นักวิชาการด้านปลอดภัยทางไซเบอร์ ชี้ บาร์โค้ดบัตรเลือกตั้ง เป็นวิทยาศาสตร์ ไม่ใช่เรื่องคาดเดา

17 ก.พ.2569- ผศ.ดร.นพดล  กรรณิกา อาจารย์ประจำวิชา Cybersecurity วิทยาลัยเทคโนโลยีสยาม เผยแพร่บทความเรื่อง
บาร์โค้ด–QR Code บนบัตรเลือกตั้ง” เป็นเรื่องวิทยาศาสตร์ ไม่ใช่เรื่องคาดเดา และควรจบได้แล้วตั้งแต่วันแรกที่เป็นข่าวด้วยข้อเท็จจริง

จากประสบการณ์การศึกษาด้านความปลอดภัยทางไซเบอร์ (Cybersecurity) และด้านวิทยาการข้อมูล (Data Science) ของผมที่ผ่านมา ผมพบว่า ประเด็นบาร์โค้ดและ QR Code บนบัตรเลือกตั้ง ไม่ใช่เรื่องความเชื่อ ความรู้สึก หรือการคาดการณ์ หากแต่เป็นเรื่องของ “สถาปัตยกรรมระบบ” ที่สามารถพิสูจน์ได้ด้วยข้อเท็จจริงที่เป็นวิทยาศาสตร์

คำตอบสั้นที่สุด ของผม คือ โดยลำพังการตั้งกล้องหน้าหน่วยเลือกตั้ง หรือยืนจดบันทึกว่าใครเข้าไปกี่โมง เป็นลำดับที่เท่าใด และตั้งกล้องถ่ายตอนนับคะแนน เปิดบัตรทีละใบจนเห็น QR/Barcode ชัดเจน ก็ยังไม่สามารถระบุได้ว่าบุคคลใดเลือกพรรคหรือผู้สมัครใด เว้นแต่จะมี “การผูกข้อมูล (mapping)” เพิ่มเติมอยู่เบื้องหลัง

ดังนั้น ประเด็นสำคัญจึงไม่ใช่ “มีการตั้งกล้อง/จดบันทึกหรือไม่” แต่คือ “มีการผูกข้อมูล (mapping) หรือไม่”

หลัก 3 ชั้นของการย้อนรอย (Trace Back) ได้แก่

1. รู้ลำดับคนเข้า–ออกคูหา
2. รู้ลำดับการหย่อนบัตร
3. เห็น QR/Serial บนบัตรตอนนับคะแนนทีละใบ

สิ่งที่มีคือ • ข้อมูลว่า serial ใดถูกแจกให้ใคร • ข้อมูลว่าคะแนนถูกบันทึกผูกกับ serial หรือไม่

การจะรู้ว่า “ใครเลือกอะไร” ต้องมีการผูกข้อมูลเชื่อมครบ 3 ชั้น ได้แก่

A. รู้ว่าใครเข้าไปใช้สิทธิ

B. รู้ว่าบัตร serial หมายเลขใดถูกแจกให้บุคคลนั้น

C. รู้ว่า serial หมายเลขนั้นกาเบอร์ใด

หากขาดข้อ B จะไม่สามารถโยงจากบัตรกลับไปหาบุคคลได้

หากขาดข้อ C แม้รู้ว่า serial เป็นของใคร ก็ยังไม่รู้ว่าเลือกอะไร

เรามาวิเคราะห์ความเป็นไปได้ของ A / B / C กันครับ

A คือ รู้ว่า “ใครมาใช้สิทธิ” ระดับความเป็นไปได้จะ “สูง” เพราะมีการตรวจสอบตัวตนในขั้นตอนรับบัตร เช่น ตรวจชื่อ บัตรประชาชน และลายเซ็นในบัญชีรายชื่อจึงสามารถทราบได้ในระดับหน่วยเลือกตั้งว่าใครมาใช้สิทธิ

แต่การรู้ (A)ว่า “ใครมา” ยังไม่รู้ว่า “ใครเลือกอะไร”

B คือ รู้ว่า “บุคคลนั้นได้รับบัตร Serial ใด” ระดับความเป็นไปได้ หากระบบออกแบบถูกต้อง จะ “ต่ำมาก”/ “แทบเป็นศูนย์” ที่หัวใจของการลงคะแนนลับ (Secret Ballot) คือ การไม่ผูกบัตรกับตัวบุคคลตั้งแต่ขั้นตอนแจกบัตร หลักการคือ หากการแจกบัตร (B) เป็นแบบหยิบบัตรจากกอง สลับ และไม่มีการบันทึกเลข จะไม่มีหลักฐานเชื่อม “คน ↔ serial” หมายเลข serial จะเป็นเพียงรหัสของกระดาษ ป้องกับัตรผีไม่ใช่รหัสของบุคคล นี่คือ “ชั้นกันกระสุน” ที่สำคัญที่สุดของระบบการเลือกตั้งที่ทำให้การลงคำแนนเสียงเป็นความลับ

C รู้ว่า “Serial นี้กาเบอร์อะไร” กรณีปกติ (นับคะแนนแบบรวม) เมื่อเปิดบัตรทีละใบและเห็น serial พร้อมเครื่องหมายกากบาท สามารถทราบได้ว่า “บัตรใบนี้” เลือกอะไร แต่โดยหลักการยังไม่สามารถรู้ว่า “บุคคลใด” เลือกอะไร เพราะระบบต้องออกแบบไม่ให้เชื่อมโยงกับ B แต่หากเกิดกรณีพิเศษ ที่มีระบบบันทึกคะแนนระดับใบ (ballot-level recording) และเก็บ serial ผูกคู่กับผล ความเสี่ยงเชิงโครงสร้างการลงคะแนนที่ไม่ลับจะเพิ่มขึ้นทันที

🚦 สรุปแบบ “สามไฟจราจร”

🟢 A — รู้ว่าใครมาใช้สิทธิ ระดับความเป็นไปได้จะ “สูง” (การยืนยันตัวตนมีอยู่แล้วในขั้นตอนรับบัตร)

🔴 B — รู้ว่าคนนั้นได้ Serial ใด ระดับความเป็นไปได้จะ “ต่ำมาก” / ต้องไม่ให้เกิด (หัวใจของบัตรลับคือ “ไม่ผูกคนกับบัตร”)

🟢 C — รู้ว่า Serial นี้เลือกอะไร ระดับความเป็นไปได้จะ “สูง” (เมื่อเปิดบัตร เห็นเครื่องหมายกากบาท ก็รู้ผลของ “บัตรใบนี้”)

🎯 ผมขอสรุปแบบไฟจราจร คือ

🚦 ถ้า “ไฟแดง B” ยังแดงอยู่

ต่อให้ไฟเขียว A และ C ติด

ก็ยังย้อนรอยตัวบุคคลไม่ได้

และทันทีที่สีแดงของ 🔴 B เปลี่ยนเป็นสีเขียว 🟢

ระบบจะเริ่มเสี่ยงสูงที่จะทำให้การลงคะแนนไม่เป็นความลับทันที

ดังนั้น ตรรกะสำคัญคือ ระบบจะย้อนรอยได้จริง ก็ต่อเมื่อ B และ C เกิดพร้อมกัน และในระบบเลือกตั้งที่ออกแบบถูกต้อง B ต้องไม่สามารถเกิดขึ้นได้

ประเด็นที่ต้องพิสูจน์ คือ คำถามควรถูกย้ายจาก “เชื่อหรือไม่เชื่อ” ไปสู่คำถามเชิงวิทยาศาสตร์ข้อมูลว่า

• มีการบันทึก serial ผูกกับชื่อผู้รับหรือไม่

• มีฐานข้อมูล mapping เชื่อมโยงข้อมูลหรือไม่

• มีการบันทึกคะแนนผูกกับ serial หรือไม่

หากคำตอบคือ “ไม่มี”

ระบบยังคงเป็นการลงคะแนนลับ (Secret Ballot) ตามหลักการ

หากคำตอบคือ “มี” ความเสี่ยงเชิงโครงสร้างจะเพิ่มขึ้นทันที

📌 บทสรุปเชิงหลักการ ที่ผมชวนคิด คือ

QR หรือ Barcode ไม่ได้ทำลายความลับของการลงคะแนนโดยตัวมันเอง สิ่งที่ทำลายคือ “การผูกข้อมูล”

ดังนั้น ประเด็นนี้สามารถพิสูจน์ได้ด้วยข้อเท็จจริงทางเทคนิควิทยาศาสตร์ข้อมูล

ไม่ใช่การคาดเดา ไม่ใช่ด้วยอารมณ์ หรือความหวาดระแวง

การออกแบบระบบเลือกตั้งที่ดี ต้องทำให้

“การผูกข้อมูล (B)” เกิดขึ้นไม่ได้ตั้งแต่ต้นทาง

เพราะทันทีที่ B เกิดได้ การลงคะแนนลับ

(Secret Ballot) จะไม่ขึ้นกับความสุจริตของบุคคล

แต่ขึ้นกับความหวังว่าไม่มีใครเชื่อมข้อมูลเข้าด้วยกัน

ข้อเสนอเชิงวิชาการ ที่ผมชวนพิจารณา คือ

เพื่อให้ประเด็นนี้จบอย่างมีมาตรฐาน กกต. ควรมีการเปิดเผยข้อมูลเชิงเทคนิคอย่างเป็นระบบ เช่น

• โครงสร้างการออกแบบบัตร (Ballot Design)

• กระบวนการแจกบัตร

• โครงสร้างฐานข้อมูล

• นโยบายการทำลายข้อมูล

• การตรวจสอบโดยหน่วยงานอิสระ (External Audit)

กล่าวโดยสรุป นี่คือมาตรฐานสากลของรัฐยุคดิจิทัลที่ความปลอดภัยต้องพิสูจน์ได้จากการออกแบบไม่ใช่ยืนยันผ่านการตั้งโต๊ะแถลงข่าวหรือให้สัมภาษณ์เพียงอย่างเดียว ถ้า กกต. นำเอาความเป็นวิทยาศาสตร์ข้อมูลมาชี้แจง เรื่องนี้น่าจะจบตั้งแต่วันแรกแล้ว แต่ระบบนี้ต้องถูกออกแบบใหม่ (Redesigned) ให้ปลอดภัยมากขึ้นเพื่อนฟื้นฟูศรัทธาของประชาชนต่อ กกต. และระบบประชาธิปไตยโดยรวม.