การใส่ Watch List ในระบบ CCTV ภายใต้ PDPA ของไทย และเทียบกับ GDPR ของยุโรป

จักรพันธ์ ภวังคะรัตน์

Head of Property Management, JLL Thailand

เลขาธิการ สมาคมบริหารทรัพย์สินแห่งประเทศไทย

30 October 2025

🎯 บทนำ: จากกล้องวงจรปิดสู่ระบบเฝ้าระวังอัจฉริยะ

ในยุคที่เทคโนโลยีความปลอดภัยก้าวหน้าอย่างรวดเร็ว กล้องวงจรปิด (CCTV) ไม่ได้เป็นเพียง “เครื่องบันทึกภาพ” อีกต่อไป แต่กำลังกลายเป็น “ระบบรู้จำ” ที่สามารถระบุตัวบุคคลได้ในทันทีผ่านการใช้ปัญญาประดิษฐ์ (AI) และฐานข้อมูล “รายชื่อเฝ้าระวัง” หรือ Watch List

คำถามสำคัญสำหรับผู้บริหารอาคารและผู้จัดการอสังหาริมทรัพย์คือ —

คำตอบคือ — โดยหลักแล้ว “ทำไม่ได้” หากไม่มีเหตุผลทางกฎหมายที่ชัดเจนหรือความยินยอมจากเจ้าของข้อมูล

การใช้ระบบ Watch List ที่ระบุตัวบุคคลได้ถือเป็นการประมวลผล “ข้อมูลชีวภาพ” ซึ่งเป็นข้อมูลอ่อนไหวตามกฎหมาย PDPA จึงจะทำได้เฉพาะในกรณีจำเป็นจริง ๆ เท่านั้น และต้องดำเนินการภายใต้ข้อกำหนดที่เข้มงวด ทั้งด้านกฎหมาย ความชอบธรรม และความโปร่งใส

โดยเฉพาะเมื่อเทียบกับยุโรปภายใต้กฎหมาย GDPR — การใช้เทคโนโลยีในลักษณะนี้ถูกจำกัดอย่างเข้มมาก และในหลายประเทศ “ห้ามใช้ในพื้นที่เอกชนโดยเด็ดขาด”

🇹🇭 มุมมองตามกฎหมายไทย (PDPA)

1️⃣ ฐานกฎหมายที่เกี่ยวข้อง

ตาม พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562มาตรา 26 ระบุว่า ห้ามมิให้เก็บรวบรวมข้อมูลส่วนบุคคลที่มีความอ่อนไหว เช่น

ข้อมูลที่เกิดจากการ “จดจำใบหน้า” หรือ “จำลักษณะทางกายภาพของบุคคล” เช่น รูปหน้า ลายนิ้วมือ หรือม่านตาถือเป็น ข้อมูลชีวภาพ (Biometric Data) ซึ่งเป็นข้อมูลอ่อนไหวตามกฎหมาย

ดังนั้น การใช้เทคโนโลยี “Watch List” ที่ระบุตัวบุคคลได้ ถือเป็นการประมวลผลข้อมูลชีวภาพโดยตรง

2️⃣ การใช้ Watch List ต้องมีฐานทางกฎหมายที่ชัดเจน

PDPA กำหนดว่า ข้อมูลอ่อนไหวจะประมวลผลได้ ก็ต่อเมื่อ

• ได้รับ ความยินยอมโดยชัดแจ้ง (Explicit Consent) จากเจ้าของข้อมูล, หรือ

• อยู่ในกรณี มีความจำเป็นเพื่อป้องกันอันตรายต่อชีวิต ร่างกาย หรือสุขภาพ,

• หรือมีกฎหมายเฉพาะให้อำนาจ (เช่น สนามบิน หน่วยงานความมั่นคง).

ในบริบทของอาคารสำนักงานหรือคอนโดทั่วไป การอ้างเหตุ “เพื่อความปลอดภัยทั่วไป” มักไม่เพียงพอที่จะละเว้นการขอความยินยอมได้

3️⃣ ขั้นตอนก่อนนำระบบ Watch List มาใช้

หากจำเป็นต้องใช้จริง ต้องดำเนินการอย่างเคร่งครัด ได้แก่

1. ทำ DPIA (Data Protection Impact Assessment) — ประเมินผลกระทบต่อสิทธิส่วนบุคคล

2. ขอความยินยอมโดยชัดแจ้ง จากบุคคลที่ข้อมูลอาจถูกบันทึก

3. แจ้งวัตถุประสงค์และการใช้ข้อมูล ผ่านป้ายประกาศและนโยบายความเป็นส่วนตัว

4. กำหนดระยะเวลาการเก็บรักษา และการลบข้อมูลอย่างเป็นระบบ

5. ให้มนุษย์เป็นผู้พิจารณาสุดท้าย (Human Review) ก่อนดำเนินการใด ๆ จากระบบแจ้งเตือน

🇪🇺 มุมมองตามกฎหมายยุโรป (GDPR)

ยุโรปให้การคุ้มครองข้อมูลส่วนบุคคลในระดับสูงสุดภายใต้ General Data Protection Regulation (GDPR) ซึ่งจัดให้ “ข้อมูลชีวภาพ” (Biometric Data) เป็นข้อมูลอ่อนไหวตาม Article 9

1️⃣ เงื่อนไขของ GDPR

• ห้ามประมวลผลข้อมูลชีวภาพ เว้นแต่จะได้รับ ความยินยอมโดยชัดแจ้ง

• อนุญาตเฉพาะกรณีที่มีกฎหมายเฉพาะรองรับ เช่น หน่วยงานรัฐด้านความมั่นคง

• ต้องทำ Data Protection Impact Assessment (DPIA) ก่อนเริ่มใช้งานระบบทุกครั้ง

2️⃣ แนวทางปฏิบัติในยุโรป

• 🇫🇷 ฝรั่งเศส: ห้ามใช้ระบบจดจำใบหน้าในโรงเรียนและสถานที่สาธารณะ

• 🇩🇪 เยอรมนี: อนุญาตเฉพาะตำรวจในกรณีอาชญากรรมร้ายแรงและต้องมีคำสั่งศาล

• 🇳🇱 เนเธอร์แลนด์: การใช้ Watch List ในธุรกิจเอกชนถือว่าผิดกฎหมาย

⚖️ เทียบเคียง PDPA vs GDPR

💡 แนวทางปฏิบัติที่แนะนำสำหรับเจ้าของอาคาร

1. ใช้ระบบตรวจจับพฤติกรรมแทนการจำใบหน้า เช่น การตรวจจับการลอบเข้าออกหรือการเคลื่อนไหวผิดปกติ

2. ขอความยินยอมอย่างโปร่งใส จากบุคลากรหรือผู้เช่าที่เกี่ยวข้อง

3. จำกัดการเก็บข้อมูลให้น้อยที่สุด (Data Minimization)

4. จัดทำป้ายประกาศ Privacy Notice บริเวณทางเข้าออกอาคาร

5. ควบคุมสิทธิ์การเข้าถึงข้อมูล (Access Control) อย่างเข้มงวด

6. ลบข้อมูลอัตโนมัติภายในเวลาที่กำหนด และไม่ใช้ซ้ำในวัตถุประสงค์อื่น

🧭 บทสรุป: เทคโนโลยีที่ดี ต้องอยู่บนพื้นฐานของความไว้วางใจ

การใช้ Watch List ในระบบ CCTV เป็นเทคโนโลยีที่ทรงพลังสำหรับความปลอดภัย แต่ก็ต้องอยู่ภายใต้กรอบของ “สิทธิส่วนบุคคล” ตามกฎหมายอย่างเคร่งครัด

📎 อ้างอิงทางกฎหมาย:

• พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (ราชกิจจานุเบกษา เล่ม 136 ตอน 69 ก)

• General Data Protection Regulation (EU) 2016/679, Articles 9 & 35

• European Data Protection Board (EDPB) Guidelines on Facial Recognition (2023)