สรุปเคส Worldcoin และคำสั่ง สคส. ลงดาบลบข้อมูลสแกนม่านตาในไทย

คำสั่งของสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส. หรือ PDPC) ที่ลงดาบ "Worldcoin" หรือ World ของ Sam Altman ผู้ก่อตั้ง OpenAI ให้ระงับการเก็บข้อมูลใหม่ทันที และลบข้อมูลไบโอเมตริกซ์ของผู้ใช้ในไทยกว่า 1.2 ล้านรายภายใน 7 วัน นั้นสร้างแรงสั่นสะเทือนต่ออุตสาหกรรมเทคโนโลยีชีวภาพและคริปโตเคอเรนซีในไทย ซึ่งอาจเป็นจุดเริ่มต้นของการบังคับใช้กฎหมาย PDPA อย่างเข้มข้นต่อโครงการต่างชาติ

สคส. ตรวจสอบพบว่า Worldcoin ไม่ปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) ที่บังคับใช้ตั้งแต่ปี 2565 โดยเฉพาะการใช้เหรียญ Worldcoin (WLD) เป็นสิ่งจูงใจในการสแกนม่านตา ซึ่งทำให้การยินยอมของผู้ใช้ขาดความสมัครใจและสมดุล ขณะที่ระบบยังไม่รองรับการลบข้อมูลถาวร และขาดการประเมินผลกระทบต่อข้อมูลส่วนบุคคล (DPIA) ก่อนดำเนินการ

ในเอกสารประกาศชี้แจงที่ Worldcoin ประเทศไทยส่งถึงสื่อมวลชน ระบุว่าได้ระงับกระบวนการยืนยันความเป็นมนุษย์จริงในประเทศไทยชั่วคราว หลังจากที่ได้รับจดหมายจาก สคส. ทั้งที่บริษัทฯ จะได้ดำเนินการตามกฎหมายและระเบียบข้อบังคับของประเทศไทยอย่างครบถ้วน รวมถึงผ่านกระบวนการตรวจสอบและปฏิบัติตามข้อบังคับมาโดยตลอด

***2 ฝ่ายพูดไม่เหมือนกัน?

พื้นหลังของ Worldcoin นั้นเป็นโครงการของบริษัท Tools for Humanity ที่ก่อตั้งโดย "แซม อัลต์แมน" (Sam Altman) ซึ่งเป็น CEO ของบริษัทต้นสังกัด ChatGPT โดยเริ่มดำเนินการในไทยตั้งแต่ปี 2566 ซึ่งผู้เข้าร่วมต้องสแกนม่านตาผ่านอุปกรณ์ Orb เพื่อรับเหรียญ WLD ฟรี มูลค่าประมาณ 10-20 USD ต่อคน


ในไทย พบว่ามีผู้เข้าร่วมกว่า 1.2 ล้านราย จากข้อมูลผู้ใช้ทั้งหมด 27.4 ล้านคนทั่วโลกใน 20 ประเทศ โดยส่วนใหญ่กระจายในกรุงเทพฯ และต่างจังหวัด

วัตถุประสงค์หลักของการสแกนม่านตาคือการสร้างฐานข้อมูลไบโอเมตริกซ์เพื่อยืนยันตัวตนในยุค AI แต่ถูกวิจารณ์หนักเรื่องความเป็นส่วนตัวและความเสี่ยงข้อมูลรั่วไหล

เหตุผลที่ สคส. ออกคำสั่งในครั้งนี้คือการตรวจสอบพบว่าการเก็บข้อมูลไม่ถูกต้องตาม PDPA ใน 4 ประเด็นหลัก คือ 1. การจูงใจด้วยเหรียญคริปโต เพราะมีการใช้ WLD เป็นสิ่งจูงใจ ทำให้การยินยอม (consent) ไม่สมดุลและไม่สมัครใจจริง

2. ไม่แจ้งวัตถุประสงค์ให้ครบถ้วน เพราะผู้เข้าร่วมไม่ได้รับข้อมูลชัดเจนว่าข้อมูลจะถูกใช้อย่างไร รวมถึงการโอนข้อมูลไปต่างประเทศ 3. ไม่สามารถลบข้อมูลได้ เพราะระบบไม่รองรับการลบข้อมูลม่านตาแบบถาวร และมีแนวโน้มว่าข้อมูลอาจสามารถติดตามย้อนกลับถึงบุคคลได้

4. ขาดการประเมินผลกระทบ เพราะไม่มีการประเมินความเสี่ยงต่อข้อมูลส่วนบุคคล (DPIA) ก่อนเก็บข้อมูล

สคส. แจงว่าหากฝ่าฝืน อาจถูกปรับสูงสุด 5 ล้านบาทต่อ 1 รายการข้อมูล และ สคส. ได้ส่งเรื่องให้กรมสอบสวนคดีพิเศษ (DSI) ขยายผลตรวจสอบเพิ่มเติมแล้ว

***3 คำสั่ง สคส.

สคส. ออกคำสั่ง 3 ข้อหลัก โดยมีผลบังคับใช้ทันที คือ 1. ระงับหรืองดการเก็บข้อมูล ทั้งห้ามสแกนม่านตาและเก็บข้อมูลส่วนบุคคลใหม่ทั้งหมด 2. ลบหรือทำลายข้อมูลทั้งหมด โดยให้ลบข้อมูลม่านตาและข้อมูลส่วนบุคคลที่เกี่ยวข้องของ 1.2 ล้านราย ภายใน 7 วัน เพื่อป้องกันการโอนข้อมูลไปต่างประเทศ

และ 3. รายงานผลการปฏิบัติ โดย Worldcoin ต้องรายงานความคืบหน้าการลบข้อมูลให้ สคส. ทุกสัปดาห์

การตอบสนองของ Worldcoin นั้นสอดคล้องกัน โดย Worldcoin ออกแถลงการณ์ยอมรับคำสั่งและระงับการสแกนม่านตาในไทยชั่วคราว โดยยืนยันว่าจะลบข้อมูลตามที่สั่ง


อย่างไรก็ตาม มีข้อกังวลว่าการลบข้อมูลจะทำได้จริงหรือไม่ เนื่องจากข้อมูลส่วนหนึ่งอาจถูกส่งไปเซิร์ฟเวอร์ต่างประเทศแล้ว (เช่น สหรัฐฯ หรือสิงคโปร์) ซึ่งผู้เข้าร่วมสามารถตรวจสอบและขอข้อมูลเพิ่มเติมได้ที่เว็บไซต์ Worldcoin หรือติดต่อ สคส.

หากมองเร็วๆ ผลกระทบของคำสั่งนี้จะเกิดขึ้นทันที 3 ส่วน ส่วนแรกคือผลต่อผู้เข้าร่วม ซึ่งแม้ข้อมูลม่านตาจะถูกลบ แต่จะต้องติดตามตรวจสอบบัญชี WLD และอาจเกิดกระแสหลีกเลี่ยงการเข้าร่วมโครงการคล้ายๆ กันในอนาคต

ส่วนที่ 2 คือผลต่อธุรกิจคริปโต โดยสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (ก.ล.ต.) สั่งให้แพลตฟอร์มสินทรัพย์ดิจิทัล (เช่น Bitkub) แจ้งเตือนลูกค้าเรื่องความเสี่ยงเช่นกัน

ส่วนที่ 3 คือภาพรวม ตรงนี้ต้องยอมรับว่าเหตุการณ์ที่เกิดขึ้นเป็นตัวอย่างแรกของ สคส. ในการบังคับใช้กฎหมายกับโครงการต่างชาติ สะท้อนถึงการคุ้มครองข้อมูลส่วนบุคคลที่เข้มงวดขึ้นในไทย

และการลงดาบลบข้อมูลในไทยรอบนี้ อาจไม่ใช่รอบสุดท้ายก็ได้.