ข้อมูลชีวมาตร

ปัจจุบันเทคโนโลยีได้เข้ามามีบทบาทในชีวิตของมนุษย์เป็นอย่างมาก โดยเฉพาะอย่างยิ่งภายหลังจากการเกิดสถานการณ์การแพร่ระบาดของโรคติดเชื้อไวรัสโคโรนา 2019 หรือโรคโควิด-19 ทำให้ประชาชนมีความจำเป็นต้องใช้เทคโนโลยีในชีวิตประจำวันเพิ่มมากขึ้น เช่น การใช้แอปพลิเคชันลงทะเบียนเข้ารับความช่วยเหลือจากภาครัฐในโครงการต่าง ๆ การใช้แอปพลิเคชันติดตามการเดินทางเพื่อช่วยในการสอบสวนโรค เป็นต้น ดังนั้น การพิสูจน์และยืนยันตัวตนเพื่อขอรับบริการหรือทำธุรกรรมผ่านทางระบบอิเล็กทรอนิกส์จึงมีความสำคัญเพิ่มขึ้นตามไปด้วย ซึ่งในอดีตการยืนยันตัวตนในการติดต่อราชการหรือทำธุรกรรมต้องทำโดยการแสดงตนต่อหน้าเจ้าหน้าที่หรือผู้ให้บริการพร้อมกับยื่นเอกสารหลักฐานประกอบเพื่อตรวจสอบ เช่น การเปิดบัญชีธนาคารต้องเดินทางไปที่ธนาคารด้วยตนเองพร้อมแสดงบัตรประจำตัวประชาชน แต่ในปัจจุบันได้มีการนำวิธีการยืนยันตัวตนผ่านทางอิเล็กทรอนิกส์โดยการใช้ “ข้อมูลชีวมาตร” หรือ “ข้อมูลชีวภาพ” ของแต่ละบุคคลมาใช้เพื่อช่วยให้การยืนยันตัวตนทำได้ง่ายขึ้นและมีความปลอดภัยจากการถูกปลอมแปลงมากขึ้นด้วย

“ข้อมูลชีวมาตร” หรือ “ข้อมูลชีวภาพ” (Biometrics Data) หมายถึง ข้อมูลส่วนบุคคลที่เกิดจากการใช้เทคนิคหรือเทคโนโลยีที่เกี่ยวข้องกับการนำลักษณะเด่นทางกายภาพหรือทางพฤติกรรมของบุคคลมาใช้ ทำให้สามารถยืนยันตัวตนของบุคคลนั้นที่ไม่เหมือนกับบุคคลอื่นได้ ซึ่งข้อมูลอัตลักษณ์ทางกายภาพของบุคคล เช่น ข้อมูลภาพจำลองใบหน้า ข้อมูลจำลองม่านตา หรือข้อมูลจำลองลายนิ้วมือ เป็นต้น ข้อมูลชีวมาตรจึงเป็นข้อมูลที่มีความน่าเชื่อถือเพราะเป็นข้อมูลที่แม้แต่เจ้าของข้อมูลเองก็ไม่สามารถแก้ไขเปลี่ยนแปลงได้ การเก็บบันทึกข้อมูลชีวมาตรเพื่อยืนยันตัวบุคคลมีการนำมาใช้ในชีวิตประจำวันอย่างแพร่หลาย เช่น การสแกนลายนิ้วมือเพื่อบันทึกเวลาเข้าและออกจากสถานที่ทำงาน การบันทึกข้อมูลรูปใบหน้า ม่านตา และลายนิ้วมือในหนังสือเดินทางอิเล็กทรอนิกส์สำหรับเข้ารหัสข้อมูล เพื่อการตรวจสอบความถูกต้องแท้จริงของหนังสือเดินทาง และการยืนยันตัวตนในการทำธุรกรรมทางการเงินกับธนาคารผ่านแอปพลิเคชัน เป็นต้น

ดังนั้น การจัดเก็บข้อมูลชีวมาตรซึ่งเป็นข้อมูลส่วนบุคคลที่มีความอ่อนไหว จึงจำเป็นต้องมีมาตรการคุ้มครองและกำกับดูแลข้อมูลนั้นเป็นพิเศษ เนื่องจากหากข้อมูลรั่วไหลไปสู่บุคคลอื่นหรือถูกนำไปใช้ประโยชน์ในทางมิชอบ เช่น ถูกผู้อื่นนำข้อมูลไปใช้ยืนยันตัวตนเพื่อทำธุรกรรมหรือสวมสิทธิ หรือประกอบอาชญากรรมแล้ว จะทำให้เกิดความเสียหายแก่เจ้าของข้อมูลเป็นอย่างมาก และอาจส่งผลกระทบต่อความมั่นคงและเศรษฐกิจของประเทศโดยรวมอีกด้วย

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จึงถูกตราขึ้นเพื่อคุ้มครองข้อมูลส่วนบุคคล และได้คุ้มครองข้อมูลชีวมาตรและข้อมูลอื่นที่มีความอ่อนไหว เช่น เชื้อชาติ เผ่าพันธุ์ ศาสนา และพฤติกรรมทางเพศ ไว้เป็นพิเศษ โดยห้ามมิให้เก็บรวบรวมข้อมูลดังกล่าวโดยไม่ได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่มีเหตุที่สามารถกระทำได้ตามที่กฎหมายกำหนด เช่น มีการให้ความยินยอมโดยชัดแจ้ง หรือเป็นการเก็บรวบรวมข้อมูลเพื่อป้องกันและระงับอันตรายต่อชีวิต เป็นต้น อีกทั้งยังมีการกำหนดห้ามมิให้ผู้ควบคุมข้อมูลส่วนบุคคลใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอม ซึ่งหากเจ้าของข้อมูลส่วนบุคคลเห็นว่าผู้ควบคุมข้อมูลหรือผู้ประมวลผลข้อมูลกระทำการที่ฝ่าฝืนต่อกฎหมาย เจ้าของข้อมูลมีสิทธิร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญเพื่อให้มีคำสั่งให้แก้ไขการกระทำให้ถูกต้องหรือสั่งห้ามกระทำการที่ก่อให้เกิดความเสียหายแก่ตนเองได้ และผู้ควบคุมข้อมูลหรือผู้ประมวลผลข้อมูลส่วนบุคคลอาจต้องรับผิดทางแพ่ง ทางอาญา และทางปกครอง นอกจากนั้น ยังได้มีการกำหนดสิทธิของเจ้าของข้อมูลส่วนบุคคลไว้หลายประการ เช่น สิทธิขอเข้าถึงข้อมูลส่วนบุคคล สิทธิในการคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล รวมทั้งสิทธิขอให้ลบหรือทำลายหรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ และกำหนดหน้าที่ของผู้ควบคุมและประมวลผลข้อมูลส่วนบุคคลให้ต้องมีหน้าที่ในการจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม

อย่างไรก็ตาม แม้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีผลใช้บังคับทั้งฉบับเมื่อวันที่ 27 พฤษภาคม 2563 ที่ผ่านมาแล้วก็ตาม แต่เนื่องจากหลักเกณฑ์ วิธีการ และเงื่อนไขในการคุ้มครองข้อมูลส่วนบุคคลมีรายละเอียดซับซ้อนและต้องใช้เทคโนโลยีขั้นสูงในการดำเนินการ ทำให้หน่วยงานและกิจการบางประเภทยังไม่มีความพร้อมที่จะปฏิบัติตามพระราชบัญญัติดังกล่าวได้ทัน จึงได้มีการออกพระราชกฤษฎีกากำหนดหน่วยงานและกิจการที่ผู้ควบคุมข้อมูลส่วนบุคคลไม่อยู่ภายใต้บังคับแห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 พ.ศ. 2563 ยกเว้นให้ผู้ควบคุมข้อมูลส่วนบุคคลที่เป็นหน่วยงานหรือกิจการทั้งสิ้น 22 ประเภท เช่น หน่วยงานของรัฐ มูลนิธิ กิจการด้านเกษตรกรรม และกิจการด้านอุตสาหกรรมไม่อยู่ภายใต้บังคับแห่งพระราชบัญญัติดังกล่าวในบางหมวด ได้แก่ การคุ้มครองข้อมูลส่วนบุคคล สิทธิของเจ้าของข้อมูล การร้องเรียน ความรับผิดทางแพ่ง และบทกำหนดโทษ ตั้งแต่วันที่ 27 พฤษภาคม 2563 ถึงวันที่ 31 พฤษภาคม 2564 ดังนั้น การคุ้มครองข้อมูลชีวมาตรสำหรับกิจการทั้ง 22 ประเภทในช่วงเวลาดังกล่าว จึงต้องดำเนินการให้มีมาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคลตามมาตรฐานที่กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมกำหนด ก่อนที่จะต้องปฏิบัติตามที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนด ตั้งแต่วันที่ 1 มิถุนายน 2564 เป็นต้นไป