PDPC สั่งชะลอสแกนม่านตา ชูบททดสอบใหญ่ตัวกฎหมายคุ้มครองข้อมูลส่วนบุคคล
“สุรพงศ์ เปล่งขำ” เลขาฯ PDPC ขีดเส้นแดงข้อมูลชีวมิติ หลังกรณีสแกนม่านตาแลกรับสินทรัพย์ดิจิทัล หวั่นสร้างแรงกังวลสังคม ย้ำเทคโนโลยีชีวมิติต้องไม่ละเมิดสิทธิ พร้อมสั่งบริษัทพิสูจน์การลบ–ทำลายข้อมูลก่อนดำเนินการต่อ
KEY
POINTS
- PDPC ได้แนะนำให้ผู้ให้บริการโครงการสแกนม่านตาเพื่อแลกสินทรัพย์ดิจิทัล ชะลอการดำเนินการออกไปก่อน
- เนื่องจากความกังวลด้านความปลอดภัยของ "ข้อมูลชีวมิติ" ซึ่งเป็นข้อมูลอ่อนไหว และบริษัทผู้ให้บริการยังไม่สามารถพิสูจน์กระบวนการทำลายข้อมูลได้อย่างโปร่งใส
- PDPC ได้จัดประชุมเร่งด่วนร่วมกับหน่วยงานที่เกี่ยวข้องหลายฝ่าย เช่น ก.ล.ต. และตำรวจไซเบอร์ เพื่อกำหนดมาตรการคุมเข้มในการเก็บ ใช้ และตรวจสอบข้อมูลม่านตา
- มีการกำหนดแนวทางเร่งด่วน 3 ด้าน คือ การพิสูจน์กระบวนการจัดเก็บ และทำลายข้อมูล, การควบคุมผู้รับจ้างสแกนเพื่อป้องกันมิจฉาชีพ และการเปิดเผยขั้นตอนความปลอดภัยอย่างโปร่งใส
- กรณีนี้ถูกยกให้เป็น "บททดสอบสำคัญ" ของการบังคับใช้กฎหมาย PDPA เพื่อแสดงให้เห็นถึงความสามารถในการรักษาสมดุลระหว่างนวัตกรรมกับข้อมูลส่วนบุคคล
กรณีโครงการสแกนม่านตาเพื่อแลกรับสินทรัพย์ดิจิทัล กำลังเป็นที่ถกเถียงในสังคม และจุดกระแสความกังวลด้านความปลอดภัยของข้อมูลส่วนบุคคล โดยเฉพาะ “ข้อมูลชีวมิติ” ที่ถือเป็นข้อมูลอ่อนไหวตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) ล่าสุด สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส. หรือ PDPC) ได้เรียกประชุมด่วนกับหลายหน่วยงานที่เกี่ยวข้อง และแนะให้ผู้ให้บริการชะลอการสแกนออกไปก่อน จนกว่าจะพิสูจน์ได้ว่ามีกระบวนการทำลายข้อมูลที่โปร่งใส
พ.ต.อ. สุรพงศ์ เปล่งขำ เลขาธิการ สคส. เปิดเผยว่า ปรากฏการณ์ที่มีประชาชนจำนวนมากเข้าร่วมกิจกรรมดังกล่าว ทำให้เกิดคำถามสำคัญว่า ข้อมูลม่านตาที่เก็บไว้นั้นปลอดภัยเพียงใด ถูกใช้หรือส่งต่อไปที่ใด และเก็บไว้นานเท่าไร ซึ่งเป็นประเด็นที่ต้องได้รับการตรวจสอบอย่างเข้มงวด
เมื่อวันที่ 4 ก.ย. 2568 สคส. ได้ประชุมเร่งด่วนร่วมกับพันธมิตรหลายฝ่าย ได้แก่ ก.ล.ต., สอท., ปอท., โฆษกรัฐสภา รวมถึงคณะกรรมาธิการคุ้มครองผู้บริโภค และภาคเอกชน โดยมีทีมศูนย์เฝ้าระวังการละเมิดข้อมูลส่วนบุคคล (PDPC Eagle Eye) ร่วมตรวจสอบ ทั้งนี้ ได้เชิญบริษัทเจ้าของโครงการเข้าชี้แจงและส่งหลักฐานเพิ่มเติมตามที่ร้องขอ
สาระสำคัญของการหารือมุ่งไปที่ “มาตรการคุมเข้ม” ครอบคลุมการเก็บ ใช้ และตรวจสอบข้อมูลชีวมิติ โดยเฉพาะข้อมูลม่านตา ซึ่งถูกจัดเป็นข้อมูลอ่อนไหวขั้นสูง และมีแนวทางเร่งด่วน 3 ด้าน คือ
1. การจัดเก็บและทำลายข้อมูล ต้องพิสูจน์ว่ามีกระบวนการลบหรือทำลายหลังสิ้นสุดวัตถุประสงค์ พร้อมหลักฐานยืนยัน
2. การควบคุมการรับจ้างสแกนม่านตา เพื่อป้องกันมิจฉาชีพหลอกลวง พร้อมจัดส่งข้อมูลให้ตรวจสอบ
3. ความปลอดภัยและการขอความยินยอม ผู้ให้บริการต้องเปิดเผยขั้นตอนอย่างโปร่งใส เช่น วิธีการเข้ารหัส วัตถุประสงค์การใช้ และมาตรการป้องกันความเสี่ยง
อย่างไรก็ตาม ที่ประชุมเห็นว่าหลักฐานการทำลายข้อมูลยังไม่ชัดเจนเพียงพอ จึงแนะนำให้บริษัทพิสูจน์ต่อสาธารณะ และบริษัทได้ตัดสินใจชะลอการสแกนไว้ก่อนจนกว่าจะกำหนดวันแสดงหลักฐานต่อไป
พ.ต.อ. สุรพงศ์ ย้ำว่า “เทคโนโลยีชีวมิติจะต้องไม่ถูกนำมาใช้ละเมิดสิทธิ และทุกการเก็บข้อมูลต้องอยู่ภายใต้ความยินยอมจริง” พร้อมระบุว่ากรณีนี้เป็น “หมุดหมายสำคัญ” ของการบังคับใช้กฎหมาย PDPA และจะสะท้อนถึงความสามารถของไทยในการรักษาสมดุลระหว่างนวัตกรรมดิจิทัลกับสิทธิความเป็นส่วนตัว
กรณีสแกนม่านตาคือบททดสอบว่า PDPA ไทยจะสามารถปกป้องสิทธิประชาชนได้จริงหรือไม่
เขากล่าวย้ำว่า เพื่อให้บริษัทเร่งพิสูจน์ความโปร่งใสในการทำลายข้อมูล เพื่อสร้างความเชื่อมั่นแก่สังคม