ด้วยเหตุที่ความเป็นส่วนตัวกำลังถูกให้ความสำคัญโดยเฉพาะบนโลกดิจิทัลที่ข้อมูลจากแต่ละปัจเจกมีการผลิต และเคลื่อนไหวอยู่ในทุกขณะ นำไปสู่การยกร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 เพื่อปกป้องคุ้มครองความเป็นส่วนตัวของเจ้าของข้อมูลของแต่ละคนไม่ให้ถูกนำไปใช้ในแนวทางที่จะนำไปสู่การละเมิดความเป็นส่วนตัว (Privacy) ของเจ้าของข้อมูลส่วนบุคคล (Data Subject) อย่างไรก็ดีในมุมมองของผู้ประมวลผล หรือผู้ใช้ประโยชน์จากข้อมูลเพื่อการวิเคราะห์นั้น ย่อมหลีกเลี่ยงไม่ได้ที่จะต้องพัวพันกับข้อมูลที่เข้าข่ายเป็นข้อมูลส่วนบุคคล แล้วจะมีทางใดบ้างที่จะช่วยทำให้มั่นใจว่าแนวปฏิบัติของตนนั้นไม่สุ่มเสี่ยงต่อการละเมิดความเป็นส่วนตัวของเจ้าของข้อมูล? แนวปฏิบัติหนึ่งคือการทำให้ข้อมูลส่วนบุคคลเหล่านั้นกลายเป็นข้อมูลที่ไม่สามารถบ่งชี้ตัวบุคคลได้ หรือที่เรารู้จักกันในชื่อของกระบวนการทำให้เป็นนิรนาม (Anonymization) นักวิทยาศาสตร์ข้อมูล (Data Scientist) และผู้วิเคราะห์ข้อมูล (Data Analyst) หลายครั้งจำเป็นต้องมีการประมวลผลข้อมูลส่วนบุคคลเพื่อจะสามารถนำข้อมูลไปใช้ประโยชน์ในการวางแผนการดำเนินการในธุรกิจของหน่วยงาน ด้วยเหตุนี้การปกป้องคุ้มครองข้อมูลเหล่านี้ไม่ให้เสี่ยงต่อการรั่วไหล หรือโจรกรรม การรักษาความปลอดภัย (Security Control) ข้อมูลจึงเป็นสิ่งสำคัญ อย่างไรก็ดี ไม่มีการรักษาความปลอดภัยใดสามารถการันตีว่าจะไม่ถูกโจมตีได้ 100% จึงนำไปสู่หลักการการเก็บ (และประมวลผล) ข้อมูลเฉพาะในส่วนที่สำคัญจำเป็น เก็บเฉพาะข้อมูลที่ต้องใช้ ตัวอย่างหนึ่งได้แก่การเปิดบัญชีกับธนาคารพาณิชย์ ธนาคารย่อมจำเป็นต้องใช้ข้อมูลระบุตัวบุคคล ได้แก่ ชื่อ นามสกุล เลขประจำตัวประชาชน ในขณะที่ข้อมูลศาสนา ที่แม้จะปรากฏบนหน้าบัตรประชาชน แต่อาจไม่ได้มีความจำเป็นใดในการดำเนินธุรกรรมระหว่างลูกค้ากับธนาคาร สำหรับการวิเคราะห์ข้อมูล (Data Analytics) นั้น โดยทั่วไปเราให้ความสำคัญกับภาพรวมแนวโน้มข้อมูลเพื่อวางแผนนโยบายเป็นสำคัญ การบ่งชี้ระบุตัวบุคคล (Identifying) นอกจากจะไม่ใช่สิ่งที่ไม่จำเป็นแล้วยังเป็นเรื่องที่พึงหลีกเลี่ยง เนื่องจากหากผู้วิเคราะห์สามารถล่วงรู้เจ้าของข้อมูลทั้งโดยตั้งใจและไม่ตั้งใจ อาจเกิดการดูแลอย่างเป็นพิเศษ (Special Treatment) อันจะนำไปสู่การวิเคราะห์ข้อมูลอย่างมีอคติ (Bias) ได้ ข้อมูลที่เข้าข่ายเป็นข้อมูลส่วนบุคคล โดยทั่วไปเราอาจจำแนกประเภทข้อมูลออกเป็น 3 ประเภท ขึ้นกับดีกรีความเข้มข้นในความสามารถในการระบุตัวตนเจ้าของข้อมูล ดังนี้ “ข้อมูลส่วนบุคคล หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม” พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 มาตรา 6 กระบวนการลดความเสี่ยงการระบุตัวตนของเจ้าของข้อมูลให้อยู่ในเกณฑ์น้อยมากจนแทบไม่ต้องให้ความสำคัญกับความเสี่ยง เรียกว่า การทำให้เป็นนิรนาม (anonymization) ถึงแม้ข้อมูลนิรนามจะไม่ถือเป็นข้อมูลส่วนบุคคล ดังจะเห็นได้จากการที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลสหภาพยุโรป (GDPR) ซึ่งถือเป็นกฎหมายต้นแบบของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลของไทย ไม่ถูกบังคับใช้กับข้อมูลที่เป็นข้อมูลนิรนาม ดังระบุในอารัมภบท GDPR (Recital) ข้อที่ 26 ซึ่งให้คำจำกัดความของข้อมูลข่าวสารนิรนามว่าคือ “…ข้อมูลที่ไม่สัมพันธ์กับบุคคลที่ถูกระบุตัวตนหรือสามารถระบุตัวตนได้ใด ๆ หรือข้อมูลส่วนบุคคลที่ถูกทำให้ระบุตัวตนไม่ได้ด้วยวิธีการที่ทำให้ไม่สามารถระบุตัวตนเจ้าของข้อมูลได้หรือไม่สามารถระบุตัวตนได้อีกต่อไป ดังนั้นข้อกำหนดนี้ไม่เกี่ยวข้องกับการประมวลข้อมูลนิรนามอันรวมไปถึงเพื่อวัตถุประสงค์ทางสถิติหรือการวิจัย” “ข้อมูลนิรนาม ได้แก่ ข้อมูลที่ไม่สัมพันธ์กับบุคคลที่ถูกระบุตัวตนหรือสามารถระบุตัวตนได้ใด ๆ หรือข้อมูลส่วนบุคคลที่ถูกทำให้ระบุตัวตนไม่ได้ด้วยวิธีการที่ทำให้ไม่สามารถระบุตัวตนเจ้าของข้อมูลได้หรือไม่สามารถระบุตัวตนได้อีกต่อไป ดังนั้นข้อกำหนดนี้ไม่เกี่ยวข้องกับการประมวลข้อมูลนิรนามอันรวมไปถึงเพื่อวัตถุประสงค์ทางสถิติหรือการวิจัย” อารัมภบท GDPR (Recital) ข้อที่ 26 อย่างไรก็ดีศูนย์วิจัยกฎหมายและพัฒนา คณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย ได้ตั้งข้อพึงระวังว่า แม้ลำพังชุดข้อมูลที่ผ่านการทำให้เป็นนิรนามอาจสามารถระบุตัวตนเจ้าของข้อมูลได้ยากจนถึงขั้นไม่ได้เลย แต่หากวันดีคืนดีหากมีข้อมูลแวดล้อมเพิ่มเติมอาจทำให้สามารถระบุตัวตนเจ้าของข้อมูลได้ เนื่องจากข้อมูลเดิมอาจยังมีความสามารถในการถูกนำไปเชื่อมโยง (Linkability) เพื่อนำไปพิจารณาร่วมกับข้อมูลแวดล้อมอื่น นั่นหมายความว่าข้อมูลที่ผ่านการทำให้เป็นนิรนาม “อาจ” ยังคงเข้าข่ายนิยามของข้อมูลส่วนบุคคลตามที่ระบุไว้ในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 มาตรา 6 หากสามารถระบุตัวบุคคลได้ในทางอ้อม เทคนิควิธีการจัดทำข้อมูลนิรนาม (Anonymization) เพื่อกำหนดแนวทางในการแปลงข้อมูลส่วนบุคคลให้เป็นข้อมูลนิรนาม คณะที่ปรึกษาผู้เชี่ยวชาญสหภาพยุโรปด้านการคุ้มครองข้อมูลส่วนบุคคล ได้เผยแพร่แนวปฏิบัติว่าด้วยเทคนิคการจัดทำข้อมูลนิรนามในความเห็น WP216 (2014) โดยแบ่งกลุ่มเทคนิคการจัดทำข้อมูลนิรนามออกเป็นสองพวก ได้แก่ ทั้งนี้ยังมีเทคนิคอีกกลุ่มหนึ่งที่ช่วยลดความเสี่ยงในการระบุตัวตน ได้แก่ เทคนิคในกลุ่มที่เน้นการกับข้อมูลระบุตัวตนที่ชัดแจ้ง เช่น รหัสประจำตัว, ชื่อ, นามสกุล ฯลฯ โดยอาจเป็นในลักษณะของการลบทิ้ง (Removal), แทนด้วยค่าศูนย์ (Nulling out), ปิดทับข้อมูล (Masking out) ทั้งหมดหรือบางส่วน, การสลับอักขระ (Scrambling) ฯลฯ อย่างไรก็ดีเทคนิคกลุ่มนี้มักไม่สามารถการันตีความเป็นนิรนามของข้อมูลได้ แต่เป็นเทคนิคที่ถูกนำไปใช้ประกอบกับเทคนิคอื่น ๆ ที่กล่าวมาข้างต้นเพื่อลดความสามารถในการระบุตัวตนของข้อมูล เทคนิควิธีการจัดทำข้อมูลแฝง (Pseudonymization) ในขณะที่กระบวนการจัดทำข้อมูลนิรนามมุ่งเน้นการจัดการแต่ละข้อมูลไม่ให้สามารถสืบสาวถึงตัวตนของเจ้าของข้อมูลได้ อย่างไรก็ดีในบางกรณีการระบุตัวตนเจ้าของข้อมูลอาจมีความจำเป็นแต่ให้สามารถทำได้ผ่านช่องทางที่ออกแบบไว้เท่านั้น กระบวนการดังกล่าวเรียกว่าการแฝงข้อมูล (Pseudonymization) ซึ่งช่วยลดทอนหรือจำกัดความสามารถในการเชื่อมโยงข้อมูลชุดนั้น ๆ เข้ากับชุดข้อมูลอื่น (นอกเหนือจากที่วางแผนไว้) เทคนิคพื้นฐานในการแฝงข้อมูล เช่น การเข้ารหัสข้อมูล (Encryption), การเข้าฟังก์ชันแฮช (Hashing) และ การเก็บข้อมูลแยกส่วนโดยเชื่อมผ่านโทเค็น (Tokenization) เป็นต้น เราควรใช้เทคนิคไหนเพื่อลดความสามารถในการระบุตัวตน กระบวนการทางเทคนิคที่กล่าวมาข้างต้นช่วยลดความสามารถในการระบุตัวบุคคลลง อย่างไรก็ดีแต่ละเทคนิคล้วนมีข้อดีข้อบกพร่องแตกต่างกันออกไป การคุ้มครองความเป็นส่วนตัว (Privacy) ที่รัดกุมจำกัดรูปแบบการการนำข้อมูลไปใช้ประโยชน์ (Utility) การเลือกรูปแบบเทคนิคที่จะใช้คุ้มครองความเป็นส่วนตัวจึงต้องคำนึงถึงรูปแบบวิธีการใช้ข้อมูลประกอบด้วย เพื่อลดความสามารถในการระบุตัวตนเจ้าของข้อมูล อันจะช่วยคุ้มครองความเป็นส่วนตัวของเจ้าของข้อมูล คณะที่ปรึกษาผู้เชี่ยวชาญสหภาพยุโรปด้านการคุ้มครองข้อมูลส่วนบุคคลจึงได้ระบุรูปแบบความเสี่ยงอันมีแนวโน้มที่จะนำไปสู่การระบุตัวตนเจ้าของข้อมูลได้เป็น 3 รูปแบบ ได้แก่ การแบ่งแยกจากกลุ่ม ความสามารถเชื่อมโยง และการอนุมาน เป็นการยากที่จะบอกว่าเทคนิคใดเป็นเทคนิคที่ดีที่สุด ในทางปฏิบัติเทคนิคเดียวกันอาจมีระดับความเสี่ยงที่ต่างกันในกรณีใช้งานที่ต่างกัน ผู้ควบคุมข้อมูลจำเป็นต้องพิจารณาการใช้งานข้อมูลประกอบผ่านการประเมินความเสี่ยงในสามรูปแบบที่ยกมาข้างต้น ในเบื้องต้นอาจพิจารณาตารางภาพรวมความเสี่ยงได้จากตารางด้านล่าง Singling out still a risk Linkability still a risk Inference still a risk Noise Addition Yes May not May not Substitution Yes Yes May not Aggregation (K-anonymity) No Yes Yes L-diversity No Yes May not Differential Privacy May not May not May not Hashing/Tokenization Yes Yes May not ตารางภาพรวมความเสี่ยงของแต่ละเทคนิคสำหรับใช้ลดความสามารถในการระบุตัวตนเจ้าของข้อมูล (สรุปภาพรวมโดย Burton 2016) บทสรุป การจัดทำข้อมูลนิรนามและการจัดทำข้อมูลแฝงเป็นกระบวนการสำคัญในการดูแลรักษาความเป็นส่วนตัวของเจ้าของข้อมูล อันเป็นองค์ประกอบสำคัญหนึ่งในการรักษาความปลอดภัยของข้อมูล วิธีการจัดทำข้อมูลนิรนามสามารถจัดทำได้หลากหลายวิธีซึ่งมีความซับซ้อน ความเหมาะสม ข้อดี และข้อด้อยที่แตกต่างกันออกไป การเลือกเทคนิควิธีที่เหมาะสมจึงจำเป็นต้องพิจารณาเป็นกรณีไป แนวทางหนึ่งที่จะช่วยให้สามารถเลือกใช้เทคนิควิธีที่เหมาะสมสามารถทำได้โดยการประเมินความเสี่ยงที่ข้อมูลชิ้นดังกล่าวจะถูกนำไปใช้ระบุตัวตนผ่านสามรูปแบบ คือ การแบ่งแยกจากกลุ่ม ความสามารถเชื่อมโยง และการอนุมานข้อมูล คงเป็นเรื่องยากเทคนิควิธีหนึ่งวิธีใดที่สามารถลดความเสี่ยงทั้งสามรูปแบบให้เหลือศูนย์ ในความเป็นจริงความเสี่ยงในบางรูปแบบอาจสามารถยอมรับได้เพื่อลดความเสี่ยงในรูปแบบอื่นที่ไม่สามารถยอมรับได้ให้เหลือน้อยที่สุด สิ่งสำคัญจึงเป็นการเลือกและออกแบบรูปแบบการจัดทำข้อมูลนิรนามหรือการจัดทำข้อมูลแฝงที่จะลดความเสี่ยงที่ไม่สามารถยอมรับได้ให้ต่ำที่สุดเท่าที่จะเป็นไปได้โดยที่ยังสามารถใช้ประโยชน์จากข้อมูลได้อย่างเต็มศักยภาพ เขียนโดย พีรดล สามะศิริตรวจทานและปรับปรุงเนื้อหาโดย อนันต์วัฒน์ ทิพย์ภาวัต