เมื่อวันที่ 20 ก.ย. 68 ผู้สื่อข่าวรายงานว่า แฟนเพจ “สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล – สคส.” ได้ออกมาโพสต์ข้อความเตือนภัยการสแกนม่านตาแลกเหรียญ WorldID อาจย้อนระบุตัวบุคคลได้ แม้ระบบอ้างว่าลบข้อมูลแล้วก็ตาม ย้ำ “ข้อมูลม่านตาเป็นข้อมูลอ่อนไหว” ต้องขอความยินยอมอย่างโปร่งใส หากไม่แจ้งวัตถุประสงค์ชัดเจน เข้าข่ายฝ่าฝืนมาตรา 26 ของ PDPA เสี่ยงโทษปรับสูงสุด 5 ล้านบาท

โดยเพจสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล – สคส. ระบุข้อความว่า “สคส. จี้บริษัทเคลียร์ให้ชัด แจงประชาชนระวัง “สแกนม่านตา” ย้อนกลับ ระบุตัวบุคคลได้ ภายหลังการจัดให้มีการตรวจพิสูจน์หลักฐานการลบทำลายข้อมูลม่านตาในกรณีสแกนม่านตาแลกเหรียญ WorldID พบว่าผู้ที่สแกนม่านตาไปแล้วไม่สามารถสแกนซ้ำได้ จึงชัดเจนว่าการสแกนม่านตา นอกจากมีวัตถุประสงค์ในการยืนยันความเป็นมนุษย์แล้ว ยังมีวัตถุประสงค์ในการตรวจสอบไม่ให้ซ้ำบุคคลเดิมอีกด้วย แม้ว่าในการทำงานของ Orb จะมีการลบทำลายข้อมูลม่านตาหรือไม่ก็ตาม ก็ถือได้ว่าข้อมูลม่านตาดังกล่าวสามารถย้อนกลับมาระบุถึงตัวบุคคลนั้นได้ไม่ว่าทางตรงทางอ้อม ซึ่งประเด็นนี้ประชาชนควรต้องทราบก่อนตัดสินใจให้ความยินยอมเข้าสแกนม่านตา”

อีกทั้ง “สคส. ขีดเส้นแดงความโปร่งใส และสิทธิของประชาชนเจ้าของข้อมูลส่วนบุคคลต้องมาก่อน เตือนหากขอ Consent ไม่โปร่งใส หรือแจ้งวัตถุประสงค์ไม่ชัดเจน หรือไม่ได้แยกส่วนจากข้อความอื่น เสี่ยงโทษปรับสูงสุด 5 ล้าน พร้อมย้ำ “ข้อมูลม่านตาคือข้อมูลอ่อนไหว” มีความเสี่ยงสูงที่อาจส่งผลกระทบต่อสิทธิของเจ้าของข้อมูลส่วนบุคคลอย่างร้ายแรงได้”

โดยผลการตรวจพิสูจน์เบื้องต้นพบ มีดังต่อไปนี้
1. Orb ไม่ใช่อุปกรณ์เดียว ที่เกี่ยวข้องกับกิจกรรมนี้ ยังมี server และอุปกรณ์อื่นร่วมด้วย
2. การลบข้อมูลใน Orb ไม่สามารถพิสูจน์ได้ว่าข้อมูลถูกทำลายหมดจริง เพราะเมื่อสแกนซ้ำ ระบบยัง “รู้ว่าเป็นคนเดิม” ดังนั้น ในการขอ Consent จึงต้องแจ้งวัตถุประสงค์ให้ชัดว่า “สามารถย้อนมาระบุตัวบุคคลได้”
3. Iris Code ถูกแปลงมาจากข้อมูลม่านตา ซึ่งเป็นข้อมูลชีวภาพอ่อนไหวแล้วฝังลงในโทรศัพท์ ตามจริยธรรมการใช้ข้อมูลต้องไม่นำไปให้ผู้อื่นใช้ ดังนั้น ในการขอ Consent จึงต้องแจ้งให้ชัดว่า “ใช้ได้เฉพาะเจ้าของโทรศัพท์ผู้สแกนม่านตาเท่านั้น”
4. ตรวจสอบ Privacy Notice พบว่าแต่ละเวอร์ชัน มีวัตถุประสงค์และเนื้อหาต่างกัน จึงให้บริษัทตรวจสอบและแก้ไขให้ถูกต้องสอดคล้องกับ PDPA ต่อไป

นอกจากนี้ “หากไม่ปฏิบัติตามข้อ 2 และข้อ 3 ถือว่าเป็นการขอความยินยอมที่ไม่ชอบด้วยกฎหมาย เข้าข่ายฝ่าฝืนมาตรา 26 ของ PDPA (เก็บรวบรวมข้อมูลอ่อนไหวโดยมิได้รับความยินยอมโดยชัดแจ้ง) มีโทษตามมาตรา 84 ปรับทางปกครองสูงสุดไม่เกิน 5 ล้านบาท สังคมต้องการ “ความโปร่งใส” และ “สิทธิของเจ้าของข้อมูล” มาเป็นอันดับแรก เพื่อป้องกันไม่ให้ประชาชนหลงให้ความยินยอม ทั้งที่ยังไม่อาจทราบวัตถุประสงค์ที่ชัดเจน อันอาจมีผลต่อการตัดสินใจในการให้ข้อมูล และอาจมีผลต่อความสงบเรียบร้อยและศีลธรรมอันดีของประชาชนอีกด้วย”

อย่างไรก็ตาม “สคส. ขอย้ำว่า กรณีนี้ไม่ใช่เพียงการคุ้มครองข้อมูลส่วนบุคคลแต่เป็นการรักษาความสงบเรียบร้อย และศีลธรรมอันดีของประชาชนด้วย ซึ่งความหวังอยู่ที่การบังคับใช้กฎหมาย PDPA ดังนั้นต้องดำเนินการอย่างเคร่งครัด ทั้งนี้ หากประชาชนผู้ใดได้รับความเสียหายตาม ก.ม. PDPA สามารถใช้สิทธิร้องเรียนมายัง สคส. ได้ทาง ระบบรับคำร้องเรียน: https://complaint.pdpc.or.th/ หรือโทร. 0-2111-8800 กด 2 เรื่องร้องเรียน”

ขอบคุณข้อมูล : สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล – สคส.