สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) หรือ PDPC ออกคำสั่งทางปกครองขั้นเด็ดขาด สั่งระงับโครงการและให้ทำลายข้อมูลชีวภาพของประชาชนกว่า 1.2 ล้านราย จากกรณีธุรกิจสแกนม่านตาเพื่อแลกรับเหรียญคริปโทเคอร์เรนซี ชี้ชัดกระบวนการได้มาซึ่งข้อมูล “ไม่โปร่งใส” และ “ผิดหลักการ PDPA” อย่างร้ายแรง พร้อมประสาน DSI และหน่วยงานที่เกี่ยวข้องสอบสวนเชิงลึกถึงขบวนการจ้างวานสแกนและการแลกเปลี่ยนเหรียญผิดกฎหมาย
ความเคลื่อนไหวครั้งสำคัญของหน่วยงานกำกับดูแลด้านข้อมูลส่วนบุคคลของไทย เกิดขึ้นหลังจากกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) และ PDPC ได้ติดตามตรวจสอบโมเดลธุรกิจ ‘สแกนม่านตาแลกเหรียญ’ ที่สร้างความกังวลในวงกว้าง โดยเฉพาะประเด็นความปลอดภัยของข้อมูลชีวภาพ (Biometric Data) ซึ่งจัดเป็นข้อมูลส่วนบุคคลที่อ่อนไหวตามกฎหมาย
ชี้ขาด ‘ความยินยอมโดยอิสระ’
คณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 ของ PDPC ได้พิจารณาพยานหลักฐานและคำชี้แจงของผู้ให้บริการแล้ว พบข้อเท็จจริงที่นำไปสู่การกระทำผิดกฎหมาย PDPA ใน 2 ประเด็นหลัก:
1. การขอความยินยอมที่ไม่เป็นอิสระ กล่าวคือ ผู้ให้บริการใช้เหรียญคริปโทเคอร์เรนซีเป็นสิ่งตอบแทนเพื่อจูงใจให้ประชาชนยอมให้เก็บข้อมูลม่านตา ซึ่งถือว่าการให้ความยินยอมนั้น ‘ไม่ได้เป็นไปโดยอิสระ’ ตามเจตนารมณ์ของกฎหมาย
2. การใช้ข้อมูลเกินวัตถุประสงค์ โดยพบว่ามีการแจ้งวัตถุประสงค์เพื่อ ‘ยืนยันความเป็นมนุษย์’ เท่านั้น แต่ในทางเทคนิคพบว่า ผู้ที่เคยสแกนแล้วไม่สามารถสแกนซ้ำได้ แสดงให้เห็นว่ามีการนำข้อมูลไปใช้เพื่อ ‘ยืนยันตัวบุคคล’ (Identification) ด้วย ซึ่งเกินกว่าขอบเขตที่ได้ขอความยินยอมไว้แต่แรก
ประเสริฐ จันทรรวงทอง รัฐมนตรีว่าการกระทรวงดีอี ย้ำว่า แม้กระทรวงฯ จะสนับสนุนเทคโนโลยี AI และการยืนยันตัวตนรูปแบบใหม่ แต่การเก็บข้อมูลชีวภาพต้องอยู่ภายใต้กรอบกฎหมายที่ชัดเจน เพื่อไม่ให้เกิดความเสียหายต่อประชาชนเจ้าของข้อมูล
สั่ง ‘ระงับ-ลบ’ ข้อมูล ป้องกันการรั่วไหลสู่ต่างประเทศ
จากฐานความผิดดังกล่าว คณะกรรมการผู้เชี่ยวชาญฯ จึงมีคำสั่งทางปกครองที่ส่งผลกระทบวงกว้างต่อผู้ให้บริการรายนี้ทันที ดังนี้:
1. สั่งระงับทันที: ให้ผู้ให้บริการและผู้เกี่ยวข้องระงับการเก็บข้อมูลม่านตาเพื่อแลกเหรียญคริปโตเพิ่มเติมโดยทันที และรายงานผลต่อ สคส. ภายใน 7 วัน
2. สั่งลบทำลายข้อมูลทั้งหมด: ให้ลบและทำลายข้อมูลม่านตา รวมถึงข้อมูลส่วนบุคคลอื่นๆ ของประชาชนจำนวน 1.2 ล้านรายที่ถูกเก็บไปแล้วทั้งหมด เพื่อป้องกันความเสี่ยงในการนำข้อมูลไปใช้หาประโยชน์ทางการค้าโดยมิชอบ หรือการโอนย้ายข้อมูลไปยังต่างประเทศอย่างผิดกฎหมาย
การตัดสินใจครั้งนี้สอดคล้องกับมาตรฐานสากล โดยจากการตรวจสอบพบว่ามีอย่างน้อย 8 ประเทศที่สั่งแบนการดำเนินการในลักษณะนี้แล้ว โดย 5 ประเทศที่มีคำสั่งระงับชัดเจน ได้แก่ เยอรมนี, สเปน, เกาหลีใต้, อินโดนีเซีย และบราซิล
DSI รับไม้ต่อ ขยายผลขบวนการรับจ้างสแกนและเว็บเทรดเถื่อน
นอกเหนือจากมิติการละเมิดข้อมูลส่วนบุคคล การสืบสวนร่วมกับ ก.ล.ต. และตำรวจไซเบอร์ ยังพบ ‘ความผิดปกติ’ อื่นๆ ที่น่าสงสัย นำไปสู่การขยายผลทางคดีอาญาต่อ
ประเด็นสำคัญคือ การตรวจพบขบวนการรับจ้างคนมาสแกนม่านตาเพื่อนำเหรียญไปให้บุคคลอื่นใช้ต่อ รวมถึงมีการจับกุมผู้รับแลกเหรียญดิจิทัลโดยไม่ได้รับอนุญาตหลายราย ทำให้เกิดข้อสงสัยว่าอาจมีประเด็นความผิดตามกฎหมายอื่นๆ ที่เกี่ยวข้อง ซึ่งในส่วนนี้ กรมสอบสวนคดีพิเศษ (DSI) จะรับหน้าที่สืบสวนขยายผลต่อไป
พ.ต.อ. สุรพงศ์ เปล่งขำ เลขาธิการ PDPC กล่าวทิ้งท้าย เพื่อสร้างความชัดเจนถึงจุดยืนของหน่วยงานว่า PDPC ให้ความสำคัญสูงสุดกับการคุ้มครองข้อมูลอ่อนไหวของประชาชน การใช้มาตรการขั้นเด็ดขาดในครั้งนี้เป็นไปเพื่อ ‘ป้องกันความเสียหาย’ จากการเก็บข้อมูลที่ไม่ถูกกฎหมาย และบูรณาการความร่วมมือในการบังคับใช้กฎหมายเพื่อสร้างความเชื่อมั่น
พร้อมยืนยันว่า การดำเนินการนี้ “ไม่ใช่การปิดกั้นการใช้เทคโนโลยีใหม่ๆ ในการยืนยันความเป็นมนุษย์” แต่อย่างใด เพียงแต่เทคโนโลยีเหล่านั้นต้องดำเนินการอยู่บนพื้นฐานความถูกต้องตามกฎหมายของประเทศไทย
ภาพ: New Africa/Shutterstock
