การยืนยันตัวบุคคลในโลกดิจิทัล กับ พรบ. คุ้มครองข้อมูลส่วนบบุคล

ถ้าต่อไปเรายืนยันตัวตนได้โดยไม่ต้องใช้บัตรประชาชน ไม่ต้องไปแสดงตน ก็ดูเข้าท่าดีแต่เท่ากับว่าเราฝากชะตาชีวิตออนไลน์ทั้งหมดไว้กับใครบางคน ? แล้วใครคนนั้นต้องรับผิดชอบดูแลข้อมูลส่วนบุคคลอันมีค่ายิ่งนี้ของเรา ? จะมีโอกาสโดนขโมยตัวตนไหม ? ถ้าเกิดเหตุขึ้น ใครต้องเป็นคนรับผิดชอบ ?  บทความนี้จะมาไขความกระจ่างสำหรับคำถามเหล่านี้

แบบนี้ก็แปลว่า ข้อมูลส่วนบุคคลของเรา ต้องถูกจัดเก็บโดยคนกลาง เพื่อไว้ใช้ตรวจสอบ (เพื่อใช้ยืนยันกับคนที่ยังไม่รู้จักเราว่าเราคือเราตัวจริง) และแชร์ข้อมูลอื่นให้กับคนนอกในกรณีจำเป็น เช่น แชร์ประวัติบัตรเครดิตให้ธนาคารเพื่อกรณีกู้เงิน  แชร์ประวัติการรักษาให้บริษัทประกันชีวิตกรณีซื้อกรมธรรม์ แชร์รายการทรัพย์สินติดจำนองป้องกันไปจำนองซ้ำซ้อนกับสถาบันการเงิน

บทความนี้จะมาตีแผ่ว่าเมื่อยุคของการยืนยันตัวบุคคลในโลกดิจิทัล (Digital ID) มาถึง  จะมีประเด็นที่ต้องพิจารณาในแง่ผลกระทบกับข้อมูลส่วนบุคคลอย่างไร เมื่อโลกพัฒนาขึ้นเรื่อย ๆ การทำธุรกรรมทางออนไลน์ จึงมากขึ้นเรื่อย ๆ และยิ่งยุคโควิด เริ่มมี New Normal เข้ามากระตุ้นอีก การทำธุรกรรม โดยไม่ต้องเดินทางไปแสดงตัวตนจึงเริ่มมีความสำคัญขึ้นเรื่อย ๆ 

อธิบายกระบวนการก่อน เพื่อให้เข้าใจว่าใครเก็บข้อมูลอะไร ใครทำหน้าที่อะไรใน Ecosystem นี้ เสร็จแล้วจะแจกแจง ใครรับผิดชอบอะไร ในแง่ข้อมูลส่วนบุคคล 

3. NDID สร้างกฎเกณฑ์ และซอฟต์แวร์ เพื่อให้สมาชิกนิติบุคคล 3 ประเภท เข้ามาเชื่อมต่อและให้บริการบนแพลตฟอร์มของ NDID โดยสมาชิกแต่ละประเภทจะต้องมีคุณสมบัติและผ่านการตรวจสอบตามที่ NDID กำหนดโดยอิงมาตรฐานจากหน่วยงานกำกับต่าง ๆ ที่เกี่ยวข้อง สมาชิกดังกล่าวคือ 

  • คนที่เปิดบริการยืนยันตัวบุคคล (IdP: Identity Provider) 
  • คนที่ให้บริการรับฝากและแลกเปลี่ยนข้อมูลส่วนบุคคลที่น่าเชื่อถือ (AS: Authoritative Source)
  • คนที่ให้บริการธุรกรรม (RP: Relying Party) 

4. แพลตฟอร์มของ NDID แค่บริการการเชื่อมต่อแลกเปลี่ยนข้อมูลอย่างปลอดภัย บันทึกข้อมูล วัน-เวลา (Timestamp) ของธุรกรรมที่เกิดขึ้น เช่น RP ร้องขอการยืนยันตัวตนไปยัง IdP วันเวลาไหนของแต่ละสมาชิกที่ทำธุรกรรมกัน และตรวจสอบย้อนกลับได้กรณีมีเหตุให้ต้องการตรวจสอบว่ารายการเกิดขึ้นจริงไหม อีกทั้งคำนึงถึงรักษาความเป็นส่วนตัวและข้อมูลส่วนบุคคลตั้งแต่ในขั้นของการออกแบบ 

5. มองจากมุมของคนธรรมดา (ลูกค้า) อย่างเรา ถ้าอยากใช้งาน ก่อนอื่นต้องลงทะเบียนยืนยันตัวตนครั้งแรก (Onboarding) เพื่อเอาข้อมูลอัตลักษณ์ของเราใส่เข้าไปในระบบ (ใส่ให้กับ IdP ผู้ให้บริการยืนยันตัวบุคคล) 

7. เราในฐานะลูกค้า สามารถมี IdP ช่วยยืนยันตัวเราได้มากกว่า 1 ราย ไม่ผิดกติกา เผื่อเคราะห์หามยามร้ายมีบางรายระบบคอมพิวเตอร์ล่มชั่วคราว หรือ เลวร้ายสุดคือปิดกิจการ

8.  ส่วนการฝากข้อมูลส่วนบุคคลอื่น ๆ ของเราไว้กับผู้ให้บริการรับฝากและแลกเปลี่ยนข้อมูลส่วนบุคคล (AS: Authoritative Source) ก็ทำได้ เช่น ข้อมูลชื่อที่อยู่ เบอร์โทรศัพท์ติดต่อ สำหรับส่งสินค้าต่อไปพอจะอัพเดทก็อัพเดทที่เดียว เราซื้อของออนไลน์จากเจ้าไหน ก็ให้เขามาขอดึงข้อมูลจาก AS ของเรา  โดย AS ก่อนจะให้ข้อมูลออกไป ก็จะตรวจสอบกับเราก่อน ว่าได้ยินยอมจริง ๆ 

ขั้นตอนการใช้งานแพลตฟอร์ม NDID และ Flow การส่งแลกเปลี่ยนข้อมูล

Flow การส่งและแลกเปลี่ยนข้อมูลบนแพลตฟอร์ม NDID

ทีนี้ ใครรับผิดชอบอะไร ในแง่ข้อมูลส่วนบุคคล ?

คำตอบ ก็ต้องดูว่าใครเป็นคนจัดเก็บข้อมูลส่วนบุคคล และ ใครเป็นคนให้บริการอะไร หลัก ๆ ก็คือ ทั้ง RP AS และ IdP ก็จะต้องรับผิดชอบดำเนินการตาม พรบ. คุ้มครองฯ ถ้าศัพท์เทคนิคหน่อยก็เรียกว่า data controller

1. RP เป็นผู้ให้บริการทำธุรกรรมออนไลน์ ข้อมูลส่วนบุคคลที่เก็บที่เขาคือ ข้อมูลที่จำเป็นต่อการให้บริการของกิจการนั้น ๆ เช่น บริษัทประกันชีวิต โรงพยาบาล ธนาคาร 

2. AS เป็นผู้ให้บริการรับฝากและแลกเปลี่ยนข้อมูลส่วนบุคคล ซึ่งตรงนี้จะเป็นข้อมูลส่วนบุคคลเรื่องไหนก็ได้ ตามแต่ที่ลูกค้าและผู้ให้บริการเสนอและสนองกัน จุดประสงค์ คือให้บริการจัดเก็บและแชร์ข้อมูลให้บุคคลหรือนิติบุคคลที่รับอนุญาตจากเจ้าของข้อมูลส่วนบุคคล ให้มาดึงไปใช้ได้เพื่อให้บริการแก่เจ้าของข้อมูลหรือเพื่อประโยชน์ของตัวเจ้าของข้อมูลเอง 

4. NDID ให้บริการเครือข่ายและช่องทางการต่อเชื่อมข้อมูล เพื่อให้ข้อมูลวิ่งไปมาระหว่าง RP AS IdP ได้ โดยที่ไม่ได้ทำการจัดเก็บข้อมูลส่วนบุคคลไว้เลย  มีแค่ timestamp ของการใช้บริการ อาจจะมีแค่ส่วนของข้อมูลนิติบุคคล ว่า RP AS และ IdP คือใคร เป็นบริษัทอะไร ตั้งอยู่ที่ไหน ใครเป็นผู้ดูแลกิจการ ซึ่งไม่จัดเป็นข้อมูลส่วนบุคคล เป็นข้อมูลจำเป็นไว้ใช้ในการสมัครบริการกับ NDID และก็เก็บบนระบบภายในของ NDID เท่านั้น

5. อย่างไรก็ตามในอนาคต หาก NDID จะมีการอัพเกรดความสามารถ เช่น NDID สามารถช่วยจดจำไว้ว่าเรา (บุคคล) ได้ไปสมัครลงทะเบียนไว้กับ IdP รายใดไว้บ้าง เพราะเราอาจจะเป็นลูกค้าของ IdP หลายราย และนาน ๆ ไปเราอาจจำไม่ได้หมด โดยควรขึ้นเฉพาะชื่อ IdP ที่เราเป็นลูกค้าเขา ไม่ควรขึ้น IdP ทั้งหมดมาให้เราบอกว่ารายไหน  เช่นนี้ ตัวบริษัทที่ดูแล NDID ก็จะต้องปฎิบัติตาม พรบ. คุ้มครองฯ ด้วยเช่นกัน 

บทความโดย : คุณมนต์ศักดิ์  โซ่เจริญธรรม

ลงทะเบียนเข้าสู่ระบบ เพื่ออ่านบทความฟรีไม่จำกัด

No comment

RELATED ARTICLE

Responsive image

Liberator ขยายพอร์ตนักลงทุน เปิดเทรดตลาดหุ้นจีน และ ฮ่องกง เชื่อมต่อ TradingView พร้อมแผนขยายอีกกว่า 21 ตลาดทั่วโลก

Liberator เปิดให้บริการเทรดหุ้นจีนและหุ้นฮ่องกงแล้ววันนี้ พร้อมแผนขยายบริการหุ้นต่างประเทศอีกกว่า 21 ตลาดทั่วโลก เริ่มลงทุนได้ตั้งแต่ 1 ดอลลาร์สหรัฐ เชื่อมต่อ TradingView เพื่อดูกร...

Responsive image

ฟิวชั่น โซลูชั่น เปิด Cyber Defense War Room จำลองการโจมตีไซเบอร์จริง เสริมความพร้อมองค์กรรับมือความเสี่ยงยุค AI

ฟิวชั่น โซลูชั่น จับมือ ไมโครซอฟท์ เปิดตัว Cyber Defense War Room จำลองสถานการณ์โจมตีไซเบอร์จริง เพื่อเตรียมพร้อมองค์กรไทยรับมือความเสี่ยงด้านข้อมูลและการใช้ AI อย่างปลอดภัย...

Responsive image

วิธีเลือกบัตรเครดิตสำหรับเจ้าของธุรกิจในยุคดิจิทัล 2026 จาก KTC

รวมเทคนิคเลือกบัตรเครดิตสำหรับเจ้าของธุรกิจ จัดระเบียบรายจ่ายดิจิทัลอย่างเป็นระบบ พร้อมแนวทางบริหารสภาพคล่องและเงินสำรองเพื่อการเติบโตอย่างมั่นคง...