ข่าวสารและบทความล่าสุด

Digital ID ตามความหมายของสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ หมายถึง อัตลักษณ์ (Identity) หรือข้อมูลส่วนบุคคลที่ถูกนำมารวบรวมไว้ในรูปแบบดิจิทัล เช่น เลขประจำตัว ชื่อนามสกุล ที่อยู่ ภาพใบหน้า เป็นต้น เพื่อใช้ระบุตัวตนและยืนยันตัวตนในการใช้บริการของภาครัฐและภาคเอกชนที่เข้าร่วม ในบทความนี้จึงจะมาพูดถึงการใช้ Digital ID เพื่อยืนยันตัวตนในประเทศไทยว่ามีการทำงานอย่างไร เป็นประโยชน์อย่างไรต่อข้อมูลส่วนบุคคล และความสอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล

ประเด็นที่ 1 การทำงานของ Digital ID เพื่อยืนยันตัวตน และประโยชน์ต่อข้อมูลส่วนบุคคลล

การพิสูจน์ยืนยันตัวตน หมายถึงการรวบรวมและตรวจสอบข้อมูลเกี่ยวกับอัตลักษณ์ของบุคคล พร้อมทั้งตรวจสอบความเชื่อมโยงระหว่างบุคคลและอัตลักษณ์นั้นว่ามีความเชื่อมโยงว่าบุคคลนั้นเป็นเจ้าของข้อมูลจริงหรือไม่ ซึ่งแต่เดิมทั่วโลกรวมถึงประเทศไทยต้องใช้เอกสารในการดำเนินการหรือทำธุรกรรมเป็นหลัก จากการที่คอมพิวเตอร์ หรือเทคโนโลยีอื่น ๆ ยังไม่แพร่หลาย ซึ่งรวมไปถึงการยืนยันตัวตน ไม่ว่าจะเป็นบัตรประชาชน หนังสือเดินทาง ใบขับขี่ หรือนำเอกสารอื่น ๆ มาประกอบกัน ทำให้เกิดความยุ่งยากในการยืนยันตัวตน เพราะเจ้าของข้อมูลซึ่งต้องการยืนยันตัวตนก็จะต้องมีการจัดเตรียมเอกสารนั้น ๆ และเดินทางไปยังสถานที่ที่กำหนดในการยืนยันตัวตน ซึ่งมีความยุ่งยากและก่อให้เกิดความเสี่ยงที่อาจเกิดการรั่วไหลของข้อมูลส่วนบุคคล นอกจากนี้ เมื่อยื่นเอกสารแก่ผู้อื่น ย่อมทำให้ผู้อื่นได้รับข้อมูลส่วนบุคคลของเจ้าของข้อมูลไปทั้งหมด แม้อาจมีความจำเป็นต้องใช้เพียงบางส่วน ทำให้การพิสูจน์ยืนยันตัวตนในอดีตมีขั้นตอนที่ไม่สะดวก มีการเก็บรวบรวมข้อมูลส่วนบุคคลมากเกินความจำเป็น และยังมีความเสี่ยงที่ข้อมูลส่วนบุคคลจะรั่วไหลอีกด้วย

ปัจจุบัน ประเทศไทยจึงมีการพัฒนาเทคโนโลยีเกิดเป็น Digital ID เพื่ออำนวยความสะดวกแก่ประชาชนในการพิสูจน์ยืนยันตัวตน โดยมี Digital ID ที่ใช้และเป็นที่รู้จักอย่างแพร่หลาย คือ ระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัลในแอปพลิเคชัน ThaID ของกรมการปกครอง กระทรวงมหาดไทย ซึ่งหากเจ้าของข้อมูลมีการยืนยันตัวตนผ่านแอปพลิเคชันแล้วก็จะทำให้สามารถเข้าใช้บริการต่าง ๆ ของภาครัฐได้ เช่น การยื่นภาษีออนไลน์ ระบบเข้าชื่อเสนอกฎหมาย สมุดสุขภาพ และระบบร้องทุกข์ผู้บริโภค เป็นต้น

การทำงานของระบบยืนยันตัวตนของประเทศไทยนั้น หน่วยงานรัฐต้องมีการจัดทำให้เป็นไปตามแนวทางการจัดทำกระบวนการและการดำเนินงานทางดิจิทัล เรื่องการใช้ดิจิทัลไอดีสำหรับบริการภาครัฐ –การพิสูจน์และยืนยันตัวตนทางดิจิทัล สำหรับบุคคลธรรมดาที่มีสัญชาติไทย โดยต้องทำตามมาตรฐาน ได้แก่

• IAL (Identity Assurance Level) ซึ่งก็คือระดับความเข้มงวดในการพิสูจน์ตัวตนของผู้สมัครใช้บริการ โดยมีความน่าเชื่อถือแบ่งออกเป็น 3 ระดับ ระดับหนึ่งในกรณีมีการรวบรวมข้อมูลส่วนบุคคล แต่ไม่มีข้อกำหนดการตรวจสอบหรือพิจารณาหลักฐานแสดงตน ระดับสองได้แก่กรณีมีการรวบรวมข้อมูลเพื่อระบุตัวตน และผู้ให้บริการมีการพิจารณาหลักฐานแสดงตน และระดับสามเพิ่มความเข้มงวดแก่ระดับที่สองด้วยการพิจารณาหลักฐานแสดงตนเพิ่มเติมและการตรวจสอบข้อมูลชีวมิติ (เช่น สแกนใบหน้า ตรวจสอบลายนิ้วมือ) และ
• AAL (Authenticator Assurance Level) คือระดับความเข้มงวดในกระบวนการยืนยันตัวตนของผู้ใช้บริการแบ่งออกเป็น 3 ระดับคือ ระดับหนึ่ง การยืนยันตัวตนด้วยปัจจัยเดียว ระดับสอง การยืนยันตัวตนด้วยสองปัจจัยแตกต่างกัน เช่น รหัสลับและข้อมูลชีวมิติ และระดับสาม การยืนยันตัวตนโดยใช้ปัจจัยของการยืนยันตัวตนประเภทที่มีอุปกรณ์เข้ามาเกี่ยวข้อง ดังนั้น การยืนยันตัวตนด้วย Digital ID จึงมีความเสี่ยงที่ข้อมูลส่วนบุคคลจะรั่วไหลมากน้อยแตกต่างกัน จึงต้องมีการพิจารณาดำเนินการคุ้มครองข้อมูลส่วนบุคคลแตกต่างกัน

จึงสามารถสรุปได้ว่า Digital ID นั้น เป็นประโยชน์ต่อข้อมูลส่วนบุคคลในการยืนยันตัวตน ดังนี้

ประเด็นที่ 2 Digital ID กับกฎหมายคุ้มครองข้อมูลส่วนบุคคล

 การยืนยันตัวตนด้วย Digital ID นั้นเป็นการนำข้อมูลส่วนบุคคลมาใช้ในการประมวลผลข้อมูลส่วนบุคคลเช่น ชื่อ นามสกุล เพศ หมายเลขบัตรประชาชน ศาสนา ภาพใบหน้า หรือลายนิ้วมือ เป็นต้น เพื่อวัตถุประสงค์ในการยืนยันตัวตน ซึ่งต้องจัดให้มีระบบรักษาความมั่นคงปลอดภัยตามมาตรฐานสำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน) โดยเมื่อพิจารณาตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล Digital ID มีความเกี่ยวข้องและความสอดคล้องตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล ดังนี้

1. บุคคลที่เกี่ยวข้องตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

การยืนยันตัวตนผ่าน Digital ID มีบุคคลที่เกี่ยวข้องตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล ดังนี้

• ผู้ควบคุมข้อมูลส่วนบุคคล ได้แก่ หน่วยงานที่มีอำนาจหน้าที่สามารถกำหนดวัตถุประสงค์ในการนำข้อมูลส่วนบุคคลมาประมวลผล เช่น กรมการปกครอง มีการเก็บรวบรวมข้อมูลส่วนบุคคลในการให้บริการ Digital ID จึงเป็นผู้ควบคุมข้อมูลส่วนบุคคลซึ่งมีหน้าที่ต้องปฏิบัติตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ เช่น การจัดทำและปฏิบัติตามนโยบายความเป็นส่วนตัวภายในองค์กร การแจ้งรายละเอียดการเก็บข้อมูลส่วนบุคคล การจัดทำบันทึกรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (RoPA) การจัดให้มีช่องทางใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล การจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม รวมถึงการจัดให้มีกระบวนการสำหรับรับมือเหตุการละเมิดข้อมูลส่วนบุคคล เป็นต้น
• ผู้ประมวลผลข้อมูลส่วนบุคคล ได้แก่ บุคคลหรือนิติบุคคลภายนอกที่ผู้ควบคุมข้อมูลส่วนบุคคลมีการส่งหรือโอนข้อมูลส่วนบุคคลไปให้ประมวลผล โดยผู้ประมวลผลข้อมูลส่วนบุคคลจะต้องดำเนินการประมวลผลข้อมูลส่วนบุคคลตามคำสั่งและวัตถุประสงค์ที่ผู้ควบคุมข้อมูลส่วนบุคคลกำหนดเท่านั้น เช่น บริษัทหรือคู่ค้า/คู่สัญญาภายนอกที่ทำหน้าที่วิเคราะห์หรือให้บริการพัฒนาระบบการยืนยันตัวตน เป็นต้น ซึ่งมีหน้าที่ที่จะต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยแก่ข้อมูลส่วนบุคคล และการจัดทำและรักษาบันทึกรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (RoPA) สำหรับผู้ประมวลผลข้อมูลส่วนบุคคล
• เจ้าของข้อมูลส่วนบุคคล ได้แก่บุคคลที่ข้อมูลส่วนบุคคลนั้นสื่อถึง ในกรณีการยืนยันตัวตนด้วย Digital ID จึงหมายถึงผู้เข้ามาใช้บริการ Digital ID โดยผู้ใช้บริการย่อมได้รับสิทธิตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล ไม่ว่าจะเป็นการได้รับแจ้งรายละเอียดหรือวัตถุประสงค์ของการเก็บข้อมูลส่วนบุคคลนั้น การขอความยินยอมและถอนความยินยอมในกรณีที่การประมวลผลไม่เข้าข้อยกเว้นตามกฎหมาย สิทธิในการขอเข้าถึง การแก้ไข โอนย้ายข้อมูล ระงับการใช้งาน การขอลบทำลายข้อมูล รวมถึงการร้องเรียนกรณีมีเหตุละเมิดเกิดแก่ข้อมูล

2. เหตุผลทางกฎหมายที่ใช้สำหรับการยืนยันตัวตนผ่าน Digital ID

เมื่อการยืนยันตัวตนผ่านระบบ Digital ID มีการประมวลผลข้อมูลส่วนบุคคล จึงต้องมีฐานทางกฎหมายโดยสามารถพิจารณาตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลฯ มาตรา 24 และมาตรา 26 เพื่ออ้างเหตุผลในการประมวลผลข้อมูลส่วนบุคคลนั้น โดยการระบุฐานทางกฎหมายจะต้องพิจารณารายละเอียด เช่น บทบาทของผู้ควบคุมข้อมูลส่วนบุคคล วัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคล ข้อมูลส่วนบุคคลที่มีการประมวลผล เจ้าของข้อมูลส่วนบุคคล เป็นต้น

ตัวอย่าง กิจกรรมการลงทะเบียนและเข้าใช้งานระบบ Digital ID ซึ่งมีการเก็บข้อมูลอัตลักษณ์ ได้แก่ ชื่อ นามสกุล รูปถ่าย ลายมือชื่อ ของผู้ใช้บริการ อาจพิจารณาใช้ ฐานสัญญา ตามมาตรา 24(3) เพื่อวัตถุประสงค์ในการลงทะเบียนและเข้าใจงานระบบ

3. การจัดทำเอกสารทางกฎหมายที่เกี่ยวข้อง

เพื่อให้การยืนยันตัวตนผ่าน Digital ID เป็นไปโดยสอดคล้องตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

ผู้ให้บริการ Digital ID ซึ่งอยู่ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล ย่อมต้องมีหน้าที่พิจารณาดำเนินการจัดให้มีเอกสารทางกฎหมายตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล ดังต่อไปนี้

• บันทึกรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (RoPA) ตามมาตรา 39: เป็นเอกสารที่ใช้

บันทึกการประมวลผลข้อมูลส่วนบุคคล เพื่อให้เห็นภาพรวมการดำเนินกิจกรรมของผู้ให้บริการ และใช้เป็นข้อมูลสำหรับการตรวจสอบเมื่อเกิดปัญหาเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล

• ประกาศความเป็นส่วนตัว (Privacy notice) ตามมาตรา 23 และ 25: เป็นเอกสารที่ใช้แจ้งแก่เจ้าของข้อมูลส่วนบุคคลก่อนหรือขณะเก็บข้อมูล เพื่อให้เจ้าของข้อมูลส่วนบุคคลทราบถึงวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคล และรายละเอียดที่เกี่ยวข้องตามกฎหมายกำหนด โดยอาจมีการแจ้งผ่านเว็บไซต์ หรือจัดทำข้อความประกาศในพื้นที่ที่เจ้าของข้อมูลสามารถเข้าถึงได้ง่าย เช่น กรมการปกครอง ได้จัดทำ “ประกาศความเป็นส่วนตัว สำหรับผู้ใช้งานระบบ DOPA-Digital ID ของสำนักบริหารการทะเบียน กรมการปกครอง” ซึ่งสามารถเข้าถึงได้ผ่านเว็บไซต์
• หนังสือขอความยินยอม (Consent form) ตามมาตรา 19: เป็นเอกสารที่ใช้ในการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เมื่อพิจารณาแล้วว่ากิจกรรมนั้น ๆ ไม่มีฐานทางกฎหมายอื่นรองรับ หรือมีการเก็บรวบรวมข้อมูลส่วนบุคคลอ่อนไหว โดยไม่เข้าข้อยกเว้นตามมาตรา 26 เช่น กรณีการยืนยันตัวตนที่มีการใช้ข้อมูลลายนิ้วมือ หรือภาพสแกนใบหน้า ซึ่งเป็นข้อมูลส่วนบุคคลอ่อนไหว

นอกจากนี้ ผู้ให้บริการ Digital ID หรือผู้ควบคุมข้อมูลส่วนบุคคลต้องตรวจสอบกิจกรรมที่เกี่ยวข้องกับการให้บริการ Digital ID เช่น หากมีการส่งหรือโอนข้อมูลส่วนบุคคลไปยังหน่วยงานภายนอกอาจต้องพิจารณาจัดให้มีเอกสารทางกฎหมายอื่น ๆ เพิ่มเติม ไม่ว่าจะเป็นสัญญาการประมวลผลข้อมูลส่วนบุคคล หรือการกำหนดมาตรการในการรักษาความมั่นคงปลอดภัย เป็นต้น เพื่อให้สามารถปฏิบัติได้โดยสอดคล้องตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

บทสรุป

การพัฒนาการยืนยันตัวตนผ่าน Digital ID ของประเทศไทยไม่เพียงเป็นการเพิ่มประสิทธิภาพในการให้บริการของภาครัฐและเอกชน แต่ยังเป็นก้าวสำคัญในการคุ้มครองข้อมูลส่วนบุคคลทั้งในมุมของผู้ให้บริการที่มีหน้าที่ต้องปฏิบัติตามมาตรฐานที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด และผู้ใช้บริการที่ต้องตระหนักรู้ถึงสิทธิของตนเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล เพื่อให้สามารถใช้ประโยชน์จาก Digital ID ได้อย่างปลอดภัย ช่วยลดความเสี่ยงจากการรั่วไหลของข้อมูลและการปลอมแปลงเอกสาร พร้อมสร้างมาตรฐานใหม่ของการพิสูจน์ตัวตนที่สอดคล้องกับหลักการตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ซึ่งจะนำไปสู่การสร้างความเชื่อมั่นในการใช้ Digital ID และยกระดับคุณภาพชีวิตของประชาชนในยุคดิจิทัลอย่างยั่งยืนต่อไป

แหล่งอ้างอิง :
- https://standard.dga.or.th/wp-content/uploads/2021/09/3.Digital-ID-DGS-1-2_2564.pdf

- https://multi.dopa.go.th/icad/assets/modules/news/uploads/7a9b7df15c9e32623884d32d8d31a11667454332803d32169952200716239479.pdf

- https://www.bora.dopa.go.th/app-thaid/