Тайский регулятор по защите данных принял срочные меры в деле сервиса «скан радужки в обмен на криптовалюту», который вызвал широкий общественный резонанс из-за рисков для биометрической безопасности и несоответствия закону. Комитет экспертов PDPC (СкС) установил, что сбор сканов радужки, относящихся к категории «биометрические данные», происходил с нарушениями положений о защите персональных данных.
Министерство цифровой экономики и общества (DE) подтвердило, что PDPC последовательно отслеживала это дело с момента возникновения подозрений и в итоге издала административный приказ: приостановить дальнейший сбор биометрических данных для получения криптомонет и удалить или уничтожить уже накопленные личные данные — в общей сложности 1,2 миллиона записей.
Министр цифровой экономики Чайчхонг Читчоп (ไชยชนก ชิดชอบ) отметил, что правительство поддерживает развитие искусственного интеллекта и современных технологий, в том числе решений для «подтверждения человеческого фактора». Вместе с тем сбор биометрических данных должен проводиться прозрачно и строго в рамках PDPA, чтобы не навредить гражданам — владельцам данных.
Комитет экспертов PDPC выяснил, что операторы платформы использовали стимулирование — предлагали криптомонеты в обмен на согласие на скан радужки — и тем самым лишили согласие характера «свободного и добровольного», как это требует закон в отношении чувствительных данных. Кроме того, целью, указанной при запросе согласия, заявлялось лишь «подтверждение человеческого факта», однако проверка показала, что после первичного сканирования повторный скан оказался невозможен. Это указывает на то, что собираемые данные использовались для подтверждения личности уже зарегистрированных пользователей, то есть выходили за рамки заявленной цели.
PDPC объявил о предварительной санкции — потенциальном штрафе размером до 5 миллионов бат за каждый идентификатор (ID) и обязал немедленно удалить и уничтожить данные. По оценке ведомства, полный приостанов и очистка системы могут занять до двух недель после направления уведомления 14 ноября 2568 г.
Генеральный секретарь PDPC Сурапон Пенгкам (พ.ต.อ. สุรพงศ์ เปล่งขำ) сообщил, что на основе документов, вещественных доказательств и объяснений от оператора комитет вынес следующие административные предписания: 1) немедленно приостановить или прекратить сбор сканов радужки для получения криптовалюты и в течение 7 дней предоставить PDPC отчет о выполненных мерах; 2) удалить и уничтожить все сканы радужки и сопутствующие персональные данные 1,2 млн человек, чтобы предотвратить незаконную передачу данных за границу.
Решение PDPC направлено на защиту граждан от утечек и неправомерного использования биометрических данных, в том числе возможной коммерческой эксплуатации. Эксперты отметили, что подобные запреты уже введены как минимум в 5 странах — Германия, Испания, Южная Корея, Индонезия и Бразилия — а в ряде других государств аналогичные практики также подвергались ограничению.
В ходе совместных проверок выявлены и другие настораживающие факты: вероятная организация найма людей для массового сканирования радужки в обмен на монеты с последующей передачей данных третьим лицам. Комиссия по ценным бумагам и биржам вместе с киберполициeй уже обнаружили и арестовали несколько лиц, обменивавших криптовалюту без разрешений. Эти факты наводят на предположение о возможных нарушениях других законов; расследование для расширения доказательной базы поручено DSI и профильным ведомствам.
Генеральный секретарь PDPC подчеркнул, что защита чувствительных персональных данных, особенно биометрических, является приоритетом. Приостановление проекта направлено на предотвращение вреда гражданам и проводится в координации с другими органами для строгого применения закона. В то же время ведомство заявило, что это не означает запрета на использование новых технологий для подтверждения личности, при условии соблюдения правовых требований и гарантий безопасности.