21 พ.ค. 2563 9,278 13

[broadbandhacks LIVE] ไขข้อข้องใจ เทคโนโลยี AI ตรวจจับและจดจำใบหน้า มีปัญหากับกฏหมายคุ้มครองข้อมูลส่วนบุคคลหรือ PDPA หรือไม่

[broadbandhacks LIVE] ไขข้อข้องใจ เทคโนโลยี AI ตรวจจับและจดจำใบหน้า มีปัญหากับกฏหมายคุ้มครองข้อมูลส่วนบุคคลหรือ PDPA หรือไม่

เรามาติดตาม Live ไขข้อข้องใจ เทคโนโลยี AI ที่ใช้ตรวจจับและจดจำใบหน้า มีปัญหากับกฏหมายคุ้มครองข้อมูลส่วนบุคคลหรือ PDPA หรือไม่ เป็นการละเมิดสิทธิส่วนบุคคลหรือไม่ และใช้อย่างไรให้ถูกกฏหมาย

โดยมีแขกรับเชิญคือ พ.ต.ท. มนุพัศ ศรีบุญลือ (โตโต้) ตำรวจไซเบอร์

จัดรายการโดยเฮียโก๋ @hiakoe แห่ง adslthailand

ในรายการ #broadbandhacks

ประเด็นเกี่ยวกับการใช้ AI : Face Detection, Recognition และ วีดีโอวิเคราะห์ความเคลื่อนไหว Analytics (Object, Body)

เทคโนโลยี AI มีการนำมาใช้กันเยอะ โดยเฉพาะกล้อง Thermal ตรวจจับอุณหภูมิ มีการจับภาพใบหน้า มีการใช้ใบหน้าเข้าอาคารต่างๆ หรือ Smart City ใช้ตรวจสอบ Tracking พฤติกรรมต่างๆ ของเรา ก็เลยมีคำถามว่า Face Regonition มีส่วนที่น่าห่วงเรื่อง Privacy กับกฎหมาย PDPA หรือไม่

ฝั่งผู้ให้บริการ เว็บไซต์ แพล็ตฟอร์ม อาคาร ห้างร้าน ต้องแจ้งผู้ใช้งานว่าจะเก็บข้อมูลส่วนบุคคล อะไรบ้าง เอาไปใช้ทำอะไร ถ้ามีการเปิดเผยข้อมูลให้กับบุคคลที่ 3 เปิดเผยให้ใคร เปิดเผยข้อมูลเพื่ออะไร แจ้งวัตถุประสงค์ให้ชัดเจน เช่น แลกบัตรขึ้นตึก แต่ถ้ามีการนำไปใช้งานอย่างอื่น เช่น รปภ. เอาไปสมัคร True Money Wallet ก็ถือว่าเจ้าของไม่ได้ยินยอม และผิดวัตถุประสงค์ที่ขอความยินยอม หลักๆ คือแจ้งว่าใช้ทำอะไร วัตถุประสงค์อะไร ก็ต้องเอาไปใช้ตามที่แจ้งนั้น มีการกำกับดูแล ไม่ให้คนในเอาข้อมูลไปใช้ หรือเอาไปขาย โดยไม่ได้รับความยินยอม

หลัก PDPA 5 ข้อ

เข้าเกณฑ์ตาม PDPA หรือเปล่า เช่น มีกล้องหน้ารถ บันทึกภาพใบหน้าคน ซึ่งเป็นข้อมูล Sensitive เหมือนลายนิ้วมือ เปลี่ยนไม่ได้ ก็มีกฎในการกำกับดูแล ที่เข้มข้นกว่า การขอชื่อ นามสกุล ทั่วไป เช่นการเปิดเผยข้อมูลส่วนบุคคล เพื่อประโยชน์ส่วนตัว กล้องหน้ารถใช้เพื่อความปลอดภัยส่วนบุคคลของเรา แต่ถ้าเอาภาพกล้องหน้ารถไปออกคลิป YouTube อันนั้นผิดไปจากวัตถุประสงค์ปกติของกล้องวงจรปิดในรถ หลักๆ ต้องตามวัตถุประสงค์ คือเพื่อความปลอดภัย

ถ้ามีคนโทรถามเบอร์โทรเพื่อนอีกคน จะให้เบอร์เพื่อนกับอีกคนได้ไหม คำตอบคือให้เบอร์ เพื่อประโยชน์ส่วนตัวทั่วไป แต่ถ้าธุรกิจโทรมาขอ เอาไปใช้ประโยชน์เชิงพาณิชย์ เข้าเกณฑ์ต้องขอ Consent หรือขอความยินยอม

การเก็บภาพกล้องวงจรปิดของเรา หากมีการเก็บบันทึกใบหน้าบุคคล พนักงาน เก็บภาพใบหน้าเพื่อเป็นฐานข้อมูล สถานที่ไหนมีกล้องวงจรปิด ควรมีป้าย แจ้งเรื่องกล้องวงจรปิด แจ้งให้ทราบ ใครที่กังวลเรื่อง Privacy ก็จะได้รู้ว่า ที่นี่บันทึกภาพด้วยกล้องวงจรปิด ถ้าใครไม่อยากให้ถูกบันทึกภาพ ก็ไม่ต้องเข้าไปใช้บริการ

ถ้าระบุ เพศ อายุ การ Detect Object วิเคราะห์บุคคล แต่ไม่ได้เปิดเผยชื่อนามสกุล ข้อมูลส่วนตัว ก็ยังถือว่า ไม่ใช่ข้อมูลส่วนบุคคล (เพราะระบุตัวตนชัดเจนไม่ได้) แต่ควรติด Privacy Notice ว่ามีการเก็บภาพคนผ่านไปผ่านมา แต่ถ้าสแกนว่าคนนี้เป็นใคร ต้องมีการ Consent ขอความยินยอม การมีประกาศ แจ้งให้ทราบ ใครกังวล Privacy จะได้ไม่เข้าไปในสถานที่นั้น

ดังนั้น การติดระบบกล้องวงจรปิด และระบบ AI ใดๆ ต้องมีป้าย Notice บอกว่าสถานที่นี้มีการบันทึกภาพ เพื่อความปลอดภัย ต้องมีการแจ้งวัตถุประสงค์ เช่น เพื่อความปลอดภัยของส่วนรวม (ถ้าทำนอกเหนือความปลอดภัย ต้องแจ้งให้ชัดเจน และขอ Consent เช่น เพื่อการตลาด)  

กฎหมายกำหนดหรือไม่ ว่าต้องทำลายข้อมูลส่วนบุคคล เมื่อไหร ในทางกฎหมาย การลบ กับทำลายนั้นแตกต่างกัน การถอน Consent การลบ Consent ปกติมีการเก็บข้อมูล เพื่อเมื่อไหรก็ตาม ที่มีเหตุเกิดขึ้น ทางกฎหมายก็ใช้เป็นหลักฐานได้ โดยจะต้องมีการเก็บระยะเวลาเท่าไหร ถูกทำลายเมื่อไหร บางกฎหมาย ต้องมีการเก็บตามระยะเวลาที่กำหนดในกฎหมาย เช่น พรบ.คอม 90 วัน กฎหมายฟอกเงิน 5 ปี เป็นต้น ถ้าไม่มีกฎหมายให้ทำ เก็บเพื่อความปลอดภัย ต้องระบุว่า เก็บไว้ 1 ปี แล้วจะถูกทำลาย ต้องมีการระบุใน Notice

หากไม่มีโอกาสให้เขา Consent เช่นติดที่มหาวิทยาลัย ถ้าเราไม่สามารถ Indentity เลขบัตรประชาชน 13 หลักได้ บางครั้งไม่มีโอกาสในการ Consent อาจจะทำได้แค่ติดป้ายประกาศ บางครั้งเราใช้ AI ระบุได้ว่าคนนี้เดินผ่านบริเวณไหนในมหาวิทยาลัยได้ เวลามีเหตุจะได้ไม่ต้องดูทุกกล้อง ต้องดูที่วัตถุประสงค์ ถ้าทำเพื่อความปลอดภัย ก็ต้องใช้ตามนั้น

- Access Control : สำหรับพนักงานทำได้เลย ไม่ติดอะไร ส่วน Guest ต้องให้ Consent ก่อนรีติสเจอร์ใบหน้าเข้าระบบ

- Video Analytics : สามารถติดตั้งใช้งานได้ เพื่อวัตถุประสงค์ด้านความปลอดภัย และการพัฒนาปรับปรุงการบริหารจัดการ (แต่หากจะนำใบหน้าไปทำ Face Recognition กับฐานข้อมูลภายนอก จุดประสงค์เพื่อการค้า ต้องขอ Consent ก่อน)

 - การทำ Consent ต้องมีระบบ ขอยกเลิก Consent แต่ยังสามารถเก็บข้อมูลใช้เป็นหลักฐานได้ แต่ห้ามนำไป Process ต่อ

 - ระบบกล้อง Thermal AI ที่มีการบันทึกใบหน้า สามารถใช้งานได้ ไม่ติดเรื่อง PDPA แต่ควรมีป้ายแจ้ง (Notice) ไว้เช่นกัน

เรื่องการจัดเก็บ ใบหน้า ต้องมีการ Notice แต่ขึ้นอยู่กับว่า วัตถุประสงค์ใช้ทำอะไร ขึ้นอยู่กับการ Indentify ว่าคนนี้เป็นใคร ถ้าไว้แค่วิเคราะห์ ชาย หญิง เพศ อายุ วิเคราะห์ เทรนด์ เช่น คนเข้าห้าง เสาร์อาทิตย์ แต่ข้อมูลใบหน้าคือข้อมูลส่วนบุคคล แม้จะไม่ได้ Indentify ว่าคนนี้เป็นใคร ก็ถือเป็นข้อมูลส่วนบุคคล แบบนี้เราขอ Consent เป็นรายบุคคลไม่ได้ แต่ควรติด Notice แจ้งว่ามีการเก็บภาพใบหน้าบุคคล ถ้าเอาไป Analytic ไม่ระบุตัวตนว่าคนนี้เป็นใคร ถ้าไม่สามารถบ่งชี้ ว่าคนนี้เป็นใคร ก็ไม่ถือว่าเป็นข้อมูลส่วนบุคคล ถ้าแบบนี้เรียกว่า Open Data คือไม่ได้รับความยินยอมส่วนบุคคล แต่เราทำได้คือ Notice ว่ามีการบันทึก เอามาใช้งานได้ (ขอไม่ระบุตัวตนได้ว่าคนนี้เป็นใคร) ขอแค่ตามวัตถุประสงค์ ก็จบ ถ้าจับใบหน้าว่าคนไหนซื้อของอะไร ก็ต้องแจ้งวัตถุประสงค์ เช่น เพื่อการตลาด

ถ้าเข้าห้าง จะเห็นว่า มีระบุว่า สถานที่นี้มีการติดตั้งกล้องวงจรปิดเพื่อความปลอดภัยของส่วนรวม

ข้อ 2 คือ Controller คนที่มีสิทธิควบคุมข้อมูลส่วนบุคคล คนที่วิเคราะห์ประมวลผลข้อมูลส่วนบุคคล เช่นเราซื้อของจาก Lazada รู้เลขบัตรประชาชน แต่เวลาส่งของ บริษัทส่งของจะรู้แค่ ที่อยู่เรา แต่เอาไปทำอะไรอย่างอื่นไม่ได้

- ถ้าเป็นข้อมูล Sensitive การยินยอม คือตัวนำ มีการแจ้งวัตถุประสงค์ ขอความยินยอม และต้องทำตามวัตถุประสงค์นั้น

- การเข้าเว็บไซต์ ถ้ามีการเก็บ Cookies เก็บเลข IP ยังไม่ถือเป็นข้อมูลส่วนบุคคล จนกว่าจะ mapping กับเลขบัตรประชาชน 13 หลัก ส่วนการให้บริการ Wi-Fi ต้องมีการระบุเลขบัตรประชาชน เพื่อเก็บข้อมูลระบุตัวตนตามกฎหมาย คือกฎหมายเดิม ให้เก็บข้อมูลไว้ว่าใครใช้บริการบ้าง มีการเก็บ log 90 วันตามกฎหมายของ พรบ. คอม แต่ถ้าคนที่กรอกเลขบัตรประชาชน 13 หลัก กลัวว่าจะถูกนำข้อมูลไปทำอย่างอื่นหรือเปล่า กฎหมาย ออกมาช่วยให้เรามั่นใจว่ากรอกเลขบัตรประชาชน 13 หลัก แล้วจะปลอดภัย ข้อมูลไม่รั่วไหล

การเก็บข้อมูลส่วนบุคคล แยกข้อมูลตามสัญญา เช่น ขอที่อยู่จัดส่งบิล ก็ใช้จัดส่งบิลได้ตามความยินยอม การขอเก็บ Cookies ถ้าไม่มีการ Mapping ผู้ใช้เป็นใคร ไม่ใช่ข้อมูลส่วนบุคคล แต่ถ้าเก็บแล้วมีการ Mapping ข้อมูลส่วนบุคคล มีการเก็บข้อมูลส่วนบุคคล ต้องดูที่การ Notice

คนที่เป็น Controller ผู้เก็บข้อมูลส่วนบุคคล คนดูแลข้อมูล Sensitive Data ต้องมีการขอ Consent ความยินยอม ตอนนี้ ผู้ใช้ล็อกอินเข้ามาดูได้ว่า เว็บเก็บข้อมูลอะไรของเรา ขอสำเนาได้ว่า เว็บเก็บข้อมูลอะไร จุดหลักๆ เวลาเก็บ Activity ไม่ใช่ข้อมูลส่วนบุคคล แต่ถ้า Profile คือข้อมูลส่วนบุคคล วัดกันตรงที่ระบุตัวตนได้หรือไม่ได้

 

Privacy กับ Security มองเรื่องความปลอดภัยสาธารณะ จะอ้างความเป็นส่วนตัวไม่ได้ เอาไว้ใช้ตรวจสอบความจริง เพื่อความปลอดภัย เมื่อเกิดเหตุต่างๆ

การเก็บข้อมูล เช่น คนพักโรงแรม เข้าอาคาร มีการแสดงบัตรประชาชน เก็บข้อมูลได้ เพื่อความปลอดภัย อาจจะปฏิบัติตามกฎหมายโรงแรม แต่ข้อมูลห้ามรั่วไหลเด็ดขาดและห้ามนำบัตรประชาชนผู้เข้าพักไปทำอย่างอื่น

บริษัทใหญ่ๆ จะต้องตั้ง DPO หรือ Data Protection Officer เพื่อเก็บรักษาข้อมูลส่วนบุคคลของลูกค้า

คนที่สำคัญที่สุดคือ Controller ซึ่งมีความรับผิดชอบตามกฎหมาย รับผิดชอบข้อมูลตามสัญญา ตามข้อที่ขอ Consent สิทธิตามกฎหมายที่คุ้มครองข้อมูลส่วนบุคคล ส่วน Processor ต้องมี Activity ว่าทำอะไรบ้าง คนประมวลผล ประมวลผลอะไร เอาไปทำอะไร ตามวัตถุประสงค์ที่ขอความยินยอม

ท้ายที่สุด การเก็บข้อมูล ต้องเก็บข้อมูลที่เหมาะสม ตามวัตถุประสงค์ เก็บข้อมูลเท่าที่จำเป็น ยิ่งเก็บข้อมูลเยอะ ยิ่งเสี่ยงหากข้อมูลรั่วไหล 

PDPA เลื่อนการบังคับใช้ ไปอีก 1 ปี แต่ก็ต้องเตรียมตัว โดย PDPA เป็นหน่วยงานของกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอีเอส)

สรุป การทำกล้องวงจรปิด AI ทำ Access Control ทำได้ แต่ต้องมีการ Notice แจ้งว่ามีการบันทึกกล้องวงจรปิด วิเคราะห์ใบหน้า ปิดท้ายด้วย PDPA มีผลต่อการลงทุนกับต่างชาติ หากประเทศเราไม่มี ต่างชาติก็จะดีลตามมาตรฐานเทียบเท่ากันด้วย

COMMENTS