รายการตรวจสอบการปฏิบัติตามกฎหมาย PDPA ของไทยควบคู่กับการใช้งาน AI

สำหรับองค์กรที่ดำเนินธุรกิจในประเทศไทยและนำ AI มาใช้งาน การปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) ถือเป็นสิ่งที่หลีกเลี่ยงไม่ได้ การละเมิด PDPA อาจมีโทษปรับสูงสุดถึง 5 ล้านบาทและโทษจำคุก ในขณะที่การบังคับใช้กฎหมายโดยหน่วยงานกำกับดูแลก็มีแนวโน้มเข้มงวดมากขึ้นเรื่อย ๆ บทความนี้จัดทำ checklist สำหรับการสร้างสมดุลระหว่างการใช้งาน AI และการปฏิบัติตามกฎหมายในแต่ละขั้นตอน ได้แก่ การเก็บรวบรวม การประมวลผล และการจัดเก็บข้อมูล โดยมุ่งหวังให้เจ้าหน้าที่ระบบสารสนเทศ ฝ่ายกฎหมาย และผู้บริหารระดับสูงสามารถนำไปใช้เป็นแนวทางปฏิบัติในการตรวจสอบนโยบาย AI ขององค์กรตนเองได้อย่างมีประสิทธิภาพ

ข้อจำกัดความรับผิดชอบ: บทความนี้จัดทำขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลเท่านั้น และไม่ถือเป็นคำปรึกษาทางกฎหมาย สำหรับการดำเนินการที่เกี่ยวข้องกับกรณีเฉพาะ กรุณาปรึกษาทนายความหรือสำนักงานกฎหมายที่มีความเชี่ยวชาญด้านกฎหมายไทย

กฎหมายคุ้มครองข้อมูลส่วนบุคคลของไทย (PDPA: Personal Data Protection Act B.E. 2562) คือกฎหมายที่กำหนดกฎเกณฑ์ครอบคลุมเกี่ยวกับการเก็บรวบรวม การใช้ และการเปิดเผยข้อมูลส่วนบุคคลในประเทศไทย เนื่องจากระบบ AI ประมวลผลข้อมูลส่วนบุคคลจำนวนมาก จึงมีความเกี่ยวข้องโดยตรงกับบทบัญญัติของ PDPA ในหลายสถานการณ์ ในส่วนนี้จะอธิบายขอบเขตการบังคับใช้และหน้าที่ที่ควรให้ความสำคัญเป็นพิเศษในการดำเนินงาน AI

PDPA ใช้บังคับกับทุกองค์กรที่เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลภายในประเทศไทย แม้แต่ผู้ประกอบการที่อยู่นอกประเทศไทยก็อยู่ในขอบเขตการบังคับใช้ หากมีการให้บริการหรือจำหน่ายสินค้าแก่เจ้าของข้อมูลในประเทศไทย หรือมีการติดตามพฤติกรรมของบุคคลภายในประเทศไทย

เช็กลิสต์สำหรับพิจารณาขอบเขตการบังคับใช้:

• มีสถานประกอบการในประเทศไทย (สาขา บริษัทในเครือ หรือสำนักงานผู้แทน) หรือไม่
• มีการเก็บรวบรวมข้อมูลส่วนบุคคลจากผู้ใช้งานในประเทศไทยหรือไม่
• มีการให้บริการเป็นภาษาไทย หรือรับชำระเงินเป็นสกุลเงินบาทหรือไม่
• มีการติดตามหรือวิเคราะห์พฤติกรรมของผู้ใช้งานในประเทศไทยหรือไม่

หากเข้าข่ายข้อใดข้อหนึ่งข้างต้น มีความเป็นไปได้สูงที่จะอยู่ภายใต้การบังคับใช้ของ PDPA

สรุปบทลงโทษ:

PDPC (คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล) มีแนวโน้มเข้มงวดในการบังคับใช้กฎหมายมากขึ้น โดยสาเหตุหลักของการถูกดำเนินคดี ได้แก่ การขาดมาตรการรักษาความปลอดภัยที่เพียงพอ การไม่แต่งตั้ง DPO (เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล) ความบกพร่องในสัญญากับผู้รับจ้างช่วง และความล่าช้าในการรายงานเหตุการณ์ข้อมูลรั่วไหล ความคิดที่ว่า "คงยังไม่ถูกตรวจพบหรอก" นั้น ไม่อาจใช้ได้อีกต่อไปในสถานการณ์ปัจจุบัน

พันธกรณีภายใต้ PDPA ที่ต้องให้ความสำคัญเป็นพิเศษในการดำเนินงานระบบ AI มีทั้งหมด 6 ประการ ดังนี้

1. การกำหนดฐานทางกฎหมายในการเก็บรวบรวมข้อมูล

การเก็บรวบรวมข้อมูลส่วนบุคคลจำเป็นต้องได้รับความยินยอม หรืออาศัยข้อยกเว้นตามที่กฎหมายกำหนด (เช่น การปฏิบัติตามสัญญา ประโยชน์อันชอบธรรม ภาระผูกพันทางกฎหมาย เป็นต้น) แม้ในกรณีที่นำข้อมูลไปใช้เป็นข้อมูลฝึกสอน AI ก็ยังต้องตรวจสอบว่าสอดคล้องกับวัตถุประสงค์ที่ระบุไว้ในขณะเก็บรวบรวมหรือไม่

2. การระบุวัตถุประสงค์และการจำกัดการใช้งาน

ข้อมูลส่วนบุคคลที่เก็บรวบรวมมาสามารถนำไปใช้ได้เฉพาะภายในขอบเขตวัตถุประสงค์ที่ได้แจ้งไว้ล่วงหน้าเท่านั้น หาก "การฝึกสอน AI Model" ไม่ได้รวมอยู่ในวัตถุประสงค์การเก็บรวบรวมข้อมูลเดิม จะต้องขอความยินยอมเพิ่มเติม

3. หน้าที่แจ้งให้เจ้าของข้อมูลทราบ

ผู้ควบคุมข้อมูลมีหน้าที่แจ้งให้เจ้าของข้อมูลทราบล่วงหน้าถึงวัตถุประสงค์ในการเก็บรวบรวม ระยะเวลาในการจัดเก็บ และสิทธิของเจ้าของข้อมูล หากมีการประมวลผลโดย AI ควรระบุข้อความดังกล่าวไว้ในนโยบายความเป็นส่วนตัวอย่างชัดเจน

4. การจัดการข้อมูลอ่อนไหวอย่างเข้มงวด

ข้อมูลอ่อนไหว เช่น เชื้อชาติ ชาติพันธุ์ ความคิดเห็นทางการเมือง ศาสนา ข้อมูลไบโอเมตริกซ์ และข้อมูลสุขภาพ ไม่สามารถเก็บรวบรวมได้หากไม่ได้รับความยินยอมโดยชัดแจ้ง การใช้ AI สำหรับการจดจำใบหน้าหรือการรู้จำเสียงอาจขัดต่อบทบัญญัตินี้โดยตรง

5. หน้าที่ทำสัญญากับผู้ประมวลผลข้อมูล (มาตรา 40)

ในกรณีที่มอบหมายการประมวลผลข้อมูลให้แก่ผู้ให้บริการ AI ภายนอก จำเป็นต้องจัดทำสัญญาเป็นลายลักษณ์อักษรที่ครอบคลุมข้อกำหนดของ PDPA โดยต้องกำหนดขอบเขตการประมวลผล มาตรการรักษาความปลอดภัย และหน้าที่รายงานเมื่อเกิดการรั่วไหลของข้อมูลให้ชัดเจน

6. การดำเนินมาตรการรักษาความปลอดภัย

มีข้อบังคับให้ดำเนินมาตรการทางเทคนิคและองค์กรเพื่อป้องกันการรั่วไหล การสูญหาย และการเข้าถึงข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต หาก AI Model จัดเก็บข้อมูลส่วนบุคคลจำนวนมาก การเข้ารหัสและการควบคุมการเข้าถึงถือเป็นสิ่งที่ขาดไม่ได้

จุดเริ่มต้นของโปรเจกต์ AI คือการเก็บรวบรวมข้อมูล ใน PDPA นั้น "ความชอบด้วยกฎหมายในขณะเก็บรวบรวม" ถือเป็นรากฐานของการประมวลผลทั้งหมดในขั้นตอนถัดไป ดังนั้นหากมีข้อบกพร่องในจุดนี้ ความเสี่ยงทางกฎหมายก็จะยังคงอยู่ ไม่ว่าจะดำเนินมาตรการรับมือมากเพียงใดในขั้นตอนต่อมา

รายการตรวจสอบ (Checklist):

• ความชัดเจนของความยินยอม: แบบฟอร์มขอความยินยอมถูกแยกออกจากเอกสารอื่น (เช่น ข้อกำหนดการใช้งาน) อย่างชัดเจนหรือไม่
• ความเฉพาะเจาะจงของวัตถุประสงค์: ระบุ "การวิเคราะห์และประมวลผลด้วย AI" ไว้เป็นวัตถุประสงค์ในการเก็บรวบรวมข้อมูลอย่างชัดแจ้งหรือไม่
• ความสะดวกในการถอนความยินยอม: มีกลไกที่ช่วยให้เจ้าของข้อมูลสามารถถอนความยินยอมได้อย่างง่ายดายหรือไม่ (ต้องมีความสะดวกเทียบเท่ากับตอนที่ให้ความยินยอม)
• การเก็บบันทึก: มีการบันทึกว่าใคร เมื่อใด และในขอบเขตใดที่ให้ความยินยอมหรือไม่
• ความยินยอมโดยชัดแจ้งสำหรับข้อมูลที่มีความอ่อนไหว: ในกรณีที่ประมวลผลข้อมูลไบโอเมตริกซ์ ข้อมูลสุขภาพ หรือข้อมูลที่มีความอ่อนไหวอื่น ๆ ด้วย AI มีการขอความยินยอมโดยชัดแจ้งแยกต่างหากจากความยินยอมทั่วไปหรือไม่
• การจัดการข้อมูลของผู้เยาว์: ในกรณีที่ประมวลผลข้อมูลของผู้เยาว์ (บรรลุนิติภาวะเมื่ออายุ 20 ปี ตามกฎหมายไทย) มีการขอความยินยอมจากผู้แทนโดยชอบธรรมหรือไม่

ตัวอย่างที่ไม่ควรทำ: การฝังช่องทำเครื่องหมาย "ยินยอมให้วิเคราะห์ข้อมูลรวมถึงการประมวลผลด้วย AI" ไว้ที่ท้ายข้อกำหนดการใช้งาน ภายใต้ PDPA ความยินยอมจะต้องได้รับในรูปแบบที่ "แยกออกจากกันอย่างชัดเจน" การผสมรวมข้อความความยินยอมเข้ากับข้อความอื่น ๆ มีความเสี่ยงที่จะทำให้ความยินยอมนั้นไม่มีผลบังคับใช้

รายการที่ต้องระบุในนโยบายความเป็นส่วนตัว (Privacy Policy):

นโยบายความเป็นส่วนตัวต้องมีรายการต่อไปนี้เป็นอย่างน้อย

• ชื่อและข้อมูลติดต่อของผู้ควบคุมข้อมูล (Data Controller)
• ประเภทของข้อมูลส่วนบุคคลที่เก็บรวบรวม
• วัตถุประสงค์ในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูล (หากมีการประมวลผลด้วย AI ให้ระบุไว้ด้วย)
• ระยะเวลาในการเก็บรักษาข้อมูล
• สิทธิของเจ้าของข้อมูล (การเข้าถึง การแก้ไข การลบ การโอนย้ายข้อมูล และการคัดค้าน)
• ในกรณีที่มีการโอนข้อมูลไปต่างประเทศ ให้ระบุปลายทางและมาตรการคุ้มครองข้อมูล

การใช้ข้อมูลส่วนบุคคลในการฝึกฝน AI Model นั้น ประเด็นสำคัญที่สุดคือการพิจารณาว่าอยู่ในขอบเขตวัตถุประสงค์ที่แจ้งไว้ตอนเก็บรวบรวมข้อมูลหรือไม่

Checklist:

• ความสอดคล้องของวัตถุประสงค์: วัตถุประสงค์ที่แจ้งไว้ตอนเก็บรวบรวมข้อมูลครอบคลุม "การฝึกฝนและปรับปรุง AI Model" ไว้หรือไม่
• การขอความยินยอมสำหรับการใช้นอกวัตถุประสงค์: หากไม่ได้ระบุไว้ในวัตถุประสงค์เดิม ได้ขอความยินยอมเพิ่มเติมแล้วหรือไม่
• การพิจารณา Anonymization: หากทำ Anonymization ข้อมูลที่ใช้ฝึกฝน (ทำให้ไม่สามารถระบุตัวบุคคลได้) อาจไม่อยู่ภายใต้การบังคับใช้ของ PDPA ได้พิจารณาแล้วหรือไม่ว่า Anonymization อย่างสมบูรณ์นั้นเป็นไปได้ในทางเทคนิค
• การตรวจสอบข้อมูลสาธารณะ: แม้จะเป็นข้อมูลสาธารณะที่เก็บรวบรวมผ่าน Web Scraping หรือวิธีอื่น หากเข้าข่ายเป็นข้อมูลส่วนบุคคลก็ยังอยู่ภายใต้การบังคับใช้ของ PDPA
• ความชอบด้วยกฎหมายของข้อมูลจากบุคคลที่สาม: ได้ตรวจสอบฐานการเก็บรวบรวมข้อมูลที่ได้รับมาจาก Data Broker หรือบริษัท Partner แล้วหรือไม่

ความแตกต่างระหว่าง Anonymization และ Pseudonymization:

ในบริบทของ PDPA จำเป็นต้องแยกแยะความแตกต่างระหว่าง "Anonymization" และ "Pseudonymization" ให้ชัดเจน

• Anonymization: สถานะที่ไม่สามารถระบุตัวบุคคลได้อย่างถาวรและไม่สามารถย้อนกลับได้ ไม่อยู่ภายใต้การบังคับใช้ของ PDPA
• Pseudonymization: สถานะที่ยังสามารถระบุตัวบุคคลได้เมื่อนำไปรวมกับข้อมูลเพิ่มเติม ยังอยู่ภายใต้การบังคับใช้ของ PDPA

หากใช้ข้อมูลที่ผ่านการทำ Pseudonymization ในการฝึกฝน AI จะต้องปฏิบัติตามบทบัญญัติของ PDPA ต่อไป การตัดสินใจว่า "ทำ Hashing แล้วไม่มีปัญหา" นั้นเป็นเรื่องอันตราย แม้จะไม่สามารถกู้คืนข้อมูลเดิมจาก Hash Value ได้ แต่ก็มีกรณีที่ไม่น้อยที่สามารถระบุตัวตนซ้ำได้ (Re-identification) เมื่อนำไปเปรียบเทียบกับข้อมูลอื่น ความเพียงพอของ Anonymization ควรได้รับการประเมินอย่างรอบคอบโดยคำนึงถึงเทคโนโลยีที่มีอยู่และความสามารถในการเข้าถึงข้อมูลเพิ่มเติม

หลังจากรวบรวมข้อมูลแล้ว จะเข้าสู่ขั้นตอนการประมวลผลและวิเคราะห์ด้วย AI ในขั้นตอนนี้ ประเด็นสำคัญที่ต้องพิจารณาคือ ขอบเขตของการประมวลผลไม่เบี่ยงเบนออกไปจากวัตถุประสงค์ที่กำหนดไว้ในช่วงการรวบรวมข้อมูล และไม่ละเมิดสิทธิของเจ้าของข้อมูล (data subject)

PDPA ไม่มีบทบัญญัติที่ชัดเจนเทียบเท่ากับมาตรา 22 ของ GDPR ของสหภาพยุโรป ซึ่งว่าด้วย "สิทธิในการปฏิเสธการตัดสินใจที่อาศัยการประมวลผลอัตโนมัติแต่เพียงอย่างเดียว" อย่างไรก็ตาม การทำ Profiling ก็ไม่ได้อยู่นอกเหนือการกำกับดูแลโดยสิ้นเชิง

Checklist:

• การแจ้งวัตถุประสงค์ของ Profiling: หากมีการทำ Profiling ด้วย AI (การวิเคราะห์พฤติกรรม, Scoring ฯลฯ) ได้แจ้งให้เจ้าของข้อมูลทราบถึงการดำเนินการดังกล่าวแล้วหรือไม่
• การอนุมานข้อมูลอ่อนไหว: หากมีการอนุมานสถานะสุขภาพ ความคิดเห็นทางการเมือง หรือข้อมูลลักษณะเดียวกันจากข้อมูลที่ไม่ใช่ข้อมูลอ่อนไหว อาจถือได้ว่าเป็นการ "เก็บรวบรวม" ข้อมูลอ่อนไหว ได้พิจารณาประเด็นนี้แล้วหรือไม่
• กระบวนการรับมือการคัดค้าน: มีขั้นตอนรองรับกรณีที่เจ้าของข้อมูลยื่นคัดค้านการประมวลผลหรือไม่
• การกำกับดูแลโดยมนุษย์: หาก AI เป็นผู้ตัดสินใจในเรื่องที่ส่งผลกระทบอย่างมีนัยสำคัญต่อบุคคล (เช่น การพิจารณาสินเชื่อ, การคัดเลือกพนักงาน ฯลฯ) มีกลไกให้มนุษย์ทบทวนการตัดสินใจดังกล่าวหรือไม่

แม้จะไม่ใช่ข้อผูกพันที่ระบุไว้อย่างชัดแจ้งภายใต้ PDPA แต่กลไกการตัดสินใจขั้นสุดท้ายโดยมนุษย์นั้นได้รับการแนะนำอย่างยิ่งในฐานะมาตรการลดความเสี่ยงในทางปฏิบัติ ทั้งในแง่ของ Accountability ด้วย เนื่องจาก GDPR บัญญัติสิทธิในการปฏิเสธการตัดสินใจอัตโนมัติไว้อย่างชัดเจน จึงไม่อาจตัดความเป็นไปได้ที่ไทยจะนำบทบัญญัติในลักษณะเดียวกันมาใช้ในอนาคต การออกแบบกลไกการกำกับดูแลโดยมนุษย์ไว้ล่วงหน้าจึงเป็นการเตรียมพร้อมรับมือกับความเสี่ยงจากการเปลี่ยนแปลงด้านกฎระเบียบด้วยเช่นกัน

นอกจากนี้ PDPC ได้เผยแพร่แนวปฏิบัติที่กำหนดให้ผู้ประกอบการที่ดำเนินการประมวลผลข้อมูลซึ่งเกี่ยวข้องกับ Profiling ต้องแต่งตั้ง DPO หากมีการทำ Profiling ด้วย AI ควรพิจารณาการแต่งตั้ง DPO อย่างจริงจัง

PDPA กำหนดให้การเก็บรวบรวมข้อมูลส่วนบุคคลต้อง "จำกัดเฉพาะเท่าที่จำเป็น" เนื่องจาก AI มีแนวโน้มที่จะมีความแม่นยำสูงขึ้นเมื่อได้รับข้อมูลจำนวนมาก หลักการนี้จึงอาจขัดแย้งกันได้ง่าย

Checklist:

• การประเมินความจำเป็น: ได้ประเมินแล้วหรือไม่ว่าข้อมูลแต่ละรายการที่ป้อนเข้าสู่ AI model นั้นจำเป็นต่อการบรรลุวัตถุประสงค์อย่างแท้จริง
• การตัดฟิลด์ที่ไม่จำเป็นออก: ได้ตัดฟิลด์ที่ไม่มีส่วนช่วยเพิ่มความแม่นยำของ model เช่น ชื่อ ที่อยู่ หมายเลขโทรศัพท์ ออกก่อนการประมวลผลหรือไม่
• การพิจารณาใช้การรวมกลุ่มและการประมวลผลทางสถิติ: ได้พิจารณาแล้วหรือไม่ว่าสามารถบรรลุวัตถุประสงค์ด้วยข้อมูลที่รวมกลุ่มแล้วแทนข้อมูลระดับบุคคลได้หรือไม่
• การตรวจสอบสินค้าคงคลังอย่างสม่ำเสมอ: ได้ตรวจสอบ dataset ที่ AI model เก็บไว้เป็นประจำและลบข้อมูลที่ไม่จำเป็นออกหรือไม่

แนวทางในการสร้างสมดุลระหว่าง Data Minimization และความแม่นยำของ AI:

แนวคิดที่ว่า "ข้อมูลยิ่งมากยิ่งดี" ยังคงฝังรากลึกในการพัฒนา AI อย่างไรก็ตาม ข้อมูลแต่ละรายการไม่ได้มีส่วนช่วยเพิ่มความแม่นยำในการทำนายอย่างเท่าเทียมกัน การผสมผสานเทคนิคทางเทคนิคต่อไปนี้ช่วยให้สามารถรักษาประโยชน์ใช้สอยของ model ไว้ได้ในขณะที่ลดการใช้ข้อมูลส่วนบุคคล

• Feature Selection: คัดเลือกเฉพาะ feature ที่มีส่วนช่วยในการทำนายของ model และตัด feature ที่ไม่จำเป็นซึ่งมีข้อมูลส่วนบุคคลออก
• Differential Privacy: เพิ่ม noise เข้าไปในข้อมูลการเรียนรู้เพื่อลดความเสี่ยงในการระบุตัวตนของบุคคล ในขณะที่ยังคงรักษาประโยชน์ใช้สอยของ model ไว้
• Federated Learning: ดำเนินการเรียนรู้แบบ local บนแต่ละอุปกรณ์โดยไม่รวบรวมข้อมูลไว้ที่ central server ซึ่งช่วยลด การถ่ายโอนข้อมูลส่วนบุคคลได้อย่างมาก

เทคนิคเหล่านี้ล้วนมี technical tradeoff ที่ต้องพิจารณา ความสมดุลระหว่างข้อกำหนดด้านความแม่นยำและข้อกำหนดด้าน compliance จำเป็นต้องได้รับการพิจารณาเป็นรายกรณีตาม use case แต่ละประเภท

หลังจากที่โมเดล AI เริ่มดำเนินการแล้ว ยังคงต้องมีการจัดการระยะเวลาการจัดเก็บข้อมูลและการรองรับการใช้สิทธิ์ของเจ้าของข้อมูล (data subject) อย่างต่อเนื่อง โดยเฉพาะอย่างยิ่ง การถ่ายโอนข้อมูลข้ามพรมแดน (cross-border data transfer) นั้น มีกฎระเบียบที่ยังคงเปลี่ยนแปลงอยู่ตลอดเวลา จึงจำเป็นต้องติดตามความเคลื่อนไหวล่าสุดอย่างใกล้ชิด

รายการตรวจสอบระยะเวลาการเก็บรักษาข้อมูล:

• การกำหนดระยะเวลาการเก็บรักษา: มีการกำหนดระยะเวลาการเก็บรักษาสำหรับข้อมูลแต่ละประเภทโดยอิงตามวัตถุประสงค์การใช้งานหรือไม่
• การลบข้อมูลที่เกินระยะเวลา: มีกลไกในการลบหรือทำให้ข้อมูลที่เกินระยะเวลาการเก็บรักษาเป็นข้อมูลนิรนามอย่างสม่ำเสมอหรือไม่
• ข้อมูลภายใน AI Model: หากมีข้อมูลส่วนบุคคลหลงเหลืออยู่ใน Model ที่ผ่านการเทรนแล้ว ได้รวมไว้ในขอบเขตการจัดการระยะเวลาการเก็บรักษาหรือไม่
• ข้อมูลสำรอง (Backup): มีการบังคับใช้นโยบายระยะเวลาการเก็บรักษากับข้อมูลสำรองด้วยหรือไม่

รายการตรวจสอบการโอนข้อมูลข้ามพรมแดน:

เมื่อใช้บริการ AI จากต่างประเทศ (Cloud API, SaaS AI Tools ฯลฯ) ข้อมูลส่วนบุคคลจะถูกโอนออกนอกประเทศ จึงจำเป็นต้องดำเนินการให้สอดคล้องกับมาตรา 28 และมาตรา 29 แห่ง PDPA

• การระบุปลายทางการโอนข้อมูล: ทราบหรือไม่ว่าข้อมูลถูกจัดเก็บและประมวลผลบน Server ของประเทศใด
• การตรวจสอบการรับรองความเพียงพอ: ได้ตรวจสอบแล้วหรือไม่ว่าประเทศปลายทางอยู่ในรายการรับรองความเพียงพอของ PDPC (Section 28) หรือไม่
• มาตรการคุ้มครองที่เหมาะสม: หากไม่มีการรับรองความเพียงพอ ได้จัดให้มีมาตรการคุ้มครองตาม Section 29 ได้แก่ Binding Corporate Rules (BCR) หรือ Standard Contractual Clauses (SCC) หรือไม่
• การจัดการด้านสัญญา: ได้บรรจุข้อกำหนดด้านการคุ้มครองข้อมูล (ขอบเขตการประมวลผล มาตรการรักษาความปลอดภัย ภาระผูกพันในการรายงานการรั่วไหลของข้อมูลภายใน 72 ชั่วโมง ฯลฯ) ไว้ในสัญญากับผู้ให้บริการ AI หรือไม่
• การโอนข้อมูลโดยอาศัยความยินยอม: หากไม่สามารถใช้วิธีการข้างต้นได้ ได้ขอความยินยอมอย่างชัดแจ้งจากเจ้าของข้อมูลหลังจากอธิบายความเสี่ยงให้ทราบแล้วหรือไม่

ณ ขณะที่เขียนบทความนี้ PDPC ยังไม่ได้เผยแพร่รายการรับรองความเพียงพอ ดังนั้น ในทางปฏิบัติ การจัดทำ SCC หรือ BCR จึงเป็นแนวทางมาตรฐานในขณะนี้ สำหรับ SCC นั้น รูปแบบที่นิยมใช้คือการนำ ASEAN Model Contractual Clauses หรือ Standard Contractual Clauses ของ EU มาเป็นฐาน แล้วเพิ่มเติมข้อกำหนดเฉพาะของประเทศไทย (เช่น การรายงานการรั่วไหลของข้อมูลภายใน 72 ชั่วโมง) เข้าไป

PDPA รับรองสิทธิหลายประการแก่เจ้าของข้อมูล ในกรณีที่มีการดำเนินงานระบบ AI จำเป็นต้องออกแบบแนวทางรับมือกับการใช้สิทธิเหล่านี้ไว้ล่วงหน้า

Checklist:

• สิทธิในการเข้าถึงข้อมูล (Right of Access): หากเจ้าของข้อมูลร้องขอเข้าถึงข้อมูลส่วนบุคคลของตน สามารถจัดเตรียมข้อมูลที่ AI ประมวลผลไว้ให้ได้หรือไม่
• สิทธิในการแก้ไขข้อมูล (Right of Rectification): คำขอแก้ไขของเจ้าของข้อมูลสามารถสะท้อนไปยังข้อมูลนำเข้าและข้อมูลที่ใช้ฝึกสอน AI Model ได้หรือไม่
• สิทธิในการลบข้อมูล (Right of Erasure): หากเจ้าของข้อมูลร้องขอให้ลบข้อมูล การลบออกจากโมเดลที่ฝึกสอนแล้ว (Machine Unlearning) อาจมีความยากทางเทคนิค ได้พิจารณามาตรการทดแทนไว้หรือไม่
• สิทธิในการโอนย้ายข้อมูล (Right of Data Portability): สามารถรองรับคำขอของเจ้าของข้อมูลที่ต้องการรับข้อมูลของตนในรูปแบบอิเล็กทรอนิกส์ที่มีโครงสร้างได้หรือไม่
• สิทธิในการคัดค้าน (Right to Object): มีขั้นตอนรับมือกรณีที่เจ้าของข้อมูลคัดค้านการประมวลผลโดย AI หรือไม่
• ระยะเวลาในการตอบสนอง: มีระบบรองรับการดำเนินการให้แล้วเสร็จภายใน 30 วันนับจากได้รับคำขอใช้สิทธิหรือไม่

ความท้าทายเฉพาะของ AI — สิทธิในการลบข้อมูลและโมเดลที่ฝึกสอนแล้ว:

"Machine Unlearning" หรือการลบข้อมูลของบุคคลใดบุคคลหนึ่งออกจาก AI Model ที่ฝึกสอนแล้วอย่างสมบูรณ์ เป็นสาขาที่ยังอยู่ในระหว่างการพัฒนาทางเทคนิค แนวทางปฏิบัติที่เป็นไปได้ในเชิงความเป็นจริง ได้แก่

• ลบข้อมูลที่เกี่ยวข้องออกจาก Training Dataset และนำไปสะท้อนในการฝึกสอนใหม่ครั้งถัดไป
• สร้างโมเดลโดยใช้เฉพาะข้อมูลที่ผ่านการทำให้เป็นนิรนามแล้ว เพื่อให้พ้นจากขอบเขตของคำขอลบข้อมูล
• กำหนดมาตรการทดแทนไว้ล่วงหน้าสำหรับกรณีที่มีคำขอลบข้อมูล เช่น การระงับการใช้ผลลัพธ์จากการอนุมาน (Inference) เป็นต้น

ในทุกกรณี สิ่งสำคัญคือต้องอธิบายแนวทางการดำเนินการและข้อจำกัดทางเทคนิคแก่เจ้าของข้อมูลอย่างตรงไปตรงมา ไม่ควรปิดการสนทนาด้วยคำว่า "ทำไม่ได้" เพียงอย่างเดียว แต่ควรเสนอมาตรการทดแทน และดำเนินการในรูปแบบที่เจ้าของข้อมูลสามารถยอมรับได้

นอกเหนือจากรายการหลักในเช็คลิสต์แล้ว ยังมีประเด็นที่มักถูกมองข้ามในการปฏิบัติงานจริง โดยเฉพาะอย่างยิ่ง การใช้บริการ AI ภายนอก และการตรวจสอบ AI tools ภายในองค์กร มักกลายเป็นจุดอับที่ไม่ได้รับความสนใจเท่าที่ควร

เมื่อนำบริการ Generative AI หรือ API สำหรับการรู้จำภาพและเสียงมาใช้ในองค์กร โดยทั่วไปองค์กรของคุณจะมีบทบาทเป็น "Data Controller" ในขณะที่ผู้ให้บริการจะมีบทบาทเป็น "Data Processor"

Checklist:

• การกำหนดบทบาทให้ชัดเจน: มีการกำหนดบทบาทของ Data Controller และ Data Processor ระหว่างองค์กรกับผู้ให้บริการอย่างชัดเจนหรือไม่
• Data Processing Agreement (DPA): มีการทำสัญญาเป็นลายลักษณ์อักษรที่สอดคล้องกับมาตรา 40 แห่ง PDPA หรือไม่
• การจำกัดขอบเขตการประมวลผล: มีการตั้งค่าให้ผู้ให้บริการไม่นำข้อมูลไปใช้ในการฝึกโมเดลของตนเองหรือไม่ (เช่น การ opt-out)
• การติดตาม Sub-processor: หากผู้ให้บริการมีการจ้างช่วง (Sub-processor) คุณทราบรายชื่อของ Sub-processor เหล่านั้นหรือไม่
• ที่ตั้งของข้อมูล: มีการตรวจสอบแล้วหรือไม่ว่าผู้ให้บริการประมวลผลและจัดเก็บข้อมูลในประเทศใด
• การรายงานเหตุการณ์: มีการตกลงในสัญญาเกี่ยวกับขั้นตอนการรายงานเมื่อเกิดการรั่วไหลของข้อมูล (ภาระหน้าที่ในการแจ้ง PDPC ภายใน 72 ชั่วโมง) หรือไม่

สิ่งที่มักถูกมองข้ามคือการใช้งาน Generative AI ในชีวิตประจำวันของพนักงาน ในความเป็นจริง มีกรณีที่พนักงานป้อนข้อมูลส่วนบุคคลของลูกค้าลงใน Prompt มากกว่าที่คิด การจัดทำแนวทางการใช้งานภายในองค์กรและกำหนดกฎเกณฑ์การป้อนข้อมูลส่วนบุคคลอย่างชัดเจนเป็นลายลักษณ์อักษร (เช่น ห้ามป้อน หรือต้องทำการ Anonymize ก่อน) ถือเป็นสิ่งที่ขาดไม่ได้ หากปล่อยให้ใช้งานต่อไปโดยไม่รู้ตัวเพราะ "สะดวกดี" แล้วถูกตรวจพบในภายหลังจากการสอบสวนของ PDPC — เมื่อถึงตอนนั้นก็สายเกินไปแล้ว

PDPA กำหนดให้ผู้ควบคุมข้อมูลต้องบันทึกกิจกรรมการประมวลผลข้อมูล เมื่อนำ AI tools มาใช้งานภายในองค์กร การปฏิบัติตามหน้าที่บันทึกนี้จึงกลายเป็นความท้าทายในเชิงปฏิบัติ

Checklist:

• การบันทึกกิจกรรมการประมวลผล: มีการเก็บ log ว่า AI tools ประมวลผลข้อมูลส่วนบุคคลใด เมื่อใด และเพื่อวัตถุประสงค์ใด
• Access log: มีบันทึกว่าใครเข้าถึง AI tools และได้ดูหรือประมวลผลข้อมูลใดบ้าง
• การจัดการเวอร์ชันของ model: สามารถติดตามการเปลี่ยนแปลงข้อมูลที่ใช้ฝึก และประวัติการอัปเดต model ได้หรือไม่
• การบันทึกผลลัพธ์: มีการบันทึกและติดตามผลการตัดสินใจของ AI (โดยเฉพาะที่ส่งผลกระทบต่อบุคคล) หรือไม่
• การตรวจสอบเป็นระยะ: มีกลไกตรวจสอบการใช้งาน AI tools และความสอดคล้องกับข้อกำหนด compliance อย่างสม่ำเสมอหรือไม่

Audit log ยังทำหน้าที่เป็นหลักฐานในการตอบสนองต่อคำร้องขอตรวจสอบจาก PDPC หรือการใช้สิทธิ์ของเจ้าของข้อมูลอีกด้วย ระยะเวลาการเก็บรักษา log ควรกำหนดให้เท่ากับระยะเวลาการเก็บรักษาข้อมูลเป็นอย่างน้อย จึงจะถือว่าปลอดภัย

ในทางปฏิบัติ การจัดการ log การใช้งาน AI tools ทั้งหมดด้วยตนเองนั้นไม่มีความเป็นไปได้จริง จึงแนะนำให้ฝังกลไกบันทึก metadata ของ request/response (timestamp, user ID, วัตถุประสงค์การประมวลผล) โดยอัตโนมัติไว้ที่ชั้น API gateway หรือ proxy

Q1: ความแตกต่างระหว่าง PDPA และ GDPR คืออะไร? มีประเด็นใดที่ต้องระวังในมุมมองของการใช้ AI?

PDPA ได้รับการร่างขึ้นโดยอ้างอิง GDPR แต่มีความแตกต่างที่สำคัญหลายประการ ความแตกต่างที่ใหญ่ที่สุดคือ PDPA ไม่มีบทบัญญัติที่ระบุไว้อย่างชัดเจนซึ่งเทียบเท่ากับมาตรา 22 ของ GDPR ที่กำหนด "สิทธิในการปฏิเสธการตัดสินใจที่อาศัยการประมวลผลอัตโนมัติเพียงอย่างเดียว" อย่างไรก็ตาม นี่ไม่ได้หมายความว่าการประมวลผลอัตโนมัติโดย AI จะได้รับอนุญาตอย่างไม่มีขีดจำกัด เนื่องจาก PDPA ยังคงมีสิทธิคัดค้านของเจ้าของข้อมูลและสิทธิในการคัดค้านการประมวลผลที่อาศัยประโยชน์อันชอบธรรม ดังนั้นการออกแบบการดำเนินงาน AI จึงยังคงต้องใช้ความระมัดระวังอย่างรอบคอบ

Q2: หากพนักงานป้อนข้อมูลส่วนบุคคลลงใน Generative AI ในระหว่างการทำงาน จะถือว่าละเมิด PDPA หรือไม่?

ขึ้นอยู่กับสถานการณ์ หากข้อมูลส่วนบุคคลที่ป้อนในพรอมต์ถูกส่งไปยังเซิร์ฟเวอร์ของผู้ให้บริการ อาจถือได้ว่าเป็นการ "เปิดเผย" ข้อมูลส่วนบุคคล หากวัตถุประสงค์ในการเก็บรวบรวมข้อมูลไม่ได้ครอบคลุมถึง "การประมวลผลโดยบริการ AI ภายนอก" ก็มีความเสี่ยงที่จะละเมิด PDPA ในฐานะการใช้ข้อมูลนอกเหนือวัตถุประสงค์ มาตรการที่แนะนำ ได้แก่ การกำหนดนโยบายภายในองค์กรที่ห้ามป้อนข้อมูลส่วนบุคคล การทำให้ข้อมูลไม่ระบุตัวตนเมื่อใช้งาน API และการเปิดใช้งานการตั้งค่าไม่นำข้อมูลไปใช้ในแผนสำหรับองค์กร

Q3: หากทำการ Anonymization แล้ว จะพ้นจากการบังคับใช้ PDPA หรือไม่?

หากบรรลุ "การทำให้ไม่ระบุตัวตน (Anonymization)" ในสถานะที่ไม่สามารถระบุตัวบุคคลได้อย่างสมบูรณ์ ก็จะพ้นจากการบังคับใช้ PDPA อย่างไรก็ตาม "การทำให้เป็นนามแฝง (Pseudonymization)" ซึ่งยังสามารถระบุตัวตนได้เมื่อนำไปรวมกับข้อมูลเพิ่มเติม ยังคงอยู่ภายใต้การบังคับใช้ PDPA การแฮชข้อมูลแบบง่ายเพียงอย่างเดียวอาจไม่เพียงพอที่จะถือว่าเป็น Anonymization ความเพียงพอของการทำ Anonymization จำเป็นต้องพิจารณาเป็นรายกรณีโดยคำนึงถึงเทคโนโลยีที่มีอยู่และความสามารถในการเข้าถึงข้อมูลเพิ่มเติม

Q4: หากใช้บริการ Cloud AI จากต่างประเทศ จำเป็นต้องดำเนินการอย่างไร?

จำเป็นต้องดำเนินการตามมาตรา 28 ของ PDPA (การรับรองความเพียงพอ) หรือมาตรา 29 (มาตรการคุ้มครองที่เหมาะสม) ในขณะนี้ PDPC ยังไม่ได้เผยแพร่รายการการรับรองความเพียงพอ ดังนั้นในทางปฏิบัติจึงแนะนำให้จัดเตรียม Standard Contractual Clauses (SCC) หรือ Binding Corporate Rules (BCR) สิ่งสำคัญคือการบรรจุข้อกำหนดการคุ้มครองข้อมูลไว้ในสัญญากับผู้ให้บริการ AI และกำหนดให้ชัดเจนถึงสถานที่ประมวลผลข้อมูล มาตรการรักษาความปลอดภัย และขั้นตอนการรายงานการรั่วไหลของข้อมูล

PDPA ของไทยไม่ได้ห้ามการนำ AI มาใช้งาน การดำเนินการให้ถูกต้องตามกฎหมายและการใช้ประโยชน์จาก AI สามารถอยู่ร่วมกันได้อย่างสมบูรณ์ ด้วยการกำหนดฐานทางกฎหมายที่เหมาะสม การระบุวัตถุประสงค์ให้ชัดเจน การคุ้มครองสิทธิของเจ้าของข้อมูล และการดำเนินมาตรการด้านความปลอดภัย

ขอสรุปประเด็นสำคัญของ checklist ที่นำเสนอในบทความนี้อีกครั้ง

• การเก็บรวบรวมข้อมูล: ปฏิบัติตามข้อกำหนดเชิงรูปแบบในการขอความยินยอม และระบุวัตถุประสงค์ของการประมวลผลด้วย AI ให้ชัดเจน
• การประมวลผลข้อมูล: จัดให้มีการแจ้งเตือนเกี่ยวกับ profiling การลดปริมาณข้อมูลให้เหลือเท่าที่จำเป็น และกลไกการกำกับดูแลโดยมนุษย์
• การจัดเก็บข้อมูล: กำหนดการบริหารจัดการระยะเวลาการเก็บรักษา ฐานทางกฎหมายสำหรับการโอนข้อมูลข้ามพรมแดน และแนวทางรองรับการใช้สิทธิของเจ้าของข้อมูล
• การป้องกันข้อผิดพลาดที่มักถูกมองข้าม: อย่าลืมจัดทำ DPA กับผู้ให้บริการ AI ภายนอก และจัดเตรียม audit log สำหรับเครื่องมือ AI ภายในองค์กร

การบังคับใช้กฎหมายของ PDPC มีความเข้มงวดมากขึ้นทุกปี จึงขอแนะนำให้ใช้ checklist นี้ตรวจสอบสถานะการดำเนินการของบริษัทอย่างสม่ำเสมอ และสร้างระบบที่สามารถปรับตัวได้อย่างรวดเร็วต่อการแก้ไขกฎหมายและแนวปฏิบัติใหม่ๆ สำหรับการดำเนินการในเชิงปฏิบัติ ขอแนะนำอย่างยิ่งให้ปรึกษาสำนักงานกฎหมายที่มีความเชี่ยวชาญด้านกฎหมายไทย เพื่อรับคำแนะนำที่สอดคล้องกับสถานการณ์เฉพาะของบริษัทคุณ