PDPA กับ AI — เริ่มเชื่อมกันอย่างเป็นทางการแล้ว
เดือนกุมภาพันธ์ 2026 สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ปล่อย ร่างแนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลสำหรับการพัฒนาและการใช้งานปัญญาประดิษฐ์ ออกมาให้ภาคส่วนต่างๆ แสดงความคิดเห็น
ฟังดูเหมือนเรื่องทางเทคนิค แต่จริงๆ แล้วมันส่งผลกระทบโดยตรงกับ ทุกองค์กรที่ใช้ AI อยู่ในปัจจุบัน ไม่ว่าจะเป็น chatbot ใน customer service ระบบวิเคราะห์ข้อมูลลูกค้า หรือแม้แต่ HR tool ที่ใช้ AI คัดกรองใบสมัคร
ประเด็นหลักที่ต้องทำความเข้าใจ
1. องค์กรที่ deploy AI คือ Data Controller
ร่างแนวปฏิบัตินี้กำหนดชัดเจนว่า องค์กรที่นำ AI มาใช้งานกับข้อมูลส่วนบุคคล มีสถานะเป็นผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งหมายความว่ามีความรับผิดชอบครบตามที่ PDPA กำหนด ทั้งเรื่อง consent, data minimization และ transparency
ไม่ใช่แค่บริษัท tech ที่สร้าง AI — แต่รวมถึงทุกองค์กรที่นำ AI ไปประยุกต์ใช้
2. Vendor ที่นำข้อมูลไปฝึก AI อาจถูกจัดเป็น Data Controller
ประเด็นนี้สำคัญมากสำหรับองค์กรที่ใช้บริการ AI จากภายนอก — ถ้า vendor นำข้อมูลลูกค้าของคุณไปใช้ในการ train โมเดลโดยที่คุณไม่ได้ตกลงกันชัดเจน vendor รายนั้นอาจถูกจัดสถานะใหม่เป็น Data Controller ซึ่งเป็นเรื่องที่ต้องตรวจสอบใน contract ทันที
3. สิ่งที่แนวปฏิบัติครอบคลุม
ร่างนี้ให้ความสำคัญกับ 4 เรื่องหลัก:
- Consent — ต้องได้รับความยินยอมที่ชัดเจนก่อนนำข้อมูลไปใช้ใน AI ไม่ใช่แค่เงื่อนไขทั่วไปในข้อตกลง
- Data Minimization — AI ต้องใช้ข้อมูลเท่าที่จำเป็นจริงๆ ไม่ใช่ดูดข้อมูลทุกอย่างที่มีไปประมวลผล
- Transparency — ผู้ใช้ต้องรู้ว่า AI ตัดสินใจอะไร อย่างไร บนพื้นฐานอะไร
- Data Subject Rights — สิทธิของเจ้าของข้อมูลในการปฏิเสธ แก้ไข หรือลบข้อมูลที่ใช้ใน AI ยังคงอยู่ครบ
