ความสมดุลระหว่างนวัตกรรมกับการปฏิบัติตามกฎระเบียบ : การผสานเทคโนโลยี AI กับ PDPA
การเติบโตของ AI มาพร้อมกับความท้าทายที่สำคัญ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) ของประเทศไทย มีข้อกำหนดที่ชัดเจนเกี่ยวกับการเก็บรวบรวม การเก็บรักษา และการประมวลผลข้อมูลขององค์กร บทความนี้จะกล่าวถึงความเชื่อมโยงระหว่าง AI และ PDPA พร้อมทั้งสรุปผลกระทบที่มีต่อธุรกิจ และเสนอแนวทางที่องค์กรสามารถนำไปใช้ปฏิบัติตามข้อกำหนด ขณะเดียวกันก็สามารถใช้ประโยชน์จากศักยภาพของ AI ได้อย่างเต็มที่
เทคโนโลยีปัญญาประดิษฐ์ (Artificial Intelligence: AI) กำลังสร้างการปฏิวัติอย่างใหญ่หลวงในอุตสาหกรรมทั่วโลก นำมาซึ่งความก้าวหน้าอย่างที่ไม่เคยมีมาก่อนในด้านประสิทธิภาพ ความแม่นยำ และนวัตกรรม ในประเทศไทย AI ก็เป็นกระแสที่มาแรง หลายองค์กรตระหนักถึงศักยภาพของ AI และมีการพิจารณานำมาใช้เพื่อเสริมศักยภาพของธุรกิจ
อย่างไรก็ตาม การเติบโตของ AI มาพร้อมกับความท้าทายที่สำคัญ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) ของประเทศไทย มีข้อกำหนดที่ชัดเจนเกี่ยวกับการเก็บรวบรวม การเก็บรักษา และการประมวลผลข้อมูลขององค์กร บทความนี้จะกล่าวถึงความเชื่อมโยงระหว่าง AI และ PDPA พร้อมทั้งสรุปผลกระทบที่มีต่อธุรกิจ และเสนอแนวทางที่องค์กรสามารถนำไปใช้ปฏิบัติตามข้อกำหนด ขณะเดียวกันก็สามารถใช้ประโยชน์จากศักยภาพของ AI ได้อย่างเต็มที่
การเข้าใจการขับเคลื่อนด้านการกำกับดูแลระดับโลก ซึ่งนำโดยสหภาพยุโรป (EU) และประเทศอื่น ๆ ที่กฎระเบียบมีความก้าวหน้า เป็นสิ่งสำคัญ ในเดือน พฤษภาคม 2566 สหภาพยุโรปได้แนะนำกฎหมายในการใช้ AI (EU Artificial Intelligence Act: AIA) เพื่อสร้างสภาพแวดล้อมการกำกับดูแลที่ครอบคลุมการจัดการด้านจริยธรรมและความปลอดภัยในการนำ AI มาใช้ ในประเทศไทยเองมีการปรับนโยบาย AI ให้สอดคล้องกับมาตรฐานสากล โดยในปี 2562 ได้ออกแนวทางปฏิบัติด้านจริยธรรมของปัญญาประดิษฐ์ เพื่อช่วยภาครัฐในการพัฒนา ส่งเสริม และใช้ประโยชน์จาก AI และ ในปี 2566 มีการรับรองแนวทางปฏิบัติด้านปัญญาประดิษฐ์ของประเทศไทยเพื่อช่วยภาคเอกชนในการพัฒนา AI
นอกจากนี้ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) ซึ่งมีผลบังคับใช้ตั้งแต่วันที่ 1 มิถุนายน 2565 เป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลฉบับแรกของประเทศไทย โดยมีต้นแบบจากกฎหมายคุ้มครองข้อมูลทั่วไปของสหภาพยุโรป (GDPR) PDPA มีเป้าหมายเพื่อคุ้มครองข้อมูลส่วนบุคคลและเคารพสิทธิส่วนบุคคล
การไม่ปฏิบัติตาม PDPA อาจส่งผลให้เกิดการดำเนินคดี การลงโทษทางกฎหมาย ความเสียหายต่อชื่อเสียง และความเสียหายทางการเงิน
AI กับความเป็นส่วนตัวของข้อมูล: ความสัมพันธ์ที่ซับซ้อน
AI จำเป็นต้องใช้ข้อมูลขนาดใหญ่ในการทำงานอย่างมีประสิทธิภาพ โดยต้องการข้อมูลดิบในปริมาณมหาศาลเพื่อเรียนรู้รูปแบบ ทำนายผล และปรับปรุงวิธีการ ยิ่งมีข้อมูลมากเท่าใด การทำงานของ AI ก็ยิ่งมีประสิทธิภาพมากขึ้นเท่านั้น อย่างไรก็ตาม การพึ่งพาข้อมูลขนาดใหญ่นี้กลับกลายเป็นความท้าทายสำคัญในบริบทของ PDPA
การเก็บรวบรวมข้อมูลและการขอความยินยอม
ความท้าทายในการนำ AI มาใช้คือความต้องการข้อมูลจำนวนมาก ซึ่งทำให้เกิดการเก็บรวบรวมข้อมูลส่วนบุคคลในปริมาณมาก บางครั้งโดยที่บุคคลไม่ตระหนักถึงขอบเขตของข้อมูลที่ถูกเก็บรวบรวม โดย PDPA กำหนดให้องค์กรต้องสื่อสารอย่างชัดเจนและโปร่งใสเกี่ยวกับข้อมูลที่ถูกเก็บรวบรวม วิธีการใช้งาน และความเสี่ยงที่อาจเกิดขึ้น
การลดปริมาณข้อมูลและการจำกัดวัตถุประสงค์
PDPA เน้นหลักการลดปริมาณข้อมูล และการจำกัดวัตถุประสงค์ในการใช้เท่าที่จำเป็น องค์กรจะต้องเก็บรวบรวมเฉพาะข้อมูลที่จำเป็นต่อวัตถุประสงค์ที่เฉพาะเจาะจง และใช้ข้อมูลนั้นเพื่อวัตถุประสงค์นั้นเท่านั้น แนวคิดในการลดความเสี่ยงในการคุ้มครองข้อมูลรวมถึงการทำให้ข้อมูลเป็นนามสมมุติ (pseudonymisation) ซึ่งสามารถลดความเสี่ยงแต่ไม่สามารถขจัดความเสี่ยงไปได้ทั้งหมด และการทำให้ข้อมูลไม่ระบุตัวตน (anonymisation) โดยการลบข้อมูลที่สามารถทำให้กลับมาระบุตัวตนของบุคคลได้ ซึ่งหมายความว่าข้อมูลนั้นไม่ถือเป็นข้อมูลส่วนบุคคลอีกต่อไป องค์กรควรมีกรอบการประเมินที่เหมาะสมเพื่อตรวจสอบและอธิบายต่อผู้กำกับดูแลถึงวิธีการที่พวกเขากำหนดสิ่งที่จำเป็น
สิทธิของเจ้าของข้อมูลและความโปร่งใสของ AI
PDPA มอบสิทธิให้บุคคลในการเข้าถึง แก้ไข และลบข้อมูลส่วนบุคคลของตน การดำเนินการสิทธิเหล่านี้ในบริบทของ AI อาจเป็นเรื่องท้าทาย โดยเฉพาะเมื่อต้องจัดการกับแบบจำลองการเรียนรู้ของเครื่องที่ซับซ้อนซึ่งสร้างข้อมูลเชิงลึกและการทำนายผลตามชุดข้อมูลขนาดใหญ่
ความโปร่งใสเป็นสิ่งสำคัญในการแก้ไขปัญหาเหล่านี้ องค์กรต้องมั่นใจว่าระบบ AI ถูกออกแบบและดำเนินการในลักษณะที่อนุญาตให้บุคคลเข้าใจถึงวิธีการใช้ข้อมูลของพวกเขา ซึ่งรวมถึงการให้คำอธิบายที่ชัดเจนเกี่ยวกับกระบวนการตัดสินใจของ AI และการสร้างความมั่นใจว่าบุคคลสามารถใช้สิทธิของตนได้อย่างมีประสิทธิภาพ
การแจ้งเตือนการละเมิดข้อมูลและความปลอดภัย
ระบบ AI มีความเสี่ยงต่อการละเมิดความปลอดภัยเช่นเดียวกับระบบประมวลผลข้อมูลอื่น ๆ PDPA กำหนดให้มีการแจ้งเตือนการละเมิดข้อมูลต่อหน่วยงานที่เกี่ยวข้องและบุคคลที่ได้รับผลกระทบโดยทันที การมีมาตรการความปลอดภัยข้อมูลที่เข้มงวดเป็นสิ่งสำคัญในการป้องกันการละเมิดและลดผลกระทบ โดยเฉพาะสำหรับระบบ AI ซึ่งควรรวมถึงการเข้ารหัสที่เข้มงวด การควบคุมการเข้าถึง มาตรการความปลอดภัยทางไซเบอร์ และการตรวจสอบความปลอดภัยอย่างสม่ำเสมอ นอกจากนี้ องค์กรควรมีแผนการตอบสนองต่อเหตุการณ์ที่ชัดเจนเพื่อจัดการกับการละเมิดข้อมูลที่อาจเกิดขึ้นได้อย่างรวดเร็วและมีประสิทธิภาพ
บทบาทของเจ้าหน้าที่คุ้มครองข้อมูล (DPO)
ภายใต้ PDPA องค์กรจำเป็นต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล (Data Protection Officer: DPO) เพื่อดูแลการปฏิบัติตาม PDPA DPO มีบทบาทสำคัญในการดูแลและสร้างความมั่นใจว่าระบบ AI ขององค์กร ปฏิบัติตามข้อกำหนดของ PDPA ซึ่งรวมถึงการดำเนินการประเมินผลกระทบของโครงการ AI ต่อการคุ้มครองข้อมูล (DPIA) การตรวจสอบกิจกรรมการประมวลผลข้อมูล (ROPA) และให้คำแนะนำเกี่ยวกับแนวปฏิบัติที่ดีที่สุดในการคุ้มครองข้อมูล
บทสรุป
เทคโนโลยี AI จะพัฒนาไปในทิศทางใดและจะมีผลกระทบอย่างไรในอนาคต ยังคงเป็นเรื่องที่ไม่สามารถคาดเดาได้อย่างแน่ชัด อย่างไรก็ตาม สิ่งที่แน่นอนคือการนำ AI มาใช้จะเปิดโอกาสสำคัญในการสร้างสรรค์นวัตกรรมและการเติบโตให้กับธุรกิจในประเทศไทย ทั้งนี้ จำเป็นต้องพิจารณาความเป็นส่วนตัวของข้อมูลและการปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) อย่างรอบคอบด้วยเช่นกัน
การสร้างความร่วมมือผ่านการพูดคุยอย่างเปิดเผยและโปร่งใสระหว่างภาคธุรกิจและหน่วยงานกำกับดูแลจึงมีความสำคัญในการพัฒนาแนวปฏิบัติที่สมดุลระหว่างการปฏิบัติตามกฎระเบียบและการส่งเสริมนวัตกรรม AI
โดยการใช้แนวปฏิบัติการเก็บรวบรวมข้อมูลที่โปร่งใส การดำเนินการมาตรการความปลอดภัยที่เข้มงวด และการเคารพสิทธิของบุคคล องค์กรจะสามารถใช้ประโยชน์จากศักยภาพของ AI พร้อมกับรักษาหลักการคุ้มครองข้อมูลได้อย่างมีประสิทธิภาพ การประสบความสำเร็จในการนำ AI มาใช้ควบคู่ไปกับการปฏิบัติตาม PDPA ต้องการการดำเนินการเชิงรุกและความตระหนักรู้ และด้วยกลยุทธ์ที่เหมาะสม จะทำให้ธุรกิจสามารถบรรลุความสมดุลระหว่างการใช้นวัตกรรมเทคโนโลยีและการปฏิบัติตามข้อกำหนดความเป็นส่วนตัวของข้อมูลได้อย่างมีประสิทธิภาพ
บทความนี้เป็นการเขียนร่วมกันโดย ศมกฤต กฤษณามระ พาร์ทเนอร์ และ พุทธิดา ศรีวงศ์ ผู้จัดการอาวุโส บริการด้านกลยุทธ์ ความเสี่ยง และธุรกรรมรายการ ดีลอยท์ ประเทศไทย