pakkapol.ke

[post-views]

pakkapol.ke
pakkapol.ke

PDPA Guru EP.12 ความเชื่อมโยง PDPA สู่ AI Governance และการใช้เครื่องมือ LIA เพื่อความยั่งยืนขององค์กร (Part 2)

จากบทความก่อนหน้าหากใครยังไม่ได้อ่าน “ทำไม “LIA” คือด่านสำคัญที่องค์กรต้องทำก่อนก้าวเข้าสู่ยุค AI” สามารถย้อนอ่านได้ เพราะในบทความนี้จะเล่าต่อถึงภาคต่อของ LIA ในการนำมาใช้เพื่อการกำกับโครงการ AI ในองค์กรของท่านมีประสิทธิภาพสูงสุดตามแนวทาง AI Governance

ในยุคที่เทคโนโลยีปัญญาประดิษฐ์ (AI) กลายเป็นเครื่องมือสำคัญในการขับเคลื่อนนวัตกรรมและเพิ่มขีดความสามารถทางการแข่งขัน องค์กรจำนวนมากต่างเร่งนำ AI เข้ามาประยุกต์ใช้ในหลากมิติ ทว่าความอัจฉริยะของเทคโนโลยีนี้กลับมาพร้อมกับความท้าทายครั้งใหญ่ภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) เนื่องจากโมเดล AI จำเป็นต้องอาศัยข้อมูลส่วนบุคคลจำนวนมหาศาลในการประมวลผลและเรียนรู้ หากองค์กรนำมาใช้โดยขาดมาตรการกำกับดูแลที่รัดกุม นวัตกรรมที่คาดหวังอาจกลายเป็นความเสี่ยงทางกฎหมายที่สร้างความเสียหายต่อชื่อเสียงและทรัพย์สินได้อย่างมหาศาล

ความท้าทายรอบด้านและการเกิดอคติ (Bias) ในระบบ AI

การประเมินผลประโยชน์โดยชอบด้วยกฎหมาย หรือ LIA (Legitimate Interest Assessment) ในยุคปัจจุบันมีความซับซ้อนกว่าในอดีตอย่างสิ้นเชิง เนื่องจาก AI ประมวลผลผ่านโมเดลทางคณิตศาสตร์ที่ซับซ้อนซึ่งถูกออกแบบโดยมนุษย์ จุดเปราะบางสำคัญจึงเกิดขึ้นเมื่อชุดข้อมูลที่นำมาใช้เทรนระบบ (Training Data) มีความจำกัด ไม่หลากหลาย หรือสะท้อนถึงค่านิยมที่ลำเอียงของผู้พัฒนา ซึ่งจะส่งผลให้เกิด “อคติในปัญญาประดิษฐ์” (Bias in AI) ตามไปด้วยอย่างหลีกเลี่ยงไม่ได้

เราสามารถเห็นผลกระทบจากอคตินี้ได้อย่างเป็นรูปธรรมในภาคธุรกิจ 

  • การบริหารงานบุคคล (HR): การใช้ระบบ AI คัดเลือกเรซูเม่สมัครงานอัตโนมัติ หากถูกเทรนด้วยข้อมูลพนักงานในอดีตที่มีเงื่อนไขจำกัด อาจทำให้ระบบปฏิเสธผู้สมัครรายใหม่อย่างไม่เป็นธรรมจากเพศ อายุ หรือสถาบันการศึกษา
  • ธุรกิจสินเชื่อและการประกันภัย: การให้ AI คำนวณคะแนนเครดิต (Credit Scoring) หรือพิจารณาเบี้ยประกัน หากระบบนำปัจจัยด้านทำเลที่อยู่อาศัยหรือประวัติสุขภาพเชิงลบมาวิเคราะห์อย่างไม่สมเหตุสมผล ย่อมนำไปสู่การเลือกปฏิบัติและการตัดสินใจแบบอัตโนมัติ (Automated Decision-making) ที่ส่งผลกระทบและลดทอนสิทธิ์ของบุคคลอย่างรุนแรง

ด้วยเหตุนี้ ในกระบวนการทำ LIA และการประเมินผลกระทบด้านการคุ้มครองข้อมูล (DPIA) องค์กรจึงจำเป็นต้องกำหนดให้มี มาตรการควบคุมโดยมนุษย์ (Human Oversight) เพื่อทำหน้าที่ตรวจสอบ ถ่วงดุล และทบทวนผลลัพธ์จาก AI อีกชั้นหนึ่งเสมอ เพื่อป้องกันไม่ให้เทคโนโลยีละเมิดสิทธิขั้นพื้นฐานของประชาชน

4 แนวปฏิบัติและกลไกขับเคลื่อนทางกฎหมายสำหรับองค์กร

เพื่อขับเคลื่อนโครงการ AI ให้สอดคล้องตามกรอบของกฎหมาย PDPA อย่างปลอดภัยและยั่งยืน องค์กรควรวางรากฐานผ่านระบบธรรมาภิบาลข้อมูลและปฏิบัติตาม 4 ขั้นตอนพื้นฐานดังต่อไปนี้:

1. การตั้ง Flow การทำงานที่ชัดเจน

องค์กรต้องแยกแยะบทบาททางเทคโนโลยีให้ชัดเจนตั้งแต่เริ่มต้น ว่าเป็นการ “พัฒนาระบบ AI ขึ้นใช้เอง” (ต้องจัดหาข้อมูลมาเทรนโมเดล) หรือเป็นเพียง “ผู้นำ AI สำเร็จรูปจากภายนอกมาใช้” หากกิจกรรมนั้นมีข้อมูลส่วนบุคคลเข้ามาเกี่ยวข้อง องค์กรต้องทำกระบวนการตรวจสอบวัตถุประสงค์เดิม เพื่อพิจารณาว่าข้อมูลที่เคยเก็บรวบรวมมานั้น สามารถนำมาใช้เทรนหรือป้อนให้ AI ประมวลผลได้อย่างสอดคล้องกับวัตถุประสงค์แรกเริ่มหรือไม่

2. การสร้างความโปร่งใสผ่านข้อตกลงความเป็นส่วนตัว

ความโปร่งใสคือหัวใจของ PDPA องค์กรต้องระบุกลไกการทำงานของ AI ขอบเขตการประมวลผลข้อมูล หรืออัลกอริทึมในการตัดสินใจลงใน ประกาศความเป็นส่วนตัว (Privacy Notice) ให้ชัดเจนและเข้าใจง่าย เพื่อสร้างความคาดหมายตามสมควร (Reasonable Expectation) ให้แก่เจ้าของข้อมูลส่วนบุคคล ได้รับทราบว่าข้อมูลของตนจะถูกนำไปใช้ร่วมกับเทคโนโลยีปัญญาประดิษฐ์อย่างไร

3. การเคารพและรองรับสิทธิของเจ้าของข้อมูลส่วนบุคคล

ระบบขององค์กรต้องได้รับการออกแบบให้พร้อมรองรับการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลอย่างมีประสิทธิภาพ โดยเฉพาะอย่างยิ่ง สิทธิในการคัดค้านการประมวลผลข้อมูล (Right to Object) ตัวอย่างเช่น หากลูกค้ายื่นความจำนงยกเลิก หรือไม่ยินยอมให้องค์กรนำข้อมูลส่วนบุคคลไปทำ Profiling เพื่อวิเคราะห์พฤติกรรม หรือทำกิจกรรมการตลาดแบบตรง (Direct Marketing) ระบบ AI ขององค์กรต้องระงับการประมวลผลข้อมูลของบุคคลนั้นโดยไม่ชักช้า เว้นแต่องค์กรสามารถพิสูจน์ได้ว่ามีเหตุอันชอบด้วยกฎหมายที่สำคัญยิ่งกว่าสิทธิของเจ้าของข้อมูลส่วนบุคคล

4. การบูรณาการเครื่องมือคุ้มครองข้อมูลส่วนบุคคล

การทำ LIA ถือเป็นส่วนหนึ่งของการแสดงความรับผิดชอบที่ตรวจสอบได้ (Accountability) ขององค์กร อย่างไรก็ดี หากกิจกรรมการใช้ AI นั้นมีความซับซ้อนและจัดอยู่ในกลุ่มที่มีความเสี่ยงสูง องค์กรจะต้องขยายผลจากการทำ LIA ไปสู่การประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล หรือ DPIA (Data Protection Impact Assessment) ในภาพใหญ่ เพื่อวิเคราะห์และวางมาตรการจัดการความเสี่ยงรอบด้าน โดยกระบวนการประเมินนี้จำเป็นต้องอาศัยความร่วมมือจากผู้เกี่ยวข้องหลายฝ่าย (Process Owner) ร่วมกับผู้เชี่ยวชาญเฉพาะทาง ไม่ใช่ภาระหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) เพียงลำพัง

แม้ในปัจจุบันประเทศไทยจะยังไม่มีกฎหมายเฉพาะที่บีบบังคับด้าน AI Governance ออกมาโดยตรง แต่หน่วยงานกำกับดูแลชั้นนำของรัฐ ไม่ว่าจะเป็น ETDA, สกมช. และ สคส. ต่างกำลังเร่งทยอยออกแนวทางปฏิบัติ (Guidelines) และคู่มือมาตรฐานสำหรับการใช้ AI ควบคู่ไปกับกฎหมาย PDPA อย่างต่อเนื่อง

เผยแพร่: 7 กรกฎาคม 2569
อัปเดตล่าสุด: 7 กรกฎาคม 2569

ช่องทางติดต่อ:
Facebook: PDPA Thailand
Line OA: @pdpathailand
Email: [email protected]
Website: www.pdpathailand.com

dpo in action อบรม pdpa dpo
DPOinActionรุ่น19 1200x300