กระทรวงดิจิทัลฯ สั่งลบข้อมูลสแกนม่านตาคนไทย 1.2 ล้านราย จากโครงการ Worldcoin แต่จะลบได้จริงหรือไม่

ที่มาของภาพ : Getty Photos

• • Author, นงนภัส พัฒน์แช่ม
  • Position, ผู้สื่อข่าว.
• 24 พฤศจิกายน 2025

สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) สั่งระงับหรืองดการเก็บรวบรวมข้อมูลส่วนบุคคลในรูปแบบการสแกนม่านตาเพื่อแลกเหรียญคริปโตเคอเรนซี พร้อมให้ผู้ให้บริการและบุคคลที่เกี่ยวข้อง ลบทำลายข้อมูลม่านตาและข้อมูลส่วนบุคคลอื่นที่เกี่ยวข้องของประชาชนจำนวน 1.2 ล้านคน

นายไชยชนก ชิดชอบ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม หรือ ดีอีเอส ยืนยันในการแถลงข่าวช่วงเย็นวันนี้ (24 พ.ย.) ว่ามาตรการดังกล่าวมีผลทันที และหากบริษัทฯ ไม่ทำตามคำสั่งของคณะกรรมการผู้เชี่ยวชาญของ สคส. จะต้องเสียค่าปรับเป็นรายวันตามกฎหมาย และเขายังบอกด้วยว่าคณะกรรมการฯ กำลังอยู่ระหว่างพิจารณาโทษปรับกับทางบริษัท กรณีทำผิดกฎหมายพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ “PDPA” เพิ่มเติมอีกด้วย

ที่มาของคำสั่งดังกล่าว มาจากการตรวจสอบของคณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 ซึ่งพบว่าบริษัทผู้ให้บริการสแกนม่านมาเพื่อแลกเหรียญ “เวิลด์คอยน์” (Worldcoin) ซึ่งเป็นสกุลเงินคริปโตเคอเรนซีนั้น ได้ขอความยินยอมจากผู้สแกนม่านตา “ไม่ครบถ้วน” และ “ไม่ถูกต้องตามกฎหมาย PDPA”

บีบีซีรวบรวมข้อมูลการตรวจสอบเบื้องหลังคำสั่งนี้ และข้อสังเกตจากผู้เชี่ยวชาญด้านเทคโนโลยีไบโอเมตริกซ์ และผู้ประกอบการบริษัทเทคโนโลยี ไว้ในรายงานชิ้นนี้

“สแกนม่านตาแลกเหรียญ” สุ่มเสี่ยงเรื่องใดบ้าง

ที่มาของภาพ : BBC Thai

• ดำเนินการโดยไม่ได้รับอนุญาต

รมว.ดีอีเอส ระบุว่า จากการตรวจสอบ “บริษัทผู้ให้บริการได้แจ้งวัตถุประสงค์ในการขอความยินยอมไม่ครบถ้วน โดยอ้างว่าเป็นการยืนยันความเป็นมนุษย์อย่างเดียว แต่ในทางปฏิบัติจริง ระบบสามารถเทียบกลับไประบุยืนยันตัวตนบุคคลได้จริง ซึ่งเป็นการประมวลข้อมูลอ่อนไหวที่ไม่ตรงตามวัตถุประสงค์ที่แจ้งต่อผู้เข้าร่วมโครงการ และเข้าข่ายการขอความยินยอมที่ไม่ถูกต้องตามกฎหมาย PDPA”

โดยสำหรับโครงการ “เวิลด์ ไอดี” ที่มีการให้ผู้ใช้บริการสแกนม่านตานั้น นายไชยชนก เปิดเผยว่า สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ หรือ ETDA และสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) เคยได้รับจดหมายขออนุญาตทำโครงการ โดยส่งมาจากบริษัทที่ชื่อ “ทีไอดีซี เวิลด์เวิร์ส” (TIDC Worldverse) ตั้งแต่เดือน ม.ค. 2568 อย่างไรก็ตาม ทั้งสองหน่วยงานได้ตอบกลับไปยังบริษัทดังกล่าวตั้งแต่ต้นปีแล้วว่าไม่อนุญาตให้ดำเนินโครงการ

สำหรับ “ทีไอดีซี เวิลด์เวิร์ส” (TIDC Worldverse) นายไชยชนกให้ข้อมูลว่า เป็นบริษัทที่อยู่ภายใต้ “ทีไอดีซี กรุ๊ป” (TIDC Neighborhood) ที่ตั้งขึ้นมาจากความร่วมมือระหว่างกระทรวงดีอีเอส กับบริษัท ไพรม์ อ็อพพอร์ทูนิตี้ ฟันด์ วีซีซี (High Alternative Fund VC) โดยมีการลงนาม MOU ร่วมกันตั้งแต่ช่วงกลางปี 2567

อย่างไรก็ดี เขาไม่ระบุถึงความเชื่อมโยงระหว่างบริษัท ทีไอดีซี เวิลด์เวิร์ส กับบริษัท ทูลส์ ฟอร์ ฮิวแมนนิตี้ (Tools for Humanity – TFH) บริษัทผู้พัฒนาโครงการเวิลด์คอยน์ (Worldcoin Mission) โดยบอกว่า “ผมเอง ต้องพยายามที่จะไม่แพ้เสียงในหัว… ผมเชื่อว่าพวกท่านสามารถ connect the dot (เชื่อมโยงข้อมูล) แล้ววิเคราะห์ได้”

Cease of ได้รับความนิยมสูงสุด

• ข้อมูลระบุตัวตนย้อนกลับได้ และขายต่อพันธมิตรโดยไม่บอกผู้ใช้

ขณะที่นายไพบูลย์ อมรภิญโญเกียรติ ตัวแทนจากคณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 ที่มาร่วมแถลงข่าว ระบุว่า จากการตรวจสอบของเจ้าหน้าที่ที่เกี่ยวข้อง ยังพบว่าการเก็บข้อมูลของโครงการยังไม่สอดคล้องกับคำชี้แจงของตัวแทนบริษัทที่เกี่ยวข้องกับโครงการนี้ยืนยันกับคณะกรรมการฯ ว่าสิ่งที่ถูกจัดเก็บไปเป็นข้อมูลรหัสที่ไม่สามารถระบุตัวตนกลับมาได้ แต่ในทางปฏิบัติเมื่อเจ้าหน้าที่ทดลองสแกนม่านตาซ้ำ พบว่าระบบกลับจดจำได้ว่าเคยสแกนไปแล้ว ซึ่งสะท้อนว่าระบบสามารถระบุตัวตนผู้ใช้งานได้

นอกจากนี้ เขายังบอกว่าการสอบสวนยังพบเอกสารของบริษัทที่บ่งชี้ว่าข้อมูลจากการสแกนม่านตานั้นสามารถนำกลับมาระบุตัวตนผู้ใช้งานได้ จากการที่บริษัทมีข้อตกลงขายข้อมูลให้พันธมิตรทางธุรกิจอื่น ๆ

“ในข้อตกลงระหว่างเขาเอง ในการประมวลผล เขาเขียนรับรองเลยว่า ข้อมูลที่แปลงจากม่านตาเป็น code (รหัส) มันย้อนกลับมาได้ แล้วทำธุรกิจกัน ซึ่งการเซ็นก็คือเซ็นโดยบุคคลที่เกี่ยวข้องทั้งหมดเลย งั้นข้อมูลทั้งจากที่ตัวแทนที่มาชี้แจง ก็ชัดเจนว่าความยินยอมของผู้ที่ไปสแกนม่านตา จริง ๆ เขาไม่ได้ทราบว่าเอาไปใช้ขนาดนี้” นายไพบูลย์ ระบุ เขาเน้นย้ำประเด็นนี้อีกครั้งในการให้สัมภาษณ์ภายหลังการแถลงข่าวว่า “จากเอกสารของเขาเอง ในข้อตกลงเองบอกว่า มันยืนยันตัวตนได้ เลยทำการขายให้กับพันธมิตรทางธุรกิจอื่น ๆ”

“เดิมเขาแจ้งว่า สแกนเสร็จแล้วลบทิ้งภายใน 12 วินาที แต่ความเป็นจริงแล้ว หลังจากที่แปลงไปเป็น Iris Code (รหัสที่ได้จากการสแกนม่านตา) แล้ว มันสามารถยืนยันตัวตนได้อีก เช่นเดียวกับพวกเราเวลาเราสแกนม่านตาผ่าน Apple ID อะไรต่าง ๆ พอเสร็จแล้วเป็น Code (รหัส) ครั้งต่อไปเราแค่ double click (กดสองครั้ง) มันก็ทำงานได้เลย เพราะว่าข้อมูลส่วนบุคคล มันแปลงสภาพไปแล้ว” นายไพบูลย์กล่าว

“พอแปลงสภาพไปแล้ว จริง ๆ แล้วเขาสามารถใช้ได้ เพียงแต่ว่าเขาต้องแจ้งว่าเขาไปใช้ทำอะไรบ้าง ซึ่งในกรณีนี้ ปรากฏว่าการแจ้ง ซึ่งต้องระบุไว้ใน ‘นโยบายคุ้มครองข้อมูลส่วนบุคคล' ไม่ได้บอกเลยว่าได้นำไปใช้ในการประกอบธุรกิจอย่างอื่น เพราะว่าตัวผู้ที่ชี้แจงก็บอกเองว่า ‘ไปเชื่อมต่อกับพันธมิตรหลายราย' โดยมีวัตถุประสงค์ดีนะครับ ว่าต้องใช้การยืนยันตัวตนเหมือนกัน แต่คำถามคือ คนที่สแกนเขาไม่ทราบว่าจะนำข้อมูลไปใช้ต่อ” เขาระบุ

• จูงใจโดยจ่ายคริปโตฯ เป็นรายเดือน

“จากการตรวจสอบมา โครงการการสแกนม่านตา ผลตอบรับที่จะได้เป็นการตอบแทนด้วยเหรียญคริปโตฯนะครับ ซึ่งการตอบแทนเป็นการตอบแทนรายเดือน ไม่ใช่การตอบแทนครั้งเดียว” รมว.ดีอีเอส เปิดเผยในการแถลงข่าว

เขาบอกว่าการให้ “ค่าตอบแทน” จากการสแกนม่านตาในลักษณะนี้ ทำให้เกิดผลกระทบในหลายรูปแบบ โดยมีทั้งกรณีที่ประชาชนเข้าไปสแกนม่านตาโดยที่ไม่รู้ว่าข้อมูลจะถูกเก็บและนำไปใช้อย่างไร รวมถึงมีขบวนการที่ไปชักชวนคนถึงตามคอนโดฯ ต่าง ๆ ซึ่งอาจไม่รู้ว่าต้องได้ค่าตอบแทนเป็นรายเดือน แล้วถูกให้สแกนม่านตา แต่ไม่ได้ดาวน์โหลดแอปพลิเคชันลงโทรศัพท์มือถือของตัวเอง กลายเป็นว่าไม่ได้รับค่าตอบแทนที่ควรจะได้ทุกเดือน

ขณะที่ตัวแทนจากคณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 เน้นย้ำว่ากรณีนี้ยังถือเป็นการ “จูงใจ” ให้ผู้ใช้บริการยินยอมสแกนม่านตา ซึ่งขัดกับหลักเกณฑ์ของกฎหมายคุ้มครองส่วนบุคคลทั่วโลก ที่กำหนดว่า “กระบวนการยินยอมต้องเป็นอิสระ ไม่มีการจูงใจ”

“สิ่งที่เกิดขึ้นในเคสนี้คือ พอดาวน์โหลดแอปฯ มา คนที่ไปดาวน์โหลดแอปฯ จากคำให้การของผู้ที่มาชี้แจงเอง จากบริษัทที่เราพูดถึง เขาบอกเองว่าเขาใช้วิธีคือให้แจกของคน คือแจกเป็นคริปโต” นายไพบูลย์เปิดเผย ก่อนกล่าวสรุปว่า “ถ้างั้นคนที่มาเขาไม่ได้มาเพราะว่าเขายินยอมให้เก็บข้อมูลม่านตา เขามาเพราะว่าเขาเองอยากได้เหรียญ”

ที่มาของภาพ : Getty Photos

คำสั่ง สคส. มีรายละเอียดอย่างไร

สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) มีคำสั่งหลัก 2 ส่วน ได้แก่

• ให้ผู้ให้บริการและบุคคลที่เกี่ยวข้องกับการเก็บข้อมูลม่านตา ระงับหรืองดการเก็บรวบรวมข้อมูลส่วนบุคคลในรูปแบบการสแกนผ่านตาเพื่อรับเหรียญคริปโตเคอเรนซีเพิ่มเติมโดยทันที และรายงานผลการดำเนินการดังกล่าวต่อ สคส. ภายใน 7 วัน

• ให้ผู้ให้บริการและบุคคลที่เกี่ยวข้อง ลบทำลายข้อมูลม่านตาและข้อมูลส่วนบุคคลอื่นที่เกี่ยวข้องของประชาชนจำนวน 1.2 ล้านคนทั้งหมด โดย สคส. ระบุว่า “เพื่อป้องกันการโอนย้ายถ่ายเทข้อมูลส่วนบุคคลดังกล่าวไปยังต่างประเทศโดยไม่ถูกกฎหมาย”

นายไชยชนก ชิดชอบ รมว.ดีอีเอส ยืนยันว่ามาตรการดังกล่าวมีผลทันที และคณะกรรมการฯ ยังอยู่ระหว่างพิจารณาว่าจะดำเนินการปรับบริษัทที่เกี่ยวข้องกับการเก็บข้อมูลด้วยหรือไม่ เพราะตามกฎหมาย PDPA ระบุมูลค่าที่สามารถปรับได้กรณีกระทำผิดกฎหมายนี้ ถึง 5 ล้านบาทต่อ 1 ไอดี แต่ก็ยังมีปัจจัยอื่น ๆ ที่ต้องนำมาประกอบการพิจารณามูลค่าเงินที่จะเรียกปรับ ซึ่งหากการพิจารณาเสร็จสิ้นก็จะเปิดเผยต่อสื่อต่อไป

ส่วนทั้ง 2 คำสั่งที่ สคส. แจ้งทางบริษัทแล้วนั้น หากไม่ดำเนินการตามคำสั่งยังมีโทษทางกฎหมาย คือปรับวันละ 500,000 บาท

อย่างไรก็ดี ผู้แทนจาก สคส. เน้นย้ำในการแถลงข่าวว่า คำสั่งนี้มีผลเฉพาะกับข้อมูลที่มีการเก็บรวบรวมผ่านการสแกนม่านตาเท่านั้น ไม่ได้รวมถึงการลบแอปพลิเคชัน หรือดำเนินการกับเหรียญเวิลด์คอยด์ หมายความว่าทางบริษัทยังสามารถให้บริการแอปพลิเคชันต่อได้ เพียงแค่ต้องลบข้อมูลที่มาจากม่านตาของคนไทย 1.2 ล้านคน

โดยส่วนของเหรียญเวิลด์คอยน์ที่อยู่ในแอปพลิเคชันดังกล่าวนั้น นายไชยชนก ระบุว่า ทางสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (ก.ล.ต.) จะเป็นผู้พิจารณาต่อว่าเข้าข่ายเป็น “Fabricated from Crime” (ผลผลิตจากอาชญากรรม) หรือไม่ และจะดำเนินการอย่างไร

เขายังเปิดเผยด้วยว่ากระทรวงดีอีเอสจะรวบรวมข้อมูลทั้งหมดส่งต่อให้กับกรมสอบสวนคดีพิเศษ (DSI) และสำนักงานป้องกันและปราบปรามการฟอกเงิน (ปปง.) ด้วย ซึ่งเขาเชื่อว่าคงจะมีการแถลงข่าวของทางหน่วยงานที่เกี่ยวข้องต่าง ๆ อีกหลังจากนี้

“เวิลด์ ประเทศไทย” แจงพร้อมระงับดำเนินการ แม้ผ่านการตรวจสอบ – ปฏิบัติตามข้อบังคับมาโดยตลอด

ด้าน “World Thailand” (เวิลด์ ประเทศไทย) ออก “ประกาศสำคัญ” ตั้งแต่ช่วงเช้าก่อนการแถลงข่าวของ สคส. ระบุว่า บริษัทฯ “ได้ระงับกระบวนการยืนยันความเป็นมนุษย์จริงในประเทศไทยชั่วคราว” โดยอ้างอิงกรณีที่ได้รับจดหมายคำสั่งจาก สคส.

“คำสั่งดังกล่าวมีผลบังคับใช้ แม้บริษัทฯ จะได้ดำเนินการตามกฎหมายและระเบียบข้อบังคับของประเทศไทยอย่างครบถ้วน รวมถึงผ่านกระบวนการตรวจสอบและปฏิบัติตามข้อบังคับมาโดยตลอด โดยบริษัทฯ ได้ให้ข้อมูลและความร่วมมือกับหน่วยงานกำกับดูแลอย่างเปิดเผย โปร่งใส และตรงไปตรงมาในทุกขั้นตอน”

พวกเขายังระบุด้วยว่า การระงับการดำเนินการดังกล่าวจะ “ส่งผลกระทบทางลบต่อคนไทยหลายล้านคน ที่ได้เลือกใช้เทคโนโลยีนี้เพื่อช่วยปกป้องตนเองจากการลวงลวง การขโมยข้อมูลส่วนบุคคล และภัยคุกคามจากการฉ้อโกงที่ขับเคลื่อนด้วยปัญญาประดิษฐ์ (AI)”

ประกาศดังกล่าวยังยืนยันถึงความมุ่งมั่นของบริษัทฯ ในการ “สร้างสภาพแวดล้อมดิจิทัลที่ปลอดภัยยิ่งขึ้น” พร้อมยืนยันว่าพวกเขาจะหารือกับหน่วยงานที่เกี่ยวข้องในประเทศไทยอย่างใกล้ชิด รวมถึงกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม และสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เพื่อร่วมกันกำหนดแนวทางการดำเนินงานที่เหมาะสมและยั่งยืนต่อไป

โครงการเวิลด์สามารถลบข้อมูลม่านตาได้จริงหรือไม่ ?

ดร.กิตติพล โหราพงศ์ อาจารย์ภาควิชาวิศวกรรมคอมพิวเตอร์ มหาวิทยาลัยเกษตรศาสตร์ ผู้เชี่ยวชาญเทคโนโลยีไบโอเมตริกซ์ในไทย ตั้งข้อสังเกตว่า หากโครงการเวิลด์ (World) เก็บข้อมูลที่ไม่สามารถระบุตัวตนได้ (anonymous) ตามที่ทางบริษัทเจ้าของโครงการกล่าวอ้างจริง นั่นหมายความว่าข้อมูลที่จัดเก็บไปแล้ว จะไม่สามารถตรวจสอบย้อนกลับได้ว่าเป็นข้อมูลของใคร ดังนั้น บริษัทฯ จะรู้ได้อย่างไรว่าจะต้องลบข้อมูลชุดไหนจึงจะเป็นของคนไทย 1.2 ล้านคนตามคำสั่ง สคส. เว้นแต่ว่าจะให้ผู้ใช้บริการในไทยยืนยันตัวตนอีกรอบ หรือลบข้อมูลทั้งหมดที่มีในฐานข้อมูล ซึ่งรวมทุกประเทศกว่า 30 ล้านคน

“ตัวระบบของเวิลด์คอยน์เอง ตัวออร์บ (Orb) เท่าที่ผมดู by contain (ตามการออกแบบ) ของเขา เขาจะทำให้ข้อมูลมันเป็น anonymous (ไม่ระบุตัวตน) ก็คือนิรนาม คราวนี้พอมันเป็นนิรนาม คำถามหลัก ๆ คือ แล้วเวลาถ้าสมมติเราจะไปลบ เราจะไปลบอันไหน” เขาตั้งคำถาม พร้อมกับตั้งข้อสังเกตว่า หากทางโครงการสามารถลบข้อมูลของคนไทยตามคำสั่ง สคส. ได้จริง ก็จะขัดแย้งกับสิ่งที่บริษัทผู้ผลิตชี้แจงว่าเก็บข้อมูลแบบไม่ระบุตัวตน

“จริง ๆ ที่เยอรมัน เขาสั่งให้ลบเมื่อปี 2024 ช่วง ๆ ปลายปี… เท่าที่ผมดูข้อมูลมา ผมว่าเขาลบได้ เพราะว่าถ้าเยอรมันสั่งให้ลบแล้วเขาลบได้ แปลว่าไทยสั่งให้ลบก็ลบได้เหมือนกัน ซึ่งถ้าสั่งให้ลบแล้วลบได้ นั่นหมายความว่า เขา establish (ระบุตัวตน) กลับไปได้ว่า อันนี้คือใคร คือ นาย ก. นาย ข. ถูกไหม ก็จะไม่ตรงกับที่เขาบอกตอนแรกว่า มัน anonymous (ไม่ระบุตัวตน)” ดร.กิตติพล ระบุ

ที่มาของภาพ : Getty Photos

ในการแถลงข่าวที่ สคส. เมื่อช่วงเย็น รมว.ดีอีเอส เน้นย้ำว่าไทยไม่ใช่ประเทศแรกที่ดำเนินการระงับการสแกนม่านตาเช่นนี้ แต่จากการตรวจสอบเบื้องต้น พบประเทศอื่น ๆ อีกไม่น้อยกว่า 8 ประเทศได้สั่งห้ามการดำเนินการนี้ไปแล้วเช่นกัน โดยประเทศที่มีคำสั่งระงับชัดเจนมีทั้งหมด 5 ประเทศ ได้แก่ เยอรมนี สเปน เกาหลีใต้ อินโดนีเซีย และบราซิล

ตัวแทนจากคณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 ของ สคส. ยืนยันกับ.ในเวลาต่อมาว่า เขาเชื่อว่าทางบริษัทฯ สามารถลบข้อมูลจากคนไทย 1.2 ล้านคนได้ เพราะเท่าที่เขาทราบคือก่อนหน้านี้บริษัทผู้ให้บริการก็เคยลบข้อมูลม่านตาที่อยู่ในประเทศต่าง ๆ ที่ร้องขอให้ลบ

อย่างไรก็ดี เขายอมรับว่าบริษัทดังกล่าวได้เก็บข้อมูลแยกไว้ในหลายพื้นที่ ซึ่งอาจมีข้อมูลส่วนที่เก็บอยู่ในบางพื้นที่ เช่น เกาะเคย์แมน ที่อาจต้องอาศัยการประสานงานเพิ่มเติม

“เกาะ เคย์แมน เท่าที่ผมทราบก็จะมีหน่วยงานที่ดูแลเรื่องนี้เหมือนกัน แต่ว่าก็ต้องดูว่าในส่วนนี้ เขายอมรับคำสั่งของเราแค่ไหน” นายไพบูลย์ระบุ “ในมุมที่เราทำได้คือ ในประเทศต้องไม่มีการใช้ เพราะเดี๋ยวนี้มันอยู่ในในโลกที่เป็น globalized (เชื่อมต่อกันทั้งโลก) ถ้างั้นสิ่งที่ทำได้คือ ถ้าเราเจอเมื่อไหร่ นั่นคือความผิดครับ นั่นคือสิ่งที่เราทำได้”

อย่างไรก็ดี เขาเชื่อว่าคำสั่งของ สคส. ในวันนี้ สามารถกดดันบริษัทผู้ให้บริการให้ลบข้อมูลที่มาจากม่านตาของคนไทยทั้งหมดได้ ไม่ว่าจะแยกเก็บไว้ที่ไหนบ้างก็ตาม

“อันนี้ก็ต้องเป็นเรื่องที่เราสอบสวนต่อไปว่า หลังจากมีคำสั่ง จริง ๆ internet hosting (ผู้ควบคุมข้อมูล) อยู่ที่ไหน เพราะว่าในทางเทคนิคไม่ได้ยากเลย” นายไพบูลย์กล่าว ก่อนจะยกตัวอย่างว่า “ถ้าผมเป็น host ผมลบทันที เพราะผมเองไม่เอาไว้ ยิ่งถ้าเกิดว่าโทษมันสูงสุดถึง 5 ล้านนะ อันนี้น่ากลัว”

“ไม่ใช่อยู่ดี ๆ ปรับ 5 ล้านนะครับ ต้องดูว่าเจตนาเขาเป็นยังไงหลังจากนี้ แล้วไม่ใช่ว่าอยู่ดี ๆ พอไป ride (ดำเนินการ) อยู่บนระบบแล้วปรับ ต้องมาดูด้วยว่า หลังจากนั้นคุณมีใช้ประโยชน์ไหม มีใช้อะไรบ้าง”

สคส. ลงโทษเกินสมควรหรือไม่

อย่างไรก็ดี มีความเห็นอีกฝั่ง เช่น นายธนารัตน์ กัววัฒนาพันธ์ CEO บจก.โดมคลาวด์ ที่ตั้งคำถามว่าการสั่งลบข้อมูลครั้งนี้ของ สคส. ถือเป็นการทำเกินกว่าเหตุหรือไม่

โดยเขาเท้าความถึงการแถลงข่าวของ สคส. โดยนักธุรกิจรายนี้มองว่าส่วนที่เป็นความผิดของเวิลด์แอปฯ มีเพียงสองส่วน คือ กระบวนการได้มาซึ่งข้อมูล “ไม่โปร่งใส” โดยมีการให้เหรียญจูงใจ ทำให้กระบวนการให้ความยินยอมไม่เป็นอิสระ และผิดหลักการ PDPA จากการขอความยินยอมไม่ครบ โดยขอเพียงเพื่อ “ยืนยันความเป็นมนุษย์” แต่เจ้าหน้าที่สแกนซ้ำแล้วรู้กลับว่าเป็นคนเดิม

นายธนารัตน์ ตั้งคำถามว่าการมีสิ่งจูงใจถือว่าผิดกฎหมายได้หรือ หากเจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอม โดยปราศจากกลฉ้อฉล ลวงลวง ข่มขู่ หรือสำคัญผิด ซึ่งทางเวิลด์แอปฯ ก็ไม่ได้ “บังคับ” หรือ “ข่มขู่” ให้ผู้ใช้บริการต้องสแกนม่านตา ซึ่งความเห็นของเขามองว่าไม่ได้เข้าข่ายความผิด

อย่างไรก็ดี เขาเห็นด้วยว่าโครงการเวิลด์มีมูลความผิดตามหลักการกฎหมาย PDPA กรณีที่ขอความยินยอมเก็บข้อมูลเพื่อ “ยืนยันความเป็นมนุษย์” แต่คณะกรรมการของ สคส. ให้ความเห็นว่าเป็นการ “ยืนยันตัวบุคคล” แต่เขาเห็นว่าบทลงโทษไม่ได้สัดส่วนกับความผิด เนื่องจากมองว่าความร้ายแรงของพฤติการณ์คือ “แค่ขอ consent (ความยินยอม) ไม่ครบ” และปัจจุบันก็ยังไม่พบความเสียหายเกิดขึ้นจริง ในขณะที่คำสั่งให้ลบข้อมูลนั้น ไม่ต่างอะไรกับการ “สั่งปิดธุรกิจที่นำเงินเข้าประเทศกว่าปีละพันล้านบาท”

ทว่า สคส. ก็ยืนยันในการแถลงข่าวว่าไม่ได้เป็นเช่นนั้น

“การวินิจฉัยของกรรมการผู้เชี่ยวชาญไม่ได้วินิจฉัยตามข้อกฎหมาย เราวินิจฉัยแนวทางปฏิบัติทางธุรกิจ… ถ้าจะทำธุรกิจสแกนม่านตาต้องเป็นอย่างนี้ คุณทำได้ แต่ทำให้ถูกต้อง แค่นั้นเองนะครับ ซึ่งก็ขอความร่วมมือว่า กรุณาหยุด ระงับการดำเนินการ แล้วก็ทำทุกอย่างให้มันถูกต้องใหม่ แล้วก็มีการดำเนินการ ที่เป็นไปตามกฎหมาย ใครที่มีข้อมูลม่านตาในความครอบครอง ก็ต้องลบทำลายมัน” นายไพบูลย์กล่าวย้ำ

“ถ้ามีการเผยแพร่ต่อไป สุดท้ายข้อมูลพวกนี้มันจะอาจจะถูกจำหน่ายใน dark internet (เว็บมืด) หรือ ไปใช้โดยมิจฉาชีพ เพราะว่าพอมันเป็น recordsdata (ข้อมูล) แล้ว มันโอนไปที่ไหนก็ได้” เขากล่าว “ที่ สคส. กังวลคือ ตัวหลักอยู่ที่เกาะเคย์แมน ซึ่งโดยหลักเป็นเกาะที่เรียกว่าเป็นแหล่งระดมทุนพอสมควร”

“ในเมื่อเราไม่ทราบตรงนี้ ก็เป็นสิ่งที่ สคส. โดยท่านเลขาฯ กับทางกรรมการที่ศึกษา เราต้องปกป้องประชาชน โดยการที่ หยุดก่อน หยุด และแก้ไข แล้วลบ แล้วถ้าท่านพร้อมเมื่อไหร่ ท่านมาขออนุญาตแล้วกัน แล้วตอนนั้นมาดูกันใหม่” เขาระบุ “ยังยืนยันว่าธุรกิจยังเดินต่อไปนะครับ สามารถทำได้เหมือนเดิม เพียงแต่ว่าท่านขอให้ถูกต้องแล้วกัน”