ความหมายของบุคคลที่ถูกระบุตัวตนและการระบุตัวตนได้
ในยุคที่ข้อมูลดิจิทัลมีบทบาทสำคัญในทุกมิติของชีวิต การเข้าใจความหมายของคำว่า บุคคลที่ถูกระบุตัวตน และ บุคคลที่สามารถระบุตัวตนได้ จึงเป็นพื้นฐานสำคัญสำหรับการจัดการข้อมูลส่วนบุคคลอย่างถูกต้องและปลอดภัย ตามข้อกำหนดของกฎหมายคุ้มครองข้อมูลส่วนบุคคลโดยทั่วไปหรือ GDPR ซึ่งเป็นมาตรฐานสากลที่หลายประเทศนำไปปรับใช้ คำว่า บุคคลที่ถูกระบุตัวตน หมายถึง มนุษย์ซึ่งข้อมูลส่วนบุคคลมีความเกี่ยวข้องโดยตรงและชัดเจน เช่น ชื่อ รูปภาพ หมายเลขประจำตัว หรือร่องรอยชีวภาพที่ไม่ต้องอาศัยข้อมูลอื่นใดอีกในการระบุตัวตน ในทางกลับกัน บุคคลที่สามารถระบุตัวตนได้ หมายถึง มนุษย์ซึ่งอาจถูกระบุตัวตนได้โดยการรวมกันของข้อมูลที่มีอยู่ เช่น ข้อมูลตำแหน่งที่ตั้ง ข้อมูลการใช้งานอินเทอร์เน็ต หรือพฤติกรรมอื่น ๆ ที่ทำให้มีโอกาสอย่างสมเหตุสมผลในการบ่งชี้ว่าบุคคลนั้นคือใคร ทั้งสองแนวคิดนี้เป็นรากฐานของการกำหนดขอบเขตข้อมูลส่วนบุคคลและมาตรการป้องกันที่ต้องดำเนินการ
ข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ (PII)
ข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ หรือ Personally Identifiable Information (PII) คือ ข้อมูลใด ๆ ที่สามารถใช้เพื่อแยกแยะ ติดตาม หรือระบุตัวบุคคลเฉพาะคนได้ ตัวอย่างที่ชัดเจน ได้แก่ ชื่อเต็ม เลขประจำตัวประชาชน หมายเลขประกันสังคม ข้อมูลชีวมิติ เช่น ลายนิ้วมือหรือสแกนใบหน้า ข้อมูลทางการเงิน และที่อยู่อาศัย การปกป้อง PII เป็นสิ่งจำเป็นเพราะหากข้อมูลเหล่านี้ถูกเปิดเผยหรือถูกนำไปใช้ในทางมิชอบ อาจนำไปสู่การโจรกรรมข้อมูล การปลอมแปลงตัวตน หรือความเสียหายอื่น ๆ ต่อเจ้าของข้อมูล องค์กรที่เก็บรวบรวม PII ต้องปฏิบัติตามหลักการคุ้มครองข้อมูล เช่น การเก็บเฉพาะข้อมูลที่จำเป็น การเข้ารหัส และการจำกัดการเข้าถึง
เพื่อให้เห็นภาพประเภทของ PII ที่พบบ่อย สามารถสรุปเป็นตารางด้านล่างนี้

| ประเภท | ตัวอย่างข้อมูล | ระดับความเสี่ยง |
|---|---|---|
| ข้อมูลระบุตัวตนโดยตรง | ชื่อ นามสกุล เลขบัตรประจำตัว | สูง |
| ข้อมูลชีวมิติ | ลายนิ้วมือ สแกนม่านตา เสียง | สูงมาก |
| ข้อมูลติดต่อ | อีเมล เบอร์โทรศัพท์ ที่อยู่ | ปานกลาง |
| ข้อมูลทางการเงิน | เลขบัญชีธนาคาร หมายเลขบัตรเครดิต | สูงมาก |
| ข้อมูลพฤติกรรม | ประวัติการท่องเว็บ รูปแบบการช้อปปิ้ง | ปานกลางถึงสูง |
วิธีการตรวจสอบตัวตนบุคคลที่ปลอดภัย
การตรวจสอบตัวตนบุคคล หรือ Identity Verification คือ กระบวนการพิสูจน์ว่าบุคคลผู้นั้นเป็นบุคคลที่เขาอ้างว่าเป็น โดยใช้แหล่งข้อมูลที่เชื่อถือได้และเทคโนโลยีที่ทันสมัย วิธีการที่ใช้ได้ผลดีมีหลายรูปแบบ ขึ้นอยู่กับระดับความปลอดภัยที่ต้องการและบริบทของการใช้งาน
รายการต่อไปนี้แสดงขั้นตอนพื้นฐานที่ควรปฏิบัติในกระบวนการตรวจสอบตัวตน
- รวบรวมเอกสารแสดงตนที่มีลักษณะทางการ เช่น บัตรประชาชน หนังสือเดินทาง หรือใบขับขี่
- ตรวจสอบความถูกต้องของเอกสารโดยใช้เทคโนโลยีตรวจจับการปลอมแปลง เช่น การสแกนลายน้ำหรือ hologram
- เปรียบเทียบข้อมูลบนเอกสารกับข้อมูลที่ผู้ใช้กรอกด้วยตนเองในระบบ
- ใช้การตรวจสอบเพิ่มเติม เช่น การยืนยันตัวตนผ่าน SMS หรืออีเมล หรือการถามคำถามส่วนตัวที่มีเฉพาะเจ้าของที่แท้จริงเท่านั้นที่รู้
- สำหรับระดับความปลอดภัยสูง ให้ใช้การตรวจสอบชีวมิติแบบเรียลไทม์ เช่น สแกนใบหน้าหรือลายนิ้วมือร่วมกับเอกสาร
- บันทึกประวัติการตรวจสอบและผลลัพธ์เพื่อการตรวจสอบย้อนหลัง
การนำกระบวนการเหล่านี้ไปใช้ควรสอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลของแต่ละประเทศ โดยเฉพาะพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลของไทย (PDPA) ซึ่งมีข้อกำหนดคล้ายกับ GDPR

เทคโนโลยีและเครื่องมือที่ใช้ในปัจจุบัน
เทคโนโลยีการตรวจสอบตัวตนในปัจจุบันก้าวหน้าไปมาก โดยเฉพาะการใช้ปัญญาประดิษฐ์และการเรียนรู้ของเครื่องในการวิเคราะห์เอกสารและใบหน้า ระบบยืนยันตัวตนอัตโนมัติสามารถทำงานได้รวดเร็วและแม่นยำ ลดข้อผิดพลาดจากมนุษย์ ตัวอย่างเครื่องมือที่นิยมใช้ ได้แก่ ระบบที่รองรับการตรวจสอบเอกสารผ่านกล้องสมาร์ทโฟน การเปรียบเทียบใบหน้าสดกับภาพบนเอกสาร และการใช้ฐานข้อมูลของหน่วยงานรัฐเพื่อตรวจสอบความถูกต้องของเลขประจำตัว นอกจากนี้ยังมีการนำเทคโนโลยีบล็อกเชนมาใช้เพื่อเก็บข้อมูลการยืนยันตัวตนอย่างกระจายศูนย์และป้องกันการแก้ไข
สำหรับองค์กรที่ต้องการนำระบบตรวจสอบตัวตนมาใช้ ควรเลือกผู้ให้บริการที่มีมาตรฐานความปลอดภัยสูงและปฏิบัติตามข้อกำหนดของกฎหมาย เช่น การเข้ารหัสข้อมูลทุกขั้นตอน การไม่เก็บสำเนาเอกสารโดยไม่จำเป็น และการแจ้งเจ้าของข้อมูลถึงวัตถุประสงค์ในการใช้งาน
กรณีศึกษา: การระบุตัวตนบุคคลสูญหาย
หนึ่งในบริบทที่การตรวจสอบตัวตนบุคคลมีความสำคัญอย่างยิ่งคือ การระบุตัวตนบุคคลสูญหายหรือบุคคลที่ไม่ทราบชื่อ กระบวนการนี้มักถูกดำเนินการโดยหน่วยงานภาครัฐ เช่น กระทรวงยุติธรรมและความมั่นคงสาธารณะของบราซิล ซึ่งมีกระบวนการอย่างเป็นทางการในการระบุตัวตนบุคคลที่ไม่ทราบชื่อ โดยใช้เทคโนโลยีดีเอ็นเอและลายนิ้วมือร่วมกับฐานข้อมูลทะเบียนราษฎร วิธีการนี้ช่วยให้สามารถเชื่อมโยงบุคคลที่สูญหายกับครอบครัวของพวกเขาได้อย่างแม่นยำ แม้ในกรณีที่บุคคลนั้นไม่สามารถสื่อสารหรือไม่มีเอกสารติดตัว การรวบรวมข้อมูลชีวมิติและการเปรียบเทียบกับฐานข้อมูลที่มีอยู่เป็นวิธีที่มีประสิทธิภาพสูงสุดในปัจจุบัน

นอกจากนี้ การใช้ระบบข้อมูลกลางที่เชื่อมโยงกันระหว่างหน่วยงานต่างๆ ยังช่วยลดระยะเวลาในการระบุตัวตนและเพิ่มโอกาสในการช่วยเหลือบุคคลที่ตกอยู่ในภาวะวิกฤต การลงทุนในโครงสร้างพื้นฐานด้านการระบุตัวตนจึงเป็นสิ่งที่รัฐบาลหลายประเทศให้ความสำคัญเป็นอันดับต้นๆ
ข้อควรปฏิบัติเพื่อความปลอดภัยของข้อมูล
ไม่ว่าคุณจะเป็นผู้ให้บริการหรือผู้ใช้งานระบบตรวจสอบตัวตน ความปลอดภัยของข้อมูลเป็นสิ่งที่ต้องคำนึงถึงเสมอ หลักการสำคัญคือ การเก็บรวบรวมข้อมูลเท่าที่จำเป็น การจัดเก็บอย่างปลอดภัยด้วยการเข้ารหัส การกำหนดสิทธิ์การเข้าถึงที่ชัดเจน และการทำลายข้อมูลเมื่อหมดความจำเป็น องค์กรควรมีนโยบายและแนวปฏิบัติที่ชัดเจนในการจัดการกับข้อมูลส่วนบุคคล รวมถึงการแจ้งเตือนเมื่อเกิดเหตุละเมิดข้อมูล
สำหรับผู้ใช้งาน ควรระมัดระวังในการให้ข้อมูลส่วนตัวแก่บุคคลหรือองค์กรที่ไม่น่าเชื่อถือ ตรวจสอบว่าระบบที่ใช้มีการเชื่อมต่อที่ปลอดภัย (HTTPS) และอ่านนโยบายความเป็นส่วนตัวก่อนยินยอมให้ข้อมูล การใช้รหัสผ่านที่แข็งแรงและการยืนยันตัวตนสองขั้นตอนยังเป็นแนวทางที่ช่วยเพิ่มความปลอดภัย

อ้างอิง
ข้อมูลในบทความนี้อ้างอิงจากแหล่งข้อมูลที่เชื่อถือได้ ดังนี้
GDPR (General Data Protection Regulation) – ข้อกำหนดเกี่ยวกับบุคคลที่ถูกระบุตัวตนและบุคคลที่สามารถระบุตัวตนได้ ตามมาตรา 4 วรรค 1 และวรรค 6 สามารถอ่านเพิ่มเติมได้ที่ Eur-Lex – GDPR (ภาษาโปรตุเกส)
IBM – คำจำกัดความของข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ (PII) อ้างอิงจาก IBM Think – PII

Veridas – ข้อมูลเกี่ยวกับกระบวนการตรวจสอบตัวตน สามารถศึกษาเพิ่มเติมได้จาก Veridas – Verificação de Identidade
กระทรวงยุติธรรมและความมั่นคงสาธารณะของบราซิล – กระบวนการระบุตัวตนบุคคลสูญหาย ข้อมูลจาก Gov.br – Ministério da Justiça
ข้อมูลเพิ่มเติมเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลในประเทศไทยสามารถอ้างอิงจากพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ซึ่งมีหลักการสอดคล้องกับ GDPR





