จบมหากาพย์ "สแกนม่านตาแลกคริปโตฯ" World ลบข้อมูลคนไทย 1.2 ล้านราย

เรื่องราวของการใช้เทคโนโลยี "สแกนม่านตา" เพื่อยืนยันความเป็นมนุษย์จริง (Proof-of-Human) และแลกรับเหรียญคริปโตเคอเรนซีในประเทศไทย ได้มาถึงจุดเปลี่ยนสำคัญเมื่อ สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) หรือ สคส. ได้ออกคำสั่งทางปกครองที่เด็ดขาดให้ระงับการดำเนินการทั้งหมดเป็นการชั่วคราว

24 พ.ย. 2568 บริษัท World ผู้ให้บริการเทคโนโลยีดังกล่าว ได้ออกแถลงการณ์ยอมยุติการดำเนินงานสแกนม่านตาในประเทศไทยเป็นการชั่วคราวทันที หลังจากได้รับจดหมายจาก PDPC แม้ว่า World จะยืนยันมาโดยตลอดว่า บริษัทฯ ได้ดำเนินการตามกฎหมายและระเบียบข้อบังคับของประเทศไทยอย่างครบถ้วน รวมถึงได้ให้ข้อมูลและความร่วมมือกับหน่วยงานกำกับดูแลอย่างเปิดเผยในทุกขั้นตอน

คำสั่งเด็ดขาด ลบข้อมูล 1.2 ล้านรายใน 7 วัน

คำสั่งของ PDPC ไม่ได้มีเพียงแค่การให้ระงับการเก็บข้อมูลเพิ่มเติมเท่านั้น แต่ยังรวมถึงคำสั่งที่สำคัญยิ่งคือ ให้ World และบุคคลที่เกี่ยวข้อง ลบทำลายข้อมูลม่านตาและข้อมูลส่วนบุคคลอื่นที่เกี่ยวข้องของประชาชนจำนวน 1.2 ล้านคนทั้งหมด ภายใน 7 วัน

คำสั่งนี้มีขึ้นเพื่อป้องกันความเสียหายที่อาจเกิดขึ้นจากการโอนย้ายถ่ายเทข้อมูลส่วนบุคคลดังกล่าวไปยังต่างประเทศโดยผิดกฎหมาย หรือการนำข้อมูลไปใช้โดยไม่ถูกต้อง เช่น การซื้อขาย หรือใช้ประโยชน์ทางพาณิชย์

พ.ต.อ. สุรพงศ์ เปล่งขำ เลขาธิการคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ได้กล่าวถึงการมีคำสั่งดังกล่าวว่า เป็นไปเพื่อคุ้มครองข้อมูลส่วนบุคคลของประชาชนที่รั่วไหลและไม่ให้นำเอาข้อมูลส่วนบุคคลดังกล่าวไปใช้โดยไม่ถูกต้อง

สาเหตุแห่งการละเมิด การยินยอมที่ไม่เป็นอิสระ

การตรวจสอบของคณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 ของ สคส. พบว่า การดำเนินการของ World ไม่ถูกต้องตามหลัก PDPA หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล โดยเฉพาะในประเด็นสำคัญดังนี้

1. การขอความยินยอมที่ไม่เป็นอิสระ: ข้อมูลม่านตาจัดเป็น "ข้อมูลชีวภาพ" (Biometric Data) ซึ่งเป็นข้อมูลส่วนบุคคลประเภท "ข้อมูลอ่อนไหว" การเก็บรวบรวมข้อมูลนี้ต้องอาศัยความยินยอมที่ให้โดยอิสระ

แต่ World ได้ใช้วิธี จูงใจประชาชนด้วยการมอบเหรียญคริปโตเคอเรนซีเป็นค่าตอบแทน เพื่อแลกกับการให้ความยินยอมในการเก็บรวบรวมข้อมูลม่านตา ซึ่งถือว่าเป็นการขอความยินยอมที่ไม่เป็นไปโดยอิสระตามที่กฎหมายกำหนด

2. การใช้ข้อมูลเกินวัตถุประสงค์: World แจ้งวัตถุประสงค์ในการขอความยินยอมเพียงเพื่อ "ยืนยันความเป็นมนุษย์เท่านั้น" แต่จากการตรวจสอบพบว่า ผู้ที่เคยสแกนม่านตาไปแล้วไม่สามารถสแกนซ้ำได้ ซึ่งชี้ให้เห็นว่า การดำเนินการดังกล่าวมีวัตถุประสงค์เพื่อ ยืนยันถึงตัวบุคคลที่สแกนไปแล้วด้วย ทำให้การใช้ข้อมูลส่วนบุคคลดังกล่าวเกินขอบเขตวัตถุประสงค์ที่ขอความยินยอมตั้งแต่แรก

นอกจากนี้ การตรวจสอบยังพบว่า ผู้ให้บริการ Tool for Humanity เคยยื่นขอใบอนุญาตมายังสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (ETDA) และติดต่อผ่าน PDPC เพื่อขออนุญาตเก็บข้อมูล แต่ก็ไม่ได้รับการอนุญาตเนื่องจากไม่เข้าเกณฑ์

ความกังวลของ World และการสอบสวนที่ขยายผล

World แสดงความกังวลว่า การระงับการดำเนินการนี้อาจส่งผลกระทบในทางลบต่อผู้ใช้งานชาวไทยที่เลือกใช้เทคโนโลยีนี้เพื่อช่วยปกป้องตนเองจากอาชญากรฉ้อโกงที่ขับเคลื่อนด้วยปัญญาประดิษฐ์ (AI) ซึ่งเป็นเครื่องมือป้องกันภัยดิจิทัล

World ยืนยันว่า จะยังคงดำเนินการหารือกับกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (MDES) และ PDPC อย่างใกล้ชิดต่อไป เพื่อร่วมกันกำหนดแนวทางดำเนินงานที่เหมาะสมและยั่งยืน

ในขณะเดียวกัน การสืบสวนยังได้ขยายผลไปยังประเด็นที่น่าสงสัยอื่นๆ

• ขบวนการจ้างสแกน: มีประเด็นเกี่ยวกับการจ้างคนมาสแกนม่านตาแลกเหรียญเพื่อนำไปให้บุคคลอื่นใช้ โดยก่อนหน้านี้มีการจับกุมนายหน้ารับซื้อเหรียญ World Coin ในราคา 28 บาทต่อ 1 เหรียญ ซึ่งผู้สแกนจะได้รับเหรียญดิจิทัล 30 เหรียญ หรือคิดเป็นเงิน 840 บาท เป็นค่าสแกนม่านตา โดยนายหน้าไม่มีใบอนุญาต

• ความเสี่ยงต่อประชาชน: นายไชยชนก ชิดชอบ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) กล่าวว่า จากการสืบสวนพบว่าประชาชนจำนวนมากไม่ทราบชัดเจนว่าข้อมูลม่านตาจะถูกเก็บและนำไปใช้อย่างไร รวมถึงระบบคริปโตฯ และเหรียญตอบแทนทำงานอย่างไร

นอกจากนี้ยังพบกรณีที่ประชาชนได้รับผลตอบแทนเพียงครั้งแรก แต่เหรียญที่ถูกโอนเป็นรายเดือนนั้นไม่ได้เข้าวอลเล็ตของเจ้าตัวจริง ทำให้มีความเสี่ยงด้านการถูกนำข้อมูลไปใช้ในเชิงผิดกฎหมาย

PDPC ได้ส่งข้อมูลทั้งหมดให้หน่วยงานที่เกี่ยวข้องเพื่อสอบสวนต่อ เช่น กรมสอบสวนคดีพิเศษ (DSI), สำนักงานตำรวจแห่งชาติ, สำนักงาน ปปง. และ ก.ล.ต. นอกจากนี้ คณะกรรมการผู้เชี่ยวชาญกำลังพิจารณาโทษปรับทางปกครอง โดยข้อมูลม่านตาถือเป็นข้อมูลอ่อนไหวสูงสุดเทียบเท่ากับ DNA ซึ่งตามหลัก PDPA อาจถูกปรับได้สูงสุดถึง 5 ล้านบาทต่อ 1 รายการหรือบัญชี (ID) และคาดว่าจะทราบข้อสรุปภายในไม่เกิน 2 สัปดาห์

ดังนั้นการดำเนินการครั้งนี้เน้นย้ำถึงความสำคัญสูงสุดกับการคุ้มครองข้อมูลอ่อนไหวของประชาชน และการใช้เทคโนโลยีอย่างถูกต้องตามกฎหมาย แม้จะไม่ปิดกั้นการใช้เทคโนโลยีใหม่ๆ ก็ตาม

ไทม์ไลน์การติดตามและตรวจสอบโดย PDPC

17 พ.ค. 2568 ทีมหน่วยงานสืบสวน PDPC Eagle Eye ตรวจพบความเสี่ยงโครงการ World ชวนประชาชนสแกนม่านตาผ่านเครื่อง Orb เพื่อแลกรับเหรียญดิจิทัล โดยมีการลงพื้นที่เพื่อตรวจสอบรวบรวมข้อมูลและพบการจ้างรับคนมาสแกน

22 ก.ค. 2568 PDPC เชิญหน่วยงานที่เกี่ยวข้องประชุม (ครั้งที่1) รับฟังการชี้แจงจากบริษัทฯ โดยให้บริษัทดำเนินการและส่งชี้แจงเพิ่มเติม

4 ก.ย. 2568 มีการจัดประชุมรับฟังการชี้แจงและแสดงหลักฐานจากบริษัท (ครั้งที่2) พบว่าเอกสารหลักฐานยังไม่ชัดเจนเพียงพอ

19 ก.ย. 2568 Tool for Humanity จัดงาน Orb Technical Deep Dive พิสูจน์หลักฐานต่อสาธารณชน พบระบบสามารถย้อนระบุตัวบุคคลนั้นได้ มีการแจ้งเตือนการขอการใช้ข้อมูลผู้ใช้โดยไม่แจ้งวัตถุประสงค์ดังกล่าว ซึ่งผิดหลัก PDPA นอกจากนี้บริษัทฯ ยังคงโฆษณาชวนประชาชนสแกนม่านตา โดยไม่แก้ไข ไม่มีการแจ้งวัตถุประสงค์ให้ชัดเจน

3 ต.ค. 2568 PDPC เสนอเรื่องต่อ กชช. ตาม ม.76 และมีการพิจารณาข้อเท็จจริงในวันที่ 22 ต.ค.2568 และได้มีการออกหนังสือคำสั่งปกครองเพื่อสั่งระงับและให้ลบข้อมูลในวันที่ 14 พ.ย. 2568

ก่อนหน้านี้ในเดือนกันยายน Tool for Humanity ได้จัดงานแถลงข่าวเพื่อชี้แจงข้อเท็จจริงหลังมีประเด็นถกเถียงสำคัญในเรื่องความปลอดภัยของข้อมูลและการหลอกลวงผู้ใช้ให้สแกนม่านตาเพื่อแลกกับเงิน โดยภายในงานได้มีการยืนยันความปลอดภัยการให้บริการ ระบุ บริษัทฯ ไม่ได้ซื้อ เก็บ และขายข้อมูลชีวมิติ

นอกจากนี้ บริษัทฯ ดำเนินงานภายใต้กรอบกฎหมายไทยอย่างเคร่งครัด โดยมีการปรึกษากับหน่วยงานภาครัฐที่เกี่ยวข้อง ทั้งก่อนและหลังเข้ามาดำเนินงานในประเทศไทยและยังคงขอคำปรึกษาอย่างต่อเนื่อง โดยเฉพาะการทำงานร่วมกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC)