pakkapol.ke

[post-views]

pakkapol.ke
pakkapol.ke

ท่านกำลังดูดข้อมูลจากเว็ปไซต์ เพื่อทำ Generative AI หรือไม่ ถ้าใช่ท่านควรอ่านบทความนี้

คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลสหภาพยุโรป หรือ European Data Protection Board  (เรียกย่อๆ ว่า EBPB) เผยแพร่ แนวทางฉบับที่ 03/2026 ว่าด้วยการดึงข้อมูลจากเว็บไซต์  (Web Scraping) เพื่อพัฒนา Generative AI เมื่อผมอ่านจบครบ 23 หน้า ก็ยิ่งทำให้ผมมั่นใจว่า แท้จริงแล้วการพัฒนา Generative AI ที่กำลัง regulate กันอยู่ จบที่คำ ๆ เดียวคือคำว่า “trust”

เรื่องมันมีอยู่ว่า…

บริษัท หรือหน่วยงานที่มีเทคโนโลยีที่สามารถ scraping หรือดอดไปเข้าถึง หรือไปขุดข้อมูล ไปกวาด หรือไปดึงข้อมูลแม้จะจากเว็บไซต์ที่เข้าได้โดยสาธารณะก็ไม่ได้หมายความว่า เจ้าของข้อมูล เขาจะไว้วางใจให้นำข้อมูลของตนไปใช้ฝึก AI ได้

สาระสำคัญของแนวทาง (Guideline) ฉบับนี้จึงเป็นมาตรฐาน หรือ soft law ที่เอกชนไทยควรใช้เป็นแนวทางในการพัฒนา Generative AI เพื่อ scraping ได้ มีสาระสั้น ๆ ดังนี้

  1. ขอบเขตของการบังคับใช้ของเอกสาร
  • เน้นที่บริษัทเอกชนนำข้อมูลจากเว็บไซต์ภายนอกมาฝึก (Training) หรือปรับแต่ง (Fine-tuning) โมเดล Generative AI ไม่ว่าจะเป็นการดึง ขูด ขุด ข้อมูลเอง หรือไปว่าจ้าง บริษัทแนว Social Listening ในฐานะผู้ประมวลผล (Processor) หรือการนำชุดข้อมูลที่ผู้อื่นดึงไว้แล้วมาใช้งานต่อ
  1. หลักการสำคัญของ GDPR ที่ต้องปฏิบัติ
  • หลัก Transparency แม้การแจ้งเจ้าของข้อมูลทีละราย อาจอ้างว่าเป็นไปไม่ได้ หรือก่อให้เกิดภาระเกินสมควร (ฝรั่งใช้คำว่า Disproportionate effort) แต่ไม่ได้หมายความว่าบริษัทของท่านจะไม่ต้องทำอะไรเลย บริษัทยังต้องมีมาตรการทดแทนครับ เช่น เผยแพร่นโยบายความเป็นส่วนตัว (Privacy Notice) อธิบายประเภทข้อมูล แหล่งที่มา และช่องทางให้เจ้าของข้อมูลใช้สิทธิได้
  • หลัก Data Minimisation เก็บข้อมูลเท่าที่จำเป็นอันนี้แฝงตัวอยู่มนมาตรา 22 ของ PDPA คือ ลดการเก็บข้อมูลส่วนบุคคลให้มากที่สุด เช่น ใช้ข้อมูลสังเคราะห์ (Synthetic Data) หมายความว่าอะไร ขอแปลไทยเป็นไทย คือต้องใช้เทคนิคกำหนดข้อมูลจำลองที่สร้างขึ้นแทนการเก็บจากเหตุการณ์ หรือข้อมูลจริง โดยยังคงคุณลักษณะ และรูปแบบทางสถิติที่ใกล้เคียงกับข้อมูลจริง ใช้ตัวกรองเพื่อตัดข้อมูลที่ระบุตัวบุคคลได้ และเคารพข้อจำกัดของเว็บไซต์ (ในเชิงเทคนิคต้องมีทีม สารสนเทศร่วมด้วย)
  • หลัก Accuracy  คือเลือกใช้ข้อมูลจากแหล่งที่เชื่อถือได้  มีการระบุช่วงเวลาของข้อมูล และสุ่มตรวจสอบคุณภาพอย่างสม่ำเสมอ เพื่อลดโอกาสที่ AI จะเรียนรู้จากข้อมูลที่ผิดพลาด หรือล้าสมัย (outdated data)
  1. ฐานกฎหมายในการทำ Web Scraping
  • การขอความยินยอม (Consent) มักไม่สามารถทำได้จริง และเรื่องนี้ผมถูก challenge บ่อยโดยพวกเทคโนแครต แต่มองมุมกฎหมายนะครับ องค์กรไม่มีความสัมพันธ์โดยตรงกับเจ้าของข้อมูล และการที่ข้อมูลถูกเผยแพร่บนอินเทอร์เน็ต ก็ไม่ได้หมายความว่าเจ้าของข้อมูลยินยอมให้นำไปฝึก AI โดยปริยาย มันคนละเรื่อง…      ดังนั้น ฐานที่ถูกใช้มากที่สุดคือ ฐาน Legitimate Interest (ฐานกฎหมายที่ DPO สายเทคโนแครตชอบ)ใช้ได้ครับไม่เถียง แต่ Guideline อธิบายชัดเจนว่าจะใช้ได้ก็ต่อเมื่อผ่านการทดสอบ 3 ขั้น หรือLegitimate Interest Assess ได้แก่
  • การทดสอบที่มีวัตถุประสงค์ที่ชอบด้วยกฎหมาย (Purpose Test)
  • การทดสอบการประมวลผลที่มีความจำเป็น (Necessity Test) 
  • การทดสอบความสมดุล หมายความว่าผลประโยชน์ของบริษัทที่จะได้รับต้องไม่เกินสัดส่วน หรือกระทบสิทธิ และเสรีภาพของเจ้าของข้อมูลเกินสมควร (Balancing Test)

บริษัทจึงควรมีมาตรการลดผลกระทบ เช่น การทำ Pseudonymisation การเปิดโอกาสให้เจ้าของข้อมูลสามารถ Opt-out และหลีกเลี่ยงการเก็บข้อมูลจากเว็บไซต์ที่มีเนื้อหาอ่อนไหวโดยสภาพ

  1. การจัดการข้อมูลส่วนบุคคลลักษณะพิเศษ (Special Category of Personal Data)
  • โดยหลักแล้ว ข้อมูลอ่อนไหว หรือข้อมูลส่วนบุคคลลักษณะพิเศษ เช่น ข้อมูลสุขภาพ เชื้อชาติ ความคิดเห็นทางการเมือง หรือศาสนา ไม่สามารถประมวลผลได้ครับ ยกเว้นแต่เข้าเงื่อนไขที่กฎหมายกำหนด แต่ในทางเทคนิคมันทำได้ยากเวลาบริษัทท่านทำ Web Scraping ผมทราบดีว่าท่านกวาดหมด ข้อมูลประเภทนี้อาจติดเข้ามาโดยไม่ตั้งใจ ฝรั่งเขาก็รู้ ดังนั้น EDPB จึงกำหนดให้ผู้พัฒนา AI ต้องใช้ความรับผิดชอบ ใช้อำนาจ และใช้ขีดความสามารถของตนในการป้องกันความเสี่ยง เช่น
  1. ตั้งค่าตัวกรองก่อนเริ่มเก็บข้อมูล
  2. หลีกเลี่ยงเว็บไซต์ที่มีข้อมูลอ่อนไหวเป็นจำนวนมาก
  3. ลบข้อมูลอ่อนไหวทันทีเมื่อพบ หรือเมื่อเจ้าของข้อมูลร้องขอ
  4. ป้องกันไม่ให้โมเดล AI ดึงข้อมูลอ่อนไหวออกมาได้ในภายหลัง
  5. ใช้ Output Filters เพื่อป้องกันไม่ให้ AI สร้างผลลัพธ์ที่เปิดเผยข้อมูลอ่อนไหวของบุคคล

ท้ายที่สุด…ท่านจะพัฒนา จะขุด จะกวาด AI ได้เร็วเพียงใดมันไม่ใช่สาระของคำถามที่สำคัญที่สุดครับคำถามที่สำคัญกว่าคือ…ผู้คนยังไว้วางใจ ยัง trust ให้บริษัทนำข้อมูลของพวกเขาไปใช้ หรือไม่?

เผยแพร่: 15 กรกฎาคม 2569
อัปเดตล่าสุด: 15 กรกฎาคม 2569

ช่องทางติดต่อ:
Facebook: PDPA Thailand
Line OA: @pdpathailand
Email: [email protected]
Website: www.pdpathailand.com

dpo in action อบรม pdpa dpo
DPOinActionรุ่น19 1200x300