ท่านกำลังดูดข้อมูลจากเว็ปไซต์ เพื่อทำ Generative AI หรือไม่ ถ้าใช่ท่านควรอ่านบทความนี้
คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลสหภาพยุโรป หรือ European Data Protection Board (เรียกย่อๆ ว่า EBPB) เผยแพร่ แนวทางฉบับที่ 03/2026 ว่าด้วยการดึงข้อมูลจากเว็บไซต์ (Web Scraping) เพื่อพัฒนา Generative AI เมื่อผมอ่านจบครบ 23 หน้า ก็ยิ่งทำให้ผมมั่นใจว่า แท้จริงแล้วการพัฒนา Generative AI ที่กำลัง regulate กันอยู่ จบที่คำ ๆ เดียวคือคำว่า “trust”
เรื่องมันมีอยู่ว่า…
บริษัท หรือหน่วยงานที่มีเทคโนโลยีที่สามารถ scraping หรือดอดไปเข้าถึง หรือไปขุดข้อมูล ไปกวาด หรือไปดึงข้อมูลแม้จะจากเว็บไซต์ที่เข้าได้โดยสาธารณะก็ไม่ได้หมายความว่า เจ้าของข้อมูล เขาจะไว้วางใจให้นำข้อมูลของตนไปใช้ฝึก AI ได้
สาระสำคัญของแนวทาง (Guideline) ฉบับนี้จึงเป็นมาตรฐาน หรือ soft law ที่เอกชนไทยควรใช้เป็นแนวทางในการพัฒนา Generative AI เพื่อ scraping ได้ มีสาระสั้น ๆ ดังนี้
- ขอบเขตของการบังคับใช้ของเอกสาร
- เน้นที่บริษัทเอกชนนำข้อมูลจากเว็บไซต์ภายนอกมาฝึก (Training) หรือปรับแต่ง (Fine-tuning) โมเดล Generative AI ไม่ว่าจะเป็นการดึง ขูด ขุด ข้อมูลเอง หรือไปว่าจ้าง บริษัทแนว Social Listening ในฐานะผู้ประมวลผล (Processor) หรือการนำชุดข้อมูลที่ผู้อื่นดึงไว้แล้วมาใช้งานต่อ
- หลักการสำคัญของ GDPR ที่ต้องปฏิบัติ
- หลัก Transparency แม้การแจ้งเจ้าของข้อมูลทีละราย อาจอ้างว่าเป็นไปไม่ได้ หรือก่อให้เกิดภาระเกินสมควร (ฝรั่งใช้คำว่า Disproportionate effort) แต่ไม่ได้หมายความว่าบริษัทของท่านจะไม่ต้องทำอะไรเลย บริษัทยังต้องมีมาตรการทดแทนครับ เช่น เผยแพร่นโยบายความเป็นส่วนตัว (Privacy Notice) อธิบายประเภทข้อมูล แหล่งที่มา และช่องทางให้เจ้าของข้อมูลใช้สิทธิได้
- หลัก Data Minimisation เก็บข้อมูลเท่าที่จำเป็นอันนี้แฝงตัวอยู่มนมาตรา 22 ของ PDPA คือ ลดการเก็บข้อมูลส่วนบุคคลให้มากที่สุด เช่น ใช้ข้อมูลสังเคราะห์ (Synthetic Data) หมายความว่าอะไร ขอแปลไทยเป็นไทย คือต้องใช้เทคนิคกำหนดข้อมูลจำลองที่สร้างขึ้นแทนการเก็บจากเหตุการณ์ หรือข้อมูลจริง โดยยังคงคุณลักษณะ และรูปแบบทางสถิติที่ใกล้เคียงกับข้อมูลจริง ใช้ตัวกรองเพื่อตัดข้อมูลที่ระบุตัวบุคคลได้ และเคารพข้อจำกัดของเว็บไซต์ (ในเชิงเทคนิคต้องมีทีม สารสนเทศร่วมด้วย)
- หลัก Accuracy คือเลือกใช้ข้อมูลจากแหล่งที่เชื่อถือได้ มีการระบุช่วงเวลาของข้อมูล และสุ่มตรวจสอบคุณภาพอย่างสม่ำเสมอ เพื่อลดโอกาสที่ AI จะเรียนรู้จากข้อมูลที่ผิดพลาด หรือล้าสมัย (outdated data)
- ฐานกฎหมายในการทำ Web Scraping
- การขอความยินยอม (Consent) มักไม่สามารถทำได้จริง และเรื่องนี้ผมถูก challenge บ่อยโดยพวกเทคโนแครต แต่มองมุมกฎหมายนะครับ องค์กรไม่มีความสัมพันธ์โดยตรงกับเจ้าของข้อมูล และการที่ข้อมูลถูกเผยแพร่บนอินเทอร์เน็ต ก็ไม่ได้หมายความว่าเจ้าของข้อมูลยินยอมให้นำไปฝึก AI โดยปริยาย มันคนละเรื่อง… ดังนั้น ฐานที่ถูกใช้มากที่สุดคือ ฐาน Legitimate Interest (ฐานกฎหมายที่ DPO สายเทคโนแครตชอบ)ใช้ได้ครับไม่เถียง แต่ Guideline อธิบายชัดเจนว่าจะใช้ได้ก็ต่อเมื่อผ่านการทดสอบ 3 ขั้น หรือLegitimate Interest Assess ได้แก่
- การทดสอบที่มีวัตถุประสงค์ที่ชอบด้วยกฎหมาย (Purpose Test)
- การทดสอบการประมวลผลที่มีความจำเป็น (Necessity Test)
- การทดสอบความสมดุล หมายความว่าผลประโยชน์ของบริษัทที่จะได้รับต้องไม่เกินสัดส่วน หรือกระทบสิทธิ และเสรีภาพของเจ้าของข้อมูลเกินสมควร (Balancing Test)
บริษัทจึงควรมีมาตรการลดผลกระทบ เช่น การทำ Pseudonymisation การเปิดโอกาสให้เจ้าของข้อมูลสามารถ Opt-out และหลีกเลี่ยงการเก็บข้อมูลจากเว็บไซต์ที่มีเนื้อหาอ่อนไหวโดยสภาพ
- การจัดการข้อมูลส่วนบุคคลลักษณะพิเศษ (Special Category of Personal Data)
- โดยหลักแล้ว ข้อมูลอ่อนไหว หรือข้อมูลส่วนบุคคลลักษณะพิเศษ เช่น ข้อมูลสุขภาพ เชื้อชาติ ความคิดเห็นทางการเมือง หรือศาสนา ไม่สามารถประมวลผลได้ครับ ยกเว้นแต่เข้าเงื่อนไขที่กฎหมายกำหนด แต่ในทางเทคนิคมันทำได้ยากเวลาบริษัทท่านทำ Web Scraping ผมทราบดีว่าท่านกวาดหมด ข้อมูลประเภทนี้อาจติดเข้ามาโดยไม่ตั้งใจ ฝรั่งเขาก็รู้ ดังนั้น EDPB จึงกำหนดให้ผู้พัฒนา AI ต้องใช้ความรับผิดชอบ ใช้อำนาจ และใช้ขีดความสามารถของตนในการป้องกันความเสี่ยง เช่น
- ตั้งค่าตัวกรองก่อนเริ่มเก็บข้อมูล
- หลีกเลี่ยงเว็บไซต์ที่มีข้อมูลอ่อนไหวเป็นจำนวนมาก
- ลบข้อมูลอ่อนไหวทันทีเมื่อพบ หรือเมื่อเจ้าของข้อมูลร้องขอ
- ป้องกันไม่ให้โมเดล AI ดึงข้อมูลอ่อนไหวออกมาได้ในภายหลัง
- ใช้ Output Filters เพื่อป้องกันไม่ให้ AI สร้างผลลัพธ์ที่เปิดเผยข้อมูลอ่อนไหวของบุคคล
ท้ายที่สุด…ท่านจะพัฒนา จะขุด จะกวาด AI ได้เร็วเพียงใดมันไม่ใช่สาระของคำถามที่สำคัญที่สุดครับคำถามที่สำคัญกว่าคือ…ผู้คนยังไว้วางใจ ยัง trust ให้บริษัทนำข้อมูลของพวกเขาไปใช้ หรือไม่?
เผยแพร่: 15 กรกฎาคม 2569
อัปเดตล่าสุด: 15 กรกฎาคม 2569
ช่องทางติดต่อ:
Facebook: PDPA Thailand
Line OA: @pdpathailand
Email: [email protected]
Website: www.pdpathailand.com





