ดีอี ฟันบริษัทดัง สแกนม่านตาแลกคริปโต สั่งลบข้อมูล 1.2 ล้านคน
ต้นกุมภาฯ อีจัน
24 พฤศจิกายน 2568
ดีอี เผยความคืบหน้ากรณีธุรกิจ “สแกนม่านตาแลกเหรียญคริปโต” ที่สร้างความกังวลต่อสังคมในวงกว้าง ทั้งในมิติความปลอดภัยของข้อมูลชีวภาพ และความถูกต้องตามกฎหมาย
โดยย้ำว่า สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) หรือ POPC ได้ติดตามและตรวจสอบเรื่องนี้อย่างต่อเนื่อง ตั้งแต่เริ่มพบข้อสงสัยจนนำไปสู่คำสั่งทางปกครองของคณะกรรมการผู้เชี่ยวชาญที่สั่งให้ระงับการเก็บรวบรวมข้อมูลม่านตา เพื่อแลกเหรียญคริปโตเพิ่มเติม และให้ลบ หรือทำลายข้อมูลส่วนบุคคลของประชาชนจำนวน 1.2 ล้านรายด้วย
วันนี้ (24 พ.ย.68) นายไชยชนก ชิดชอบ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) เปิดเผยว่า กระทรวงฯ ให้ความสำคัญและส่งเสริมเทคโนโลยีปัญญาประดิษฐ์ (AI) และเทคโนโลยีสมัยใหม่ที่ใช้ในการยืนยันความเป็นมนุษย์
อย่างไรก็ตาม เงื่อนไขของผู้ให้บริการที่ใช้ในการเก็บรวบรวมข้อมูลส่วนบุคคลประเภท “ข้อมูลชีวภาพ” จะต้องมีความชัดเจนและต้องทำภายใต้กรอบที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด เพื่อไม่ก่อให้เกิดความเสียหายต่อประชาชนซึ่งเป็นเจ้าของข้อมูลส่วนบุคคล
โดยคณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) หรือ PDPC ได้พิจารณารายละเอียดธุรกิจสแกนม่านตาแลกเหรียญคริปโต มีลักษณะเป็นการเก็บรวบรวมข้อมูลม่านตา ซึ่งเป็นข้อมูลส่วนบุคคลประเภทข้อมูลชีวภาพ รวมถึงพยานหลักฐาน
และคำชี้แจงของผู้ให้บริการธุรกิจดังกล่าว พบว่า การขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลเพื่อเก็บรวบรวมข้อมูลชีวภาพ ซึ่งเป็นข้อมูลส่วนบุคคลประเภทข้อมูลอ่อนไหว มิได้ดำเนินการตามหลักเกณฑ์ที่กฎหมายกำหนด
กล่าวคือ ผู้ให้บริการได้ใช้วิธีจูงใจประชาชนด้วยการมอบเหรียญคริปโตเคอเรนซีเป็นค่าตอบแทน เพื่อแลกกับการให้ความยินยอมในการเก็บรวบรวมข้อมูลม่านตา ซึ่งถือได้ว่าเป็นการขอความยินยอมที่ไม่เป็นไปโดยอิสระตามที่กฎหมายกำหนด
นอกจากนั้น การแจ้งวัตถุประสงค์ในชั้นตอนการขอความยินยอมแจ้งว่าเพื่อยืนยันความเป็นมนุษย์เท่านั้น แต่จากการตรวจสอบพบว่า ผู้เคยสแกนม่านตาไปแล้วไม่สามารถสแกนซ้ำได้ จึงชี้ให้เห็นว่าการดำเนินการดังกล่าวมีวัตถุประสงค์เพื่อยืนยันถึงตัวบุคคลที่สแกนไปแล้วด้วย การใช้ข้อมูลส่วนบุคคลดังกล่าวจึงเกินขอบเขตวัตถุประสงค์ที่ขอความยินยอมตั้งแต่แรก
พ.ต.อ. สุรพงศ์ เปล่งขำ เลขาธิการคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล กล่าวว่า ภายหลังจากการพิจารณาพยานเอกสาร พยานวัตถุ และคำชี้แจงของผู้ให้บริการ คณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 ได้มีคำสั่งทางปกครอง ดังนี้
1.ให้ผู้ให้บริการและบุคคลที่เกี่ยวข้องกับการเก็บข้อมูลม่านตา ระงับหรืองดการเก็บรวบรวมข้อมูลส่วนบุคคลใน รูปแบบการสแกนม่านตาเพื่อรับเหรียญคริปโตเคอเรนชีเพิ่มเติมโดยทันที และรายงานผลการดำเนินการดังกล่าวต่อ สคส. ภายใน 7 วัน
2.ให้ผู้ให้บริการและบุคคลที่เกี่ยวข้อง ลบทำลายข้อมูลม่านตาและข้อมูลส่วนบุคคลอื่นที่เกี่ยวข้องของประชาชนจำนวน 1.2 ล้านคนทั้งหมด เพื่อป้องกันการโอนย้ายถ่ายเทข้อมูลส่วนบุคคลดังกล่าวไปยังต่างประเทศ โดยไม่ถูกกฎหมาย
การมีคำสั่งให้ดำเนินการดังกล่าว เป็นไปเพื่อคุ้มครองข้อมูลส่วนบุคคลของประชาชนที่รั่วไหล และไม่ให้นำเอา ข้อมูลส่วนบุคคลดังกล่าวไปใช้โดยไม่ถูกต้อง ซึ่งอาจนำไปสู่การซื้อขาย หรือใช้ประโยชน์ทางพาณิชย์โดยไม่ถูกต้อง ซึ่งคำวินิจฉัยของคณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 เป็นไปตามกรอบกฎหมายของพระราชบัญญัติคุ้มครองข้อมูล ส่วนบุคคล พ.ศ. 2562 (PDPA)
และเป็นไปตามมาตรการสากลโดยจากการตรวจสอบเบื้องต้น พบประเทศอื่นๆ ไม่น้อยกว่า 8 ประเทศได้มีการแบนการดำเนินการนี้ไปแล้วเช่นกัน โดยประเทศที่มีคำสั่งระงับชัดเจน 5 ประเทศได้แก่ เยอรมัน สเปน เกาหลีใต้ อินโดนีเซีย และบราซิล
ทั้งนี้ จากการตรวจสอบร่วมกับหน่วยงานที่เกี่ยวข้อง นอกจากการตรวจพบการกระทำความผิดตามกฎหมายว่า ด้วยการคุ้มครองข้อมูลส่วนบุคคลดังกล่าวแล้ว ยังมีประเด็นที่น่าสงสัยอื่นๆ เช่น กรณีมีขบวนการจ้างคนมาสแกนม่านตาแลกเหรียญ เพื่อนำไปให้บุคคลอื่นใช้
โดยการตรวจสอบขยายผลของ ก.ล.ต.และตำรวจไซเบอร์ได้ตรวจพบและมีการจับกุมผู้รับแลกเหรียญดิจิทัลโดยไม่ได้รับอนุญาตมาแล้วหลายราย จึงเป็นเหตุสงสัยว่าอาจมีประเด็นที่เกี่ยวข้องกับความผิดตามกฎหมายอื่นๆ อีก
“ในส่วนนี้จะได้มีการสืบสวนขยายผลโดยเจ้าหน้าที่ DSI และเจ้าหน้าที่หน่วยงานอื่นๆ ที่เกี่ยวข้องต่อไป สำหรับความเสียหาย หรือโทษบริษัทจะได้รับกฎหมายทางปกครองคือปรับ 500,000-5,000,000 บาทต่อ 1 ไอดีที่ข้อมูลหลุดไป ซึ่งขึ้นอยู่กับการตรวจสอบ“