fbpx

การใช้เทคโนโลยีจดจำใบหน้าโดยไม่ระวัง อาจจะทำให้คุณถูกปรับ

Face Recognition

ปัจจุบันในหลาย ๆ ประเทศทั่วโลกทั้งภาครัฐ ภาคเอกชน หรือแม้แต่กระทั้งสถาบันการศึกษาก็ได้นำเอาเทคโนโลยีจดจำใบหน้า หรือ Face Recognition เข้ามาใช้งานในด้านต่าง ๆ อาทิ ภาครัฐนำเอาเทคโนโลยีการจดจำใบหน้าไปใช้ประโยชน์ในด้านความมั่นคง หรือ ด้านความปลอดภัยทางสาธารณะ ภาคเอกชนนำไปใช้เพื่อสร้างการความประทับใจให้กับลูกค้า หรือ เพื่อประโยชน์ในด้านของการอำนวยความสะดวก โดยเฉพาะในงานด้านรักษาความปลอดภัย และสถาบันการศึกษานำมาใช้เพื่อยืนยันการเข้าเรียนของนักเรียน เป็นต้น

กรณีศึกษาเกี่ยวกับการใช้เทคโนโลยีจดจำใบหน้า (Face Recognition) ที่น่าสนใจในประเทศสวีเดน โดยโรงเรียนมัธยมแห่งหนึ่ง ในเมืองสเกนเลฟที ประเทศสวีเดน ได้ทดลองนำเอาระบบเทคโนโลยีจดจำใบหน้าไปใช้ในการตรวจสอบการเข้าเรียนของนักเรียนแทนการเรียกชื่อแบบเดิม ซึ่งมีนักเรียนเข้าร่วมการทดสอบจำนวน 22 คน เป็นระยะเวลา 3 สัปดาห์ โดยมีวัตถุประสงค์เพื่อลดการใช้แรงงานจากบุคคลเฉลี่ย 17,280 ชั่วโมงต่อปี แต่การตรวจสอบพบว่า การดำเนินงานของโรงเรียนนั้นไม่ชอบด้วยกฎหมายการคุ้มครองข้อมูลส่วนบุคคลของยุโรป หรือ General Data Protection Regulation (GDPR) เนื่องจากการขอความยินยอมไม่ถูกต้องสำหรับข้อมูลประเภท Sensitive Information อย่างข้อมูลชีวภาพ ซึ่งก่อนที่จะเปิดตัวโครงการนี้ ทางโรงเรียนนั้นไม่ได้ขอคำปรึกษาจากหน่วยงานกำกับดูแลด้านการคุ้มครองข้อมูลส่วนบุคคล (Data Protection Authority หรือ DPA) รวมถึงไม่ได้ประเมินผลกระทบของโครงการอย่างถูกต้อง โดยคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลของสวีเดน (GDPR หรือ กฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป) สั่งปรับโรงเรียนมัธยมแห่งนี้เป็นจำนวน 200,000 โครเนอร์สวีเดน หรือเป็นเงินกว่า 6 แสนบาท แม้จะไม่ได้เป็นจำนวนมากเมื่อเทียบกับค่าปรับสูงสุดของ GDPR ที่ 1 ล้านยูโร หรือ 33 ล้านบาท แต่ก็เป็นกรณีตัวอย่างที่น่าสนใจเพื่อเตือนสติคนที่ทำงานเกี่ยวกับข้อมูลส่วนบุคคลต้องศึกษากฎหมายพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ให้รอบคอบกว่านี้

Sensitive Information คือ ข้อมูลที่อาจจะทำให้เกิดอคติ หรือ การเลือกปฏิบัติขึ้น เช่น ความคิดเห็นทางการเมือง พฤติกรรมทางเพศ และศาสนา เป็นต้น ตลอดจนข้อมูลสุขภาพ ข้อมูลพันธุกรรม และข้อมูลชีวภาพ (ข้อมูลภาพใบหน้า ข้อมูลม่านตา หรือ ข้อมูลนิ้วมือ เป็นต้น) ซึ่งสามารถยืนยันตัวตนของบุคคลนั้นได้ชัดเจนมากกว่าข้อมูลส่วนบุคคลทั่วไป

กรณีศึกษาเกี่ยวกับการใช้เทคโนโลยีจดจำใบหน้า (Face Recognition) ที่น่าสนใจในประเทศสวีเดน ดังที่กล่าวมาข้างต้น เมื่อเปรียบเทียบกับกฎหมายไทยที่บัญญัติไว้ในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA มาตรา 26 กำหนดไว้ว่าห้ามมิให้เก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับ Sensitive Information โดยไม่ได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่

๑) เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคลซึ่งเจ้าของข้อมูลส่วนบุคล

(๒) เป็นการดำเนินกิจกรรม โดยชอบด้วยกฎหมายที่มีการคุ้มครองที่เหมาะสมของมูลนิธิสมาคม หรือ องค์กรที่ไม่แสวงหากำไรที่มีวัตถุประสงค์เกี่ยวกับการเมือง ศาสนา ปรัชญา หรือ สหภาพแรงงาน

(๓) เป็นข้อมูลที่เปิดเผยต่อสาธารณะด้วยความยินยอมโดยชัดแจ้งของเจ้าของข้อมูลส่วนบุคคล

(๔) เป็นการจำเป็นเพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิ เรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย

(๕) เป็นการจำเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับ

(ก) เวชศาสตร์ป้องกันหรืออาชีวเวชศาสตร์ การประเมินความสามารถในการทำงานของลูกจ้าง การวินิจฉัยโรคทางการแพทย์

(ข) ประโยชน์สาธารณะด้านการสาธารณสุข เช่น การป้องกันด้านสุขภาพจากโรคติดต่อ อันตรายหรือโรคระบาดที่อาจติดต่อหรือแพร่เข้ามาในราชอาณาจักร หรือการควบคุมมาตรฐานหรือคุณภาพ ของยา เวชภัณฑ์ หรือเครื่องมือแพทย์

(ค) การคุ้มครองแรงงาน การประกันสังคม หลักประกันสุขภาพแห่งชาติ สวัสดิการเกี่ยวกับการรักษาพยาบาลของผู้มีสิทธิตามกฎหมาย

(ง) การศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ หรือประโยชน์สาธารณะอื่น

(จ) ประโยชน์สาธารณะที่สำคัญ โดยได้จัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครอง สิทธิขั้นพื้นฐาน และประโยชน์ของเจ้าของข้อมูลส่วนบุคคล

อ่านพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) เพิ่มเติมได้ที่ : http://www.ratchakitcha.soc.go.th/DATA/PDF/2562/A/069/T_0052.PDF

หากภาครัฐ ภาคเอกชน หรือ สถาบันการศึกษา ต้องการจะนำเอาเทคโนโลยีจดจำใบหน้า (Face Recognition) เข้ามาใช้ในองค์กร จะต้องปฏิบัติตามกฎหมายพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) ตามมาตรา 26 หรือ ถ้านำข้อมูลส่วนบุคคลของบุคคลคนนั้นมาใช้ก็ต้องขอความยินยอมจากบุคคลคนนั้นอย่างชัดแจ้งเหมือนกัน และต้องศึกษากฎหมายพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) ให้ละเอียดก่อนจะใช้งาน ถ้าคุณยังไม่เข้าใจ และไม่มีความรู้ หรืออยากจะให้เราเป็นที่ปรึกษาด้านพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) สามารถติดต่อสอบถามได้ที่ : โทร : 02 029 0707 Email : [email protected] Facebook : https://www.facebook.com/PDPA.Thailand