ในยุคที่ธุรกรรมทางการเงินและบริการดิจิทัลเติบโตอย่างรวดเร็ว e-KYC (Electronic Know Your Customer) กลายเป็นหัวใจสำคัญของการยืนยันตัวตนออนไลน์ในประเทศไทย โดยเฉพาะในภาคการเงิน ฟินเทค ประกันภัย โทรคมนาคม และแพลตฟอร์มดิจิทัลต่าง ๆ
บทความนี้จะพาไปเจาะลึกประเด็นที่หลายคนสนใจที่สุด นั่นคือ Laser ID บนบัตรประชาชนไทยว่า คืออะไร สำคัญอย่างไร ใช้อย่างไร และหากข้อมูลหลุดพร้อม “รูปถ่ายคู่บัตร” จะเกิดความเสี่ยงอะไรบ้าง
e-KYC คืออะไร?
e-KYC (Electronic Know Your Customer) คือกระบวนการยืนยันตัวตนทางอิเล็กทรอนิกส์ที่ใช้แทนการแสดงตัวที่สาขา โดยนิยมใช้ใน:
-
ธนาคาร
-
Fin Tech
-
ประกันภัย
-
Wallet / e-Money
-
แอปพลิเคชันของภาครัฐ
ในประเทศไทย e-KYC ถูกกำกับดูแลโดยหน่วยงาน เช่น
Laser ID คืออะไร?
Laser ID คือรหัส 12 หลักด้านหลังบัตรประชาชนไทยแบบ Smart Card ใช้เป็นรหัสเฉพาะของบัตรแต่ละใบ ไม่ซ้ำกัน รหัสนี้ทำหน้าที่เสมือน Serial Number ของบัตร ใช้ตรวจสอบความถูกต้องและสถานะของบัตรกับฐานข้อมูลทะเบียนราษฎร ทั้งนี้ ระบบ e-KYC ของประเทศไทย Laser ID ถูกใช้ร่วมกับเลขบัตรประชาชนและการยืนยันใบหน้า เพื่อเพิ่มความปลอดภัยในการยืนยันตัวตนออนไลน์
ตัวอย่างรูปแบบ:
JT0-1234567-89
ทำไม Laser ID สำคัญกับกระบวนการยืนยันตัวตนในประเทศไทย?
- ยืนยันว่าข้อมูลหน้าบัตร ยังใช้อ้างอิงในการระบุตัวตนได้ “จริง”
Laser ID เปรียบเสมือน Serial Number ของบัตรแต่ละใบ - ป้องกันการแอบอ้างตัวตน
เนื่องจาก Laser ID จะไม่เหมือนกันในบัตรแต่ละใบ ผู้ที่จะอ้างถึงได้จะต้องถือครองบัตรทื่ยังมีสิทธิ์ใช้งานจริงได้อยู่เท่านั้น และโดยปกติจะไม่มีการถ่ายรูปหลังบัตรแจกจ่ายโดยพลการ - ตรวจสอบสถานะบัตร
เป็นเลขอ้างอิงเพียงหนึ่งเดียวต่อช่วงเวลา (Unique) หากบัตรสูญหาย เมื่อทำการแจ้งยกเลิกและออกบัตรใหม่ Laser ID เดิม จะไม่สามารถเทียบเคียงกับฐานข้อมูลทะเบียนราษฎร ได้อีกต่อไป - ใช้ตรวจสอบกับฐานข้อมูลทะเบียนราษฎร
เมื่อใช้ Laser ID เพื่อเชื่อมต่อ API ภาครัฐ (DOPA) ประกอบกับข้อมูลหน้าบัตร จะสามารถยืนยันได้อย่างน่าเชื่อถือว่า ข้อมูลบัตรนั้นมีตัวตนอยู่จริง
ตัวอย่างขั้นตอนทำ e-KYC ที่มีการกรอก Laser ID
ขั้นตอนที่ 1: ถ่ายภาพบัตรประชาชนด้านหน้า
กรอกข้อมูลที่จำเป็น หรือกรณีมี OCR ระบบจะอ่านข้อมูลหน้าบัตรและแปลงเป็นตัวอักษรมากรอกให้เพื่ออำนวยความสะดวกให้
ขั้นตอนที่ 2: กรอกหรือสแกน Laser ID
ผู้ใช้สามารถพิมพ์ข้อมูลเอง หรือให้ระบบ OCR อ่านจากด้านหลังบัตร ระบบจะตรวจสอบความถูกต้องของรูปแบบข้อมูล
ขั้นตอนที่ 3: ถ่ายภาพใบหน้า (Face Comparison)
ระบบจะทำ: Face Matching Liveness Detection ตรวจสอบความเป็นบุคคลจริง (ป้องกันใช้ภาพนิ่งจากมือถือ หรือวิดีโอ)
ขั้นตอนที่ 4: ตรวจสอบข้อมูลกับฐานข้อมูล
ตรวจสถานะบัตร ตรวจสอบความสอดคล้องของข้อมูลกับฐานข้อมูลของกรมการปกครอง และประเมินความเสี่ยงบุคคลจากฐานข้อมูลของ AMLO เพิ่มเติมในบางกรณีที่จำเป็น
ขั้นตอนที่ 5: อนุมัติการเปิดใช้งาน
ทั้งนี้ ขอแนะนำว่า ไม่ควรมีการเก็บข้อมูลภาพถ่ายใดๆ ตลอดจนข้อมูล Laser ID เอาไว้ เพื่อลดความเสี่ยงของการจัดเก็บข้อมูลส่วนบุคคล หรือหากจำเป็นจริงๆ ในบางกรณี ก็ควรจะเข้ารหัส หรือมีการทำลายน้ำ (watermark) เพิ่มเติม
กฎหมาย PDPA กับ e-KYC และ Laser ID
การเก็บและใช้ Laser ID, เลขบัตรประชาชน และ “รูปถ่ายคู่บัตร” ในกระบวนการ e-KYC ถือเป็นการประมวลผล ข้อมูลส่วนบุคคล ภายใต้กฎหมาย พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ทั้งนี้ การทำ Audit เป็นสิ่งที่ควรทำก่อนเริ่มใช้งานจริง เพื่อให้สอดคล้องกับ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
ดังนั้น องค์กรต้องปฏิบัติตามหลักเกณฑ์ทางกฎหมายอย่างเคร่งครัด โดยเฉพาะประเด็นต่อไปนี้:
ฐานกฎหมายในการประมวลผล (Lawful Basis) องค์กรต้องมี “ฐานทางกฎหมาย” รองรับ เช่น:
– เพื่อปฏิบัติตามกฎหมาย (Legal Obligation) เช่น กฎหมาย AML/KYC ที่กำหนดให้ต้องยืนยันตัวตนลูกค้า
– เพื่อปฏิบัติตามสัญญา (Contractual Necessity) เช่น การเปิดบัญชีหรือสมัครบริการ
– ความยินยอม (Consent) กรณีที่ไม่มีฐานกฎหมายอื่นรองรับ โดย เมื่อองค์กรเลือกใช้ฐาน ความยินยอม (Consent) สำหรับการประมวลผลข้อมูลในกระบวนการ e-KYC การระบุถึง Laser ID ต้องมีความชัดเจน โปร่งใส และเฉพาะเจาะจง พร้อมระบุ “วัตถุประสงค์เฉพาะ” สำหรับ Laser ID ด้วย ทั้งนี้ หากการเก็บ Laser ID “ไม่จำเป็น” ต่อวัตถุประสงค์การใช้งานการเก็บอาจขัดต่อหลัก Data Minimization ได้
ตัวอย่างการระบุวัตถุประสงค์ที่ถูกต้อง:
“เลขประจำตัวประชาชน และรหัสหลังบัตร (Laser ID)
เพื่อใช้ตรวจสอบความถูกต้องของบัตรประชาชนและยืนยันตัวตนตามกระบวนการ e-KYC”
หากข้อมูลหลุดพร้อมรูปถ่ายคู่บัตร อันตรายแค่ไหน?
ความเสี่ยงหลัก
- ถูกสวมรอยเปิดบัญชีออนไลน์ หากแพลตฟอร์มไม่มี Liveness Detection ที่รัดกุม
- สมัครสินเชื่อผิดกฎหมาย ข้อมูลครบชุด = ความเสี่ยงสูง
- ทำ Deepfake โดยใช้นำภาพใบหน้าของคุณเพื่อไปทำธุรกรรมออนไลน์หรือหลอกลวงผู้อื่น
- ขายข้อมูลในตลาดมืด โดยข้อมูลที่มี Laser ID + รูปถ่าย มีมูลค่าสูง
หากมั่นใจว่าข้อมูล Laser ID และรูปที่เราถ่ายคู่กับบัตรประชาชนหลุด ต้องทำอย่างไร?
- แจ้งความลงบันทึกประจำวัน
- ทำบัตรประชาชนใหม่
- เปิดแจ้งเตือนธุรกรรม
- ระวังสายโทรศัพท์แอบอ้าง
แนวทางป้องกันสำหรับองค์กร (Best Practice e-KYC ไทย)
- เข้ารหัสข้อมูล (Encryption)
- แยกการเก็บรูปภาพและข้อมูลเลข
- จำกัดสิทธิ์การเข้าถึง (Access Control)
- ทำ Tokenization
- กำหนด Data Retention Policy
- ใช้ Liveness Detection ขั้นสูง
Laser ID อาจดูเป็นเพียงรหัสหลังบัตรประชาชนธรรมดา
แต่ในระบบ e-KYC คือกุญแจที่ผูกตัวตนของบุคคลเข้ากับธุรกรรมดิจิทัลโดยตรง การเก็บหรือใช้โดยไม่มีฐานกฎหมายที่ชัดเจน ไม่มีการทำ Data Audit และไม่มีมาตรการความปลอดภัยที่เพียงพอ ย่อมนำมาซึ่งความเสี่ยงทั้งภายใต้ พรบ. PDPA และความเสียหายต่อความน่าเชื่อถือขององค์กร ในยุคที่ข้อมูลคือทรัพย์สินที่มีมูลค่าสูงที่สุด ความโปร่งใส ความจำเป็น และความรับผิดชอบต้องมาก่อนความสะดวกเสมอ คำถามสำคัญจึงไม่ใช่ “เก็บได้ไหม” แต่คือ “เก็บอย่างไรให้ถูกต้อง ปลอดภัย และอธิบายได้เมื่อถูกตรวจสอบ”
FAQ เกี่ยวกับ e-KYC และ Laser ID:
Q: Laser ID เปลี่ยนไหมเมื่อทำบัตรใหม่?
– เปลี่ยนทันทีทุกครั้งที่ออกบัตรใหม่
Q: แค่เลขบัตรประชาชนอย่างเดียว เปิดบัญชีธนาคารได้ไหม?
– ด้วยแนวทางการกำกับดูแลปัจจุบัน ธนาคารแห่งประเทศไทย ไม่อนุญาติให้ทำได้ การเปิดบัญชีธนาคารจะต้องยืนยันตัวตนด้วยมาตราฐาน IAL ระดับ 2.3 หรือมากกว่า เท่านั้น
Q: รูปคู่บัตรประชาชนเสี่ยงไหม?
– เสี่ยง หากถูกใช้ร่วมกับข้อมูลครบชุด คือใช้ร่วมกับ ข้อมูลหน้าบัตรประชาชน และ Laser ID ด้วย
