ข่าวสารและบทความล่าสุด

เมื่อวันที่ 24 พฤศจิกายน 2568 นายไชยชนก ชิดชอบ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม และสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ได้จัดงานแถลงข่าวผลการตรวจสอบธุรกิจ “สแกนม่านตาแลกเหรียญคริปโต” โดยคณะกรรมการผู้เชี่ยวชาญ ชุดที่ 2 ของ สคส. จากการตรวจสอบพบการไม่ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศไทย ดังนี้

• การขอความยินยอมไม่ถูกต้องตามกฎหมาย เพราะใช้วิธี “จูงใจด้วยผลตอบแทน” ทำให้ความยินยอมไม่เป็นอิสระ

• วัตถุประสงค์ที่แจ้งไว้ไม่ตรงกับการใช้งานจริง โดยแจ้งว่าเป็นการเก็บม่านตาเพื่อยืนยันความเป็นมนุษย์ แต่พบว่าผู้ที่เคยสแกนไม่สามารถสแกนซ้ำได้ แสดงให้เห็นว่ามีการนำข้อมูลไปใช้ยืนยันตัวบุคคลด้วย ซึ่งถือว่าเป็นการประมวลผลข้อมูลส่วนบุคคลเกินกว่าที่แจ้งไว้

• มีความเสี่ยงที่ข้อมูลส่วนบุคคลอาจถูกส่งไปต่างประเทศโดยไม่ชอบด้วยกฎหมาย เนื่องจากไม่ได้มีการแจ้งแต่เจ้าของข้อมูลส่วนบุคคล

และจากหลักฐานและคำชี้แจง สคส. จึงมีคำสั่งให้:

1. หยุดการเก็บข้อมูลม่านตาเพิ่มเติมทันที และรายงานผลภายใน 7 วัน

2. ลบข้อมูลม่านตาและข้อมูลส่วนบุคคลของประชาชนกว่า 1.2 ล้านราย เพื่อป้องกันการนำไปใช้ผิดวัตถุประสงค์หรือการส่งออกข้อมูลโดยไม่ได้รับอนุญาต

สคส. ระบุว่าคำสั่งนี้ออกเพื่อป้องกันความเสียหาย อาทิ การรั่วไหล การนำข้อมูลไปขาย หรือใช้ประโยชน์ทางพาณิชย์โดยมิชอบ และสอดคล้องกับหลักการคุ้มครองข้อมูลส่วนบุคคลของสากล เนื่องจากการตรวจสอบพบว่า ปัจจุบันปรากฏการสั่งระงับการให้บริการของธุรกิจลักษณะเดียวกันนี้ในอีกหลายประเทศ อาทิ เยอรมนี สเปน เกาหลีใต้ อินโดนีเซีย และบราซิล และนอกจากนี้ ยังพบเบาะแสการว่าจ้างให้ผู้อื่นมาสแกนม่านตาแทน ซึ่งเป็นประเด็นที่ต้องตรวจสอบเพิ่มเติม

 แม้การแถลงข่าวของ สคส. ในลักษณะนี้จะไม่ใช่ครั้งแรก แต่ถือเป็นครั้งแรกที่ได้รับความสนใจจากประชาชนในวงกว้าง พร้อมกระแสโต้กลับในเชิงลบเป็นจำนวนมาก จึงเป็นประเด็นที่น่าสนใจและสะท้อนให้เห็นคำถามสำคัญเกี่ยวกับรูปแบบการให้บริการของธุรกิจดังกล่าว ตลอดจนหลักการคุ้มครองข้อมูลส่วนบุคคลของไทยเกี่ยวกับข้อมูลชีวมิติ

ทำความรู้จัก World ID

World ID คือ ระบบที่พัฒนาขึ้นมาเพื่อยืนยันความเป็นมนุษย์ (Proof of Personhood) ที่พัฒนาโดย Tools for Humanity ซึ่งก่อตั้งโดย Sam Altman (CEO ของ Open AI) และ Alex Blania โดยมีเป้าหมายเพื่อสร้างโครงสร้างพื้นฐานด้านตัวตนดิจิทัลที่สามารถแยกแยะ “มนุษย์จริง” ออกจากบอต (Bot) หรือปัญญาประดิษฐ์ในโลกออนไลน์ เพื่อป้องกันการปลอมแปลงตัวตนและการฉ้อโกงในยุคของ AI ที่พัฒนาอย่างรวดเร็ว

กลไกการทำงานของ World ID

World ID ทำงานผ่านอุปกรณ์ชื่อว่า Orb สำหรับสแกนม่านตาเพื่อนำไปประมวลผลเป็น "Iris Code" (รหัสที่สร้างจากข้อมูลม่านตา) ซึ่งบริษัทอ้างว่าเป็นรหัสทางเดียวที่ไม่สามารถย้อนกลับเป็นภาพต้นฉบับได้

ข้อมูลที่บริษัทเปิดเผย:

• ไม่เก็บข้อมูลระบุตัวตน เช่น ชื่อ-นามสกุล ที่อยู่ หรือเลขบัตรประชาชน

• หลังสร้าง Iris Code ภาพม่านตาต้นฉบับจะถูกลบทันที

• Iris Code จะถูกจัดเก็บแบบเข้ารหัสใน World App บนโทรศัพท์ของผู้ใช้งานเท่านั้น

• Tools for Humanity ไม่สามารถเข้าถึงหรือดึงข้อมูลได้

มาตรการสร้างความเชื่อมั่นของ World ID

• Open Source: ซอฟต์แวร์ทั้งหมดเปิดให้ตรวจสอบโค้ดได้บน GitHub/world

• การตรวจสอบความปลอดภัย: ผ่านการตรวจสอบจาก Trail of Bits (บริษัทผู้เชี่ยวชาญด้านไซเบอร์ซีเคียวริตี้ที่ทำงานให้กับ Ethereum และหน่วยงานรัฐบาลสหรัฐฯ)

อย่างไรก็ตาม ในหลายประเทศ โครงการนี้ได้ทำการประชาสัมพันธ์หรือจูงใจให้ร่วมใช้บริการผ่านการมอบโทเคนดิจิทัลเป็นสิ่งตอบแทนการสแกนม่านตา ส่งผลให้เกิดข้อกังวลเรื่องความยินยอมว่าเป็นไปโดยอิสระหรือไม่

ข้อมูลส่วนบุคคลที่เกี่ยวข้องกับ World ID

 ข้อมูลส่วนบุคคลที่ World ID เลือกใช้เป็นหลักคือ “ข้อมูลม่านตา” ซึ่งถือเป็นข้อมูลชีวมิติประเภทหนึ่ง และเข้าข่ายเป็นข้อมูลส่วนบุคคลอ่อนไหวตามมาตรา 26 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ที่ต้องได้รับความยินยอมโดยชัดแจ้งก่อนการเก็บรวบรวม ใช้ หรือเปิดเผย ทั้งนี้เนื่องจากข้อมูลชีวมิติมีคุณสมบัติสำคัญ ได้แก่

(1) ใช้ระบุตัวบุคคลได้อย่างแม่นยำสูงและเฉพาะเจาะจง

(2) มีความคงทนตลอดชีวิตและไม่สามารถเปลี่ยนใหม่ได้ (แตกต่างจากรหัสผ่านหรือเอกสารระบุตัวตนที่เปลี่ยนได้)

(3) หากรั่วไหลจะก่อให้เกิดความเสียหายที่ไม่อาจเยียวยาได้

และนอกจากความเสี่ยงของประเภทข้อมูลชีวมิติแล้ว World ID ยังเผชิญข้อกังวลด้านการคุ้มครองข้อมูลส่วนบุคคลในอีกหลายประเด็น ดังนี้

• ความจำเป็นและความเหมาะสมของการเก็บข้อมูลม่านตาเพื่อวัตถุประสงค์ “ยืนยันความเป็นมนุษย์” ซึ่งอาจถือเป็นการใช้ข้อมูลที่ “เกินความจำเป็น” เมื่อเทียบกับวิธีการระบุตัวบุคคลแบบอื่นที่มีความเสี่ยงต่ำกว่า

• ความโปร่งใสในการแจ้งวัตถุประสงค์และการใช้ข้อมูล เนื่องจากข้อมูลชีวมิติสามารถถูกนำไปเชื่อมโยงกับฐานข้อมูลอื่นจนเกิดเป็น profiling หรือการติดตามพฤติกรรม

• ความกังวลเรื่อง “ความยินยอมโดยเสรี” โดยเฉพาะในกรณีที่มีการใช้แรงจูงใจ เช่น การมอบโทเคนดิจิทัล ซึ่งอาจทำให้ความยินยอมไม่เป็นไปโดยอิสระตามหลัก PDPA

• ความเสี่ยงในการโอนข้อมูลไปต่างประเทศหรือการเข้าถึงโดยบุคคลที่สาม ซึ่งอาจกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคลอย่างมีนัยสำคัญ

แม้กรณี World ID จะเป็นจุดเปลี่ยนที่ทำให้คนไทยจำนวนมากหันมาตระหนักถึงบทบาทของหน่วยงานกำกับดูแลในการ “แทรกแซง” และเพิกถอนความยินยอมของเจ้าของข้อมูลส่วนบุคคลเพื่อคุ้มครองประโยชน์สาธารณะ แต่จริง ๆ แล้ว นี่ ไม่ใช่กรณีแรก ที่หน่วยงานด้านข้อมูลส่วนบุคคลในประเทศต่างๆ ใช้อำนาจเช่นนี้กับเทคโนโลยีที่มีความเสี่ยงสูงด้านข้อมูลชีวมิติหรือข้อมูลปริมาณมาก (data-intensive technologies) โดยขอยกตัวอย่างกรณีศึกษา ดังนี้

1) Clearview AI — Facial Recognition Case

Clearview AI พัฒนาเทคโนโลยีจดจำใบหน้าโดย “ดึงภาพจากโซเชียลมีเดียและอินเทอร์เน็ต” โดยที่บุคคลในภาพไม่เคยรู้หรือให้ความยินยอม ข้อมูลดังกล่าวถูกนำไปขายให้หน่วยงานรัฐและตำรวจในหลายประเทศ โดยหน่วยงานกำกับหลายแห่งทั่วโลกพบว่ามีการเก็บข้อมูลชีวมิติ (ใบหน้า) โดยไม่ได้รับความยินยอม มีความโปร่งใสต่ำ และไม่มีฐานกฎหมายที่ชอบด้วยกฎหมาย ต่อมาจึงมีการสั่งลบข้อมูลใบหน้า ปรับเงิน และสั่งหยุดประมวลผลในหลายประเทศ อาทิ สหราชอาณาจักร ประเทศฝรั่งเศส ประเทศอิตาลี ประเทศออสเตรเลีย และประเทศแคนาดา

2) Meta / Facebook – การสร้าง “Shadow Profiles” และ Off-Facebook Activity

Meta ถูกพบว่าเก็บข้อมูลเกี่ยวกับกิจกรรมของผู้ใช้นอกแพลตฟอร์ม (Off-Facebook Activity) ผ่าน Pixel และ tracking technology จำนวนมากโดยไม่แจ้งให้ผู้ใช้ทราบ ไม่ได้รับความยินยอมที่ชัดเจน และอ้างฐานกฎหมายไม่ถูกต้อง (เช่น “legitimate interest”) กับการทำ behavioural ads ต่อมาจึงถูกหน่วยงานกำกับในหลายประเทศสั่งปรับ Meta หลายร้อยล้านยูโร และบังคับให้ Meta ปรับระบบการประมวลผลข้อมูล

3) TikTok – การประมวลผลข้อมูลเด็กและข้อมูลชีวมิติโดยไม่ได้รับความยินยอมที่ถูกต้อง

TikTok ถูกตรวจสอบว่าประมวลผลข้อมูลของเด็ก เช่น ประวัติการใช้งาน ความสนใจ ข้อมูลชีวมิติจากวิดีโอ โดยไม่ได้รับความยินยอมที่ถูกต้อง รวมถึงปล่อยให้บัญชีเด็กเป็น “Public” โดยค่าเริ่มต้น (default settings) ต่อมาจึงถูกหน่วยงานกำกับในยุโรปและอังกฤษสั่งปรับรวมหลายร้อยล้านยูโร และสั่งให้ TikTok เปลี่ยนระบบการประมวลผลสำหรับเยาวชน

4) Aadhaar – ระบบทะเบียนชีวมิติระดับประเทศ (ประเทศอินเดีย)

โครงการ Aadhaar เป็นระบบระบุตัวบุคคลระดับชาติของอินเดีย ดำเนินการโดย Unique Identification Authority of India (UIDAI) ซึ่งเก็บข้อมูลชีวมิติ ได้แก่ ม่านตา ลายนิ้วมือ ภาพใบหน้า รวมถึงข้อมูลประชากรพื้นฐาน ครอบคลุมประชากรมากกว่า 1.3 พันล้านคน ทำให้เป็นฐานข้อมูลชีวมิติที่ใหญ่ที่สุดในโลก ใช้เป็น “ID กลาง” ในการเข้าถึงบริการรัฐหลายประเภท

โครงการนี้ถูกวิพากษ์วิจารณ์อย่างกว้างขวางในประเด็นความจำเป็นและความได้สัดส่วน ความเสี่ยงจากการติดตามประชาชนเนื่องจากถูกใช้ในหลายบริการ และความเสี่ยงจากการรั่วไหลของข้อมูลชีวมิติระดับประเทศ ต่อมาศาลสูงสุดอินเดียในคดี Puttaswamy (2018) มีคำวินิจฉัยว่าระบบ Aadhaar สามารถดำเนินการได้ แต่ต้องมีข้อจำกัดสำคัญ ได้แก่ ห้ามภาคเอกชนบังคับใช้ Aadhaar จำกัดการใช้งานเฉพาะบริการของรัฐที่จำเป็น และยืนยัน “สิทธิในความเป็นส่วนตัว” เป็นสิทธิขั้นพื้นฐานของประชาชนอินเดีย

5) Grindr – การเปิดเผยข้อมูลอ่อนไหวไปยัง third-party advertisers

Grindr เป็นแอปหาคู่สำหรับกลุ่ม LGBTQ+ ซึ่งโดยธรรมชาติของบริการ ผู้ใช้งานมักเปิดเผยข้อมูลที่เข้าข่าย “ข้อมูลอ่อนไหว” ตาม GDPR เช่น เพศสภาพหรือรสนิยมทางเพศ พฤติกรรมการใช้แอป และตำแหน่งที่ตั้ง โดยหากข้อมูลเหล่านี้ถูกละเมิดอาจก่อให้เกิดความเสี่ยงสูงต่อผู้ใช้งาน เช่น การถูกเลือกปฏิบัติหรือความปลอดภัยส่วนบุคคล ซึ่งหน่วยงานกำกับของประเทศนอร์เวย์ตรวจสอบพบว่า Grindr ได้เปิดเผยข้อมูลส่วนบุคคลของผู้ใช้งานให้แก่บริษัทโฆษณาบุคคลภายนอก โดยไม่ได้อาศัยความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เนื่องจากผู้ใช้งานแอปจะถูกบังคับให้ ‘ยินยอมทั้งหมด’ เพื่อเข้าถึงบริการโดยไม่มีทางเลือกที่แท้จริง และไม่มีการแจ้งถึงการเปิดเผยข้อมูลส่วนบุคคลไปยังหน่วยงานภายนอก ภายหลังจากตรวจสอบหน่วยงานกำกับของนอร์เวย์จึงสั่งปรับ Grindr กว่า 6.3 ล้านยูโร และสั่งให้ปรับปรุงรูปแบบการให้ความยินยอมให้เป็นไปตามกฎหมาย GDPR และให้หยุดเปิดเผยข้อมูลไปยังบริษัทคู่ค้า แม้ผู้ใช้จำนวนมากจะไม่รู้ว่าข้อมูลถูกส่งออกไปก็ตาม

บทเรียนร่วม: หลักการคุ้มครองข้อมูลในยุคเทคโนโลยีเสี่ยงสูง

กรณีตัวอย่างจากหลายประเทศ เช่น Clearview AI, Meta, TikTok, Aadhaar และ Grindr ล้วนมีลักษณะคล้ายกับกรณี World ID คือเป็นเทคโนโลยีที่เกี่ยวข้องกับข้อมูลจำนวนมากและข้อมูลอ่อนไหวสูง

ลักษณะร่วมของกรณีเหล่านี้

1. ช่องว่างด้านความเข้าใจ

ประชาชนส่วนใหญ่ยังไม่มีความเข้าใจเกี่ยวกับการเก็บและใช้ข้อมูลส่วนบุคคลในรูปแบบนี้มากนัก หรือไม่ได้รับข้อมูลอย่างครบถ้วนตั้งแต่ต้น

2. การแทรกแซงเชิงป้องกัน

เมื่อเทคโนโลยีมีความเสี่ยงสูงต่อสิทธิส่วนบุคคล ทั้งภาครัฐและประชาชนอาจไม่สามารถประเมินผลกระทบได้อย่างชัดเจน ทำให้หลายประเทศเลือกใช้มาตรการเข้าตรวจสอบหรือชะลอการดำเนินงาน โดยที่ไม่ได้มีการร้องเรียนจากเจ้าของข้อมูลโดยตรง ทั้งนี้ก็เพื่อป้องกันความเสียหายที่อาจเกิดขึ้นในวงกว้าง

3. ข้อมูลที่ต้องให้ความระมัดระวังสูง

• ข้อมูลชีวมิติ (ม่านตา ลายนิ้วมือ ใบหน้า)

• ข้อมูลเด็ก

• ข้อมูลพฤติกรรมส่วนตัว

• ข้อมูลที่เปลี่ยนใหม่ไม่ได้หากเกิดการรั่วไหล

กรณีทั้งหมดนี้สะท้อนหลักการร่วมกันว่า ภาครัฐมีหน้าที่ปกป้องสิทธิของประชาชนในสถานการณ์ที่ข้อมูลมีความเสี่ยงสูง ในขณะเดียวกันประชาชนเองก็ต้องได้รับข้อมูลที่เพียงพอและโปร่งใสเพื่อเข้าใจความเสี่ยงและตัดสินใจได้อย่างเหมาะสม ซึ่งสอดคล้องกับสิ่งที่เกิดขึ้นในกรณี World ID ในประเทศไทยเช่นกัน

ทางออก: สมดุลระหว่างนวัตกรรมและการคุ้มครอง

การหลีกเลี่ยงการใช้เทคโนโลยีในการดำเนินการกับข้อมูลส่วนบุคคลย่อมไม่ใช่คำตอบที่แท้จริงของปัญหาในปัจจุบัน แต่การวางแผนเพื่อประเมินความเสี่ยง เตรียมพร้อมมาตรการรักษาความปลอดภัยที่เหมาะสมเพียงพอ และการปฏิบัติตามมาตรฐานของกฎหมายคุ้มครองข้อมูลส่วนบุคคลจะช่วยให้ทั้งภาครัฐและภาคเอกชนสามารถปฏิบัติหน้าที่หรือให้บริการได้อย่างมีประสิทธิภาพ บนพื้นฐานของการคุ้มครองข้อมูลส่วนบุคคลท่ามกลางความก้าวหน้าทางเทคโนโลยีที่พัฒนาอย่างรวดเร็ว

หากมีข้อสงสัยเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลที่มีความเสี่ยงสูง หรือต้องการคำปรึกษาเพิ่มเติมเกี่ยวกับการกำกับดูแลข้อมูลส่วนบุคคล สามารถติดต่อ Athentic Consulting ได้ผ่านช่องทางต่างๆ เพื่อรับคำแนะนำจากทีมผู้เชี่ยวชาญของเรา

แหล่งอ้างอิง

• ภาพประกอบ https://positioningmag.com/1537014
• Tools for Humanity — World ID Overview. https://world.org/world-id
• https://www.marketingoops.com/digital-life/world-id-iris-scan-proof-of-human/
• KU Leuven Centre for IT & IP Law (CiTiP) — Worldcoin’s biometric proof of personhood: data protection analysis. https://www.law.kuleuven.be/citip/blog/worldcoins-biometric-proof-of-personhood
• ICO (UK): https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2022/05/ico-fines-clearview-ai-inc-7-5m
• CNIL (France): https://www.cnil.fr/en/cnils-sanctions-clearview-ai
• Garante (Italy): https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9753708
• OAIC (Australia): https://www.oaic.gov.au/privacy/privacy-decisions/investigation-into-clearview-ai-inc
• OPC (Canada): https://www.priv.gc.ca/en/opc-actions-and-decisions/ar_index/202103/
•   EDPB Binding Decisions: https://edpb.europa.eu
• Irish DPC Press Release: https://www.dataprotection.ie
• ICO Off-Facebook Activity info: https://ico.org.uk
•   Irish DPC: https://www.dataprotection.ie
• UK ICO: https://ico.org.uk
• FTC COPPA enforcement: https://www.ftc.gov