DE และ PDPC สั่งธุรกิจ “สแกนม่านตาแลกคริปโต” ระงับ และให้ลบข้อมูลพร้อมส่ง DSI ขยายผล

ดีอี กระทรวงดิจิทัลเพื่อเศรษฐกิจ และสังคม (DE) และ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) หรือ พีดีพีซี (PDPC) สั่ง “เวิลด์” ระงับ และให้ลบข้อมูลม่านตาคนไทยกว่า 1.2 ล้านราย ชี้! ไม่ถูกหลัก PDPA พร้อมส่ง DSI ขยายผล…

PDPC สั่งธุรกิจ “สแกนม่านตาแลกคริปโต” ให้ระงับ และลบข้อมูลกว่า 1.2 ล้านราย พร้อมส่ง DSI ขยายผล

สืบเนื่องจากกรณี “สแกนม่านตาเพื่อรับสินทรัพย์ดิจิทัล” ของ บริษัท Tools for Humanity (TFH) ก่อตั้งโดย Alex Blania และ Sam Altman ผู้สร้าง ChatGPT ได้เข้ามาดำเนินการเข้ามาทำธุรกิจภายในประเทศไทย เช่นเดียวกับใน สหรัฐ, สหราชอาณาจักร, เกาหลีใต้, ญี่ปุ่น, สิงคโปร์, ไต้หวัน ฯลฯ

ทำให้เกิดความกังวลในแง่ของความปลอดภัยข้อมูลส่วนบุคคลที่ใช้ “ข้อมูลชีวมิติ” (Biometric Data) อย่าง “ม่านตา” ว่ามีความเสี่ยงของการใช้ “ข้อมูลอ่อนไหวตามกฎหมาย ต้องได้รับความยินยอมอย่างถูกต้อง และโปร่งใส” ในแง่ของการการจัดเก็บ การส่งต่อ และทำลายข้อมูล

ว่าถูกต้องตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) หรือไม่ ซึ่งทาง สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ได้เคยออกมาสั่งชะลอการดำเนินธุรกิจในลักษณะดังกล่าวของ Tools for Humanity (TFH) ประจำประเทศไทย หรือ เวิลด์ ไทยแลนด์ (World Thailand)

และให้ เวิลด์ ไทยแลนด์ ดำเนินการชี้แจงแสดงหลักฐานเพิ่มเติม พร้อมดำเนินการไปแล้วนั้น ซึ่งแม้ว่าช่วงเดือนกันายนยนที่ผ่านมาทาง เวิลด์ ไทยแลนด์ ได้ชี้เแจ้งระบบ เวิลด์ ถูกออกแบบโดยคำนึงถึงความเป็นส่วนตัวสูงสุด ภาพม่านตาที่สแกนจะถูกแปลงเป็น Iris Code และไม่สามารถย้อนกลับมาเป็นภาพได้

โดยภาพต้นฉบับจะถูกลบทันทีโดยไม่ถูกนำไปซื้อขาย หรือจัดเก็บ ซึ่งไม่ทำให้ “ข้อมูลรั่วไหล” หรือมีการ “นำข้อมูลไปขาย” หรือผูกข้อมูลกับแอปพลิเคชันทางการเงินใด ๆ ซึ่งทั้งหมดถูก เปิดเผยแบบโอเพนซอร์สบน GitHub ให้ทุกคนทั่วโลกเข้ามาตรวจสอบได้ เพื่อยืนยันว่าระบบปลอดภัย และไม่มีช่องโหว่แอบแฝง

อย่างไรก็ดีล่าสุดทาง กสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ได้ออกมามีคำสั่งให้เวิลด์ ไทยแลนด์ ระงับการเก็บรวบรวมข้อมูลม่านตาเพื่อแลกเหรียญคริปโตเพิ่มเติม และให้ลบหรือทำลายข้อมูลส่วนบุคคลของประชาชนจำนวน 1.2 ล้านราย แล้ว หลังได้ติดตาม และตรวจสอบอย่างต่อเนื่อง

ไชยชนก ชิดชอบ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจ และสังคม หรือ ดีอี (DE) เปิดเผยว่า กระทรวงฯ ให้ความสำคัญและส่งเสริมเทคโนโลยีปัญญาประดิษฐ์ (Artificial Intelligence) หรือ เอไอ (AI) และเทคโนโลยีสมัยใหม่ที่ใช้ในการ “ยืนยันความเป็นมนุษย์”

อย่างไรก็ตาม เงื่อนไขของผู้ให้บริการที่ใช้ในการเก็บรวบรวมข้อมูลส่วนบุคคลประเภท “ข้อมูลชีวภาพ” จะต้องมีความชัดเจนและต้องทำภายใต้กรอบที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด เพื่อไม่ก่อให้เกิดความเสียหายต่อประชาชนซึ่งเป็นเจ้าของข้อมูลส่วนบุคคล

โดย คณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) หรือ พีดีพีซี ได้พิจารณารายละเอียดธุรกิจ “สแกนม่านตาแลกเหรียญคริปโต” ซึ่งมีลักษณะเป็นการเก็บรวบรวมข้อมูลม่านตา ซึ่งเป็นข้อมูลส่วนบุคคลประเภท “ข้อมูลชีวภาพ” รวมถึงพยานหลักฐาน

และคำชี้แจงของผู้ให้บริการธุรกิจดังกล่าวพบว่า การขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลเพื่อเก็บรวบรวม “ข้อมูลชีวภาพ” ซึ่งเป็นข้อมูลส่วนบุคคลประเภทข้อมูลอ่อนไหว มิได้ดำเนินการตามหลักเกณฑ์ที่กฎหมายกำหนดกล่าวคือ ผู้ให้บริการได้ใช้วิธีจูงใจประชาชนด้วยการมอบเหรียญคริปโตเคอเรนซีเป็นค่าตอบแทน

เพื่อแลกกับการให้ความยินยอมในการเก็บรวบรวมข้อมูลม่านตา ซึ่งถือได้ว่าเป็นการขอความยินยอมที่ไม่เป็นไปโดยอิสระตามที่กฎหมายกำหนด นอกจากนั้นการแจ้งวัตถุประสงค์ในขั้นตอนการขอความยินยอมแจ้งว่าเพื่อยืนยันความเป็นมนุษย์เท่านั้น

แต่จากการตรวจสอบพบว่า ผู้เคยสแกนม่านตาไปแล้วไม่สามารถสแกนซ้ำได้ จึงชี้ให้เห็นว่าการดำเนินการดังกล่าวมีวัตถุประสงค์เพื่อยืนยันถึงตัวบุคคลที่สแกนไปแล้วด้วย การใช้ข้อมูลส่วนบุคคลดังกล่าวจึงเกินขอบเขตวัตถุประสงค์ที่ขอความยินยอมตั้งแต่แรก

พ.ต.อ. สุรพงศ์ เปล่งขำ เลขาธิการคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) กล่าวว่า ภายหลังจากการพิจารณาพยานเอกสาร พยานวัตถุ และคำชี้แจงของผู้ให้บริการ คณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 ได้มีคำสั่งทางปกครองดังนี้ 

• ให้ผู้ให้บริการ และบุคคลที่เกี่ยวข้องกับการเก็บข้อมูลม่านตา ระงับ หรืองดการเก็บรวบรวมข้อมูลส่วนบุคคล ในรูปแบบการสแกนม่านตาเพื่อรับเหรียญคริปโตเคอเรนซีเพิ่มเติมโดยทันที และรายงานผลการดำเนินการดังกล่าวต่อ สคส. ภายใน 7 วัน
• ให้ผู้ให้บริการ และบุคคลที่เกี่ยวข้อง ลบทำลายข้อมูลม่านตา และข้อมูลส่วนบุคคลอื่นที่เกี่ยวข้องของประชาชนจำนวน 1.2 ล้านคนทั้งหมด เพื่อป้องกันการโอนย้ายถ่ายเทข้อมูลส่วนบุคคลดังกล่าวไปยังต่างประเทศ โดยไม่ถูกกฎหมาย

การมีคำสั่งให้ดำเนินการดังกล่าว เป็นไปเพื่อคุ้มครองข้อมูลส่วนบุคคลของประชาชนที่รั่วไหล และไม่ให้นำเอาข้อมูลส่วนบุคคลดังกล่าวไปใช้โดยไม่ถูกต้อง ซึ่งอาจนำไปสู่การซื้อขาย หรือใช้ประโยชน์ทางพาณิชย์โดยไม่ถูกต้อง ซึ่งคำวินิจฉัยของคณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 เป็นไปตาม

กรอบกฎหมายของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) และเป็นไปตามมาตรการสากลโดยจากการตรวจสอบเบื้องต้น พบประเทศอื่น ๆไม่น้อยกว่า 8 ประเทศ ได้มีการแบนการดำเนินการนี้ไปแล้วเช่นกัน โดยประเทศที่มีคำสั่งระงับชัดเจน 5 ประเทศ ได้แก่ เยอรมัน, สเปน, เกาหลีใต้, อินโดนีเซีย และบราซิล

ทั้งนี้ จากการตรวจสอบร่วมกับหน่วยงานที่เกี่ยวข้อง นอกจากการตรวจพบการกระทำความผิดตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลดังกล่าวแล้ว ยังมีประเด็นที่น่าสงสัยอื่นๆ เช่น กรณีมีขบวนการจ้างคนมาสแกนม่านตาแลกเหรียญเพื่อนำไปให้บุคคลอื่นใช้ โดยการตรวจสอบขยายผลของ ก.ล.ต.และตำรวจไซเบอร์ได้ตรวจพบ

และมีการจับกุมผู้รับแลกเหรียญดิจิทัลโดยไม่ได้รับอนุญาตมาแล้วหลายราย จึงเป็นเหตุสงสัยว่าอาจมีประเด็นที่เกี่ยวข้องกับความผิดตามกฎหมายอื่น ๆ อีกซึ่งในส่วนนี้จะได้มีการสืบสวนขยายผลโดยเจ้าหน้าที่ DSI และเจ้าหน้าที่หน่วยงานอื่น ๆ ที่เกี่ยวข้องต่อไป

“พีดีพีซี ให้ความสำคัญสูงสุดกับการคุ้มครองข้อมูลอ่อนไหวของประชาชน โดยเฉพาะ ข้อมูลชีวภาพ (Biometric Data) โดยการระงับการดำเนินการดังกล่าวเป็นไปเพื่อ “ป้องกันความเสียหาย” ที่เกิดขึ้นจากการเก็บรวบรวมข้อมูลที่ไม่ถูกกฎหมาย

และบูรณาการความร่วมมือกับหน่วยงานที่เกี่ยวข้องในการบังคับใช้กฎหมายอย่างเต็มที่เพื่อความสงบเรียบร้อย และสร้างความเชื่อมั่นแก่ประชาชน โดย “ไม่เป็นการปิดกั้นการใช้เทคโนโลยีใหม่ ๆ ในการยืนยันความเป็นมนุษย์” แต่อย่างใด” พ.ต.อ. สุรพงศ์ เปล่งขำ กล่าว

ขณะที่ความเคลื่อนไหวล่าสุดในเพจ World Thailand ได้ออกมาประะกาศโดยสามารถสรุปได้ว่า “ตามที่ได้รับหนังสือจาก สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) บริษัทฯ ได้ระงับกระบวนการยืนยันตัวตนด้วย “ข้อมูลชีวมิติ” ในไทยชั่วคราว ตามคำสั่ง พีดีพีซี แม้จะทำตามกฎหมายแล้วก็ตาม ซึ่งตัวแอปพลิเคชั่นยังสามารถใช้งานแอปได้ตามปกติ และกำลังเจรจากับหน่วยงานไทยเพื่อกลับมาเปิดให้ยืนยันตัวตนอีกครั้ง”

ข่าวที่เกี่ยวข้อง

• PDPC แจงประชาชนระวัง “สแกนม่านตา” ย้อนกลับ ระบุตัวบุคคลได้
• World Thailand เคลียร์ 5 ประเด็นสำคัญที่เข้าใจผิด “สแกนม่านตา” ย้ำปลอดภัยพร้อมเป็นศัตรูกับมิจฉาชีพ

ส่วนขยาย

* บทความเรื่องนี้น่าจะเป็นประโยชน์สำหรับการวิเคราะห์ในมุมมองที่น่าสนใจ 
** เขียน: ชลัมพ์ ศุภวาที (บรรณาธิการ และผู้สื่อข่าว) 
*** ขอขอบคุณภาพประกอบบางส่วนจาก N/A

สามารถกดติดตามข่าวสาร และบทความทางด้านเทคโนโลยีของเราได้ที่  www.facebook.com/itday.in.th