ดีอี-สคส. ลงดาบ! สั่งระงับสแกนม่านตาแลกคริปโต
ดีอี-สคส. ลงดาบ! สั่งระงับและให้ลบข้อมูล 1.2 ล้านราย สแกนม่านตาแลกคริปโต
ในวันที่ 24 พฤศจิกายน กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) ร่วมกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ได้ออกมาแถลงข่าวอย่างเป็นทางการเกี่ยวกับกรณีธุรกิจที่ใช้วิธี สแกนม่านตาแลกคริปโต ซึ่งกลายเป็นประเด็นร้อนที่สร้างความกังวลให้กับสังคมในวงกว้าง โดยเฉพาะในด้านความปลอดภัยของข้อมูลชีวภาพและข้อกฎหมายที่เกี่ยวข้อง
นายไชยชนก ชิดชอบ รัฐมนตรีว่าการกระทรวงดีอี เปิดเผยว่า หลังจากที่คณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 ของ สคส. ได้พิจารณารายละเอียดต่าง ๆ อย่างรอบคอบ พบว่า ธุรกิจนี้มีลักษณะการเก็บรวบรวมข้อมูลม่านตา ซึ่งจัดเป็น ข้อมูลชีวภาพ — หนึ่งในข้อมูลส่วนบุคคลประเภทอ่อนไหวตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
ปัญหาหลักของการสแกนม่านตาแลกคริปโต
ประเด็นสำคัญที่ สคส. พบคือ การขอความยินยอมจากประชาชนในการเก็บข้อมูลชีวภาพไม่ได้ดำเนินการตามหลักเกณฑ์ที่กฎหมายกำหนด ผู้ให้บริการใช้วิธี จูงใจด้วยการมอบเหรียญคริปโตเคอเรนซี เป็นค่าตอบแทน เพื่อแลกกับการให้ความยินยอมในการสแกนม่านตา ซึ่งถือเป็นการขอความยินยอมที่ ไม่เป็นไปโดยอิสระ ตามที่กฎหมายบัญญัติไว้
นอกจากนี้ วัตถุประสงค์ที่แจ้งไว้ในขั้นตอนการขอความยินยอมคือ “เพื่อยืนยันความเป็นมนุษย์” เท่านั้น แต่จากการตรวจสอบพบว่า ผู้ที่เคยสแกนม่านตาไปแล้ว ไม่สามารถสแกนซ้ำได้ ซึ่งชี้ให้เห็นว่าการดำเนินการดังกล่าวมีวัตถุประสงค์เพื่อยืนยันตัวบุคคลด้วย นั่นหมายความว่าการใช้ข้อมูลส่วนบุคคลเกินขอบเขตวัตถุประสงค์ที่ขอความยินยอมไว้แต่แรก
ข้อมูล 1.2 ล้านรายต้องถูกลบภายใน 7 วัน
ข้อมูลเบื้องต้นระบุว่า มีประชาชนที่เข้าร่วมโครงการ สแกนม่านตาแลกคริปโต ไปแล้วกว่า 1.2 ล้านคน ซึ่งถือเป็นตัวเลขที่น่าตกใจ และอาจก่อให้เกิดความเสียหายร้ายแรงหากข้อมูลเหล่านี้รั่วไหลหรือถูกนำไปใช้อย่างไม่ถูกต้อง
พ.ต.อ. สุรพงศ์ เปล่งขำ เลขาธิการคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล กล่าวว่า คณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 ได้ออกคำสั่งทางปกครอง 2 ข้อสำคัญ ดังนี้
- ระงับการสแกนม่านตาแลกคริปโต โดยห้ามดำเนินการเพิ่มเติม และต้องรายงานผลการดำเนินการภายใน 7 วัน
- ลบข้อมูลม่านตาและข้อมูลส่วนบุคคล ทั้งหมดของประชาชน 1.2 ล้านราย เพื่อป้องกันการโอนย้ายข้อมูลไปต่างประเทศโดยผิดกฎหมาย
การตัดสินใจครั้งนี้ไม่ใช่การปิดกั้นเทคโนโลยีใหม่ ๆ แต่เป็นการ คุ้มครองข้อมูลส่วนบุคคล ของประชาชนตามกรอบกฎหมายและมาตรฐานสากล ซึ่งมีประเทศอื่น ๆ ไม่น้อยกว่า 8 ประเทศที่ได้ออกมาตรการแบนการดำเนินการลักษณะนี้แล้ว ได้แก่ เยอรมนี สเปน เกาหลีใต้ อินโดนีเซีย และบราซิล
ความผิดอาจเข้าข่ายกฎหมายอื่นเพิ่มเติม
นอกจากความผิดตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ยังมีประเด็นน่าสงสัยอื่น ๆ ที่อยู่ระหว่างการสืบสวน โดยพบว่ามี ขบวนการจ้างคนมาสแกนม่านตาแลกเหรียญ เพื่อนำไปให้บุคคลอื่นใช้ ซึ่ง ก.ล.ต. และตำรวจไซเบอร์ได้ตรวจพบและจับกุมผู้ที่แลกเหรียญดิจิทัลโดยไม่ได้รับอนุญาตมาแล้วหลายราย
ในส่วนนี้ ทางดีเอสไอและหน่วยงานที่เกี่ยวข้องจะดำเนินการสืบสวนขยายผลต่อไป เนื่องจากอาจเข้าข่ายความผิดตามกฎหมายอื่น ๆ อีกหลายฉบับ
กระทรวงดีอี ย้ำว่า แม้จะส่งเสริมการใช้เทคโนโลยีปัญญาประดิษฐ์ (AI) และเทคโนโลยีสมัยใหม่ในการยืนยันความเป็นมนุษย์ แต่ทุกการเก็บข้อมูลชีวภาพต้องทำภายใต้กรอบกฎหมาย เพื่อไม่ให้เกิดความเสียหายต่อประชาชน
สิ่งสำคัญที่ควรจำไว้คือ ข้อมูลชีวภาพ เช่น ม่านตา ใบหน้า ลายนิ้วมือ ฯลฯ เป็นข้อมูลที่ ไม่สามารถเปลี่ยนแปลงได้ หากถูกละเมิดหรือรั่วไหล ความเสียหายจะตามมาอย่างถาวร การให้ความยินยอมในการเก็บข้อมูลดังกล่าว จึงควรกระทำด้วยความเข้าใจและอิสระ ไม่ใช่แลกเปลี่ยนกับของรางวัลหรือสิ่งจูงใจ
การออกมาตรการครั้งนี้ของ ดีอี-สคส. ถือเป็นการส่งสัญญาณชัดเจนว่า แม้จะเปิดกว้างกับนวัตกรรม แต่ความปลอดภัยของข้อมูลส่วนบุคคลของประชาชนจะต้องมาก่อนเสมอ
