สคส.สั่งระงับและให้ลบข้อมูล 1.2 ล้านราย เคสสแกนม่านตาแลกเหรียญไม่ถูกหลัก PDPA

กระทู้สนทนา

เศรษฐกิจ เตือนภัย เทคโนโลยี ปัญหาสังคม กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม

วันนี้ 24 พฤศจิกายน 2568 นายไชยชนก ชิดชอบ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม หรือ ดีอี เปิดเผยว่า กระทรวงฯ ให้ความสำคัญและส่งเสริมเทคโนโลยีปัญญาประดิษฐ์ (Artificial Intelligence (AI)) และเทคโนโลยี สมัยใหม่ที่ใช้ในการ “ยืนยันความเป็นมนุษย์” อย่างไรก็ตาม เงื่อนไขของผู้ให้บริการที่ใช้ในการเก็บรวบรวมข้อมูล ส่วนบุคคลประเภท “ข้อมูลชีวภาพ” จะต้องมีความชัดเจนและต้องทำภายใต้กรอบที่กฎหมายคุ้มครองข้อมูลส่วน บุคคลกำหนด เพื่อไม่ก่อให้เกิดความเสียหายต่อประชาชนซึ่งเป็นเจ้าของข้อมูลส่วนบุคคล

https://www.thansettakij.com/technology/644807?fbclid=IwQ0xDSwORh2JleHRuA2FlbQIxMQBzcnRjBmFwcF9pZAo2NjI4NTY4Mzc5AAEeHQB8u8-TIlYnTKmA8BoAZZ6s8q28UGaXc-r2c5MxeEAK-p7esBYgOtFo2EM_aem_WY9hqQXZLtvBrgZRwUyrkw

โดย คณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) หรือ PDPC ได้ พิจารณารายละเอียดธุรกิจ “สแกนม่านตาแลกเหรียญคริปโต” ซึ่งมีลักษณะเป็นการเก็บรวบรวมข้อมูลม่านตา ซึ่ง เป็นข้อมูลส่วนบุคคลประเภท “ข้อมูลชีวภาพ” รวมถึงพยานหลักฐาน และคำชี้แจงของผู้ให้บริการธุรกิจดังกล่าว พบว่า การขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลเพื่อเก็บรวบรวม “ข้อมูลชีวภาพ” ซึ่งเป็นข้อมูลส่วนบุคคล

ประเภทข้อมูลอ่อนไหว

มิได้ดำเนินการตามหลักเกณฑ์ที่กฎหมายกำหนดกล่าวคือ ผู้ให้บริการได้ใช้วิธีจูงใจ ประชาชนด้วยการมอบเหรียญคริปโตเคอเรนซีเป็นค่าตอบแทน เพื่อแลกกับการให้ความยินยอมในการเก็บรวบรวม ข้อมูลม่านตา ซึ่งถือได้ว่าเป็นการขอความยินยอมที่ไม่เป็นไปโดยอิสระตามที่กฎหมายกำหนด นอกจากนั้นการแจ้ง วัตถุประสงค์ในขั้นตอนการขอความยินยอมแจ้งว่าเพื่อยืนยันความเป็นมนุษย์เท่านั้น แต่จากการตรวจสอบพบว่า ผู้ เคยสแกนม่านตาไปแล้วไม่สามารถสแกนซ้ำได้ จึงชี้ให้เห็นว่าการดำเนินการดังกล่าวมีวัตถุประสงค์เพื่อยืนยันถึงตัว บุคคลที่สแกนไปแล้วด้วย การใช้ข้อมูลส่วนบุคคลดังกล่าวจึงเกินขอบเขตวัตถุประสงค์ที่ขอความยินยอมตั้งแต่แรก

พ.ต.อ. สุรพงศ์ เปล่งขำ เลขาธิการคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล กล่าวว่า ภายหลังจากการพิจารณา พยานเอกสาร พยานวัตถุ และคำชี้แจงของผู้ให้บริการ คณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 ได้มีคำสั่งทางปกครอง ดังนี้

1. ให้ผู้ให้บริการและบุคคลที่เกี่ยวข้องกับการเก็บข้อมูลม่านตา ระงับหรืองดการเก็บรวบรวมข้อมูลส่วนบุคคลใน รูปแบบการสแกนม่านตาเพื่อรับเหรียญคริปโตเคอเรนซีเพิ่มเติมโดยทันที และรายงานผลการดำเนินการดังกล่าวต่อสคส. ภายใน 7 วัน

2. ให้ผู้ให้บริการและบุคคลที่เกี่ยวข้อง ลบทำลายข้อมูลม่านตาและข้อมูลส่วนบุคคลอื่นที่เกี่ยวข้องของประชาชน จำนวน 1.2 ล้านคนทั้งหมด เพื่อป้องกันการโอนย้ายถ่ายเทข้อมูลส่วนบุคคลดังกล่าวไปยังต่างประเทศ โดยไม่ถูก กฎหมาย

การมีคำสั่งให้ดำเนินการดังกล่าว เป็นไปเพื่อคุ้มครองข้อมูลส่วนบุคคลของประชาชนที่รั่วไหล และไม่ให้นำเอา ข้อมูลส่วนบุคคลดังกล่าวไปใช้โดยไม่ถูกต้อง ซึ่งอาจนำไปสู่การซื้อขาย หรือใช้ประโยชน์ทางพาณิชย์โดยไม่ถูกต้อง ซึ่งคำวินิจฉัยของคณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 เป็นไปตามกรอบกฎหมายของพระราชบัญญัติคุ้มครองข้อมูล ส่วนบุคคล พ.ศ. 2562 (PDPA) และเป็นไปตามมาตรการสากลโดยจากการตรวจสอบเบื้องต้น พบประเทศอื่นๆไม่ น้อยกว่า 8 ประเทศได้มีการแบนการดำเนินการนี้ไปแล้วเช่นกัน โดยประเทศที่มีคำสั่งระงับชัดเจน 5 ประเทศ ได้แก่ เยอรมัน สเปน เกาหลีใต้ อินโดนีเซีย และบราซิล

ทั้งนี้ จากการตรวจสอบร่วมกับหน่วยงานที่เกี่ยวข้อง นอกจากการตรวจพบการกระทำความผิดตามกฎหมายว่า ด้วยการคุ้มครองข้อมูลส่วนบุคคลดังกล่าวแล้ว ยังมีประเด็นที่น่าสงสัยอื่นๆ

เช่น กรณีมีขบวนการจ้างคนมาสแกน ม่านตาแลกเหรียญเพื่อนำไปให้บุคคลอื่นใช้ โดยการตรวจสอบขยายผลของ ก.ล.ต.และตำรวจไซเบอร์ได้ตรวจพบ และมีการจับกุมผู้รับแลกเหรียญดิจิทัลโดยไม่ได้รับอนุญาตมาแล้วหลายราย จึงเป็นเหตุสงสัยว่าอาจมีประเด็นที่ เกี่ยวข้องกับความผิดตามกฎหมายอื่นๆอีกซึ่งในส่วนนี้จะได้มีการสืบสวนขยายผลโดยเจ้าหน้าที่ DSI และเจ้าหน้าที่ หน่วยงานอื่นๆที่เกี่ยวข้องต่อไป

เลขาธิการ สคส. เน้นย้ำว่า สคส. หรือ PDPC ให้ความสำคัญสูงสุดกับการคุ้มครองข้อมูลอ่อนไหวของประชาชน โดยเฉพาะข้อมูลชีวภาพ (Biometric Data) โดยการระงับการดำเนินการดังกล่าวเป็นไปเพื่อ “ป้องกันความ เสียหาย” ที่เกิดขึ้นจากการเก็บรวบรวมข้อมูลที่ไม่ถูกกฎหมาย และบูรณาการความร่วมมือกับหน่วยงานที่ เกี่ยวข้องในการบังคับใช้กฎหมายอย่างเต็มที่เพื่อความสงบเรียบร้อยและสร้างความเชื่อมั่นแก่ประชาชน โดย “ไม่ เป็นการปิดกั้นการใช้เทคโนโลยีใหม่ๆ ในการยืนยันความเป็นมนุษย์” แต่อย่างใด