จากกรณีมีการใช้อุปกรณ์สแกนม่านตา ชื่อว่า Orb ในการสแกนเก็บข้อมูลม่านตาของประชาชนเพื่อยืนยันตัวตน แลกเหรียญWorldID ภายหลังจัดให้มีการตรวจพิสูจน์หลักฐานการลบทำลายข้อมูลม่านตา พบว่า ผู้ที่สแกนม่านตาไปแล้วไม่สามารถสแกนซ้ำได้ จึงชัดเจนว่าการสแกนม่านตา นอกจากมีวัตถุประสงค์ในการยืนยันความเป็นมนุษย์แล้ว ยังมีวัตถุประสงค์ในการตรวจสอบไม่ให้ซ้ำบุคคลเดิมอีกด้วย แม้ว่าในการทำงานของ Orb จะมีการลบทำลายข้อมูลม่านตาหรือไม่ก็ตาม ก็ถือได้ว่าข้อมูลม่านตาดังกล่าวสามารถย้อนกลับมาระบุถึงตัวบุคคลนั้นได้ไม่ว่าทางตรงทางอ้อม ซึ่งประเด็นนี้ประชาชนควรต้องทราบก่อนตัดสินใจให้ความยินยอมเข้าสแกนม่านตา
พ.ต.อ. สุรพงศ์ เปล่งขำ เลขาธิการคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) หรือ PDPC เปิดเผยว่า กรณีนี้ไม่เพียงเกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล แต่ยังสะท้อนถึง ความสงบเรียบร้อยและศีลธรรมอันดีของสังคมไทย
พร้อมเน้นย้ำว่า “ข้อมูลชีวมิติ (Biometric Data) โดยเฉพาะม่านตา ถือเป็นข้อมูลอ่อนไหวตามกฎหมาย ต้องได้รับความยินยอมอย่างถูกต้องและโปร่งใส” พร้อมระบุ 2 เงื่อนไขสำคัญที่จะสร้างความสงบเรียบร้อยและความเชื่อมั่น คือ
1. ความโปร่งใส (Transparency) ในการแจ้งวัตถุประสงค์ที่แท้จริง และ
2. การคุ้มครองสิทธิของเจ้าของข้อมูล (Data Subject Rights) อย่างครบถ้วน
ทั้งนี้ ที่ผ่านมาจากการตรวจสอบของ สคส. พบข้อกังวลหลายประเด็น โดยบริษัทแม้อ้างว่ามีการ “ลบทำลายข้อมูล” การสแกนม่านตามีวัตถุประสงค์เป็นเพียงการยืนยันความเป็นมนุษย์เท่านั้น มิได้มีวัตถุประสงค์ในการระบุยืนยันถึงตัวบุคคล แต่ยังไม่มีหลักฐานที่สามารถยืนยันได้อย่างชัดเจนว่ามีการลบทำลายจริงหรือไม่อย่างไร
อีกทั้งยังพบกรณีการจ้างบุคคลเข้ามาสแกนม่านตาเพื่อแลกเหรียญ ซึ่งก่อให้เกิดความไม่สงบเรียบร้อยและเสี่ยงต่อการถูกนำไปใช้ในทางมิชอบ แม้ว่าบริษัทจะชี้แจงว่าไม่มีส่วนเกี่ยวข้องกับมิจฉาชีพ แต่ สคส. เห็นว่าจำเป็นต้องมีมาตรการป้องกันเชิงรุก อาทิ การจัดทำข้อความแจ้งเตือน การติดตั้งป้ายประชาสัมพันธ์ที่ชัดเจน และการจัดเจ้าหน้าที่ควบคุมการสแกนในพื้นที่จริง
และแม้ว่า บริษัทได้ชะลอการสแกนม่านตา และกำหนดวันแสดงหลักฐานต่อสาธารณชน ผลการแสดงหลักฐานพบว่า ผู้ที่สแกนแล้วไม่สามารถสแกนซ้ำได้อีก แสดงว่าการสแกนม่านตามีวัตถุประสงค์ทั้งเพื่อยืนยันความเป็นมนุษย์และป้องกันการซ้ำบุคคล แม้จะอ้างว่ามีการลบข้อมูล แต่ข้อมูลม่านตายังสามารถย้อนกลับไประบุตัวบุคคลได้ไม่ว่าทางตรงหรือทางอ้อม ซึ่งประชาชนควรรับรู้ก่อนตัดสินใจยินยอมสแกน
พ.ต.อ. สุรพงศ์ ระบุว่า หากการขอความยินยอม (Consent) ไม่แจ้งวัตถุประสงค์ให้ชัดเจนว่า ข้อมูลยังสามารถย้อนกลับมายืนยันตัวบุคคลได้ อาจถือเป็นการขอความยินยอมโดยไม่ชอบด้วยกฎหมาย ตามมาตรา 19 วรรค 3 อันเข้าข่ายเป็นการฝ่าฝืนตามมาตรา 26 คือการเก็บรวบรวมข้อมูลอ่อนไหว โดยไม่ได้รับความยินยอมอย่างชัดแจ้ง มีโทษตามมาตรา 84 ของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งมีโทษปรับทางปกครองสูงสุดถึง 5 ล้านบาท
“เรื่องนี้ไม่ใช่เพียงประเด็นการคุ้มครองข้อมูลส่วนบุคคล แต่คือความมั่นคงของสังคม ซึ่งมาตรการในการคุ้มครองข้อมูลส่วนบุคคลคือ ต้องสื่อสารข้อเท็จจริงให้ประชาชนเข้าใจอย่างตรงไปตรงมา ทาง สคส. จะดำเนินการให้เป็นไปตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลอย่างเคร่งครัด และสมดุลกับการพัฒนาเทคโนโลยีให้สอดคล้องกับบริบทสังคมไทยต่อไป” พ.ต.อ. สุรพงศ์ กล่าว
โดย สำนักข่าวอินโฟเควสท์ (20 ก.ย. 68)
