ข่าวสารและบทความล่าสุด

เมื่อวันที่ 24 พฤศจิกายน 2568 นายไชยชนก ชิดชอบ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม และสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ได้จัดงานแถลงข่าวผลการตรวจสอบธุรกิจ “สแกนม่านตาแลกเหรียญคริปโต” โดยคณะกรรมการผู้เชี่ยวชาญ ชุดที่ 2 ของ สคส. ได้มีการพิจารณาวินิจฉัยทั้งพยานหลักฐาน พยานเอกสาร และคำชี้แจงของผู้ให้บริการ และได้มีคำสั่งทางปกครองดังนี้

1. ให้ผู้ให้บริการระงับหรืองดการดำเนินการเก็บรวบรวมข้อมูลผ่านการสแกนม่านตา และรายงานผลการดำเนินการต่อ สคส. ภายใน 7 วัน
2. ให้ผู้ให้บริการลบทำลายข้อมูลม่านตาที่ได้เก็บรวบรวมจากประชาชน

คำสั่งดังกล่าวได้สร้างกระแสวิพากษ์วิจารณ์จากประชาชนที่ใช้บริการอย่างกว้างขวาง โดยมีการตั้งคำถามเกี่ยวกับการใช้อำนาจของ สคส. ว่าเกินขอบเขตหรือไม่ รวมถึงการพิจารณาเหตุผลที่นำมารองรับการตัดสินใจว่า การให้บริการของ World Thailand ไม่เป็นไปตามข้อกำหนดของกฎหมายคุ้มครองข้อมูลส่วนบุคคลนั้นมีความสมเหตุสมผลหรือไม่ โดยบทความนี้จะมีการหยิบยกประเด็นที่น่าสนใจในเชิงลึกจากการแถลงข่าวของ สคส. ที่ผ่านมา มาวิเคราะห์ ดังนี้

ประเด็นที่ 1 : ความยินยอมที่ถูกชักจูง

 การขอความยินยอมถือเป็นหนึ่งในหลักการสำคัญตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล ในกรณีที่ไม่สามารถอ้างอิงฐานการประมวลผลข้อมูลส่วนบุคคลตา พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลฯ มาตรา 24 ได้ หรือมีการประมวลผลข้อมูลส่วนบุคคลอ่อนไหวตามมาตรา 26 ซึ่งรวมไปถึงข้อมูลความคิดเห็นทางการเมือง ศาสนา ข้อมูลการแพ้อาหาร ข้อมูลสุขภาพ หรือข้อมูลชีวมิติ (Biometric) ซึ่งเป็นข้อมูลส่วนบุคคลที่มีความเสี่ยงสูงที่เมื่อประมวลผลอย่างไม่ถูกต้องตามกฎหมายจะก่อให้เกิดการเลือกปฏิบัติ หรือถูกกีดกันอย่างไม่เป็นธรรม และส่งผลกระทบอย่างมากต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล

 ดังนั้นการประมวลผลข้อมูลส่วนบุคคลอ่อนไหวโดยไม่เข้าข้อยกเว้นตามมาตรา 26 การขอความยินยอมอย่างถูกต้องจึงมีความสำคัญมาก เพื่อให้ทางเลือกที่แท้จริงแก่เจ้าของข้อมูลและแสดงให้เห็นถึงความโปร่งใสและสามารถตรวจสอบได้ขององค์กรซึ่งเป็นผู้ควบคุมข้อมูลส่วนบุคคล

 โดยหลักแล้ว การขอความยินยอมจะต้องเป็นไปอย่างเสรี (Freely Given) หมายถึง เจ้าของข้อมูลส่วนบุคคลต้องสามารถเลือกได้อย่างอิสระว่าจะให้ความยินยอมหรือไม่ โดยไม่มีการบังคับว่าต้องให้ความยินยอม เช่น บังคับให้ยินยอมเพื่อใช้บริการ หรือมีการจำกัดสิทธิของเจ้าของข้อมูลหากไม่ให้ความยินยอม กล่าวคือ เจ้าของข้อมูลส่วนบุคคลต้องไม่เสียเปรียบ (without detriment) และต้องสามารถถอนความยินยอมได้โดยง่ายทุกเวลา นอกจากนี้ ความยินยอมต้องไม่ถูกผูกกับข้อกำหนดและเงื่อนไขอื่น ๆ ต้องแยกเป็นหัวข้อย่อยต่างหาก เพื่อให้เจ้าของข้อมูลสามารถให้ความยินยอมได้อย่างเฉพาะเจาะจงสำหรับการประมวลผลข้อมูลส่วนบุคคลที่อาศัยความยินยอมในแต่ละวัตถุประสงค์

 ในส่วนของการจูงใจในการให้ความยินยอมนั้น เมื่อพิจารณาจากความเห็นหรือแนวปฏิบัติของหน่วยงานคุ้มครองข้อมูลส่วนบุคคลของประเทศต่าง ๆ แล้วพบว่า ไม่ได้ถูกห้ามโดยสิ้นเชิง อย่างไรก็ตาม ต้องพิจารณาต่อไปด้วยว่า รางวัลดังกล่าวทำให้ผู้ที่ไม่ให้ความยินยอมเสียเปรียบ หรือไม่สามารถใช้บริการหลักของผู้ให้บริการที่ขอความยินยอมหรือไม่ โดยหน่วยงานคุ้มครองข้อมูลส่วนบุคคลของประเทศต่าง ๆ ได้ให้ความเห็นไว้ดังนี้

สำนักงานกรรมาธิการสารสนเทศแห่งสหราชอาณาจักร (Information Commissioner’s Office: ICO) ได้ให้ความเห็นว่า การจูงใจเพื่อขอความยินยอมสามารถทำได้ในบางระดับ เนื่องจากการให้ความยินยอมมักก่อให้เกิดประโยชน์บางอย่างต่อเจ้าของข้อมูลส่วนบุคคลอยู่แล้ว เช่น การสมัครระบบสมาชิกสะสมแต้มอาจทำให้ได้คูปองส่วนลดราคาสินค้า ซึ่งถือเป็นการจูงใจเพื่อให้ได้รับความยินยอมเพื่อวัตถุประสงค์ทางการตลาด ในกรณีนี้ ถ้าผู้ใช้บริการไม่ให้ความยินยอมในการสมัครสมาชิก จนสูญเสียสิทธิในการได้รับคูปองลดราคานั้น ยังไม่ถือว่าก่อให้เกิดความเสียเปรียบจากการไม่ให้ความยินยอม อย่างไรก็ตาม องค์กรหรือผู้ให้บริการที่เป็นผู้ควบคุมข้อมูลส่วนบุคคลต้องระมัดระวังผลกระทบไม่ให้ข้ามเส้นไปสู่ลักษณะของการลงโทษหรือทำให้เสียเปรียบอย่างไม่เป็นธรรม

นอกจากการไม่บังคับให้ต้องให้ความยินยอมหรือผูกกับข้อกำหนดหรือเงื่อนไขอื่น ๆ ของการใช้บริการแล้ว ยังต้องพิจารณาถึงอำนาจต่อรองที่ต่างกัน (Imbalance of Power) ระหว่างองค์กรผู้ควบคุมข้อมูลส่วนบุคคลและเจ้าของข้อมูลส่วนบุคคลด้วย เช่น ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลเป็นหน่วยงานรัฐ เจ้าของข้อมูลส่วนบุคคลเป็นประชาชน หรือผู้ควบคุมข้อมูลส่วนบุคคลเป็นนายจ้าง เจ้าของข้อมูลส่วนบุคคลเป็นลูกจ้าง เนื่องจากเจ้าของข้อมูลส่วนบุคคลอาจมีความกังวลว่า หากไม่ให้ความยินยอมจะก่อให้เกิดผลกระทบด้านลบ อาจรู้สึกว่าไม่มีตัวเลือกอื่นนอกจากต้องให้ความยินยอม ทำให้ความยินยอมดังกล่าวไม่เป็นไปโดยเสรีได้เช่นเดียวกัน

ในส่วนนี้ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลยุโรป (European Data Protection Board: EDPB) ได้ให้ความเห็นว่า การพิจารณาว่าอำนาจต่อรองระหว่างผู้ควบคุมข้อมูลส่วนบุคคลและเจ้าของข้อมูลส่วนบุคคลแตกต่างกันหรือไม่ ต้องพิจารณาหลายองค์ประกอบ ไม่ว่าจะเป็น ขนาดหรืออำนาจของผู้ให้บริการแพลตฟอร์ม ความจำเป็นในการใช้บริการ ความยุ่งยากหากต้องเปลี่ยนไปใช้บริการกับผู้ให้บริการรายอื่น และผลกระทบต่อชีวิตประจำวันหากไม่ให้ความยินยอม

เมื่อพิจารณาในประเด็นของการให้รางวัลจูงใจกับกรณีของ World Thailand จะเห็นได้ว่า บริการหลักของ World ID คือ การให้บริการหรือพัฒนาระบบยืนยันความเป็นมนุษย์ (Proof of Personhood) ซึ่งพบว่ามีช่องทางในการยืนยันความเป็นมนุษย์ด้วยการสแกนม่านตาเพื่อสร้าง Iris Code หรือรหัสที่สร้างจากข้อมูลม่านตาแค่เพียงวิธีเดียว ไม่ปรากฏว่ามีวิธีอื่นให้ผู้ใช้บริการสามารถยืนยันความเป็นมนุษย์ได้โดยไม่ต้องอาศัยการขอความยินยอม จึงสามารถสรุปได้ว่า แม้จะมีการใช้เหรียญคริปโทเพื่อจูงใจ แต่การไม่ให้ความยินยอมในกรณีนี้ ไม่ได้ส่งผลเพียงแค่ให้ไม่สามารถรับเหรียญคริปโทได้เท่านั้น แต่ยังส่งผลให้ไม่สามารถรับบริการในการยืนยันความเป็นมนุษย์ผ่าน World ID ได้ การจูงใจด้วยคริปโทของ World Thailand นั้นจึงอาจขัดต่อหลัก Freely given ของการขอความยินยอม

สำหรับประเด็นของการขอความยินยอมนั้น ยังมีประเด็นปัญหาเพิ่มเติมคือ การใช้ข้อมูลที่ไม่เป็นไปตามวัตถุประสงค์ที่ได้ขอความยินยอมไว้เมื่อมีการสแกนม่านตาเกิดขึ้น กล่าวคือ การสแกนม่านตามีวัตถุประสงค์เพื่อนำข้อมูลดังกล่าวไปประมวลผลเป็น Iris Code เพื่อใช้ยืนยันความเป็นมนุษย์ และจะมีการลบทำลายทันที อย่างไรก็ตาม เมื่อมีการให้บุคคลที่เคยสแกนม่านตาไปแล้วลองสแกนซ้ำ กลับปรากฏว่าม่านตาดังกล่าวได้ถูกสแกนไปแล้ว แสดงให้เห็นว่าข้อมูล Iris Code นั้นอาจสามารถใช้ในการยืนยันตัวบุคคล (Authentication) รวมไปถึงอาจไม่ได้มีการลบทำลายข้อมูลม่านตาตามที่ World Thailand ได้กล่าวอ้าง ดังนั้นจึงอาจกล่าวได้ว่าการขอความยินยอมในการสแกนม่านตานั้น มีการนำข้อมูลไปใช้นอกวัตถุประสงค์ของการขอความยินยอม จึงเป็นการขอความยินยอมที่ไม่เป็นไปตามหลักกฎหมายคุ้มครองข้อมูลส่วนบุคคล

ประเด็นที่ 2 : ม่านตาสำคัญเทียบเท่า DNA

 ในช่วงหนึ่งของการแถลงข่าว ประเด็นเรื่อง “ข้อมูลสแกนม่านตามีความสำคัญเทียบเท่า DNA และร้ายแรงกว่าลายนิ้วมือ” ถูกหยิบยกขึ้นเพื่ออธิบายว่าการละเมิดอาจนำไปสู่โทษปรับทางปกครองสูงสุดถึง 5 ล้านบาท ทำให้เกิดคำถามตามมาว่า เหตุใดข้อมูลม่านตาจึงถูกมองว่ามีความอ่อนไหวเป็นพิเศษมากกว่าข้อมูลลายนิ้วมือ ทั้งที่ข้อมูลดังกล่าวต่างเป็นข้อมูลส่วนบุคคลอ่อนไหว

กฎหมายคุ้มครองข้อมูลส่วนบุคคลทั้งของไทยและต่างประเทศได้แยกประเภทของข้อมูลส่วนบุคคลไว้เป็นพิเศษ นั้นคือ ข้อมูลส่วนบุคคลอ่อนไหว (Sensitive Data) ซึ่งกฎหมายได้กำหนดให้ข้อมูลที่มีลักษณะเช่นนี้จะต้องได้รับการจัดการเป็นพิเศษและได้รับความคุ้มครองมากกว่าข้อมูลส่วนบุคคลทั่วไป เนื่องจาก การประมวลผลข้อมูลส่วนบุคคลที่อ่อนไหวนี้อาจก่อให้เกิดความเสี่ยงอย่างชัดเจนต่อสิทธิเสรีภาพของบุคคล หรืออาจทำให้ถูกเลือกปฏิบัติได้ โดย พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลฯ ได้กำหนดให้ทั้งข้อมูลม่านตาและข้อมูลลายนิ้วมือเป็นข้อมูลชีวภาพ ซึ่งหมายถึง ข้อมูลส่วนบุคคลที่เกิดจากการใช้เทคนิคหรือเทคโนโลยีที่เกี่ยวข้องกับการนำลักษณะเด่นทางกายภาพหรือทางพฤติกรรมของบุคคลมาใช้ทำให้สามารถยืนยันตัวตนของบุคคลนั้นที่ไม่เหมือนกับบุคคลอื่นได้ เช่น ข้อมูลภาพจำลองใบหน้า ข้อมูลจำลองม่านตา หรือ ข้อมูลจำลองลายนิ้วมือ และข้อมูลชีวภาพนั้นเป็นหนึ่งใน ‘ข้อมูลส่วนบุคคลอ่อนไหว’

 อย่างไรก็ตาม กฎหมายคุ้มครองข้อมูลส่วนบุคคลไม่ได้มีการแยกระดับของข้อมูลส่วนบุคคลอ่อนไหวว่าข้อมูลส่วนบุคคลอ่อนไหวแต่ละประเภท ไม่ว่าจะเป็น ข้อมูลเชื้อชาติ ข้อมูลศาสนา ข้อมูลประวัติอาชญากรรม หรือข้อมูลชีวมิติมีน้ำหนักหรือความร้ายแรงแตกต่างกันแต่อย่างใด ดังนั้นในบริบททางกฎหมาย ข้อมูลม่านตาจึงไม่ได้มีสถานะเหนือกว่าลายนิ้วมือ

 อย่างไรก็ตาม ในบริบททางวิทยาศาสตร์นั้น ข้อมูลม่านตาเป็นข้อมูลชีวภาพที่มีความเฉพาะตัวสูงและมีความเสถียรค่อนข้างมากตลอดช่วงชีวิต จึงพิจารณาได้ว่า ข้อมูลม่านตาจัดเป็นข้อมูลชีวมิติที่สามารถระบุตัวบุคคลได้แม่นยำที่สุดประเภทหนึ่ง โดยมีงานวิจัยจากมหาวิทยาลัย Cambridge กล่าวไว้ว่า ม่านตาของบุคคลมีรูปแบบของลวดลาย (Pattern) ที่มีความซับซ้อนที่สูงมาก โดยมีตัวแปรที่แตกต่างกันประมาณ 249 จุดลักษณะ ทำให้มีระดับความเป็นเอกลักษณ์ที่สูง (249 degrees of freedom and generates a discrimination entropy of about 3.2 bits/mm2 over the iris) หรือสามารถกล่าวได้ว่า โอกาสที่ม่านตาของบุคคลจะเหมือนกันโดยบังเอิญนั้นต่ำมาก อีกทั้งยังมีงานวิจัยที่กล่าวต่อไปอีกว่า แม้ในกรณีที่ฐานข้อมูลประกอบไปด้วยประชากรจำนวนมาก แต่ระบบการระบุตัวบุคคลด้วยม่านตานั้นมีโอกาสเกิด collision หรือ false-match ที่ทำให้ระบุตัวตนผิดพลาดต่ำมาก ภายใต้เงื่อนไขที่เหมาะสม ดังนั้น จากการวิเคราะห์เชิงคณิตศาสตร์ แสดงให้เห็นว่า ข้อมูลม่านตามีความสามารถเพียงพอในการระบุตัวบุคคลในระดับประชากรระดับชาติหรือระดับโลก และมีความเป็นเอกลักษณ์สูง ประกอบกับความได้เปรียบด้านกายภาพของม่านตาที่มีการปกป้องอยู่ภายในดวงตาจากสิ่งแวดล้อมภายนอก ลวดลายจึงคงที่ มีความเสถียรสูง และแทบไม่เปลี่ยนแปลงตามกาลเวลา ดังนั้น ในบริบททางวิทยาศาสตร์ ข้อมูลม่านตาจึงเป็นข้อมูลชีวมิติที่ระบุตัวบุคคลได้อย่างแม่นยำในระดับสูง

 เมื่อพิจารณาทั้งสองบริบทประกอบกัน สามารถกล่าวได้ว่า ข้อมูลม่านตามีความสามารถในการแยกแยะและระบุตัวบุคคลในระดับสูง มีความแม่นยำสูง และมีโอกาสผิดพลาดต่ำ เนื่องจากเป็นข้อมูลชีวมิติที่มีความเป็นเอกลักษณ์ มีความเสถียร จึงอาจสามารถพิจารณาได้ว่า ข้อมูลม่านตามีความสำคัญเทียบเท่ากับ DNA ในแง่ของการระบุตัวบุคคล อย่างไรก็ตาม ในบริบทของกฎหมายคุ้มครองข้อมูลส่วนบุคคล ข้อมูลชีวภาพแต่ละประเภทล้วนมีน้ำหนักเท่ากัน คือ เป็นข้อมูลส่วนบุคคลอ่อนไหวที่อาจก่อให้เกิดความเสี่ยงที่จะกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคลอย่างมาก หากไม่มีกระบวนการประมวลผลข้อมูลส่วนบุคคลที่ถูกต้องตามหลักเกณฑ์ของกฎหมายคุ้มครองข้อมูลส่วนบุคคล ดังนั้น คำกล่าวของ สคส. จึงตีความได้ว่า นอกจากตัวบทกฎหมายแล้ว สคส. ได้มีการนำบริบททางวิทยาศาสตร์เข้ามาพิจารณาการปฏิบัติหน้าที่ผู้ควบคุมข้อมูลส่วนบุคคลด้วย อย่างไรก็ตาม การพิจารณามูลค่าโทษปรับของ สคส. ไม่ได้คำนึงถึงระดับความสามารถในการระบุตัวบุคคลของข้อมูลม่านตาเพียงอย่างเดียวเท่านั้น แต่อาจประเมินปัจจัยอื่นประกอบด้วย เช่น จำนวนเจ้าของข้อมูลที่ได้สแกนม่านตา ขอบเขตของการประมวลผล วัตถุประสงค์ของการใช้ข้อมูล มาตรการรักษาความมั่นคงปลอดภัยที่มีอยู่ เป็นต้น

กรณีศึกษา World Coin Project ในต่างประเทศ

 นอกจากประเทศไทยที่ได้มีคำสั่งระงับการดำเนินกิจกรรมสแกนม่านตาของ World Thailand แล้ว ยังมีอีกหลายประเทศที่ได้ระงับการให้บริการธุรกิจในลักษณะเดียวกัน เช่น สเปน บราซิล ฮ่องกง อินโดนีเซีย เป็นต้น โดยขอยกตัวอย่างกรณีศึกษาจากประเทศอื่นๆ ที่ได้ทำการระงับการดำเนินกิจกรรมของ World Coin Project ดังต่อไปนี้

1. สเปน

หน่วยงานคุ้มครองข้อมูลส่วนบุคคลของสเปน (AEPD) ได้ออกมาตรการชั่วคราวให้ผู้ให้บริการ World Coin Project หยุดเก็บและประมวลผลข้อมูลส่วนบุคคลในสเปน รวมถึงหยุดประมวลผลข้อมูลที่ได้ทำการเก็บรวบรวมข้อมูลไปแล้ว จากการที่ได้รับคำร้องเรียนหลายประการ เช่น การแจ้งข้อมูลที่ไม่เพียงพอ การเก็บรวบรวมข้อมูลจากผู้เยาว์ การไม่เปิดช่องทางสำหรับถอนความยินยอม เป็นต้น

2. บราซิล

หน่วยงานคุ้มครองส่วนบุคคลของบราซิล (ANPD) ได้ออกมาตรการป้องกันสั่งให้ผู้ให้บริการ World Coin Project หยุดใช้เหรียญคริปโทในการจูงใจให้ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลในการสแกนม่านตา เนื่องจากค่าตอบแทนสกุลเงินดิจิทัลอาจจูงใจให้ผู้ที่มีความเปราะบางทางเศรษฐกิจให้ให้ความยินยอมโดยไม่เข้าใจถึงผลกระทบและความเสี่ยงที่อาจเกิดขึ้นจากการยอมให้มีการประมวลผลข้อมูลม่านตา ซึ่งเป็นข้อมูลส่วนบุคคลอ่อนไหว ทำให้ความยินยอมนั้นไม่เป็นไปอย่างเสรี (Not freely Given)

3. ฮ่องกง

หน่วยงานคุ้มครองข้อมูลส่วนบุคคลของฮ่องกง (The Office of the Privacy Commissioner for Personal Data; PCPD) ได้ตรวจสอบการดำเนินกิจกรรมของ World Coin Project และได้ออกคำสั่งให้หยุดเก็บและประมวลผลข้อมูลม่านตาของประชาชนทันที โดยพบว่าการดำเนินกิจกรรมดังกล่าวได้ละเมิดหลักเกณฑ์ของ Personal Data (Privacy) Ordinance (PDPO) ซึ่งเป็นหลักเกณฑ์ที่อยู่ในภาคผนวกท้ายกฎหมายหลักว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลของฮ่องกง (DPP1 – DPP6) หลายประการ ดังต่อไปนี้

• การเก็บข้อมูลภาพสแกนม่านตานั้นเกินความจำเป็น (unnecessary and excessive) สำหรับวัตถุประสงค์ในการยืนยันความเป็นมนุษย์ - ละเมิดหลักเกณฑ์ DPP1 ว่าด้วยเรื่องการเก็บข้อมูล
• ประกาศความเป็นส่วนตัวและแบบฟอร์มขอความยินยอมไม่ได้จัดทำฉบับภาษาจีน รวมถึงเจ้าหน้าที่ผู้ปฏิบัติงานดูแลจุดให้บริการสแกนม่านตาไม่ได้แจ้งรายละเอียดตามเอกสารดังกล่าว รวมถึงไม่แจ้งถึงความเสี่ยงที่อาจเกิดขึ้น และไม่ตอบคำถามใด ๆ ของผู้เข้าร่วมสแกนม่านตาอีกด้วย ซึ่งขัดต่อหลักความโปร่งใสในการประมวลผลข้อมูลส่วนบุคคล (lack of transparency) – ละเมิดหลักเกณฑ์ DPP5 ว่าด้วยเรื่องความโปร่งใส
• มีการเก็บรักษาข้อมูลภาพสแกนม่านตาเป็นระยะเวลาสูงสุดถึง 10 ปี เพื่อใช้ในการเทรนโมเดล AI สำหรับกระบวนการยืนยันตัวตน โดย PCPD เห็นว่าเป็นระยะเวลาที่นานเกินสมควร - หลักเกณฑ์ DPP2 ว่าด้วยเรื่องความถูกต้องและระยะเวลาการเก็บรักษาข้อมูล

4. อินโดนีเซีย

กระทรวงสื่อสารและกิจการดิจิทัลของอินโดนีเซีย (Ministry of Communication and Digital Affairs – Komdigi) ได้สั่งระงับการดำเนินกิจกรรมชั่วคราวของผู้ให้บริการ World Coin Project โดยมีการสั่งระงับใบอนุญาตให้บริการระบบอิเล็กทรอนิกส์ เพื่อตรวจสอบว่าการเก็บรวบรวมข้อมูลภาพสแกนม่านตา ซึ่งเป็นข้อมูลส่วนบุคคลอ่อนไหวของประชาชนจำนวนมากดังกล่าวขัดกับหลักกฎหมายคุ้มครองข้อมูลส่วนบุคคลหรือไม่ นอกจากนี้ Komdigi ได้แสดงความกังวลในเรื่องของการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล ความโปร่งใส และมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลที่ได้เก็บรวบรวม ซึ่ง Komdigi ได้ประกาศว่าจะทำการตรวจสอบทั้งเชิงเทคนิคและเชิงกฎหมาย พร้อมแจ้งผลการตรวจสอบในภายหลัง โดยสั่งระงับการดำเนินกิจกรรมของผู้ให้บริการ World Coin Project เป็นการชั่วคราว เพื่อเป็นมาตรการป้องกันในการคุ้มครองข้อมูลส่วนบุคคลของประชาชน (Preventive Measure) โดยภายหลังการตรวจสอบ Komdigi ได้สั่งให้คงการระงับการดำเนินกิจกรรม พร้อมทั้งให้ลบข้อมูลชีวมิติทั้งหมดที่ได้เก็บรวบรวม รวมไปถึงให้ปรับปรุงระบบบริหารจัดการข้อมูลส่วนบุคคล มาตรการรักษาความมั่นคงปลอดภัย และมาตรการคุ้มครองข้อมูลส่วนบุคคลใหม่ หากต้องการกลับมาดำเนินกิจกรรมที่อินโดนีเซียอีกครั้ง

 สิ่งที่น่าสนใจคือ คำตัดสินของ สคส. มีประเด็นพิจารณาที่คล้ายคลึงกับคำตัดสินของหน่วยงานกำกับในประเทศต่างๆ ที่ได้ยกตัวอย่างไปข้างต้น เช่น การขอความยินยอมที่มีการจูงใจ การจัดการกับข้อมูลส่วนบุคคลอ่อนไหวในปริมาณมาก ซึ่งชวนให้เกิดการตั้งคำถามว่า แม้ในปัจจุบัน เทคโนโลยีจะมีความก้าวหน้าไปมากเพียงใด แต่ความโปร่งใส ความปลอดภัย และสิทธิของเจ้าของข้อมูลส่วนบุคคลกำลังค่อย ๆ ถูกมองข้ามไปหรือไม่ โดยเฉพาะจากตัวเจ้าของข้อมูลส่วนบุคคลเอง กรณีนี้จึงเป็นอีกหนึ่งกรณีศึกษาว่า การใช้ข้อมูลชีวมิติไม่อาจอาศัยเพียงเทคโนโลยีที่ก้าวหน้า แต่ต้องประกอบด้วยมาตรการคุ้มครองข้อมูลส่วนบุคคล มาตรการเชิงเทคนิค และความรับผิดชอบอย่างสูงของผู้ให้บริการด้วย ทั้งนี้ก็เพื่อป้องกันไม่ให้เทคโนโลยีกลับกลายเป็นภัยคุกคามกับสิทธิและความปลอดภัยของเจ้าของข้อมูลส่วนบุคคลในอนาคต และความเสียหายในระยะยาวต่อเจ้าของข้อมูลส่วนบุคคล

แหล่งอ้างอิง:

•   The Office of the Privacy Commissioner for Personal Data (PCPD), Privacy Commissioner’s Office Finds That the Operation of the Worldcoin Project in Hong Kong Contravenes the Personal Data (Privacy) Ordinance, https://www.pcpd.org.hk/english/news_events/media_statements/press_20240522.html.
•   Komdigi, Affirming Commitment to Protect the Public, Komdigi Continues to Sanction Platform World, https://www.komdigi.go.id/berita/siaran-pers/detail/tegaskan-komitmen-lindungi-publik-komdigi-tetap-beri-sanksi-platform-world.
• AEPD, The Agency Orders a Precautionary Measure Which Prevents Worldcoin from Continuing to Process Personal Data in Spain, https://www.aepd.es/en/press-and-communication/press-releases/agency-orders-precautionary-measure-which-prevents-Worldcoin-from-continuing-toprocess-personal-data-in-spain.
•   ANPD, ANPD Determines Suspension of Financial Incentives for Iris Collection, https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-determina-suspensao-de-incentivos-financeiros-por-coleta-de-iris.
•   John Daugman, How Iris Recognition Works, DEPARTMENT OF COMPUTER SCIENCE AND TECHNOLOGY, CAMBRIDGE UNIVERSITY, https://www.cl.cam.ac.uk/~jgd1000/irisrecog.pdf.
•   John Daugman, Collision Avoidance on National and Global Scales: Understanding and Using Big Biometric Entropy, DEPARTMENT OF COMPUTER SCIENCE AND TECHNOLOGY, CAMBRIDGE UNIVERSITY, https://www.cl.cam.ac.uk/~jgd1000/BiomEntropy.pdf.
• ศูนย์วิจัยกฎหมายและการพัฒนา คณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย, B3. การประมวลผลข้อมูลส่วนบุคคลที่มีความอ่อนไหวเป็นพิเศษ (Special Categories or Sensitive Data), in THAILAND DATA PROTECTION GUIDELINES 3.0 แนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล , https://www.law.chula.ac.th/wp-content/uploads/2021/04/TDPG3.0-Extension-20210413-1.pdf.
• European Data Protection Board, Opinion 08/2024 on Valid Consent in the Context of Consent or Pay Models Implemented by Large Online Platforms, https://www.edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-082024-valid-consent-context-consent-or_en.
•  European Data Protection Board, Guidelines 05/2020 on Consent under Regulation 2016/679, https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-052020-consent-under-regulation-2016679_en.
• Information Commissioner’s Office, Consent, https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/lawful-basis/consent/why-is-consent-important/#why2.