jinnapada si

[post-views]

jinnapada si
jinnapada si

PDPA Guru EP.12 ถอดรหัสกฎหมาย PDPA: ทำไม “LIA” คือด่านสำคัญที่องค์กรต้องทำก่อนก้าวเข้าสู่ยุค AI (Part 1)

ในยุคที่ปัญญาประดิษฐ์ (AI) กลายเป็นหัวใจหลักในการขับเคลื่อนและเพิ่มประสิทธิภาพการดำเนินงานขององค์กร ทั้งในภาครัฐและภาคเอกชน เราปฏิเสธไม่ได้ว่าความฉลาดของเทคโนโลยีนี้ ช่วยทลายขีดจำกัดเดิมๆ ทางธุรกิจได้อย่างมหาศาล ไม่ว่าจะเป็นการนำมาวิเคราะห์พฤติกรรมข้อมูลลูกค้าในเชิงลึก การทำตลาดแบบตรงเพื่อเข้าถึงกลุ่มเป้าหมายอย่างแม่นยำ การประเมินคะแนนความน่าเชื่อถือทางเครดิต (Credit Scoring) ในภาคการเงิน หรือแม้กระทั่งการพลิกโฉมงานบริหารทรัพยากรบุคคล (HR) 

อย่างไรก็ตาม ท่ามกลางความสะดวกสบายและความอัจฉริยะของระบบ AI องค์กรส่วนใหญ่มักมองข้ามความจริงข้อสำคัญที่ว่า  “เบื้องหลังความฉลาดของ AI ล้วนมาจากข้อมูลที่ป้อนเข้าไป” การป้อนข้อมูลหรือการนำข้อมูลส่วนบุคคลไปใช้เทรนระบบ (Training Data) เพื่อให้ AI เกิดการเรียนรู้นั้น เป็นกิจกรรมที่ต้องอยู่ภายใต้กรอบของกฎหมายคุ้มครองข้อมูลส่วนบุคคลอย่างหลีกเลี่ยงไม่ได้

จากเวทีเสวนาออนไลน์ PDPA Guru Episode 12: “DPIA คัมภีร์บริหารความเสี่ยง PDPA เมื่อองค์กรต้องก้าวสู่ยุค AI” วิทยากรผู้เชี่ยวชาญได้ร่วมอภิปรายสิ่งสำคัญที่องค์กรควรรู้ ก่อนใช้ฐานโดยชอบด้วยกฎหมาย

“ไม่ขอความยินยอม เพราะอ้างฐานประโยชน์โดยชอบธรรม”

หนึ่งในความเข้าใจผิดที่พบได้บ่อยที่สุด คือการที่หลายองค์กรเกิดความเข้าใจคลาดเคลื่อนว่า องค์กรสามารถนำข้อมูลส่วนบุคคลที่มีอยู่ไปป้อนให้ AI ประมวลผลได้ทันทีโดยไม่จำเป็นต้องขอความยินยอม (Consent) จากเจ้าของข้อมูลส่วนบุคคล เพียงอ้าง “ฐานประโยชน์โดยชอบด้วยกฎหมาย” (Legitimate Interest: LI) ตามมาตรา 24(5) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 

ในทางปฏิบัติ กฎหมายไม่ได้อนุญาตให้องค์กรเลือกใช้ฐานประโยชน์โดยชอบด้วยกฎหมายนี้ได้ทันที โดยมองเพียงว่ากิจกรรมนั้นสร้างผลประโยชน์หรือกำไรให้กับองค์กร หากองค์กรนำข้อมูลไปประมวลผลผ่าน AI โดยไร้หลักฐานการพิจารณาที่รัดกุม การกระทำดังกล่าวอาจถือเป็นการประมวลผลข้อมูลโดยมิชอบด้วยกฎหมาย ซึ่งองค์กรอาจจะเผชิญกับบทลงโทษภายใต้ข้อบังคับของ PDPA และเสี่ยงต่อโทษปรับทางปกครองสูงสุดถึง 3 ล้านบาท (หรืออาจสูงถึง 5 ล้านบาทหากเกี่ยวข้องกับข้อมูลส่วนบุคคลลักษณะพิเศษ)”

LIA (Legitimate Interest Assessment) คืออะไร? และทำไมต้องทำก่อนใช้ AI

เพื่อเปลี่ยน “ความเสี่ยง” ให้กลายเป็น “ความมั่นใจ” และเป็นหลักประกันว่าองค์กรไม่ได้ละเมิดสิทธิของเจ้าของข้อมูลส่วนบุคคลเครื่องมือสำคัญที่ Data Controller และ DPO จำเป็นต้องจัดทำขึ้นก่อนจะเริ่มโครงการใด ๆ ก็ตาม เรียกว่า LIA หรือ การประเมินผลประโยชน์โดยชอบด้วยกฎหมาย

การทำ LIA เป็นกระบวนการวิเคราะห์ ชั่งน้ำหนัก และทดสอบอย่างเป็นระบบเพื่อพิสูจน์ความชอบธรรมขององค์กร ซึ่งตามมาตรฐาน GDPR (General Data Protection Regulation)  การประเมิน LIA จะต้องผ่านการทดสอบ 3 ด้านสำคัญ (3 Tests) ดังต่อไปนี้

  1. การทดสอบวัตถุประสงค์ (Purpose Test) องค์กรต้องตอบให้ได้ชัดเจนว่า ผลประโยชน์ที่องค์กรหรือบุคคลที่สามจะได้รับคืออะไร? วัตถุประสงค์นั้นต้องมีความเฉพาะเจาะจง มีอยู่จริงในปัจจุบัน ไม่ใช่เรื่องในอนาคตที่ยังมาไม่ถึง และที่สำคัญที่สุดคือต้องเป็นวัตถุประสงค์ที่ชอบด้วยกฎหมายและไม่ขัดต่อศีลธรรมอันดี
  2. การทดสอบความจำเป็น (Necessity Test) องค์กรต้องพิสูจน์ว่าการนำข้อมูลส่วนบุคคลไป ประมวลผลในรูปแบบต่าง ๆ มีความจำเป็นต่อการบรรลุวัตถุประสงค์จริง และ ไม่มีทางเลือกอื่น ที่มีประสิทธิภาพเท่ากันแต่รบกวนสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคลน้อยกว่านี้อีกแล้ว
  3. การทดสอบการชั่งน้ำหนักผลกระทบ (Balancing Test) นี่คือขั้นตอนสำคัญที่สุด โดยองค์กรจะต้องนำผลประโยชน์ทางธุรกิจที่จะได้รับ มาชั่งน้ำหนักเปรียบเทียบกับสิทธิ เสรีภาพขั้นพื้นฐาน และผลกระทบที่อาจเกิดขึ้นกับเจ้าของข้อมูลส่วนบุคคล (Data Subject) หากพบว่า สร้างผลกระทบเชิงลบ รบกวนสิทธิ หรือสร้างความไม่เป็นธรรมแก่เจ้าของข้อมูลส่วนบุคคลมากเกินส่วน ผลประโยชน์ขององค์กรก็จะไม่สามารถใช้ฐานนี้ได้ทันที เว้นแต่จะมีมาตรการลดความเสี่ยงที่เหมาะสมมารองรับ

เทคโนโลยี AI เป็นอาวุธลับที่ทรงพลัง การที่องค์กรจะขับเคลื่อนโครงการนวัตกรรม AI ให้เติบโตได้อย่างมั่นคง ยั่งยืน จึงไม่ได้วัดกันที่ความเร็วในการนำเทคโนโลยีมาใช้เพียงอย่างเดียว แต่วัดกันที่ระบบธรรมาภิบาลและความโปร่งใสในการคุ้มครองข้อมูลของประชาชนด้วย

เผยแพร่: 7 กรกฎาคม 2569
อัปเดตล่าสุด: 7 กรกฎาคม 2569

ช่องทางติดต่อ:
Facebook: PDPA Thailand
Line OA: @pdpathailand
Email: [email protected]
Website: www.pdpathailand.com

dpo in action อบรม pdpa dpo
DPOinActionรุ่น19 1200x300