‘สคส.’ แจงประชาชนระวัง ‘สแกนม่านตา’ ย้อนกลับระบุตัวบุคคลได้

เมื่อวันที่ 20 ก.ย. 68 ผู้สื่อข่าวรายงานว่า แฟนเพจ “สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล – สคส.” ได้ออกมาโพสต์ข้อความเตือนภัยการสแกนม่านตาแลกเหรียญ WorldID อาจย้อนระบุตัวบุคคลได้ แม้ระบบอ้างว่าลบข้อมูลแล้วก็ตาม ย้ำ “ข้อมูลม่านตาเป็นข้อมูลอ่อนไหว” ต้องขอความยินยอมอย่างโปร่งใส หากไม่แจ้งวัตถุประสงค์ชัดเจน เข้าข่ายฝ่าฝืนมาตรา 26 ของ PDPA เสี่ยงโทษปรับสูงสุด 5 ล้านบาท

โดยเพจสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล – สคส. ระบุข้อความว่า “สคส. จี้บริษัทเคลียร์ให้ชัด แจงประชาชนระวัง “สแกนม่านตา” ย้อนกลับ ระบุตัวบุคคลได้ ภายหลังการจัดให้มีการตรวจพิสูจน์หลักฐานการลบทำลายข้อมูลม่านตาในกรณีสแกนม่านตาแลกเหรียญ WorldID พบว่าผู้ที่สแกนม่านตาไปแล้วไม่สามารถสแกนซ้ำได้ จึงชัดเจนว่าการสแกนม่านตา นอกจากมีวัตถุประสงค์ในการยืนยันความเป็นมนุษย์แล้ว ยังมีวัตถุประสงค์ในการตรวจสอบไม่ให้ซ้ำบุคคลเดิมอีกด้วย แม้ว่าในการทำงานของ Orb จะมีการลบทำลายข้อมูลม่านตาหรือไม่ก็ตาม ก็ถือได้ว่าข้อมูลม่านตาดังกล่าวสามารถย้อนกลับมาระบุถึงตัวบุคคลนั้นได้ไม่ว่าทางตรงทางอ้อม ซึ่งประเด็นนี้ประชาชนควรต้องทราบก่อนตัดสินใจให้ความยินยอมเข้าสแกนม่านตา”

อีกทั้ง “สคส. ขีดเส้นแดงความโปร่งใส และสิทธิของประชาชนเจ้าของข้อมูลส่วนบุคคลต้องมาก่อน เตือนหากขอ Consent ไม่โปร่งใส หรือแจ้งวัตถุประสงค์ไม่ชัดเจน หรือไม่ได้แยกส่วนจากข้อความอื่น เสี่ยงโทษปรับสูงสุด 5 ล้าน พร้อมย้ำ “ข้อมูลม่านตาคือข้อมูลอ่อนไหว” มีความเสี่ยงสูงที่อาจส่งผลกระทบต่อสิทธิของเจ้าของข้อมูลส่วนบุคคลอย่างร้ายแรงได้”

โดยผลการตรวจพิสูจน์เบื้องต้นพบ มีดังต่อไปนี้
1. Orb ไม่ใช่อุปกรณ์เดียว ที่เกี่ยวข้องกับกิจกรรมนี้ ยังมี server และอุปกรณ์อื่นร่วมด้วย
2. การลบข้อมูลใน Orb ไม่สามารถพิสูจน์ได้ว่าข้อมูลถูกทำลายหมดจริง เพราะเมื่อสแกนซ้ำ ระบบยัง “รู้ว่าเป็นคนเดิม” ดังนั้น ในการขอ Consent จึงต้องแจ้งวัตถุประสงค์ให้ชัดว่า “สามารถย้อนมาระบุตัวบุคคลได้”
3. Iris Code ถูกแปลงมาจากข้อมูลม่านตาซึ่งเป็นข้อมูลชีวภาพอ่อนไหวแล้วฝังลงในโทรศัพท์ ตามจริยธรรมการใช้ข้อมูลต้องไม่นำไปให้ผู้อื่นใช้ ดังนั้น ในการขอ Consent จึงต้องแจ้งให้ชัดว่า “ใช้ได้เฉพาะเจ้าของโทรศัพท์ผู้สแกนม่านตาเท่านั้น”
4. ตรวจสอบ Privacy Notice พบว่าแต่ละเวอร์ชัน มีวัตถุประสงค์และเนื้อหาต่างกัน จึงให้บริษัทตรวจสอบและแก้ไขให้ถูกต้องสอดคล้องกับ PDPA ต่อไป

นอกจากนี้ “หากไม่ปฏิบัติตามข้อ 2 และข้อ 3 ถือว่าเป็นการขอความยินยอมที่ไม่ชอบด้วยกฎหมาย เข้าข่ายฝ่าฝืนมาตรา 26 ของ PDPA (เก็บรวบรวมข้อมูลอ่อนไหวโดยมิได้รับความยินยอมโดยชัดแจ้ง) มีโทษตามมาตรา 84 ปรับทางปกครองสูงสุดไม่เกิน 5 ล้านบาท สังคมต้องการ “ความโปร่งใส” และ “สิทธิของเจ้าของข้อมูล” มาเป็นอันดับแรก เพื่อป้องกันไม่ให้ประชาชนหลงให้ความยินยอมทั้งที่ยังไม่อาจทราบวัตถุประสงค์ที่ชัดเจนอันอาจมีผลต่อการตัดสินใจในการให้ข้อมูล และอาจมีผลต่อความสงบเรียบร้อยและศีลธรรมอันดีของประชาชนอีกด้วย”

อย่างไรก็ตาม “สคส.ขอย้ำว่า กรณีนี้ไม่ใช่เพียงการคุ้มครองข้อมูลส่วนบุคคลแต่เป็นการรักษาความสงบเรียบร้อย และศีลธรรมอันดีของประชาชนด้วย ซึ่งความหวังอยู่ที่การบังคับใช้กฎหมาย PDPA ดังนั้นต้องดำเนินการอย่างเคร่งครัด ทั้งนี้ หากประชาชนผู้ใดได้รับความเสียหายตาม กม. PDPA สามารถใช้สิทธิร้องเรียนมายัง สคส. ได้ทาง ระบบรับคำร้องเรียน: https://complaint.pdpc.or.th/ หรือโทร 02-111-8800 กด 2 เรื่องร้องเรียน”

ขอบคุณข้อมูล : สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล – สคส.

ที่มา : 'สคส.' แจงประชาชนระวัง 'สแกนม่านตา' ย้อนกลับระบุตัวบุคคลได้ | เดลินิวส์