ระงับสแกนม่านตา 1.2 ล้านราย ขัดกฎหมาย PDPA

24 พ.ย. 2568 - 11:18

  • PDPC สั่งระงับข้อมูลม่านตาเพื่อแลกเหรียญคริปโต เพราะขัดกับกฎหมาย

  • PDPC ให้เหตุผลว่า คำสั่งให้ดำเนินการ เป็นไปเพื่อคุ้มครองข้อมูลส่วนบุคคลของประชาชนที่รั่วไหล

  • กระทรวงดิจิทัล สั่งผู้ให้บริการลบข้อมูลภายใน 7 วัน พิจารณามาตรการปรับหากผู้เข้าโครงการฟ้องร้อง

ระงับสแกนม่านตา 1.2 ล้านราย ขัดกฎหมาย PDPA

กรณีธุรกิจ "สแกนม่านตาแลกเหรียญคริปโต" สำนักงานคณะกรรมการคุ้มครองข้อมูล ส่วนบุคคล (สคส.) หรือ PDPC ได้ติดตามตรวจสอบและมีคำสั่งทางปกครองของคณะกรรมการผู้เชี่ยวชาญที่สั่งให้ระงับการเก็บรวบรวมข้อมูลม่านตาเพื่อแลกเหรียญคริปโตเพิ่ม โดยให้ลบหรือทำลายข้อมูลส่วนบุคคลของประชาชนจำนวน 1.2 ล้านรายด้วย

นายไชยชนก ชิดชอบ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ("กระทรวงฯ") กล่าวว่า เงื่อนไขของผู้ให้บริการที่ใช้ในการเก็บรวบรวมข้อมูล ส่วนบุคคลประเภท "ข้อมูลชีวภาพ" จะต้องมีความชัดเจนและต้องทำภายใต้กรอบที่กฎหมายคุ้มครองข้อมูลส่วน บุคคลกำหนด เพื่อไม่ก่อให้เกิดความเสียหายต่อประชาชนซึ่งเป็นเจ้าของข้อมูลส่วนบุคคล

คณะกรรมการผู้เชียวชาญ คณะที่ 2 สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส) หรือ PDPC ได้พิจารณารายละเอียดธุรกิจ "สแกนม่านตาแลกเหรียญคริปโต" ว่ามีลักษณะเป็นการเก็บรวบรวมข้อมูลม่านตา เป็นข้อมูลส่วนบุคคลประเภท"ข้อมูลชีวภาพ"รวมถึงพยานหลักฐาน และคำชี้แจงของผู้ให้บริการธุรกิจดังกล่าวพบว่า การขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลเพื่อเก็บรวบรวม "ข้อมูลชีวภาพ" เป็นข้อมูลส่วนบุคคลประเภทข้อมูลอ่อนไหว โดยไม่ได้ดำเนินการตามหลักเกณฑ์ที่กฎหมายกำหนด

ผู้ให้บริการได้ใช้วิธีจูงใจประชาชนด้วยการมอบเหรียญคริปโตเคอเรนซีเป็นค่าตอบแทน เพื่อแลกกับการให้ความยินยอมในการเก็บรวบรวม ข้อมูลม่านตา ถือได้ว่าเป็นการขอความยินยอมที่ไม่เป็นไปโดยอิสระตามที่กฎหมายกำหนด นอกจากนั้นการแจ้ง วัตถุประสงค์ในขั้นตอนการขอความยินยอมแจ้งว่าเพื่อยืนยันความเป็นมนุษย์ จากการตรวจสอบพบว่า ผู้เคยสแกนม่านตาไปแล้วไม่สามารถสแกนซ้ำได้ จึงชี้ให้เห็นว่าการดำเนินการดังกล่าวมีวัตถุประสงค์เพื่อยืนยันถึงตัว บุคคลที่สแกนไปแล้วด้วย การใช้ข้อมูลส่วนบุคคลดังกล่าวจึงเกินขอบเขตวัตถุประสงค์ที่ขอความยินยอมตั้งแต่แรก

จากการตรวจสอบพบว่าผู้ให้บริการแจ้งข้อมูลไม่ครบถ้วน เข้าข่ายการขอความยินยอมโดยไม่ถูกต้องตามกฎหมาย PDPA จึงได้เสนอคณะกรรมการผู้เชี่ยวชาญให้ระงับข้อมูลสแกนม่านตา โดยจะมีการพิจารณาปรับผู้ให้บริการ คณะกรรมการอยู่ระหว่างการพิจารณา มาตรการที่ใช้เป็นมาตรการสากล มีมากกว่า 8 ประเทศ อาทิ เยอรมัน สเปน เกาหลีใต้ ที่มีการดำเนินการลักษณะนี้และได้มีการแบนไปแล้ว

"เราตรวจพบว่าได้มีการดำเนินการหลายรูปแบบ ซึ่ง PDPC  ได้ทำการตรวจสอบ พบว่าผู้ที่สแกนม่านตาไม่ได้ทราบถึงข้อเท็จจริงที่ได้ดำเนินการ ซึ่งตรวจสอบแล้วพบว่าไม่ได้มีมาตรการคุ้มครองข้อมูลส่วนบุคคล เราจะส่งข้อมูลต่อให้ได้กสทช.พิจารณาการกำกับดูแลต่อไป การลบข้อมูลเราได้แจ้งไปแล้วโดยให้ลบภายใน 7 วัน "

รมว.ดิจิทัล ฯ กล่าวสรุปว่า เทคโนโลยีไม่ได้ผิด เรื่องนี้อยู่ที่ผู้ที่นำเทคโนโลยีนี้เข้ามา ผู้ที่ถูกสแกนม่านตาไปแล้วล้านกว่าคน หากมีเทคโนโลยีในอนาคตที่สร้างไอดีได้ เท่ากับ บุคคลที่สแกนม่านตาไปแล้วมีความเสี่ยงทันทัน เราจะไม่สามารถรู้ได้ว่าข้อมูลถูกเก็บไว้ที่ไหน เราจึงต้องตระหนักและคุ้มครองข้อมูลทันที ม่านตาเปลี่ยนแปลงไม่ได้ไม่เหมือนพาสเวิร์ด หรือเบอร์โทรศัพท์

กองบรรณาธิการ SPACEBAR
กองบรรณาธิการ SPACEBAR
เรื่อง

เรื่องเด่นประจำสัปดาห์