เทคโนโลยี OCR (Optical Character Recognition) ได้เข้ามาปฏิวัติกระบวนการทางธุรกิจ ทำให้การดึงข้อมูลจากเอกสาร เช่น บัตรประชาชน กลายเป็นเรื่องง่ายและรวดเร็วเพียงแค่ถ่ายภาพ แต่ในความสะดวกสบายนั้นแฝงไปด้วยความรับผิดชอบอันใหญ่หลวงภายใต้ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA การนำ OCR มาใช้อ่านบัตรประชาชนไทย ซึ่งมีข้อมูลส่วนบุคคลที่ละเอียดอ่อนและมีรูปแบบเฉพาะตัว จึงจำเป็นต้องทำความเข้าใจและปฏิบัติตามหลักกฎหมายอย่างเคร่งครัด เพื่อหลีกเลี่ยงความเสียหายทั้งทางกฎหมายและชื่อเสียงขององค์กร

ความท้าทายของ OCR กับบัตรประชาชนไทย

บัตรประชาชนไทยถือเป็นเอกสารปราบเซียนสำหรับเทคโนโลยี OCR ด้วยลักษณะเฉพาะตัวหลายประการ:

- ฟอนต์พิเศษ (TH Sarabun): เป็นฟอนต์ที่ไม่มีหัว ทำให้การจำแนกตัวอักษรบางตัว เช่น 'พ' กับ 'ฬ' หรือ 'ฦ' กับ 'ฅ' ทำได้ยาก

- พื้นหลังไล่เฉดสีและลายน้ำ: ภาพพื้นหลังที่ไม่สม่ำเสมอและมีลายตราสัญลักษณ์ อาจรบกวนการประมวลผลภาพของ OCR ได้

- การวางข้อมูลหลากหลายรูปแบบ: มีทั้งข้อความแนวนอน (ชื่อ, ที่อยู่) และแนวตั้ง (รหัสกำกับบัตร หรือ Laser ID) รวมถึงข้อมูลภาษาไทยและภาษาอังกฤษที่ปะปนกัน

- ภาพถ่ายโฮโลแกรม: ตราครุฑที่เป็นโฮโลแกรมสะท้อนแสง อาจบดบังข้อมูลสำคัญบางส่วนได้

ความท้าทายเหล่านี้ทำให้การพัฒนา OCR อ่านบัตรประชาชนที่มีความแม่นยำสูงต้องอาศัยเทคนิคการประมวลผลภาพขั้นสูง (Advanced Image Processing) และการฝึกฝนโมเดล AI ด้วยชุดข้อมูลขนาดใหญ่ แต่ยิ่งเทคโนโลยีล้ำหน้าเท่าไหร่ การจัดการข้อมูลที่ได้มาก็ยิ่งต้องรัดกุมมากขึ้นเท่านั้น

กุญแจสำคัญ: ใช้ OCR อย่างไรให้สอดคล้องกับ PDPA

การนำเทคโนโลยี OCR มาใช้ในอ่านบัตรประชาชน จะต้องยึดหลักการสำคัญของ PDPA อย่างเคร่งครัด เพื่อให้มั่นใจว่ากระบวนการทั้งหมดโปร่งใสและชอบด้วยกฎหมาย

1. ฐานการประมวลผลข้อมูล (Lawful Basis)

ก่อนจะสแกนบัตรประชาชน ต้องมีฐานทางกฎหมายรองรับเสมอ โดยฐานที่นิยมใช้มากที่สุดคือ "ความยินยอม" (Consent) องค์กรต้องขอความยินยอมจากเจ้าของบัตรอย่างชัดแจ้ง เป็นลายลักษณ์อักษรหรือผ่านช่องทางอิเล็กทรอนิกส์ โดยต้องอธิบายให้ชัดเจนว่าจะเก็บข้อมูลอะไรบ้าง และนำไปใช้วัตถุประสงค์ใด การให้ความยินยอมต้องเป็นไปโดยอิสระ ปราศจากการบังคับ และเจ้าของข้อมูลสามารถถอนความยินยอมเมื่อใดก็ได้

นอกจากนี้ อาจมีฐานอื่น ๆ เช่น "ความจำเป็นเพื่อปฏิบัติตามสัญญา" หรือ "ความจำเป็นเพื่อปฏิบัติตามกฎหมาย" แต่ต้องพิจารณาเป็นกรณีไป

2. การแจ้งวัตถุประสงค์ (Purpose Limitation)

ต้องแจ้งวัตถุประสงค์ของการใช้ OCR อ่านบัตรประชาชน ให้เจ้าของข้อมูลทราบอย่างชัดเจนก่อนหรือขณะเก็บข้อมูล เช่น "เพื่อใช้ในการยืนยันตัวตนสำหรับเปิดบัญชีธนาคาร" หรือ "เพื่อใช้ในการลงทะเบียนเข้าร่วมกิจกรรม" และห้ามนำข้อมูลไปใช้นอกเหนือจากวัตถุประสงค์ที่แจ้งไว้โดยไม่ได้รับความยินยอมเพิ่มเติม

3. หลักการความจำเป็น (Data Minimization)

หัวใจสำคัญคือต้องประมวลผลข้อมูลเท่าที่จำเป็นตามวัตถุประสงค์ที่แจ้งไว้เท่านั้น ไม่ควรใช้ OCR อ่านบัตรประชาชน แล้วดึงข้อมูลทุกอย่างบนหน้าบัตร หากต้องการเพียงชื่อ-นามสกุล และเลขบัตรประชาชน 13 หลักเพื่อยืนยันตัวตน ก็ไม่ควรดึงข้อมูลอื่น ๆ เช่น ที่อยู่, วันเกิด, หรือศาสนา (ซึ่งเป็นข้อมูลอ่อนไหว) เข้าสู่ระบบโดยไม่จำเป็น การเลือกใช้ OCR ที่สามารถกำหนดค่าให้ดึงเฉพาะฟิลด์ข้อมูลที่ต้องการได้ (Field-level data extraction) จึงเป็นแนวทางปฏิบัติที่ดีที่สุด

4. การรักษาความมั่นคงปลอดภัย (Security Measures)

ข้อมูลจากบัตรประชาชนถือเป็นข้อมูลที่มีความเสี่ยงสูง องค์กรจึงต้องมีมาตรการรักษาความปลอดภัยที่เหมาะสมทั้งในเชิงเทคนิคและเชิงองค์กร เช่น:

- การเข้ารหัสข้อมูล (Encryption): ทั้งข้อมูลที่กำลังส่ง (in-transit) และข้อมูลที่จัดเก็บ (at-rest)

- การควบคุมการเข้าถึง (Access Control): กำหนดสิทธิ์ให้เฉพาะผู้ที่เกี่ยวข้องเท่านั้นที่สามารถเข้าถึงข้อมูลได้

- การจัดเก็บอย่างปลอดภัย: มีมาตรการป้องกันการรั่วไหลของข้อมูล ทั้งจากภัยคุกคามทางไซเบอร์และจากภายในองค์กร

- การกำหนดระยะเวลาจัดเก็บ (Retention Period): เมื่อหมดความจำเป็นในการใช้ข้อมูลแล้ว จะต้องมีกระบวนการทำลายข้อมูลอย่างปลอดภัย

การใช้เทคโนโลยี OCR อ่านบัตรประชาชนช่วยเพิ่มประสิทธิภาพทางธุรกิจได้อย่างมหาศาล แต่ต้องทำควบคู่ไปกับการเคารพสิทธิในความเป็นส่วนตัวอย่างจริงจัง องค์กรต้องมองว่าการปฏิบัติตาม PDPA ไม่ใช่ภาระ แต่เป็น การสร้างความไว้วางใจ (Trust) ให้กับลูกค้าและพันธมิตร การลงทุนในเทคโนโลยี OCR ที่มีความแม่นยำและปลอดภัย ควบคู่ไปกับการวางกระบวนการที่รัดกุมตามหลักกฎหมาย จะช่วยให้องค์กรสามารถเก็บเกี่ยวประโยชน์จากเทคโนโลยีได้อย่างเต็มศักยภาพและยั่งยืน โดยไม่สร้างความเสี่ยงให้กับใครเลย