สภาคองเกรสสหรัฐกำลังเดินหน้า *กฎหมาย KIDS* ภายใต้ข้ออ้างเรื่อง ‘การปกป้องเด็ก’ แต่กลับถูกตั้งคำถามอย่างหนักว่าอาจยิ่งเร่งให้เกิด ‘การเก็บข้อมูลส่วนตัวขนาดใหญ่’ และเพิ่มความเสี่ยงการถูกแฮกมากกว่าเดิม โดยเฉพาะเมื่อระบบ ‘ยืนยันตัวตนออนไลน์’ กลายเป็นโครงสร้างพื้นฐานใหม่ของอินเทอร์เน็ต
เมื่อปี 2024 บริษัทผู้ให้บริการยืนยันตัวตน AU10TIX ซึ่งให้บริการกับแพลตฟอร์มอย่าง TikTok และ Uber ถูกเปิดโปงว่าทำข้อมูลใบขับขี่ของผู้ใช้รั่วไหลให้แฮกเกอร์เข้าถึงได้นานกว่า 1 ปีเต็ม ขณะที่ในปี 2025 ผู้ให้บริการระบบยืนยันอายุของ Discord ถูกเจาะระบบ ทำให้ข้อมูลบัตรประชาชนและเอกสารยืนยันตัวตนของประชาชนราว 70,000 รายถูกขโมยไป ‘ความคิดเห็น’ กรณีที่เกิดซ้ำแล้วซ้ำเล่าเหล่านี้สะท้อนให้เห็นเทรนด์เดียวกันชัดเจน นั่นคือ ทันทีที่ ‘การยืนยันอายุ’ ต้องพึ่งพาบริษัทภายนอกและการเก็บข้อมูลไว้เป็นคลังขนาดใหญ่ ตัวระบบยืนยันตัวตนเองก็กลายเป็นเป้าหมายโจมตีโดยตรงของแฮกเกอร์
ยิ่งไปกว่านั้น การพัฒนาอย่างรวดเร็วของเทคโนโลยี ‘ปัญญาประดิษฐ์(AI)’ กำลังทำให้สถานการณ์เลวร้ายขึ้น แฮกเกอร์ใช้ AI เพื่อเร่งความเร็วในการโจมตี ค้นหาช่องโหว่ได้แม่นยำกว่าเดิม และขยายความเสียหายจากการรั่วไหลของข้อมูลไปได้ไกลขึ้นในเวลาสั้นลง
ท่ามกลางพื้นหลังแบบนี้ สภาผู้แทนราษฎรสหรัฐได้ผ่าน *กฎหมายว่าด้วยความปลอดภัยของเด็กในอินเทอร์เน็ตและดิจิทัล (KIDS)* เมื่อวันที่ 29 มิถุนายน ด้วยคะแนนเสียงเห็นชอบ 267 ต่อ 117 โดยกฎหมายฉบับนี้วางอยู่บนโครงสร้างหลักของ ‘กฎหมายความปลอดภัยของเด็กออนไลน์ (KOSA)’ และขณะนี้กำลังรอการพิจารณาในวุฒิสภา อย่างไรก็ตาม รีชาร์ด บลูเมนธอล และ มาร์ชา แบล็กเบิร์น สองวุฒิสมาชิกผู้ร่วมเสนอ *KOSA* กลับออกมาวิพากษ์ร่างจากสภาล่างอย่างรุนแรง โดยมองว่ายังอ่อนเกินไปและต้องเพิ่มมาตรการกำกับดูแลให้เข้มข้นขึ้นอีก ‘ความคิดเห็น’ ผลการหารือในคณะกรรมาธิการพาณิชย์ของวุฒิสภาจะเป็นตัวกำหนดทิศทางสำคัญของระบบยืนยันตัวตนออนไลน์ในสหรัฐในระยะยาว
‘กฎหมาย KIDS’ ไม่ได้เขียนบังคับยืนยันอายุ แต่โครงสร้างจริงคือบีบให้ทำ
บนหน้ากระดาษ *กฎหมาย KIDS* ไม่ได้ระบุอย่างชัดเจนว่าบริษัทแพลตฟอร์มต้องทำ ‘การยืนยันอายุ’ ของผู้ใช้ แต่เนื้อหาภายในกลับโยน ‘ความรับผิดทางกฎหมาย’ ต่อความเสียหายที่เกิดขึ้นกับผู้เยาว์ไปยังแพลตฟอร์มโดยตรง ทำให้ทางเลือกของบริษัทถูกจำกัดเหลือไม่มาก นั่นคือ ต้องหาทางพิสูจน์ให้ได้ว่าใครเป็นผู้เยาว์ หรือยอมรับความเสี่ยงทางกฎหมายมหาศาล
ผลคือ โครงสร้างความรับผิดชอบตามกฎหมายกำลังผลักให้ธุรกิจจำนวนมากต้องใช้ระบบยืนยันอายุแบบ *“จำเป็นโดยปริยาย”* ต่อให้ไม่มีข้อความบังคับในตัวบทโดยตรงก็ตาม นี่คือเหตุผลที่นักวิจารณ์ชี้ว่า การอ้างว่า “ไม่ได้เขียนบังคับในกฎหมาย” แทบไม่สะท้อนผลกระทบจริงในเชิงปฏิบัติเลย
และนี่คือจุดเริ่มต้นของปัญหาใหม่ เมื่อการเข้าถึงบริการต้องแลกด้วยการยื่นข้อมูลส่วนตัว ขอบเขตการเก็บข้อมูลก็จะค่อย ๆ ขยายตัวออกไป จากเครื่องมือที่ควรทำหน้าที่แค่ยืนยันว่า “ถึงเกณฑ์อายุแล้วหรือยัง” ค่อย ๆ ถูกยกระดับให้กลายเป็นระบบระบุตัวตนแบบเต็มรูปแบบที่รู้ว่า “คุณเป็นใคร” บริษัทจึงต้องสร้าง ‘คลังข้อมูลตัวตน’ ขนาดใหญ่ขึ้นเรื่อย ๆ ‘ความคิดเห็น’ แต่คลังแบบนี้ไม่ได้เป็นสินทรัพย์ปลอดภัยอะไร หากมองจากมุมความเสี่ยงทางไซเบอร์ มันคือจุดเสี่ยงใหม่ที่รอวันถูกเจาะ ตัวอย่างของ AU10TIX แสดงให้เห็นแล้วว่าเมื่อคลังข้อมูลใบขับขี่รั่ว ผลลัพธ์คืออุบัติการณ์การรั่วไหลครั้งใหญ่ที่กระทบผู้ใช้จำนวนมหาศาล
ทางเลือกที่เคารพความเป็นส่วนตัวมีอยู่แล้ว ไม่จำเป็นต้องเปิดโปงตัวตน
ผู้เชี่ยวชาญด้านความเป็นส่วนตัวชี้ว่า ปัญหาหลักไม่ใช่เรื่องเทคนิค แต่คือการออกแบบนโยบาย เพราะเทคโนโลยีที่ “ตรวจอายุได้โดยไม่ต้องเปิดเผยตัวตนเต็มรูปแบบ” มีอยู่แล้ว ที่สำคัญคือ แพลตฟอร์มส่วนใหญ่ไม่ได้ต้องการทราบ ‘อายุที่แน่นอน’ ของผู้ใช้ แต่เพียงต้องรู้ว่า “อายุถึงเกณฑ์หรือไม่”
รัฐยูทาห์ในสหรัฐได้เริ่มทดลองโมเดลใหม่ผ่านกฎหมาย ‘ระบบยืนยันตัวตนดิจิทัลของรัฐ (SEDI)’ โดยนำระบบ *เวริเดียน(Veridian)* ที่มูลนิธิคาร์ดาโน(Cardano Foundation) พัฒนามาใช้ แกนหลักของระบบนี้คือ ให้ผู้ใช้สามารถพิสูจน์ได้เพียงว่า “อายุเกินเกณฑ์ที่กำหนดหรือไม่” โดยไม่จำเป็นต้องเปิดข้อมูลส่วนตัวอื่น เช่น วันที่เกิดเต็ม หรือเลขบัตรประชาชน ผลคือ แพลตฟอร์มสามารถตรวจสอบเกณฑ์อายุได้ ขณะที่ปริมาณข้อมูลส่วนตัวที่ถูกเก็บและส่งต่อถูกลดลงอย่างมาก
กรณีของ *Veridian* ส่งสัญญาณสำคัญว่า ‘ความน่าเชื่อถือ’ ในโลกดิจิทัลไม่จำเป็นต้องแลกมากับ ‘การเปิดเผยข้อมูลทั้งหมด’ เสมอไป หากเริ่มต้นออกแบบระบบโดยมี ‘การปกป้องความเป็นส่วนตัว’ เป็นเงื่อนไขตั้งแต่ต้น เราสามารถสร้างโครงสร้างยืนยันตัวตนที่ปลอดภัยกว่าและเก็บข้อมูลน้อยกว่ามาก
สมดุลระหว่างการปกป้องเด็ก กับการไม่สร้างรัฐเฝ้าระวังข้อมูล
เป้าหมายอย่างเป็นทางการของ *กฎหมาย KIDS* ชัดเจน นั่นคือการปกป้องผู้เยาว์จากอันตรายบนโลกออนไลน์ แต่รูปแบบทางกฎหมายที่กำลังถูกผลักดันกลับมีแนวโน้มจะกระตุ้นให้แพลตฟอร์มเก็บและเก็บ ‘สำเนา’ ข้อมูลตัวตนของผู้ใช้มากขึ้น ทั้งในรูปบัตรประชาชน ใบขับขี่ หรือข้อมูลยืนยันตัวตนอื่น ๆ ซึ่งในระยะยาวอาจเท่ากับการวางรากฐานของ ‘โครงสร้างพื้นฐานการเฝ้าระวังดิจิทัล’ ที่ครอบคลุมทุกแพลตฟอร์มออนไลน์
ผู้เชี่ยวชาญเสนอทางออกไว้ค่อนข้างชัด ได้แก่
- ‘การเก็บข้อมูลเฉพาะที่จำเป็นจริง ๆ’ (data minimization)
- การกำหนด ‘ระยะเวลาเก็บข้อมูลที่จำกัด’ แล้วลบออกเมื่อหมดความจำเป็น
- การนำ ‘ระบบยืนยันอายุแบบปกป้องความเป็นส่วนตัว’ มาใช้ โดยเฉพาะในบริการที่มีความเสี่ยงสูงต่อผู้เยาว์
เมื่อเทคโนโลยีที่รองรับแนวทางเหล่านี้มีอยู่แล้ว คำถามจึงไม่ได้อยู่ที่ “ทำได้หรือไม่” แต่คือ “นโยบายจะเลือกใช้หรือไม่” มากกว่า
สุดท้ายแล้ว เกณฑ์ตัดสินอาจเรียบง่ายกว่าที่คิด นั่นคือ เราจะปกป้องเด็ก ๆ อย่างไรโดยไม่ต้องบังคับให้ทุกคนต้องเปิดเผยข้อมูลส่วนตัวเกินจำเป็น เพื่อแลกกับการเข้าถึงอินเทอร์เน็ต ‘ความคิดเห็น’ ทางเลือกที่ปลอดภัยกว่าคือทำให้อินเทอร์เน็ตไม่กลายเป็น “ด่านตรวจบัตรประชาชนออนไลน์” ทุกครั้งที่ใช้งาน แต่ใช้ข้อมูลในระดับต่ำที่สุดเท่าที่จำเป็นต่อการสร้างความปลอดภัยเท่านั้น
ทิศทางของ *กฎหมาย KIDS* จะกลายเป็นบททดสอบสำคัญของระบบยืนยันตัวตนดิจิทัลในอนาคต ว่าจะเดินหน้าไปในทิศทางของ ‘การคุ้มครอง’ หรือไถลไปสู่ ‘การเฝ้าระวัง’ มากขึ้น การเลือกในครั้งนี้ไม่เพียงกำหนดมาตรฐานด้านกฎหมายเท่านั้น แต่ยังอาจนิยาม “อัตลักษณ์ของอินเทอร์เน็ตยุคใหม่” ว่าจะเป็นพื้นที่แห่งเสรีภาพและความเป็นส่วนตัว หรือกลายเป็นเครือข่ายที่ผูกติดกับการตรวจสอบตัวตนอย่างถาวร
ความคิดเห็น 0