นักวิชาการชี้ ‘สแกนม่านตา’ เสี่ยงถูกสวมรอย แนะหาแนวทางใหม่พิสูจน์ตัวตน

นักวิชาการธรรมศาสตร์เตือนผลกระทบหลังเหตุ “สแกนม่านตาแลกคริปโตฯ” ชี้ข้อมูลชีวมิติอาจถูกนำไปสวมรอยเปิดบัญชีม้า–ทำธุรกรรมผิดกฎหมาย แนะ ETDA ออกแนวทางใหม่แทนการใช้ม่านตา พร้อมชี้ตัวอย่างจีน–เกาหลีใต้ที่ใช้เส้นเลือดฝ่ามือและ Fido passkey เสริมระบบพิสูจน์ตัวตนให้ปลอดภัยยิ่งขึ้น

27 พฤศจิกายน 2568 - จากกรณีที่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) สั่งระงับการเก็บข้อมูลส่วนบุคคลในรูปแบบสแกนม่านตาเพื่อแลกคริปโตเคอเรนซี และให้ผู้ให้บริการด้านการพิสูจน์ความเป็นมนุษย์ (Proof of Human) ดังกล่าว ลบข้อมูลม่านตาและข้อมูลส่วนบุคคลอื่นที่เกี่ยวข้องของประชาชนที่มีการดำเนินการไปแล้วจำนวน 1.2 ล้านคน เนื่องจากดำเนินการไม่ถูกต้องตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA)

ผศ. ดร.วสิศ ลิ้มประเสริฐ อาจารย์ประจำคณะวิทยาศาสตร์และเทคโนโลยี มหาวิทยาลัยธรรมศาสตร์ (มธ.) เปิดเผยว่า ประเทศไทยไม่ใช่ประเทศเดียวที่เพิ่งเจอกับเหตุการณ์ลักษณะนี้ แต่มีหลายประเทศที่เจอเหตุการณ์คล้ายกันจากผู้ให้บริการด้านการพิสูจน์ความเป็นมนุษย์บนโลกออนไลน์เดียวกันแล้ว และประเทศเหล่านั้นก็ได้มีการสั่งระงับ รวมถึงให้ลบข้อมูลของประชาชนในประเทศที่ถูกเก็บข้อมูลไปแล้วเช่นกัน อาทิ สเปน เยอรมนี เคนยา ฯลฯ

ทั้งนี้ แม้ว่าการสแกนม่านตาเพื่อยืนยันความเป็นมนุษย์ จะเป็นวิธีการพิสูจน์ความเป็นมนุษย์บนโลกออนไลน์ที่ทำได้ง่ายที่สุด และยังไม่สามารถใช้ปัญญาประดิษฐ์ (AI) ทำเลียนแบบขึ้นมาได้ ซึ่งแตกต่างกับการใช้ใบหน้าที่ AI ทำขึ้นมาได้ หรือการใช้ลายนิ้วมือซึ่งมีความบอบบางและเปลี่ยนได้ง่ายจากปัจจัยแวดล้อม แต่วิธีการสแกนม่านตาก็มีความเสี่ยง โดยเฉพาะจากเหตุการณ์ที่ สคส. สั่งระงับการดำเนินการก็สะท้อนถึงความจำเป็นเร่งด่วนที่รัฐบาล โดยสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (ETDA) จะต้องมีการกำหนดแนวทางการพิสูจน์ยืนยันความเป็นมนุษย์ใหม่ ที่ไม่ใช่แค่การใช้ข้อมูลม่านตาหรือการสแกนม่านตา

นั่นเพราะวิธีนี้มีความเสี่ยง หากบริษัทผู้ให้บริการด้านการพิสูจน์ความเป็นมนุษย์บนโลกออนไลน์มีการเก็บข้อมูลม่านตาของผู้ใช้งานไว้ แล้วข้อมูลนี้ถูกส่งต่อ ถูกนำไปขาย หรือหลุดรอดออกไป อาจทำให้ผู้ที่เคยสแกนม่านตาเอาไว้ถูกสวมรอย เพื่อนำไปทำธุรกรรมที่ผิดกฎหมายได้

“บริษัทสามารถสวมรอยเป็นใครก็ได้ที่บริษัทมีข้อมูลอยู่ หรือถ้ามีการนำไปขายต่อก็จะทำให้ใครก็สวมรอยใช้ข้อมูลของคนนั้นๆ ไปทำอะไรก็ได้ ไม่ว่าจะในทางที่ดีหรือทางที่ไม่ดีอย่างการเปิดบัญชีม้า การทำธุรกรรมที่ผิดกฎหมาย การทำหนังสือเดินทางอิเล็กทรอนิกส์ (E-passport) หรือการซื้อซิมการ์ดโทรศัพท์ ฯลฯ ได้ ฉะนั้น ETDA ควรต้องหาแนวทางใหม่นอกเหนือจากวิธีการนี้” ผศ. ดร.วสิศ กล่าว

ผศ. ดร.วสิศ กล่าวอีกว่า จริงๆ แล้วใน White paper หรือเอกสารรายงานข้อมูลเชิงลึกของบริษัทผู้ให้บริการด้านการพิสูจน์ยืนยันความเป็นมนุษย์ที่ถูก สคส.สั่งระงับ ระบุเอาว่า ดำเนินการเก็บเฉพาะสิ่งที่เรียกว่า Biometrics reference คือแค่เก็บสัญลักษณ์บางส่วนที่ระบุว่าเป็นตัวคนๆ นั้น แต่ไม่ได้เก็บม่านตาไปจริง ทว่าในทางปฏิบัติจริง เราไม่สามารถรู้ได้เลยว่าเขาเก็บจริงไหม หรือที่ถูกสั่งให้ลบได้ลบจริงไหม เพราะไม่มีอะไรยืนยันการมีหรือไม่มีอยู่ของข้อมูลนั้นได้ ฉะนั้นหากไม่ได้ลบก็จะนำไปใช้สวมรอยได้ มากกว่านั้นถ้ามีการพัฒนาไปถึงขั้นเอาข้อมูลม่านตาต่างๆ ไปสังเคราะห์สร้างม่านตาใหม่ หรือตัวตนปลอมแล้วไปหลอกระบบว่าเป็นคนจริงได้ ถ้าถึงขั้นนั้นอาจแยกไม่ออกแล้วว่าม่านตาที่ใช้จริงหรือปลอม ซึ่งเป็นสิ่งที่น่ากังวลมาก

นักวิชาการธรรมศาสตร์ กล่าวว่า ในส่วนของวิธีการพิสูจน์ความเป็นมนุษย์อื่นๆ สามารถดูตัวอย่างแนวทางได้จากต่างประเทศ อาทิ จีนที่ให้ใช้การยืนยันความเป็นมนุษย์ทางเลือกอื่นนอกจากทางกายภาพ (Biometrics) ร่วมด้วย เช่น การพิสูจน์ผ่านเส้นเลือด และอัตราการเต้นของหัวใจบนฝ่ามือ หรือเกาหลีใต้ที่ใช้ระบบ Fido Passkey หรือ การสร้างรหัส แบบที่เก็บรหัสบางส่วนไว้กับตัวผู้ใช้ (Private key) และบางส่วนไว้บนคลาวด์ (Public key) เพื่อเพิ่มความปลอดภัยในการระบุตัวตน

สำหรับประเทศไทยอยากแนะนำให้ศึกษาวิธีของจีน และเกาหลีใต้ เพราะเป็นทางออกที่ดี แต่การใช้ระบบ Fido passkey ทาง ETDA อาจต้องออกแบบระบบลงทะเบียนที่สร้างความปลอดภัยให้กับรหัสได้ด้วย เพราะการลงทะเบียนมีอยู่ 2 วิธี คือ 1. การลงทะเบียนโดยเอาตัวตนไปปรากฏ ณ สถานที่ และ 2. ลงทะเบียนโดยใช้ข้อมูล Biometrics คำถามคือในวิธีที่ 2 จะใช้ข้อมูล Biometrics อะไรในการลงทะเบียน เพราะถ้าใช้ใบหน้า หรือม่านตาก็สุ่มเสี่ยงเหมือนที่กล่าวไปแล้ว

“ถ้าเมื่อไหร่ก็ตามที่วิธีการพิสูจน์ความเป็นมนุษย์บนโลกหายไป ในอนาคตคนทั้งโลกจะไม่รู้เลยว่าสิ่งที่ทำบนโลกออนไลน์ ไม่ว่าจะโพสต์ข้อความ เสียงพูดคุย เห็นหน้าเห็นตา คือสิ่งที่มาจากมนุษย์จริงๆ เพราะ AI สามารถเลียนแบบได้หมดแล้ว ฉะนั้นการระบุอัตลักษณ์หรือตัวตนของมนุษย์บนโลกออนไลน์จึงมีความสำคัญมาก และต้องรักษาเอาไว้” ผศ. ดร.วสิศ กล่าว.