ภายหลังการจัดให้มีการตรวจพิสูจน์หลักฐานการลบทำลายข้อมูลม่านตาในกรณีสแกนม่านตาแลกเหรียญ WorldID พบว่า ผู้ที่สแกนม่านตาไปแล้วไม่สามารถสแกนซ้ำได้ จึงชัดเจนว่าการสแกนม่านตา นอกจากมีวัตถุประสงค์ในการยืนยันความเป็นมนุษย์แล้ว ยังมีวัตถุประสงค์ในการตรวจสอบไม่ให้ซ้ำบุคคลเดิมอีกด้วย
แม้ว่าในการทำงานของ Orb จะมีการลบทำลายข้อมูลม่านตาหรือไม่ก็ตาม ก็ถือได้ว่าข้อมูลม่านตาดังกล่าวสามารถย้อนกลับมาระบุถึงตัวบุคคลนั้นได้ไม่ว่าทางตรงทางอ้อม ซึ่งประเด็นนี้ประชาชนควรต้องทราบก่อนตัดสินใจให้ความยินยอมเข้าสแกนม่านตา
สคส. ขีดเส้นแดงความโปร่งใส และสิทธิของประชาชนเจ้าของข้อมูลส่วนบุคคลต้องมาก่อน เตือนหากขอ Consent ไม่โปร่งใส หรือแจ้งวัตถุประสงค์ไม่ชัดเจน หรือไม่ได้แยกส่วนจากข้อความอื่น เสี่ยงโทษปรับสูงสุด 5 ล้าน พร้อมย้ำ “ข้อมูลม่านตาคือข้อมูลอ่อนไหว” มีความเสี่ยงสูงที่อาจส่งผลกระทบต่อสิทธิของเจ้าของข้อมูลส่วนบุคคลอย่างร้ายแรงได้ โดยผลการตรวจพิสูจน์เบื้องต้นพบว่า
- Orb ไม่ใช่อุปกรณ์เดียว ที่เกี่ยวข้องกับกิจกรรมนี้ ยังมี server และอุปกรณ์อื่นร่วมด้วย
- การลบข้อมูลใน Orb ❌ ไม่สามารถพิสูจน์ได้ว่าข้อมูลถูกทำลายหมดจริง เพราะเมื่อสแกนซ้ำ ระบบยัง “รู้ว่าเป็นคนเดิม” → ดังนั้นในการขอ Consent จึงต้องแจ้งวัตถุประสงค์ให้ชัดว่า “สามารถย้อนมาระบุตัวบุคคลได้”
- Iris Code ถูกแปลงมาจากข้อมูลม่านตาซึ่งเป็นข้อมูลชีวภาพอ่อนไหวแล้วฝังลงในโทรศัพท์ ตามจริยธรรมการใช้ข้อมูลต้องไม่นำไปให้ผู้อื่นใช้ → ดังนั้นในการขอ Consent จึงต้องแจ้งให้ชัดว่า “ใช้ได้เฉพาะเจ้าของโทรศัพท์ผู้สแกนม่านตาเท่านั้น”
- ตรวจสอบ Privacy Notice พบว่าแต่ละเวอร์ชัน มีวัตถุประสงค์และเนื้อหาต่างกัน จึงให้บริษัทตรวจสอบและแก้ไขให้ถูกต้องสอดคล้องกับ PDPA ต่อไป
หากไม่ปฏิบัติตามข้อ 2 และข้อ 3 = ถือว่าเป็นการขอความยินยอมที่ไม่ชอบด้วยกฎหมาย เข้าข่ายฝ่าฝืนมาตรา 26 ของ PDPA (เก็บรวบรวมข้อมูลอ่อนไหวโดยมิได้รับความยินยอมโดยชัดแจ้ง) มีโทษตามมาตรา 84 ปรับทางปกครองสูงสุดไม่เกิน 5 ล้านบาท สังคมต้องการ “ความโปร่งใส” และ “สิทธิของเจ้าของข้อมูล” มาเป็นอันดับแรก
เพื่อป้องกันไม่ให้ประชาชนหลงให้ความยินยอมทั้งที่ยังไม่อาจทราบวัตถุประสงค์ที่ชัดเจนอันอาจมีผลต่อการตัดสินใจในการให้ข้อมูล และอาจมีผลต่อความสงบเรียบร้อยและศีลธรรมอันดีของประชาชนอีกด้วย
สคส.ขอย้ำว่า กรณีนี้ไม่ใช่เพียงการคุ้มครองข้อมูลส่วนบุคคลแต่เป็นการรักษาความสงบเรียบร้อย และศีลธรรมอันดีของประชาชนด้วย ซึ่งความหวังอยู่ที่การบังคับใช้กฎหมาย PDPA ดังนั้นต้องดำเนินการอย่างเคร่งครัด
ทั้งนี้ หากประชาชนผู้ใดได้รับความเสียหายตาม กม. PDPA สามารถใช้สิทธิร้องเรียนมายัง สคส. ได้ทาง ระบบรับคำร้องเรียน: https://complaint.pdpc.or.th/ หรือโทร 02-111-8800 กด 2 เรื่องร้องเรียน
