เมื่อ “AI” กลายเป็นแขนขาในการทำงานขององค์กรยุคใหม่
ทุกวันนี้ ปัญญาประดิษฐ์ หรือ AI ไม่ได้เป็นเพียงเทคโนโลยีล้ำยุคอีกต่อไป แต่ AI ได้กลายเป็นเครื่องมือสำคัญในการทำงานของแทบทุกธุรกิจ ตั้งแต่การวิเคราะห์พฤติกรรมลูกค้าในส่วนงานการตลาด การคัดเลือกบุคลากรของส่วนงานทรัพยากรบุคคล หรือจะเป็นการให้บริการลูกค้าผ่าน Chatbot
แต่สิ่งที่หลายองค์กรอาจมองข้ามคือ.. เบื้องหลังความแม่นยำของ AI มาจากการ เรียนรู้ด้วยข้อมูลมหาศาล ซึ่งหนึ่งในข้อมูลเหล่านั้นก็คือ “ข้อมูลส่วนบุคคล”
และนั่นคือจุดที่กฎหมาย PDPA (พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562) เข้ามามีบทบาทอย่างมาก เพราะเมื่อใดที่มีการนำ “ข้อมูลส่วนบุคคล” ไปใช้เพื่อให้ AI ทำงานก็อาจถือว่าเข้าข่าย “การประมวลผลข้อมูลส่วนบุคคล” ตาม PDPA ได้ด้วย
แล้วทำไมองค์กรต้องระวังเมื่อนำข้อมูลส่วนบุคคลไปใช้กับ AI
AI ทำงานด้วยการ “เรียนรู้” จากข้อมูลจำนวนมหาศาล เพื่อวิเคราะห์ หรือแนะนำผลลัพธ์ต่าง ๆ ได้อย่างแม่นยำ แต่ในกระบวนการเรียนรู้นี้เอง อาจมีการใช้ข้อมูลที่สามารถระบุตัวบุคคลได้ เช่น ชื่อ ที่อยู่ เบอร์โทร อีเมล หรือพฤติกรรมการใช้งานออนไลน์หากองค์กรนำข้อมูลเหล่านี้มาใช้โดยไม่แจ้งเจ้าของข้อมูล หรือไม่ได้รับความยินยอมอย่างชัดเจน ย่อมเสี่ยงที่จะละเมิด PDPA ได้โดยไม่ตั้งใจ
ตัวอย่างเช่น
ใช้ระบบ AI บันทึกและวิเคราะห์เสียงลูกค้าเพื่อประเมินการทำงานของและความพึงพอใจ แต่ไม่แจ้งวัตถุประสงค์ก่อนหรือขณะการสนทนา
ใช้ข้อมูลลูกค้าซึ่งประกอบด้วยชื่อ เบอร์โทร อีเมลส่วนตัว หรือแม้แต่ข้อมูลอื่น ๆ ที่ระบุตัวบุคคลได้ เพื่อ “เทรนโมเดล AI” โดยไม่ระวัง
นั่นคือเหตุผลที่องค์กรต้อง “ระวัง” และเข้าใจว่า AI ไม่ได้ผิดกฎหมาย แต่การใช้ข้อมูลเพื่อให้ AI เรียนรู้ อาจผิดได้ ถ้าไม่สอดคล้องกับหลักกฎหมาย PDPA
5 แนวทางการใช้ AI ในโลกของ PDPA และยุคดิจิทัล
1. แจ้งวัตถุประสงค์ให้ชัดเจน
ก่อนนำข้อมูลส่วนบุคคลเข้า AI ต้องมีการแจ้งวัตถุประสงค์การใช้ข้อมูลอย่างโปร่งใส เช่น ใช้เพื่อพัฒนาระบบบริการอัตโนมัติ หรือปรับปรุงประสบการณ์ลูกค้า การแจ้งให้ชัดตั้งแต่ต้นคือสิ่งที่ PDPA เน้นที่สุดในหลัก “ความโปร่งใส (Transparency)”
2. ขอความยินยอมอย่างถูกต้อง (Consent)
หากไม่มีฐานทางกฎหมายอื่นรองรับ ต้องได้รับ “ความยินยอมโดยชัดแจ้ง” จากเจ้าของข้อมูล โดยระบุให้เข้าใจง่ายว่า ข้อมูลจะถูกนำไปใช้เพื่อวัตถุประสงค์ใด และผลกระทบจากการไม่ให้ความยินยอม
ตัวอย่างเช่น ใช้แบบฟอร์มขอความยินยอม (Consent Form) ที่ระบุวัตถุประสงค์เฉพาะ อาทิ “เพื่อใช้พัฒนาโมเดลการตอบคำถามอัตโนมัติของบริษัท”
3. ปกปิดข้อมูลส่วนบุคคลก่อนนำเข้า AI (Anonymization)
ควรทำให้ข้อมูลไม่สามารถระบุตัวบุคคลได้โดยตรง เช่น การลบชื่อ เบอร์โทร หรือแทนที่จะประมวลผลด้วยอีเมลส่วนตัว ปรับเป็นอีเมลส่วนกลางของบริษัทแทน ก่อนส่งเข้า AI โดยเฉพาะเมื่อนำไปใช้ในระบบของบุคคลที่สาม (Third Party)
4. ลบหรือทำลายข้อมูลเมื่อหมดความจำเป็น
PDPA กำหนดชัดว่า เมื่อสิ้นสุดวัตถุประสงค์ ต้องลบหรือทำลายข้อมูลทันที การเก็บข้อมูลไว้ตลอดเพื่อ “เผื่ออนาคต” อาจเข้าข่ายละเมิดกฎหมาย และขัดต่อ “หลักการจำกัดระยะเวลาในการเก็บข้อมูล (Storage Limitation)” ดังนั้นองค์กรจึงควรมี Data Retention and Disposal Policy
5. กำหนดขอบเขตและนโยบายเรื่องการใช้ AI ขององค์กรให้เป็นรูปธรรม
ปัจจุบันนี้ AI แทบจะเป็นส่วนหนึ่งของการทำงานขององค์กรกันหมดแล้ว และแน่นอนว่ากิจกรรมการใช้ AI ของแต่ละบุคคล ฝ่าย หรือแผนกล้วนแตกต่างกันออกไป เช่นเดียวกับ “ความเข้าใจและจริยธรรม” ในการใช้ AI กับข้อมูลของแต่ละบุคคลก็ล้วนไม่เท่ากัน องค์กรควรมีการกำหนดขอบเขต หรือนโยบายการใช้ AI ในองค์กรให้เป็นนโยบายหลัก ชัดเจน และเป็นรูปธรรมจับต้องได้
จะดีกว่าหรือไม่ หากคุณมีแนวทางการวางนโยบายและข้อบังคับการใช้ (Generative AI) ในโลกของ AI ซึ่งประกอบด้วยหัวข้อสำคัญ และออกแบบโดยผู้เชี่ยวชาญด้านการคุ้มครองข้อมูลส่วนบุคคล สามารถดาวน์โหลดได้ฟรี เพียงสมัครลงทะเบียน >> คลิก
ตัวอย่างสิ่งที่ “ทำได้” และ “ทำไม่ได้” กับการใช้ AI ในงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคล
✅ ทำได้ | ❌ ห้ามทำ |
มีการแจ้งเจ้าของข้อมูล และขอความยินยอมอย่างโปร่งใสในการประมวลผลข้อมูล | นำข้อมูลลูกค้าไปฝึกโมเดล AI โดยไม่แจ้งให้ทราบและไม่ได้รับความยินยอม |
ใช้ข้อมูลที่ผ่านการปกปิดตัวตน (Anonymized) | ป้อนข้อมูลที่สามารถระบุตัวบุคคล เช่น ชื่อ เบอร์โทร |
กำหนดระยะเวลาเก็บรักษาและลบข้อมูลเมื่อหมดความจำเป็น | เก็บข้อมูลไว้ตลอดโดยไม่มีนโยบายจัดการ |
วางนโยบายและขอบเขตการใช้ AI ในองค์กรให้ชัดเจน | ปล่อยปละละเลย และไม่มีการควบคุมการใช้ AI ในองค์กร |
