การใช้ข้อมูลภาพจำลองใบหน้า โอกาสหรือความเสี่ยง ?

16 พ.ค.2567 Dutch DPA หน่วยงานบังคับใช้กฎหมาย GDPR ในเนเธอร์แลนด์ ได้มีคำสั่งกำหนดค่าปรับและคำสั่งลงโทษเพิ่มเติม ในกรณีที่ไม่ปฏิบัติตามคำสั่งดังกล่าวต่อกรณีการกระทำผิดของ Clearview AI ผู้ให้บริการข้อมูลภาพจำลองใบหน้า (facial recognition) เป็นเงิน  30,500,000 ยูโร

          Clearview AI บริษัทสัญชาติอเมริกันที่ไม่มีสำนักงานในยุโรป โดยเป็นเจ้าของเทคโนโลยีการจดจำใบหน้าอัจฉริยะและการประมวลผลจาก big data โดยมีฐานข้อมูลภาพใบหน้าของบุคคลจำนวนมากกว่า 30 พันล้านภาพ ซึ่งบริษัทเก็บรวบรวมมาจากข้อมูลต่าง ๆ ที่เผยแพร่และเข้าถึงได้ทางอินเทอร์เน็ต

           โดยใช้เทคนิคที่เรียกว่า Crawler (หรือ Web Crawler) โดยการใช้โปรแกรมหรือบอทที่ถูกออกแบบมาให้ท่องเว็บไซต์ต่าง ๆ โดยอัตโนมัติเพื่อเก็บข้อมูล โดยเฉพาะในบริบทของเครื่องมือค้นหา (Search Engines) เช่น Google, Bing, หรือ Yahoo!

          บอทเหล่านี้จะทำการค้นหาและจัดเก็บข้อมูลจากหน้าเว็บไซต์ต่าง ๆ เพื่อนำมาใช้ในการสร้างดัชนี (Indexing) เพื่อให้เครื่องมือค้นหาสามารถแสดงผลลัพธ์ของการค้นหาได้อย่างมีประสิทธิภาพ

          Crawlers จะทำงานโดยการเริ่มต้นจากหน้าเว็บไซต์หนึ่ง และจากนั้นติดตามลิงก์ต่าง ๆ ที่ปรากฏในหน้านั้นเพื่อไปยังหน้าอื่น ๆ ต่อไป โดยกระบวนการนี้จะดำเนินการไปอย่างต่อเนื่องเพื่อให้ครอบคลุมหน้าเว็บที่กว้างขวางมากที่สุด

          Clearview AI ได้เข้าไปมีบทบาทสำคัญในการช่วยเจ้าหน้าที่ตำรวจหรือหน่วยงานบังคับใช้กฎหมายในการระบุตัวผู้กระทำความผิด

          อย่างไรก็ตาม ตลอดสามปีที่ผ่านมา มีหน่วยงานด้านการคุ้มครองข้อมูลส่วนบุคคล (DPA: Data Protection Authority) ในประเทศต่าง ๆ ของยุโรปได้มีคำสั่งปรับ Clearview เป็นจำนวนเงินหลายล้านยูโรแล้ว อาทิ

          UK ICO เป็นเงินจำนวน 7,500,000 ปอนด์ (คดีอยู่ระหว่างการอุทธรณ์คำสั่งของ ICO) Italian DPA เป็นเงินจำนวน 20,000,000 ยูโร Swedish DPA เป็นเงินจำนวน 248,218 ยูโร และ Greek DPA เป็นเงินจำนวน 20,000,000 ยูโร เป็นต้น

          วันนี้ ผู้เขียนจึงขอนำท่านผู้อ่านมาเรียนรู้ข้อจำกัดในการใช้เทคโนโลยีการจดจำภาพใบหน้าและความไม่สอดคล้องของการดำเนินการของบริษัทตามาตรฐานกฎหมายของยุโรปตามที่ Dutch DPA กล่าวกันดูครับ

1.การประมวลผลข้อมูลชีวภาพ
          การที่บุคคลในภาพถ่ายสามารถระบุคคลได้ ไม่เพียงพอที่จะถือว่าภาพถ่ายเหล่านี้เป็นข้อมูลชีวภาพ ภาพถ่ายจะถูกจัดประเภทเป็นข้อมูลชีวภาพก็ต่อเมื่อมีการประมวลผลผ่านวิธีการทางเทคนิคที่เฉพาะเจาะจงซึ่งทำให้มีสามารถระบุตัวตนหรือการตรวจสอบความถูกต้องของบุคคลธรรมดาอย่างเฉพาะเจาะจงได้

          โดย Clearview AI ได้ใช้อัลกอริทึมในการแปลงภาพถ่ายที่รวบรวมและอัปโหลดเป็นเวกเตอร์ และจัดเก็บภาพถ่ายพร้อมกับเวกเตอร์ที่สอดคล้องกันในฐานข้อมูล ดังนั้น Clearview AI จึงใช้วิธีการทางเทคนิคกับภาพดังกล่าวเหล่านั้นแล้ว

          และวัตถุประสงค์ของวิธีการทางเทคนิคเหล่านี้คือเพื่อให้สามารถรระบุตัวบุคคลธรรมดาอย่างเฉพาะเจาะจง โดยฟังก์ชันการค้นหาจะเปรียบเทียบเวกเตอร์ของภาพที่อัปโหลดกับภาพอื่น ๆ ในฐานข้อมูล และแสดงในภาพอื่น ๆ ที่มีการปรากฏของข้อมูลของบุคคลนั้น นอกจากนี้ยังสามารถได้รับ URL และเมตะดาต้าที่เกี่ยวข้องกับภาพเหล่านี้ด้วย

2. การเก็บรวบรวมข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลในเนเธอร์แลนด์

          ในกระบวนการรวบรวมข้อมูลโดยใช้ crawler ของ Clearview AI ไม่มีการกำหนดข้อจำกัดใด ๆ ในแง่ของที่ตั้งทางภูมิศาสตร์หรือสัญชาติ Clearview AI เปรียบเทียบขอบเขตของการรวบรวมข้อมูลกับข้อมูลที่ Google จัดเก็บ ซึ่งไม่มีข้อจำกัดล่วงหน้าเช่นกัน

          คลังภาพของ Clearview AI ประกอบด้วยข้อมูลสาธารณะที่สามารถค้นหาได้จากการค้นหาผ่าน Google ทั่วไป และจากฐานข้อมูลภาพถ่ายจำนวน 30 พันล้านภาพบริษัทไม่มีการดำเนินมาตรการใด ๆ ในการคัดกรองและป้องกันภาพถ่ายของบุคคลที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของชาวดัตช์ (หรือพฤติกรรมของพวกเขาในเนเธอร์แลนด์) ออกจากฐานข้อมูล

ตรงกันข้าม Crawler ของ Clearview ได้รวบรวมข้อมูลจากเว็บไซต์ของเนเธอร์แลนด์เช่นกัน ในบริบทนี้ ตามข้อมูลจากสำนักงานสถิติเนเธอร์แลนด์พบว่า 97% ของชาวดัตช์ที่มีอายุ 12 ปีขึ้นไปสามารถเข้าถึงอินเทอร์เน็ตที่บ้านได้ 87.6% ของผู้ที่ถูกสัมภาษณ์ระบุว่าพวกเขาใช้อินเทอร์เน็ตเกือบทุกวันในช่วงสามเดือนก่อนหน้า

 

          ในปี 2019 พบว่า 63% ของชาวดัตช์ที่มีอายุ 12 ปีขึ้นไปมีความเคลื่อนไหวในหนึ่งหรือมากกว่าหนึ่งเครือข่ายสังคม เช่น Facebook, Twitter, Instagram หรือ Snapchat ซึ่งยืนยันข้อเท็จจริงว่าข้อมูลส่วนบุคคลของชาวดัตช์จะถูกประมวลผลโดย Clearview AI

3.ฐานทางกฎหมายในการประมวลผล

          Clearview AI อ้างว่าใช้ฐานประโยชน์โดยชอบด้วยกฎหมาย (legitimate interest) ในการประมวลผลข้อมูลชีวภาพ และในกรณีนี้บริษัทไม่ได้มีการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล

          ซึ่งกรณีนี้ Dutch DPA เห็นว่าประโยชน์ ในทางธุรกิจขององค์กร ไม่ได้สัดส่วนกับผลกระทบต่อสิทธิและเสรีภาพของบุคคล โดยเฉพาะเมื่อ มีข้อมูลส่วนบุคคลของผู้เยาว์จำนวนมากที่บริษัทเก็บรวบรวมเพื่อสร้างฐานข้อมูลภาพจำลองใบหน้า

          ส่วนข้อกล่าวอ้างของบริษัทที่ว่า เป็นข้อมูลที่เปิดเผยต่อสาธารณะโดยชัดแจ้งของผ่านช่องทางออนไลน์ต่าง ๆ โดยเจ้าของข้อมูลส่วนบุคคล ก็ยังไม่อาจถือได้ว่าเจ้าของข้อมูลส่วนบุคคลเหล่านั้นมีเจตนาให้นำภาพถ่ายของตนเองไปใช้ได้

          บริษัทจึงไม่มีฐานทางกฎหมายหรือความชอบธรรมตามที่กฎหมายกำหนด ในการเก็บรวบรวมข้อมูลภาพถ่ายบุคคลจากแหล่งต่างเพื่อจัดทำฐานข้อมูลภาพจำลองใบหน้า

4.ความโปร่งใสและการแจ้งรายละเอียดต่าง ๆ เกี่ยวกับความเป็นส่วนตัว

          Dutch DPA ตรวจสอบ Privacy Notice ฉบับปัจจุบันและย้อนหลังของบริษัทแล้วเห็นว่าไม่เป็นไปตามข้อกำหนดด้านความโปร่งใสและหน้าที่ในการแจ้งวัตถุประสงค์และรายละเอียดต่าง ๆ เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล

          โดยเมื่ออ่าน Privacy Notice ของบริษัทแล้ว เจ้าของข้อมูลส่วนบุคคลจะไม่อาจทราบได้เลยว่า Clearview AI กำลังประมวลผลภาพถ่ายของพวกเขา (รวมถึงเมตะดาต้า) เพื่อวัตถุประสงค์ในการจดจำใบหน้า รวมทั้งการที่ Clearview AI ไม่มีมาตรการที่เหมาะสมเพื่อให้ผู้ที่เกี่ยวข้องกับข้อมูลได้รับทราบ

          5.การไม่เคารพต่อสิทธิในการเข้าถึงข้อมูลส่วนบุคคล โดย Clearview AI ปฏิเสธคำขอใช้สิทธิและไม่ดำเนินการให้มีช่องทางที่เหมาะสมในการขอใช้สิทธิ

          เรื่องนี้คงยังไม่จบง่าย ๆ ต้องมารอดูกันว่า Clearview AI จะใช้มาตรการใดในการไม่ปฏิบัติตามคำสั่งต่าง ๆ ของหน่วยงานด้านการคุ้มครองข้อมูลส่วนบุคคลของยุโรป

          รวมทั้งความพยายามของ Dutch DPA ที่กำลังพิจารณาว่าจะมีช่องทางในการดำเนินคดีอาญากับผู้บริหารของ Clearview AI ได้หรือไม่ เพื่อให้มั่นใจว่ากระบวนการบังคับใช้กฎหมายจะมีประสิทธิภาพและสามารถลงโทษผู้กระทำผิดได้จริง.
 

เรียบเรียงจาก Dutch DPA imposes a fine on Clearview because of illegal data collection for facial recognition