มิจฉาชีพหลอกสแกนหน้าเด็กเสี่ยงผิด PDPA สภาผู้บริโภคเสนอ 3 แนวทาง ทั้งคุมเข้มโรงเรียน ใช้อำนาจ สคส. ดำเนินคดี พร้อมให้ กสทช. กำกับค่ายมือถือรับผิดชอบอย่างเข้มงวด
กรณีเจ้าหน้าที่ตำรวจเข้าจับกุมขบวนการหลอกเด็กนักเรียนลงทะเบียนซิมในโรงเรียนในหลายจังหวัด โดยมีพนักงานบริษัทตัวแทนจำหน่ายซิมการ์ดเข้าไปจัดกิจกรรมในโรงเรียน อ้างว่าแจก “ซิมฟรี” แต่กลับให้นักเรียนสแกนใบหน้าเพื่อนำไปลงทะเบียนซิม ซึ่งภายหลังพบว่าซิมบางส่วนถูกนำไปใช้ในขบวนการหลอกลวงออนไลน์ สร้างความกังวลอย่างมากต่อความปลอดภัยของข้อมูลเด็กและเยาวชน สภาผู้บริโภคเสนอแนวทางแก้ไขปัญหา เพื่อป้องกันไม่ให้เกิดเหตุลักษณะเดียวกันซ้ำอีก
ดร.อุดมธิปก ไพรเกษตร อนุกรรมการด้านการสื่อสาร โทรคมนาคม และเทคโนโลยีสารสนเทศ สภาผู้บริโภค กล่าวว่า จากการที่มีพนักงานของบริษัทตัวแทนจำหน่ายซิมการ์ดเข้ามาสแกนหน้าเด็กในโรงเรียน โดยการ “สแกนใบหน้า” ถือเป็นข้อมูลชีวมิติ (Biometric Data) จัดเป็นข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Data) ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA) ดังนั้น การเก็บข้อมูลประเภทนี้ต้องได้รับความยินยอมอย่างชัดเจน โดยเฉพาะเมื่อเป็นข้อมูลของ “เด็ก” ถือเป็นกลุ่มเปราะบาง ที่ต้องได้รับความยินยอมจากผู้ปกครองก่อน สำหรับกรณีที่เกิดขึ้นหากไม่มีการขอความยินยอมจากผู้ปกครอง อาจเข้าข่ายละเมิดกฎหมาย PDPA ซึ่งอยู่ภายใต้การกำกับของสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หรือ สคส.
ส่วนประเด็นเรื่องใครที่ต้องรับผิดชอบนั้นในกรณีนี้มีหลายฝ่ายเกี่ยวข้อง ได้แก่ บริษัทตัวแทนจำหน่ายซิมการ์ด อาจต้องรับผิดโดยตรง เพราะถือเป็น “ผู้ ควบคุมข้อมูลส่วนบุคคล” หรือผู้ที่ตัดสินใจว่าจะเก็บ ใช้ หรือเปิดเผยข้อมูล (Data Controller) ตามกฎหมาย PDPA สำหรับค่ายมือถือแม้อาจอ้างว่าได้มอบสิทธิให้ตัวแทนจำหน่ายแล้ว ไปแล้ว แต่ยังต้องกำกับดูแลตัวแทนเช่นกัน โดยอยู่ในอำนาจของ กสทช.
ทางด้านพนักงานของบริษัทตัวแทนจำหน่ายซิมการ์ดนั้น หากพบว่านำข้อมูลไปขายหรือส่งต่อให้มิจฉาชีพ อาจเข้าข่ายความผิดตามพระราชกำหนดมาตรการป้องกันและปราบปรามอาชญากรรมเทคโนโลยี (ฉบับที่ 2) พ.ศ.2568 มาตรา 11/2 ซึ่งมีโทษทั้งจำคุกและปรับ
ดังนั้นผู้ปกครองหรือโรงเรียนที่ได้บุตรหลานหรือนักเรียนที่ได้รับผลกระทบ สามารถแจ้งความเพื่อให้มีการสอบสวนและลงโทษทางอาญากับพนักงานของบริษัทต่อตำรวจ หรือฟ้องทางปกครองกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้ เพื่อที่จะไปฟ้องแพ่งและอาญาต่อกับบริษัทตัวแทนจัดจำหน่ายต่อไป
ทั้งนี้ ดร.อุดมธิปก ได้เสนอ 3 แนวทางแก้ปัญหา 1. โรงเรียนต้องเข้มงวดมากขึ้น ตรวจสอบบุคคลภายนอกที่เข้ามาจัดกิจกรรมทุกครั้ง โดยเฉพาะกิจกรรมที่เกี่ยวข้องกับการเก็บข้อมูลส่วนบุคคลของนักเรียน และต้องขอความยินยอมจากผู้ปกครองก่อนเสมอ เพราะระหว่างที่เด็กอยู่ในโรงเรียน โรงเรียนมีหน้าที่ดูแลแทนผู้ปกครอง 2. สคส. ต้องใช้อำนาจเชิงรุก แม้ไม่มีผู้ปกครองหรือโรงเรียนร้องเรียนโดยตรง สคส. สามารถเรียกสอบข้อเท็จจริงและสั่งปรับทางปกครองได้ทันที เพื่อสร้างมาตรฐานและป้องกันไม่ให้เกิดเหตุซ้ำ เหมือนกับกรณีข้อมูลผู้ป่วยในโรงพยาบาลหลุด ที่แม้ไม่มีผู้มาร้องเรียน แต่คณะกรรมการผู้เชี่ยวชาญ ในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้ตัดสินลงโทษปรับไปแล้ว
3. ความรับผิดของค่ายมือถือ แม้ในทาง PDPA ค่ายมือถืออาจอ้างว่าได้มอบสิทธิให้ตัวแทนบริษัทจำหน่ายซิมการ์ดแล้ว แต่ภายใต้การกำกับของสำนักงานคณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติ (กสทช.) ค่ายมือถือมีหน้าที่ต้องกำกับดูแลกระบวนการทำงานของตัวแทนอย่างเข้มงวด โดยหากพบการกระทำผิด กสทช.ควรบังคับให้ค่ายมือถือดำเนินมาตรการที่ชัดเจน เช่น การยกเลิกสัญญาระหว่างค่ายมือถือกับตัวแทน การดำเนินคดีทางแพ่ง หรือการสั่งปรับทางปกครองได้เช่นกัน
“ปัญหานี้แม้เริ่มจากพนักงาน แต่หากบริษัทมีระบบกำกับดูแลที่ดี พนักงานย่อมไม่สามารถกระทำผิดได้ โดยเรียกร้องให้ทุกหน่วยงานที่เกี่ยวข้องเร่งอุดช่องว่างดังกล่าว เพื่อป้องกันไม่ให้ข้อมูลส่วนบุคคลของเด็กและเยาวชนถูกนำไปใช้ในกระบวนการอาชญากรรมไซเบอร์ที่กำลังแพร่ระบาดทั่วประเทศอีกต่อไป” ดร.อุดมธิปก กล่าว
