การยืนยันตัวบุคคลในโลกดิจิทัล กับ พรบ. คุ้มครองข้อมูลส่วนบุคคล

Article by Admin
Share

Loading

0

ดร. มนต์ศักดิ์ โซ่เจริญธรรม
https://www.facebook.com/monsaks

0

0

ถ้าต่อไปเรายืนยันตัวตนได้โดยไม่ต้องใช้บัตรประชาชน ไม่ต้องไปแสดงตน ก็ดูเข้าท่าดี ….. แต่…. เท่ากับว่าเราฝากชะตาชีวิตออนไลน์ทั้งหมดไว้กับใครบางคน ? แล้วใครคนนั้นต้องรับผิดชอบดูแลข้อมูลส่วนบุคคลอันมีค่ายิ่งนี้ของเรา ? จะมีโอกาสโดนขโมยตัวตนไหม ? ถ้าเกิดเหตุขึ้น ใครต้องเป็นคนรับผิดชอบ ?  บทความนี้จะมาไขความกระจ่างสำหรับคำถามเหล่านี้

การยืนยันตัวบุคคลในโลกดิจิทัลทำให้ไม่ต้องไปแสดงตัว ไม่ต้องแสดงบัตร หรือ ถ่ายเอกสารอีกต่อไป

อนุญาตให้ทำธุรกรรมต่าง ๆ ผ่านมือถือ หรือ ผ่านช่องทางออนไลน์ได้  โดยมีผู้ให้บริการที่เก็บข้อมูลส่วนบุคคลเราเอาไว้ แล้วให้เขาช่วยยืนยันตัวบุคคล 

ซึ่งผู้ให้บริการรายนั้นก็ต้องมีตัวตน เป็นที่รู้จักเป็นทางการและน่าเชื่อถือถูกตรวจสอบโดยคนกลางที่ได้รับใบอนุญาตถูกต้องจากทางราชการ

แบบนี้ก็แปลว่า

  1. ข้อมูลส่วนบุคคลของเรา ต้องถูกจัดเก็บโดยคนกลาง เพื่อไว้ใช้ตรวจสอบ (เพื่อใช้ยืนยันกับคนที่ยังไม่รู้จักเราว่า..เราคือเราตัวจริง)
  2. แชร์ข้อมูลอื่นให้กับคนนอกในกรณีจำเป็น เช่น แชร์ประวัติบัตรเครดิตให้ธนาคารเพื่อกรณีกู้เงิน แชร์ประวัติการรักษาให้บริษัทประกันชีวิตกรณีซื้อกรมธรรม์ แชร์รายการทรัพย์สินติดจำนองป้องกันไปจำนองซ้ำซ้อนกับสถาบันการเงิน

บทความนี้จะมาตีแผ่ว่าเมื่อยุคของการยืนยันตัวบุคคลในโลกดิจิทัล (Digital ID) มาถึง  จะมีประเด็นที่ต้องพิจารณาในแง่ผลกระทบกับข้อมูลส่วนบุคคลอย่างไร

การทำธุรกรรมแทบทุกอย่าง ต้องการยืนยันว่าเป็นคนๆ นั้นจริงและมีตัวตนจริง ๆ ก่อนจะดำเนินการ  เช่น เปิดบัญชี ซื้อรถ ซื้อบ้าน  ซึ่งในปัจจุบัน ก็ใช้วิธี เรียกดูบัตรประชาชน ทะเบียนบ้าน พาสปอร์ต หรือ ใบขับขี่เป็นหลัก (ซึ่งพวกนี้ก็คือในโลกกายภาพ)

เมื่อโลกพัฒนาขึ้นเรื่อย ๆ การทำธุรกรรมทางออนไลน์ จึงมากขึ้นเรื่อย ๆ และยิ่งยุคโควิด เริ่มมี New Normal เข้ามากระตุ้นอีก การทำธุรกรรม โดยไม่ต้องเดินทางไปแสดงตัวตนจึงเริ่มมีความสำคัญขึ้นเรื่อย ๆ 

แนวคิด Digital ID จึงเกิดขึ้น เพื่อตอบโจทย์เรื่องบริการออนไลน์ให้ทำได้แบบออนไลน์ จริง ๆ ตั้งแต่ขั้นเริ่มต้น เช่น การเปิดบัญชีธนาคาร หรือ อะไรที่ทำไม่บ่อยแต่ต้องการความน่าเชื่อถือสูงว่าเป็นบุคคลนั้นจริง ๆ เช่น การซื้อประกัน หรือ การถ่ายโอนข้อมูลส่วนตัว เช่น ประวัติการเงิน หรือ ประวัติการรักษา

อธิบายกระบวนการก่อน เพื่อให้เข้าใจว่าใครเก็บข้อมูลอะไร ใครทำหน้าที่อะไรใน Ecosystem นี้ โดยยกเอาตัวอย่างที่เริ่มทำแล้วโดย บริษัท NDID มาอธิบาย เพื่อให้เห็นเป็นรูปธรรม เสร็จแล้วจะแจกแจง ว่าใครรับผิดชอบอะไร ในแง่ข้อมูลส่วนบุคคล

  1. NDID เป็นบริษัทเอกชน (ได้รับใบอนุญาตถูกต้อง) ที่สร้างกระบวนการมาตรฐานและให้บริการโครงสร้างพื้นฐานระบบคอมพิวเตอร์สำหรับการเชื่อมต่อแลกเปลี่ยนข้อมูลข้ามไปมาระหว่างคนละองค์กร คนละบริษัทกัน
  2. การแลกเปลี่ยนข้อมูลที่ว่าคือข้อมูลสำหรับใช้ยืนยันตัวบุคคล (รูปถ่าย ลายนิ้วมือ ม่านตา หรือ รหัสผ่าน) แล้วยังมีข้อมูลอื่น ๆ เกี่ยวกับตัวเราที่สามารถแลกเปลี่ยนข้ามไปมาได้ด้วย เช่น ประวัติทางการแพทย์ ประวัติการเงิน ประวัติการทำงาน ประวัติการศึกษา ฯลฯ
  3. NDID สร้างกฎเกณฑ์ และซฮฟต์แวร์ เพื่อให้สมาชิกนิติบุคคล 3 ประเภท เข้ามาเชื่อมต่อและให้บริการบนแพลตฟอร์มของ NDID คือ

3.1 คนที่อยากเปิดบริการยืนยันตัวบุคคล (IDP: Identity Provider)

3.2 คนที่อยากให้บริการรับฝากและแลกเปลี่ยนข้อมูลส่วนบุคคล (AS: Authoritative Source)

3.3 คนที่อยากให้บริการธุรกรรม (RP: Relying Party)

  1. แพลตฟอร์มของ NDID แค่บริการการเชื่อมต่อแลกเปลี่ยนข้อมูลอย่างปลอดภัย บันทึกข้อมูล วัน-เวลา (Timestamp) ของธุรกรรมที่เกิดขึ้น เช่น RP ร้องขอการยืนยันตัวตนไปยัง IdP วันเวลาไหนของแต่ละสมาชิกที่ทำธุรกรรมกัน และตรวจสอบย้อนกลับได้กรณีมีเหตุให้ต้องการตรวจสอบว่ารายการเกิดขึ้นจริงไหม อีกทั้งคำนึงถึงรักษาความเป็นส่วนตัวและข้อมูลส่วนบุคคลตั้งแต่ในขั้นของการออกแบบ
  2. มองจากมุมของคนธรรมดา (ลูกค้า) อย่างเรา ถ้าอยากใช้งาน ก่อนอื่นต้องลงทะเบียนยืนยันตัวตนครั้งแรก (Onboarding) เพื่อเอาข้อมูลอัตลักษณ์ของเราใส่เข้าไปในระบบ (ใส่ให้กับ IdP ผู้ให้บริการยืนยันตัวบุคคล) หรือ ถ้าจะไม่ใส่ข้อมูลอัตลักษณ์ใหม่ ก็ต้องไปหาแหล่งอ้างอิงอื่นที่เชื่อถือได้มาใช้ เช่น รูปหน้าบัตรประชาชนที่กรมการปกครอง เอามาตั้งต้น
  3. พอลงทะเบียนเรียบร้อย ต่อไปพอจะทำธุรกรรมกับใคร (ซึ่งในที่นี้ก็คือถูกเรียกว่า RP) ผ่านช่องทางดิจิทัล โดยไม่ได้ไปเจอหน้ากัน ขั้นตอนก็จะดำเนินไปจนถึงจุดที่ต้องพิสูจน์ว่าเราคือเราตัวจริง ระบบก็จะให้เราแจ้ง (เช่น ผ่านมือถือ) ว่าให้ RP ไปถาม IDP ว่า ช่วยยืนยันหน่อยว่าคนนี้ ใช่บุคคลตามที่เจ้าตัวเขาอ้างรึเปล่า

ถ้าใช่ ก็ผ่านและทำธุรกรรมกันต่อได้ ส่วนสาเหตุที่ RP เชื่อ IDP ก็เพราะ IDP รายนั้น ได้รับการรับรองโดย NDID และภาครัฐว่ามีตัวตนจริง เป็นบริษัทหรือองค์กรที่น่าเชื่อถือ มีใบอนุญาตเรียบร้อย

  1. เราในฐานะลูกค้า สามารถมี IDP ช่วยยืนยันตัวเราได้มากกว่า 1 ราย ไม่ผิดกติกา เผื่อเคราะห์หามยามร้ายมีบางรายระบบคอมพิวเตอร์ล่มชั่วคราว หรือ เลวร้ายสุดคือปิดกิจการ
  2. ส่วนการฝากข้อมูลส่วนบุคคลอื่น ๆ ของเราไว้กับผู้ให้บริการรับฝากและแลกเปลี่ยนข้อมูลส่วนบุคคล (AS: Authoritative Source) ก็ทำได้ เช่น ข้อมูลชื่อที่อยู่ เบอร์โทรศัพท์ติดต่อ สำหรับส่งสินค้าต่อไปพอจะอัพเดทก็อัพเดทที่เดียว เราซื้อของออนไลน์จากเจ้าไหน ก็ให้เขามาขอดึงข้อมูลจาก AS ที่เราฝากข้อมูลส่วนบุคคลไว้

ซึ่งทั้งนี้ ก่อน AS จะให้ข้อมูลออกไป ก็จะมีการตรวจสอบกับเราก่อน (เช่น อาจจะมี notification มาที่มือถือ) ว่าได้ยินยอมจริง ๆ

ทีนี้ ใครรับผิดชอบอะไร ในแง่ข้อมูลส่วนบุคคล ?

คำตอบ ก็ต้องดูว่าใครเป็นคนจัดเก็บข้อมูลส่วนบุคคล และ ใครเป็นคนให้บริการอะไร หลัก ๆ ก็คือ ทั้ง RP AS และ IDP ก็จะต้องรับผิดชอบดำเนินการตาม พรบ. คุ้มครองฯ ถ้าศัพท์เทคนิคหน่อยก็เรียกว่า data controller

  1. RP เป็นผู้ให้บริการทำธุรกรรมออนไลน์ ข้อมูลส่วนบุคคลที่เก็บที่เขาคือ ข้อมูลที่จำเป็นต่อการให้บริการของกิจการนั้น ๆ เช่น บริษัทประกันชีวิต โรงพยาบาล ธนาคาร
  2. AS เป็นผู้ให้บริการรับฝากและแลกเปลี่ยนข้อมูลส่วนบุคคล ซึ่งตรงนี้จะเป็นข้อมูลส่วนบุคคลเรื่องไหนก็ได้ ตามแต่ที่ลูกค้าและผู้ให้บริการเสนอและสนองกัน จุดประสงค์ คือให้บริการจัดเก็บและแชร์ข้อมูลให้บุคคลหรือนิติบุคคลที่รับอนุญาตจากเจ้าของข้อมูลส่วนบุคคล ให้มาดึงไปใช้ได้เพื่อให้บริการแก่เจ้าของข้อมูลหรือเพื่อประโยชน์ของตัวเจ้าของข้อมูลเอง
  3. IDP เป็นทำตัวเป็นบุคคลที่สาม (ที่น่าเชื่อถือและมีใบอนุญาตเป็นทางการ) ที่ช่วยยืนยันตัวเราว่าเป็นตัวจริง ข้อมูลส่วนบุคคลที่เก็บที่เขาคือ ข้อมูลเกี่ยวกับตัวเราที่ระบุอัตลักษณ์ เช่น ภาพถ่ายใบหน้า ลายนิ้วมือ นอกจากนี้ ยังอาจมีข้อมูลส่วนตัว (option เสริม) ที่เรารู้คนเดียวและอาจใช้ประกอบการตรวจสอบ เช่น วันเกิด ชื่อสุนัขตัวแรก ชื่อสถานที่ที่เราพบกับแผนครั้งแรก หรือ รหัสลับบางอย่าง
  4. NDID ให้บริการเครือข่ายและช่องทางการต่อเชื่อมข้อมูล เพื่อให้ข้อมูลวิ่งไปมาระหว่าง RP AS IDP และ เรา (บุคคล) ได้ โดยที่ไม่ได้ทำการจัดเก็บข้อมูลส่วนบุคคลไว้เลย อาจจะมีแค่ส่วนของข้อมูลนิติบุคคล ว่า RP AS และ IDP คือใคร เป็นบริษัทอะไร ตั้งอยู่ที่ไหน ใครเป็นผู้ดูแลกิจการ ซึ่งไม่จัดเป็นข้อมูลส่วนบุคคล
  5. อย่างไรก็ตามในอนาคต หาก NDID จะมีการอัพเกรดความสามารถ เช่น NDID สามารถช่วยจดจำไว้ว่าเรา (บุคคล) ได้ไปสมัครลงทะเบียนไว้กับ IDP รายใดไว้บ้าง เพราะเราอาจจะเป็นลูกค้าของ IDP หลายราย และนาน ๆ ไปเราอาจจำไม่ได้หมด โดยควรขึ้นเฉพาะชื่อ IDP ที่เราเป็นลูกค้าเขา ไม่ควรขึ้น IDP ทั้งหมดมาให้เราบอกว่ารายไหน เช่นนี้ ตัวบริษัทที่ดูแล NDID ก็จะต้องปฏิบัติตาม พรบ. คุ้มครองฯ ด้วยเช่นกัน

ดร.มนต์ศักดิ์ โซ่เจริญธรรม
https://www.facebook.com/monsaks

0