วันที่ 24 พฤศจิกายน 2568 นายไชยชนก ชิดชอบ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) เปิดเผยว่า กระทรวงฯ ให้ความสำคัญและส่งเสริมเทคโนโลยีปัญญาประดิษฐ์ (Artificial Intelligence (AI) และเทคโนโลยีสมัยใหม่ที่ใช้ในการ “ยืนยันความเป็นมนุษย์” อย่างไรก็ตามเงื่อนไขของผู้ให้บริการที่ใช้ในการเก็บรวบรวมข้อมูลส่วนบุคคลประเภท “ข้อมูลชีวภาพ” จะต้องมีความชัดเจนและต้องทำภายใต้กรอบที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด เพื่อไม่ก่อให้เกิดความเสียหายต่อประชาชนซึ่งเป็นเจ้าของข้อมูลส่วนบุคคล
ทั้งนี้สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) หรือ PDPC ได้พิจารณารายละเอียดธุรกิจ “สแกนม่านตาแลกเหรียญคริปโต” ซึ่งมีลักษณะเป็นการเก็บรวบรวมข้อมูลม่านตา ซึ่งเป็นข้อมูลส่วนบุคคลประเภท“ข้อมูลชีวภาพ”รวมถึงพยานหลักฐาน และคำชี้แจงของผู้ให้บริการธุรกิจดังกล่าวพบว่า การขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลเพื่อเก็บรวบรวม “ข้อมูลชีวภาพ” ซึ่งเป็นข้อมูลส่วนบุคคลประเภทข้อมูลอ่อนไหว มิได้ดำเนินการตามหลักเกณฑ์ที่กฎหมายกำหนดกล่าวคือ ผู้ให้บริการได้ใช้วิธีจูงใจประชาชนด้วยการมอบเหรียญคริปโตเคอเรนซีเป็นค่าตอบแทน เพื่อแลกกับการให้ความยินยอมในการเก็บรวบรวมข้อมูลม่านตา ซึ่งถือได้ว่าเป็นการขอความยินยอมที่ไม่เป็นไปโดยอิสระตามที่กฎหมายกำหนด
นอกจากนั้นการแจ้งวัตถุประสงค์ในขั้นตอนการขอความยินยอมแจ้งว่าเพื่อยืนยันความเป็นมนุษย์เท่านั้น แต่จากการตรวจสอบพบว่า ผู้เคยสแกนม่านตาไปแล้วไม่สามารถสแกนซ้ำได้ จึงชี้ให้เห็นว่าการดำเนินการดังกล่าวมีวัตถุประสงค์เพื่อยืนยันถึงตัวบุคคลที่สแกนไปแล้วด้วย การใช้ข้อมูลส่วนบุคคลดังกล่าวจึงเกินขอบเขตวัตถุประสงค์ที่ขอความยินยอมตั้งแต่แรก
"เบื้องต้นก.อีดีคาดโทษปรับเบื้องต้น 5 ล้านบาทต่อไอดี พร้อมสั่งลบทำลายทันที โดยคาดว่าจะใช้เวลา 2 สัปดาห์ ระงับได้ทั้งหมด หลังจากส่งจดหมายแจ้งไปเมื่อวันที่ 14 พ.ย.2568"
พ.ต.อ. สุรพงศ์ เปล่งขำ เลขาธิการคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล กล่าวว่า ภายหลังจากการพิจารณาพยานเอกสาร พยานวัตถุ และคำชี้แจงของผู้ให้บริการ คณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 ได้มีคำสั่งทางปกครองดังนี้ 1. ให้ผู้ให้บริการและบุคคลที่เกี่ยวข้องกับการเก็บข้อมูลม่านตา ระงับหรืองดการเก็บรวบรวมข้อมูลส่วนบุคคลในรูปแบบการสแกนม่านตาเพื่อรับเหรียญคริปโตเคอเรนซีเพิ่มเติมโดยทันที และรายงานผลการดำเนินการดังกล่าวต่อ สคส. ภายใน 7 วัน และ2. ให้ผู้ให้บริการและบุคคลที่เกี่ยวข้อง ลบทำลายข้อมูลม่านตาและข้อมูลส่วนบุคคลอื่นที่เกี่ยวข้องของประชาชนจำนวน 1.2 ล้านคนทั้งหมด เพื่อป้องกันการโอนย้ายถ่ายเทข้อมูลส่วนบุคคลดังกล่าวไปยังต่างประเทศ โดยไม่ถูกกฎหมาย
ทั้งนี้คำสั่งให้ดำเนินการดังกล่าว เป็นไปเพื่อคุ้มครองข้อมูลส่วนบุคคลของประชาชนที่รั่วไหล และไม่ให้นำเอาข้อมูลส่วนบุคคลดังกล่าวไปใช้โดยไม่ถูกต้อง ซึ่งอาจนำไปสู่การซื้อขาย หรือใช้ประโยชน์ทางพาณิชย์โดยไม่ถูกต้อง ซึ่งคำวินิจฉัยของคณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 เป็นไปตามกรอบกฎหมายของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) และเป็นไปตามมาตรการสากลโดยจากการตรวจสอบเบื้องต้น พบประเทศอื่นๆไม่น้อยกว่า 8 ประเทศได้มีการแบนการดำเนินการนี้ไปแล้วเช่นกัน โดยประเทศที่มีคำสั่งระงับชัดเจน 5 ประเทศ ได้แก่ เยอรมัน สเปน เกาหลีใต้ อินโดนีเซีย และบราซิล
พ.ต.อ. สุรพงศ์ กล่าวว่า จากการตรวจสอบร่วมกับหน่วยงานที่เกี่ยวข้อง นอกจากการตรวจพบการกระทำความผิดตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลดังกล่าวแล้ว ยังมีประเด็นที่น่าสงสัยอื่นๆ เช่น กรณีมีขบวนการจ้างคนมาสแกนม่านตาแลกเหรียญเพื่อนำไปให้บุคคลอื่นใช้ โดยการตรวจสอบขยายผลของ ก.ล.ต.และตำรวจไซเบอร์ได้ตรวจพบและมีการจับกุมผู้รับแลกเหรียญดิจิทัลโดยไม่ได้รับอนุญาตมาแล้วหลายราย จึงเป็นเหตุสงสัยว่าอาจมีประเด็นที่เกี่ยวข้องกับความผิดตามกฎหมายอื่นๆอีกซึ่งในส่วนนี้จะได้มีการสืบสวนขยายผลโดยเจ้าหน้าที่ DSI และเจ้าหน้าที่หน่วยงานอื่นๆที่เกี่ยวข้องต่อไป