สืบเนื่องจากในงานแถลงข่าวของคณะกรรมการผู้เชี่ยวชาญชุดที่ 2 ตามกฏหมาย PDPA ที่มีคำสั่งให้ “World ID” ลบข้อมูลม่านตา (Iris) จำนวน 1.2 ล้านคนของคนไทยและยุติบริการการสแกนม่านตาในประเทศไทย (รายละเอียดเพิ่มเติม > คลิก) นั้น ได้มีการอ้างอิงถึงกรณีศึกษาในลักษณะเดียวกันของ World ID กับคำสั่งของหน่วยงานคุ้มครองข้อมูลแห่งรัฐบาวาเรีย ประเทศสาธารณรัฐเยอรมนี (Das Bayerische Landesamt für Datenschutzaufsicht: BayLDA)
คำตัดสินของหน่วยงานคุ้มครองข้อมูลบาวาเรีย (BayLDA) ต่อ Worldcoin Foundation
ทีมคณะผู้วิจัยกฎหมาย ได้ค้นคว้า สรุปสาระแนวทางคำตัดสินและการสืบสวนของ BayLDA ต่อการประมวลผลข้อมูลชีวภาพ (Biometric Data) ของ Worldcoin ซึ่งส่งผลกระทบโดยตรงต่อการดำเนินงานของ Worldcoin และถือเป็นบรรทัดฐานสำคัญในการกำกับดูแลเทคโนโลยีชีวภาพและการพิสูจน์ตัวตนดิจิทัลภายใต้กรอบของ GDPR
1. ประเด็นผลการตัดสินที่สำคัญโดย BayLDA
การละเมิด GDPR ระดับสำคัญต่อองค์กร: Worldcoin Foundation ละเมิดกฏหมาย GDPR ในการประมวลผลข้อมูลชีวภาพซึ่งเป็นข้อมูลส่วนบุคคลลักษณะพิเศษโดยไม่มีฐานกฎหมายที่ถูกต้อง, ละเลยมาตรการรักษาความปลอดภัยของข้อมูล และปฏิเสธสิทธิขั้นพื้นฐานของเจ้าของข้อมูล
มาตรการรักษาความปลอดภัยไม่เพียงพอ: ข้อมูล Iris Codes ในรูปแบบ “ข้อความธรรมดา” (Plain Text) ไว้ในฐานข้อมูลเป็นระยะเวลานานถึง 1 ปี ระหว่าง 24 กรกฎาคม 2023 ถึง 14 พฤษภาคม 2024 โดยไม่มีการเข้ารหัสในระดับข้อมูล BayLDA มองว่าเป็นการละเมิดหลักปฏิบัติพื้นฐานด้านความปลอดภัยทางคอมพิวเตอร์อย่างร้ายแรงและมีแนวโน้มที่จะเกิดความเสี่ยงสูงที่กระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลบุคคล
ไม่ได้จัดเตรียมมาตรการรองรับการใช้สิทธิ: Worldcoin Foundation มีหน้าที่ต้องอำนวยความสะดวกให้เจ้าของข้อมูลสามารถใช้สิทธิลบ หรือ ทำลายข้อมูลได้ง่าย การไม่ได้จัดเตรียมช่องทางหรือมาตรการดังกล่าวถือได้ว่า ไม่ปฏิบัติตามหน้าที่ Data Controller ที่ดีจึงถือเป็นการละเมิดกฏหมาย GDPR โดยตรง
2. สรุปมาตรการแก้ไขและคำสั่งที่ BayLDA บังคับสั่งการ World Coin Foundation
ให้ Worldcoin Foundation หยุดใช้ และลบข้อมูลชีวภาพ อันได้แก่ข้อมูลสแกนม่านตา (Iris Codes) ที่รวบรวมอย่างผิดกฎหมายตั้งแต่วันที่ 24 กรกฎาคม 2023 ถึง 13 ธันวาคม 2024 เฉพาะในส่วนข้อมูลที่จะเก็บเพื่อกิจกรรมการเปรียบเทียบในอนาคต (Passive Comparison) ข้อน่าสังเกตจากมุมมองผู้เขียนคือ BayLDA ไม่ได้สั่งให้ลบข้อมูล “ทั้งหมด” ส่วนที่ขอความยินยอมมานั้นก็จะไม่บังคับให้ลบ
การประมวลผลข้อมูลชีวภาพเพื่อกิจกรรมการเปรียบเทียบในอนาคต (Passive Comparison) นั้น ต้องอยู่บนฐาน “ความยินยอมอย่างชัดแจ้ง” (Explicit Consent) จากเจ้าของข้อมูลเท่านั้น ฐานเดิมที่อ้าง คือ “ฐานประโยชน์โดยชอบด้วยกฎหมาย” (Legitimate Interest) ไม่สามารถใช้ได้กับข้อมูลการสแกนม่านตาได้
ต้องสร้างมาตรการรองรับการใช้สิทธิให้เจ้าของข้อมูลส่วนบุคคล ที่จะสามารถใช้สิทธิขอลบข้อมูลของตนได้
3. ผลกระทบทางการเงินและ ความเสี่ยง
ค่าปรับสำหรับการไม่ปฏิบัติตามคำสั่ง (Penalty Payments) ถูกกำหนดไว้อย่างชัดเจน คือ ค่าปรับ 50,000 € (ยูโร): สำหรับการไม่ปฏิบัติตามคำสั่งหลัก และ ค่าปรับ 5,000 € (ยูโร): สำหรับการไม่รายงานความคืบหน้าในการปฏิบัติตามคำสั่งแต่ละข้อแก่ BayLDA ตามกรอบเวลาที่กำหนด
ข้อน่าสังเกตจากมุมมองผู้เขียนคือ BayLDA ระบุชัดเจนว่าค่าปรับที่กล่าวมาเป็นเพียงบทลงโทษสำหรับการไม่ปฏิบัติตามคำสั่งเท่านั้น หน่วยงาน BayLDA สงวนสิทธิ์ในการกำหนดค่าปรับทางปกครอง (Administrative Fines) เพิ่มเติมสำหรับการละเมิด GDPR พื้นฐานที่เกิดขึ้น ซึ่งอาจมีมูลค่าสูงสุด 4% ของรายได้ทั่วโลกต่อปี หรือ 20 ล้านยูโร แล้วแต่จำนวนใดจะสูงกว่ากัน
4. บทสรุปและผลกระทบ
คำตัดสินของ BayLDA ต่อ Worldcoin Foundation เป็นบรรทัดฐานทางกฎหมายที่ชัดเจนใน GDPR และเป็นแหล่งอ้างอิงที่คณะกรรมการผู้เชี่ยวชาญอ้างอิง
การอ้าง “ประโยชน์อันชอบด้วยกฎหมาย” นั้นไม่ใช่ฐานกฎหมายสำหรับการประมวลผลข้อมูลชีวภาพเพื่อการระบุตัวตน และ “ความยินยอมอย่างชัดแจ้ง” เท่านั้นที่จะสามารถใช้ได้
กฎหมายการคุ้มครองข้อมูลส่วนบุคคล GDPR ตั้งเกณฑ์มาตรฐานที่สูงและจริงจังในการบังคับใช้กฏหมาย สำหรับอุตสาหกรรมเทคโนโลยีทั้งหมด โดยเฉพาะอย่างยิ่งบริษัทที่ดำเนินธุรกิจเกี่ยวกับการประมวลผลข้อมูลชีวภาพขนาดใหญ่ที่มุ่งเน้นนวัตกรรมโดยละเลยสิทธิขั้นพื้นฐานในความเป็นส่วนตัวของข้อมูลส่วนบุคคล
