สคส.สั่งระงับและให้ลบข้อมูล 1.2 ล้านราย เคสสแกนม่านตาแลกเหรียญไม่ถูกหลัก PDPA พร้อมส่ง DSI ขยายผล
สคส.สั่งระงับและให้ลบข้อมูล 1.2 ล้านราย เคสสแกนม่านตาแลกเหรียญไม่ถูกหลัก PDPA พร้อมส่ง DSI ขยายผล
ดีอี เผยความคืบหน้ากรณีธุรกิจ'สแกนม่านตาแลกเหรียญคริปโต'ที่สร้างความกังวลต่อสังคมในวงกว้าง ทั้งในมิติความปลอดภัยของข้อมูลชีวภาพ และความถูกต้องตามกฎหมาย โดยย้ำว่า สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) หรือ PDPC ได้ติดตามและตรวจสอบเรื่องนี้อย่างต่อเนื่อง ตั้งแต่เริ่มพบข้อสงสัยจนนำไปสู่คำสั่งทางปกครองของคณะกรรมการผู้เชี่ยวชาญที่สั่งให้ระงับการเก็บรวบรวมข้อมูลม่านตาเพื่อแลกเหรียญคริปโตเพิ่มเติม และให้ลบหรือทำลายข้อมูลส่วนบุคคลของประชาชนจำนวน 1.2 ล้านรายด้วย
นายไชยชนก ชิดชอบ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (กระทรวงฯ) เปิดเผยว่า กระทรวงฯ ให้ความสำคัญและส่งเสริมเทคโนโลยีปัญญาประดิษฐ์ (Artificial Intelligence (AI)) และเทคโนโลยีสมัยใหม่ที่ใช้ในการ 'ยืนยันความเป็นมนุษย์'อย่างไรก็ตาม เงื่อนไขของผู้ให้บริการที่ใช้ในการเก็บรวบรวมข้อมูลส่วนบุคคลประเภท 'ข้อมูลชีวภาพ'จะต้องมีความชัดเจนและต้องทำภายใต้กรอบที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด เพื่อไม่ก่อให้เกิดความเสียหายต่อประชาชนซึ่งเป็นเจ้าของข้อมูลส่วนบุคคล
โดย คณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) หรือ PDPC ได้พิจารณารายละเอียดธุรกิจ 'สแกนม่านตาแลกเหรียญคริปโต' ซึ่งมีลักษณะเป็นการเก็บรวบรวมข้อมูลม่านตา ซึ่งเป็นข้อมูลส่วนบุคคลประเภท'ข้อมูลชีวภาพ'รวมถึงพยานหลักฐาน และคำชี้แจงของผู้ให้บริการธุรกิจดังกล่าวพบว่า การขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลเพื่อเก็บรวบรวม 'ข้อมูลชีวภาพ'
ซึ่งเป็นข้อมูลส่วนบุคคลประเภทข้อมูลอ่อนไหว มิได้ดำเนินการตามหลักเกณฑ์ที่กฎหมายกำหนดกล่าวคือ ผู้ให้บริการได้ใช้วิธีจูงใจประชาชนด้วยการมอบเหรียญคริปโตเคอเรนซีเป็นค่าตอบแทน เพื่อแลกกับการให้ความยินยอมในการเก็บรวบรวมข้อมูลม่านตา ซึ่งถือได้ว่าเป็นการขอความยินยอมที่ไม่เป็นไปโดยอิสระตามที่กฎหมายกำหนด นอกจากนั้นการแจ้งวัตถุประสงค์ในขั้นตอนการขอความยินยอมแจ้งว่าเพื่อยืนยันความเป็นมนุษย์เท่านั้น
แต่จากการตรวจสอบพบว่า ผู้เคยสแกนม่านตาไปแล้วไม่สามารถสแกนซ้ำได้ จึงชี้ให้เห็นว่าการดำเนินการดังกล่าวมีวัตถุประสงค์เพื่อยืนยันถึงตัวบุคคลที่สแกนไปแล้วด้วย การใช้ข้อมูลส่วนบุคคลดังกล่าวจึงเกินขอบเขตวัตถุประสงค์ที่ขอความยินยอมตั้งแต่แรก
พ.ต.อ. สุรพงศ์ เปล่งขำ เลขาธิการคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล กล่าวว่า ภายหลังจากการพิจารณาพยานเอกสาร พยานวัตถุ และคำชี้แจงของผู้ให้บริการ คณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 ได้มีคำสั่งทางปกครอง ดังนี้
1. ให้ผู้ให้บริการและบุคคลที่เกี่ยวข้องกับการเก็บข้อมูลม่านตา ระงับหรืองดการเก็บรวบรวมข้อมูลส่วนบุคคลในรูปแบบการสแกนม่านตาเพื่อรับเหรียญคริปโตเคอเรนซีเพิ่มเติมโดยทันที และรายงานผลการดำเนินการดังกล่าวต่อ สคส. ภายใน 7 วัน
2. ให้ผู้ให้บริการและบุคคลที่เกี่ยวข้อง ลบทำลายข้อมูลม่านตาและข้อมูลส่วนบุคคลอื่นที่เกี่ยวข้องของประชาชนจำนวน 1.2 ล้านคนทั้งหมด เพื่อป้องกันการโอนย้ายถ่ายเทข้อมูลส่วนบุคคลดังกล่าวไปยังต่างประเทศ โดยไม่ถูกกฎหมาย
การมีคำสั่งให้ดำเนินการดังกล่าว เป็นไปเพื่อคุ้มครองข้อมูลส่วนบุคคลของประชาชนที่รั่วไหล และไม่ให้นำเอาข้อมูลส่วนบุคคลดังกล่าวไปใช้โดยไม่ถูกต้อง ซึ่งอาจนำไปสู่การซื้อขาย หรือใช้ประโยชน์ทางพาณิชย์โดยไม่ถูกต้อง ซึ่งคำวินิจฉัยของคณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 เป็นไปตามกรอบกฎหมายของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) และเป็นไปตามมาตรการสากลโดยจากการตรวจสอบเบื้องต้น พบประเทศอื่นๆไม่น้อยกว่า 8 ประเทศได้มีการแบนการดำเนินการนี้ไปแล้วเช่นกัน
โดยประเทศที่มีคำสั่งระงับชัดเจน 5 ประเทศ ได้แก่ เยอรมัน สเปน เกาหลีใต้ อินโดนีเซีย และบราซิล
ทั้งนี้ จากการตรวจสอบร่วมกับหน่วยงานที่เกี่ยวข้อง นอกจากการตรวจพบการกระทำความผิดตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลดังกล่าวแล้ว ยังมีประเด็นที่น่าสงสัยอื่นๆ เช่น กรณีมีขบวนการจ้างคนมาสแกนม่านตาแลกเหรียญเพื่อนำไปให้บุคคลอื่นใช้ โดยการตรวจสอบขยายผลของ ก.ล.ต.และตำรวจไซเบอร์ได้ตรวจพบและมีการจับกุมผู้รับแลกเหรียญดิจิทัลโดยไม่ได้รับอนุญาตมาแล้วหลายราย จึงเป็นเหตุสงสัยว่าอาจมีประเด็นที่เกี่ยวข้องกับความผิดตามกฎหมายอื่นๆอีกซึ่งในส่วนนี้จะได้มีการสืบสวนขยายผลโดยเจ้าหน้าที่ DSI และเจ้าหน้าที่หน่วยงานอื่นๆที่เกี่ยวข้องต่อไป
เลขาธิการ สคส. เน้นย้ำว่า สคส. หรือ PDPC ให้ความสำคัญสูงสุดกับการคุ้มครองข้อมูลอ่อนไหวของประชาชน โดยเฉพาะข้อมูลชีวภาพ (Biometric Data) โดยการระงับการดำเนินการดังกล่าวเป็นไปเพื่อ 'ป้องกันความเสียหาย' ที่เกิดขึ้นจากการเก็บรวบรวมข้อมูลที่ไม่ถูกกฎหมาย และบูรณาการความร่วมมือกับหน่วยงานที่เกี่ยวข้องในการบังคับใช้กฎหมายอย่างเต็มที่เพื่อความสงบเรียบร้อยและสร้างความเชื่อมั่นแก่ประชาชน โดย 'ไม่เป็นการปิดกั้นการใช้เทคโนโลยีใหม่ๆ ในการยืนยันความเป็นมนุษย์'แต่อย่างใด
