PDPA กับ AI — เริ่มเชื่อมกันอย่างเป็นทางการแล้ว
เดือนกุมภาพันธ์ 2026 สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ปล่อย ร่างแนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลสำหรับการพัฒนาและการใช้งานปัญญาประดิษฐ์ ออกมาให้ภาคส่วนต่างๆ แสดงความคิดเห็น
ฟังดูเหมือนเรื่องทางเทคนิค แต่จริงๆ แล้วมันส่งผลกระทบโดยตรงกับ ทุกองค์กรที่ใช้ AI อยู่ในปัจจุบัน ไม่ว่าจะเป็น chatbot ใน customer service ระบบวิเคราะห์ข้อมูลลูกค้า หรือแม้แต่ HR tool ที่ใช้ AI คัดกรองใบสมัคร
ประเด็นหลักที่ต้องทำความเข้าใจ
1. องค์กรที่ deploy AI คือ Data Controller
ร่างแนวปฏิบัตินี้กำหนดชัดเจนว่า องค์กรที่นำ AI มาใช้งานกับข้อมูลส่วนบุคคล มีสถานะเป็นผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งหมายความว่ามีความรับผิดชอบครบตามที่ PDPA กำหนด ทั้งเรื่อง consent, data minimization และ transparency
ไม่ใช่แค่บริษัท tech ที่สร้าง AI — แต่รวมถึงทุกองค์กรที่นำ AI ไปประยุกต์ใช้
2. Vendor ที่นำข้อมูลไปฝึก AI อาจถูกจัดเป็น Data Controller
ประเด็นนี้สำคัญมากสำหรับองค์กรที่ใช้บริการ AI จากภายนอก — ถ้า vendor นำข้อมูลลูกค้าของคุณไปใช้ในการ train โมเดลโดยที่คุณไม่ได้ตกลงกันชัดเจน vendor รายนั้นอาจถูกจัดสถานะใหม่เป็น Data Controller ซึ่งเป็นเรื่องที่ต้องตรวจสอบใน contract ทันที
3. สิ่งที่แนวปฏิบัติครอบคลุม
ร่างนี้ให้ความสำคัญกับ 4 เรื่องหลัก:
- Consent — ต้องได้รับความยินยอมที่ชัดเจนก่อนนำข้อมูลไปใช้ใน AI ไม่ใช่แค่เงื่อนไขทั่วไปในข้อตกลง
- Data Minimization — AI ต้องใช้ข้อมูลเท่าที่จำเป็นจริงๆ ไม่ใช่ดูดข้อมูลทุกอย่างที่มีไปประมวลผล
- Transparency — ผู้ใช้ต้องรู้ว่า AI ตัดสินใจอะไร อย่างไร บนพื้นฐานอะไร
- Data Subject Rights — สิทธิของเจ้าของข้อมูลในการปฏิเสธ แก้ไข หรือลบข้อมูลที่ใช้ใน AI ยังคงอยู่ครบ
ยังไม่บังคับใช้ แต่ส่งสัญญาณชัด
ร่างนี้ยังไม่มีผลบังคับใช้ทางกฎหมาย แต่ ทิศทางการบังคับใช้ในอนาคตชัดเจนมาก สคส. กำลังสร้าง framework ที่จะใช้ตรวจสอบองค์กรว่า AI ที่ใช้อยู่นั้น compliant กับ PDPA หรือไม่
ที่ต้องระวังคือ การที่ Eagle Eye Crawler ของ สคส. ตรวจจับแบบ proactive อยู่แล้ว ทำให้แนวปฏิบัติเหล่านี้อาจถูกนำมาใช้เป็นหลักเกณฑ์ประเมินได้ก่อนที่จะมีการประกาศอย่างเป็นทางการ
องค์กรต้องทำอะไรตอนนี้?
ถ้าองค์กรของคุณมี AI อยู่ในกระบวนการทำงาน ไม่ว่าจะน้อยหรือมาก ควรเริ่มจาก:
- ทำ AI Data Flow Audit — ข้อมูลส่วนบุคคลไหลผ่าน AI ตรงไหนบ้าง เข้า output อะไร
- ตรวจสอบ Consent Coverage — consent ที่เก็บอยู่ครอบคลุมการใช้งาน AI หรือเปล่า
- ทบทวน Vendor Contract — AI vendor ที่ใช้อยู่มีข้อกำหนดห้ามนำข้อมูลไป train โมเดลชัดเจนไหม
- เตรียม Transparency Notice — มีคำอธิบายให้ผู้ใช้หรือลูกค้าว่า AI ทำงานอย่างไรกับข้อมูลของเขาหรือเปล่า
PrivacyHub ของ Enersys ช่วยจัดการ consent lifecycle ตั้งแต่ต้น ทำ data inventory ที่ระบุได้ว่าข้อมูลไหนเข้า AI ไหน และสร้าง audit trail ที่แสดงให้ สคส. เห็นได้ว่าองค์กรจัดการข้อมูลอย่างรับผิดชอบ — ทั้งก่อนและหลังแนวปฏิบัตินี้มีผลบังคับใช้จริง
แหล่งอ้างอิง: Mondaq | IAPP | สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
