สคส. คุมเข้ม “สแกนม่านตา” ต้องโปร่งใส-เคารพสิทธิประชาชน
สคส. ระบุการสแกนม่านตาเข้าข่ายข้อมูลอ่อนไหว เสี่ยงละเมิด PDPA ต้องแจ้งวัตถุประสงค์โปร่งใส และขอความยินยอมชัดแจ้งเพื่อคุ้มครองสิทธิของเจ้าของข้อมูล
พ.ต.อ. สุรพงศ์ เปล่งขำ เลขาธิการคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) หรือ PDPC เปิดเผยภายหลังได้ตรวจพิสูจน์หลักฐานการสแกนม่านตาดังกล่าวว่า กรณีนี้ไม่เพียงเกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล แต่ยังสะท้อนถึง ความสงบเรียบร้อยและศีลธรรมอันดีของสังคมไทย
พร้อมเน้นย้ำว่า “ข้อมูลชีวมิติ (Biometric Data) โดยเฉพาะม่านตา ถือเป็นข้อมูลอ่อนไหวตามกฎหมาย ต้องได้รับความยินยอมอย่างถูกต้องและโปร่งใส” พร้อมระบุ 2 เงื่อนไขสำคัญที่จะสร้างความสงบเรียบร้อยและความเชื่อมั่น คือ 1.) ความโปร่งใส (Transparency) ในการแจ้งวัตถุประสงค์ที่แท้จริง และ 2.) การคุ้มครองสิทธิของเจ้าของข้อมูล (Data Subject Rights) อย่างครบถ้วน
ทั้งนี้ ที่ผ่านมาจากการตรวจสอบของ สคส. พบข้อกังวลหลายประเด็น โดยบริษัทแม้อ้างว่ามีการ “ลบทำลายข้อมูล” การสแกนม่านตามีวัตถุประสงค์เป็นเพียงการยืนยันความเป็นมนุษย์เท่านั้น มิได้มีวัตถุประสงค์ในการระบุยืนยันถึงตัวบุคคล แต่ยังไม่มีหลักฐานที่สามารถยืนยันได้อย่างชัดเจนว่ามีการลบทำลายจริงหรือไม่อย่างไร
อีกทั้งยังพบกรณีการจ้างบุคคลเข้ามาสแกนม่านตาเพื่อแลกเหรียญ ซึ่งก่อให้เกิดความไม่สงบเรียบร้อยและเสี่ยงต่อการถูกนำไปใช้ในทางมิชอบ แม้ว่าบริษัทจะชี้แจงว่าไม่มีส่วนเกี่ยวข้องกับมิจฉาชีพ แต่ สคส. เห็นว่าจำเป็นต้องมีมาตรการป้องกันเชิงรุก อาทิ การจัดทำข้อความแจ้งเตือน การติดตั้งป้ายประชาสัมพันธ์ที่ชัดเจน และการจัดเจ้าหน้าที่ควบคุมการสแกนในพื้นที่จริง
ทั้งนี้ เพื่อความโปร่งใส บริษัทได้ชะลอการสแกนม่านตา และกำหนดวันแสดงหลักฐานต่อสาธารณชน ผลการแสดงหลักฐานพบว่า ผู้ที่สแกนแล้วไม่สามารถสแกนซ้ำได้อีก แสดงว่าการสแกนม่านตามีวัตถุประสงค์ทั้งเพื่อยืนยันความเป็นมนุษย์และป้องกันการซ้ำบุคคล แม้จะอ้างว่ามีการลบข้อมูล แต่ข้อมูลม่านตายังสามารถย้อนกลับไประบุตัวบุคคลได้ไม่ว่าทางตรงหรือทางอ้อม ซึ่งประชาชนควรรับรู้ก่อนตัดสินใจยินยอมสแกน
พ.ต.อ. สุรพงศ์ ระบุว่า หากการขอความยินยอม (Consent) ไม่แจ้งวัตถุประสงค์ให้ชัดเจนว่า ข้อมูลยังสามารถย้อนกลับมายืนยันตัวบุคคลได้ อาจถือเป็นการขอความยินยอมโดยไม่ชอบด้วยกฎหมาย ตามมาตรา 19 วรรค 3 อันเข้าข่ายเป็นการฝ่าฝืนตามมาตรา 26 คือการเก็บรวบรวมข้อมูลอ่อนไหว โดยไม่ได้รับความยินยอมอย่างชัดแจ้ง มีโทษตามมาตรา 84 ของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งมีโทษปรับทางปกครองสูงสุดถึง 5 ล้านบาท
“เรื่องนี้ไม่ใช่เพียงประเด็นการคุ้มครองข้อมูลส่วนบุคคล แต่คือความมั่นคงของสังคม ซึ่งมาตรการในการคุ้มครองข้อมูลส่วนบุคคลคือ ต้องสื่อสารข้อเท็จจริงให้ประชาชนเข้าใจอย่างตรงไปตรงมา ทาง สคส. จะดำเนินการให้เป็นไปตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลอย่างเคร่งครัด และสมดุลกับการพัฒนาเทคโนโลยีให้สอดคล้องกับบริบทสังคมไทยต่อไป” พ.ต.อ. สุรพงศ์ กล่าวสรุปในตอนท้าย