เทคโนโลยี AI ทำให้กล้องวงจรปิด (CCTV) พัฒนาไปสู่ระบบเฝ้าระวังอัจฉริยะ (Smart Surveillance) ที่สามารถใช้การวิเคราะห์ภาพ (video analytics) เพื่อช่วยตรวจจับ ระบุ และติดตามบุคคลหรือเหตุการณ์ได้โดยอัตโนมัติ ซึ่งแตกต่างจากกล้องวงจรปิดแบบทั่วไปที่ทำหน้าที่เพียงบันทึกภาพเท่านั้น ทั้งนี้ เทคโนโลยี AI CCTV ในประเทศไทย เริ่มถูกนำไปใช้ทั้งในภาครัฐเพื่อเสริมสร้างความปลอดภัยในพื้นที่สาธารณะ และในภาคเอกชนเพื่อเพิ่มประสิทธิภาพในการดำเนินธุรกิจ อย่างไรก็ตาม การใช้งานเทคโนโลยีนี้มีข้อท้าทายด้านความเป็นส่วนตัว
ความสามารถของ AI CCTV ในปัจจุบันสามารถวิเคราะห์ข้อมูลของบุคคลในรูปแบบต่าง ๆ ผ่านเทคโนโลยี AI ตั้งแต่การตรวจจับว่ามีบุคคลอยู่ในพื้นที่ไปจนถึงการระบุตัวตนของบุคคลโดยเฉพาะความแตกต่างของการทำงานนี้มีความสำคัญต่อการพิจารณาการดำเนินการให้สอดคล้องตาม PDPA โดยเฉพาะในประเด็นเกี่ยวกับการประมวลผลข้อมูลชีวมิติ (Biometric Data) ซึ่งเป็นข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Personal Data)
โดยทั่วไป ระบบ AI CCTV สามารถแบ่งลักษณะการทำงานออกได้เป็น 2 ระดับหลัก ได้แก่ “Detection” และ “Recognition” ซึ่งมีระดับผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลที่แตกต่างกัน
Detection หมายถึง การตรวจจับว่ามีบุคคลหรือวัตถุอยู่ภายในภาพหรือพื้นที่ เช่น การตรวจจับการเคลื่อนไหว การนับจำนวนคน หรือการแยกว่าภาพดังกล่าวเป็นบุคคล โดยระบบยังไม่สามารถระบุตัวตนของบุคคลนั้นได้ ซึ่งในทางกฎหมาย กระบวนการประมวลผลข้อมูลในระดับ Detection ไม่ก่อให้เกิดข้อมูลที่สามารถระบุตัวบุคคลได้โดยตรง ความเสี่ยงต่อสิทธิและเสรีภาพของเจ้าของข้อมูลจึงอยู่ในระดับต่ำ
ในขณะที่ Recognition เป็นการทำงานในระดับที่สูงขึ้น โดยระบบสามารถเชื่อมโยงข้อมูลกับบุคคลใดบุคคลหนึ่งหรือระบุตัวตนของบุคคลได้ เช่น การจดจำใบหน้า (Facial Recognition Technology: FRT) การเปรียบเทียบภาพใบหน้ากับฐานข้อมูล หรือการวิเคราะห์ลักษณะเฉพาะทางชีวภาพชีวภาพ (Biometric Template) เพื่อยืนยันตัวบุคคล
ปัจจุบัน AI CCTV บางระบบยังได้รับการพัฒนาให้สามารถจดจำใบหน้าแบบเรียลไทม์ (Live Facial Recognition Technology: LFT) ได้ โดยระบบสามารถสแกนและวิเคราะห์ใบหน้าของผู้คนที่เดินผ่านกล้องแบบอัตโนมัติ และนำข้อมูลดังกล่าวไปเปรียบเทียบกับฐานข้อมูลที่กำหนดไว้ล่วงหน้าเพื่อค้นหาหรือระบุตัวบุคคลที่ต้องการ แม้ว่าระบบอาจมุ่งวิเคราะห์บุคคลบางราย แต่ในทางเทคนิคระบบต้องประมวลผลใบหน้าของทุกคนที่อยู่ในพื้นที่ครอบคลุมก่อนเสมอ ซึ่งส่งผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลอย่างมาก
ความแตกต่างดังกล่าวมีความสำคัญในมุมมองของกฎหมายคุ้มครองข้อมูลส่วนบุคคล เนื่องจากภาพใบหน้าที่ถูกประมวลผลด้วย AI เพื่อใช้ในการระบุตัวตนบุคคล อาจเข้าข่ายเป็นข้อมูลชีวมิติ (Biometric Data) ซึ่งเป็นข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Personal Data) ตาม PDPA มาตรา 26 และต้องได้รับการคุ้มครองในระดับที่สูงกว่าข้อมูลส่วนบุคคลทั่วไป ความโปร่งใส และขอบเขตการใช้งาน ซึ่งต้องดำเนินการให้สอดคล้องตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล
เมื่อระบบ CCTV เริ่มผสานเทคโนโลยี AI เข้ามาใช้งานมากขึ้น ไม่ว่าจะเป็นการจดจำใบหน้า (Facial Recognition) การวิเคราะห์พฤติกรรม การติดตามการเคลื่อนไหวของบุคคล (Tracking) หรือการวิเคราะห์อารมณ์จากสีหน้า (Emotion Detection) ระบบดังกล่าวเริ่มมีการประมวลผลข้อมูลที่มีความเสี่ยงสูง ซึ่งส่งผลต่อสิทธิและเสรีภาพของเจ้าของข้อมูลได้
ปัจจุบันประเทศไทยเริ่มมีการนำระบบ AI CCTV มาใช้งานมากขึ้น อย่างกรณีของหน่วยงานภาครัฐที่มีหน้าที่รักษาความมั่นคงและความปลอดภัยของประชาชน เช่น สำนักงานตำรวจแห่งชาติ ได้นำ AI CCTV มาใช้ในพื้นที่สาธารณะเพื่อตรวจจับและจดจำใบหน้าของผู้ต้องหาตามหมายจับ โดยมีการใช้เทคโนโลยีจดจำใบหน้า (Facial Recognition) เพื่อเปรียบเทียบกับฐานข้อมูลบุคคลหรือระบุตัวตนเฉพาะ ซึ่งเชื่อมโยงฐานข้อมูลหมายจับของ CIB พร้อมระบบแจ้งเตือนไปยังตำรวจที่ในพื้นที่ทันที ซึ่งตามมาตรา 4 PDPA ไม่บังคับใช้กับการดำเนินการของหน่วยงานของรัฐที่มีหน้าที่ในการรักษาความมั่นคงของรัฐหรือรักษาความปลอดภัยของประชาชน หน่วยงานของรัฐจึงไม่จำเป็นต้องอ้างฐานทางกฎหมายตาม PDPA อย่างไรก็ดี การดำเนินการยังคงต้องมีอำนาจรองรับจากกฎหมายเฉพาะ ได้แก่ พระราชบัญญัติตำรวจแห่งชาติ พ.ศ. 2565 และประมวลกฎหมายวิธีพิจารณาความอาญา ซึ่งให้อำนาจในการสืบสวน รวบรวมพยานหลักฐาน และจับกุมผู้ต้องหาตามหมายจับของศาล แนวทางนี้สอดคล้องกับหลักการของสหภาพยุโรป (EU) ภายใต้ EU AI Act ที่อนุญาตให้หน่วยงานสามารถใช้ระบบ Remote Biometric Identification ในพื้นที่สาธารณะได้เฉพาะกรณีที่มีความจำเป็น เช่น การตามจับผู้ต้องหาในคดีร้ายแรง และต้องผ่านการอนุมัติจากศาลก่อนเสมอ
สำหรับภาคเอกชน เช่น ห้างสรรพสินค้าที่นำ AI CCTV มาวิเคราะห์พฤติกรรมของผู้ใช้บริการในลักษณะที่ไม่มีการระบุตัวตนบุคคล เช่น การนับจำนวนผู้เข้าใช้บริการ การวิเคราะห์เส้นทางการเดิน หรือการวิเคราะห์รูปแบบการเลือกซื้อสินค้า การประมวลผลข้อมูลดังกล่าวสามารถอ้างฐานประโยชน์อันชอบธรรม (Legitimate Interest) ตามมาตรา 24(5) ได้ เนื่องจากการวิเคราะห์ในลักษณะนี้ไม่มีการระบุตัวตนบุคคล ความเสี่ยงต่อสิทธิของเจ้าของข้อมูลจึงอยู่ในระดับต่ำ ทำให้ฐานประโยชน์อันชอบธรรมเพียงพอที่จะถ่วงดุลกับประโยชน์ทางธุรกิจได้ โดยไม่จำเป็นต้องพึ่งความยินยอม ทั้งนี้ ผู้ควบคุมข้อมูลยังคงมีหน้าที่ต้องแจ้งให้เจ้าของข้อมูลทราบผ่าน Privacy Notice ที่ชัดเจน แนวทางนี้สอดคล้องกับ EDPB Guidelines 5/2022 ของสหภาพยุโรป และแนวปฏิบัติของ UK ICO ที่ระบุว่าการเฝ้าระวังด้วยวิดีโอในลักษณะที่ไม่ระบุตัวตนสามารถอาศัยฐาน Legitimate Interest ได้ โดยผู้ควบคุมข้อมูลต้องดำเนินการประเมิน Legitimate Interest Assessment (LIA) เพื่อชั่งดุลระหว่างผลประโยชน์อันชอบด้วยกฎหมายขององค์กรกับสิทธิและเสรีภาพของเจ้าของข้อมูล และต้องแสดงให้เห็นว่าการประมวลผลดังกล่าวไม่ก่อให้เกิดผลกระทบต่อเจ้าของข้อมูลเกินสมควร ทั้งนี้ ผู้ควบคุมข้อมูลยังคงมีหน้าที่ต้องแจ้งให้เจ้าของข้อมูลทราบผ่าน Privacy Notice ที่ชัดเจน
อย่างไรก็ตาม AI CCTV ไม่ได้มีการทำงานในลักษณะเดียวกันทั้งหมด ในบางกรณี AI อาจทำหน้าที่เพียงตรวจจับเหตุการณ์หรือความผิดปกติในพื้นที่ควบคุมที่อนุญาตให้เฉพาะบุคคลที่มีสิทธิเข้าพื้นที่เท่านั้น เช่น การตรวจพบว่ามีบุคคลพยายามเข้าสู่พื้นที่หวงห้าม หรือมีบุคคลอยู่ในพื้นที่ที่ไม่ควรเข้าถึง โดยระบบจะส่งสัญญาณแจ้งเตือนไปยังเจ้าหน้าที่ที่เกี่ยวข้องเพื่อดำเนินการตรวจสอบต่อไป ทั้งนี้ ระบบลักษณะดังกล่าวอาจทำหน้าที่เพียงตรวจจับ (Detection) โดยไม่ได้มีการจดจำหรือระบุตัวตนของบุคคลว่าเป็นใคร ซึ่งอาจอาศัยฐานประโยชน์อันชอบธรรม (Legitimate Interest) ในการประมวลผลข้อมูลได้ ภายใต้เงื่อนไขที่องค์กรสามารถแสดงให้เห็นถึงความจำเป็น ความเหมาะสม และความได้สัดส่วนของการประมวลผลข้อมูลขณะเดียวกัน บางองค์กรอาจมีการนำ AI CCTV มาใช้ร่วมกับเทคโนโลยีจดจำใบหน้า (Facial Recognition) เพื่อควบคุมการเข้าออกพื้นที่ที่มีข้อจำกัดด้านความปลอดภัย โดยจัดเก็บข้อมูลชีวมิติ (Biometric Template) ของพนักงานหรือบุคคลที่ได้รับอนุญาตไว้ในระบบล่วงหน้า เพื่อใช้ในการยืนยันตัวตนและตรวจสอบสิทธิการเข้าถึงพื้นที่ดังกล่าว
การใช้งานระบบในลักษณะนี้มีความซับซ้อนทางกฎหมายมากกว่ากล้องวงจรปิดทั่วไป เนื่องจากในทางเทคนิค ระบบอาจต้องประมวลผลข้อมูลใบหน้าของบุคคลที่ปรากฏอยู่หน้ากล้องเพื่อนำมาเปรียบเทียบกับฐานข้อมูลที่จัดเก็บไว้ก่อน จึงจะสามารถประเมินได้ว่าบุคคลดังกล่าวเป็นผู้ที่ได้รับอนุญาตหรือไม่ ส่งผลให้ข้อมูลใบหน้าที่ถูกนำมาใช้เพื่อการระบุตัวตนหรือยืนยันตัวบุคคลอาจเข้าข่ายเป็นข้อมูลชีวมิติ (Biometric Data) ซึ่งเป็นข้อมูลส่วนบุคคลที่มีความอ่อนไหวตามมาตรา 26 ด้วยเหตุนี้ องค์กรจึงควรขอความยินยอมโดยชัดแจ้ง (Explicit Consent) จากบุคคลที่องค์กรจะนำข้อมูลใบหน้ามาใช้เป็นฐานข้อมูลของระบบก่อนดำเนินการประมวลผลข้อมูลดังกล่าว
จากกรณีศึกษาทั้งในประเทศไทยและต่างประเทศข้างต้น สามารถสรุปเป็นแนวทางปฏิบัติสำหรับองค์กรที่ต้องการนำ AI CCTV มาใช้งานให้สอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลได้ดังนี้
AI CCTV กำลังเปลี่ยนกล้องวงจรปิดให้เป็น Smart Surveillance ที่สามารถวิเคราะห์และระบุบุคคลได้ การติดตั้งและใช้งานระบบนี้จึงต้องสอดคล้องตาม PDPA โดยคำนึงถึงการประมวลผลข้อมูลชีวมิติ ความโปร่งใส การขอความยินยอม การประเมินความเสี่ยง และมาตรการรักษาความปลอดภัย เพื่อปกป้องสิทธิและเสรีภาพของเจ้าของข้อมูลอย่างเหมาะสม
แหล่งอ้างอิง