พนักงานใช้ Generative AI องค์กรอาจเสี่ยงละเมิด PDPA!

ด้วย Generative AI นั้นสามารถนำมาใช้ในการทำงานได้หลากหลาย พนักงานในหลายๆองค์กรจึงอาจเริ่มหันมาให้ความสนใจกับการใช้เทคโนโลยีดังกล่าวกันมากขึ้น ทั้งในการช่วยคิดแผนธุรกิจ เขียนคอมพิวเตอร์โค้ด หรือร่างอีเมล แต่ในขณะเดียวกัน ถึงแม้เทคโนโลยีนี้สามารถช่วยพนักงานทำเรื่องยากให้เป็นเรื่องง่าย และทำเรื่องจุกจิกให้เป็นเรื่องสบาย การใช้งานดังกล่าวอาจทำให้องค์กรต้องเผชิญต่อความเสี่ยงที่อาจเกิดข้อมูลรั่วไหล

ความเสี่ยงดังกล่าวมักเกิดขึ้นในบริบทที่พนักงานขององค์กรหนึ่งใช้ Generative AI ซึ่งเป็นผลิตผลิตภัณฑ์ของอีกบริษัทหนึ่ง (เช่น ChatGPT ซึ่งเป็นผลิตภัณฑ์ของบริษัท OpenAI) การป้อนชุดคำถาม (Prompt) ซึ่งมีข้อมูลความลับทางการค้ารวมอยู่ด้วย ก็อาจทำให้ข้อมูลความลับดังกล่าวถูกเปิดเผยต่อบริษัทผู้ให้บริการ AI ดังกล่าว และทำให้องค์กรของพนักงานสูญเสียสิทธิ์คุ้มครองต่อความลับดังกล่าวได้

PDPA คืออะไร

“PDPA” ย่อมาจาก Personal Data Protection Act หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ซึ่งมีผลบังคับใช้ในประเทศไทยแล้วตั้งแต่ช่วงกลางปี 2565 กฎหมาย PDPA นั้นระบุให้ผู้ควบคุมข้อมูล (Data controller) ซึ่งอาจเป็นบุคคลหรือองค์ที่ทำการจัดเก็บและประมวลผลข้อมูลส่วนบุคคลในการดำเนินธุรกิจ มีหน้าที่ต้องพิจารณาฐานทางกฎหมายเมื่อประสงค์จะประมวลผลข้อมูล (Legal basis) แจ้งให้บุคคลเจ้าของข้อมูล (Data subject) ทราบถึงรายละเอียดการประมวลผล และดูแลข้อมูลตามมาตรฐานที่เหมาะสม เป็นต้น โดยข้อมูลส่วนบุคคลนั้นหมายถึงข้อมูลใดๆที่สามารถระบุถึงตัวบุคคลได้ ไม่ว่าจะเป็น ชื่อ นามสกุล ที่อยู่ เลขบัตรประชาชน เลขบัญชี ศาสนา อีเมล หรือกระทั่ง ​Line ID

การใช้ Generative AI กับความเสี่ยงละเมิด PDPA

Q: ว่าแต่…กฎหมาย PDPA จะเกี่ยวกับการใช้ Generative AI อย่างไร? A: เมื่อข้อมูลส่วนบุคคลถูกระบุในชุดคำถามที่ส่งให้ Generative AI ไปประมวลผลยังไงหละ! ตัวอย่างเช่น พนักงานในองค์กรให้ ChatGPT ช่วยร่างอีเมล โดยในชุดคำถามนั้นประกอบด้วยชื่อและนามสกุลของลูกค้า และรายละเอียดอื่นๆ เช่น ประวัติการซื้อสินค้า เลขบัญชี เป็นต้น ในกรณีนี้ อาจนำไปสู่การเปิดเผยข้อมูลส่วนบุคคลต่อบริษัทผู้ให้บริการ Generative AI ได้ ทำให้องค์กรของพนักงานนั้นเสี่ยงต่อการละเมิดกฎหมาย PDPA โดยไม่ได้ตั้งใจ เช่น

1. การประมวลผลข้อมูลไม่ตรงกับที่ได้เคยได้แจ้งแก่เจ้าของข้อมูลไว้ก่อนล่วงหน้า (Privacy notice): โดยปกติแล้ว กฎหมาย PDPA กำหนดให้องค์กรที่จัดเก็บข้อมูลส่วนบุคคลต้องทำการแจ้งถึงรายละเอียดต่างๆ รวมถึงว่าข้อมูลจะมีการส่งต่อไปให้องค์กรอื่นๆหรือไม่ ดังนั้นการที่ข้อมูลส่วนบุคคลหลุดไปอยู่กับผู้ให้บริการ Generative AI ผ่านชุดคำถามของพนักงาน ก็อาจทำให้เกิดความเสี่ยงในลักษณะของการปฏิบัติต่อข้อมูลส่วนบุคคลคลาดเคลื่อนจากที่ได้เคยแจ้งไว้ได้

2. เรื่องของการไม่มีมาตรการการคุ้มครองข้อมูลที่เพียงพอ เมื่อมีการส่งข้อมูลส่วนบุคคลออกนอกประเทศไทย (Cross-border data transfer): กฎหมาย PDPA นั้นเข้มงวดกับการกำหนดให้ทั้งองค์กรผู้ส่งและผู้รับข้อมูลมีมาตราการที่เพียงพอเมื่อส่งข้อมูลส่วนบุคคลออกนอกประเทศ เนื่องจากผู้ให้บริการ Generative AI ซึ่งเป็นที่รู้จักส่วนมากนั้นมีที่ตั้งอยู่ต่างประเทศ การป้อนชุดคำถามซึ่งมีข้อมูลส่วนบุคคลรวมอยู่จึงสามารถก่อให้เกิดการส่งข้อมูลส่วนบุคคลออกนอกประเทศไทย องค์กรที่ไม่ได้กำหนดให้มีมาตรการที่เหมาะสมจึงต้องรับความเสี่ยงที่อาจตามมา

3. เรื่องของข้อมูลส่วนบุคคลรั่วไหล (Personal data breach): ข้อมูลรั่วไหลไม่ใช่แค่การโดน Hack! แต่สามารถเกิดจากการกระทำโดยไม่ได้ตั้งใจของบุคคลภายในองค์กรได้ด้วยเช่นกัน เช่นในกรณีที่พนักงานส่งอีเมลที่มีข้อมูลส่วนบุคคลที่สำคัญถึงผู้รับสารผิดคน โดยกฎหมาย PDPA กำหนดว่าองค์กรต้องมีมาตรการการคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสม และเมื่อเกิดเหตุข้อมูลรั่วไหลข้อมูล ต้องทำการแก้ไขและแจ้งต่อบุคคลที่เกี่ยวข้องภายในกรอบเวลาที่กำหนด ดังนั้นการที่ข้อมูลส่วนบุคคลหลุดไปอยู่กับผู้ให้บริการ Generative AI ผ่านชุดคำถามของพนักงานโดยไม่ได้ตั้งใจ ในหลายกรณีจึงอาจถือเป็นการรั่วไหลของข้อมูลได้ การที่องค์กรรู้ไม่เท่าทันและไม่มีมาตรการแก้ไข จึงเสี่ยงต่อการละเมิด PDPA

บทลงโทษของ PDPA ที่อาจเกิดขึ้นจากการใช้ Generative AI

การละเมิดกฎหมาย PDPA ในกรณีต่างๆข้างต้น นอกจากทำให้ลูกค้าสูญเสียความไว้ใจต่อองค์กรแล้ว ก็อาจนำไปสู่บทลงโทษทางทางกฎหมายได้เมื่อมีการร้องเรียนจากผู้เสียหายและตรวจสอบโดยเจ้าหน้าที่รัฐ ซึ่งอาจทำให้องค์กรต้องรับโทษต่างๆต่อไปนี้

โทษทางแพ่ง: องค์กรต้องชำระต่อเจ้าของข้อมูลผู้ร้องเรียนต่อค่าความเสียหายที่เกิดขึ้นจริง อีกทั้งศาลยังอาจตัดสินลงโทษเพิ่มเติมให้องค์กรจ่ายสินไหมทดแทนสูงสุด 2 เท่าของความเสียหายที่เกิดขึ้น

โทษทางอาญา: ในกรณีเช่นการส่งข้อมูลออกนอกประเทศไทยโดยไม่ได้จัดให้มีมาตรการการคุ้มครองข้อมูลที่เหมาะสม องค์กรอาจต้องเผชิญโทษทางอาญา ซึ่งอาจรวมถึงการจำคุก การจ่ายค่าปรับ อย่างใดอย่างหนึ่ง หรือทั้งสองอย่าง

โทษทางปกครอง: ทั้งนี้เจ้าหน้าที่รัฐผู้ดูแลยังอาจเรียกค่าปรับทางปกครองสูงสุดถึง 5,000,000 บาท แล้วแต่กรณี ซึ่งจะพิจารณาโดยคณะกรรมการผู้เชี่ยวชาญ

จะใส่ใจ PDPA อย่างไร เมื่อพนักงานใช้ Generative AI

ในบางบริษัท เช่น องค์กรทางการเงินและธนาคารในสหรัฐอเมริกา ได้สั่งห้ามพนักงานใช้ Generative AI เนื่องจากความกังวลในเรื่องของความเสี่ยงต่อการรั่วไหลของความลับและข้อมูลลูกค้า แต่ในขณะเดียวกัน อีกหลายองค์กรเร่งพัฒนาทักษะและให้ความรู้แก่พนักงานในการใช้เทคโนโลยีดังกล่าวให้เหมาะสม เพื่อเพิ่มประสิทธิภาพการทำงาน

ในกรณีที่องค์กรเลือกที่จะสนับสนุนให้พนักงานใช้ Generative AI องค์กรควรเร่งออกนโยบายการใช้ให้ชัดเจน โดยเมื่อต้นปี 2023 นี้ ศูนย์ AI Governance ของสำนักงานพัฒนาธุรกรรมอิเล็กทรอนิกส์ หรือ ETDA ได้เผยแพร่ “แนวปฏิบัติเบื้องต้นในการใช้ ChatGPT สำหรับองค์กร” โดยองค์กรสามารถศึกษาแนวปฏิบัติดังกล่าวและเร่งออกนโยบายที่เกี่ยวข้องตามมา

ทั้งนี้ เพื่อลดความเสี่ยงในการละเมิดกฎหมาย PDPA องค์กรควรสั่งห้ามให้พนักงานระบุชื่อ นามสกุล ที่อยู่ เลขบัตรประชาชน เลขบัญชี ศาสนา หรือข้อมูลส่วนบุคคลใดๆ ของทั้งเพื่อนพนักงานและลูกค้า ในชุดคำถามที่ส่งให้ Generative AI เพื่อการประมวลผล อีกทั้งองค์กรควรจัดให้มีการอบรม PDPA เป็นประจำ เพื่อให้เกิด PDPA Awareness แก่พนักงานอีกด้วย

*พร้อมจัดอบรม ยกระดับองค์กรของคุณสู่ระดับสากล ปรึกษานักกฎหมายผู้เชี่ยวชาญตอนนี้ *

Email : sales@datawow.io หรือโทร 02-024-5560