เสี่ยงผิดกฎหมาย PDPA เสนอ 3 แนวทางคุมเข้มดำเนินคดี พร้อมให้ กสทช. กำกับค่ายมือถือรับผิดชอบอย่างเข้มงวด
จากกรณีเจ้าหน้าที่ตำรวจเข้าจับกุมขบวนการหลอกเด็กนักเรียนลงทะเบียนซิมในโรงเรียน เช่น ในพื้นที่ จ.เชียงใหม่ และเชียงราย และถูกเจ้าหน้าที่ศูนย์ต่อต้านการฉ้อโกงออนไลน์ (ACSC) ร่วมกับตำรวจกองบังคับการปราบปราม จับกุมผู้ต้องหาได้ 3 คน เมื่อวันที่ 24 ก.พ. 69
ขณะข้อมูลจากตำรวจพบเด็กนักเรียนจาก 2 โรงเรียนตกเป็นผู้เสียหายมากกว่า 200 คน และอาจมีโรงเรียนอื่นในพื้นที่ภาคเหนือได้รับผลกระทบเพิ่มเติม จากการสืบสวน เชื่อว่าซิมบางส่วนถูกขายข้ามแดน ไปยังเครือข่ายสแกมเมอร์ฝั่งท่าขี้เหล็ก ประเทศเมียนมา ซึ่งติดกับ อ.แม่สาย จ.เชียงราย ขณะนี้ตำรวจอยู่ระหว่างประสานบริษัทเครือข่ายโทรศัพท์ เพื่อระงับหมายเลขทั้งหมดโดยเร่งด่วน และขยายผลถึงผู้ร่วมขบวนการรายอื่นต่อไป
ประเด็นนี้ อุดมธิปก ไพรเกษตร อนุกรรมการด้านการสื่อสาร โทรคมนาคม และเทคโนโลยีสารสนเทศ สภาผู้บริโภค กล่าวว่า จากการที่มีพนักงานของบริษัทตัวแทนจำหน่ายซิมการ์ดเข้ามาสแกนหน้าเด็กในโรงเรียน โดยการ “สแกนใบหน้า” ถือเป็นข้อมูลชีวมิติ (Biometric Data) จัดเป็นข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Data) ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA) ดังนั้น การเก็บข้อมูลประเภทนี้ต้องได้รับความยินยอมอย่างชัดเจน โดยเฉพาะเมื่อเป็นข้อมูลของ “เด็ก” ถือเป็นกลุ่มเปราะบาง ที่ต้องได้รับความยินยอมจากผู้ปกครองก่อน สำหรับกรณีที่เกิดขึ้นหากไม่มีการขอความยินยอมจากผู้ปกครอง อาจเข้าข่ายละเมิดกฎหมาย PDPA ซึ่งอยู่ภายใต้การกำกับของสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.)
ส่วนประเด็นเรื่องใครที่ต้องรับผิดชอบนั้นในกรณีนี้มีหลายฝ่ายเกี่ยวข้อง ได้แก่ บริษัทตัวแทนจำหน่ายซิมการ์ด อาจต้องรับผิดโดยตรง เพราะถือเป็น “ผู้ควบคุมข้อมูลส่วนบุคคล” หรือผู้ที่ตัดสินใจว่าจะเก็บ ใช้ หรือเปิดเผยข้อมูล (Data Controller) ตามกฎหมาย PDPA สำหรับค่ายมือถือแม้อาจอ้างว่าได้มอบสิทธิให้ตัวแทนจำหน่ายไปแล้ว แต่ยังต้องกำกับดูแลตัวแทนเช่นกัน โดยอยู่ในอำนาจของ กสทช.
ทางด้านพนักงานของบริษัทตัวแทนจำหน่ายซิมการ์ดนั้น หากพบว่านำข้อมูลไปขายหรือส่งต่อให้มิจฉาชีพ อาจเข้าข่ายความผิดตามพระราชกำหนดมาตรการป้องกันและปราบปรามอาชญากรรมเทคโนโลยี (ฉบับที่ 2) พ.ศ.2568 มาตรา 11/2 ซึ่งมีโทษทั้งจำคุกและปรับ
ดังนั้นผู้ปกครองหรือโรงเรียนที่ได้บุตรหลานหรือนักเรียนรับผลกระทบ สามารถแจ้งความเพื่อให้มีการสอบสวนและลงโทษทางอาญากับพนักงานของบริษัทต่อตำรวจ หรือฟ้องทางปกครองกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้ เพื่อที่จะไปฟ้องแพ่งและอาญาต่อกับบริษัทตัวแทนจัดจำหน่ายต่อไป
ทั้งนี้ อุดมธิปก ได้เสนอ 3 แนวทางแก้ปัญหา
- โรงเรียนต้องเข้มงวดมากขึ้น ตรวจสอบบุคคลภายนอกที่เข้ามาจัดกิจกรรมทุกครั้ง โดยเฉพาะกิจกรรมที่เกี่ยวข้องกับการเก็บข้อมูลส่วนบุคคลของนักเรียน และต้องขอความยินยอมจากผู้ปกครองก่อนเสมอ เพราะระหว่างที่เด็กอยู่ในโรงเรียน โรงเรียนมีหน้าที่ดูแลแทนผู้ปกครอง
- สคส. ต้องใช้อำนาจเชิงรุก แม้ไม่มีผู้ปกครองหรือโรงเรียนร้องเรียนโดยตรง สคส. สามารถเรียกสอบข้อเท็จจริงและสั่งปรับทางปกครองได้ทันที เพื่อสร้างมาตรฐานและป้องกันไม่ให้เกิดเหตุซ้ำ เหมือนกับกรณีข้อมูลผู้ป่วยในโรงพยาบาลหลุด ที่แม้ไม่มีผู้มาร้องเรียน แต่คณะกรรมการผู้เชี่ยวชาญ ในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้ตัดสินลงโทษปรับไปแล้ว
- ความรับผิดของค่ายมือถือ แม้ในทาง PDPA ค่ายมือถืออาจอ้างว่าได้มอบสิทธิให้ตัวแทนบริษัทจำหน่ายซิมการ์ดแล้ว แต่ภายใต้การกำกับของสำนักงานคณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติ (กสทช.) ค่ายมือถือมีหน้าที่ต้องกำกับดูแลกระบวนการทำงานของตัวแทนอย่างเข้มงวด โดยหากพบการกระทำผิด กสทช.ควรบังคับให้ค่ายมือถือดำเนินมาตรการที่ชัดเจน เช่น การยกเลิกสัญญาระหว่างค่ายมือถือกับตัวแทน การดำเนินคดีทางแพ่ง หรือการสั่งปรับทางปกครองได้เช่นกัน
“ปัญหานี้แม้เริ่มจากพนักงาน แต่หากบริษัทมีระบบกำกับดูแลที่ดี พนักงานย่อมไม่สามารถกระทำผิดได้ โดยเรียกร้องให้ทุกหน่วยงานที่เกี่ยวข้องเร่งอุดช่องว่างดังกล่าว เพื่อป้องกันไม่ให้ข้อมูลส่วนบุคคลของเด็กและเยาวชนถูกนำไปใช้ในกระบวนการอาชญากรรมไซเบอร์ที่กำลังแพร่ระบาดทั่วประเทศอีกต่อไป”
ด้าน ไตรรัตน์ วิริยะศิริกุล รองเลขาธิการ กสทช. รักษาการแทนเลขาธิการ กสทช. เปิดเผยว่า กำลังพิจารณาออกมาตรการเข้มงวดสำหรับการลงทะเบียนซิมในกลุ่มเด็กอายุต่ำกว่า 18 ปี โดยต้องได้รับความยินยอมจากผู้ปกครอง พร้อมจัดเก็บข้อมูลผู้ปกครองประกอบ หากพบเด็กคนใดลงทะเบียนเกิน 1 เลขหมาย หรือมีพฤติกรรมผิดปกติ ผู้ให้บริการต้องตรวจสอบและรายงาน กสทช. ภายใน 3 วัน
ข้อมูลสถิติเดือน ม.ค.2569 กสทช. สั่งระงับหมายเลขที่เข้าข่ายใช้ก่ออาชญากรรมทางเทคโนโลยี 28,112 เลขหมายทั่วประเทศ สูงสุดใน จ.สระแก้ว 7,331 เลขหมาย รองลงมา จ.เชียงราย 4,231 เลขหมาย นับตั้งแต่ ธ.ค.2568 – ม.ค.2569 ระงับรวมกว่า 50,000 เลขหมาย ภายใน 2 เดือน จากการที่ผู้ให้บริการตรวจสอบพฤติกรรมผิดปกติและรายงานทุกสัปดาห์
