ข่าวสารและบทความล่าสุด

ในปัจจุบัน เทคโนโลยีปัญญาประดิษฐ์ (Artificial Intelligence: AI) ได้เริ่มเข้ามามีบทบาทสำคัญในสังคมในวงกว้าง ไม่ว่าจะเป็นในแง่ของการใช้งานส่วนตัว เช่น การใช้ AI ในการค้นหาข้อมูล สรุปข้อมูล หรือในแง่ขององค์กร หรือธุรกิจต่างๆที่มีการใช้ AI ในการทำ Chatbot หรือผู้ช่วยเสมือน (virtual assistants) สำหรับตอบคำถามและให้ความช่วยเหลือลูกค้าได้ตลอด 24 ชั่วโมง รวมไปถึงใช้ในการติดตาม วิเคราะห์พฤติกรรมการบริโภคของลูกค้า เพื่อเพิ่มยอดขาย ต่อยอดธุรกิจและบริการของตนเอง

อย่างไรก็ตาม การที่จะให้ AI สามารถใช้งานได้อย่างมีประสิทธิภาพนั้น จำเป็นที่จะต้องมีการเทรน หรือการฝึกโมเดล AI (Machine Learning) เพื่อให้ AI สามารถประมวลผล วิเคราะห์ และคาดการณ์ได้อย่างแม่นยำ โดยใช้ข้อมูลที่ผู้เทรนป้อนเข้าไป เช่น การแยกแยะรูปภาพ ซึ่งจะเห็นได้ว่า AI มีความเกี่ยวข้องกับข้อมูลตั้งแต่ต้นน้ำถึงปลายน้ำ และข้อมูลส่วนบุคคลเองก็เป็นอีกหนึ่งสิ่งที่ถูกใช้ในการเทรน AI ด้วยเช่นกัน

 การนำข้อมูลมาใช้เทรน AI นั้น มีอยู่ 3 ประเภทด้วยกัน ดังนี้

1. การเรียนรู้แบบมีผู้กำกับ (Supervised Learning)

เป็นการเรียนรู้แบบมีผู้สอน หมายถึง ผู้พัฒนาหรือผู้ฝึกจะทำการป้อนชุดข้อมูลที่มีป้ายกำกับ (Labelled Data) เข้าไป เพื่อให้ AI เรียนรู้และสามารถแสดงผลลัพธ์ได้เมื่อผ่านการเรียนรู้จากชุดข้อมูลไประยะหนึ่ง โดยที่ผู้ฝึกจะกำหนดให้ว่าข้อมูลหรือผลลัพธ์ที่ถูกต้องคืออะไร เช่น ป้อนรูปผู้ชายเข้าไปและกำหนดว่านี่คือรูปผู้ชาย แล้วให้ AI เรียนรู้ และสามารถแยกแยะผู้ชายและผู้หญิงออกจากกันได้ หรือการทำนายแนวโน้มตลาดหุ้นโดยอาศัยข้อมูลทางเศรษฐศาสตร์ต่างๆ สถิติที่ผ่านมา ปัจจัยอื่นๆที่เกี่ยวข้อง เป็นต้น ซึ่งการเรียนรู้ในรูปแบบนี้อาจมีความเกี่ยวข้องกับข้อมูลส่วนบุคคลในการป้อนข้อมูลเข้าไป เช่น การใช้รูปบุคคลเพื่อให้แยกแยะว่าเป็นเพศชายหรือหญิง สัญชาติใด เป็นต้น

2. การเรียนรู้แบบไม่มีผู้กำกับ (Unsupervised Learning)

เป็นการเรียนรู้ที่ผู้ฝึกไม่ได้มีการป้อนข้อมูลที่มีป้ายกำกับให้เหมือนการฝึกแบบแรก แต่จะเน้นให้ AI สามารถจัดกลุ่มของข้อมูล หาความสัมพันธ์ของข้อมูลได้ เช่น ให้ AI จัดกลุ่มลูกค้าจากพฤติกรรมการซื้อ พฤติกรรมการเข้าชมเว็บไซต์ ซึ่งการเรียนรู้ในรูปแบบนี้อาจมีความเกี่ยวข้องกับข้อมูลส่วนบุคคล เช่น การป้อนข้อมูลพฤติกรรมการใช้เว็บไซต์หรือการซื้อสินค้าแล้วให้ AI ช่วยจัดกลุ่ม เป็นต้น

3. การเรียนรู้แบบมีการเสริมแรง (Reinforcement Learning)

เป็นการเรียนรู้ที่ให้ AI ลองผิดลองถูกเหมือนการเรียนรู้ของมนุษย์ มีการเรียนรู้ว่าการกระทำแบบไหนให้ผลลัพธ์ที่ดีหรือไม่ดี ซึ่งการเรียนรู้ในรูปแบบนี้ทำให้ AI สามารถแก้โจทย์ปัญหายากๆได้ อีกทั้งยังพัฒนาตัวเองให้เหนือกว่ามนุษย์ได้ เช่น AlphaGo ที่สามารถเล่นหมากล้อมเอาชนะแชมป์โลกอย่าง Lee Sedol ได้ เป็นต้น ซึ่งการเรียนรู้ในรูปแบบนี้ อาจไม่มีความเกี่ยวข้องกับข้อมูลส่วนบุคคลมากเท่าการเรียนรู้สองแบบแรก

Case study การใช้ AI ในปัจจุบัน

 ในปัจจุบัน ธุรกิจขนาดใหญ่ในประเทศไทยเองก็เริ่มมีการนำ AI มาใช้ในการผลิตสินค้าหรือให้บริการบ้างแล้ว เช่น ธนาคารไทยพาณิชย์ (SCB) ได้มีการเริ่มใช้งาน AI สำหรับช่วยดูแลด้านการบริหารจัดการเงินและการลงทุนของผู้ใช้บริการ โดยที่ AI จะทำการเก็บรวบรวมข้อมูลเกี่ยวกับความสนใจและพฤติกรรมการลงทุนของผู้ใช้บริการ จากนั้นจะนำข้อมูลเหล่านั้นมาประมวลผลร่วมกับกระแสการลงทุนในช่วงเวลาปัจจุบัน เพื่อช่วยตัดสินใจเลือกสินทรัพย์ที่ควรซื้อหรือขายเพื่อทำกำไร นอกจากนี้ AI ยังช่วยในการเพิ่มประสิทธิภาพการบริหารความเสี่ยงของการลงทุน รวมไปถึงยังใช้ในการอนุมัติสินเชื่อ และการให้อัตราดอกเบี้ยที่สอดคล้องกับความสามารถในการชำระหนี้ของผู้ใช้บริการ

 รวมไปถึงทรู คอร์ปอเรชั่น ที่ได้มีการใช้ AI ในรูปแบบ Virtual Agent หรือเจ้าหน้าที่บริการลูกค้าเสมือน ซึ่งให้บริการทั้งในช่องทางแชท (Chatbot) และโทรศัพท์ (Voicebot) สำหรับการบริการลูกค้าและแก้ไขปัญหา อย่างไรก็ดี จะสังเกตได้ว่า AI ทั้งสองข้างต้น จะต้องมีการได้รับข้อมูลส่วนตัวหรือข้อมูลส่วนบุคคลของผู้ใช้บริการ ไม่ว่าจะเป็นข้อมูลเกี่ยวกับการเงิน หรือข้อมูลการรับบริการ เพื่อนำมาใช้ในการประมวลผลออกมาเป็นผลลัพธ์ที่ผู้ใช้บริการต้องการ

 ถึงแม้ว่าจะมีการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลมาก่อนที่การใช้ AI จะแพร่หลายเหมือนในปัจจุบัน แต่ก็ยังมีประเด็นขัดแย้งระหว่างการใช้งาน AI กับการละเมิดข้อมูลส่วนบุคคลอยู่เป็นระยะๆ เช่น กรณี ChatGPT ถูกระงับการใช้งานในอิตาลี เนื่องมาจากประเด็นทางกฎหมายคุ้มครองข้อมูลส่วนบุคคล ในเรื่องการไม่มีฐานทางกฎหมายในการเก็บรวบรวมข้อมูลส่วนบุคคลในปริมาณมาก สำหรับนำมาใช้ในการเทรน AI การเกิดเหตุละเมิดข้อมูลส่วนบุคคลจากการที่ผู้ใช้อื่นสามารถดูประวัติหัวข้อค้นหาที่ผู้ใช้งานอื่นเคยใช้กับ Chatbot ได้ รวมทั้งประเด็นเกี่ยวกับการยืนยันอายุของผู้ใช้งาน

นอกจากนี้ยังมีกรณีของ Deepseek ที่ถูกแบนในหลายประเทศเช่นกัน และอีกหลายกรณีในหลายประเทศที่ AI ก่อให้เกิดความน่ากังวลเกี่ยวกับความเป็นส่วนตัวของผู้ใช้งาน ดังนั้น การวางกรอบการใช้งานข้อมูลของ AI ให้มีความสอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลจึงมีความสำคัญ

ควรดำเนินการอย่างไรให้สอดคล้องกับ PDPA

 การที่จะเทรน AI ให้ประมวลผลออกมาแม่นยำเท่าไร ยิ่งต้องใช้ข้อมูลจำนวนมากขึ้นเท่านั้น (Big Data) แต่กฎหมายคุ้มครองข้อมูลส่วนบุคคลนั้น มุ่งหมายที่จะคุ้มครองสิทธิในความเป็นส่วนตัวของบุคคลผู้เป็นเจ้าของข้อมูล ทำให้ทั้งสองประเด็นนี้มีความขัดแย้งกัน ซึ่งองค์กรที่ใช้ประโยชน์จาก AI เอง นอกจากการใช้ AI เพื่อก่อให้เกิดประโยชน์กับธุรกิจแล้ว ก็ควรพิจารณาในแง่มุมของ PDPA ด้วยเช่นกัน

 โดย PDPA นั้นมุ่งเน้นถึงหลักการจำกัดวัตถุประสงค์ (Purpose Limitation) ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 21 ที่ได้วางหลักให้ผู้ควบคุมข้อมูลส่วนบุคคลทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่ได้แจ้งกับเจ้าของข้อมูลส่วนบุคคลไว้ก่อนหรือในขณะเก็บรวบรวมข้อมูลเท่านั้น และหลักการใช้ข้อมูลให้น้อยที่สุด (Data Minimization) ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 22 ที่ได้วางหลักให้เก็บรวบรวมข้อมูลส่วนบุคคลเท่าที่จำเป็นต่อวัตถุประสงค์

การนำ AI มาใช้นั้นก่อให้เกิดประโยชน์มากมาย แต่ในขณะเดียวกัน การใช้ AI ให้เกิดประสิทธิภาพสูงสุด ย่อมต้องมีการใช้ข้อมูลในการเทรนที่มากขึ้นตามลำดับ ซึ่งรวมถึงข้อมูลส่วนบุคคลด้วยดังที่ได้กล่าวไปข้างต้น ดังนั้น การกำหนดขอบเขตของการใช้ข้อมูลจึงมีความสำคัญ ซึ่ง PDPA สามารถช่วยกำหนดขอบเขตการใช้ข้อมูลของ AI ได้ เมื่อพิจารณาจากหลักกฎหมายต่อไปนี้

1. การแจ้งประกาศความเป็นส่วนตัว (Privacy Notice)

ตามมาตรา 23 กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลแจ้งประกาศความเป็นส่วนตัว ซึ่งอาจทำในรูปแบบหน้าต่าง pop up เพื่อให้เจ้าของข้อมูลส่วนบุคคลทราบว่า AI จะเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคลใดของตนบ้าง และเพื่อวัตถุประสงค์ใด รวมไปถึงรายละเอียดต่างๆตามที่กฎหมายกำหนด เช่น สิทธิของเจ้าของข้อมูล ช่องทางการติดต่อผู้ควบคุมข้อมูลส่วนบุคคล เป็นต้น

2. การขอความยินยอม (Consent)

หาก AI ต้องการที่จะใช้ข้อมูลส่วนบุคคลของผู้ใช้ในการเก็บข้อมูลเพื่อนำไปใช้เทรน AI ต่อไป อาจต้องพิจารณาขอความยินยอม โดยหลักการขอความยินยอมตาม ICO (Information Commissioner’s Office) นั้นจะต้องเป็นไปด้วยความสมัครใจ กล่าวคือ สามารถเลือกได้ว่าจะให้ความยินยอมหรือไม่ ซึ่งการปฏิเสธไม่ให้ความยินยอมนั้นจะต้องไม่ก่อให้เกิดความเสียหาย หรือผลกระทบกับตัวเจ้าของข้อมูล หรือทำให้ไม่สามารถใช้งาน AI ได้อย่างสิ้นเชิง และต้องประกอบไปด้วยการแจ้งข้อมูลต่อไปนี้

• ระบุว่าผู้ควบคุมข้อมูลส่วนบุคคลคือใคร รวมถึงช่องทางการติดต่อ
• วัตถุประสงค์ของการประมวลผลข้อมูลส่วนบุคคล
• กิจกรรมที่นำข้อมูลส่วนบุคคลไปประมวลผล
• ช่องทางหรือวิธีการถอนความยินยอม ซึ่งจะต้องมีความสะดวกและง่ายในระดับเดียวกับการให้ความยินยอม ซึ่งข้อความสำหรับการขอความยินยอมควรที่จะมีความกระชับ ชัดเจน และเข้าใจได้ง่าย

3. การจัดให้มีมาตรการรักษาความมั่นคงปลอดภัย

จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมและเป็นไปตามมาตรฐานขั้นต่ำที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด ทั้งเป็นการรักษาความปลอดภัยในปริมาณข้อมูลมหาศาลที่ AI เก็บรวบรวม และยังเป็นการปฏิบัติหน้าที่ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

4. การจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)

จัดให้มี DPO เพื่อช่วยดูแลและควบคุมการใช้งานข้อมูลส่วนบุคคลของ AI ให้อยู่ภายในกรอบวัตถุประสงค์และเป็นไปตามรายละเอียดอื่นๆที่ได้แจ้งไว้ใน Privacy Notice และแบบฟอร์มขอความยินยอม ช่วยดูแลในกรณีเกิดเหตุละเมิดข้อมูลส่วนบุคคล รวมไปถึงช่วยในการจัดทำนโยบาย หรือแนวปฏิบัติเกี่ยวกับการใช้งาน AI ให้สอดคล้องกับ PDPA

5. การจัดทำ DPIA

จัดให้มีการประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล หรือ DPIA (Data Protection Impact Assessment) ในกรณีที่การประมวลผลข้อมูลส่วนบุคคลดังกล่าวมีความเสี่ยงสูงที่จะกระทบต่อสิทธิและเสรีภาพของบุคคล โดยอาจพิจารณาได้จากกรณีที่มีลักษณะเข้าข่ายที่กำหนดโดยคณะกรรมาธิการยุโรป แม้ PDPA จะไม่ได้กำหนดถึงหน้าที่ในการจัดทำ DPIA ไว้ตรงๆเหมือนทั้ง 4 ข้อข้างต้น แต่ก็จำเป็นตาม PDPA ที่จะต้องทราบถึงผลกระทบและมาตรการที่เหมาะสมในแต่ละระดับความเสี่ยง ซึ่งกรณีของการประมวลผล

ข้อมูลส่วนบุคคลที่มีความเสี่ยงสูงจากการเทรน AI อาจพิจารณาได้เป็นกรณีตามต่อไปนี้

• [Evaluation or Scoring] หมายถึงกระบวนการทำโปรไฟลิ่งและประเมินเพื่อคาดการณ์จากข้อมูลของเจ้าของข้อมูล เช่น สถานะทางการเงิน ประวัติเครดิตต่างๆ
• [Prevent data subjects’ right or access] หมายถึงกระบวนการประมวลผลที่จะก่อให้เกิดการเปลี่ยนแปลง หรือปฏิเสธสิทธิที่เจ้าของข้อมูลจะได้เข้ารับบริการหรือได้เข้าถึงสัญญาใดๆ
• [Innovative use] หมายถึงกระบวนการประมวลผลโดยใช้เทคโนโลยี เนื่องจากการใช้เทคโนโลยีใหม่ๆในลักษณะนี้นำไปสู่การเก็บรวบรวมและการใช้ข้อมูลส่วนบุคคลที่คนทั่วไปไม่คุ้นเคยมาก่อน จะทำให้ไม่สามารถคาดหมายได้ถึงผลกระทบและอาจนำไปสู่ความเสี่ยงระดับสูงที่จะส่งผลกระทบต่อสิทธิเสรีภาพของบุคคล

ซึ่งยังอาจเข้ากรณีอื่นได้อีก ขึ้นอยู่กับลักษณะการใช้ข้อมูลในการเทรนที่อาจมีความแตกต่างกันในแต่ละประเภทของ AI

ในอนาคต AI มีแนวโน้มที่จะได้รับความนิยมสูงขึ้นและเป็นที่แพร่หลายในแวดวงธุรกิจและบริการมากขึ้น เพราะฉะนั้น การนำ AI มาใช้งาน ตั้งแต่ในขั้นตอนการเทรน จึงต้องมีความโปร่งใสในด้านการใช้ข้อมูลส่วนบุคคล กล่าวคือ เจ้าของข้อมูลต้องได้รับการแจ้งรายละเอียดอย่างชัดเจนว่าข้อมูลของเขาจะถูกนำไปใช้เพื่ออะไร อย่างไรบ้าง รวมไปถึงสิทธิของเจ้าของข้อมูลที่มีต่อข้อมูลที่ถูกนำไปใช้เทรน AI การพัฒนา AI ที่ก้าวหน้าขึ้นในทุกวัน ไม่ควรแต่ที่จะพัฒนาเพียงแค่ประสิทธิภาพในการตอบสนองคำสั่งของผู้ใช้เท่านั้น แต่ควรที่จะพัฒนาในส่วนของการรักษาความมั่นคงปลอดภัยและเคารพในสิทธิและความเป็นส่วนตัวของผู้ใช้ด้วย เพื่อไม่ให้การพัฒนาของเทคโนโลยีในยุคโลกาภิวัฒน์นั้นทิ้งความปลอดภัยและสิทธิของผู้ใช้ไว้ด้านหลัง

หากมีข้อสงสัยเกี่ยวกับการดำเนินการ บริษัท เอเทนติค คอนซัลติ้ง จำกัด มีผู้เชี่ยวชาญด้านกฎหมายคุ้มครองข้อมูลส่วนบุคคลซึ่งยินดีให้คำปรึกษาท่านเกี่ยวกับการจัดทำ PDPA Compliance อย่างครบถ้วน

แหล่งที่มา:

1. (SCB ขับเคลื่อนองค์กรด้วย AI-Driven สู่ความยั่งยืนองค์กรและความยั่งยืนระดับโลก | SCBX)

2. (จับตา “มะลิ” หุ่นยนต์ที่มี Gen AI อยู่เบื้องหลังที่กำลังเข้ามาปฏิวัติงานบริการลูกค้า - True Blog)

3. (ChatGPT banned in Italy over privacy concerns)

4. (JUSTICE AND CONSUMERS ARTICLE 29 - Guidelines on Data Protection Impact Assessment (DPIA) (wp248rev.01)