การยืนยันตัวบุคคลในโลกดิจิทัล กับ พรบ. คุ้มครองข้อมูลส่วนบบุคล

ถ้าต่อไปเรายืนยันตัวตนได้โดยไม่ต้องใช้บัตรประชาชน ไม่ต้องไปแสดงตน ก็ดูเข้าท่าดีแต่เท่ากับว่าเราฝากชะตาชีวิตออนไลน์ทั้งหมดไว้กับใครบางคน ? แล้วใครคนนั้นต้องรับผิดชอบดูแลข้อมูลส่วนบุคคลอันมีค่ายิ่งนี้ของเรา ? จะมีโอกาสโดนขโมยตัวตนไหม ? ถ้าเกิดเหตุขึ้น ใครต้องเป็นคนรับผิดชอบ ?  บทความนี้จะมาไขความกระจ่างสำหรับคำถามเหล่านี้

แบบนี้ก็แปลว่า ข้อมูลส่วนบุคคลของเรา ต้องถูกจัดเก็บโดยคนกลาง เพื่อไว้ใช้ตรวจสอบ (เพื่อใช้ยืนยันกับคนที่ยังไม่รู้จักเราว่าเราคือเราตัวจริง) และแชร์ข้อมูลอื่นให้กับคนนอกในกรณีจำเป็น เช่น แชร์ประวัติบัตรเครดิตให้ธนาคารเพื่อกรณีกู้เงิน  แชร์ประวัติการรักษาให้บริษัทประกันชีวิตกรณีซื้อกรมธรรม์ แชร์รายการทรัพย์สินติดจำนองป้องกันไปจำนองซ้ำซ้อนกับสถาบันการเงิน

บทความนี้จะมาตีแผ่ว่าเมื่อยุคของการยืนยันตัวบุคคลในโลกดิจิทัล (Digital ID) มาถึง  จะมีประเด็นที่ต้องพิจารณาในแง่ผลกระทบกับข้อมูลส่วนบุคคลอย่างไร เมื่อโลกพัฒนาขึ้นเรื่อย ๆ การทำธุรกรรมทางออนไลน์ จึงมากขึ้นเรื่อย ๆ และยิ่งยุคโควิด เริ่มมี New Normal เข้ามากระตุ้นอีก การทำธุรกรรม โดยไม่ต้องเดินทางไปแสดงตัวตนจึงเริ่มมีความสำคัญขึ้นเรื่อย ๆ 

อธิบายกระบวนการก่อน เพื่อให้เข้าใจว่าใครเก็บข้อมูลอะไร ใครทำหน้าที่อะไรใน Ecosystem นี้ เสร็จแล้วจะแจกแจง ใครรับผิดชอบอะไร ในแง่ข้อมูลส่วนบุคคล 

3. NDID สร้างกฎเกณฑ์ และซอฟต์แวร์ เพื่อให้สมาชิกนิติบุคคล 3 ประเภท เข้ามาเชื่อมต่อและให้บริการบนแพลตฟอร์มของ NDID โดยสมาชิกแต่ละประเภทจะต้องมีคุณสมบัติและผ่านการตรวจสอบตามที่ NDID กำหนดโดยอิงมาตรฐานจากหน่วยงานกำกับต่าง ๆ ที่เกี่ยวข้อง สมาชิกดังกล่าวคือ 

• คนที่เปิดบริการยืนยันตัวบุคคล (IdP: Identity Provider) 
• คนที่ให้บริการรับฝากและแลกเปลี่ยนข้อมูลส่วนบุคคลที่น่าเชื่อถือ (AS: Authoritative Source)
• คนที่ให้บริการธุรกรรม (RP: Relying Party) 

4. แพลตฟอร์มของ NDID แค่บริการการเชื่อมต่อแลกเปลี่ยนข้อมูลอย่างปลอดภัย บันทึกข้อมูล วัน-เวลา (Timestamp) ของธุรกรรมที่เกิดขึ้น เช่น RP ร้องขอการยืนยันตัวตนไปยัง IdP วันเวลาไหนของแต่ละสมาชิกที่ทำธุรกรรมกัน และตรวจสอบย้อนกลับได้กรณีมีเหตุให้ต้องการตรวจสอบว่ารายการเกิดขึ้นจริงไหม อีกทั้งคำนึงถึงรักษาความเป็นส่วนตัวและข้อมูลส่วนบุคคลตั้งแต่ในขั้นของการออกแบบ 

5. มองจากมุมของคนธรรมดา (ลูกค้า) อย่างเรา ถ้าอยากใช้งาน ก่อนอื่นต้องลงทะเบียนยืนยันตัวตนครั้งแรก (Onboarding) เพื่อเอาข้อมูลอัตลักษณ์ของเราใส่เข้าไปในระบบ (ใส่ให้กับ IdP ผู้ให้บริการยืนยันตัวบุคคล) 

7. เราในฐานะลูกค้า สามารถมี IdP ช่วยยืนยันตัวเราได้มากกว่า 1 ราย ไม่ผิดกติกา เผื่อเคราะห์หามยามร้ายมีบางรายระบบคอมพิวเตอร์ล่มชั่วคราว หรือ เลวร้ายสุดคือปิดกิจการ

8.  ส่วนการฝากข้อมูลส่วนบุคคลอื่น ๆ ของเราไว้กับผู้ให้บริการรับฝากและแลกเปลี่ยนข้อมูลส่วนบุคคล (AS: Authoritative Source) ก็ทำได้ เช่น ข้อมูลชื่อที่อยู่ เบอร์โทรศัพท์ติดต่อ สำหรับส่งสินค้าต่อไปพอจะอัพเดทก็อัพเดทที่เดียว เราซื้อของออนไลน์จากเจ้าไหน ก็ให้เขามาขอดึงข้อมูลจาก AS ของเรา  โดย AS ก่อนจะให้ข้อมูลออกไป ก็จะตรวจสอบกับเราก่อน ว่าได้ยินยอมจริง ๆ 

ขั้นตอนการใช้งานแพลตฟอร์ม NDID และ Flow การส่งแลกเปลี่ยนข้อมูล

Flow การส่งและแลกเปลี่ยนข้อมูลบนแพลตฟอร์ม NDID

ทีนี้ ใครรับผิดชอบอะไร ในแง่ข้อมูลส่วนบุคคล ?

คำตอบ ก็ต้องดูว่าใครเป็นคนจัดเก็บข้อมูลส่วนบุคคล และ ใครเป็นคนให้บริการอะไร หลัก ๆ ก็คือ ทั้ง RP AS และ IdP ก็จะต้องรับผิดชอบดำเนินการตาม พรบ. คุ้มครองฯ ถ้าศัพท์เทคนิคหน่อยก็เรียกว่า data controller

1. RP เป็นผู้ให้บริการทำธุรกรรมออนไลน์ ข้อมูลส่วนบุคคลที่เก็บที่เขาคือ ข้อมูลที่จำเป็นต่อการให้บริการของกิจการนั้น ๆ เช่น บริษัทประกันชีวิต โรงพยาบาล ธนาคาร 

2. AS เป็นผู้ให้บริการรับฝากและแลกเปลี่ยนข้อมูลส่วนบุคคล ซึ่งตรงนี้จะเป็นข้อมูลส่วนบุคคลเรื่องไหนก็ได้ ตามแต่ที่ลูกค้าและผู้ให้บริการเสนอและสนองกัน จุดประสงค์ คือให้บริการจัดเก็บและแชร์ข้อมูลให้บุคคลหรือนิติบุคคลที่รับอนุญาตจากเจ้าของข้อมูลส่วนบุคคล ให้มาดึงไปใช้ได้เพื่อให้บริการแก่เจ้าของข้อมูลหรือเพื่อประโยชน์ของตัวเจ้าของข้อมูลเอง 

4. NDID ให้บริการเครือข่ายและช่องทางการต่อเชื่อมข้อมูล เพื่อให้ข้อมูลวิ่งไปมาระหว่าง RP AS IdP ได้ โดยที่ไม่ได้ทำการจัดเก็บข้อมูลส่วนบุคคลไว้เลย  มีแค่ timestamp ของการใช้บริการ อาจจะมีแค่ส่วนของข้อมูลนิติบุคคล ว่า RP AS และ IdP คือใคร เป็นบริษัทอะไร ตั้งอยู่ที่ไหน ใครเป็นผู้ดูแลกิจการ ซึ่งไม่จัดเป็นข้อมูลส่วนบุคคล เป็นข้อมูลจำเป็นไว้ใช้ในการสมัครบริการกับ NDID และก็เก็บบนระบบภายในของ NDID เท่านั้น

5. อย่างไรก็ตามในอนาคต หาก NDID จะมีการอัพเกรดความสามารถ เช่น NDID สามารถช่วยจดจำไว้ว่าเรา (บุคคล) ได้ไปสมัครลงทะเบียนไว้กับ IdP รายใดไว้บ้าง เพราะเราอาจจะเป็นลูกค้าของ IdP หลายราย และนาน ๆ ไปเราอาจจำไม่ได้หมด โดยควรขึ้นเฉพาะชื่อ IdP ที่เราเป็นลูกค้าเขา ไม่ควรขึ้น IdP ทั้งหมดมาให้เราบอกว่ารายไหน  เช่นนี้ ตัวบริษัทที่ดูแล NDID ก็จะต้องปฎิบัติตาม พรบ. คุ้มครองฯ ด้วยเช่นกัน 

บทความโดย : คุณมนต์ศักดิ์  โซ่เจริญธรรม