×

เมื่อ AI กลายเป็นส่วนหนึ่งของการตัดสินใจ กฎหมายและการกำกับดูแลจึงไม่ใช่เรื่องปลายทาง

03.07.2026
  • LOADING...
ภาพประกอบแสดงแนวคิด AI จริยธรรม กฎหมาย และความรับผิดชอบ

ในช่วงหลายปีที่ผ่านมา เทคโนโลยีปัญญาประดิษฐ์ (Artificial Intelligence: AI) ได้ก้าวจากบทบาทของ ‘เทคโนโลยีสนับสนุน’ มาเป็น ‘กลไกสำคัญ’ ที่มีอิทธิพลต่อการตัดสินใจทางธุรกิจอย่างเป็นรูปธรรม ไม่ว่าจะเป็นการวางแผนและพัฒนาโมเดลธุรกิจ การบริหารยอดขาย การคัดเลือกบุคลากร ไปจนถึงการออกแบบประสบการณ์ของลูกค้า ทั้งหมดนี้ล้วนเชื่อมโยงโดยตรงกับสิทธิ เสรีภาพ และความเป็นส่วนตัวของบุคคล

 

 
 

เมื่อ AI เข้ามามีบทบาทในระดับการตัดสินใจมากขึ้น ประเด็นสำคัญจึงไม่ได้จำกัดอยู่เพียง ‘ความแม่นยำของระบบ’ เท่านั้น หากแต่รวมถึง ‘ความชอบด้วยกฎหมาย’ ของผลลัพธ์และกระบวนการตัดสินใจดังกล่าว ซึ่งกลายเป็นองค์ประกอบสำคัญของการกำกับดูแลการใช้ AI ในองค์กรอย่างหลีกเลี่ยงไม่ได้

 

เมื่อ ‘กฎหมาย’ ไม่ใช่ข้อจำกัด แต่เป็นเงื่อนไขของการใช้ AI

 

แม้ในปัจจุบันประเทศไทยยังไม่มีกฎหมายเฉพาะที่กำกับดูแลการใช้ AI โดยตรง อย่างไรก็ดี การพัฒนาและใช้งาน AI โดยทั่วไปต้องอาศัย ‘ข้อมูลจำนวนมาก’ ซึ่งในหลายกรณีอาจเกี่ยวข้องกับข้อมูลส่วนบุคคล การประมวลผลข้อมูลดังกล่าวย่อมมีความเสี่ยงกระทบต่อสิทธิของเจ้าของข้อมูล และอาจนำไปสู่ความรับผิดภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคลได้โดยตรง ดังนั้น การพิจารณาความสอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) จึงเป็นประเด็นสำคัญที่องค์กรไม่อาจหลีกเลี่ยงได้เมื่อมีการนำ AI มาใช้ในการดำเนินงาน

 

แนวปฏิบัติโดยสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล: กรอบกำกับดูแลตลอดวงจรชีวิต AI

 

สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ได้จัดทำ ‘ร่างแนวปฏิบัติด้านการคุ้มครองข้อมูลส่วนบุคคลที่เกี่ยวกับการพัฒนาและใช้งานเทคโนโลยีปัญญาประดิษฐ์’ เพื่อเป็นกรอบแนวทางให้องค์กรสามารถใช้ AI ได้อย่างมีความรับผิดชอบและโปร่งใส แนวปฏิบัตินี้มีความน่าสนใจตรงที่ไม่ได้มอง AI เป็นเพียงเรื่องของ compliance หรือการปฏิบัติตามกฎหมายเฉพาะเรื่องอีกต่อไป แต่ยกระดับไปสู่การเป็นกรอบการกำกับดูแลตลอด ‘วงจรชีวิตของ AI’ ตั้งแต่ขั้นตอนการออกแบบ การพัฒนา ไปจนถึงการนำไปใช้จริง โดยเน้นหลักการสำคัญ เช่น ความรับผิดชอบ (accountability) ความโปร่งใส (transparency) และความสามารถในการตรวจสอบย้อนกลับ (traceability) ซึ่งล้วนเป็นหัวใจของการสร้าง ‘AI ที่เชื่อถือได้’ หรือ Trusted AI

 

หนึ่งในประเด็นสำคัญที่องค์กรต้องให้ความสำคัญอย่างมากคือ ‘การบริหารจัดการข้อมูล’ เนื่องจาก AI ไม่ได้เกี่ยวข้องเฉพาะข้อมูลที่ใช้ในการฝึกโมเดลเท่านั้น แต่ยังรวมถึงข้อมูลที่เกิดขึ้นระหว่างการใช้งาน เช่น คำสั่งที่ผู้ใช้ป้อนเข้าไป (prompt) ผลลัพธ์ที่ระบบสร้าง (output) รวมถึงข้อมูลในเชิงเทคนิคอย่าง embedding และ log ต่างๆ การจัดการข้อมูลเหล่านี้จึงต้องทำอย่างรอบด้าน องค์กรต้องสามารถอธิบายได้ว่าข้อมูลใดถูกเก็บ ใช้ หรือเปิดเผยเพื่อวัตถุประสงค์ใด และมีฐานทางกฎหมายรองรับหรือไม่ พร้อมทั้งต้องสื่อสารให้เจ้าของข้อมูลรับทราบอย่างโปร่งใส และจำกัดการใช้ข้อมูลให้อยู่ภายในขอบเขตวัตถุประสงค์ที่กำหนดไว้เท่านั้น หลักการนี้สะท้อนแนวคิดพื้นฐานของ PDPA ที่เน้น ‘ความจำเป็นและความชัดเจน’ ในการใช้ข้อมูล

 

นอกจากการจัดการข้อมูลแล้ว องค์กรยังต้องให้ความสำคัญอย่างยิ่งกับ ‘สิทธิของเจ้าของข้อมูล’ ซึ่งยังคงเป็นหัวใจสำคัญแม้เทคโนโลยีจะเปลี่ยนแปลงไปเพียงใด องค์กรต้องมีมาตรการที่สามารถรองรับสิทธิต่าง ๆ ได้อย่างมีประสิทธิภาพ ไม่ว่าจะเป็นสิทธิในการเข้าถึง แก้ไข หรือลบข้อมูล ตลอดจนสิทธิในการคัดค้านการประมวลผลข้อมูล ที่สำคัญคือในยุคที่ AI สามารถตัดสินใจแทนมนุษย์ได้มากขึ้น องค์กรต้องพิจารณาอย่างรอบคอบในกรณีที่มี ‘การตัดสินใจโดยอัตโนมัติ’ โดยเฉพาะหากการตัดสินใจนั้นส่งผลกระทบต่อบุคคลอย่างมีนัยสำคัญ แนวทางที่เหมาะสมคือการนำกลไก Human-in-the-loop เข้ามาใช้ เพื่อให้มนุษย์ยังคงมีบทบาทในการตรวจสอบหรือยืนยันผลการตัดสินใจของ AI ซึ่งจะช่วยลดความเสี่ยงและเพิ่มความเป็นธรรมให้กับระบบ

 

ในอีกด้านหนึ่ง การนำ AI มาใช้ยังมาพร้อมกับความเสี่ยงรูปแบบใหม่ที่องค์กรอาจยังไม่คุ้นเคยมากนัก เช่น การโจมตีผ่านคำสั่ง (prompt injection) การย้อนวิเคราะห์ข้อมูลจากโมเดล (model inversion) หรือการปนเปื้อนข้อมูลฝึกสอน (data poisoning) ซึ่งอาจส่งผลให้ระบบให้ผลลัพธ์ที่ไม่ถูกต้อง หรือเลวร้ายกว่านั้นคือเกิดการรั่วไหลของข้อมูลส่วนบุคคลโดยไม่ตั้งใจ ในกรณีที่ระบบ AI มีความเสี่ยงสูง องค์กรจึงควรจัดให้มีการประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล หรือ Data Protection Impact Assessment (DPIA) เพื่อช่วยระบุความเสี่ยงล่วงหน้า ประเมินผลกระทบ และกำหนดมาตรการลดความเสี่ยงอย่างเหมาะสม

 

สุดท้าย เรื่องของความมั่นคงปลอดภัยยังคงเป็นพื้นฐานที่ขาดไม่ได้ มาตรการด้านความปลอดภัยต้องครอบคลุมทั้งในเชิงองค์กร กายภาพ และเทคนิค ไม่ว่าจะเป็นการกำหนดสิทธิการเข้าถึงข้อมูล การเข้ารหัสข้อมูล การจัดทำบันทึกการใช้งานเพื่อตรวจสอบย้อนหลัง หรือการกำหนดกลไกควบคุมระบบเพื่อป้องกันการใช้งานที่ไม่เหมาะสม ตลอดจนการทดสอบระบบอย่างสม่ำเสมอ ทั้งหมดนี้มีเป้าหมายเพื่อป้องกันและลดความเสี่ยงจากการใช้ AI อย่างเป็นรูปธรรม

 

การสร้างความเชื่อมั่น: ปัจจัยสำเร็จของ AI ในระยะยาว

 

จากหลักการและแนวทางดังกล่าว ผู้เขียนเห็นว่าองค์กรที่ต้องการใช้ AI อย่างยั่งยืนควรเริ่มจาก ‘การตั้งคำถามเชิงระบบ’ มากกว่าการแก้ไขปัญหาเป็นรายกรณี เช่น

 

  • การประเมินช่องว่าง (gap) ระหว่างแนวทางปฏิบัติที่มีอยู่กับข้อกำหนดทางกฎหมายและจริยธรรมด้าน AI เพื่อระบุความเสี่ยงที่อาจยังไม่ถูกมองเห็นอย่างชัดเจน
  • การกำหนดนโยบายและแนวปฏิบัติภายในองค์กรที่ชัดเจนสำหรับการใช้ AI โดยเฉพาะในประเด็นการใช้ข้อมูล การตัดสินใจอัตโนมัติ และความรับผิดชอบของผู้ที่เกี่ยวข้อง
  • การพัฒนาความรู้และความเข้าใจของบุคลากรในระดับองค์กร เพื่อให้สามารถใช้ AI ได้อย่างเหมาะสมทั้งในเชิงเทคนิค กฎหมาย และจริยธรรม

 

Trusted AI: จากการปฏิบัติตามกฎหมายสู่การตัดสินใจทางธุรกิจอย่างยั่งยืน

 

ท่ามกลางแนวโน้มการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลที่เข้มข้นขึ้น และข้อเท็จจริงที่ว่า AI โดยธรรมชาติมักต้องพึ่งพาข้อมูลส่วนบุคคลอย่างหลีกเลี่ยงไม่ได้ แนวคิด KPMG Trusted AI ช่วยให้การกำกับดูแล AI ไม่ได้จำกัดอยู่เพียงการปฏิบัติตามกฎหมาย แต่เชื่อมโยงไปสู่การตัดสินใจทางธุรกิจในภาพรวม ไม่ว่าจะเป็น การยึดโยงกับคุณค่าขององค์กร การคงบทบาทของมนุษย์ในกระบวนการตัดสินใจ หรือการสร้างความน่าเชื่อถือของระบบ สิ่งเหล่านี้ล้วนเป็นปัจจัยที่กำหนดว่า AI จะสามารถใช้งานได้อย่างยั่งยืนหรือไม่

 

ท้ายที่สุด โอกาสทางธุรกิจในยุคปัญญาประดิษฐ์มิได้เกิดขึ้นจากเพียงความสามารถในการนำเทคโนโลยีมาใช้ให้ทันต่อการเปลี่ยนแปลงเท่านั้น หากแต่เกิดจากการสร้างความเชื่อมั่นในระยะยาว ซึ่งจะเกิดขึ้นได้ก็ต่อเมื่อองค์กรสามารถดำเนินงานได้อย่างมีความรับผิดชอบ โปร่งใส และสอดคล้องกับกฎหมายอย่างเคร่งครัด อันเป็นรากฐานสำคัญของการใช้ AI อย่างยั่งยืนในอนาคต

 

ภาพ: Summit Art Creations/ Shutterstock

  • LOADING...

READ MORE





Latest Stories