เช็คลิสต์ PDPA + AI สำหรับองค์กร: ติ๊กให้ครบก่อนเอาข้อมูลส่วนบุคคลไปใช้กับ AI

ข้อมูลลูกค้าที่พิมพ์ลงช่องแชต ก็ยังอยู่ใต้กฎหมาย

หลายองค์กรเข้าใจว่า การวางข้อมูลลูกค้าหรือพนักงานลงในช่องแชตของ AI เพื่อให้ช่วยร่างงาน เป็นเรื่องภายในที่ไม่มีใครเห็น ความจริงคือเมื่อข้อมูลนั้นเป็น ข้อมูลส่วนบุคคล การกระทำนี้อยู่ใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) เต็มตัว และเครื่องมือ AI ส่วนใหญ่ประมวลผลบนเซิร์ฟเวอร์ต่างประเทศ จึงไปแตะกฎเรื่องการโอนข้อมูลข้ามประเทศที่เข้มขึ้นด้วย

บทนี้รวบรวมเป็นเช็คลิสต์ที่ทีมหยิบไปติ๊กได้จริง ตั้งแต่ฐานทางกฎหมาย การเก็บข้อมูลเท่าที่จำเป็น การโอนข้ามประเทศ เงื่อนไขสัญญากับผู้ให้บริการ ไปจนถึงนโยบายการใช้ AI ภายในองค์กร เป้าหมายคือให้ผู้บริหารและฝ่ายที่เกี่ยวข้องตอบคำถามสำคัญได้ก่อนกดใช้งาน

บทนี้เป็นข้อมูลเพื่อความเข้าใจและตั้งคำถามให้ถูก ใช้วางกรอบการทำงานภายในได้ การตัดสินใจที่มีผลผูกพันทางกฎหมายควรผ่านที่ปรึกษากฎหมายและยึดประกาศของ PDPC ฉบับล่าสุดเป็นหลัก เพราะกฎย่อยและรายชื่อประเทศปลายทางยังขยับอยู่

กล่องอัปเดต: กฎและแนวปฏิบัติยังเคลื่อนไหว (มิ.ย. 2569)

กรอบ PDPA บังคับใช้แล้ว แต่กฎย่อยและแนวปฏิบัติยังออกเพิ่มเป็นระยะ จุดที่ควรตามให้ทันมีดังนี้

• กฎย่อยเรื่องการโอนข้อมูลข้ามประเทศประกาศในราชกิจจานุเบกษาเมื่อ 25 ธันวาคม 2566 และมีผลบังคับ 24 มีนาคม 2567 ครอบคลุมทั้งเกณฑ์ประเทศปลายทางที่มีมาตรฐานเพียงพอ และกลไก BCR กับมาตรการคุ้มครองที่เหมาะสม
• ถึงตอนนี้ PDPC ยังไม่ประกาศรายชื่อประเทศปลายทางที่ถือว่ามีมาตรฐานเพียงพอ ช่องทาง “ปลายทางปลอดภัย” จึงยังใช้อ้างจริงไม่ได้ องค์กรต้องพึ่งกลไกอื่น เช่น ความยินยอม หรือข้อสัญญามาตรฐาน
• นโยบายของผู้ให้บริการ AI แต่ละราย เช่น เงื่อนไขการไม่นำข้อมูลไปฝึกโมเดล เปลี่ยนแปลงได้และต่างกันในแต่ละเจ้า ควรอ่านสัญญาฉบับล่าสุดของแต่ละรายเอง
• ยึดประกาศ PDPC ที่ pdpc.or.th เป็นแหล่งอ้างอิงล่าสุดเสมอ

ส่วนที่ 1: ฐานทางกฎหมายและความยินยอม

ก่อนนำข้อมูลส่วนบุคคลชุดใดไปใช้กับ AI ต้องตอบให้ได้ก่อนว่าองค์กรมีสิทธิใช้ข้อมูลชุดนั้นด้วยฐานอะไร PDPA กำหนดให้การเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลต้องมีฐานทางกฎหมายรองรับเสมอ สำหรับข้อมูลทั่วไปมักอาศัย ความยินยอม (consent) ที่ชัดเจน หรือฐานอื่นที่กฎหมายให้ เช่น การปฏิบัติตามสัญญา หรือประโยชน์โดยชอบด้วยกฎหมาย

ติ๊กให้ครบก่อนเริ่ม

• ระบุได้ว่าข้อมูลแต่ละชุดที่จะป้อนเข้า AI อาศัยฐานทางกฎหมายใด
• ถ้าใช้ฐานความยินยอม ตรวจว่าขอบเขตความยินยอมเดิมครอบคลุมการนำไปประมวลผลด้วย AI หรือไม่
• กรณีข้อมูลอ่อนไหว เช่น สุขภาพ ศาสนา ประวัติอาชญากรรม ทบทวนเงื่อนไขที่เข้มกว่าข้อมูลทั่วไปก่อนใช้งาน
• บันทึกฐานทางกฎหมายและวัตถุประสงค์ของการใช้งานไว้เป็นลายลักษณ์อักษร

จุดที่พลาดบ่อย คือเอาข้อมูลที่เก็บมาเพื่อวัตถุประสงค์หนึ่งไปใช้กับ AI เพื่ออีกวัตถุประสงค์โดยไม่ได้ทบทวนว่าฐานเดิมยังครอบคลุมหรือไม่

ส่วนที่ 2: เก็บและป้อนเท่าที่จำเป็น

PDPA วางหลักการเก็บข้อมูลเท่าที่จำเป็นต่อวัตถุประสงค์ หลักนี้สวนทางกับนิสัยการใช้ AI ที่มักรู้สึกว่ายิ่งป้อนมากยิ่งได้ผลแม่น แนวปฏิบัติที่ลดความเสี่ยงคือป้อนเฉพาะข้อมูลที่จำเป็นต่อผลลัพธ์จริง

ติ๊กก่อนป้อน

• ตัดฟิลด์ที่ไม่จำเป็นต่อผลลัพธ์ออกก่อน เช่น ชื่อ ที่อยู่ เลขโทรศัพท์ ถ้าไม่ได้ช่วยให้งานแม่นขึ้น
• พิจารณาว่าใช้ข้อมูลแบบรวม (aggregated) แทนข้อมูลรายบุคคลได้หรือไม่
• กลบหรือถอดข้อมูลที่ระบุตัวตนก่อนป้อนเมื่องานไม่จำเป็นต้องใช้ตัวตนจริง เช่น แทนชื่อด้วยรหัส ตัดเลขบัตรประชาชนออก
• ทบทวนชุดข้อมูลที่ระบบ AI ถืออยู่เป็นระยะ และลบส่วนที่หมดความจำเป็นทิ้ง

การกลบหรือถอดข้อมูลที่ระบุตัวตนก่อนป้อน ช่วยลดความเสี่ยงตาม PDPA ลงมากเมื่อข้อมูลนั้นเชื่อมโยงกลับไปหาตัวบุคคลไม่ได้อีก

ส่วนที่ 3: การโอนข้อมูลข้ามประเทศ (จุดที่คนลืมบ่อยสุด)

นี่คือจุดที่การใช้ AI ต่างชาติแตะกฎหมายโดยที่หลายองค์กรไม่ทันสังเกต เครื่องมือ AI ยอดนิยมอย่าง ChatGPT, Gemini และ Claude ประมวลผลบนเซิร์ฟเวอร์ต่างประเทศ การส่งข้อมูลส่วนบุคคลไปให้เครื่องมือเหล่านี้จึงอาจเข้าข่าย การโอนข้อมูลส่วนบุคคลข้ามประเทศ ซึ่ง PDPA มีกฎเฉพาะที่เข้มขึ้น

หลักสำคัญคือการโอนข้ามประเทศถูกจำกัด ทำได้ต่อเมื่อเข้ากลไกที่กฎหมายรับรอง เช่น ปลายทางเป็นประเทศที่มีมาตรฐานคุ้มครองเพียงพอ หรือมีความยินยอมจากเจ้าของข้อมูล หรือมีข้อสัญญามาตรฐาน หรือมีกฎเกณฑ์ภายในกลุ่มกิจการ (Binding Corporate Rules) ข้อควรรู้ที่สำคัญคือ ถึงปัจจุบัน PDPC ยังไม่ประกาศรายชื่อประเทศปลายทางที่ถือว่ามีมาตรฐานเพียงพอ ช่องทาง “ปลายทางปลอดภัย” จึงยังใช้อ้างจริงไม่ได้ องค์กรต้องพึ่งกลไกอื่นรองรับ

ติ๊กก่อนส่งข้อมูลออกนอกประเทศ

• ตรวจว่าเครื่องมือ AI ที่ใช้ประมวลผลข้อมูลในไทยหรือต่างประเทศ
• ถ้าข้อมูลไหลออกนอกประเทศ ระบุได้ว่าอาศัยกลไกใดรองรับการโอนข้ามประเทศ
• ตรวจว่าสัญญากับผู้ให้บริการมีข้อกำหนดรองรับการโอนข้ามประเทศหรือไม่
• แยกประเด็นนี้ออกจากเรื่องความยินยอมในการใช้ข้อมูล เพราะเป็นคนละเงื่อนไขที่ต้องผ่านทั้งคู่

การโอนข้ามประเทศเป็นเงื่อนไขที่แยกออกจากความยินยอมในการใช้ข้อมูล แม้องค์กรจะมีฐานทางกฎหมายให้ใช้ข้อมูลได้ ก็ยังต้องมีกลไกรองรับการส่งข้อมูลออกนอกประเทศอีกชั้นหนึ่ง

ส่วนที่ 4: สัญญากับผู้ให้บริการ (องค์กร vs บัญชีส่วนตัว)

จุดต่างที่หลายคนไม่รู้คือ แพ็กเกจองค์กรกับบัญชีฟรีส่วนตัวมีเงื่อนไขข้อมูลต่างกันมาก ตามนโยบายของ OpenAI ณ ปี 2569 ข้อมูลที่ป้อนผ่าน ChatGPT Enterprise, Business, Team และ API จะไม่ถูกนำไปฝึกโมเดลโดยปริยาย และมีสัญญาประมวลผลข้อมูล (Data Processing Addendum) ให้ลงนามเพื่อรองรับการปฏิบัติตามกฎหมายคุ้มครองข้อมูล ต่างจากการใช้รุ่นฟรีส่วนตัวที่ข้อมูลอาจถูกนำไปปรับปรุงโมเดลเว้นแต่ตั้งค่าปิดเอง

นี่เป็นนโยบายของผู้ให้บริการที่เปลี่ยนแปลงได้ และเครื่องมือแต่ละเจ้ามีเงื่อนไขต่างกัน บทนี้ยกตัวอย่าง OpenAI เพราะมีเอกสารชัด การจะใช้กับเครื่องมือใดต้องอ่านสัญญาของรายนั้นเอง

ติ๊กก่อนเลือกแพ็กเกจ

• เลือกแพ็กเกจองค์กรที่มีเงื่อนไขไม่นำข้อมูลไปฝึกโมเดลโดยปริยาย
• ลงนามสัญญาประมวลผลข้อมูล (DPA) กับผู้ให้บริการ
• อ่านเงื่อนไขการเก็บรักษาข้อมูล (retention) และตั้งค่าตามที่องค์กรต้องการ
• ตรวจตัวเลือกปิดการนำข้อมูลไปฝึกโมเดล (training opt-out) ในทุกบัญชีที่ใช้กับงานจริง
• อ่านสัญญาของแต่ละเครื่องมือแยกกัน อย่าเหมารวมว่าทุกเจ้าเงื่อนไขเหมือนกัน

ส่วนที่ 5: สิทธิเจ้าของข้อมูลและการแจ้งเหตุละเมิด

PDPA ให้สิทธิแก่เจ้าของข้อมูลในการเข้าถึง แก้ไข ลบ หรือคัดค้านการประมวลผลข้อมูลของตน เมื่อองค์กรนำข้อมูลส่วนบุคคลไปใช้กับ AI ต้องเตรียมตอบสนองสิทธิเหล่านี้ได้ และต้องมีระบบความปลอดภัยของข้อมูลพร้อมแผนรับมือเมื่อเกิดเหตุละเมิด

ติ๊กให้พร้อมรับมือ

• มีกระบวนการรองรับคำขอใช้สิทธิของเจ้าของข้อมูล เช่น ขอเข้าถึง ขอลบ หรือคัดค้านการประมวลผล
• ตรวจว่าข้อมูลที่อยู่ในระบบ AI หรือที่ผู้ให้บริการถืออยู่ ลบหรือแก้ไขได้เมื่อมีคำขอที่ชอบ
• มีระบบความปลอดภัยของข้อมูลที่เหมาะสมกับความเสี่ยง
• มีแผนแจ้งเหตุละเมิดข้อมูลต่อ PDPC และต่อเจ้าของข้อมูลตามกรอบที่กฎหมายกำหนด
• พิจารณาว่าองค์กรเข้าเกณฑ์ต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล (DPO) หรือไม่ ซึ่งมักเป็นองค์กรขนาดใหญ่หรือที่ประมวลผลข้อมูลจำนวนมาก

สำหรับโครงการ AI ที่ตัดสินใจแทนคนหรือใช้ข้อมูลอ่อนไหว ควรพิจารณาทำการประเมินผลกระทบด้านการคุ้มครองข้อมูล (DPIA) เพราะเข้าข่ายการประมวลผลที่เสี่ยงสูงต่อสิทธิของเจ้าของข้อมูล

ส่วนที่ 6: นโยบายการใช้ AI ภายในองค์กร

เช็คลิสต์ทั้งหมดจะคุมได้จริงต่อเมื่อมีนโยบายเป็นลายลักษณ์อักษร ที่บอกชัดว่าข้อมูลประเภทไหนห้ามป้อนเข้าเครื่องมือ AI สาธารณะ ใครใช้เครื่องมือใดได้ และต้องผ่านการอนุมัติแบบไหน นโยบายนี้ช่วยกัน shadow AI คือการที่พนักงานนำข้อมูลองค์กรไปใช้กับเครื่องมือส่วนตัวโดยไม่มีใครรู้

ติ๊กให้นโยบายครบ

• กำหนดประเภทข้อมูลที่ห้ามป้อนเข้าเครื่องมือ AI สาธารณะอย่างชัดเจน
• ระบุว่าใครใช้เครื่องมือใดได้ และต้องผ่านการอนุมัติแบบใด
• กำหนดรายชื่อเครื่องมือที่ผ่านการตรวจสอบและอนุญาตให้ใช้กับข้อมูลองค์กร
• สื่อสารและอบรมพนักงานให้เข้าใจเส้นแบ่งข้อมูล
• มีผู้รับผิดชอบทบทวนนโยบายเป็นระยะเมื่อกฎหมายหรือเครื่องมือเปลี่ยน

⚠️ ข้อควรระวัง

บทนี้เป็นแนวทางปฏิบัติ การตัดสินใจที่ผูกพันต้องผ่านที่ปรึกษากฎหมาย ใช้เช็คลิสต์นี้วางกรอบและตั้งคำถามให้ถูก การวางนโยบายจริงและการตีความกฎหมายในกรณีเฉพาะต้องอาศัยที่ปรึกษากฎหมายและยึดประกาศ PDPC ฉบับล่าสุด

อย่าตีความเองว่า “ใช้คลาวด์แล้วไม่นับเป็นการโอน” มีการตีความว่าการส่งข้อมูลไปผู้ให้บริการคลาวด์ที่ไม่มีบุคคลที่สามเข้าถึงข้อมูล อาจไม่นับเป็นการโอนข้ามประเทศ แต่เป็นประเด็นละเอียดที่ขึ้นกับข้อเท็จจริงและสัญญาแต่ละกรณี ควรตรวจเป็นรายกรณี ไม่เหมารวมว่าใช้คลาวด์ได้โดยไม่มีเงื่อนไข

นโยบายไม่นำข้อมูลไปฝึกโมเดลเป็นคำของผู้ให้บริการที่เปลี่ยนได้ เงื่อนไขนี้ยืนยันได้จากเอกสารของผู้ให้บริการ ณ ช่วงเวลาหนึ่ง แต่เปลี่ยนแปลงได้และต่างกันในแต่ละเจ้า ต้องอ่านสัญญาฉบับล่าสุดเองเสมอ

AI ยังสร้างข้อมูลที่ฟังดูน่าเชื่อแต่ผิดได้ เช็คลิสต์ด้านการคุ้มครองข้อมูลไม่ได้รับประกันความถูกต้องของเนื้อหาที่ AI ผลิต งานที่มีผลผูกพันต้องมีคนตรวจเสมอ

ขั้นต่อไป

เริ่มจากกำหนดประเภทข้อมูลที่ห้ามป้อนเข้าเครื่องมือ AI สาธารณะให้ชัดก่อน แล้วเลือกแพ็กเกจองค์กรที่มีเงื่อนไขข้อมูลรองรับ จากนั้นจึงเขียนนโยบายการใช้ AI เป็นลายลักษณ์อักษร การมีเส้นแบ่งข้อมูลที่ชัดและนโยบายที่ทุกคนเข้าใจ ช่วยลดความเสี่ยงได้มากกว่าการพึ่งวิจารณญาณรายบุคคล

• 👉 นโยบายข้อมูลและความปลอดภัยเมื่อใช้ AI ในองค์กร วางเส้นแบ่งข้อมูลให้ทั้งองค์กรใช้ร่วมกัน
• 👉 AI governance สำหรับองค์กร วางโครงการกำกับดูแลให้ครบทั้งระบบ
• 👉 เริ่มใช้ AI ในองค์กร วางลำดับนำ AI เข้าทีมตั้งแต่ต้นอย่างปลอดภัย

อัปเดตล่าสุด: 20 มิถุนายน 2569 · ประเภท: Checklist