0
ดร. มนต์ศักดิ์ โซ่เจริญธรรม
https://www.facebook.com/monsaks
0
ถ้าต่อไปเรายืนยันตัวตนได้โดยไม่ต้องใช้บัตรประชาชน ไม่ต้องไปแสดงตน ก็ดูเข้าท่าดี ….. แต่…. เท่ากับว่าเราฝากชะตาชีวิตออนไลน์ทั้งหมดไว้กับใครบางคน ? แล้วใครคนนั้นต้องรับผิดชอบดูแลข้อมูลส่วนบุคคลอันมีค่ายิ่งนี้ของเรา ? จะมีโอกาสโดนขโมยตัวตนไหม ? ถ้าเกิดเหตุขึ้น ใครต้องเป็นคนรับผิดชอบ ? บทความนี้จะมาไขความกระจ่างสำหรับคำถามเหล่านี้
การยืนยันตัวบุคคลในโลกดิจิทัลทำให้ไม่ต้องไปแสดงตัว ไม่ต้องแสดงบัตร หรือ ถ่ายเอกสารอีกต่อไป
อนุญาตให้ทำธุรกรรมต่าง ๆ ผ่านมือถือ หรือ ผ่านช่องทางออนไลน์ได้ โดยมีผู้ให้บริการที่เก็บข้อมูลส่วนบุคคลเราเอาไว้ แล้วให้เขาช่วยยืนยันตัวบุคคล
ซึ่งผู้ให้บริการรายนั้นก็ต้องมีตัวตน เป็นที่รู้จักเป็นทางการและน่าเชื่อถือถูกตรวจสอบโดยคนกลางที่ได้รับใบอนุญาตถูกต้องจากทางราชการ
แบบนี้ก็แปลว่า
- ข้อมูลส่วนบุคคลของเรา ต้องถูกจัดเก็บโดยคนกลาง เพื่อไว้ใช้ตรวจสอบ (เพื่อใช้ยืนยันกับคนที่ยังไม่รู้จักเราว่า..เราคือเราตัวจริง)
- แชร์ข้อมูลอื่นให้กับคนนอกในกรณีจำเป็น เช่น แชร์ประวัติบัตรเครดิตให้ธนาคารเพื่อกรณีกู้เงิน แชร์ประวัติการรักษาให้บริษัทประกันชีวิตกรณีซื้อกรมธรรม์ แชร์รายการทรัพย์สินติดจำนองป้องกันไปจำนองซ้ำซ้อนกับสถาบันการเงิน
บทความนี้จะมาตีแผ่ว่าเมื่อยุคของการยืนยันตัวบุคคลในโลกดิจิทัล (Digital ID) มาถึง จะมีประเด็นที่ต้องพิจารณาในแง่ผลกระทบกับข้อมูลส่วนบุคคลอย่างไร
การทำธุรกรรมแทบทุกอย่าง ต้องการยืนยันว่าเป็นคนๆ นั้นจริงและมีตัวตนจริง ๆ ก่อนจะดำเนินการ เช่น เปิดบัญชี ซื้อรถ ซื้อบ้าน ซึ่งในปัจจุบัน ก็ใช้วิธี เรียกดูบัตรประชาชน ทะเบียนบ้าน พาสปอร์ต หรือ ใบขับขี่เป็นหลัก (ซึ่งพวกนี้ก็คือในโลกกายภาพ)
เมื่อโลกพัฒนาขึ้นเรื่อย ๆ การทำธุรกรรมทางออนไลน์ จึงมากขึ้นเรื่อย ๆ และยิ่งยุคโควิด เริ่มมี New Normal เข้ามากระตุ้นอีก การทำธุรกรรม โดยไม่ต้องเดินทางไปแสดงตัวตนจึงเริ่มมีความสำคัญขึ้นเรื่อย ๆ
แนวคิด Digital ID จึงเกิดขึ้น เพื่อตอบโจทย์เรื่องบริการออนไลน์ให้ทำได้แบบออนไลน์ จริง ๆ ตั้งแต่ขั้นเริ่มต้น เช่น การเปิดบัญชีธนาคาร หรือ อะไรที่ทำไม่บ่อยแต่ต้องการความน่าเชื่อถือสูงว่าเป็นบุคคลนั้นจริง ๆ เช่น การซื้อประกัน หรือ การถ่ายโอนข้อมูลส่วนตัว เช่น ประวัติการเงิน หรือ ประวัติการรักษา
อธิบายกระบวนการก่อน เพื่อให้เข้าใจว่าใครเก็บข้อมูลอะไร ใครทำหน้าที่อะไรใน Ecosystem นี้ โดยยกเอาตัวอย่างที่เริ่มทำแล้วโดย บริษัท NDID มาอธิบาย เพื่อให้เห็นเป็นรูปธรรม เสร็จแล้วจะแจกแจง ว่าใครรับผิดชอบอะไร ในแง่ข้อมูลส่วนบุคคล
- NDID เป็นบริษัทเอกชน (ได้รับใบอนุญาตถูกต้อง) ที่สร้างกระบวนการมาตรฐานและให้บริการโครงสร้างพื้นฐานระบบคอมพิวเตอร์สำหรับการเชื่อมต่อแลกเปลี่ยนข้อมูลข้ามไปมาระหว่างคนละองค์กร คนละบริษัทกัน
- การแลกเปลี่ยนข้อมูลที่ว่าคือข้อมูลสำหรับใช้ยืนยันตัวบุคคล (รูปถ่าย ลายนิ้วมือ ม่านตา หรือ รหัสผ่าน) แล้วยังมีข้อมูลอื่น ๆ เกี่ยวกับตัวเราที่สามารถแลกเปลี่ยนข้ามไปมาได้ด้วย เช่น ประวัติทางการแพทย์ ประวัติการเงิน ประวัติการทำงาน ประวัติการศึกษา ฯลฯ
- NDID สร้างกฎเกณฑ์ และซฮฟต์แวร์ เพื่อให้สมาชิกนิติบุคคล 3 ประเภท เข้ามาเชื่อมต่อและให้บริการบนแพลตฟอร์มของ NDID คือ
3.1 คนที่อยากเปิดบริการยืนยันตัวบุคคล (IDP: Identity Provider)
3.2 คนที่อยากให้บริการรับฝากและแลกเปลี่ยนข้อมูลส่วนบุคคล (AS: Authoritative Source)
3.3 คนที่อยากให้บริการธุรกรรม (RP: Relying Party)
- แพลตฟอร์มของ NDID แค่บริการการเชื่อมต่อแลกเปลี่ยนข้อมูลอย่างปลอดภัย บันทึกข้อมูล วัน-เวลา (Timestamp) ของธุรกรรมที่เกิดขึ้น เช่น RP ร้องขอการยืนยันตัวตนไปยัง IdP วันเวลาไหนของแต่ละสมาชิกที่ทำธุรกรรมกัน และตรวจสอบย้อนกลับได้กรณีมีเหตุให้ต้องการตรวจสอบว่ารายการเกิดขึ้นจริงไหม อีกทั้งคำนึงถึงรักษาความเป็นส่วนตัวและข้อมูลส่วนบุคคลตั้งแต่ในขั้นของการออกแบบ
- มองจากมุมของคนธรรมดา (ลูกค้า) อย่างเรา ถ้าอยากใช้งาน ก่อนอื่นต้องลงทะเบียนยืนยันตัวตนครั้งแรก (Onboarding) เพื่อเอาข้อมูลอัตลักษณ์ของเราใส่เข้าไปในระบบ (ใส่ให้กับ IdP ผู้ให้บริการยืนยันตัวบุคคล) หรือ ถ้าจะไม่ใส่ข้อมูลอัตลักษณ์ใหม่ ก็ต้องไปหาแหล่งอ้างอิงอื่นที่เชื่อถือได้มาใช้ เช่น รูปหน้าบัตรประชาชนที่กรมการปกครอง เอามาตั้งต้น
- พอลงทะเบียนเรียบร้อย ต่อไปพอจะทำธุรกรรมกับใคร (ซึ่งในที่นี้ก็คือถูกเรียกว่า RP) ผ่านช่องทางดิจิทัล โดยไม่ได้ไปเจอหน้ากัน ขั้นตอนก็จะดำเนินไปจนถึงจุดที่ต้องพิสูจน์ว่าเราคือเราตัวจริง ระบบก็จะให้เราแจ้ง (เช่น ผ่านมือถือ) ว่าให้ RP ไปถาม IDP ว่า ช่วยยืนยันหน่อยว่าคนนี้ ใช่บุคคลตามที่เจ้าตัวเขาอ้างรึเปล่า
ถ้าใช่ ก็ผ่านและทำธุรกรรมกันต่อได้ ส่วนสาเหตุที่ RP เชื่อ IDP ก็เพราะ IDP รายนั้น ได้รับการรับรองโดย NDID และภาครัฐว่ามีตัวตนจริง เป็นบริษัทหรือองค์กรที่น่าเชื่อถือ มีใบอนุญาตเรียบร้อย
- เราในฐานะลูกค้า สามารถมี IDP ช่วยยืนยันตัวเราได้มากกว่า 1 ราย ไม่ผิดกติกา เผื่อเคราะห์หามยามร้ายมีบางรายระบบคอมพิวเตอร์ล่มชั่วคราว หรือ เลวร้ายสุดคือปิดกิจการ
- ส่วนการฝากข้อมูลส่วนบุคคลอื่น ๆ ของเราไว้กับผู้ให้บริการรับฝากและแลกเปลี่ยนข้อมูลส่วนบุคคล (AS: Authoritative Source) ก็ทำได้ เช่น ข้อมูลชื่อที่อยู่ เบอร์โทรศัพท์ติดต่อ สำหรับส่งสินค้าต่อไปพอจะอัพเดทก็อัพเดทที่เดียว เราซื้อของออนไลน์จากเจ้าไหน ก็ให้เขามาขอดึงข้อมูลจาก AS ที่เราฝากข้อมูลส่วนบุคคลไว้
ซึ่งทั้งนี้ ก่อน AS จะให้ข้อมูลออกไป ก็จะมีการตรวจสอบกับเราก่อน (เช่น อาจจะมี notification มาที่มือถือ) ว่าได้ยินยอมจริง ๆ
ทีนี้ ใครรับผิดชอบอะไร ในแง่ข้อมูลส่วนบุคคล ?
คำตอบ ก็ต้องดูว่าใครเป็นคนจัดเก็บข้อมูลส่วนบุคคล และ ใครเป็นคนให้บริการอะไร หลัก ๆ ก็คือ ทั้ง RP AS และ IDP ก็จะต้องรับผิดชอบดำเนินการตาม พรบ. คุ้มครองฯ ถ้าศัพท์เทคนิคหน่อยก็เรียกว่า data controller
- RP เป็นผู้ให้บริการทำธุรกรรมออนไลน์ ข้อมูลส่วนบุคคลที่เก็บที่เขาคือ ข้อมูลที่จำเป็นต่อการให้บริการของกิจการนั้น ๆ เช่น บริษัทประกันชีวิต โรงพยาบาล ธนาคาร
- AS เป็นผู้ให้บริการรับฝากและแลกเปลี่ยนข้อมูลส่วนบุคคล ซึ่งตรงนี้จะเป็นข้อมูลส่วนบุคคลเรื่องไหนก็ได้ ตามแต่ที่ลูกค้าและผู้ให้บริการเสนอและสนองกัน จุดประสงค์ คือให้บริการจัดเก็บและแชร์ข้อมูลให้บุคคลหรือนิติบุคคลที่รับอนุญาตจากเจ้าของข้อมูลส่วนบุคคล ให้มาดึงไปใช้ได้เพื่อให้บริการแก่เจ้าของข้อมูลหรือเพื่อประโยชน์ของตัวเจ้าของข้อมูลเอง
- IDP เป็นทำตัวเป็นบุคคลที่สาม (ที่น่าเชื่อถือและมีใบอนุญาตเป็นทางการ) ที่ช่วยยืนยันตัวเราว่าเป็นตัวจริง ข้อมูลส่วนบุคคลที่เก็บที่เขาคือ ข้อมูลเกี่ยวกับตัวเราที่ระบุอัตลักษณ์ เช่น ภาพถ่ายใบหน้า ลายนิ้วมือ นอกจากนี้ ยังอาจมีข้อมูลส่วนตัว (option เสริม) ที่เรารู้คนเดียวและอาจใช้ประกอบการตรวจสอบ เช่น วันเกิด ชื่อสุนัขตัวแรก ชื่อสถานที่ที่เราพบกับแผนครั้งแรก หรือ รหัสลับบางอย่าง
- NDID ให้บริการเครือข่ายและช่องทางการต่อเชื่อมข้อมูล เพื่อให้ข้อมูลวิ่งไปมาระหว่าง RP AS IDP และ เรา (บุคคล) ได้ โดยที่ไม่ได้ทำการจัดเก็บข้อมูลส่วนบุคคลไว้เลย อาจจะมีแค่ส่วนของข้อมูลนิติบุคคล ว่า RP AS และ IDP คือใคร เป็นบริษัทอะไร ตั้งอยู่ที่ไหน ใครเป็นผู้ดูแลกิจการ ซึ่งไม่จัดเป็นข้อมูลส่วนบุคคล
- อย่างไรก็ตามในอนาคต หาก NDID จะมีการอัพเกรดความสามารถ เช่น NDID สามารถช่วยจดจำไว้ว่าเรา (บุคคล) ได้ไปสมัครลงทะเบียนไว้กับ IDP รายใดไว้บ้าง เพราะเราอาจจะเป็นลูกค้าของ IDP หลายราย และนาน ๆ ไปเราอาจจำไม่ได้หมด โดยควรขึ้นเฉพาะชื่อ IDP ที่เราเป็นลูกค้าเขา ไม่ควรขึ้น IDP ทั้งหมดมาให้เราบอกว่ารายไหน เช่นนี้ ตัวบริษัทที่ดูแล NDID ก็จะต้องปฏิบัติตาม พรบ. คุ้มครองฯ ด้วยเช่นกัน
ดร.มนต์ศักดิ์ โซ่เจริญธรรม
https://www.facebook.com/monsaks