ก่อนที่องค์กรจะทำการลงนามในสัญญา DPA กับผู้ให้บริการระบบ AI ควรใช้ชุดคำถามสำคัญ 10 ข้อนี้ในการตรวจสอบเกณฑ์ทางเทคนิค พร้อมพิจารณานำตัวอย่างเงื่อนไข (Clause) ไปปรับใช้ในสัญญาฉบับอัปเดต

ข้อมูลส่วนบุคคลจะถูกนำไปใช้ฝึกฝนโมเดลหรือไม่

องค์กรต้องระบุข้อห้ามในการนำข้อมูลไปพัฒนาโมเดลสาธารณะอย่างเด็ดขาด เว้นแต่จะเป็นระบบปิดที่พัฒนาขึ้นเพื่อใช้ภายในองค์กรเท่านั้น

• ตัวอย่าง Clause: “Vendor shall not use Customer Data, including any inputs or prompts, to train, retrain, or improve any public or foundational artificial intelligence models.”

ระยะเวลาในการจัดเก็บข้อมูลในระบบ AI เป็นอย่างไร

ผู้ให้บริการต้องกำหนดระยะเวลาเก็บรักษาข้อมูลและประวัติการสนทนา (Chat History) ให้สั้นที่สุดเท่าที่จำเป็นต่อการให้บริการ

• ตัวอย่าง Clause: “Vendor will retain inputs and outputs only for the duration necessary to provide the services, and shall permanently delete such data within thirty (30) days.”

มีกระบวนการพรางข้อมูลก่อนส่งเข้าโมเดลหรือไม่

ตรวจสอบมาตรการทางเทคนิคว่าระบบมีเครื่องมือกรองข้อมูลระบุตัวตน (PII) ออกโดยอัตโนมัติก่อนส่งไปคำนวณผลหรือไม่

• ตัวอย่าง Clause: “Vendor shall implement automated PII masking technologies to obfuscate sensitive personal data prior to model processing.”

ใครมีสิทธิเข้าถึงข้อมูลเบื้องหลังของฝ่าย Vendor บ้าง

AI Vendor หลายรายใช้ผู้เชี่ยวชาญที่เป็นมนุษย์ (Human Review) ในการสุ่มตรวจวิเคราะห์ Prompt เพื่อปรับปรุงระบบ องค์กรจึงต้องจำกัดสิทธิ์ในส่วนนี้

• ตัวอย่าง Clause: “No human review of Customer Data by Vendor’s personnel or subcontractors is permitted without prior written consent.”

ระบบรองรับการลบข้อมูลตามสิทธิของเจ้าของข้อมูลอย่างไร

เมื่อเจ้าของข้อมูลใช้สิทธิขอลบข้อมูล (Right to Erasure) องค์กรต้องมั่นใจว่า Vendor สามารถดึงข้อมูลนั้นออกจากหน่วยความจำและระบบสำรองของ AI ได้จริง

• ตัวอย่าง Clause: “Upon request, Vendor shall delete specified personal data from all active systems, backups, and temporary model caches.”

มีการใช้บริการ AI ของบุคคลที่สามรายอื่นร่วมด้วยหรือไม่

ต้องตรวจสอบว่า Vendor รายนั้นมีการส่งข้อมูลไปประมวลผลต่อผ่าน API ของผู้ให้บริการรายอื่น (Sub-processor) หรือไม่

• ตัวอย่าง Clause: “Vendor shall notify Customer of any third-party AI sub-processors and ensure they are bound by the same data protection obligations.”

หากเกิดเหตุข้อมูลรั่วไหลจากระบบ AI จะแจ้งเตือนภายในกี่ชั่วโมง

กำหนดขอบเขตเวลาในการแจ้งเตือนเหตุละเมิดข้อมูลส่วนบุคคลที่ชัดเจน เพื่อให้องค์กรสามารถเยียวยาและแจ้งต่อหน่วยงานกำกับดูแลได้ทันเวลา

• ตัวอย่าง Clause: “In the event of a Personal Data Breach, Vendor must notify Customer within twenty-four (24) hours of becoming aware.”

พื้นที่จัดเก็บและประมวลผลข้อมูลตั้งอยู่ที่ประเทศใด

การโอนข้อมูลส่วนบุคคลไปประมวลผลบนคลาวด์ต่างประเทศ ต้องเป็นไปตามมาตรฐานการคุ้มครองข้อมูลระหว่างประเทศที่ PDPA กำหนด

• ตัวอย่าง Clause: “Vendor warrants that all data processing and hosting infrastructure shall be located within the designated jurisdictions agreed upon.”

ระบบมีการตัดสินใจอัตโนมัติที่ต้องทำ DPIA หรือไม่

หากระบบ AI ถูกใช้ในการประเมินผลหรือตัดสินใจต่อตัวบุคคลโดยตรง องค์กรต้องขอเอกสารอธิบายเกณฑ์คำนวณเพื่อนำมาประกอบการทำ DPIA

• ตัวอย่าง Clause: “Vendor shall provide comprehensive documentation regarding the logic and parameters of automated decision-making systems.”

Vendor มีการตรวจสอบความปลอดภัยทางไซเบอร์บ่อยแค่ไหน

ขอดูใบรับรองหรือรายงานผลการตรวจสอบมาตรฐานความปลอดภัย เช่น ISO 27001 หรือ SOC 2 ที่ครอบคลุมโมเดล AI

• ตัวอย่าง Clause: “Vendor shall undergo independent third-party security audits at least annually and provide summaries to Customer.”