Vendor AI กับ PDPA: เป็น Processor หรือ Joint Controller?
การนำเครื่องมือปัญญาประดิษฐ์ (AI) จากผู้ให้บริการภายนอก (Vendor AI) เช่น OpenAI (ChatGPT), Microsoft (Copilot) หรือ Google (Gemini) เข้ามาใช้ในองค์กร ถือเป็นก้าวสำคัญในการเพิ่มประสิทธิภาพการทำงาน แต่ในมุมของกฎหมายคุ้มครองข้อมูลส่วนบุคคล หรือ PDPA นั้น สถานะทางกฎหมายของผู้ให้บริการเหล่านี้ไม่ได้เป็นเพียง “ผู้รับฝากข้อมูล” ทั่วไป
หากองค์กรเลือกใช้บริการ AI ที่มีการนำข้อมูลไปฝึกฝน (Train) โมเดลต่อ สถานะของ Vendor AI จะเปลี่ยนจากผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ไปเป็นผู้ควบคุมข้อมูลส่วนบุคคลร่วม (Joint Controller) ทันที ซึ่งจุดนี้คือความเสี่ยงทางกฎหมายที่องค์กรส่วนใหญ่ มักมองข้ามและไม่มีมาตรการรองรับที่ถูกต้อง
ทำไม Vendor AI ถึงไม่ใช่แค่ผู้ประมวลผลข้อมูลทั่วไป
ตามหลักการของ PDPA ผู้ให้บริการระบบคลาวด์หรือซอฟต์แวร์ทั่วไป มักมีสถานะเป็น ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) เนื่องจากทำหน้าที่จัดเก็บหรือประมวลผลข้อมูลตามคำสั่งขององค์กรอย่างเคร่งครัด โดยไม่มีสิทธิ์นำข้อมูลเหล่านั้นไปใช้เพื่อวัตถุประสงค์อื่น
แต่สำหรับ Vendor AI นั้นมีความซับซ้อนกว่า เนื่องจากโมเดลภาษาขนาดใหญ่ (LLMs) จำเป็นต้องใช้ข้อมูลมหาศาลในการเรียนรู้และพัฒนาอัลกอริทึม หากองค์กรป้อนข้อมูลส่วนบุคคล (Prompt) เข้าสู่ระบบ และข้อตกลงการใช้งานระบุว่าผู้ให้บริการสามารถนำข้อมูลดังกล่าวไปพัฒนาเทคโนโลยีต่อได้ จะเท่ากับว่า Vendor AI รายนั้นทำหน้าที่กำหนดวัตถุประสงค์และวิธีการประมวลผลข้อมูลด้วยตนเอง ซึ่งเป็นนิยามและบทบาทของ ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)
วิธีเช็กสถานะและการทำสัญญา DPA กับ Vendor AI ให้ถูกกฎหมาย
การตรวจสอบว่าผู้ให้บริการ AI มีสถานะทางกฎหมายอย่างไรภายใต้ PDPA ไม่ได้พิจารณาจากตัวเทคโนโลยี แต่สามารถตรวจสอบได้จากข้อตกลงการใช้งาน (Terms of Service) หรือนโยบายความเป็นส่วนตัว (Privacy Policy) ของผู้ให้บริการ โดยแบ่งออกเป็น 2 กรณีหลัก ดังนี้
สถานะ Data Processor (ผู้ประมวลผลข้อมูล)
- เงื่อนไขสำคัญ: สัญญาระบุชัดเจนว่า “ข้อมูลทั้งหมดที่ป้อนเข้าสู่ระบบจะไม่ถูกนำไปใช้ฝึกฝน (Train) หรือปรับปรุงโมเดลพื้นฐาน (Base Model) ของผู้ให้บริการ”
- รูปแบบบริการ: มักพบในแพ็กเกจระดับองค์กร (Enterprise) หรือการเชื่อมต่อผ่านระบบ API แบบเสียค่าใช้จ่าย
- การจัดการทางกฎหมาย: องค์กรสามารถจัดทำสัญญาประมวลผลข้อมูลส่วนบุคคล หรือ Data Processing Agreement (DPA) แบบมาตรฐานเพื่อควบคุมการทำงานได้ตามปกติ
สถานะ Joint Controller หรือ Independent Controller (ผู้ควบคุมข้อมูลร่วม/อิสระ)
- เงื่อนไขสำคัญ: สัญญาระบุว่า “ผู้ให้บริการขอสงวนสิทธิ์ในการนำข้อมูลการใช้งาน เนื้อหา หรือข้อความที่ป้อนเข้าสู่ระบบ ไปใช้เพื่อการปรับปรุง พัฒนา หรือฝึกฝนเทคโนโลยี AI”
- รูปแบบบริการ: มักพบในแพ็กเกจใช้งานฟรี (Free Version) หรือบัญชีผู้ใช้งานทั่วไป
- การจัดการทางกฎหมาย: การทำสัญญา DPA แบบเดิมจะไม่ครอบคลุม องค์กรจำเป็นต้องเปลี่ยนไปใช้ข้อตกลงระหว่างผู้ควบคุมข้อมูลส่วนบุคคลร่วม หรือ Joint Controller Agreement เพื่อแบ่งแยกความรับผิดชอบทางกฎหมายให้ชัดเจน
ความเสี่ยงขององค์กรเมื่อใช้ Vendor AI ผิดหลัก PDPA
หากองค์กรนำข้อมูลส่วนบุคคลไปใช้งานผ่าน Vendor AI โดยไม่ตรวจสอบสถานะทางกฎหมายและสัญญาให้ถูกต้อง อาจก่อให้เกิดความเสี่ยงและความเสียหายดังต่อไปนี้
- การละเมิดหลักการจำกัดวัตถุประสงค์ (Purpose Limitation): องค์กรอาจเก็บรวบรวมข้อมูลของลูกค้าหรือพนักงานมาภายใต้ฐานสัญญาหรือฐานความยินยอมเพื่อวัตถุประสงค์เฉพาะเจาะจง แต่การส่งข้อมูลนั้นเข้าไปในระบบ AI ที่เป็น Joint Controller เพื่อเทรนโมเดล ถือเป็นการนำข้อมูลไปใช้ผิดวัตถุประสงค์ดั้งเดิมและเป็นการส่งต่อข้อมูลให้บุคคลที่สามโดยมิชอบ
- ปัญหาการจัดการสิทธิของเจ้าของข้อมูล (Data Subject Rights): เมื่อเจ้าของข้อมูลมาใช้สิทธิขอให้ลบข้อมูล (Right to Erasure) องค์กรสามารถลบข้อมูลจากฐานข้อมูลของตนเองได้ แต่ในทางเทคนิค องค์กรจะไม่สามารถสั่งให้ Vendor AI ลบข้อมูลส่วนบุคคลที่ถูกกลืนเข้าไปเป็นส่วนหนึ่งของโมเดล AI ได้ ซึ่งนำไปสู่การไม่สามารถปฏิบัติตามกฎหมายได้อย่างสมบูรณ์
- ความรับผิดชอบร่วมเมื่อเกิดเหตุข้อมูลรั่วไหล: หากระบบของ Vendor AI เกิดช่องโหว่และทำให้ข้อมูลรั่วไหล องค์กรในฐานะผู้ควบคุมข้อมูลร่วมอาจต้องร่วมรับผิดชอบต่อความเสียหายและบทลงโทษทางกฎหมาย
3 ขั้นตอนรับมือเพื่อการใช้ Vendor AI อย่างปลอดภัย
เพื่อป้องกันความเสี่ยงทางกฎหมายและสร้างมาตรฐาน AI Governance ที่รัดกุม องค์กรควรปรับเปลี่ยนแนวทางการใช้งานเครื่องมือ AI ตามขั้นตอนดังต่อไปนี้
- เลือกใช้แพ็กเกจ Enterprise หรือเปิดโหมดปฏิเสธการเทรนโมเดล (Opt-out): หลีกเลี่ยงการใช้เครื่องมือ AI เวอร์ชันฟรีในการทำงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคล และเปลี่ยนมาใช้แพ็กเกจระดับองค์กรที่มีเงื่อนไขชัดเจนว่าจะไม่มีการเก็บรักษาข้อมูลเพื่อนำไปฝึกฝนโมเดล (Zero Data Retention / No Model Training)
- จัดทำข้อตกลงทางกฎหมายที่เหมาะสม: หากมีความจำเป็นต้องใช้บริการในรูปแบบที่ Vendor มีการนำข้อมูลไปใช้ต่อ ต้องจัดทำสัญญา Joint Controller Agreement เพื่อกำหนดขอบเขต หน้าที่ และความรับผิดชอบของแต่ละฝ่ายในการปกป้องข้อมูลส่วนบุคคล
- ปรับปรุงนโยบายความเป็นส่วนตัว (Privacy Notice): เพิ่มความโปร่งใสด้วยการแจ้งให้เจ้าของข้อมูลทราบอย่างชัดเจนว่ามีการนำข้อมูลไปประมวลผลร่วมกับผู้ให้บริการ AI ภายนอก พร้อมทั้งระบุสิทธิในการคัดค้านการประมวลผลข้อมูลให้ชัดเจน
มีโอกาสสูงมากหากองค์กรเลือกใช้บริการแพ็กเกจฟรี หรือไม่ได้เปิดตั้งค่าปิดการนำข้อมูลไปฝึกฝนโมเดล (Opt-out) แต่หากองค์กรเลือกใช้บริการแพ็กเกจระดับ Enterprise ที่มีเงื่อนไขคุ้มครองข้อมูลการทำงาน ยักษ์ใหญ่ไอทีเหล่านี้จะมีสถานะเป็น Data Processor ตามปกติ
องค์กรไม่สามารถใช้สัญญา DPA แบบทั่วไปได้ แต่ต้องจัดทำเอกสารข้อตกลงระหว่างผู้ควบคุมข้อมูลส่วนบุคคลร่วม (Joint Controller Agreement) เพื่อแบ่งแยกขอบเขตความรับผิดชอบ พร้อมทั้งต้องอัปเดต Privacy Notice เพื่อแจ้งให้เจ้าของข้อมูลทราบอย่างโปร่งใส
มีความเสี่ยงสูงมากที่จะทำผิดกฎหมาย PDPA เนื่องจากข้อมูลส่วนบุคคลที่ละเอียดอ่อนในเรซูเม่จะถูกส่งต่อไปยัง OpenAI ซึ่งเป็นบุคคลที่สามเพื่อนำไปประมวลผลและเทรนโมเดลต่อโดยไม่ได้รับอนุญาต องค์กรจึงควรจัดทำนโยบายการใช้งาน AI (AI Guideline) เพื่อควบคุมและห้ามพฤติกรรมดังกล่าวของพนักงาน
บทสรุป
ในยุคที่เทคโนโลยี AI กลายเป็นเครื่องมือสำคัญในการขับเคลื่อนนวัตกรรม องค์กรไม่สามารถมอง Vendor AI เป็นเพียงพื้นที่จัดเก็บข้อมูลหรือซอฟต์แวร์ทั่วไปได้อีกต่อไป การทำความเข้าใจว่าผู้ให้บริการอาจมีสถานะเป็นผู้ควบคุมข้อมูลส่วนบุคคลร่วม (Joint Controller) จะช่วยให้องค์กรวางกลยุทธ์ด้าน Data Privacy ได้อย่างเท่าทัน การเลือกรูปแบบบริการที่ปลอดภัยและการจัดทำสัญญาที่ถูกต้อง คือทางรอดที่ช่วยให้ธุรกิจดึงศักยภาพของ AI มาใช้ได้อย่างเต็มประสิทธิภาพ โดยปราศจากความเสี่ยงทางกฎหมาย
เผยแพร่: 25 มิถุนายน 2569
อัปเดตล่าสุด: 25 มิถุนายน 2569
ช่องทางติดต่อ:
Facebook: PDPA Thailand
Line OA: @pdpathailand
Email: [email protected]
Website: www.pdpathailand.com
