วันนี้จะมาวิเคราะห์ว่า การใช้ Biometrics/AI ตรวจจับใบหน้า ท่าเดิน อารมณ์ ลายนิ้วมือ ม่านตา พฤติกรรมท่าทาง จะเกี่ยวเนื่องกับ PDPA ยังไง มีแนวปฎิบัติอย่างไร
1. จะใช้ Biometrics เช็คเวลาเข้างาน หรือ ตรวจสอบยืนยันตัวตนเมื่อเข้าใช้งาน App ควรใช้ฐานกฎหมายไหนในการประมวลผลดี ต้องขอความยินยอมหรือไม่
ตอบ การใช้ Biometrics เพื่อยืนยันชี้จำเพาะบุคคล ถือเป็นการเก็บรวบรวม และ ใช้ข้อมูลส่วนบุคคลที่มีความอ่อนไหว ตามมาตรา 26 ซึ่งเขาก็มีการยกเว้นกรณีที่ “ไม่ต้อง” ขอคำยินยอมโดยชัดแจ้ง ไว้หลายขอทีเดียว แต่กรณีใช้เพื่อเช็คเวลาเข้างาน หรือ ตรวจสอบยืนยันตัวตนเมื่อเข้าใช้งาน App อันนี้ ผมยังหาช่องไม่ได้ครับ สรุปว่า น่าจะต้องขอความยินยอม
2. ภาพถ่าย (หน้าคน) ถือเป็น ข้อมูล Biometrics (ข้อมูลชีวภาพ) หรือไม่
ตอบ ไม่ครับ Biometrics คือข้อมูลใหม่ที่ software สร้างขึ้นจากภาพถ่ายใบหน้าอีกที ภาพถ่ายถือเป็นข้อมูลดิบ และไมใช่ข้อมูลที่มีความอ่อนไหว ตามมาตรา 26 ตรงนี้ครอบคลุมถึงข้อมูลประเภทอื่น ๆ เช่น ภาพถ่ายลายนิ้วมือ ภาพถ่ายม่านตาด้วย เป็นข้อมูลดิบเช่นกัน
3. Biometric template และ Biometrics data ต่างกันยังไง
ตอบ อธิบายด้วย ตย. ง่าย ๆ นะครับ เราเดินเข้า office มีกล้องถ่ายหน้าเรา (ช้อมูลดิบ) ซอฟต์แวร์ แปลงภาพนั้น เป็น Biometrics data แล้วเอาไปเทียบกับ Biometric template (ที่ลงทะเบียนเสร้างตรียมไว้ก่อน) ถ้าตรงกัน แปลว่าเราคือคนๆ นั้นจริง
- Biometric template คือ ลักษณะเด่นที่สกัดออกมาจากข้อมูลดิบ (ภาพใบหน้า ภาพลายนิ้วมือ ภาพม่านตา) แล้วบันทึกไว้เป็นตัวเทียบ
- Biometric data คือ ลักษณะเด่นที่สกัดออกมาจากข้อมูลดิบขณะนั้น ๆ เพื่อเอามาใช้เทียบว่าตรงกับ Biometric template เป็นเจ้าตัวใช่หรือไม่
- ลักษณะเด่นที่ว่า เช่น ระยะหว่างคิ้ว อัตราส่วนปีกจมูกกับความยาวปาก จุดตัดลายก้นหอย จุดตัดลายเส้นม่านตา
4. มีหลักการพื้นฐานในการใช้งาน Biometrics ไหม
ตอบ มี คิดเสมอว่า เท่าที่จำเป็น ดังนี้
- Biometrics template ควรเก็บไว้แค่ใน device นั้น ๆ เช่น เป็นหลัก ในมือถือ ไม่จำเป็นจริง ๆ ไม่ควรโหลดออกมาเก็บไว้ที่ Cloud (ตัวอย่าง)โทรศัพท์เรา เราแตะนิ้วบนจอ ใช้เพื่อ login เข้าใช้งานโทรศัพท์ (แทนรหัสผ่าน) อันนี้เขาเก็บ Biometrics template ไว้แค่ในโทรศัพท์เรา และการตรวจยืนยันลายนิ้วมือ ก็ทำที่ในเครื่องโทรศัพท์เอง ไม่ส่งออกไปตรวจที่ไหน
- กรณีจำเป็นต้องเก็บ Biometrics template ไว้ที่ Cloud (central database) ก็ต้องมี encryption คือ แม้โดน hacker เอาไป ก็เปิดไม่ได้
- ถ้าเป็นกรณีลงทะเบียนและใช้งานแค่ในพื้นที่ เช่น สนามบิน หรือ ตรวจคนเข้าเมือง อาจจะให้ลงทะเบียนหน้า แล้วพอด่าน ต่อ ๆ ไป ก็เดินผ่านได้เลย เพราะใช้กล้องตรวจใบหน้าอัตโนมัติ ลักษณะนี้ พอคนๆ นั้น ออกจากพื้นที่แล้ว ควรลบข้อมูลทิ้งหมด ทั้งข้อมูลดิบ Biometric data และ Biometric template
5. ปกติแม้จะ hack เอา Biometric template ไปได้ แต่ถ้าไม่ทราบว่า Software ทำงานยังไงตอนเทียบ Biometric data กับ template ที่ hack ไปได้ก็แทบไม่มีประโยชน์
แต่ก็ไม่ควรประมาท คนที่เป็น data controller ต้องลบ (เมื่อไม่จำเป็นใช้แล้ว) หรือ เข้ารหัสข้อมูลไว้
6. อย่าลืมว่า ควรลบข้อมูลดิบด้วย เมื่อไม่จำเป้นต้อใช้แล้ว เช่น ภาพใบหน้า และ เสียงที่อัดไว้ วิดีโอท่าทาง และในกรณีที่ต้องเก็บข้อมูลดิบไว้ ควรมีการใส่ข้อมูลปนเข้าไป เรียกว่า noise-additive blocks (เช่น ใส่ลายน้ำ) เพื่อป้องกันไม่ให้ภาพดิบถูกนำไปสร้างเป็น biometric template ได้อีก (แม้โดน hack ออกไปได้)
7. ท่าเดิน พฤติกรรม (ชกต่อย กระโดด ปีนรั้ว) สีหน้าอารมณ์ หากไม่ได้มีการใช้จำแนกบุคคล ว่าเป็นใคร ก็ยังไม่ถือเป็น Biometrics (ตามนิยาม มาตรา 26 และ ตาม มาตรา 9 GDPR)
8. ทาง กระทรวงและสำนักงาน สคส. เข้าใจดีว่า เรื่องการตรวจสอบยืนยันตัวบุคคลกำลังจะทวีความสำคัญขึ้นเรื่อย ๆ และควรส่งเสริม ตอนนี้กำลังปรึกษาหารือกันว่าจะออก กฎหมายลูก หรือ แนวทางอะไรที่มาส่งเสริมให้ใช้งานได้ง่าย ไม่ติดข้อกฎหมายมากนัก ได้อย่างไร
9. ในระหว่างนี้ แนะนำว่า ให้ใช้ฐาน Consent และอาจแก้ปัญหาเรื่อง Freely given โดยการสร้างทางเลือก เช็คอินเข้างานแบบไม่ใช้ Face/Fingerprint ไว้ด้วย เช่น ใช้บัตรพนักงานแตะ หรือ รูด แทน ***ปล. เคยมี โรงเรียน ที่โปแลนด์ โดนปรับมาแล้ว เพราะใช้ Fingerprint เช็คสิทธิการเข้าทานอาหารในโรงอาหาร โดยไม่สร้างทางเลือกให้เด็ก และ มีการเลือกการปฎิบัติอย่างไม่เท่าเทียม (คนที่ไม่ให้ consent ต้องไปต่อท้ายแถว)
อ่านข่าวได้ที่ –> https://www.biometricupdate.com/…/schools-biometrics…
ขอขอบคุณแหล่งที่มา :
Facebook : ดร.มนต์ศักดิ์ โซ่เจริญธรรม
เคดิตรูปภาพ
www.pixabay.com
