วิธีเบลอใบหน้าในวิดีโอ CCTV กล้องวงจรปิด ให้เป็นไปตาม PDPA
Suthida Tanapong — บล็อกเกอร์ AI และตัดต่อวิดีโอ
วิธีเบลอใบหน้าในวิดีโอ CCTV กล้องวงจรปิด ให้เป็นไปตาม PDPA
องค์กรไทยกว่า 65% ที่ติดตั้งกล้องวงจรปิดยังไม่ปฏิบัติตาม PDPA CCTV กล้องวงจรปิด อย่างถูกต้อง ทำให้เสี่ยงค่าปรับสูงสุด 5 ล้านบาทต่อการละเมิด พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) กำหนดชัดเจนว่าการเก็บภาพจากกล้องวงจรปิดถือเป็นการประมวลผลข้อมูลส่วนบุคคล ต้องมีวัตถุประสงค์การติดตั้งกล้องที่ชัดเจน ป้ายแจ้งเตือนกล้องวงจรปิดที่มองเห็นได้ง่าย และระยะเวลาเก็บรักษาข้อมูลที่เหมาะสม แต่ธุรกิจส่วนใหญ่ยังไม่รู้ว่าต้องทำอย่างไร ติดป้ายแบบไหน เก็บภาพไว้นานเท่าไร และจัดการสิทธิของเจ้าของข้อมูลอย่างไร คู่มือฉบับนี้รวบรวมทุกหลักเกณฑ์ที่องค์กรต้องรู้ พร้อมเทมเพลตป้ายเตือน มาตรการรักษาความปลอดภัย และแนวทางปฏิบัติที่ทำให้ระบบ CCTV ของคุณปลอดภัยจากบทลงโทษการฝ่าฝืน PDPA
วิธีการปฏิบัติตามกฎหมาย PDPA สำหรับกล้อง CCTV
องค์กรไทยส่วนใหญ่ติดกล้องวงจรปิดไว้แล้ว แต่หลังจาก พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล บังคับใช้เต็มรูปแบบตั้งแต่ 1 มิถุนายน 2565 การใช้กล้อง CCTV ต้องปฏิบัติตามหลักเกณฑ์เฉพาะ ไม่ใช่แค่ติดตั้งแล้วเสร็จ ส่วนนี้จะอธิบาย 4 วิธีการหลักที่ธุรกิจและหน่วยงานใช้เพื่อให้สอดคล้องกับ PDPA โดยไม่ต้องถอดกล้องออก
1. ติดป้ายแจ้งเตือนการติดตั้งกล้องที่ชัดเจน
ป้ายแจ้งเตือนกล้องวงจรปิด คือมาตรการแรกและสำคัญที่สุดตาม PDPA บุคคลที่เข้ามาในพื้นที่ต้องรู้ว่ามีกล้องบันทึกภาพ รู้ว่าข้อมูลเก็บไว้ทำไม เก็บนานแค่ไหน และติดต่อใครได้ถ้าต้องการใช้สิทธิ สำนักงาน กคช. (สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล) แนะนำให้ติดป้ายขนาดอ่านง่ายที่ทางเข้าทุกจุด
ป้ายที่ถูกต้องต้องมีข้อความครบ 5 ข้อ: (1) แจ้งว่ามีการติดตั้งกล้อง (2) วัตถุประสงค์การติดตั้งกล้อง เช่น "เพื่อความปลอดภัยของทรัพย์สินและบุคคล" (3) ระยะเวลาเก็บรักษาข้อมูล เช่น "เก็บภาพไว้ 30 วัน" (4) ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) พร้อมช่องทางติดต่อ (5) สิทธิของเจ้าของข้อมูลตาม PDPA เช่น สิทธิขอเข้าถึงหรือลบข้อมูล
วิธีทำ: ใช้ Canva (ฟรี) เพื่อออกแบบป้าย เลือกเทมเพลต "Poster" ขนาด A4 หรือ A3 ตั้งฟอนต์ Sarabun หรือ Prompt (ฟอนต์ไทยอ่านง่าย) ขนาด 72pt ขึ้นไป เพื่อให้อ่านได้จากระยะ 3 เมตร — คนเดินผ่านต้องเห็นชัดก่อนเข้าพื้นที่ ใส่ไอคอนกล้อง CCTV ที่ชัดเจน พิมพ์บนกระดาษกันน้ำหรือพลาสติกใส แล้วติดที่ประตูทางเข้า ลิฟต์ และจุดที่มีคนสัญจรบ่อย
ข้อจำกัด: ป้ายเพียงอย่างเดียวไม่เพียงพอถ้าองค์กรเก็บภาพนานเกิน 30 วัน หรือใช้ระบบ AI Recognition (เช่น จดจำใบหน้า) — กรณีนี้ต้องขอความยินยอมในการเก็บข้อมูลแบบชัดแจ้งจากบุคคลก่อน เพราะ Biometric Data (ข้อมูลชีวภาพ) เป็น Personal Data ประเภทอ่อนไหวตาม PDPA มาตรา 26 ที่ต้องการความยินยอมเป็นลายลักษณ์อักษร
2. จำกัดพื้นที่และมุมกล้องให้เก็บเฉพาะที่จำเป็น
หลัก Data Minimization ของ PDPA (มาตรา 21) กำหนดว่า การเก็บภาพจากกล้องวงจรปิดต้องเก็บเท่าที่จำเป็นต่อวัตถุประสงค์เท่านั้น ถ้าติดกล้องเพื่อดูประตูทางเข้า ห้ามหันกล้องไปถ่ายโต๊ะทำงานพนักงานหรือห้องน้ำ ถ้าติดกล้องในโรงงานเพื่อความปลอดภัย ห้ามหันกล้องไปถ่ายบ้านเพื่อนบ้านข้างโรงงาน
การตรวจสอบย้อนหลังพบว่าหลายองค์กรติดกล้องครอบคลุมเกินความจำเป็น เช่น ร้านค้าติดกล้องถ่ายทางเท้าหน้าร้านกว้าง 10 เมตร แต่จริง ๆ ต้องการดูแค่หน้าประตู 2 เมตร กรณีนี้ต้องปรับมุมกล้องหรือตั้งค่า Privacy Mask (บังพื้นที่ที่ไม่ต้องการบันทึก) ในระบบ DVR/NVR
วิธีทำ: เข้าเว็บอินเตอร์เฟซของเครื่องบันทึกภาพ (DVR/NVR) — ปกติพิมพ์ IP address ของเครื่องในเบราว์เซอร์ เช่น http://192.168.1.64 ล็อกอินด้วย username/password ที่ช่างติดตั้งให้ ไปที่เมนู Privacy Zone หรือ Privacy Mask (แต่ละยี่ห้อเรียกต่างกัน — Hikvision ใช้ "Privacy Mask", Dahua ใช้ "Privacy Masking") วาดกรอบสี่เหลี่ยมคลุมพื้นที่ที่ไม่ต้องการบันทึก เช่น หน้าต่างบ้านเพื่อนบ้าน โต๊ะทำงานส่วนตัว หรือทางเท้าสาธารณะ บันทึกการตั้งค่า — ตอนนี้พื้นที่นั้นจะปรากฏเป็นกรอบดำหรือเบลอในภาพที่บันทึก
ข้อจำกัด: Privacy Mask เป็นกรอบคงที่ ถ้าคนเดินผ่านพื้นที่ที่ไม่ได้บัง ใบหน้าก็ยังบันทึกชัดเจน วิธีนี้ใช้ได้กับพื้นที่คงที่ (เช่น หน้าต่างบ้านเพื่อนบ้าน) แต่ไม่ได้ปกป้องข้อมูลส่วนบุคคลของคนที่เดินผ่านในพื้นที่ที่กล้องถ่ายได้ กรณีนี้ต้องใช้วิธีที่ 3 หรือ 4 ด้านล่าง
3. ตั้งระยะเวลาลบข้อมูลอัตโนมัติ
ระยะเวลาเก็บรักษาข้อมูลตาม PDPA ต้องเป็นไปตามความจำเป็น — เก็บนานเท่าที่จำเป็นต่อวัตถุประสงค์ แล้วลบทิ้ง ธุรกิจทั่วไปที่ติดกล้องเพื่อความปลอดภัย แนะนำเก็บ 30 วัน (1 เดือน) เพราะถ้ามีเหตุการณ์ เจ้าของกิจการมักรู้ภายใน 1-2 สัปดาห์ และสามารถตรวจสอบย้อนหลังได้ทัน หน่วยงานราชการบางแห่งเก็บ 90 วัน แต่ต้องระบุเหตุผลชัดเจนในนโยบายความเป็นส่วนตัว
ระบบ CCTV ส่วนใหญ่มีฟังก์ชัน Overwrite (เขียนทับ) — เมื่อฮาร์ดดิสก์เต็ม ระบบจะลบไฟล์เก่าสุดอัตโนมัติแล้วบันทึกไฟล์ใหม่ทับ แต่หลายองค์กรตั้งค่าเก็บไฟล์ไว้ 180 วันหรือ 1 ปี เพราะซื้อฮาร์ดดิสก์ขนาดใหญ่ — นี่คือการละเมิด PDPA ถ้าไม่มีเหตุผลจำเป็น
วิธีทำ: เข้าระบบ DVR/NVR เหมือนวิธีที่ 2 ไปที่เมนู Storage หรือ HDD Management ดูว่าฮาร์ดดิสก์มีพื้นที่เท่าไร (เช่น 2TB) และความละเอียดของภาพ CCTV ที่บันทึก (เช่น 1080p, 4MP) คำนวณว่า 2TB เก็บภาพจาก 4 กล้อง 1080p ได้กี่วัน — ปกติประมาณ 30-45 วัน ตั้งค่า Overwrite เป็น Enable และตั้ง Recording Schedule ให้บันทึกเฉพาะเวลาทำการ (เช่น 08:00-18:00 วันจันทร์-ศุกร์) ถ้าไม่จำเป็นต้องบันทึก 24 ชั่วโมง — วิธีนี้ลดปริมาณข้อมูลลง 60-70% และทำให้ การลบข้อมูลภาพเกิดขึ้นเร็วขึ้น
ข้อจำกัด: การลบอัตโนมัติไม่ได้ช่วยเรื่องการเข้าถึงข้อมูล CCTV โดยบุคคลภายนอก ถ้าแฮกเกอร์เข้าถึงระบบ DVR (เพราะใช้รหัสผ่านเริ่มต้น admin/admin) ข้อมูล 30 วันที่เก็บอยู่ก็ถูกขโมยได้ทั้งหมด กรณีนี้ต้องใช้ มาตรการรักษาความปลอดภัยเพิ่มเติม (วิธีที่ 4)
4. เข้ารหัสข้อมูลและจำกัดสิทธิ์การเข้าถึง
PDPA มาตรา 37 กำหนดให้ ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ต้องมี มาตรการรักษาความปลอดภัยที่เหมาะสม ข้อมูล CCTV ถือเป็น Personal Data ประเภทอ่อนไหวถ้าบันทึกใบหน้าชัดเจน — ต้องเข้ารหัสทั้งตอนเก็บ (encryption at rest) และตอนส่งข้อมูล (encryption in transit) และจำกัดสิทธิ์ว่าใครเข้าถึงได้บ้าง
องค์กรที่ใช้ Cloud Storage CCTV เช่น AWS S3, Google Cloud Storage, หรือบริการไทยอย่าง AIS Cloud ต้องตั้งค่า การเข้ารหัสข้อมูลเป็น AES-256 และ
เบลอ CCTV กล้องวงจรปิดด้วย AI (Blur.me)
คุณมีคลิป CCTV 30 นาทีที่ต้องส่งให้หน่วยงานราชการ แต่ต้องเบลอใบหน้าพนักงานและลูกค้าทุกคนก่อน — ตาม PDPA กำหนดไว้
อัปโหลดไฟล์ MP4 ของคุณ — Blur.me วิเคราะห์ทุกเฟรมและแสดงกรอบสีฟ้ารอบใบหน้าที่ตรวจพบภายใน 3 วินาที ไม่ต้องคลิกทีละหน้า
ปรับการเบลอแบบเรียลไทม์ — กดเล่นคลิปพร้อมดูตัวอย่างการเบลอทันที คลิกที่ใบหน้าใดก็ได้เพื่อปิด/เปิดการเบลอ (เช่น เบลอลูกค้าทุกคน ปล่อยพนักงานไว้ชัดเจน)
ส่งออกคลิปต้นฉบับ — วิดีโอ 30 นาทีประมวลผลเสร็จภายใน 2 นาที ความละเอียดเท่าเดิม ไม่มีการสูญเสียคุณภาพ ข้อมูลพิกเซลถูกทำลายอย่างถาวร (irreversible) ตามมาตรฐาน PDPA
คุณมีคลิป CCTV 30 นาทีที่ต้องเบลอใบหน้าพนักงานและลูกค้าทุกคนก่อนส่งให้หน่วยงานราชการ — การคลิกทีละหน้าทีละเฟรมใช้เวลาหลายชั่วโมง Blur.me วิเคราะห์ทุกเฟรมและติดตามใบหน้าที่เคลื่อนไหวโดยอัตโนมัติ ประมวลผลคลิป 30 นาทีเสร็จภายใน 2 นาที
เมื่อคลิป CCTV 30 นาทีต้องเบลอใบหน้าทุกคนก่อนส่งหน่วยงานราชการ Blur.me ประมวลผลเสร็จภายใน 2
นาทีโดยไม่ต้องคลิกทีละเฟรม
เปรียบเทียบเครื่องมือ: จัดการข้อมูล CCTV ตาม PDPA
| ฟีเจอร์ | Blur.me | Synology Surveillance Station | Hikvision iVMS-5200 | Dahua Smart PSS | VEED.io |
|---|---|---|---|---|---|
| ราคา | ฟรี-Premium | ฟรี (ต้องซื้อ NAS) | ฟรี (ต้องซื้อกล้อง Hikvision) | ฟรี (ต้องซื้อกล้อง Dahua) | $18/เดือน |
| การตรวจจับใบหน้า | AI ตรวจจับอัตโนมัติ | ใช้ AI กล้องตัวเอง | Smart Event (AI) | Face Detection | ไม่มี (เบลอแบบ manual) |
| ระดับอัตโนมัติ | อัตโนมัติเต็มรูปแบบ (AI) | กึ่งอัตโนมัติ (ต้องตั้งค่า Privacy Mask) | กึ่งอัตโนมัติ (ต้องวาด Privacy Zone) | กึ่งอัตโนมัติ (ต้องตั้งค่า Region) | Manual (keyframe ทุกเฟรม) |
| เวลาต่อคลิป 5 นาที | ~30 วินาที | Real-time (บันทึกพร้อมเบลอ) | Real-time (บันทึกพร้อมเบลอ) | Real-time (บันทึกพร้อมเบลอ) | ~15-20 นาที |
| การจัดเก็บข้อมูล | Cloud (ลบได้ทันที) | NAS ภายในองค์กร | NVR/Server ภายในองค์กร | NVR/Server ภายในองค์กร | Cloud (90 วัน) |
| แพลตฟอร์ม | เว็บบราวเซอร์ (ทุกอุปกรณ์) | Windows/macOS/Mobile | Windows | Windows/macOS | เว็บบราวเซอร์ |
| การจัดการสิทธิ์เข้าถึง | User-based (แชร์ลิงก์ได้) | Role-based Access Control | Multi-level User Management | User Permissions | Project-based |
| Audit Log | มี (ดูประวัติการเข้าถึง) | มี (รายงานสมบูรณ์) | มี (Event Log) | มี (Operation Log) | ไม่มี |
| ระยะเวลาเก็บข้อมูลอัตโนมัติ | ไม่จำกัด (ผู้ใช้ลบเอง) | ตั้งค่าได้ (7-90 วัน) | ตั้งค่าได้ (1-365 วัน) | ตั้งค่าได้ (1-180 วัน) | 90 วัน |
| Best For | เบลอหน้าย้อนหลังก่อนส่งต่อบุคคลภายนอก | SME ที่ต้องการระบบจัดเก็บภายใน | องค์กรใหญ่ที่ใช้กล้อง Hikvision | องค์กรที่ใช้กล้อง Dahua | Content Creator ที่ต้องการเบลอ manual |
Verdict: สำหรับองค์กรที่มีระบบ CCTV อยู่แล้ว Synology Surveillance Station คือตัวเลือกฟรีที่ดีที่สุด (ถ้ามี NAS) แต่ต้องตั้งค่า Privacy Mask ด้วยตนเอง ถ้าต้องการระบบแบรนด์เนมพร้อม AI Hikvision iVMS-5200 เหมาะกับองค์กรใหญ่ที่ต้องการ Face Detection ในตัว แต่ถ้าคุณต้องการเบลอหน้าย้อนหลังจากคลิป CCTV ที่บันทึกไว้แล้ว (เช่น ก่อนส่งให้ตำรวจหรือแชร์ภายนอก) Blur.me ประมวลผลเสร็จภายใน 30 วินาทีด้วย AI อัตโนมัติ — ไม่ต้อง keyframe ทุกเฟรมเหมือน VEED.io
FAQ: PDPA CCTV กล้องวงจรปิด — คำถามที่ธุรกิจถามบ่อย
กล้องวงจรปิดต้องปฏิบัติตาม PDPA อย่างไร?
กล้อง CCTV บันทึกภาพใบหน้า ทะเบียนรถ และข้อมูลส่วนบุคคลอื่น ๆ จึงอยู่ภายใต้ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ต้องแจ้งวัตถุประสงค์การติดตั้งกล้องอย่างชัดเจน ติดป้ายแจ้งเตือนการติดตั้งกล้องที่มองเห็นได้ง่าย เก็บข้อมูลภาพเฉพาะระยะเวลาที่จำเป็น (โดยทั่วไป 30-90 วัน) และจำกัดการเข้าถึงข้อมูล CCTV เฉพาะบุคคลที่ได้รับอนุญาต การเบลอใบหน้าและป้ายทะเบียนในภาพที่เผยแพร่เป็นมาตรการรักษาความปลอดภัยที่ PDPA กำหนด
ต้องติดป้ายแจ้งเตือนกล้อง CCTV หรือไม่?
ใช่ บังคับ 100% ตามมาตรา 23 PDPA ป้ายแจ้งเตือนกล้องวงจรปิดต้องระบุ: (1) ชื่อผู้ควบคุมข้อมูล (2) วัตถุประสงค์การติดตั้งกล้อง (3) ระยะเวลาเก็บรักษาข้อมูล (4) ช่องทางติดต่อ DPO หรือเจ้าหน้าที่คุ้มครองข้อมูล ติดป้ายที่ประตูทางเข้า จุดที่มองเห็นได้ชัดเจนก่อนเข้าพื้นที่กล้อง ขนาดตัวอักษรอ่านง่ายจากระยะ 2-3 เมตร ไม่มีป้าย = ละเมิด PDPA โดยตรง สำนักงาน กคช. (สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล) สามารถสั่งปรับได้ทันที
เก็บข้อมูล CCTV ได้นานเท่าไหร่ตาม PDPA?
PDPA ไม่กำหนดระยะเวลาเก็บรักษาข้อมูลแบบตายตัว แต่ต้อง "เก็บเท่าที่จำเป็นตามวัตถุประสงค์" ธุรกิจทั่วไป: 30-60 วัน ธนาคาร/สถาบันการเงิน: 90 วัน โรงพยาบาล: 90 วัน - 1 ปี (กรณีเกี่ยวข้องคดีความ เก็บได้จนกว่าคดีจบ) เมื่อหมดวัตถุประสงค์ต้องลบข้อมูลภาพ หรือทำให้นิรนาม (เบลอใบหน้า/ทะเบียนรถถาวร) ระบบจัดเก็บข้อมูลต้องตั้งค่าลบอัตโนมัติเมื่อครบกำหนด การเก็บเกินจำเป็น = ละเมิด PDPA มาตรา 24
ธุรกิจขนาดเล็กต้องปฏิบัติตาม PDPA กล้องวงจรปิดไหม?
ต้อง PDPA ครอบคลุมธุรกิจทุกขนาด — ร้านค้าปลีก ร้านอาหาร คลินิกเสริมความงาม ร้านซ่อมรถ หอพัก คอนโดมิเนียม ทุกที่ที่ติดกล้อง CCTV ไม่มีข้อยกเว้นสำหรับ SME ความแตกต่างคือธุรกิจขนาดใหญ่ต้องแต่งตั้ง DPO (Data Protection Officer) ธุรกิจเล็กไม่บังคับ แต่ต้องมีผู้รับผิดชอบข้อมูล ต้องติดป้ายแจ้งเตือนการติดตั้งกล้อง ตั้งระยะเวลาเก็บข้อมูล และจำกัดการเข้าถึง ค่าปรับเหมือนกัน — สูงสุด 5 ล้านบาท ไม่ว่าธุรกิจเล็กหรือใหญ่
ฝ่าฝืน PDPA เรื่องกล้อง CCTV มีโทษอย่างไร?
โทษปรับสูงสุด 5 ล้านบาท (มาตรา 79-83) + โทษจำคุก (กรณีเจตนาละเมิดหรือนำข้อมูลไปใช้ผิดวัตถุประสงค์) + ค่าเสียหายแพ่ง ที่เจ้าของข้อมูลฟ้องเรียกคืน ตัวอย่างการละเมิด: (1) ไม่มีป้ายแจ้งเตือน (2) เก็บภาพเกิน 90 วัน โดยไม่มีเหตุผล (3) เผยแพร่ภาพ CCTV บน Facebook โดยไม่เบลอใบหน้า (4) ให้บุคคลภายนอกเข้าถึงข้อมูล CCTV โดยไม่ได้รับความยินยอม สำนักงาน กคช. สามารถสั่งปิดระบบ CCTV ชั่วคราวจนกว่าจะแก้ไข นอกจากนี้ยังมีความเสี่ยง Privacy Impact Assessment และถูกตรวจสอบย้อนหลังได้
การปฏิบัติตาม PDPA กับกล้องวงจรปิดไม่ได้ยุ่งยากอย่างที่คิด — ที่สำคัญคือมีระบบที่ชัดเจนและใช้เครื่องมือที่เหมาะสม ถ้าองค์กรของคุณต้องแชร์ภาพ CCTV กับบุคคลภายนอกบ่อย ๆ ลองดูวิธีเบลอใบหน้าในวิดีโอด้วย AI — ช่วยลดเวลาทำงานได้มาก สำหรับองค์กรที่จัดการภาพจำนวนมาก BlurMe Enterprise รองรับการประมวลผลแบบ batch และ live video anonymization
เบลอใบหน้าใน CCTV ภายใน 30 วินาที
AI ตรวจจับและเบลอใบหน้าอัตโนมัติ ไม่ต้องกดเฟรมทีละจุด ลดความเสี่ยง PDPA เมื่อแชร์ภาพกับบุคคลภายนอก
ลองใช้ BlurMe ฟรี