ระงับสแกนม่านตาแลกคริปโตฯ พบไม่ถูกหลัก PDPA สั่ง World ประเทศไทยลบข้อมูล 1.2 ล้านราย ภายใน 7 วัน

สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) หรือ PDPC สั่ง “World โครงการสแกนม่านตาเพื่อยืนยันความเป็นมนุษย์” ระงับการเก็บรวบรวมข้อมูลม่านตาและให้ลบหรือทำลายข้อมูลทั้งหมดของประชาชนจำนวน 1,200,000 รายการ ภายใน 7 วัน หลังตรวจสอบและพบว่าการดำเนินการของ World ในประเทศเป็นไปโดยไม่ถูกต้องตามหลัก PDPA

คณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ได้พิจารณารายละเอียดธุรกิจ “สแกนม่านตาแลกเหรียญคริปโต” ซึ่งมีลักษณะเป็นการเก็บรวบรวม “ข้อมูลม่านตา” ซึ่งเป็นข้อมูลส่วนบุคคลประเภท "ข้อมูลชีวภาพ" (Biometric Data) รวมถึงพยานหลักฐาน และคำชี้แจงของผู้ให้บริการธุรกิจดังกล่าว ซึ่งพบว่า

การขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลเพื่อเก็บรวบรวม "ข้อมูลชีวภาพ" ซึ่งเป็นข้อมูลส่วนบุคคลประเภทข้อมูลอ่อนไหว มิได้ดำเนินการตามหลักเกณฑ์ที่กฎหมายกำหนด กล่าวคือ ผู้ให้บริการได้ใช้วิธีจูงใจประชาชนด้วยการมอบเหรียญคริปโตเคอเรนซีเป็นค่าตอบแทน เพื่อแลกกับการให้ความยินยอมในการเก็บรวบรวมข้อมูลม่านตา ซึ่งถือได้ว่าเป็นการขอความยินยอมที่ไม่เป็นไปโดยอิสระตามที่กฎหมายกำหนด

นอกจากนั้นการแจ้งวัตถุประสงค์ในขั้นตอนการขอความยินยอมแจ้งว่าเพื่อยืนยันความเป็นมนุษย์เท่านั้น แต่จากการตรวจสอบพบว่า ผู้เคยสแกนม่านตาไปแล้วไม่สามารถสแกนซ้ำได้ จึงชี้ให้เห็นว่าการดำเนินการดังกล่าวมีวัตถุประสงค์เพื่อยืนยันถึงตัวบุคคลที่สแกนไปแล้วด้วย การใช้ข้อมูลส่วนบุคคลดังกล่าวจึงเกินขอบเขตวัตถุประสงค์ที่ขอความยินยอมตั้งแต่แรก

สั่งระงับและทำลายข้อมูลคนไทย 1.2 ล้านราย

ด้าน พ.ต.อ. สุรพงศ์ เปล่งขำ เลขาธิการคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล กล่าวว่า ภายหลังจากการพิจารณาพยานเอกสาร พยานวัตถุ และคำชี้แจงของผู้ให้บริการ คณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 ได้มีคำสั่งทางปกครอง ดังนี้

1. ให้ผู้ให้บริการและบุคคลที่เกี่ยวข้องกับการเก็บข้อมูลม่านตา ระงับหรืองดการเก็บรวบรวมข้อมูลส่วนบุคคลในรูปแบบการสแกนม่านตาเพื่อรับเหรียญคริปโตเคอเรนซีเพิ่มเติมโดยทันที และรายงานผลการดำเนินการดังกล่าวต่อสคส. ภายใน 7 วัน
2. ให้ผู้ให้บริการและบุคคลที่เกี่ยวข้อง ลบทำลายข้อมูลม่านตาและข้อมูลส่วนบุคคลอื่นที่เกี่ยวข้องของประชาชนจำนวน 1.2 ล้านคนทั้งหมด เพื่อป้องกันการโอนย้ายถ่ายเทข้อมูลส่วนบุคคลดังกล่าวไปยังต่างประเทศ โดยผิดกฎหมาย

การมีคำสั่งให้ดำเนินการดังกล่าวเป็นไปเพื่อคุ้มครองข้อมูลส่วนบุคคลของประชาชนที่รั่วไหลและไม่ให้นำเอาข้อมูลส่วนบุคคลดังกล่าวไปใช้โดยไม่ถูกต้อง ซึ่งอาจนำไปสู่การซื้อขาย หรือใช้ประโยชน์ทางพาณิชย์โดยไม่ถูกต้อง การระงับการดำเนินการดังกล่าวจึงเป็นไปเพื่อป้องกันความเสียหายที่เกิดขึ้นจากการเก็บรวบรวมข้อมูลที่ผิดกฎหมาย

นอกจากนี้จากการตรวจสอบร่วมกับหน่วยงานที่เกี่ยวข้อง นอกจากการตรวจพบการกระทำความผิดตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลดังกล่าวแล้วยังมีประเด็นที่น่าสงสัยอื่นๆ เช่น กรณีมีขบวนการจ้างคนมาสแกนม่านตาแลกเหรียญเพื่อนำไปให้บุคคลอื่นใช้

ซึ่งก่อนหน้านี้กองบัญชาการตำรวจสืบสวนสอบสวนอาชญากรรมทางออนไลน์ (บช.สอท.) ได้เข้าทำการจับกุมผู้ต้องหา มีพฤติกรรมเป็นนายหน้ารับซื้อเหรียญ World Coin จากประชาชนที่แห่ไปลงทะเบียนสแกนม่านตาผ่านเครื่อง Orb เพื่อรับเหรียญ World Coin นายหน้าคนดังกล่าวให้การว่ารับซื้อเหรียญดังกล่าวในราคา 28 บาทต่อ 1 เหรียญ ซึ่งคนที่ไปลงทะเบียนสแกนม่านตาจะได้รับเหรียญดิจิทัลจำนวน 30 เหรียญ หรือคิดเป็นเงิน 840 บาท เป็นค่าสแกนม่านตาโดยไม่มีใบอนุญาต

โดยการตรวจสอบขยายผลของ ก.ล.ต. และตำรวจไซเบอร์ได้ตรวจพบและมีการจับกุมผู้รับแลกเหรียญดิจิทัลโดยไม่ได้รับอนุญาตมาแล้วหลายราย จึงเป็นเหตุสงสัยว่าอาจมีประเด็นที่เกี่ยวข้องกับความผิดตามกฎหมายอื่นๆ อีกซึ่งในส่วนนี้จะได้มีการสืบสวนขยายผลโดยเจ้าหน้าที่ DSI และเจ้าหน้าที่หน่วยงานอื่นๆ ที่เกี่ยวข้องต่อไป

ทั้งนี้คณะกรรมการผู้เชี่ยวชาญกำลังพิจารณาโทษตามคำสั่งปกครอง มูลค่าปรับต่อข้อมูลชีวภาพ 1 รายการหรือบัญชี (ID) ซึ่งตาม PDPA สามารถปรับได้ สูงสุด 5 ล้านบาทต่อ 1 รายการหรือบัญชี (ID) เนื่องจากข้อมูลม่านตาถือเป็นข้อมูลอ่อนไหวสูงสุดเทียบเท่ากับ DNA ซึ่งมีความเสี่ยงสูงกว่า อย่างไรก็ตามยังมีหลายปัจจัยที่ต้องพิจารณาก่อนสรุปยอดค่าปรับ ซึ่งคาดว่าจะทราบภายในไม่เกิน 2 สัปดาห์

ไทม์ไลน์การติดตามและตรวจสอบโดย PDPC

• 17 พฤษภาคม 2568 ทีมหน่วยงานสืบสวน PDPC Eagle Eye ตรวจพบความเสี่ยงโครงการ World ชวนประชาชนสแกนม่านตาผ่านเครื่อง Orb เพื่อแลกรับเหรียญดิจิทัล โดยมีการลงพื้นที่เพื่อตรวจสอบรวบรวมข้อมูลและพบการจ้างรับคนมาสแกน
• 22 กรกฎาคม 2568 PDPC เชิญหน่วยงานที่เกี่ยวข้องประชุม (ครั้งที่1) รับฟังการชี้แจงจากบริษัทฯ โดยให้บริษัทดำเนินการและส่งชี้แจงเพิ่มเติม
• 4 กันยายน 2568 มีการจัดประชุมรับฟังการชี้แจงและแสดงหลักฐานจากบริษัท (ครั้งที่2) พบว่าเอกสารหลักฐานยังไม่ชัดเจนเพียงพอ
• 19 กันยายน 2568 Tool for Humanity จัดงาน Orb Technical Deep Dive พิสูจน์หลักฐานต่อสาธารณชน พบระบบสามารถย้อนระบุตัวบุคคลนั้นได้ มีการแจ้งเตือนการขอการใช้ข้อมูลผู้ใช้โดยไม่แจ้งวัตถุประสงค์ดังกล่าว ซึ่งผิดหลัก PDPA นอกจากนี้บริษัทฯ ยังคงโฆษณาชวนประชาชนสแกนม่านตา โดยไม่แก้ไข ไม่มีการแจ้งวัตถุประสงค์ให้ชัดเจน
• วันที่ 3 ตุลาคม 2568 PDPC เสนอเรื่องต่อ กชช. ตาม ม.76 และมีการพิจารณาข้อเท็จจริงในวันที่ 22 ตุลาคม และได้มีการออกหนังสือคำสั่งปกครองเพื่อสั่งระงับและให้ลบข้อมูลในวันที่ 14 พฤศจิกายน 2568

ก่อนหน้านี้ในเดือนกันยายน 2568 Tool for Humanity ประเทศไทย ได้จัดงานแถลงข่าวเพื่อชี้แจงข้อเท็จจริงหลังมีประเด็นถกเถียงสำคัญในเรื่องความปลอดภัยของข้อมูลและการหลอกลวงผู้ใช้ให้สแกนม่านตาเพื่อแลกกับเงิน โดยภายในงานได้มีการยืนยันความปลอดภัยการให้บริการ ระบุว่า บริษัทฯ ไม่ได้ซื้อ เก็บ และขายข้อมูลชีวมิติ นอกจากนี้ บริษัทฯ ดำเนินงานภายใต้กรอบกฎหมายไทยอย่างเคร่งครัด โดยมีการปรึกษากับหน่วยงานภาครัฐที่เกี่ยวข้อง ทั้งก่อนและหลังเข้ามาดำเนินงานในประเทศไทยและยังคงขอคำปรึกษาอย่างต่อเนื่อง โดยเฉพาะการทำงานร่วมกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC)

อ่านเพิ่มเติม World ยันไม่ได้แจกเงิน! ตอบทุกปมร้อน ซื้อ-ขาย-เก็บข้อมูลจริงไหม มั่นใจได้ยังไงว่าไม่รั่วไหล

เช้าวันที่ 24 พฤศจิกายน  Tool for Humanity ประเทศไทย ได้ประกาศระงับการให้บริการในประเทศไทย หลังได้รับคำสั่งทางปกครองผ่านช่องทางโซเชียลมีเดีย World ประเทศไทย ทุกช่องทาง โดยระบุว่า “ตามที่ได้รับจดหมายจาก สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) บริษัทฯ ได้ระงับกระบวนการยืนยันความเป็นมนุษย์จริงในประเทศไทยชั่วคราว คำสั่งดังกล่าวมีผลบังคับใช้ แม้บริษัทฯ จะได้ดำเนินการตามกฎหมายและระเบียบข้อบังคับของประเทศไทยอย่างครบถ้วน รวมถึงผ่านกระบวนการตรวจสอบและปฏิบัติตามข้อบังคับมาโดยตลอด โดยบริษัทฯ ได้ให้ข้อมูลและความร่วมมือกับหน่วยงานกำกับดูแลอย่างเปิดเผย โปร่งใส และตรงไปตรงมาในทุกขั้นตอน”

อย่างไรก็ตามทาง PDPC และกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ยืนยันว่า Tool for Humanity ประเทศไทยได้มีการยื่นขอใบอนุญาตมายังสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (ETDA) แต่ไม่ได้อนุญาตการให้บริการ ซึ่งถือว่าไม่เข้าเกณฑ์ แม้จะมีการติดต่ออีกรอบผ่าน PDPC เพื่อขออนุญาตเก็บข้อมูล แต่ก็ไม่ได้รับการอนุญาตเพราะไม่เข้าเกณฑ์เช่นเดียวกัน

ไชยชนก ชิดชอบ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม กล่าวว่า จากการสืบสวนผ่านความร่วมมือทั้งตำรวจไซเบอร์และเจ้าหน้าที่ PDPC ฝังตัวตรวจสอบเป็นเวลาหลายเดือน พบว่า ประชาชนจำนวนมากไม่ทราบชัดเจนว่าข้อมูลม่านตาจะถูกเก็บและนำไปใช้อย่างไร รวมถึงระบบคริปโตฯ และเหรียญตอบแทนทำงานอย่างไร

บางพื้นที่พบมีการตั้งจุดสแกนแบบลับๆ และมีการเกณฑ์คนเป็นกลุ่ม โดยใช้อุปกรณ์มือถือที่ไม่ใช่ของประชาชนเองและให้สแกนบนเครื่องที่จัดเตรียมไว้ เหตุการณ์เหล่านี้ทำให้ประชาชนจำนวนมากได้รับผลตอบแทนเพียงครั้งแรก แต่เหรียญดังกล่าวที่ถูกโอนเป็นรายเดือนนั้นไม่ได้เข้าวอลเล็ตของเจ้าตัวจริง ซึ่งมีความเสี่ยงด้านการถูกนำข้อมูลไปใช้ในเชิงผิดกฎหมาย

ทั้งนี้ PDPC ได้มีการส่งข้อมูลทั้งหมดให้หน่วยงานที่เกี่ยวข้องเพื่อสอบสวนต่อ ได้แก่ สำนักงานตำรวจแห่งชาติ, สำนักงานป้องกันและปราบปรามการฟอกเงิน, กรมสอบสวนคดีพิเศษ (DSI) , สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (ก.ล.ต.) และจะรายงานต่อคณะกรรมการตาม พ.ร.ก. มาตรา 13 ต่อไป รวมถึงการยกระดับมาตรการเพิ่มเติมในอนาคต โดยเน้นย้ำถึงการให้ความสำคัญสูงสุดกับการคุ้มครองข้อมูลอ่อนไหวของประชาชน และการใช้เทคโนโลยีอย่างถูกต้องตามกฎหมาย โดยไม่ปิดกั้นการใช้เทคโนโลยีใหม่ๆ แต่อย่างใด 

สำหรับประชาชนที่ต้องการร้องเรียนผลกระทบจากบริการสามารถติดต่อสำนักงานตำรวจท้องถิ่นหรือติดต่อมาทาง PDPC เพื่อดำเนินการกฎหมายทุกอย่างเพื่อให้ได้รับความเป็นธรรมต่อไป 

ติดตามเพจ Facebook : Thairath Money ได้ที่ลิงก์นี้ -   

https://www.facebook.com/ThairathMoney