the coronation of king rama x
email Webmasster contact's email   phone to ETDA  0-2123-1234
TH | EN


เผยแพร่ 25.11.2018 (10 เดือนที่ผ่านมา) | แก้ไขล่าสุด 17.09.2019 | อ่าน 3854

เทคโนโลยีจดจำใบหน้า จะอยู่กับ GDPR อย่างไร


Face Recognition อาจจะทำให้เครื่องสแกนลายนิ้วมือตกสมัยไป แต่เนื่องจากฟีเจอร์แบบนี้มักจะรวบรวมและใช้ข้อมูลส่วนบุคคลจำนวนมหาศาล เลยเกิดคำถามที่ถกเถียงกันว่า แล้วเราจะใช้งานอย่างไร

คำถามข้างต้นคือสิ่งที่ลากเอา Facebook ไปสู่ศาล เมื่อเดือนเมษายนปีนี้นี่เอง หลังจากที่พบว่ายักษ์ใหญ่ดิจิทัลแห่งนี้ใช้ข้อมูลใบหน้า โดยไม่ได้ขอความยินยอมจากผู้ใช้ สิ่งที่เห็นชัดก็คือ Facebook ใช้ “face templates” ในการแนะนำให้แท็ก โดยไม่ต้องแจ้งให้ใครทราบ

สิ่งที่เกิดขึ้นเหมือนเป็นการเตือนให้บริษัทอื่น ๆ ที่ใช้ข้อมูลไบโอเมตริก (ชีวมิติ เช่น ลายนิ้วมือ ม่านตา เส้นลายบนมือ การจดจำใบหน้า) ในการให้บริการ ตัวอย่างเช่น เว็บไซต์นัดเดตที่ใช้ข้อมูลใบหน้าในการจับคู่คน, กาสิโนที่ใช้ตามนักพนันที่ติดการพนัน “การจดจำใบหน้า” ยังกลายเป็นฟีเจอร์มาตรฐานอย่างหนึ่งในมือถือทั้งหลาย และบริษัทบัตรเครดิตบางแห่งก็ยังให้จ่ายเงินด้วยหน้ายิ้มของเรา

เนื่องจากกฎหมายด้านข้อมูลส่วนบุคคลกำลังเข้มแข็งขึ้นทั่วโลก โดยเฉพาะในสหภาพยุโรป บริษัทต่าง ๆ ที่เก็บและใช้ข้อมูลเหล่านี้จึงต้องตามให้ทันและหาแนวทางในการปฏิบัติให้สอดคล้องกับกฎหมายต่าง ๆ อย่างเช่น GDPR

นี่เป็นบทสรุปสั้น ๆ ว่าพวกเขาสามารถทำได้แค่ไหน...

การจดจำใบหน้า อยู่ตรงไหนภายใต้ GDPR

กฎหมาย GDPR เป็นการยกเครื่องกฎหมายข้อมูลส่วนบุคคลครั้งใหญ่นับตั้งแต่ปี 2538 โดยให้ผู้ใช้หรือ user มีอำนาจมากขึ้นกว่าที่เคยมี เมื่อเทคโนโลยีรุดหน้าอย่างรวดเร็ว การมีมาตรการแบบนี้ก็เป็นสิ่งที่หลีกเลี่ยงไม่ได้ แต่ก็ทำให้บริษัทต่าง ๆ ต้องคาดการณ์ว่าจะดูแลเรื่องนี้อย่างไร

เมื่อ เทคโนโลยีการจดจำใบหน้า หรือ Face Recognition Technology (FRT) เก็บข้อมูลลักษณะใบหน้าของคน ข้อมูลนี้ก็จัดอยู่ภายใต้ข้อมูลไบโอเมตริก ซึ่งจัดเป็น “ข้อมูลส่วนบุคคลที่มีความอ่อนไหว” (sensitive personal data) คำนิยามของข้อมูลไบโอเมตริกใน GDPR คือ....

ข้อมูลไบโอเมตริก หมายถึง ข้อมูลส่วนบุคคลที่เกิดจากการประมวลผลทางเทคนิคเฉพาะที่เกี่ยวข้องกับลักษณะทางกายภาพ สรีรวิทยา และพฤติกรรมของคนตามธรรมชาติ ซึ่งได้ให้หรือยืนยันตัวตนเฉพาะคนคนนั้น เช่น ภาพใบหน้า หรือลายนิ้วมือ

เห็นได้ชัดว่า GDPR แบ่งข้อมูลไบโอเมตริก ออกเป็น 2 ประเภท คือ

  1. ลักษณะทางกายภาพ: ลักษณะใบหน้า ลายนิ้วมือ ม่านตา น้ำหนัก ฯลฯ
  2. ลักษณะพฤติกรรม: นิสัย, การกระทำ, ลักษณะบุคลิก, ท่าทางประหลาด ๆ, การเสพติด ฯลฯ

โดยยังให้อำนาจสมาชิกของรัฐเพิ่มเติมข้อกำหนดข้อมูลที่มีความอ่อนไหวได้ตามที่เห็นสมควร

เอาให้แน่ใจว่านโยบายเรื่องการจดจำใบหน้าของคุณสอดคล้อง GDPR

แม้ว่า GDPR จะมีข้อบังคับที่เข้มงวดทีเดียว แต่ก็มีข้อยกเว้นที่อนุญาตให้มีการรวบรวมและใช้ข้อมูลที่มีความอ่อนไหว ซึ่งรวมถึง...

  • หากผู้ใช้ยินยอมด้วยตนเอง
  • หากสารสนเทศไบโอเมตริกนั้นจำเป็นสำหรับการปฏิบัติงาน ความมั่นคงปลอดภัยของสังคม หรือการปกป้องคุ้มครองทางสังคม
  • หากข้อมูลไบโอเมตริกจำเป็นสำหรับการปกป้องผลประโยชน์ที่สำคัญของแต่ละบุคคล แต่เขาหรือเธอไม่สามารถให้ความยินยอมได้
  • หากจำเป็นสำหรับประเด็นทางกฎหมาย
  • หากข้อมูลไบโอเมตริกนั้นจำเป็นสำหรับประโยชน์สาธารณะ เช่น สุขภาพ

จากพื้นฐานเหล่านี้ ขั้นตอนต่อไปนี้จะทำให้เรามั่นใจได้ว่า นโยบายเรื่องข้อมูลเทคโนโลยีจดจำใบหน้าของเรา อยู่ในขอบเขตของ GDPR

1. ให้ความสำคัญกับการได้รับความยินยอมจากผู้ใช้เสมอ

ประเด็นสำคัญคือ GDPR เป็นเรื่องเกี่ยวกับการเพิ่มความโปร่งใสและให้ผู้ใช้รู้ว่าข้อมูลของพวกเขาจะมีการนำไปใช้ เช่น ชุดกฎหมาย FRT ของ Facebook สามารถหลีกเลี่ยงได้โดยแค่ทำป๊อปอัปข้อความขึ้นมา เพื่อบอกผู้ใช้เกี่ยวกับฟีเจอร์และถามว่าพวกเขาต้องการจะเปิดมันใช้ไหม ยินยอมตาม GDPR คือ....

  • ผู้ใช้ต้องเป็นมีอิสระในการเลือกเองว่า เห็นด้วยหรือไม่เห็นด้วยในการเก็บรวบรวมข้อมูล หรือที่เรียกว่า opt-in (ออป-อิน) โดยไม่มีกล่องที่ติ๊กเลือกไว้ให้ก่อนแล้ว
  • สามารถยกเลิกการเก็บรวบรวมข้อมูลได้ตลอดเวลา
  • ชื่อของบุคคลที่สามทั้งหมดที่ต้องแชร์ข้อมูลไปให้
  • ให้ข้อมูลที่เฉพาะเจาะจงว่าอะไรที่มีการเก็บรวบรวมและทำไม ข้อมูลเหล่านี้ควรจะนำเสนอให้แตกต่างจากหน้าข้อกำหนดในการให้บริการ (terms and conditions)
  • ระยะเวลาในการเก็บข้อมูล
  • บันทึกความยินยอมของผู้ใช้ ซึ่งจะมีการอัปเดตเมื่อมีการเปลี่ยนแปลงใด ๆ เกิดขึ้นกับเทคโนโลยีหรือฟีเจอร์ที่ความยินยอมนี้เกี่ยวข้อง

ส่วนที่จะเป็นปัญหาในการจำกัดความของ “ความยินยอมใน GDPR” คือการที่นำไปใช้แล้วไม่พิจารณาในเรื่องการให้ความยินยอมอย่างเสรี (Freely given) จนเกิดความไม่สมดุลของอำนาจระหว่างผู้ควบคุมข้อมูลกับเจ้าของข้อมูล ดังนั้น หากคุณจ้างคนทำงานแล้วขอให้เขายอมรับนโยบาย FRT โดยบอกเป็นนัยว่าเขาจะไม่ได้งานหากเขาไม่รับเรื่องนี้ อย่างนี้ไม่ถือเป็นความยินยอม ในทำนองเดียวกันการปฏิเสธที่จะให้บริการผู้ใช้หากเขาไม่รับเงื่อนไขของคุณ ซึ่งอาจจะทำให้คุณมีปัญหาได้

ตัวอย่างหน้า opt-in ใช้ FRT ของ Facebook ในยุโรปและแคนาดา

ภาพจาก VentureBeat

หน้านี้ระบุอย่างชัดเจนว่าข้อมูลอะไรที่จะเก็บ จะนำไปใช้อย่างไร และให้อิสระกับผู้ใช้ในการเลือก opt-in แต่บางคนอาจจะจ้องไปที่ปุ่มสีฟ้าตรง “ยอมรับและไปต่อ” (Accept and Continue) ซึ่งแย้งกับกฎของ GDPR ทางที่ดีควรหลีกเลี่ยงแนวทางนี้ และใช้ความชัดเจนแบบ “yes” หรือ “no”

เช็กลิสต์ความยินยอมของ GDPR ฉบับสมบูรณ์ เพื่อวิเคราะห์อย่างละเอียดมากขึ้น สามารถดูได้ที่  GDPR Consent Checklist 

2. รวมเรื่อง FRT โดยเฉพาะในนโยบาย DPIA

การประเมินผลกระทบต่อข้อมูลส่วนบุคคล หรือ Data Protection Impact Assessment (DPIA) เป็นชุดของขั้นตอนในการระบุและลดความเสี่ยงในการรวบรวมและเก็บข้อมูล DPIAs จำเป็นสำหรับข้อมูลที่พิจารณาแล้วว่ามีความเสี่ยงสูงต่อคนแต่ละคน เช่น ข้อมูลไบโอเมตริกริก โดย DPIA ต้อง...

  • อธิบายลักษณะ ขอบเขต บริบท และวัตถุประสงค์ของการประมวลผล
  • ประเมินความจำเป็น สัดส่วน และมาตรการการปฏิบัติตามกฎหมาย
  • ระบุและประเมินความเสี่ยงต่อแต่ละบุคคล
  • ระบุมาตรการเพิ่มเติมเพื่อลดความเสี่ยงเหล่านั้น

หากหลังจากดำเนินการตาม DPIA แล้วสรุปได้ว่า ความเสี่ยงนั้นไม่สามารถแก้ไขได้ ก็ต้องปรึกษากับผู้กำกับดูแลกฎหมาย ซึ่งจะตอบกลับด้วยวิธีแก้ไขภายใน 8 สัปดาห์ (ซึ่งอาจจะขยายไปอีก 6) หากไม่สามารถลดความเสี่ยงได้ คุณจะถูกห้ามไม่ให้รวบรวมและใช้ข้อมูลไบโอเมตริก

3. ทำให้เป็นนิรนาม และ/หรือใช้ข้อมูลแฝง

วิธีการหนึ่งในการปกป้องข้อมูล FRT คือ การทำให้ไม่มีชื่อทั้งหมด ทำให้มันเป็นไปไม่ได้ที่จะตัดสินว่าใครคือคนที่ข้อมูลระบุ คุณอาจพิจารณาในการย้ายชื่อออกจากชุดข้อมูลก่อนที่จะเข้าสู่ระบบฐานข้อมูล ซอฟต์แวร์ที่ใช้ในการทำให้ข้อมูลภาพเป็นคนนิรนาม สามารถสร้างในเลเยอร์ด้านความมั่นคงปลอดภัย

ในสถานการณ์ที่การทำให้ไม่มีชื่อพิสูจน์ได้ในทางปฏิบัติ การใช้ข้อมูลแฝงสามารถทำได้ การใช้ข้อมูลที่ทำให้เป็นนามแฝงครอบคลุมอยู่ใน GDPR ซึ่งมันสามารถนิยามได้ว่าเป็นการประมวลผลข้อมูลส่วนบุคคลในลักษณะที่ข้อมูลส่วนบุคคลไม่สามารถระบุตัวเจ้าของข้อมูได้ หากปราศจากการใช้ข้อมูลเพิ่มเติมประกอบ ทั้งนี้มีการเก็บรักษาข้อมูลนั้นไว้ในสภาพแวดล้อมที่มั่นคงปลอดภัย

4. รับประกันความมั่นคงปลอดภัยของข้อมูล

GDPR ไม่เหมือนกฎหมายคุ้มครองข้อมูลก่อนหน้านี้ของ EU เพราะต้องการมาตรการที่เข้มงวดกว่าที่จะรับรองว่าข้อมูลส่วนบุคคลจะไม่ถูกบุกรุก ข้อความที่ระบุภายใต้ GDPR คือ...

...ปฏิบัติตามมาตรการทางเทคนิคและทางการจัดการองค์กรที่เหมาะสม” โดยคำนึง “ความทันสมัยและค่าใช้จ่ายในการดำเนินงาน” และ “ลักษณะ ขอบเขต บริบท และวัตถุประสงค์ในการประมวลผล ตลอดจนความเสี่ยงในการเปลี่ยนแปลงที่เป็นไปได้และเข้มงวดสำหรับสิทธิและเสรีภาพของบุคคลธรรมดา

มีขั้นตอนบางอย่างที่คุณสามารถนำไปใช้ได้คือ…

  • มีกลยุทธ์ป้องกันการสูญหายของข้อมูลอย่างละเอียด: กลยุทธ์และเครื่องมือป้องกันการสูญหายของข้อมูล หรือ Data Loss Prevention (DLT) จะช่วยให้คุณพิชิต GDRP เนื่องจากองค์กรที่ปล่อยให้ข้อมูลหลุดรั่วเกิดขึ้นจะถูกลงโทษอย่างหนักภายใต้ GDPR ดังนั้น DLT จึงเหมาะสำหรับการลงทุน
  • ทำแผนฟื้นฟูความเสียหายเพื่อป้องกันความผิดพลาด: Article 32 ของ GDPR ระบุว่า บริษัทควรมี “ความสามารถในการกู้คืนความพร้อมในการใช้งานและการเข้าถึงข้อมูลส่วนบุคคลในเวลาที่เหมาะสมในกรณีที่เกิดเหตุ ทั้งในทางกายภาพหรือทางเทคนิค” มีซอฟต์แวร์ฟื้นฟูความเสียหายค่อนข้างน้อยทีเดียวในตลาดที่สามารถช่วยคุณในที่นี้
  • มีนโยบายการแบ็กอัปหรือสำรองข้อมูลที่สอดคล้องกับ GDPR: การแบ็กอัปข้อมูลเป็นดาบสองคมเมื่อต้องเผชิญกับ GDPR ไม่เพียงแต่คุณจำเป็นต้องให้ข้อมูลโอนย้ายได้ภายใต้ Article 20 ของ GDPR แต่ผู้ใช้ยังมีสิทธิในการลบที่ระบุไว้ใน Article 17 พูดง่าย ๆ คือ แบ็กอัปของคุณจะกู้คืนข้อมูลกลับมาได้อย่างรวดเร็วถ้าจำเป็น และควรจะสามารถลบข้อมูลออกจากแบ็กอัปได้ทั้งหมดเมื่อผู้ใช้ร้องขอ
  • พิจารณาการควบคุมการจัดการและสิทธิ์ในการเข้าถึงที่เข้มแข็ง: การควบคุมสิทธิการเข้าถึงหรือ Identity Access and Management (IDAM) นั้นเป็นที่ทราบกันดีว่าจะช่วยในการบังคับใช้นโยบายสิทธิพิเศษให้น้อยที่สุดและจำกัดการเข้าถึงข้อมูลที่มีความละเอียดอ่อน

บทสรุป

ไม่น่าแปลกใจกับการมาของ GDPR ในความพยายามที่จะควบคุมเทคโนโลยีครั้งใหญ่ เพราะตั้งแต่ออกกฎหมายคุ้มครองข้อมูลส่วนบุคคลในปี 2538 นับแต่นั้นเป็นต้นมาก็เกิดความเปลี่ยนแปลงในตัวบทกฎหมายไม่มากนัก แต่เทคโนโลยีใหม่ ๆ ยังคงวิวัฒนาการอย่างต่อเนื่อง

ผลจากการพัฒนาคือการเกิดอาชญากรรมไซเบอร์ ด้วยตัวเลขของการแฮกและแรนซัมแวร์ที่เพิ่มขึ้น องค์กรต้องจัดการทุกสิ่งเพื่อมั่นใจได้ว่าข้อมูลที่พวกเขาเก็บไว้จะไม่หลุดรั่ว แล้วจะเกิดอะไรขึ้นหากข้อมูลที่มีลักษณะส่วนบุคคลสูงอย่างลักษณะใบหน้าเกิดรั่วขึ้นมา

ตราบเท่าที่องค์กรปฏิบัติตามมาตรฐานด้านความมั่นคงปลอดภัยและจริยธรรมสูงสุด พวกเขาก็ไม่ต้องกลัวว่าจะมีกฎหมายใด ๆ ขึ้นมาใหม่หรือไม่

ที่มา: thenextweb

ติดตามความรู้ด้านการคุัมครองข้อมูลส่วนบุคคลดี ๆ อีกมากมาย เพียงคลิก https://www.etda.or.th/dpkc.html