สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) หรือ PDPC ออกคำสั่งทางปกครองให้ธุรกิจ “สแกนม่านตาแลกเหรียญคริปโท” ระงับการเก็บรวบรวมข้อมูลชีวภาพเพิ่มเติมทันที และ สั่งลบทำลายข้อมูลม่านตาพร้อมข้อมูลส่วนบุคคลที่เกี่ยวข้องของประชาชนกว่า 1.2 ล้านราย เนื่องจากพิจารณาแล้วเห็นว่า การดำเนินการดังกล่าว ไม่เป็นไปตามหลักเกณฑ์ของกฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA) โดยเฉพาะประเด็นการขอความยินยอมที่ไม่เป็นอิสระ พร้อมส่งเรื่องให้ กรมสอบสวนคดีพิเศษ (DSI) และหน่วยงานที่เกี่ยวข้องขยายผลตรวจสอบในประเด็นความผิดกฎหมายอื่นต่อไป
ไม่ชอบด้วยกฎหมาย: ชี้ชัด! การขอความยินยอม ‘ไม่เป็นอิสระ’
ไชยชนก ชิดชอบ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) กล่าวว่า กระทรวงฯ ส่งเสริมการใช้เทคโนโลยีสมัยใหม่รวมถึงปัญญาประดิษฐ์ (AI) ในการยืนยันความเป็นมนุษย์ แต่ย้ำว่า การเก็บรวบรวม “ข้อมูลชีวภาพ” ซึ่งเป็นข้อมูลส่วนบุคคลประเภทข้อมูลอ่อนไหว จะต้องดำเนินการภายใต้กรอบกฎหมายอย่างชัดเจน
ด้าน พ.ต.อ. สุรพงศ์ เปล่งขำ เลขาธิการ สคส. เปิดเผยว่า คณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 ของ สคส. ได้พิจารณาการดำเนินธุรกิจ “สแกนม่านตาแลกเหรียญคริปโต” และพบว่า การขอความยินยอมจากเจ้าของข้อมูลเพื่อเก็บรวบรวม “ข้อมูลชีวภาพ” ซึ่งเป็นข้อมูลอ่อนไหว ไม่เป็นไปตามหลักเกณฑ์ที่กฎหมายกำหนด เนื่องจาก:
- การจูงใจด้วยค่าตอบแทน: ผู้ให้บริการใช้วิธีมอบ เหรียญคริปโทเคอเรนซี เป็นการตอบแทน เพื่อแลกกับการยินยอมให้เก็บข้อมูลม่านตา ซึ่งถือว่า เป็นการขอความยินยอมที่ไม่เป็นไปโดยอิสระ ตามที่ PDPA กำหนด
- ใช้เกินขอบเขตวัตถุประสงค์: แม้ผู้ให้บริการจะแจ้งวัตถุประสงค์ว่าเพื่อ “ยืนยันความเป็นมนุษย์” แต่จากการตรวจสอบพบว่าผู้ที่เคยสแกนแล้วไม่สามารถสแกนซ้ำได้ จึงชี้ให้เห็นว่าการดำเนินการดังกล่าวมีวัตถุประสงค์เพื่อ ยืนยันถึงตัวบุคคลที่สแกนไปแล้วด้วย ซึ่งเป็นการใช้ข้อมูลส่วนบุคคลที่เกินขอบเขตวัตถุประสงค์ที่ได้แจ้งและขอความยินยอมไว้ตั้งแต่แรก
คำสั่งทางปกครอง: ระงับ-ลบข้อมูล 1.2 ล้านราย ป้องกันการรั่วไหล
ภายหลังการพิจารณาหลักฐานอย่างรอบด้าน คณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 ได้มีคำสั่งทางปกครองต่อผู้ให้บริการและบุคคลที่เกี่ยวข้องดังนี้:
- ระงับทันที: ให้ระงับหรือ งดการเก็บรวบรวมข้อมูลส่วนบุคคลในรูปแบบการสแกนม่านตาเพื่อรับเหรียญคริปโตเคอเรนซีเพิ่มเติมโดยทันที และให้รายงานผลภายใน 7 วัน
- ลบและทำลาย: ให้ ลบทำลายข้อมูลม่านตาและข้อมูลส่วนบุคคลอื่นที่เกี่ยวข้องของประชาชนจำนวน 1.2 ล้านคนทั้งหมด เพื่อป้องกันการโอนย้ายถ่ายเทข้อมูลส่วนบุคคลดังกล่าวไปยังต่างประเทศอย่างไม่ถูกต้องตามกฎหมาย
เลขาธิการ สคส. เน้นย้ำว่า คำสั่งดังกล่าวมีขึ้นเพื่อ คุ้มครองข้อมูลอ่อนไหวของประชาชน และ ป้องกันความเสียหาย ที่อาจเกิดขึ้นจากการนำข้อมูลส่วนบุคคลไปใช้โดยไม่ถูกต้อง ซึ่งอาจนำไปสู่การซื้อขายหรือใช้ประโยชน์ทางพาณิชย์โดยมิชอบ โดยคำวินิจฉัยนี้เป็นไปตามกรอบของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) และสอดคล้องกับมาตรการสากล เนื่องจากมีอย่างน้อย 8 ประเทศ รวมถึง เยอรมัน สเปน เกาหลีใต้ อินโดนีเซีย และบราซิล ที่มีคำสั่งระงับการดำเนินการนี้แล้วเช่นกัน
ขยายผลสอบ: ส่ง DSI ตรวจสอบความผิดกฎหมายอื่น
นอกจากประเด็นการกระทำความผิดตามกฎหมาย PDPA แล้ว หน่วยงานที่เกี่ยวข้องยังตรวจพบประเด็นน่าสงสัยอื่น ๆ เช่น กรณีที่มี ขบวนการจ้างคนมาสแกนม่านตาแลกเหรียญเพื่อนำไปให้บุคคลอื่นใช้ ประกอบกับการตรวจสอบของ ก.ล.ต. และตำรวจไซเบอร์ที่ได้มีการจับกุมผู้รับแลกเหรียญดิจิทัลโดยไม่ได้รับอนุญาตมาแล้วหลายราย
ดังนั้น จึงเป็นเหตุให้สงสัยว่าอาจมีประเด็นที่เกี่ยวข้องกับความผิดตามกฎหมายอื่นอีก ดีอีจึงเตรียมส่งเรื่องให้เจ้าหน้าที่ DSI และหน่วยงานอื่นที่เกี่ยวข้องสืบสวนขยายผลต่อไป
World แถลง: ระงับชั่วคราว ยันทำตามกฎหมาย
ด้านบริษัทผู้ให้บริการได้ออกแถลงการณ์ชี้แจงว่า ได้รับจดหมายจาก PDPC และได้ ระงับกระบวนการยืนยันความเป็นมนุษย์จริงในประเทศไทยชั่วคราว ตามคำสั่งดังกล่าว แม้บริษัทฯ จะยืนยันว่าได้ดำเนินการตามกฎหมายและระเบียบข้อบังคับของประเทศไทยอย่างครบถ้วนมาโดยตลอด พร้อมแสดงความกังวลว่าการระงับครั้งนี้จะส่งผลกระทบในทางลบต่อคนไทยหลายล้านคนที่เลือกใช้เทคโนโลยีนี้เพื่อป้องกันตนเองจากการหลอกลวงและการฉ้อโกงที่ขับเคลื่อนด้วย AI
บริษัทฯ ยืนยันความมุ่งมั่นในการสร้างสภาพแวดล้อมดิจิทัลที่ปลอดภัยสำหรับคนไทย และจะดำเนินการหารือกับกระทรวงดีอีและ สคส. อย่างใกล้ชิดต่อไป เพื่อกำหนดแนวทางดำเนินงานที่เหมาะสมและยั่งยืน
–เจาะลึก “Dell AI Factory with NVIDIA” : แพลตฟอร์มครบวงจร เปลี่ยนการทดลอง AI สู่ผลลัพธ์ธุรกิจจริง
