สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) หรือ PDPC ชี้แจงความคืบหน้ากรณี “สแกนม่านตา แลกเหรียญคริปโทฯ” ว่า ธุรกิจดังกล่าว ไม่ได้ดำเนินการตามหลักเกณฑ์ที่กฎหมายกำหนด คือ ผู้ให้บริการได้ใช้วิธีจูงใจประชาชนด้วยการมอบเหรียญคริปโทฯ เป็นค่าตอบแทน เพื่อแลกกับความยินยอมในการเก็บรวบรวมข้อมูลม่านตา ซึ่งถือได้ว่าเป็นการขอความยินยอมที่ไม่เป็นไปโดยอิสระตามที่กฎหมายกำหนด
นอกจากนั้น การแจ้งวัตถุประสงค์ในขั้นตอนการขอความยินยอม แจ้งว่าเพื่อยืนยันความเป็นมนุษย์เท่านั้น แต่จากการตรวจสอบพบว่า ผู้เคยสแกนม่านตาไปแล้ว ไม่สามารถสแกนซ้ำได้ จึงชี้ให้เห็นว่าการดำเนินการดังกล่าว มีวัตถุประสงค์เพื่อยืนยันถึงตัวบุคคลที่สแกนไปแล้วด้วย
ดังนั้น การใช้ข้อมูลส่วนบุคคลดังกล่าว จึงเกินขอบเขตวัตถุประสงค์ที่ขอความยินยอมตั้งแต่แรก
จากการพิจารณาพยานเอกสาร พยานวัตถุ และคำชี้แจงของผู้ให้บริการ สคส. จึงได้มีคำสั่งทางปกครองดังนี้
1. ให้ผู้ให้บริการและบุคคลที่เกี่ยวข้องกับการเก็บข้อมูลม่านตา “ระงับ” หรือ “งด” การเก็บรวบรวมข้อมูลส่วนบุคคลในรูปแบบการสแกนม่านตา เพื่อรับเหรียญคริปโทฯ เพิ่มเติมโดยทันที และรายงานผลการดำเนินการสคส. ภายใน 7 วัน
2.ให้ผู้ให้บริการและบุคคลที่เกี่ยวข้อง ลบทำลายข้อมูลม่านตา และข้อมูลส่วนบุคคลอื่นที่เกี่ยวข้องของประชาชน 1.2 ล้านคนทั้งหมด เพื่อป้องกันการโอนย้ายถ่ายเทข้อมูลส่วนบุคคลดังกล่าวไปยังต่างประเทศ โดยไม่ถูกกฎหมาย
นอกจากนี้ จากการตรวจสอบร่วมกับหน่วยงานที่เกี่ยวข้อง นอกจากการตรวจพบการกระทำความผิดด้วยการคุ้มครองข้อมูลส่วนบุคคลดังกล่าวแล้ว ยังมีประเด็นที่น่าสงสัยอื่น ๆ เช่น กรณีมีขบวนการจ้างคนมาสแกนม่านตาแลกเหรียญ เพื่อนำไปให้บุคคคอื่นใช้ โดยการตรวจสอบขยายผลของสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (ก.ล.ต.) และตำรวจไซเบอร์ ได้ตรวจพบและมีการจับกุมผู้รับแลกเหรียญดิจิทัลโดยไม่ได้รับอนุญาตมาแล้วหลายราย จึงเป็นเหตุสงสัยว่าอาจมีประเด็นที่เกี่ยวข้องกับความผิดตามกฎหมายอื่น ๆ อีก ซึ่งในส่วนนี้ จะได้สืบสวนขยายผลโดยเจ้าหน้าที่กรมสอบสวนคดีพิเศษ (DSI) และเจ้าที่หน่วยงานอื่น ๆ ที่เกี่ยวข้องต่อไป
การมีคำสั่งให้ดำเนินการดังกล่าว เป็นไปเพื่อคุ้มครองข้อมูลส่วนบุคคลของประชาชนที่รั่วไหล และไม่ให้นำเอาข้อมูลส่วนบุคคลดังกล่าวไปใช้โดยไม่ถูกต้อง ซึ่งอาจนำไปสู่การซื้อขาย หรือใช้ประโยชน์ทางพาณิชย์โดยไม่ถูกต้อง โดยคำวินิจฉัยดังกล่าว เป็นไปตามกรอบกฎหมายของพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) และเป็นไปตามมาตรการสากล โดยจากการตรวจสอบเบื้องต้น พบประเทศอื่น ๆ ไม่น้อยกว่า 8 ประเทศ ได้แบนการดำเนินการนี้ไปแล้วเช่นกัน โดยประเทศที่มีคำสั่งระงับชัดเจน 5 ประเทศ ได้แก่ เยอรมนี, สเปน, เกาหลีใต้, อินโดนีเซีย และบราซิล
โดย สำนักข่าวอินโฟเควสท์ (24 พ.ย. 68)
