ChatGPT ภาพหลอน และการละเมิดข้อมูลส่วนบุคคล
หลาย ๆ ท่านอาจเคยได้ยินว่า Generative AI อาจให้ข้อมูลที่ผิดพลาดหรือไม่ตรงกับความเป็นจริงได้ ดังนั้น ผู้ใช้งานโมเดลภาษาขนาดใหญ่ (LLM: Larger language models) จึงต้องมีความตระหนักรู้ในข้อจำกัดของเทคโนโลยีประกอบด้วย
ข้อมูลที่ผิดพลาดอาจจะเป็นข้อเท็จจริงพื้นฐาน หรืออาจจะเป็นข้อมูลเกี่ยวกับบุคคลก็ได้ ลองจินตนาการว่าหาก Generative AI ให้ข้อมูลที่ไม่ถูกต้องเกี่ยวกับตัวท่าน เช่น “วันเดือนปีเกิด” ท่านในฐานะของผู้ใช้งานโมเดลภาษาหเล่านั้นหรือเจ้าของข้อมูลส่วนบุคคลที่ไม่ถูกต้อง
และโดยเฉพาะอย่างยิ่งหากมีการให้ข้อมูลที่ไม่ถูกต้องที่อาจสร้างความเสื่อมเสียต่อเจ้าของข้อมูลส่วนบุคคล
ท่านจะมีสิทธิตามกฎหมายอย่างไรบ้างหรือไม่ เพื่อจะทำให้ข้อมูลส่วนบุคคลของตนที่ถูกประมวลผลหรือแสดงผลโดย Generative AI นั้นถูกต้อง หรือขอให้ลบข้อมูลเหล่านั้นออกจากการประมวลผลหรือการแสดงผลลัพธ์
การที่ระบบปัญญาประดิษฐ์หรือ AI สร้างข้อมูลหรือเนื้อหาที่ไม่ถูกต้องหรือไม่เป็นความจริง ในทางเทคนนิค เรียกว่า AI Hallucination หรือการประดิษฐ์ภาพหลอนโดย AI
คือกรณีนี้เป็นสถานการณ์ที่ AI สร้างข้อมูลหรือเนื้อหาที่ไม่ถูกต้องหรือไม่เป็นความจริง ซึ่งเป็นผลลัพธ์การตอบสนองที่สร้างโดย AI ที่ให้ข้อมูลที่เป็นเท็จหรือทำให้เข้าใจผิดว่าเป็นข้อเท็จจริง
เปรียบเสมือนภาพหลอนในจิตวิทยาของมนุษย์ที่อาจเกิดจากข้อจำกัดของโมเดล AI เอง ประกอบกับข้อมูลที่ใช้ฝึกโมเดล
สาเหตุหลักของ AI Hallucination ประกอบด้วยข้อมูลที่ใช้ฝึกโมเดลนั้นหากข้อมูลผิดพลาดหรือไม่ครบถ้วน AI ก็อาจเรียนรู้ข้อมูลผิด ๆ และสร้างผลลัพธ์ที่ไม่ตรงกับความเป็นจริงได
หรือเกิดจากการที่ลักษณะการทำงานของ AI บางประเภททำงานโดยอาศัยความน่าจะเป็นในการคาดคะเนผลลัพธ์ ซึ่งอาจทำให้ AI ตอบสนองผิดพลาดได้เช่นกัน และผลกระทบของ AI Hallucination อาจนำไปสู่การแพร่กระจายของข้อมูลเท็จหรือข่าวปลอมได้
เมื่อวันที่ 29 เมษายน 2567 อาการหลอนของ AI ถูกโต้แย้งในประเทศออสเตรีย โดย NYOB ซึ่งเป็นองค์กรที่ไม่แสวงหากำไรที่ขับเคลื่อนด้านการคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล ได้ยื่นข้อร้องเรียนต่อหน่วยงานกำกับดูแลด้านการคุ้มครองข้อมูลส่วนบุคคลของประเทศออสเตรีย (DSB)
เพื่อขอให้มีคำสั่งให้ OpenAI ผู้ให้บริการ ChatGPT ปฏิบัติให้สอดคล้องกับหน้าที่ของบริษัทตาม GDPR ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป
ในประเด็นของการตอบสนองต่อสิทธิของเจ้าของข้อมูลส่วนบุคคลในการขอเข้าถึงและทราบแหล่งที่มาของข้อมูลส่วนบุคคล (access request) สิทธิในการแก้ไขข้อมูลส่วนบุคคลของตนเองให้ถูกต้อง (accuracy, rectification request) และสิทธิในการลบข้อมูลส่วนบุคคลที่ไม่ถูกต้อง (erasure request)
ข้อร้องเรียนดังกล่าวสืบเนื่องจากการที่ผู้ใช้บริการ ChatGPT รายหนึ่งพบว่าข้อมูลส่วนบุคคลของตนในส่วนของวันเดือนปีเกิดที่แสดงผลโดย ChatGPT ไม่ถูกต้อง และบุคคลดังกล่าวได้ใช้สิทธิของตนเองตาม GDPR ดังนี้
1.ขอให้ OpenAI เปิดเผยแหล่งที่มาของข้อมูลส่วนบุคคลของเขาว่าได้ข้อมูลของเขามาอย่างไร และจากแหล่งข้อมูลไหน (access request) ซึ่ง OpenAI ไม่สามารถอธิบายแหล่งที่มาของข้อมูลได้
2.ขอให้ทำข้อมูลส่วนบุคคลให้ถูกต้อง (accuracy and rectification) แต่เนื่องจากการประมวลผลทำโดยระบบอัตโนมัติและอัลกอริธึมที่กำหนดไว้ OpenAI จึงไม่สามารถแก้ไขผลลัพธ์ได้
3.ขอให้ลบข้อมูลส่วนบุคคลที่ไม่ถูกต้อง (erasure request) กรณีนี้ OpenAI ไม่สามารถตอบสนองต่อคำร้องขอดังกล่าวได้เช่นกัน เนื่องจากจะกระทบโครงสร้างของข้อมูล ทำได้แต่เพียงการซ่อนหรือไม่แสดงผลเท่านั้น
การร้องเรียนครั้งนี้ทำให้ DSB ต้องไต่สวนการดำเนินการของ OpenAI ตาม GDPR และคดีนี้มีแนวโน้มว่าอาจจะมีผลกระทบในหลาย ๆ ประเทศของสหภาพยุโรป เนื่องจาก OpenAI ให้บริการในทุกประเทศ และผลของคำตัดสินในคดีนี้ย่อมส่งผลสำคัญต่อการกำหนดทิศทางการพัฒนา AI
ย้อนกลับมาพิจารณาประเด็นดังกล่าวภายใต้กฎหมายไทย ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) กำหนดหน้าที่ของผู้ให้บริการ Generative AI ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล และผู้ใช้บริการในฐานะเจ้าของข้อมูลส่วนบุคคล ไว้ดังนี้
1.PDPA ใช้บังคับการประมวลผลข้อมูลส่วนบุคคลของผู้ควบคุมข้อมูลส่วนบุคคลที่อยู่นอกราชอาณาจักร (extra territorial) หากมีการเสนอสินค้าหรือบริการให้แก่เจ้าของข้อมูลส่วนบุคคลซึ่งอยู่ในราชอาณาจักร ไม่ว่าจะมีการชำระเงินของเจ้าของข้อมูลส่วนบุคคลหรือไม่ก็ตาม
ดังนั้น ผู้ให้บริการ Generative AI ที่ให้บริการในประเทศไทย แม้ว่าจะไม่ได้จดทะเบียนจัดตั้งหรือมีสาขาในประเทศไทย ก็อาจต้องปฏิบัติตาม PDPA (มาตรา 5 วรรคสอง)
2.เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตน ซึ่งอยู่ในความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคล หรือขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลดังกล่าวที่ตนไม่ได้ให้ความยินยอม (มาตรา 30)
3.ผู้ควบคุมข้อมูลส่วนบุคคลต้องดำเนินการให้ข้อมูลส่วนบุคคลนั้นถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด และเจ้าของข้อมูลส่วนบุคคลสามารถร้องขอให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการให้ข้อมูลส่วนบุคคลของตนถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิดได้ (มาตรา 35 และมาตรา 36)
4.เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ (มาตรา 33)
อ้างอิง
1.NYOB, ChatGPT provides false information about people, and OpenAI can’t correct it (29 April 2024)
คอลัมน์ Tech, Law and Security
ระวีวรรณ ขันติวิริยะพานิช
บริษัท ดีพีโอเอเอเอส จำกัด
ศุภวัชร์ มาลานนท์
GMI มหาวิทยาลัยเทคโนโลยีพระจอมเกล้าธนบุรี