ส่องความสำเร็จของการปรับเปลี่ยนใช้ Digital ID ในประเทศต่าง ๆ ก่อนที่ประเทศจะได้ใช้งานเองในอนาคต เพื่อเตรียมพร้อมและเข้าใช้ Digital ID มากขึ้น…
ส่องความสำเร็จ ประเทศที่ปรับตัวใช้ Digital ID
การปรับตัวเข้าสู่ยุคดิจิทัลกลายเป็นสิ่งที่เห็นได้ทั่วไปตลอดช่วง 2-3 ปีที่ผ่านมา โดยเฉพาะธุรกิจบริการที่ต่างแข่งขันกันนำเสนอบริการที่สะดวกรวดเร็ว และตอบโจทย์ ไลฟ์สไตล์ (Lifestyle) ของลูกค้าให้ได้มากที่สุด และการเปลี่ยนแปลงของพฤติกรรมผู้บริโภคนี่เองทำให้ผู้ประกอบธุรกิจ
ต้องปรับเปลี่ยนวิธีการที่จะสามารถทำให้รู้จักลูกค้าได้ดีมากขึ้น ผ่านวิธีการทางด้านอิเล็กทรอนิกส์แบบต่าง ๆ อย่างไรก็ดี การปรับเปลี่ยนวิธีการใหม่ ก็สร้างความไม่แน่ใจให้แก่ผู้ประกอบการว่าวิธีการดังกล่าวนั้นจะถูกต้องตามกฎเกณฑ์ต่าง ๆ ที่เริ่มมีผลบังคบใช้แล้ว
อาทิ หลักคุ้มครองข้อมูลส่วนบุคคลแบบใหม่ยุโรป (GDPR) หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลในบ้านเรา ที่สภานิติบัญญัติแห่งชาติ หรือ สนช. ที่ได้ ประกาศเมื่อวันที่ 28 กุมภาพันธ์ที่ผ่านมา โดยมีวัตถุประสงค์เพื่อรับมือกับการเปลี่ยนผ่านเข้าสู่ดิจิทัล และส่งผลให้มีการล่วงละเมิดสิทธิในข้อมูลส่วนบุคคลเพิ่มมากขึ้น
เนื่องจากเป็นส่วนหนึ่งของการรักษาความปลอดภัยของข้อมูล (Data Security) ครอบคลุมข้อมูลส่วนบุคคล ตั้งแต่ ชื่อ นามสกุล ที่อยู่ เบอร์โทรศัพท์ ไปจนถึงอีเมล์ หมายเลขบัตรประจำตัวประชาชน ฯลฯ และยังคุ้มครองไปถึงข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Data)
เช่น เชื้อชาติ เผ่าพันธุ์ ความเห็นทางการเมือง ความเชื่อ ลัทธิ ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลทางด้านสุขภาพ ข้อมูลทางพันธุกรรม และ ข้อมูลชีวภาพ ซึ่ง พ.ร.บ. ฉบับนี้ มีสาระสำคัญ และแนวทางในการปฏิบัติ ที่ดูแล้วน่าจะเกี่ยวเนื่องกับ เรื่องของ ดิจิทัล ไอดี หลาย ๆ แง่มุม ไม่ว่า
การขอความยินยอม การเก็บรวบรวม
โดยหน่วยงานต่าง ๆ ที่ต้องการใช้ หรือ ต้องการเปิดเผยข้อมูลส่วนบุคคล ต้องได้รับการยินยอมจากเจ้าของข้อมูล โดยต้องมีการยอมรับเป็นลายลักษณ์อักษร หรือ ผ่านทางระบบอิเล็กทรอนิกส์ โดยขอบเขตการบังคับใช้ ในร่างพรบ. ฉบับล่าสุด ยังได้ขยายขอบเขตครอบคลุมถึงกรณีผู้ควบคุมข้อมูล (Data Controller)
และผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ที่อยู่นอกประเทศ ไม่ว่าจะเป็น การเสนอขายสินค้าหรือบริการแก่เจ้าของข้อมูลซึ่งอยู่ในประเทศ ไม่ว่าจะมีการชำระเงินหรือไม่ และ การเฝ้าติดตามพฤติกรรมของเจ้าของข้อมูลที่เกิดขึ้นในประเทศ อีกด้วย
วัตถุประสงค์ในการใช้ข้อมูล
ขณะที่ในการใช้ข้อมูลต้องแจ้ง วัตถุประสงค์ในการใช้ข้อมูล โดยต้องแจ้งเจ้าของข้อมูลถึงวัตถุประสงค์ในการเก็บ ใช้ หรือ เปิดเผย และต้องไม่ใช้ข้อมูลนอกเหนือจากวัตถุประสงค์ที่แจ้งเอาไว้
สร้างมาตรการรักษาความปลอดภัยของข้อมูลที่ถูกเก็บรักษา
ขณะที่ยังจำเป็นต้องมีมาตรการรักษาความปลอดภัยของข้อมูลที่ถูกเก็บรักษาในประเทศ ซึ่งในกรณีการโอนย้ายข้อมูลไปนอกประเทศ ประเทศปลายทางต้องมีมาตรการรักษาความปลอดภัยข้อมูลส่วนบุคคลที่เพียงพอ และจะต้องมีการจัดทำรายงานวัดผลการป้องกันข้อมูลตามกฎหมายด้วย
กำหนดสิทธิให้เจ้าของมีสิทธิในการขอเคลื่อนย้ายข้อมูลส่วนบุคคลของตน
กล่าวคือมีสิทธิขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตน รวมถึงมีสิทธิโต้แย้ง หรือ คัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล เพิ่มเติมจากการมีสิทธิเข้าถึง และขอให้เปิดเผยถึงการได้มาซึ่งข้อมูล ขอให้ลบทำลาย หรือเปลี่ยนแปลงข้อมูลที่องค์กรต่าง ๆ นำไปใช้
ซึ่งหากหน่วยงานใดที่นำข้อมูลไปใช้ และฝ่าฝืนจะต้องโทษจำคุกไม่เกิน 6 เดือน ถึง 1 ปีหรือปรับไม่เกิน 500,000 ถึง 1 ล้านบาท หรือทั้งจำทั้งปรับ (สำหรับโทษทางอาญา) และโทษทางปกครองที่ถูกเพิ่มอัตราโทษจากเดิมที่ระหว่าง 100,000 ถึง 500,000 บาทเป็นระหว่าง 1 ถึง 5 ล้านบาท เลยทีเดียว
กลับไปมองถึงความเชื่อมโยงของกลไกการคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (General Data Protection Regulation หรือ GDPR) กับธุรกิจไทย ซึ่งอาจจะไม่ได้ส่งผลกระทบต่อตัวบุคคลโดยตรง แต่ส่งผลกระทบต่อภาพคธุรกิจอย่างหลีกเลี่ยงไม่ได้
เนื่องจากขอบเขตการคุ้มครองอย่างกินพื้นที่มาถึงการรับส่งข้อมูลที่อยู่ภายนอกประเทศสมาชิกด้วย ดังนั้นแน่นอนว่าธุรกิจในประเทศไทยเองหากจะต้องติดต่อรับส่งข้อมูลกับทางประเทศสมาชิกสหภาพยุโรปก็จำเป็นจะต้องยกระดับการคุ้มครองข้อมูลส่วนบุคคลให้เท่าเทียมกับประเทศที่มีการใช้ GDPR ด้วยเช่นกัน
จากเหตุผลที่ทั้งในด้านกฎหมาย และพฤติกรรมผู้บริโภคที่เปลี่ยนแปลงไปเราเห็นแล้วว่า หลายธุรกิจได้ทำการเปลี่ยนระบบการเปลี่ยนวิธีการเปิดบัญชี และทำความรู้จักลูกค้าของตนเองไปสู่สิ่งที่เรียกว่า วิธีอิเล็กทรอนอกส์ (e-KYC) และเพื่อให้สามารถแก้ไขปัญหาเรื่องของการปรับให้ถูกต้องตามกฎเกณฑ์ทางด้านกฎหมายมากขึ้น
จึงเริ่มมีการนำเรื่องของ ระบบการพิสูจน์ และยืนยันตัวตนทางดิจิทัล เข้ามาช่วยทำให้เรื่องของการพิสูจน์ตัวตน (Identity Proofing) ของการทำให้การเปิดบัญชี และการทำความรู้จักลูกค้า (Know Your Client หรือ KYC) ไปสู่รูปแบบทางอิเล็กทรอนิกส์นั้นง่ายขึ้น รวดเร็ว มีประสิทธิภาพ และน่าเชื่อถือ
ปัจจุบันการพิสูจน์ตัวตนด้วยวิธีการอิเล็กทรอนิกส์ที่ใช้กันอยู่ จะเริ่มจากการตรวจสอบตัวตนทางกายภาพของตัวผู้ขอ เช่น การตรวจสอบบัตรประจำตัวประชาชน เมื่อได้ข้อมูลตัวตนมากแล้วจึงนำไปสร้างตัวตนในโลกดิจิทัล ที่สามารถอ้างอิงกันและกันได้
จากนั้นจึงใช้สิ่งที่ยืนยันตัวตน เช่น Username / Password กลับมายืนยันตนเองว่าเป็นบุคคล หรือนิติบุคคล เป็นคนเดียวกัน โดยอ้างอิงกับข้อมูลทางกายภาพที่ผู้ผู้ประกอบธุรกิจเคยตรวจสอบเอาไว้ ในอดีตกระบวนการตรวจสอบ ไม่ว่าจะทำในรูปแบบเดิม หรือแบบออนไลน์ ทั้งกระบวนการต้องมีประสิทธิภาพ น่าเชื่อถือ นั้นมีความยิ่งยาก
และมีค่าใช้จ่ายสูง และใช้เวลานาน แต่หากเราสามารถใช้เครื่องมือที่ผ่านบนโลก ดิจิทัล ได้แล้ว ก็จะทำให้รวดเร็ว และง่ายดายมากขึ้น อย่างที่หลาย ๆ ประเทศ ทำ อาทิ
หลายประเทศเร่งปรับลดความยุ่งยากในการยืนยันตัวตนของประชาชนเพื่อเพิ่มความสะดวก
ประเทศอินเดีย ได้แก้ปัญหาการระบุตัวตนของประชากรอินเดีย เกิดขึ้นจากความแตกต่างด้านการเมือง และเศรษฐกิจที่ซับซ้อน ของประชากรอินเดียที่มีจำนวนมากกว่าพันล้านคน เงินอุดหนุนจำกรัฐสำหรับคนยากจนไม่สามารถไปถึงมือผู้ที่ควร ได้รับจริง ๆ อีกทั้งการเข้าถึงบริการที่สำคัญ ๆ
อย่างเช่น สาบันการเงิน ก็เป็นไปได้ยากด้วย รัฐบาลอินเดียเล็งเห็น ถึงปัญหานี้จึงจัดตั้งหน่วยงาน Unique Identification Authority of India (UIDAI) ขึ้นเพื่อแก้ปัญหาดังกล่าว ในปี 2551 โดย UIDAI ได้ออกแบบการระบุตัวตนของบุคคล และกำรจัดเก็บข้อมูล และร่วมกับหน่วยงำนอื่น ๆ ดำเนินการขึ้นทะเบียน
และจัดเก็บข้อมูลประชากร ไม่ว่าจะเป็น ชื่อ-นามสกุล อายุ เพศ และที่อยู่ที่ติดต่อได้ รวมถึงลายนิ้วมือ 10 นิ้ว และม่านตำ เพื่อระบุตัวตนคนอินเดีย โดยทุกคนที่มาลงทะเบียนจะได้รับบัตรที่มีชื่อว่า Aadhaar ซึ่งมี หมายเลขประจำตัว 12 หลัก
โดยมีการจัดเก็บข้อมูลที่ประชำชนลงทะเบียนไว้ในฐานข้อมูลกลาง (centralized model) และมีหน่วยงานของรัฐเป็นผู้ดูแลอย่าง Aadhaar เข้ามาช่วยให้กำรระบุตัวตนคนอินเดียทำได้ง่าย และรวดเร็วมากยิ่งขึ้น วันนี้คนอินเดียไม่ต้องเตรียมเอกสาร ระบุตัวตนซ้ำแล้วซ้ำเล่าในการติดต่อขอใช้บริการ
แต่เปลี่ยนเป็นการระบุตัวตนผ่านวิธีการทางอิเล็กทรอนิกส์แทน ซึ่งใช้เวลาไม่นาน Aadhaar สามารถใช้ประโยชน์ในการเข้าถึงบริการจากสถาบันการเงิน เช่น การเปิดบัญชีธนาคาร และการใช้ micro ATMs รวมไปถึงการขอรับสวัสดิการจากรัฐที่เมื่อระบุตัวตนประชาชนที่เข้าข่ายสมควรได้รับ ความช่วยเหลือได้ สวัสดิการก็ไปถึงมือได้
นอกจากนั้น Aadhaar ยังสามารถใช้ในการทำใบขับขี่ หรือลงทะเบียน โทรศัพท์มือถือ ช่วยให้ประชาชนสามารถเข้าถึงระบบสาธารณูปโภคได้ง่ายขึ้นอีกด้วย
หรือในประเทศสิงคโปร์ เอง รัฐบาลสิงคโปร์เองก็มีแนวคิดในการผลักดันการพิสูจน์ และยืนยันตัวตนให้เข้าสู่รูปแบบดิจิทัลเพื่อเพิ่ม ความสะดวก และลดความซ้ำซ้อนในกำรใช้บริการ โดยได้มีการพัฒนาระบบ “MyInfo” ซึ่งเป็นระบบที่สามารถแชร์ ข้อมูลประชาชนระหว่างหน่วยงานรัฐ และเอกชน
เช่น ธนาคาร ช่วยให้ประชาชนที่ต้องการใช้บริการต่าง ๆ ไม่ต้องกรอกข้อมูลซ้ำ ๆ ช่วยลดความผิดพลาดในการกรอกข้อมูลลงในแบบฟอร์มด้วยตนเอง และไม่ต้องยื่นหลักฐานจริง แต่ใช้การแชร์ข้อมูลจากฐานข้อมูลกลางแทน โดยข้อมูลสำคัญ ๆ เช่น รายได้จะต้องมีการให้ความยินยอมก่อน การแชร์ข้อมูล
ข้อมูลในฐานข้อมูลของระบบ MyInfo ได้แก่ ข้อมูลส่วนบุคคลต่าง ๆ เช่น ชื่อ-นามสกุล เลขที่บัตร ประจำตัวประชาชน วันเกิด ข้อมูลช่องทางติดต่อ เช่น เบอร์โทรศัพท์มือถือ อีเมล์ ที่อยู่ ข้อมูลรายได้ ข้อมูล การศึกษา และการทำงาน ข้อมูลครอบครัว ไปจนถึงกำรครอบครองยานพาหนะ
ปัจจุบันมีหน่วยงานภาครัฐถึง 38 หน่วยงาน ที่เชื่อมต่อระบบกับ MyInfo เช่น การสมัคร Public Housing Flats หรือ Baby Bonus scheme นอกเหนือจากบริการภาครัฐ ยังมีธนาคารหลายแห่งที่ให้ลูกค้าใช้ข้อมูลจาก MyInfo เพื่อการเปิดบัญชีธนาคารได้โดยไม่ต้องกรอกแบบฟอร์ม หรือแสดงหลักฐานอีก ช่วยให้การเปิดบัญชี ธนาคารทำได้รวดเร็วยิ่งขึ้นด้วย
ขณะที่ใน ประเทศอังกฤษ ก็เป็นอีกประเทศหนึ่งที่รัฐบาลพัฒนาระบบการพิสูจน์ตัวตนที่ช่วยลดความซ้ำซ้อน และสร้างความรวดเร็วในการใช้บริการภาครัฐในรูปแบบ Online ได้ โดยรัฐบาลโดยหน่วยงำน Government Digital Service (GDS) ได้จัดทำระบบที่มีชื่อว่า “GOV.UK Verify” ขึ้น ซึ่งเริ่มใช้งานในปี 2016
โดยกระบวนการพิสูจน์ตัวตนของระบบดังกล่าวคือ เมื่อมีผู้ต้องการใช้บริการภาครัฐทำง Online บุคคลผู้นั้น ต้องไปพิสูจน์ตัวตน และสร้างตัวตนดิจิทัลกับผู้ให้บริกำรยืนยัน ตัวตน หรือ Identity Providers เสียก่อน โดยเลือก Identity Provider ที่ต้องการจาก Identity Providers จำนวน 7 ราย
ที่ได้รับความเห็นชอบจากรัฐให้ทำหน้าที่พิสูจน์ตัวตน แล้ว โดย Identity Provider จะขอข้อมูลจากผู้ที่ต้องการใช้บริการ และทำการตรวจสอบข้อมูลนั้นกับแหล่งข้อมูล ที่น่าเชื่อถือ ซึ่ง Identity Provider แต่ละรำยจะมีวิธีการพิสูจน์ตัวตนที่แตกต่ำงกันไป
อย่างไรก็ดี กระบวนการ พิสูจน์ตัวตนนี้จะใช้เวลาเพียง 5-15 นาทีเท่านั้น หลังจากนั้นผู้ใช้บริการก็จะสามารถใช้ตัวตนดิจิทัลนั้นเข้าใช้บริการ ของภาครัฐที่ต้องการในครั้งต่อ ๆ ไป โดยไม่ต้องพิสูจน์ตัวตนอีก ปัจจุบันมีบริการภาครัฐ 18 บริการที่สามารถใช้การพิสูจน์ตัวตนผ่าน GOV.UK Verify ได้
เช่น การตรวจสอบ ภาษีเงินได้ ตรวจสอบสวัสดิการของรัฐ หรือการดูข้อมูลใบขับขี่ เป็นต้น โดยปัจจุบันมีผู้ผ่านการพิสูจน์ตัวตนด้วยระบบนี้แล้ว จำนวนกว่า 2.8 ล้านคน ในอีกแง่มุมการพัฒนา GOV.UK Verify ได้ช่วยลดภาระของทั้งผู้ขอใช้บริการ และหน่วยงานภาครัฐที่เดิมต้องพิสูจน์ ตัวตนซ้ำ ๆ ช่วยลดระยะเวลาการเข้าใช้บริการ
ช่วยให้การพิสูจน์ตัวตนมีความปลอดภัย เนื่องจากไม่มีการรวมศูนย์ ข้อมูลไว้ในที่เดียว ไม่มีการแชร์ข้อมูลโดยไม่จำเป็น และได้มาตรฐานเนื่องจาก Identity Providers ต้องมีขั้นตอน การพิสูจน์ตัวตนที่ได้มาตรฐานของรัฐ และมาตรฐานสากลในเรื่องความมั่นคงปลอดภัย และการคุ้มครองข้อมูลของ ผู้ขอใช้บริการด้วย
หรือในสาธารณรัฐเอสโตเนีย (Republic of Estonia) หรือ “เอสโตเนีย” (Estonia) เอง ก็ได้ทำการเปลี่ยนแปลงกระบวนการเลือกตั้งโดยให้ประชาชนสามารถเลือกตั้งผ่านระบบออนไลน์ที่ชื่อ “i-voting” โดยใช้บัตรประชาชนสมาร์ทการ์ด (Smart Card)
หรือโมบาย ไอดี (Mobile ID) ในมือถือเข้าใช้งานได้จากที่บ้าน หรือจากอุปกรณ์ต่าง ๆ ได้ และยืนยันตัวตนผ่านบัตรประชาชนและเครื่องอ่านบัตร หรือไอดีมือถือ ซึ่งเมื่อเลือกคน หรือหัวข้อ ระบบก็จะเข้ารหัสแล้วส่งไปยังเซิร์ฟเวอร์ (Server) ของ กกต.กลางของเอสโตเนีย
และต้องใช้ กกต.เอสโตเนีย 5 คน ที่ถือกุญแจอิเล็กทรอนิกส์ ใช้งานพร้อมกันเท่านั้นที่สามารถอ่านผลได้โดยมีตัวระบบเป็นตัวกรอง ผ่านเทคโนโลยีอย่าง Blockchain ซึ่งจะทำให้พิสูจน์ความเป็นตัวตน ของผู้ลงคะแนนเสียงเลือกตัวแทนแม่นยำ และปลอมแปลงได้ยาก
สำหรับประเทศไทยเองตั้งแต่ที่ทางภาครัฐได้สนับสนุนให้เกิดการพัฒนาโครงสร้างพื้นฐานของประเทศ ที่ใช้ในการพิสูจน์ และยืนยันตัวตนผ่านระบบอิเล็กทรอนิกส์ คือ ระบบพิสูจน์ และยืนยันตัวตนทางดิจิทัล ในปี 2561 ขึ้นก็เริ่มมีหลายหน่วยเร่งเตรียมความพร้อมที่จะรับมือกับการเปลี่ยนแปลงดังกล่าว
ซึ่งเชื่อว่าในเวลาอีกไม่นาเราจะได้ใช้ ดิจิทัล ไอดี ของประเทศเราเองได้อย่างเต็มรูปแบบ แต่อย่างไรก็ตาม โครงการสร้าง ดิจิทัล ไอดี ของประเทศไทยจะเกิดขึ้นไม่ได้หากไม่ได้รับความร่วมมือจากทุกภาคส่วนสิ่งหมายความร่วมไปถึงการแก้กฎหมาย หรือกฎระเบียบของหน่วยงานต่าง ๆ ให้สอดรับกันด้วย
*หากอยากรู้ว่า NDID จะเปลี่ยนแปลงประเทศได้ขนาดไหน สามารถรอติดตามข้อมูลดีได้จากงาน Thailand DIgital ID Symposium 2019 ในช่วงเดือน มิถุนายน ที่จะถึงนี้
**ขอขอบคุณข้อมูลจาก : สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (สพธอ.) หรือ ETDA, www.pwc.com
ส่วนขยาย * บทความเรื่องนี้น่าจะเป็นประโยชน์สำหรับการวิเคราะห์ในมุมมองที่น่าสนใจ ** เขียน: ชลัมพ์ ศุภวาที (บรรณาธิการ และผู้สื่อข่าว) *** ขอขอบคุณภาพบาส่วนจาก www.pexels.com, pixabay.com
สามารถกดติดตามข่าวสารและบทความทางด้านเทคโนโลยีของเราได้ที่