การจัดทำข้อมูลนิรนามของธนาคารแห่งประเทศไทย

การจัดทำข้อมูลนิรนามของธนาคารแห่งประเทศไทย

 

1. ลักษณะข้อมูลของธนาคารแห่งประเทศไทยที่มีการจัดทำข้อมูลนิรนามเพื่อการใช้งาน

 

        การปฏิบัติงานของธนาคารแห่งประเทศไทย (ธปท.) มีการจัดเก็บข้อมูลจากแหล่งต่าง ๆ ในหลายรูปแบบ ทั้งรูปแบบที่เป็นข้อมูลเชิงสถิติ ข้อมูลรายบุคคลที่ไม่เปิดเผยตัวตนเจ้าของข้อมูล และข้อมูลรายบุคคลที่สามารถระบุตัวตนบุคคลเจ้าของข้อมูลได้ (ทั้งบุคคลธรรมดาและนิติบุคคล) โดยข้อมูลรายบุคคลที่สามารถระบุตัวตนได้ที่ ธปท. ใช้งาน สามารถแบ่งตามแหล่งข้อมูลได้ 3 กลุ่ม ดังนี้

 

        (1) ข้อมูลที่ ธปท. ได้รับจากหน่วยงานภายใต้การกำกับดูแล โดยอาศัยอำนาจตามกฎหมายหรืออาศัยข้อตกลงความร่วมมือระหว่างกันให้ผู้ประกอบธุรกิจจัดส่งข้อมูลดังกล่าวให้ ธปท.  เช่น ข้อมูลเงินให้สินเชื่อจากผู้ประกอบธุรกิจภายใต้กฎหมายธุรกิจสถาบันการเงิน ข้อมูลการแลกเปลี่ยนเงินตราต่างประเทศจากผู้ประกอบธุรกิจภายใต้กฎหมายควบคุมการแลกเปลี่ยนเงิน ข้อมูลธุรกรรมการโอนเงินจากผู้ประกอบธุรกิจภายใต้กฎหมายระบบการชำระเงิน

 

        (2) ข้อมูลที่ได้จากการสำรวจ เช่น ข้อมูลหนี้ต่างประเทศของภาคเอกชน ข้อมูลฐานะการลงทุนระหว่างประเทศ

 

        (3) ข้อมูลที่ได้จากหน่วยงานอื่นตามข้อตกลงความร่วมมือการแลกเปลี่ยนข้อมูล เช่น ข้อมูลงบการเงินของนิติบุคคล ข้อมูลการออกตราสารหนี้หรือตราสารทุนในตลาดหลักทรัพย์ เป็นต้น
 

2. หลักการและวิธีปฏิบัติในการใช้งานข้อมูลรายบุคคลใน ธปท.

 

        ธปท. มีมาตรการในการรักษาความปลอดภัยของข้อมูลรายบุคคลที่สามารถระบุตัวตนเจ้าของข้อมูล  โดยกำหนดเป็นแนวปฏิบัติการกำกับดูแลข้อมูลว่า การใช้งานข้อมูลสำหรับวัตถุประสงค์ที่ไม่จำเป็นต้องทราบตัวตนเจ้าของข้อมูล จะต้องใช้ข้อมูลแบบปกปิดตัวตน หรือแบบข้อมูลรวม (aggregate data) ที่ไม่มีรายละเอียดที่สามารถนำไปสู่หรือชี้แนะให้รู้ตัวตนที่แท้จริงของเจ้าของข้อมูลได้ไม่ว่าทางตรงหรือทางอ้อม 

 

        นอกจากนี้ยังมีข้อกำหนดให้ผู้ที่ได้รับอนุญาตให้ใช้ข้อมูลที่ผ่านการจัดทำเป็นข้อมูลนิรนามหรือปกปิดตัวตนแล้ว จะต้องไม่ดำเนินการหรือพยายามดำเนินการเพื่อคาดเดาหรือระบุตัวบุคคลในข้อมูลนั้น รวมถึงไม่ดำเนินการหรือพยายามดำเนินการเพื่อให้เกิดการจับคู่หรือเชื่อมโยงกับข้อมูลแวดล้อมอื่น หรือนำไปเปรียบเทียบกับข้อมูลอื่น ๆ เพื่อนำไปสู่การคาดเดาหรือระบุตัวบุคคลที่เป็นเจ้าของข้อมูลซึ่งได้ถูกปกปิดไว้

 

        โดยหลักการแล้ว ฝ่ายงานที่มีหน้าที่กำกับตรวจสอบผู้ประกอบธุรกิจแต่ละประเภทตามที่กฎหมายบัญญัติไว้จะสามารถใช้งานข้อมูลที่เห็นตัวตนบุคคลได้ เพื่อประโยชน์ในการตรวจสอบการปฏิบัติตามกฎหมาย และสามารถดำเนินการทางกฎหมายได้อย่างถูกต้องเมื่อพบการปฏิบัติที่ไม่เป็นไปตามกฎหมาย โดยต้องคำนึงถึงการคุ้มครองข้อมูลให้มีความปลอดภัยอย่างเข้มงวดตามหลักธรรมาภิบาลข้อมูล ตัวอย่างเช่น พนักงานในฝ่ายตรวจสอบของสายกำกับสถาบันการเงิน จะสามารถใช้งานข้อมูลเงินให้สินเชื่อรายสัญญาที่ ธปท. ได้รับจากธนาคารพาณิชย์โดยเห็นทั้งชื่อธนาคารพาณิชย์ผู้ให้สินเชื่อ และชื่อลูกหนี้ที่กู้เงินไปใช้ทำธุรกิจได้ อนึ่ง ธปท. มีนโยบายไม่ให้เปิดเผยตัวตนลูกหนี้บุคคลธรรมดาที่กู้เงินไปใช้ในการอุปโภคบริโภค เช่น ซื้อบ้าน ซื้อรถ บัตรเครดิต ฯลฯ ให้พนักงานใน ธปท. ใช้ในการปฏิบัติงาน เพื่อลดความเสี่ยงจากการละเมิดข้อมูลส่วนบุคคลตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

 

        ในทางกลับกัน การใช้งานข้อมูลที่กล่าวข้างต้นโดยฝ่ายงานอื่นที่ไม่ใช่ฝ่ายตรวจสอบ เช่น ฝ่ายงานที่ใช้ข้อมูลการปล่อยสินเชื่อของธนาคารพาณิชย์เพื่อประเมินภาวะเศรษฐกิจหรือศึกษาพฤติกรรมของหน่วยเศรษฐกิจในมิติต่าง ๆ จะต้องใช้ข้อมูลดังกล่าวแบบข้อมูลนิรนามทั้งหมด กล่าวคือเป็นข้อมูลที่ถูกปกปิดตัวตนทั้งชื่อธนาคารพาณิชย์และชื่อลูกหนี้ผู้กู้เงิน  ในขณะที่ฝ่ายงานที่มีหน้าที่กำหนดนโยบายในการกำกับดูแลสถาบันการเงินจะสามารถใช้ข้อมูลดังกล่าวแบบเห็นชื่อธนาคารพาณิชย์ได้ เพื่อให้สามารถคาดการณ์หรือประเมินผลกระทบต่อธนาคารพาณิชย์แต่ละแห่งได้อย่างถูกต้องในการพิจารณาทางเลือกนโยบายที่เหมาะสมที่สุด แต่ชื่อลูกหนี้จะเป็นถูกปกปิดเป็นข้อมูลนิรนาม

 

        ในทางปฏิบัติ เมื่อฝ่ายงานใดต้องการขอใช้ข้อมูลรายบุคคลของสายงานหนึ่ง ๆ ซึ่งมีอำนาจตามกฎหมายระบุให้จัดเก็บข้อมูลนั้นได้  “ผู้ควบคุมข้อมูล” ซึ่งเป็นหัวหน้าสายงานที่เป็นเจ้าของข้อมูล (ผู้บริหารระดับผู้ช่วยผู้ว่าการ) คือผู้มีอำนาจพิจารณาว่าจะอนุญาตให้ผู้ขอใช้ข้อมูลได้ใช้ข้อมูลรายบุคคลแบบเห็นตัวตน หรือแบบข้อมูลนิรนาม โดยดูวัตถุประสงค์ความจำเป็นในการขอใช้ข้อมูลประกอบการพิจารณาอนุญาต  ในกรณีที่อนุญาตให้ใช้ข้อมูลแบบนิรนาม จะพิจารณากำหนดฟิลด์ข้อมูลที่อนุญาตให้ใช้งานอย่างเข้มงวดด้วย เพื่อให้แน่ใจว่า ผู้ใช้ข้อมูลจะไม่เห็นฟิลด์ข้อมูลที่อาจนำไปใช้คาดเดาตัวตนบุคคลได้ (อาจเทียบเคียงได้กับการทำข้อมูลนิรนามด้วยวิธีลบคุณลักษณะข้อมูล (Suppression))

 

3. รูปแบบการทำข้อมูลนิรนาม

 

        วิธีปฏิบัติในการทำข้อมูลนิรนามที่ ธปท. ใช้อยู่ในปัจจุบัน นิยมทำใน 2 รูปแบบ ได้แก่

 

        (1) การเข้าฟังก์ชันแฮช (Hashing) ตามมาตรฐานสากล SHA256 โดยแปลงข้อมูลให้อยู่ในอักขระรูปแบบอื่นซึ่งจะไม่สามารถแปลงกลับเป็นข้อมูลเดิมได้ (One-way function) โดย ธปท. จะใช้ค่า salt ร่วมกับ key ในการเข้าฟังก์ชันแฮช เพื่อลดความเสี่ยงในการคาดเดาเพื่อระบุตัวตนข้อมูล  ทั้งนี้ การใช้ฟังก์ชันแฮชจะต่างจากวิธีการเข้ารหัส (Encryption) ที่สามารถถอดรหัสกลับไปข้อมูลเดิมได้  ทำให้การใช้ฟังก์ชันแฮช มีความปลอดภัยสูงกว่าในการจัดทำข้อมูลนิรนาม 

 

        ข้อมูลรายบุคคลชุดใดที่ผู้ควบคุมข้อมูลอนุญาตให้ฝ่ายงานต่าง ๆ มีสิทธิใช้ข้อมูลแบบนิรนามด้วย ข้อมูลจะถูกเข้าฟังก์ชันแฮชเมื่อ ธปท. ได้รับข้อมูลจากหน่วยงานภายนอก และเก็บเป็นฐานข้อมูลแยกต่างหากจากฐานข้อมูลชุดที่เห็นตัวตนบุคคล สำหรับในกรณีที่ผู้ใช้ข้อมูลต้องการใช้ข้อมูลรายบุคคลแบบเชื่อมโยงกันหลายฐานข้อมูล เช่น ต้องการดูข้อมูลสถานะและปริมาณการขอสินเชื่อของลูกหนี้บริษัทในภาคอุตสาหกรรมหนึ่ง เชื่อมโยงกับฐานะการเงินของบริษัทตามงบการเงินของกรมพัฒนาธุรกิจการค้า พฤติกรรมการแลกเปลี่ยนเงินตราต่างประเทศ และการออกตราสารหนี้/ตราสารทุน  ข้อมูลต่าง ๆ ของบุคคลเดียวกันจะถูกนำมาเชื่อมโยงกันก่อน แล้วจึงดำเนินการ hashing เพื่อปกปิดตัวตนบุคคล ก่อนส่งให้แก่ผู้ใช้ข้อมูลต่อไป

 

        (2) การรวมข้อมูล (Data Aggregation) โดยแสดงข้อมูลด้วยค่าผลรวมตัวเลขแยกตามมิติต่าง ๆ วิธีนี้มักจะใช้ในการแบ่งปันข้อมูลให้ฝ่ายงานที่ไม่จำเป็นต้องเห็นรายละเอียดข้อมูลในระดับรายบุคคล  และใช้ในการแบ่งปันข้อมูลกลับให้แก่ผู้ที่จัดส่งข้อมูลให้ ธปท. หรือทำข้อมูลสถิติเผยแพร่ต่อสาธารณชนบนเว็บไซต์ ตัวอย่างเช่น ธนาคารพาณิชย์แต่ละแห่งส่งข้อมูลสินเชื่อรายสัญญาให้ ธปท.  ธปท. จะรวมข้อมูลและส่งกลับให้ธนาคารพาณิชย์ทุกแห่งได้เห็นข้อมูลเชิงสถิติภาพรวมของทั้งระบบธนาคารพาณิชย์ เพื่อเป็นการคืนประโยชน์กลับแก่ผู้ให้ข้อมูล (data give back) รวมทั้งเผยแพร่ข้อมูลเชิงสถิติภาพรวมของระบบธนาคารพาณิชย์ให้ประชาชนใช้งานได้ทางเว็บไซต์ของ ธปท. โดยอาจมีรายละเอียดน้อยกว่าข้อมูลที่คืนประโยชน์กลับแก่ผู้ให้ข้อมูล

 

        ทั้งนี้ การรวมข้อมูลจะมีการพิจารณาปัจจัย K-anonymity และ L-diversity1/ ด้วยเพื่อลดความเสี่ยงที่ผู้รับข้อมูลจะคาดเดาและระบุตัวตนบุคคลจากข้อมูลรวมได้  กรณีที่ผลรวมจำนวนข้อมูลในมิติใดมีค่าไม่ผ่านเกณฑ์ K-anonymity และ L-diversity ที่กำหนด  ธปท. จะเพิ่มข้อมูลรบกวน (noise) หรือยุบรายละเอียดของมิติ (attribute) นั้นให้มีความละเอียดลดลง เช่น หากการแสดงข้อมูลรวมแยกเป็นรายจังหวัดไม่ผ่านเกณฑ์ดังกล่าว จะยุบความละเอียดลงเป็นแสดงข้อมูลรายภูมิภาคแทน (เหนือ ตะวันออกเฉียงเหนือ กลาง ใต้) เป็นต้น

 

----------------------------------------------------------

1/ หมายเหตุ

        การทำ K-anonymity คือการทำให้มั่นใจว่าข้อมูลในมิตินั้นจะมีจำนวนไม่ต่ำกว่า K เช่น หาก K < 3 ผู้ใช้ข้อมูลอาจคาดเดาได้ง่ายว่าข้อมูลของบุคคลใดบ้างที่ถูกนำมาแสดงอยู่ในมิตินั้น การปรับข้อมูลเพื่อการันตี K-anonymity สามารถทำได้ผ่านการปรับข้อมูลที่ละเอียดเกินไปให้มีสเกลที่หยาบขึ้น เช่น ให้แสดงค่าจังหวัดแทนค่าตำบล

 

        การทำ L-diversity เป็นส่วนขยายของการทำ K-anonymity โดยการันตีว่าในข้อมูลจำนวน K นั้น จะมี L ค่าที่ต่างกันในแต่ละตัวแปร เพื่อป้องกันไม่ให้กลุ่มหนึ่งกลุ่มใดที่ได้จากการทำ K-anonymity มีแต่ค่าข้อมูลอ่อนไหวค่าหนึ่งไปกองรวมกันในกลุ่มเดียว อันอาจทำให้มีการเลือกปฏิบัติกับคนกลุ่มนั้นทั้งกลุ่ม หรือคาดเดาตัวตนบุคคลนั้นได้