- เมื่อบริการออนไลน์ต่าง ๆ บังคับใช้ การยืนยันอายุ (age gate) ผู้ใช้จึงถูกบีบให้ต้องเลือกท่ามกลางความเสี่ยงจากการเปิดเผยข้อมูลส่วนบุคคล
- EFF คัดค้านมาตรการบังคับตามกฎหมาย เหล่านี้ และเสนอแนวทางรับมือเชิงปฏิบัติเพื่อคุ้มครองสิทธิของผู้ใช้ให้ได้มากที่สุด แม้ในระบบที่เริ่มบังคับใช้แล้ว
- บทความนี้เน้นย้ำ หลักการส่งข้อมูลให้น้อยที่สุด และเปรียบเทียบ ความเสี่ยงและข้อจำกัด ของแต่ละวิธี เช่น การจดจำใบหน้า การอัปโหลดบัตรประจำตัว และการยืนยันด้วยบัตรเครดิต
- มีการวิเคราะห์อย่างละเอียดถึง นโยบายการประเมินอายุ การยืนยันโดยบุคคลที่สาม และการเก็บรักษาข้อมูล ของแพลตฟอร์มหลักอย่าง Meta, Google และ TikTok
- เนื่องจากไม่มีวิธีใดที่รับประกันการคุ้มครองความเป็นส่วนตัวได้อย่างสมบูรณ์ ผู้ใช้จึงจำเป็นต้องให้ข้อมูลให้น้อยที่สุดและตรวจสอบขั้นตอนการลบข้อมูลเสมอ
ความเป็นจริงและความเสี่ยงของระบบยืนยันอายุ
- EFF ระบุชัดว่า การบังคับใช้ age gate และการยืนยันอายุ เป็นการละเมิดเสรีภาพในการแสดงออกและความเป็นส่วนตัว
- ขณะนี้มีกฎหมายลักษณะนี้บังคับใช้แล้วในหลายรัฐและหลายประเทศ และผู้ใช้กำลังถูกขอให้ยืนยันอายุทั่วทั้งเว็บ
- ระหว่างกระบวนการยืนยัน มีกรณี ข้อมูลอ่อนไหวรั่วไหล เกิดขึ้นหลายครั้ง
- ผู้ใช้ต้องตัดสินใจด้วยตนเองว่าจะใช้บริการต่อหรือไม่ และจะ ลดการเปิดเผยข้อมูลส่วนบุคคล ได้อย่างไร
- EFF เสนอ เช็กลิสต์คำถาม สำหรับแต่ละวิธียืนยัน เช่น ประเภทข้อมูล ใครเข้าถึงได้ ระยะเวลาจัดเก็บ มีการตรวจสอบหรือไม่ และขอบเขตการเปิดเผย
- มีการแนะนำ หลักการส่งข้อมูลให้น้อยที่สุด โดยเน้นว่าควรให้ข้อมูลเท่าที่จำเป็นเท่านั้น
- การประเมินอายุด้วยการจดจำใบหน้าอาจมี ความแม่นยำต่ำ กับผู้ใช้บางกลุ่ม เช่น คนผิวสี คนข้ามเพศ และคนพิการ
- วิธี digital ID ใช้ได้กับบางแพลตฟอร์มเท่านั้น และยังมี ความเสี่ยงต่อการเปิดเผยข้อมูล
วิธีการยืนยันอายุของแต่ละแพลตฟอร์มหลัก
Meta (Facebook, Instagram, WhatsApp, Messenger, Threads)
- Meta ใช้ การประเมินอายุของผู้ใช้ จากโพสต์ ข้อความ และข้อมูลอื่น ๆ
- หากประเมินไม่ได้หรือเห็นว่าอายุน้อยเกินไป ก็จะขอให้ยืนยันอายุ
- เมื่อใช้ การยืนยันด้วยการจดจำใบหน้า รูปภาพจะถูก ส่งไปยังเซิร์ฟเวอร์ของ Yoti เพื่อประมวลผล
- Yoti ระบุว่าลบทันที แต่ยังมี ตัวติดตาม ที่อาจทำให้เกิดความเสี่ยงในการเปิดเผยต่อบุคคลที่สาม
- ต้องระวังว่าข้อมูลตำแหน่งอาจรั่วไหลได้จากสิ่งที่ปรากฏอยู่ในฉากหลังของภาพ
- หาก อัปโหลดบัตรประจำตัว ทั้ง Meta และ Yoti ให้คำมั่นว่าจะเก็บข้อมูลไว้ชั่วคราวก่อนลบ
- Meta เก็บไว้ 30 วัน ส่วน Yoti ระบุว่าลบทันที
- บัตรประจำตัวมี ข้อมูลอ่อนไหว เช่น ชื่อจริงและที่อยู่ จึงมีความเสี่ยงอยู่มาก
Google (Gmail, YouTube)
- Google ใช้ การประเมินอายุ จากช่วงเวลาที่สร้างบัญชี ประวัติการรับชม และข้อมูลอื่น ๆ
- หากประเมินไม่สำเร็จ สามารถเลือกยืนยันด้วยบัตรประจำตัว การจดจำใบหน้า อีเมล บัตรเครดิต หรือ digital ID ได้
- การจดจำใบหน้าผ่าน Private ID ค่อนข้างปลอดภัยกว่า เพราะ ประมวลผลภายในอุปกรณ์
- อย่างไรก็ตาม หากเป็นการโจมตีแบบเจาะจงเป้าหมาย ก็ยังมีความเป็นไปได้ที่ภาพจะถูกส่งออกไป
- การยืนยันด้วยอีเมล ดำเนินการโดย VerifyMy ซึ่งจะนำอีเมลไปเทียบกับฐานข้อมูลของบุคคลที่สาม
- ยังไม่มีการเปิดเผยรายชื่อบุคคลที่สามเหล่านั้น
- การยืนยันด้วยบัตรเครดิต ดำเนินการผ่าน Google Payments จึงถือว่า ปลอดภัยกว่าในเชิงเปรียบเทียบ
- มีการตัดยอดเล็กน้อยแล้วคืนเงิน และสามารถเปลี่ยนบัตรได้
- digital ID ใช้ได้เฉพาะบางภูมิภาค และอาจมีการสื่อสารกับระบบของภาครัฐ
- หาก อัปโหลดบัตรประจำตัว Google ระบุว่าจะลบหลังยืนยันเสร็จ แต่ ยังไม่ชัดเจนว่ามีการตรวจสอบจากภายนอกหรือไม่
TikTok
- TikTok ใช้ การประเมินอายุอัตโนมัติ จากวิดีโอและเสียงที่อัปโหลด
- หากถูกประเมินว่าอายุน้อยเกินไป อาจถูก จำกัดบัญชีหรือถูกลบ และต้องยื่นอุทธรณ์ภายในเวลาที่กำหนด
- การจดจำใบหน้าผ่าน Yoti มีโครงสร้างความเสี่ยงแบบเดียวกับของ Meta
- การยืนยันด้วยบัตรเครดิต ใช้วิธีตัดยอดเล็กน้อยแล้วคืนเงิน แต่ ยังไม่ชัดเจนว่ามีกระบวนการรักษาความปลอดภัยอย่างไร
- ยังมีวิธี ยืนยันด้วยบัตรของพ่อแม่หรือผู้ปกครอง หรือ ถ่ายภาพร่วมกับผู้ใหญ่ ด้วย แต่
- แทบไม่มีตัวอย่างการใช้งานจริง และ ขั้นตอนการตรวจสอบไม่โปร่งใส
- วิธี เปรียบเทียบบัตรประจำตัวกับใบหน้าผ่าน Incode ไม่รองรับการลบข้อมูลอัตโนมัติ
- TikTok ระบุว่าจะเริ่มคำขอลบให้ แต่ ผู้ใช้ยังต้องขอลบกับ Incode โดยตรง
- ในบัตรประจำตัวมี ข้อมูลอ่อนไหว เช่น ชื่อจริงและที่อยู่
บริการอื่น ๆ และหลักการร่วมกัน
- Spotify และ OnlyFans ใช้ Yoti ส่วน Quora และ Discord ใช้ k-ID
- ทุกวิธี ไม่สามารถรับประกันการคุ้มครองความเป็นส่วนตัวได้อย่างสมบูรณ์
- การให้ข้อมูลเท่าที่จำเป็น จำกัดผู้เข้าถึง และลบข้อมูลให้เร็ว คือหลักการสำคัญ
- EFF ชี้ว่ามาตรการเหล่านี้ ละเมิดความเป็นส่วนตัวและเสรีภาพในการแสดงออกของผู้ใช้ และกำลังเดินหน้ารณรงค์ ให้ยกเลิกการบังคับยืนยันอายุทั่วโลก อย่างต่อเนื่อง
2 ความคิดเห็น
Roblox นี่เหมือนล้อเล่นจริง ๆ เลยนะ
ความเห็นจาก Hacker News
เหตุผลที่ลูกของฉันเลิกเล่น Roblox เมื่อไม่นานมานี้คือขั้นตอนยืนยันอายุด้วยการสแกนใบหน้าดูน่าสงสัยเกินไป
ลูกกับเพื่อน ๆ รู้ดีว่าไม่ควรอัปโหลดรูปตัวเองขึ้นอินเทอร์เน็ตเด็ดขาด เลยย้ายไปเล่นเกมอื่น หรือไม่ก็ดาวน์โหลด ภาพสต็อก จากอินเทอร์เน็ตมาอัปโหลดแทน (ซึ่งว่ากันว่าใช้ได้จริง)
วิธีแบบนี้คือ ความปลอดภัยระดับตลกสิ้นดี และการที่บริษัทต่าง ๆ ทำให้การอัปโหลดรูปส่วนตัวกลายเป็นเรื่อง ‘ปกติ’ สำหรับเด็ก ๆ เป็นทิศทางที่ผิดอย่างมาก
กลัวว่าจะมีความเสียหายเกิดขึ้นก่อนที่ฝ่ายนิติบัญญัติจะตระหนักถึงปัญหา
ฉันคิดว่า การไม่เปิดเผยตัวตน และ การเข้าถึงแบบใช้นามแฝง คือทางออกที่ดีที่สุด
พอเห็น EU ผลักดันการยืนยันอายุไปพร้อมกับความพยายามแชร์ข้อมูลกับสหรัฐฯ และตำรวจ ก็ยิ่งกังวลว่าข้อมูลแบบนี้จะถูกทำให้ ‘ปกติ’ ด้วยกฎหมาย
การที่รัฐบาลบังคับให้บริษัทขอบัตรประชาชน รูปหน้า และวิดีโอเป็นเรื่องอันตราย และสุดท้ายจะนำไปสู่ การฉ้อโกงและข้อมูลส่วนบุคคลรั่วไหล ที่มากขึ้น พร้อมกับเสรีภาพที่น้อยลง
บัญชี Google ของฉันก็เก่าพออยู่แล้ว แต่ YouTube ยังเด้งป๊อปอัปยืนยันอายุขึ้นมาตลอด
สุดท้ายฉันคิดว่านี่ไม่ใช่แค่การตรวจสอบอายุ แต่เป็นความพยายามจะ เก็บข้อมูลใบหน้า
ข้อมูลแบบนี้มีโอกาสสูงที่จะถูกขายให้บุคคลที่สาม
เพราะการใช้การจดจำใบหน้าเป็นวิธีที่ง่ายที่สุดในการทำตามกฎหมาย เลยทำแบบนั้นไป
หลายคนมีแนวโน้มว่าแม้บริการบางอย่างจะหมดสภาพไปแล้วก็ยัง ปล่อยวางไม่ได้
ถ้า HN บังคับให้ยืนยันด้วยบัตรประชาชน ฉันก็คงเลิกใช้ไปเลย โลกมันก็เป็นแบบนี้แหละ
ตัวอย่างเช่น ถ้าโบสถ์หรือโรงเรียนอนุบาลประกาศข่าวผ่าน WhatsApp หรือ Facebook เท่านั้น คนที่ไม่ใช้ก็จะ เข้าถึงข้อมูลไม่ได้เลย
สมัยก่อนยังพอพึ่งพาตัวเองได้ด้วยเครื่องมืออย่าง HyperCard หรือ FileMaker แต่ตอนนี้เหลือแค่ทุนนิยมสอดส่อง
พอเข้าสู่ยุค AI ที่ การคัดลอกเว็บไซต์และทำงานอัตโนมัติ เป็นไปได้ บริษัทผูกขาดก็คงใช้กลยุทธ์ ‘ทำให้เสื่อมคุณภาพ (en-shittification)’ แบบเดิมต่อไปไม่ได้
ความกังวลที่ใหญ่ที่สุดของฉันคือเรา ไม่มีทางรู้ได้เลยว่าข้อมูลของเราถูกเก็บอย่างปลอดภัยหรือไม่
ก่อนหน้านี้ฉันเคยได้รับหนังสือแจ้งข้อมูลรั่วไหลที่ออกในชื่อลูกทารกของฉัน ผู้รับเหมาช่วงของโรงพยาบาลทำข้อมูลหาย
เท่ากับว่า ข้อมูลส่วนตัวรั่วไหล ตั้งแต่ลูกยังพูดไม่ได้เลย
ถ้าบริษัทที่ฉันไม่เคยติดต่อโดยตรงยังทำข้อมูลของฉันหายได้ การยืนยันตัวตนออนไลน์ก็อันตรายในระดับโครงสร้างอยู่แล้ว
บทความที่เกี่ยวข้อง: Your ID online and offline
คำพูดว่า “เก็บชั่วคราวแล้วลบ” เชื่อถือไม่ได้
ต่อให้เป็นปี 2026 เราก็ยังไม่แน่ใจด้วยซ้ำว่าเก็บรหัสผ่านกันอย่างไร เรื่องการจัดการรูปภาพยิ่งไม่โปร่งใสกว่าเดิม
ฉันคิดว่าการยืนยันอายุคือ แนวโน้มที่หลีกเลี่ยงไม่ได้
เหมือนเวลาจะเข้าบาร์หรือคลับแล้วต้องแสดงบัตรประชาชน บนออนไลน์ก็คงถูกยอมรับอย่างเป็นธรรมชาติ
เพราะฉะนั้นสิ่งสำคัญคือ จะออกแบบอย่างไร
เช่น ใช้วิธีตรวจบัตรที่ร้านแล้วออก โทเค็นในรูปแบบบัตรของขวัญ ให้ หรือใช้ โทเค็นนิรนาม ที่รัฐออกให้เพื่อยืนยันเฉพาะอายุก็ได้
EFF บอกว่าผู้ใช้บางส่วนอาจใช้เทคโนโลยีแบบนี้ได้ยาก แต่ฉันก็สงสัยว่าสัดส่วนจริง ๆ มันมากแค่ไหน
แปลกใจที่ EFF ไม่พูดถึงการหลบเลี่ยงด้วย VPN เลย
โดยหลักการแล้วฉัน ไม่กดยอมรับแบนเนอร์คุกกี้เด็ดขาด
ฉันใช้ uBlock Origin บล็อกทั้งหมด และถ้ามีการยืนยันอายุเข้ามา ฉันก็ตั้งใจจะรับมือแบบเดียวกัน
ฉันคิดว่า บริการยืนยันตัวตนที่เป็นมิตรต่อความเป็นส่วนตัว อาจเป็นโอกาสทางธุรกิจได้
คือโครงสร้างที่เว็บไซต์บุคคลที่สามตรวจได้แค่อายุ แต่ไม่รู้ตัวตนจริง
เช่น แยก IPv6 segment ตามข้อจำกัดด้านอายุ แล้วให้การยืนยันเกิดขึ้นที่ระดับเครือข่าย
ฉันคิดว่าเทคโนโลยีประเมินอายุจากใบหน้า ต่อให้พัฒนาไปแค่ไหนก็ยังเป็น เทคโนโลยีลวงโลก (snake oil) อยู่ดี
ความพยายามจะจับคู่ชื่อกับใบหน้าเองก็ดูน่าสงสัยแล้ว
ตอนแรกฉันกดเข้ามาเพราะคิดว่าบทความนี้เกี่ยวกับ ปัญหาหางานของคนอายุมาก