การจัดทำข้อมูลนิรนามของธนาคารแห่งประเทศไทย
1. ลักษณะข้อมูลของธนาคารแห่งประเทศไทยที่มีการจัดทำข้อมูลนิรนามเพื่อการใช้งาน
การปฏิบัติงานของธนาคารแห่งประเทศไทย (ธปท.) มีการจัดเก็บข้อมูลจากแหล่งต่าง ๆ ในหลายรูปแบบ ทั้งรูปแบบที่เป็นข้อมูลเชิงสถิติ ข้อมูลรายบุคคลที่ไม่เปิดเผยตัวตนเจ้าของข้อมูล และข้อมูลรายบุคคลที่สามารถระบุตัวตนบุคคลเจ้าของข้อมูลได้ (ทั้งบุคคลธรรมดาและนิติบุคคล) โดยข้อมูลรายบุคคลที่สามารถระบุตัวตนได้ สามารถแบ่งตามแหล่งข้อมูลได้ 3 กลุ่ม ดังนี้
(1) ข้อมูลที่ได้รับจากผู้ให้ข้อมูลที่อยู่ภายใต้การกำกับดูแล โดยอาศัยอำนาจตามกฎหมายหรืออาศัยข้อตกลงความร่วมมือระหว่างกันให้ผู้ให้ข้อมูลจัดส่งข้อมูลดังกล่าวให้ ธปท. เช่น ข้อมูลเงินให้สินเชื่อจากผู้ประกอบธุรกิจภายใต้กฎหมายธุรกิจสถาบันการเงิน ข้อมูลการแลกเปลี่ยนเงินตราต่างประเทศจากผู้ประกอบธุรกิจภายใต้กฎหมายควบคุมการแลกเปลี่ยนเงิน ข้อมูลธุรกรรมการโอนเงินจากผู้ประกอบธุรกิจภายใต้กฎหมายระบบการชำระเงิน
(2) ข้อมูลที่ได้จากการสำรวจ เช่น ข้อมูลหนี้ต่างประเทศของภาคเอกชน ข้อมูลฐานะการลงทุนระหว่างประเทศ
(3) ข้อมูลที่ได้จากหน่วยงานอื่นตามข้อตกลงความร่วมมือการแลกเปลี่ยนข้อมูล
2. หลักการและวิธีปฏิบัติในการใช้งานข้อมูลรายบุคคลใน ธปท.
ธปท. มีมาตรการในการรักษาความปลอดภัยของข้อมูลรายบุคคลที่สามารถระบุตัวตนเจ้าของข้อมูล โดยกำหนดเป็นแนวปฏิบัติการกำกับดูแลข้อมูลว่า การใช้งานข้อมูลสำหรับวัตถุประสงค์ที่ไม่จำเป็นต้องทราบตัวตนเจ้าของข้อมูล จะต้องใช้ข้อมูลแบบปกปิดตัวตน หรือแบบข้อมูลรวม (aggregated data) ที่ไม่มีรายละเอียดที่สามารถนำไปสู่หรือชี้แนะให้รู้ตัวตนที่แท้จริงของเจ้าของข้อมูลได้ไม่ว่าทางตรงหรือทางอ้อม
นอกจากนี้ยังมีข้อกำหนดให้ผู้ที่ได้รับอนุญาตให้ใช้ข้อมูลที่ผ่านการจัดทำเป็นข้อมูลนิรนามหรือปกปิดตัวตนแล้ว จะต้องไม่ดำเนินการหรือพยายามดำเนินการเพื่อคาดเดาหรือระบุตัวบุคคลในข้อมูลนั้น รวมถึงไม่ดำเนินการหรือพยายามดำเนินการเพื่อให้เกิดการจับคู่หรือเชื่อมโยงกับข้อมูลแวดล้อมอื่น หรือนำไปเปรียบเทียบกับข้อมูลอื่น ๆ เพื่อนำไปสู่การคาดเดาหรือระบุตัวบุคคลที่เป็นเจ้าของข้อมูลซึ่งได้ถูกปกปิดไว้
โดยหลักการแล้ว ผู้ใช้ข้อมูลที่มีหน้าที่กำกับตรวจสอบผู้ประกอบธุรกิจแต่ละประเภทตามที่กฎหมายบัญญัติไว้จะสามารถใช้งานข้อมูลที่เห็นตัวตนบุคคลได้ เพื่อประโยชน์ในการตรวจสอบการปฏิบัติตามกฎหมาย และสามารถดำเนินการทางกฎหมายได้อย่างถูกต้องเมื่อพบการปฏิบัติที่ไม่เป็นไปตามกฎหมาย โดยต้องคำนึงถึงการคุ้มครองข้อมูลให้มีความปลอดภัยอย่างเข้มงวดตามหลักธรรมาภิบาลข้อมูล ตัวอย่างเช่น ฝ่ายตรวจสอบและกำกับสถาบันการเงิน จะสามารถใช้งานข้อมูลเงินให้สินเชื่อรายสัญญาที่ ธปท. ได้รับจากธนาคารพาณิชย์โดยเห็นทั้งชื่อธนาคารพาณิชย์ผู้ให้สินเชื่อ และชื่อลูกหนี้ที่กู้เงินไปใช้ทำธุรกิจได้ อย่างไรก็ดี เพื่อลดความเสี่ยงจากการละเมิดข้อมูลส่วนบุคคลตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล ธปท. จึงมีนโยบายไม่ให้เปิดเผยตัวตนลูกหนี้บุคคลธรรมดาที่กู้เงินไปใช้ในการอุปโภคบริโภค เช่น ซื้อบ้าน ซื้อรถ บัตรเครดิต ฯลฯ
ในขณะที่ฝ่ายงานที่มีหน้าที่กำหนดนโยบายในการกำกับดูแลสถาบันการเงินจะสามารถใช้ข้อมูลดังกล่าวแบบเห็นชื่อธนาคารพาณิชย์ได้ เพื่อให้สามารถคาดการณ์หรือประเมินผลกระทบต่อธนาคารพาณิชย์แต่ละแห่งได้อย่างถูกต้องในการพิจารณาทางเลือกนโยบายที่เหมาะสมที่สุด โดยชื่อลูกหนี้จะเป็นถูกปกปิดเป็นข้อมูลนิรนาม ในทางกลับกัน ฝ่ายงานที่ใช้ข้อมูลเพื่อประเมินภาวะเศรษฐกิจหรือศึกษาพฤติกรรมของหน่วยเศรษฐกิจในมิติต่าง ๆ จะสามารถเข้าถึงข้อมูลดังกล่าวแบบข้อมูลนิรนามทั้งหมดเท่านั้น กล่าวคือ เป็นข้อมูลที่ถูกปกปิดตัวตนทั้งชื่อธนาคารพาณิชย์และชื่อลูกหนี้ผู้กู้เงิน
ในทางปฏิบัติ เมื่อผู้ใช้ข้อมูลใน ธปท. ต้องการขอใช้ข้อมูลรายบุคคล “ผู้ควบคุมข้อมูล” ซึ่งเป็นหัวหน้าสายงาน (ผู้บริหารระดับผู้ช่วยผู้ว่าการ) ที่เป็นเจ้าของข้อมูล ซึ่งจัดเก็บข้อมูลนั้น คือผู้มีอำนาจพิจารณาว่าจะอนุญาตให้ผู้ขอใช้ข้อมูลได้ใช้ข้อมูลรายบุคคลแบบเห็นตัวตน หรือแบบข้อมูลนิรนาม โดยพิจารณาจากวัตถุประสงค์ความจำเป็นในการขอใช้ข้อมูล ในกรณีที่อนุญาตให้ใช้ข้อมูลแบบนิรนาม ผู้ควบคุมข้อมูลจะพิจารณากำหนดฟิลด์ข้อมูลที่อนุญาตให้ใช้งานอย่างเข้มงวดด้วย เพื่อให้แน่ใจว่า ผู้ใช้ข้อมูลจะไม่เห็นฟิลด์ข้อมูลที่อาจนำไปใช้คาดเดาตัวตนบุคคลได้ (เทียบเคียงได้กับการทำข้อมูลนิรนามด้วยวิธีลบคุณลักษณะข้อมูล (Suppression))
3. รูปแบบการทำข้อมูลนิรนาม
วิธีปฏิบัติในการทำข้อมูลนิรนามที่ ธปท. ใช้อยู่ในปัจจุบัน นิยมทำใน 2 รูปแบบ ได้แก่
(1) การเข้าฟังก์ชันแฮช (Hashing) ตามมาตรฐานสากล SHA256 เพื่อแปลงข้อมูลให้อยู่ในอักขระรูปแบบอื่นซึ่งจะไม่สามารถแปลงกลับเป็นข้อมูลเดิมได้ (One-way function) โดย ธปท. จะใช้ค่า salt ในการเข้าฟังก์ชันแฮช เพื่อลดความเสี่ยงในการคาดเดาเพื่อระบุตัวตนข้อมูล ทั้งนี้ การใช้ฟังก์ชันแฮชจะต่างจากวิธีการเข้ารหัส (Encryption) ที่สามารถถอดรหัสกลับไปข้อมูลเดิมได้ ทำให้การใช้ฟังก์ชันแฮช มีความเหมาะสมกว่าในการจัดทำข้อมูลนิรนาม
ข้อมูลรายบุคคลชุดใดที่ผู้ควบคุมข้อมูลอนุญาตให้ฝ่ายงานต่าง ๆ มีสิทธิใช้ข้อมูลแบบนิรนามด้วย ข้อมูลจะถูกเข้าฟังก์ชันแฮช และเก็บฐานข้อมูลแยกต่างหากจากฐานข้อมูลชุดที่เห็นตัวตนบุคคล มีการกำหนดสิทธิการเข้าถึงข้อมูลและมีการทบทวนสิทธิให้เป็นปัจจุบัน โดยการเข้าฟังก์ชันแฮชนี้จะยังสามารถรองรับในกรณีที่ผู้ใช้ข้อมูลต้องการใช้ข้อมูลรายบุคคลแบบเชื่อมโยงกันหลายฐานข้อมูล เช่น ต้องการวิเคราะห์ข้อมูลสถานะและปริมาณการขอสินเชื่อของลูกหนี้บริษัทในภาคอุตสาหกรรมหนึ่ง เชื่อมโยงกับฐานะการเงินของบริษัทตามงบการเงินของกรมพัฒนาธุรกิจการค้า พฤติกรรมการแลกเปลี่ยนเงินตราต่างประเทศ และการออกตราสารหนี้/ตราสารทุน ข้อมูลต่าง ๆ ของบุคคลเดียวกันจะเชื่อมโยงกันได้
(2) การรวมข้อมูล (Data Aggregation) โดยแสดงข้อมูลด้วยค่าผลรวมตัวเลขแยกตามมิติต่าง ๆ วิธีนี้มักจะใช้ในการแบ่งปันข้อมูลให้ฝ่ายงานที่ไม่จำเป็นต้องเห็นรายละเอียดข้อมูลในระดับรายบุคคล และใช้ในการแบ่งปันข้อมูลกลับให้แก่ผู้ที่จัดส่งข้อมูลให้ ธปท. หรือทำข้อมูลสถิติเผยแพร่ต่อสาธารณชนบนเว็บไซต์ ตัวอย่างเช่น เมื่อ ธปท. ได้รับข้อมูลจากธนาคารพาณิชย์แต่ละแห่งแล้ว ธปท. จะรวมข้อมูลและส่งกลับให้ธนาคารพาณิชย์ทุกแห่งได้เห็นข้อมูลเชิงสถิติภาพรวมของทั้งระบบธนาคารพาณิชย์ เพื่อเป็นการคืนประโยชน์กลับแก่ผู้ให้ข้อมูล (data giveback) รวมทั้งเผยแพร่ข้อมูลเชิงสถิติภาพรวมของระบบธนาคารพาณิชย์ให้ประชาชนใช้งานได้ทางเว็บไซต์ของ ธปท. โดยอาจมีรายละเอียดน้อยกว่าข้อมูลที่คืนประโยชน์กลับแก่ผู้ให้ข้อมูล
ทั้งนี้ การรวมข้อมูลจะมีการพิจารณาปัจจัย K-anonymity และ L-diversity1/ ด้วยเพื่อลดความเสี่ยงที่ผู้รับข้อมูลจะคาดเดาและระบุตัวตนบุคคลจากข้อมูลรวมได้ รวมทั้งในบางกรณี ธปท. จะมีการเพิ่มข้อมูลรบกวน (noise) หรือยุบรายละเอียดของมิติ (attribute) นั้นให้มีความละเอียดลดลง เช่น หากการแสดงข้อมูลรวมแยกเป็นรายจังหวัดไม่ผ่านเกณฑ์ดังกล่าว จะยุบความละเอียดลงเป็นแสดงข้อมูลรายภูมิภาคแทน เป็นต้น
1/ หมายเหตุ
การทำ K-anonymity คือการทำให้มั่นใจว่าข้อมูลในมิตินั้นจะมีจำนวนไม่ต่ำกว่า K เพื่อให้ผู้ใช้ข้อมูลคาดเดาได้ยากว่าข้อมูลของบุคคลใดบ้างที่ถูกนำมาแสดงอยู่ในมิตินั้น การปรับข้อมูลเพื่อการันตี K-anonymity สามารถทำได้ผ่านการปรับข้อมูลที่ละเอียดให้มีสเกลที่หยาบขึ้น เช่น ให้แสดงค่าจังหวัดแทนค่าตำบล
การทำ L-diversity เป็นส่วนขยายของการทำ K-anonymity โดยการันตีว่าในข้อมูลจำนวน K นั้น จะมีการกำหนดค่า L เพื่อป้องกันไม่ให้กลุ่มหนึ่งกลุ่มใด มีข้อมูลค่าหนึ่งไปกองรวมกันในกลุ่มเดียว อันอาจทำให้มีการเลือกปฏิบัติกับคนกลุ่มนั้นทั้งกลุ่ม หรือคาดเดาตัวตนบุคคลนั้นได้