pakkapol.ke

[post-views]

pakkapol.ke
pakkapol.ke

PDPA กับ AI ทำไมแค่ Consent ถึงไม่พอ และวิธีใช้ LIA เพื่อลดความเสี่ยงทางกฎหมาย

การนำระบบปัญญาประดิษฐ์ (AI) เข้ามาใช้กับธุรกิจในปัจจุบัน ทำให้หลายองค์กรต้องเผชิญกับความท้าทายครั้งใหญ่ในการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล หรือ PDPA เนื่องจากกระบวนการเรียนรู้และประมวลผลข้อมูลของ AI มีความซับซ้อนสูง การใช้เพียง “ฐานความยินยอม” (Consent) แบบเดิมจึงไม่เพียงพอและอาจสร้างความเสี่ยงทางกฎหมายโดยไม่รู้ตัว ทางออกที่มีประสิทธิภาพที่สุดคือการเปลี่ยนมาใช้ “ฐานประโยชน์อันชอบธรรม” (Legitimate Interest) ควบคู่กับการจัดทำเอกสารประเมินผลกระทบทางกฎหมายที่เรียกว่า LIA (Legitimate Interest Assessment) เพื่อสร้างมาตรฐานความโปร่งใสและคุ้มครองสิทธิของเจ้าของข้อมูลอย่างถูกต้อง

ทำไมการขอ Consent ถึงไม่เพียงพอเมื่อใช้ AI

ความเข้าใจผิดที่พบบ่อยขององค์กรคือการคิดว่าการติดหน้าต่างป็อปอัปขอ Consent บนเว็บไซต์หรือแอปพลิเคชันจะครอบคลุมการทำงานของ AI ทั้งหมด แต่ในความเป็นจริง เทคโนโลยี AI โดยเฉพาะโมเดลประเภท Machine Learning หรือ Generative AI มีลักษณะการประมวลผลข้อมูลที่เปลี่ยนแปลงอยู่ตลอดเวลา ซึ่งขัดกับหลักการของ PDPA ในแง่มุมดังนี้

  • ข้อจำกัดด้านวัตถุประสงค์ (Purpose Limitation) ตามหลัก PDPA การขอ Consent จะต้องระบุวัตถุประสงค์ของการใช้ข้อมูลอย่างเจาะจงและชัดเจน แต่ระบบ AI มักทำงานในลักษณะกล่องดำ (Black Box) ที่ยากจะคาดเดาผลลัพธ์หรือวิธีการประมวลผลในอนาคตได้อย่างแม่นยำ การขอ Consent ล่วงหน้าจึงมักไม่ครอบคลุมพฤติกรรมการเรียนรู้ซ้ำ ๆ ของระบบ AI
  • อุปสรรคในการใช้สิทธิถอนความยินยอม เมื่อเจ้าของข้อมูลขอใช้สิทธิที่จะถอนความยินยอมและสั่งลบข้อมูลเมื่อใดก็ได้ แต่ในทางเทคนิค การดึงข้อมูลส่วนบุคคลที่ถูกนำไปใช้เทรน AI Model ออกมานั้น ทำได้ยากมากหรือแทบเป็นไปไม่ได้เลย และอาจส่งผลกระทบต่อประสิทธิภาพของโมเดลทั้งระบบ

ด้วยข้อจำกัดเหล่านี้ การขอความยินยอมจึงไม่อาจครอบคลุมการทำงานของระบบ AI ได้ จึงมุ่งเน้นไปที่การใช้ฐานทางกฎหมายอื่น ที่จะตอบโจทย์การดำเนินธุรกิจได้มากกว่า

LIA คืออะไร และทำไมจึงเป็นเครื่องมือสำคัญขององค์กร

เมื่อการขอความยินยอมมีข้อจำกัด องค์กรส่วนใหญ่จึงต้องปรับมาใช้ ฐานประโยชน์อันชอบธรรม (Legitimate Interest) เพื่อเป็นฐานทางกฎหมายและรองรับการใช้ AI แต่การจะอ้างฐานนี้ได้ องค์กรไม่สามารถตัดสินใจเพียงฝ่ายเดียวได้ว่ากิจกรรมนั้นชอบธรรม องค์กรจึงจำเป็นต้องมีหลักฐานยืนยันผ่านการจัดทำเอกสารที่เรียกว่า LIA (Legitimate Interest Assessment)

LIA คือ กระบวนการประเมินเพื่อพิสูจน์ว่า ผลประโยชน์ที่องค์กรหรือสังคมจะได้รับจากการใช้ AI มีความสมเหตุสมผลมากกว่าและไม่ละเมิดสิทธิขั้นพื้นฐานหรือความเป็นส่วนตัวของเจ้าของข้อมูลส่วนบุคคล การทำ LIA อย่างถูกต้องจะทำหน้าที่เป็นเกราะป้องกันทางกฎหมาย ช่วยลดความเสี่ยงต่อการถูกร้องเรียนและบทลงโทษได้อย่างมีประสิทธิภาพ

วิธีทำ LIA สำหรับ AI ให้ถูกหลัก PDPA

การประเมิน LIA สำหรับระบบ AI มีความเฉพาะเจาะจงมากกว่าการประเมินในกิจกรรมทั่วไป โดยองค์กรต้องดำเนินการวิเคราะห์ผ่านหลักการทดสอบ 3 ส่วน (Three-part Test) ดังนี้

1. การทดสอบวัตถุประสงค์ (Purpose Test)

องค์กรต้องระบุวัตถุประสงค์ของการนำ AI มาใช้ในธุรกิจให้ชัดเจน เป็นธรรม และชอบด้วยกฎหมาย ตัวอย่างเช่น การใช้ AI เพื่อตรวจจับพฤติกรรมการทุจริตในระบบการเงิน การเพิ่มความปลอดภัยทางไซเบอร์ หรือการวิเคราะห์เพื่อพัฒนาบริการให้ตรงใจผู้บริโภค ซึ่งเป้าหมายเหล่านี้ต้องเป็นประโยชน์ที่จับต้องได้และสมเหตุสมผล

2. การทดสอบความจำเป็น (Necessity Test)

องค์กรต้องพิสูจน์ให้เห็นว่า การนำข้อมูลส่วนบุคคลไปประมวลผลผ่านระบบ AI นั้น “มีความจำเป็นอย่างยิ่ง” เพื่อให้บรรลุวัตถุประสงค์ข้างต้น และไม่มีวิธีการอื่นที่ดีกว่าหรือส่งผลกระทบต่อน้อยกว่านี้แล้ว หากสามารถบรรลุเป้าหมายได้โดยไม่จำเป็นต้องใช้ AI หรือไม่ต้องใช้ข้อมูลส่วนบุคคล การอ้างฐานประโยชน์อันชอบธรรมก็จะไม่สามารถทำได้

3. การทดสอบการถ่วงดุลประโยชน์ (Balancing Test)

ขั้นตอนนี้คือหัวใจสำคัญของการทำ LIA องค์กรต้องนำผลประโยชน์ของธุรกิจมาเปรียบเทียบกับความเสี่ยงและผลกระทบที่เจ้าของข้อมูลส่วนบุคคลจะได้รับ หากพบว่า AI มีความเสี่ยงที่จะสร้างอคติ (Algorithmic Bias) หรือส่งผลต่อการจำกัดสิทธิของบุคคล (เช่น AI คัดเลือกบุคลากรเข้าทำงานอย่างไม่เป็นธรรม) องค์กรจำเป็นต้องใส่ “มาตรการบรรเทาความเสี่ยง” ลงไปด้วย เช่น การกำหนดให้มีผู้เชี่ยวชาญที่เป็นมนุษย์คอยตรวจสอบขั้นสุดท้าย (Human-in-the-loop) ก่อนตัดสินใจ

แนวทางการบริหารความเสี่ยงเมื่อองค์กรนำ AI มาใช้งาน

นอกเหนือจากการทำเอกสาร LIA แล้ว องค์กรที่ขับเคลื่อนด้วยนวัตกรรม AI ควรยกระดับการบริหารจัดการข้อมูล (AI Governance) ผ่านแนวทางปฏิบัติดังต่อไปนี้

  • อัปเดตเอกสารแจ้งการประมวลผลข้อมูล (Privacy Notice) ระบุให้ชัดเจนในนโยบายความเป็นส่วนตัวว่ามีการนำระบบ AI มาใช้ประมวลผลข้อมูลภายใต้ฐานประโยชน์อันชอบธรรม พร้อมอธิบายอภิปรายสั้น ๆ ถึงการทำงานของระบบเพื่อความโปร่งใส
  • ยึดหลักการใช้ข้อมูลเท่าที่จำเป็น (Data Minimization) จำกัดการป้อนข้อมูลเข้าสู่ระบบ AI เลือกใช้เฉพาะชุดข้อมูลที่จำเป็นต่อการเรียนรู้ของโมเดลเท่านั้น และหลีกเลี่ยงการใช้ข้อมูลลักษณะพิเศษ (Sensitive Data) หากไม่มีมาตรการควบคุมที่เข้มงวดพอ
  • เปิดช่องทางรองรับการใช้สิทธิคัดค้าน (Right to Object) กฎหมายกำหนดให้เจ้าของข้อมูลมีสิทธิคัดค้านการประมวลผลภายใต้ฐานประโยชน์อันชอบธรรม องค์กรจึงต้องเตรียมช่องทางและกระบวนการภายในที่ชัดเจนเพื่อรองรับเมื่อมีการร้องขอจากผู้ใช้งาน

การใช้ AI ในองค์กรไม่ผิดกฎหมาย หากมีการเลือกใช้ฐานทางกฎหมาย (Lawful Basis) ที่เหมาะสมกับการทำงานของระบบ เช่น การประเมินและอ้างฐานประโยชน์อันชอบธรรมอย่างถูกต้อง พร้อมทั้งมีมาตรการรักษาความปลอดภัยของข้อมูลเพื่อป้องกันข้อมูลรั่วไหล

ต้องแจ้งให้ทราบเสมอ โดยองค์กรต้องระบุรายละเอียดการประมวลผลด้วย AI ไว้ใน Privacy Notice ให้ชัดเจน พร้อมทั้งชี้แจงสิทธิในการคัดค้านการประมวลผลข้อมูลให้เจ้าของข้อมูลรับทราบอย่างตรงไปตรงมา

การประเมิน LIA สำหรับ AI จะมุ่งเน้นความเสี่ยงเฉพาะตัวของเทคโนโลยีเป็นหลัก เช่น ความถูกต้องแม่นยำของโมเดล (Model Accuracy) ความโปร่งใสที่อธิบายการตัดสินใจของ AI ได้ และการป้องกันอคติของอัลกอริทึม ซึ่งต้องกำหนดมาตรการบรรเทาความเสี่ยงเหล่านี้ลงในเอกสารอย่างเป็นรูปธรรม

การเปลี่ยนผ่านสู่ยุคดิจิทัลที่ขับเคลื่อนด้วยเทคโนโลยี AI บังคับให้องค์กรต้องปรับมุมมองต่อกฎหมาย PDPA จากเดิมที่เป็นเพียงการทำตามข้อบังคับบนแผ่นกระดาษ ไปสู่โครงสร้างการกำกับดูแลความเสี่ยงที่แท้จริง การตระหนักว่าการขอ Consent ไม่ใช่คำตอบเดียวเสมอไป หากองค์กรหันมาศึกษาแนวทางการจัดทำ LIA อย่างถูกต้อง จะเป็นกุญแจสำคัญที่ช่วยให้องค์กรสร้างสรรค์นวัตกรรมได้อย่างก้าวกระโดด ควบคู่ไปกับความปลอดภัยทางกฎหมายอย่างยั่งยืน

เผยแพร่: 16 กรกฎาคม 2569
อัปเดตล่าสุด: 16 กรกฎาคม 2569

ช่องทางติดต่อ:
Facebook: PDPA Thailand
Line OA: @pdpathailand
Email: [email protected]
Website: www.pdpathailand.com

dpo in action อบรม pdpa dpo
DPOinActionรุ่น19 1200x300