หน้าหลัก

ข้อหารือที่ 6/2566 — ธนาคาร ม. (Facial recognition ผู้เยาว์)

4 มาตราอ้างอิง
สารบัญในมาตรานี้
  1. ข้อกฎหมาย
  2. ข้อหารือ
  3. ความเห็น
  4. เอกสารต้นฉบับ

ข้อกฎหมาย

  1. พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 — มาตรา 19, มาตรา 20, มาตรา 24 และ มาตรา 26
  2. ประมวลกฎหมายแพ่งและพาณิชย์ — มาตรา 21, 22, 23, 24 และ 27

ข้อหารือ

ธนาคาร ม. ขอหารือคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเกี่ยวกับการปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กรณีการขอความยินยอมในการเปิดบัญชีและการทำธุรกรรมโดยใช้ Facial recognition และกรณีการทำการตลาดกับลูกค้าซึ่งเป็นผู้เยาว์ โดยมีประเด็นดังนี้

  1. กรณีการเปิดบัญชีหรือทำธุรกรรมผ่าน Application Sumo และมีการเก็บรวบรวมและใช้ Facial recognition ของผู้เยาว์ (อายุ 7 ถึง 20 ปีบริบูรณ์) เพื่อพิสูจน์และยืนยันตัวตนของผู้เยาว์ ธนาคารต้องขอความยินยอมหรือไม่ อย่างไร หากต้องขอความยินยอมผู้เยาว์สามารถให้ความยินยอมด้วยตนเองได้หรือไม่
  2. กรณีการเปิดบัญชีหรือทำธุรกรรมผ่านเครื่อง Virtual Teller Machine (VTM) และ Mobile Banking ธนาคารมีการเก็บรวบรวมและใช้ Facial recognition ของลูกค้าเพื่อพิสูจน์และยืนยันตัวตน ธนาคารจะต้องขอความยินยอมหรือไม่ อย่างไร
  3. กรณีธนาคารนำเสนอผลิตภัณฑ์ใหม่ เพื่อทำการตลาดกับลูกค้าผู้เยาว์ ธนาคารต้องขอความยินยอมจากผู้เยาว์หรือไม่ อย่างไร หากต้องขอความยินยอม ผู้เยาว์สามารถให้ความยินยอมดังกล่าวด้วยตนเองได้หรือไม่
  4. กรณีธนาคารนำเสนอผลิตภัณฑ์เดิม เช่น นำเสนอผลิตภัณฑ์เงินฝากประเภทอื่นให้กับลูกค้าผู้เยาว์ที่ใช้ผลิตภัณฑ์เงินฝาก หรือนำเสนอผลิตภัณฑ์ที่เกี่ยวเนื่องกับผลิตภัณฑ์เดิม (บัตร ATM/Mobile Banking) ธนาคารต้องขอความยินยอมจากผู้เยาว์หรือไม่

ความเห็น

คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล โดยคณะอนุกรรมการเฉพาะกิจตอบข้อหารือและให้คำแนะนำหน่วยงานของรัฐเพื่อรองรับการบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 พิจารณาประเด็นข้อหารือของธนาคาร ม. แล้ว มีความเห็นพร้อมข้อสังเกต ดังนี้

ประเด็นหารือที่ 1 กรณีการเก็บรวบรวมข้อมูลส่วนบุคคลของผู้เยาว์ในการเปิดบัญชีธนาคาร อาจพิจารณาฐานทางกฎหมายในการเปิดบัญชีเงินฝากของผู้เยาว์โดยอาศัยเหตุตาม มาตรา 24 (3) แห่ง PDPA กล่าวคือเป็นการจำเป็นเพื่อการปฏิบัติตามสัญญา ซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญาหรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญา ซึ่งประเด็นความสามารถของผู้เยาว์ในการทำสัญญาและความสมบูรณ์ของสัญญา ย่อมเป็นไปตามประมวลกฎหมายแพ่งและพาณิชย์ ซึ่งกำหนดว่าผู้เยาว์อาจทำการใด ๆ โดยลำพังได้ตามที่บัญญัติไว้ในมาตรา 22, มาตรา 23 หรือมาตรา 24 แห่งประมวลกฎหมายแพ่งและพาณิชย์ แต่หากเป็นกรณีอื่นที่ผู้เยาว์ไม่อาจทำนิติกรรมโดยลำพังได้ การทำนิติกรรมของผู้เยาว์ต้องได้รับความยินยอมของผู้แทนโดยชอบธรรมก่อน

เนื่องจากกรณีการเปิดบัญชีเงินฝากของผู้เยาว์ที่หารือดังกล่าวไม่ได้ใช้ "ความยินยอม" เป็นฐานทางกฎหมายตาม มาตรา 24 (3) แห่ง PDPA จึงไม่ต้องปฏิบัติตาม มาตรา 20 แห่ง PDPA

สำหรับกิจกรรมที่มีวัตถุประสงค์เพื่อพิสูจน์และยืนยันตัวตนของผู้เยาว์ โดยวิธีนำเทคโนโลยีจดจำใบหน้า (Facial recognition) มาใช้พิสูจน์ยืนยันตัวตนของผู้ทำธุรกรรม ในการดำเนินการดังกล่าวอาจพิจารณาได้ว่าเป็นการเก็บรวบรวมข้อมูลส่วนบุคคลที่มีลักษณะตามนัย มาตรา 26 แห่ง PDPA ซึ่งเทคโนโลยีจดจำใบหน้ามีการใช้เทคนิคที่เกี่ยวข้องกับการนำลักษณะเด่นทางกายภาพหรือทางพฤติกรรมของบุคคลมาใช้ทำให้สามารถยืนยันตัวตนของบุคคลนั้น ที่ไม่เหมือนกับบุคคลอื่นได้ จึงเป็นการเก็บรวบรวมข้อมูลชีวภาพ ตาม มาตรา 26 วรรคสอง

ดังนั้น ธนาคารจึงต้องพิจารณาฐานทางกฎหมายตาม มาตรา 26 วรรคหนึ่ง (1) ถึง (5) ในการเก็บรวบรวมข้อมูลส่วนบุคคลสำหรับกิจกรรมที่มีวัตถุประสงค์เพื่อยืนยันตัวตน เมื่อไม่มีเหตุดังกล่าว ก็จะต้องขอความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล โดยหลักเกณฑ์การขอความยินยอมของผู้เยาว์จะต้องเป็นไปตาม มาตรา 19 และ มาตรา 20 แห่ง PDPA

ประเด็นหารือที่ 2 เนื่องจากการเก็บรวบรวมข้อมูลส่วนบุคคลโดยวิธีนำเทคโนโลยีระบบจดจำใบหน้า (Facial recognition) เป็นการเก็บรวบรวมข้อมูลชีวภาพตามนัย มาตรา 26 วรรคสอง แห่ง PDPA ธนาคารจึงต้องพิจารณาฐานทางกฎหมายตาม มาตรา 26 วรรคหนึ่ง (1) ถึง (5) เมื่อไม่มีเหตุดังกล่าวก็จะต้องขอความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล โดยหลักเกณฑ์การขอความยินยอมจะต้องเป็นไปตาม มาตรา 19 และ มาตรา 20

ประเด็นหารือที่ 3 สำหรับกิจกรรมการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ทางการตลาด ธนาคารจะต้องพิจารณาฐานทางกฎหมาย สำหรับการเปิดบัญชี ธนาคาร ม. สามารถเก็บรวบรวมข้อมูลส่วนบุคคลโดยอาศัยเหตุตามนัย มาตรา 24 (3) ได้ แต่หากการใช้ข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ทางการตลาดเป็นกิจกรรมที่ไม่เกี่ยวข้องและจำเป็นเพื่อปฏิบัติตามสัญญาเกี่ยวกับการเปิดบัญชี ธนาคารจะไม่สามารถอ้างฐาน มาตรา 24 (3) ได้ ดังนั้น ธนาคารจึงต้องพิจารณาฐานทางกฎหมายอื่น เมื่อพิจารณาวัตถุประสงค์ที่เป็นการนำเสนอผลิตภัณฑ์ใหม่เพื่อทำการตลาด ซึ่งไม่สอดคล้องกับฐานทางกฎหมายอื่นตาม มาตรา 24 (1) ถึง (6) จึงควรขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล โดยหลักเกณฑ์การขอความยินยอมต้องเป็นไปตาม มาตรา 19 และ มาตรา 20

ส่วนประเด็นเรื่องการขอความยินยอมจากผู้เยาว์ซึ่งยังไม่บรรลุนิติภาวะ ตามมาตรา 27 แห่งประมวลกฎหมายแพ่งและพาณิชย์ เมื่อคำนึงถึงความเหมาะสมด้านวุฒิภาวะของผู้เยาว์ในการตัดสินใจเพื่อทำการตลาด ประกอบกับผลกระทบจากการตัดสินใจ จึงเห็นว่า การขอความยินยอมในการทำการตลาดกับลูกค้าที่เป็นผู้เยาว์ดังกล่าว ควรได้รับความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ด้วย

ประเด็นหารือที่ 4 สำหรับกรณีนำเสนอผลิตภัณฑ์เดิมหรือผลิตภัณฑ์ที่เกี่ยวเนื่อง ธนาคารต้องพิจารณาฐานทางกฎหมายตาม มาตรา 24 หากไม่ได้เกี่ยวข้องและจำเป็นเพื่อการปฏิบัติตามสัญญาตาม มาตรา 24 (3) และไม่สอดคล้องกับฐานอื่นตาม มาตรา 24 (1) (2) (4) (5) และ (6) จะต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล โดยหลักเกณฑ์การขอความยินยอมต้องเป็นไปตาม มาตรา 19 และ มาตรา 20 · กรณีผู้เยาว์ — เช่นเดียวกับประเด็นที่ 3 ควรได้รับความยินยอมจากผู้ใช้อำนาจปกครองด้วย

เอกสารต้นฉบับ