวมาตรของประชาชน โดยใช้อำนาจรัฐของหน่วยงานราชการหรือองค์กรของรัฐ ที่มีการดำเนินการในปัจจุบันของทุกกระทรวง
  2. ศึกษาว่าประกาศบังคับเก็บข้อมูลชีวมาตรของหน่วยงานรัฐแต่ละแห่ง เป็นไปโดยชอบธรรมและมีอำนาจตามกฎหมายหรือไม่ และเป็นการใช้อำนาจรัฐที่ขัดกับบทบัญญัติเรื่องการคุ้มครองสิทธิและเสรีภาพของประชาชนในรัฐธรรมนูญแห่งราชอาณาจักรไทย พ.ศ. 2560 หรือไม่
  3. ประเมินมาตรฐานแนวทางการกำกับดูแลและการรักษาความมั่นคงปลอดภัยไซเบอร์ และการคุ้มครองข้อมูลส่วนบุคคลของหน่วยงานรัฐที่บังคับเก็บข้อมูลชีวมาตรของประชาชน ที่มีอยู่ในปัจจุบัน ว่าเป็นไปตามมาตรฐานที่ยอมรับในระดับสากลหรือไม่
  4. ให้มีการจัดทำรายชื่อหน่วยงานรัฐที่ให้เอกชนเข้ามารับผิดชอบบริหารจัดการฐานข้อมูลชีวมาตรของประชาชน ที่อยู่ในความรับผิดชอบ และแนวทางการกำกับดูแลเพื่อป้องกันมิให้เอกชนนำเอาข้อมูลเหล่านี้ไปใช้ประโยชน์ในทางมิชอบ รวมทั้งหลักฐานการดำเนินการติดตามควบคุมกำกับดูแลบริษัทเอกชน ผู้ที่ได้รับสัมปทานบริหารจัดการฐานข้อมูลของหน่วยงานรัฐ
  5. ทบทวนเหตุผลและความจำเป็น ที่หน่วยงานรัฐยอมให้เอกชนเข้ามาควบคุมบริหารจัดการฐานข้อมูลชีวมาตรของประชาชน เช่น การทำบัตรประชาชน การทำหนังสือเดินทาง ซึ่งในต่างประเทศแล้วส่วนมากจะเป็นการดำเนินการโดยรัฐบาล ไม่ยอมให้เอกชนเข้าถึงและบริหารจัดการฐานข้อมูลอย่างเด็ดขาด เพราะมีผลกระทบถึงความมั่นคงและอธิปไตยของประเทศ
  6. วิเคราะห์ถึงความจำเป็นในการบังคับจัดเก็บข้อมูลชีวมาตรของประชาชน ความเสี่ยงและผลกระทบต่อบุคคลผู้เป็นเจ้าของข้อมูล การละเมิดสิทธิประชาชน และความเสี่ยงและผลกระทบด้านความมั่นคงของประเทศในกรณีที่มีการรั่วไหลหรือถูกละเมิด
  7. กำหนดมาตรการในการกำกับดูแลหน่วยงานรัฐที่มีการเก็บข้อมูลชีวมาตรประชาชน ให้เป็นไปอย่างมีธรรมภิบาล จัดเก็บข้อมูลชีวมาตรเท่าที่จำเป็นจริงๆ และต้องมีมาตรฐานการรักษาความมั่นคงปลอดภัยไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคล ในระดับสูงสุด เปิดเผยและโปร่งใส เพื่อสร้างความมั่นใจให้กับประชาชน และเป็นหลักประกันด้านความมั่นคงทางดิจิทัลของประเทศ
  8. กำหนดหน้าที่ ความรับผิดชอบและบทลงโทษ เจ้าหน้าที่รัฐในกรณีที่เกิดเหตุละเมิด
  9. จัดทำมาตรการเยียวยาประชาชนที่ได้รับผลกระทบจากการรั่วไหลหรือถูกละเมิด อย่างเหมาะสมและเป็นธรรม
  10. กำหนดให้เป็นหน้าที่ของหน่วยงานรัฐที่มีการบังคับเก็บข้อมูลชีวมาตรของประชาชน ต้องรายงานผลการดำเนินการ รายงานการตรวจสอบ และการละเมิด ต่อสภาผู้แทนราษฎร หรือผู้ตรวจการแผ่นดินของรัฐสภา

จึงเรียนมาเพื่อโปรดพิจารณาและมีบัญชาให้หน่วยงานที่เกี่ยวข้อง ได้มีการพิจารณาแก้ไขเรื่องนี้อย่างเร่งด่วน

ขอแสดงความนับถืออย่างยิ่ง

นายเมธา สุวรรณสาร

นายกสมาคมความมั่นคงปลอดภัยระบบสารสนเทศ

ร่วมบริจาคเงิน สนับสนุน ประชาไท โอนเงิน กรุงไทย 091-0-10432-8 "มูลนิธิสื่อเพื่อการศึกษาของชุมชน FCEM" หรือ โอนผ่าน PayPal / บัตรเครดิต (รายงานยอดบริจาคสนับสนุน)

ติดตามประชาไท ได้ทุกช่องทาง Facebook, X/Twitter, Instagram, YouTube, TikTok หรือสั่งซื้อสินค้าประชาไท ได้ที่ https://shop.prachataistore.net