Blog > พนักงานใช้ Generative AI องค์กรอาจเสี่ยงละเมิด PDPA! พนักงานใช้ Generative AI องค์กรอาจเสี่ยงละเมิด PDPA! 6 days ago Share ด้วย Generative AI นั้นสามารถนำมาใช้ในการทำงานได้หลากหลาย พนักงานในหลายๆองค์กรจึงอาจเริ่มหันมาให้ความสนใจกับการใช้เทคโนโลยีดังกล่าวกันมากขึ้น ทั้งในการช่วยคิดแผนธุรกิจ เขียนคอมพิวเตอร์โค้ด หรือร่างอีเมล แต่ในขณะเดียวกัน ถึงแม้เทคโนโลยีนี้สามารถช่วยพนักงานทำเรื่องยากให้เป็นเรื่องง่าย และทำเรื่องจุกจิกให้เป็นเรื่องสบาย การใช้งานดังกล่าวอาจทำให้องค์กรต้องเผชิญต่อความเสี่ยงที่อาจเกิดข้อมูลรั่วไหล ความเสี่ยงดังกล่าวมักเกิดขึ้นในบริบทที่พนักงานขององค์กรหนึ่งใช้ Generative AI ซึ่งเป็นผลิตผลิตภัณฑ์ของอีกบริษัทหนึ่ง (เช่น ChatGPT ซึ่งเป็นผลิตภัณฑ์ของบริษัท OpenAI) การป้อนชุดคำถาม (Prompt) ซึ่งมีข้อมูลความลับทางการค้ารวมอยู่ด้วย ก็อาจทำให้ข้อมูลความลับดังกล่าวถูกเปิดเผยต่อบริษัทผู้ให้บริการ AI ดังกล่าว และทำให้องค์กรของพนักงานสูญเสียสิทธิ์คุ้มครองต่อความลับดังกล่าวได้ PDPA คืออะไร “PDPA” ย่อมาจาก Personal Data Protection Act หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ซึ่งมีผลบังคับใช้ในประเทศไทยแล้วตั้งแต่ช่วงกลางปี 2565 กฎหมาย PDPA นั้นระบุให้ผู้ควบคุมข้อมูล (Data controller) ซึ่งอาจเป็นบุคคลหรือองค์ที่ทำการจัดเก็บและประมวลผลข้อมูลส่วนบุคคลในการดำเนินธุรกิจ มีหน้าที่ต้องพิจารณาฐานทางกฎหมายเมื่อประสงค์จะประมวลผลข้อมูล (Legal basis) แจ้งให้บุคคลเจ้าของข้อมูล (Data subject) ทราบถึงรายละเอียดการประมวลผล และดูแลข้อมูลตามมาตรฐานที่เหมาะสม เป็นต้น โดยข้อมูลส่วนบุคคลนั้นหมายถึงข้อมูลใดๆที่สามารถระบุถึงตัวบุคคลได้ ไม่ว่าจะเป็น ชื่อ นามสกุล ที่อยู่ เลขบัตรประชาชน เลขบัญชี ศาสนา อีเมล หรือกระทั่ง Line ID การใช้ Generative AI กับความเสี่ยงละเมิด PDPA Q: ว่าแต่…กฎหมาย PDPA จะเกี่ยวกับการใช้ Generative AI อย่างไร? A: เมื่อข้อมูลส่วนบุคคลถูกระบุในชุดคำถามที่ส่งให้ Generative AI ไปประมวลผลยังไงหละ! ตัวอย่างเช่น พนักงานในองค์กรให้ ChatGPT ช่วยร่างอีเมล โดยในชุดคำถามนั้นประกอบด้วยชื่อและนามสกุลของลูกค้า และรายละเอียดอื่นๆ เช่น ประวัติการซื้อสินค้า เลขบัญชี เป็นต้น ในกรณีนี้ อาจนำไปสู่การเปิดเผยข้อมูลส่วนบุคคลต่อบริษัทผู้ให้บริการ Generative AI ได้ ทำให้องค์กรของพนักงานนั้นเสี่ยงต่อการละเมิดกฎหมาย PDPA โดยไม่ได้ตั้งใจ เช่น 1. การประมวลผลข้อมูลไม่ตรงกับที่ได้เคยได้แจ้งแก่เจ้าของข้อมูลไว้ก่อนล่วงหน้า (Privacy notice): โดยปกติแล้ว กฎหมาย PDPA กำหนดให้องค์กรที่จัดเก็บข้อมูลส่วนบุคคลต้องทำการแจ้งถึงรายละเอียดต่างๆ รวมถึงว่าข้อมูลจะมีการส่งต่อไปให้องค์กรอื่นๆหรือไม่ ดังนั้นการที่ข้อมูลส่วนบุคคลหลุดไปอยู่กับผู้ให้บริการ Generative AI ผ่านชุดคำถามของพนักงาน ก็อาจทำให้เกิดความเสี่ยงในลักษณะของการปฏิบัติต่อข้อมูลส่วนบุคคลคลาดเคลื่อนจากที่ได้เคยแจ้งไว้ได้ 2. เรื่องของการไม่มีมาตรการการคุ้มครองข้อมูลที่เพียงพอ เมื่อมีการส่งข้อมูลส่วนบุคคลออกนอกประเทศไทย (Cross-border data transfer): กฎหมาย PDPA นั้นเข้มงวดกับการกำหนดให้ทั้งองค์กรผู้ส่งและผู้รับข้อมูลมีมาตราการที่เพียงพอเมื่อส่งข้อมูลส่วนบุคคลออกนอกประเทศ เนื่องจากผู้ให้บริการ Generative AI ซึ่งเป็นที่รู้จักส่วนมากนั้นมีที่ตั้งอยู่ต่างประเทศ การป้อนชุดคำถามซึ่งมีข้อมูลส่วนบุคคลรวมอยู่จึงสามารถก่อให้เกิดการส่งข้อมูลส่วนบุคคลออกนอกประเทศไทย องค์กรที่ไม่ได้กำหนดให้มีมาตรการที่เหมาะสมจึงต้องรับความเสี่ยงที่อาจตามมา 3. เรื่องของข้อมูลส่วนบุคคลรั่วไหล (Personal data breach): ข้อมูลรั่วไหลไม่ใช่แค่การโดน Hack! แต่สามารถเกิดจากการกระทำโดยไม่ได้ตั้งใจของบุคคลภายในองค์กรได้ด้วยเช่นกัน เช่นในกรณีที่พนักงานส่งอีเมลที่มีข้อมูลส่วนบุคคลที่สำคัญถึงผู้รับสารผิดคน โดยกฎหมาย PDPA กำหนดว่าองค์กรต้องมีมาตรการการคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสม และเมื่อเกิดเหตุข้อมูลรั่วไหลข้อมูล ต้องทำการแก้ไขและแจ้งต่อบุคคลที่เกี่ยวข้องภายในกรอบเวลาที่กำหนด ดังนั้นการที่ข้อมูลส่วนบุคคลหลุดไปอยู่กับผู้ให้บริการ Generative AI ผ่านชุดคำถามของพนักงานโดยไม่ได้ตั้งใจ ในหลายกรณีจึงอาจถือเป็นการรั่วไหลของข้อมูลได้ การที่องค์กรรู้ไม่เท่าทันและไม่มีมาตรการแก้ไข จึงเสี่ยงต่อการละเมิด PDPA บทลงโทษของ PDPA ที่อาจเกิดขึ้นจากการใช้ Generative AI การละเมิดกฎหมาย PDPA ในกรณีต่างๆข้างต้น นอกจากทำให้ลูกค้าสูญเสียความไว้ใจต่อองค์กรแล้ว ก็อาจนำไปสู่บทลงโทษทางทางกฎหมายได้เมื่อมีการร้องเรียนจากผู้เสียหายและตรวจสอบโดยเจ้าหน้าที่รัฐ ซึ่งอาจทำให้องค์กรต้องรับโทษต่างๆต่อไปนี้ โทษทางแพ่ง: องค์กรต้องชำระต่อเจ้าของข้อมูลผู้ร้องเรียนต่อค่าความเสียหายที่เกิดขึ้นจริง อีกทั้งศาลยังอาจตัดสินลงโทษเพิ่มเติมให้องค์กรจ่ายสินไหมทดแทนสูงสุด 2 เท่าของความเสียหายที่เกิดขึ้น โทษทางอาญา: ในกรณีเช่นการส่งข้อมูลออกนอกประเทศไทยโดยไม่ได้จัดให้มีมาตรการการคุ้มครองข้อมูลที่เหมาะสม องค์กรอาจต้องเผชิญโทษทางอาญา ซึ่งอาจรวมถึงการจำคุก การจ่ายค่าปรับ อย่างใดอย่างหนึ่ง หรือทั้งสองอย่าง โทษทางปกครอง: ทั้งนี้เจ้าหน้าที่รัฐผู้ดูแลยังอาจเรียกค่าปรับทางปกครองสูงสุดถึง 5,000,000 บาท แล้วแต่กรณี ซึ่งจะพิจารณาโดยคณะกรรมการผู้เชี่ยวชาญ จะใส่ใจ PDPA อย่างไร เมื่อพนักงานใช้ Generative AI ในบางบริษัท เช่น องค์กรทางการเงินและธนาคารในสหรัฐอเมริกา ได้สั่งห้ามพนักงานใช้ Generative AI เนื่องจากความกังวลในเรื่องของความเสี่ยงต่อการรั่วไหลของความลับและข้อมูลลูกค้า แต่ในขณะเดียวกัน อีกหลายองค์กรเร่งพัฒนาทักษะและให้ความรู้แก่พนักงานในการใช้เทคโนโลยีดังกล่าวให้เหมาะสม เพื่อเพิ่มประสิทธิภาพการทำงาน ในกรณีที่องค์กรเลือกที่จะสนับสนุนให้พนักงานใช้ Generative AI องค์กรควรเร่งออกนโยบายการใช้ให้ชัดเจน โดยเมื่อต้นปี 2023 นี้ ศูนย์ AI Governance ของสำนักงานพัฒนาธุรกรรมอิเล็กทรอนิกส์ หรือ ETDA ได้เผยแพร่ “แนวปฏิบัติเบื้องต้นในการใช้ ChatGPT สำหรับองค์กร” โดยองค์กรสามารถศึกษาแนวปฏิบัติดังกล่าวและเร่งออกนโยบายที่เกี่ยวข้องตามมา ทั้งนี้ เพื่อลดความเสี่ยงในการละเมิดกฎหมาย PDPA องค์กรควรสั่งห้ามให้พนักงานระบุชื่อ นามสกุล ที่อยู่ เลขบัตรประชาชน เลขบัญชี ศาสนา หรือข้อมูลส่วนบุคคลใดๆ ของทั้งเพื่อนพนักงานและลูกค้า ในชุดคำถามที่ส่งให้ Generative AI เพื่อการประมวลผล อีกทั้งองค์กรควรจัดให้มีการอบรม PDPA เป็นประจำ เพื่อให้เกิด PDPA Awareness แก่พนักงานอีกด้วย You may also like Tutorials อะไรคือ Cookies consent ทำไมเจ้าของเว็บไซต์ต้องมี 1 week ago Tutorials จัดกิจกรรมแจกของบน Facebook อย่างไรหลัง PDPA บังคับใช้ 5 days ago Tutorials 5 เรื่องที่ต้องรู้เกี่ยวกับ Email Consent ใน PDPA 5 days ago More posts