xs
xsm
sm
md
lg

'ดีอี' สั่งลบข้อมูลม่านตา 1.2 ล้านราย ปมสแกนแลกคริปโต ละเมิด PDPA

เผยแพร่:   ปรับปรุง:   โดย: ผู้จัดการออนไลน์



'ดีอี' คุมเข้มสแกนม่านตาแลกคริปโต 'สคส.' สั่งลบข้อมูล 1.2 ล้านราย ชี้ความยินยอมไม่เป็นอิสระ ผิดหลัก PDPA ส่งต่อ DSI สืบสวนเส้นทางธุรกิจต้องสงสัย พร้อมเตือนความเสี่ยงข้อมูลชีวภาพหลุด กระทบตัวตนดิจิทัลประชาชนในอนาคต

นายไชยชนก ชิดชอบ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) เปิดเผยในงานแถลงข่าว สั่งระงับและให้ลบข้อมูล 1.2 ล้านราย เคสสแกนม่านตาแลกเหรียญไม่ถูกหลัก PDPA ว่า กระทรวงดีอี สนับสนุนการใช้เทคโนโลยีสมัยใหม่และปัญญาประดิษฐ์ (AI) เพื่อยืนยันความเป็นมนุษย์ อย่างไรก็ตาม การเก็บรวบรวมข้อมูลชีวภาพ (Biometric)หรือข้อมูลชีวภาพที่ใช้ระบุตัวบุคคล เช่น ม่านตา ต้องอยู่ภายใต้กรอบกฎหมายคุ้มครองข้อมูลส่วนบุคคลอย่างเคร่งครัด เพื่อไม่ให้ประชาชนซึ่งเป็นเจ้าของข้อมูลได้รับความเสียหาย

ทั้งนี้ คณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ได้พิจารณาธุรกิจสแกนม่านตาแลกเหรียญคริปโต โดยตรวจสอบพยานเอกสาร พยานวัตถุ และคำชี้แจงของผู้ให้บริการแล้วพบว่า การขอความยินยอมในการเก็บข้อมูลม่านตา ซึ่งเป็นข้อมูลส่วนบุคคลที่มีความอ่อนไหวสูง ไม่เป็นไปตามหลักเกณฑ์ของกฎหมาย PDPA

จากการตรวจสอบพบว่า ผู้ให้บริการใช้วิธีจูงใจให้ประชาชนยินยอมด้วยการให้เหรียญคริปโตเคอเรนซีเป็นค่าตอบแทน แทนที่จะให้เจ้าของข้อมูลตัดสินใจอย่างอิสระ จึงถือว่าเป็นความยินยอมที่ไม่เป็นอิสระตามกฎหมาย นอกจากนี้ ในขั้นตอนขอความยินยอมได้แจ้งวัตถุประสงค์เพียงเพื่อยืนยันความเป็นมนุษย์ แต่ในทางปฏิบัติกลับพบว่า ผู้ที่เคยสแกนม่านตาแล้วไม่สามารถสแกนซ้ำได้ แสดงให้เห็นว่า ระบบถูกใช้เพื่อยืนยันตัวบุคคลที่เคยสแกนมาก่อนด้วย ส่งผลให้การใช้ข้อมูลเกินขอบเขตวัตถุประสงค์ที่แจ้งไว้แต่แรกอย่างชัดเจน


ภายหลังการไต่สวน คณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 จึงมีคำสั่งทางปกครอง 2 ประการ คือ

1.ให้ผู้ให้บริการและบุคคลที่เกี่ยวข้อง ระงับ หรือ งด การเก็บรวบรวมข้อมูลส่วนบุคคลในรูปแบบการสแกนม่านตาเพื่อรับเหรียญคริปโตเคอเรนซีเพิ่มเติมโดยทันที และต้องรายงานผลการดำเนินการต่อ สคส. ภายใน 7 วัน
2.ให้ผู้ให้บริการและบุคคลที่เกี่ยวข้อง ลบ หรือ ทำลาย ข้อมูลม่านตาและข้อมูลส่วนบุคคลอื่นที่เกี่ยวข้องของประชาชนจำนวน 1.2 ล้านรายทั้งหมด เพื่อป้องกันมิให้มีการโอนย้ายถ่ายเทข้อมูลไปต่างประเทศโดยไม่ชอบด้วยกฎหมาย

นายไชยชนก กล่าวว่า คำสั่งดังกล่าวมีเป้าหมายหลักเพื่อคุ้มครองข้อมูลส่วนบุคคลของประชาชนไม่ให้ถูกนำไปใช้ผิดวัตถุประสงค์ หรือถูกซื้อขายหาประโยชน์ในเชิงพาณิชย์โดยมิชอบ โดยคำวินิจฉัยของคณะกรรมการผู้เชี่ยวชาญเป็นไปตามพระราชบัญญัติ (พ.ร.บ.) คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และสอดคล้องกับแนวทางสากล เนื่องจากจากการตรวจสอบพบว่ามีประเทศอื่นไม่น้อยกว่า 8 ประเทศที่ดำเนินการแบนลักษณะกิจกรรมนี้แล้ว โดยมีคำสั่งระงับอย่างชัดเจนในอย่างน้อย 5 ประเทศ ได้แก่ เยอรมนี สเปน เกาหลีใต้ อินโดนีเซีย และบราซิล

ขณะเดียวกัน การตรวจสอบร่วมกับหน่วยงานที่เกี่ยวข้องยังพบข้อสงสัยอื่นที่อาจเข้าข่ายความผิดตามกฎหมายหลายฉบับ เช่น กระบวนการจ้างคนมาสแกนม่านตาแทนผู้อื่น การตั้งจุดสแกนลักษณะลับๆ ใต้คอนโดมิเนียมหรือพื้นที่ปิด และการใช้โทรศัพท์หรืออุปกรณ์ที่ไม่ใช่ของผู้เข้าร่วมสแกนเอง โดยประชาชนบางส่วนไม่เข้าใจระบบคริปโตเคอเรนซี และยอมสแกนเพราะแลกเป็นเงินสดหรือรายได้ในระยะสั้น ทั้งที่จริงแล้วเหรียญตอบแทนเป็นแบบรายเดือน ซึ่งอาจไหลไปยังบุคคลอื่นที่ควบคุมกระเป๋าเงินแทน


กรณีดังกล่าวจึงไม่ได้เป็นเพียงประเด็นเรื่องตั้งโต๊ะหรือจุดสแกนผิดกฎหมายเท่านั้น แต่ยังอาจเกี่ยวพันกับความผิดตามกฎหมายหลักทรัพย์ดิจิทัล กฎหมายฟอกเงิน และกฎหมายอื่นๆ ด้วย จึงมีการประสานหน่วยงานที่เกี่ยวข้อง ได้แก่ สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (ก.ล.ต.) ตำรวจไซเบอร์ กองบังคับการปราบปรามการกระทำความผิดเกี่ยวกับอาชญากรรมทางเทคโนโลยี กรมสอบสวนคดีพิเศษ (DSI) และสำนักงานป้องกันและปราบปรามการฟอกเงิน (ปปง.) เพื่อสืบสวนขยายผลต่อไป

"มาตรการของ สคส. มุ่งไปที่ข้อมูลม่านตาและข้อมูลชีวภาพ ไม่ได้เป็นการสั่งระงับเหรียญคริปโตหรือการเทรดเหรียญทั้งหมด โดยการกำกับดูแลด้านสินทรัพย์ดิจิทัลยังอยู่ในอำนาจของ ก.ล.ต. แต่ในส่วนที่เกี่ยวข้องกับการเก็บ ใช้ และประมวลผลข้อมูลชีวภาพเพื่อแลกเหรียญนั้น ถูกวินิจฉัยว่าไม่ชอบด้วยกฎหมาย PDPA จึงจำเป็นต้องระงับทันที" นายไชยชนก กล่าว

ด้านคณะกรรมการผู้เชี่ยวชาญคณะที่ 2 ได้มีคำสั่งครอบคลุมไปถึงมูลนิธิในต่างประเทศที่พัฒนาโครงการ บริษัทที่นำเข้าอุปกรณ์สแกนม่านตา บริษัทตัวแทนในประเทศไทย และพันธมิตรทางธุรกิจทุกฝ่าย โดยสั่งให้ หยุดเก็บ หยุดใช้ หยุดประมวลผล และหยุดเปิดเผย ข้อมูลม่านตา รวมถึงข้อมูลส่วนบุคคลอื่นที่ผูกกับผู้ใช้ทั้งหมดโดยเด็ดขาด พร้อมให้ทุกฝ่ายรายงานผลภายใน 7 วัน หากไม่ปฏิบัติตาม จะมีโทษปรับทางปกครองวันละ 500,000 บาท และอาจมีโทษอาญาในฐานะละเมิดข้อมูลส่วนบุคคลที่มีความอ่อนไหว

นอกจากนี้ คณะกรรมการยังสั่งให้ ลบและทำลาย ข้อมูลทั้งหมด ไม่ว่าจะอยู่ในรูปแบบข้อมูลดิจิทัลในเซิร์ฟเวอร์ในประเทศหรือต่างประเทศ อยู่ในรูปของข้อมูลม่านตาที่จำลองไว้ในอุปกรณ์ หรืออยู่ในรูปแบบอื่นใดที่สามารถเชื่อมโยงไปถึงตัวบุคคลได้ โดยมีการใช้ผู้เชี่ยวชาญด้านไซเบอร์ตรวจสอบดิจิทัลฟุตพริ้นท์ และติดตามร่องรอยการเก็บและการลบข้อมูลตามมาตรฐานสากล อย่างไรก็ดี เจ้าหน้าที่ก็ยอมรับอย่างตรงไปตรงมาว่า ไม่มีใครสามารถยืนยันได้ร้อยเปอร์เซ็นต์ว่าข้อมูลที่เคยถูกคัดลอกสำรองไปในที่อื่นจะถูกลบออกทั้งหมดแล้วหรือไม่


ในส่วนของโทษปรับนั้น นายไชยชนก กล่าวว่า ขณะนี้คณะกรรมการผู้เชี่ยวชาญกำลังพิจารณามูลค่าปรับที่เหมาะสมต่อหนึ่งไอดีชีวภาพ โดยตามกรอบ PDPA สามารถปรับได้สูงสุดถึง 5 ล้านบาทต่อหนึ่งไอดี ซึ่งสะท้อนให้เห็นถึงระดับความเสี่ยงและความสำคัญของข้อมูลม่านตาที่ถือว่าอ่อนไหวสุด เทียบได้กับ DNA และมีความอ่อนไหวมากกว่าลายนิ้วมือ เนื่องจากม่านตาไม่สามารถเปลี่ยนใหม่ได้เหมือนรหัสผ่านหรือเบอร์โทรศัพท์

ทั้งนี้ ประชาชนที่เคยสแกนม่านตาไปแล้วจะกลายเป็นกลุ่มเสี่ยงทันที หากในอนาคตมีการพัฒนาเทคโนโลยีที่ใช้ม่านตายืนยันตัวตนในการทำธุรกรรมต่างๆ เช่น การล็อกอินโซเชียลมีเดีย หรือการทำธุรกรรมธนาคารออนไลน์ เพราะเมื่อข้อมูลชีวภาพหลุดออกไปแล้ว เจ้าของข้อมูลไม่สามารถรีเซ็ตตัวตนของตัวเองได้ ดังนั้น แม้รัฐจะสั่งลบข้อมูลจากฐานข้อมูลที่ตรวจพบทั้งหมด แต่ก็ยังไม่มีใครสามารถรับประกันได้ว่าข้อมูลจะไม่ถูกคัดลอกและเก็บซ่อนไว้ที่อื่นมาก่อนหน้านี้

"รัฐบาลไม่ได้มีนโยบาย ปิดกั้นเทคโนโลยีใหม่ หรือปฏิเสธแนวคิด World ID แต่อย่างใด หากแต่ยืนหลักว่า ใครก็ตามที่จะเก็บข้อมูลชีวภาพของประชาชนต้องปฏิบัติตามกฎหมายอย่างเข้มงวด ต้องขออนุญาตจากหน่วยงานที่เกี่ยวข้องให้ถูกต้อง และต้องขอความยินยอมจากประชาชนอย่างเป็นอิสระ โปร่งใส และมีการแจ้งวัตถุประสงค์อย่างครบถ้วน" นายไชยชนก กล่าว

ในเชิงโครงสร้างกฎหมาย นายไชยชนก กล่าวว่า จากกรณีนี้ กระทรวงดีอี และหน่วยงานที่เกี่ยวข้องจะรวบรวมข้อมูลทั้งหมด ทั้งจาก สคส. และสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (ETDA) เพื่อนำไปยกระดับมาตรฐานด้านการอนุญาตโครงการที่เกี่ยวข้องกับการเก็บข้อมูลชีวภาพ รวมถึงการควบคุมการนำเข้าอุปกรณ์เก็บข้อมูล เช่น เครื่องสแกนม่านตา หรืออุปกรณ์อ่านชิปข้อมูลส่วนบุคคลอื่นๆ โดยมีแนวทางจะประสานงานไปยังสำนักงานคณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์และกิจการโทรคมนาคมแห่งชาติ (กสทช.) เพื่อเพิ่มมาตรการด้านการกำกับดูแลอุปกรณ์และเครือข่ายที่เกี่ยวข้อง


ขณะที่ ฝั่ง สคส. ยังอธิบายกลไกตามกฎหมายว่า คณะกรรมการผู้เชี่ยวชาญสามารถรับเรื่องเข้าสู่การพิจารณาได้ทั้งจากผู้เสียหายร้องเรียน ตามมาตรา 73 และจากพนักงานเจ้าหน้าที่ตรวจพบการฝ่าฝืน ตามมาตรา 76 ดังนั้น แม้ประชาชนจำนวนมากจะไม่รู้ตัวว่าข้อมูลของตนถูกละเมิด สำนักงานก็ยังสามารถใช้ดุลยพินิจหยิบเรื่องขึ้นมาพิจารณาเองได้ เมื่อเห็นว่ามีความเสี่ยงต่อสาธารณะสูง

สำหรับประชาชนที่เห็นว่าได้รับความเสียหาย ไม่ได้รับผลตอบแทนตามที่โฆษณา หรือถูกนำข้อมูลไปใช้โดยไม่ได้ยินยอมอย่างแท้จริง สามารถไปแจ้งความได้ที่สถานีตำรวจทั่วประเทศ รวมถึงสามารถร้องเรียนมายัง สคส. เพื่อให้ช่วยดำเนินการตามกฎหมายได้ โดยหน่วยงานรัฐทุกฝ่ายยืนยันจะช่วยเหลืออย่างเต็มศักยภาพ

"กระทรวงดีอีและหน่วยงานที่เกี่ยวข้องจะติดตามสถานการณ์อย่างใกล้ชิดในทุกมิติ ทั้งในด้านการตรวจสอบข้อเท็จจริง การยกระดับมาตรฐานกฎหมายให้ทันต่อเทคโนโลยี และการดำเนินการตามกฎหมายกับผู้ที่ละเมิดข้อมูลส่วนบุคคล เพื่อให้ประชาชนได้รับความเป็นธรรม และเพื่อส่งสัญญาณชัดเจนว่า การใช้เทคโนโลยีใหม่ในประเทศไทยต้องไม่แลกมาด้วยความเสี่ยงต่อศักดิ์ศรีและความปลอดภัยของประชาชน" นายไชยชนก กล่าว

'ดีอี' สั่งลบข้อมูลม่านตา 1.2 ล้านราย ปมสแกนแลกคริปโต ละเมิด PDPA
'ดีอี' สั่งลบข้อมูลม่านตา 1.2 ล้านราย ปมสแกนแลกคริปโต ละเมิด PDPA
'ดีอี' สั่งลบข้อมูลม่านตา 1.2 ล้านราย ปมสแกนแลกคริปโต ละเมิด PDPA
'ดีอี' สั่งลบข้อมูลม่านตา 1.2 ล้านราย ปมสแกนแลกคริปโต ละเมิด PDPA
'ดีอี' สั่งลบข้อมูลม่านตา 1.2 ล้านราย ปมสแกนแลกคริปโต ละเมิด PDPA
กำลังโหลดความคิดเห็น