"ข้อมูลชีวมิติต้องปลอดภัย" PDPC ขีดเส้นแดงสแกนม่านตา ชี้เป็นบททดสอบใหญ่ใน PDPA ไทย

"ข้อมูลชีวมิติต้องปลอดภัย" PDPC ขีดเส้นแดงสแกนม่านตา
ชี้เป็นบททดสอบใหญ่ในมาตรการ และความสมดุล PDPA ไทย

หลังกรณี "สแกนม่านตาเพื่อรับสินทรัพย์ดิจิทัล" สร้างความกังวลเรื่องความปลอดภัยข้อมูลส่วนบุคคล หน่วยงานรัฐ–เอกชนหลายภาคส่วนเร่งหารือออกมาตรการอุดช่องโหว่ ป้องกันการละเมิดสิทธิ พร้อมย้ำเทคโนโลยีชีวมิติต้องปลอดภัย และไม่ถูกใช้ผิดวัตถุประสงค์ ที่ประชุมจึงได้แนะนำให้มีการพิสูจน์การทำลายก่อน ซึ่งทางบริษัทผู้ให้บริการจึงตัดสินใจ ชะลอการสแกนม่านตาเพื่อรอการพิสูจน์ต่อไป

พ.ต.อ. สุรพงศ์ เปล่งขำ เลขาธิการคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) หรือ PDPC เปิดเผยว่า ปรากฏการณ์ที่ประชาชนจำนวนมากเข้าร่วมกิจกรรมสแกนม่านตาเพื่อแลกรับสินทรัพย์ดิจิทัล สร้างคำถามใหญ่ในสังคมว่า ข้อมูลชีวมิติ (biometric data) ที่ถูกนำมาใช้นั้นปลอดภัยเพียงใด ถูกเก็บนานเท่าไร และจะถูกส่งต่อไปใช้อย่างไร ในเมื่อข้อมูลม่านตาถือเป็น ข้อมูลส่วนบุคคลอ่อนไหว ที่อยู่ภายใต้การคุ้มครองของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) ซึ่งได้ประชุมร่วมกับหน่วยงานที่เกี่ยวข้องเมื่อวันที่ 22 ก.ค. 68 ที่ผ่านมา และให้บริษัทชี้แจงแสดงหลักฐานเพิ่มเติมมานั้น

เมื่อวาน 4 ก.ย. 68 ทาง สคส. ได้เร่งประชุมเข้มหารือด่วนร่วมกับหน่วยงานพันธมิตรทั้ง ก.ล.ต., สอท., ปอท., รวมถึงโฆษก และกรรมาธิการ กมธ.คุ้มครองผู้บริโภค และภาคเอกชน พร้อมด้วยทีมงานศูนย์เฝ้าระวังการละเมิดข้อมูลส่วนบุคคล (PDPC Eagle Eye) ร่วมประชุม โดยเชิญบริษัทเข้าชี้แจงแสดงหลักฐานตามที่แจ้งให้แสดงเพิ่มเติม เพื่อสกัดความเสี่ยงด้านความเป็นส่วนตัวในยุคดิจิทัล

สาระสำคัญของการหารือ คือการรับฟัง และพิจารณาแนวทาง "มาตรการคุมเข้ม" ครอบคลุมทั้งการเก็บ การใช้ และการตรวจสอบข้อมูลชีวมิติ โดยเฉพาะ "ข้อมูลม่านตา" ที่ถูกจัดว่าเป็นข้อมูลส่วนบุคคลอ่อนไหวขั้นสูง นอกจากนี้ ที่ประชุมยังได้หยิบยก เรื่องเพื่อพิจารณา ขึ้นมาเป็นมาตรการเร่งด่วน เพื่อป้องกันไม่ให้ข้อมูลชีวมิติถูกนำไปใช้ผิดทาง โดยกำหนดแนวทางสำคัญ 3 ด้าน ได้แก่

1. มาตรการจัดเก็บและทำลายข้อมูล: ตรวจสอบว่ามีกระบวนการลบหรือทำลายข้อมูลม่านตาหลังหมดวัตถุประสงค์หรือไม่ พร้อมให้ส่งเอกสารหลักฐานยืนยันต่อ สคส.
2. มาตรการควบคุมการรับจ้างสแกนม่านตา: แจ้งเตือนประชาชนอย่าหลงเชื่อมิจฉาชีพ โดยย้ำว่าค่าจ้างอาจเป็นเงินผิดกฎหมาย และให้หน่วยงานจัดส่งหลักฐานประกอบการตรวจสอบ
3. มาตรการความปลอดภัยและการขอความยินยอม: ผู้ให้บริการต้องเปิดเผยขั้นตอนการทำงานของเครื่องมือ การป้องกันความเสี่ยง และชี้แจงอย่างโปร่งใส เช่น ข้อมูลม่านตาจะถูกแปลงเป็นรหัสใด ใช้ทำอะไร และแจ้งวัตถุประสงค์อย่างละเอียด และชัดเจน

ทั้งนี้ เนื่องจากตามประเด็นที่ 1 การแสดงหลักฐานยังไม่ชัดเจนเพียงพอ ที่ประชุมจึงได้แนะนำให้มีการพิสูจน์หลักฐาน ซึ่งบริษัทขอกำหนดวันแสดงหลักฐานต่อสาธารณชนอีกครั้ง เพื่อความโปร่งใส และความจริงใจในการให้สังคมได้พิสูจน์ ถึงมาตรการในการลบทำลายของบริษัท บริษัทจึงยินดีที่จะชะลอการดำเนินการสแกนม่านตาที่เป็นประเด็นกังวลถึงความไม่ปลอดภัยไว้ก่อนจนถึงกำหนดวันที่จะแสดงหลักฐาน และพิสูจน์มาตรการลบทำลายดังกล่าวให้ชัดเจนต่อสังคมต่อไป

พ.ต.อ. สุรพงศ์ เปล่งขำ กล่าวต่ออีกว่า "เทคโนโลยีชีวมิติจะต้องไม่ถูกใช้ละเมิดสิทธิ และทุกการเก็บข้อมูลต้องอยู่ภายใต้ความยินยอมจริง" พร้อมย้ำว่า กรณีนี้จะเป็น "หมุดหมายสำคัญ" ในการกำกับดูแลการใช้ Digital ID, AI-based KYC และ Blockchain-based Identity ที่เริ่มขยายตัวในระบบเศรษฐกิจดิจิทัล

"กรณีสแกนม่านตากำลังกลายเป็น บททดสอบสำคัญถึงมาตรการ และความสมดุลของกฎหมาย PDPA ว่าจะสามารถปกป้องสิทธิประชาชนท่ามกลางกระแสเทคโนโลยีใหม่ได้จริงหรือไม่ ขณะเดียวกันยังสะท้อนความจำเป็นของการสร้าง กลไกร่วมรัฐ–เอกชน ในการตรวจสอบและกำกับดูแล เพื่อรักษาสมดุลระหว่าง นวัตกรรมดิจิทัล กับ สิทธิความเป็นส่วนตัว ทั้งนี้ ทาง สคส. ยังคงมีความกังวลถึงความปลอดภัยของข้อมูลฯ โดยให้ทางผู้ให้บริการเร่งดำเนินการเพื่อพิสูจน์ความโปร่งใสในการทำลายข้อมูลฯ ต่อไป" พ.ต.อ. สุรพงศ์ เปล่งขำ กล่าวสรุปในตอนท้าย

ประชาชนที่มีข้อสงสัยหรือต้องการแจ้งเหตุละเมิดข้อมูลส่วนบุคคล สามารถติดต่อ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) โทร. 02-111-8800 หรืออีเมล saraban@pdpc.or.th