ปปป

สรุปการเสวนา หัวข้อ Artificial Intelligence and Data Protection ว่าควรทำอย่างไรให้ จึงจะสอดคล้องกับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA

หัวข้อ Artificial Intelligence and Data Protection

เมื่อวันที่ 1 เม.ย. 2564 ที่ผ่านมา ทาง ETDA หรือ สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (สพธอ.) ได้มีการจัดเสวนา ผ่านระบบ e-Meeting หัวข้อ “Artificial Intelligence and Data Protection” โดยมีวิทยากรผู้เชี่ยวชาญเข้าร่วมการเสวนาในครั้งนี้ ได้แก่

  1. อ. ดร. ธนชาตย์ ฤทธิ์บำรุง ผอ.ศูนย์วิเคราะห์ธุรกิจและวิทยาการข้อมูล, อาจารย์ประจำคณะสถิติประยุกต์ NIDA
  2. คุณมานิตา ตันติเพชราภรณ์ Head of Analytics, True money Thailand
  3. อ. ดร.วิสาขา ภู่สำรวจ อาจารย์ประจำคณะนิติศาสตร์ NIDA
  4. ผศ.ดร.ธีทัต ชวิศจินดา ผู้อำนวยการศูนย์กฎหมายเพื่อการพัฒนา, อาจารย์ประจำคณะนิติศาสตร์ NIDA

โดยในการเสวนาได้มีการพูดถึงประเด็นต่างๆ โดยสรุปได้ ดังนี้

  • กฎหมาย PDPA มีไว้เพื่อ
    • เพื่อให้ผู้ใช้งานข้อมูลมีความระมัดระวัง
    • เพื่อให้ตระหนักในการใช้ข้อมูลส่วนบุคคล
    • เพื่อลดความเสี่ยงกับเจ้าของข้อมูล
  • ผู้ใช้ข้อมูลส่วนบุคคล ( ผู้ประมวลผลข้อมูล และ ผู้ควบคุมข้อมูล ) มีหน้าที่ 2 แง่ ได้แก่
    • ในแง่ของ Data privacy คือ หน้าที่ที่มีต่อเจ้าของข้อมูล เช่น สิทธิในการให้ความยินยอม, สิทธิในการถอนความยินยอม, แจ้งให้เจ้าของข้อมูลทราบในกรณีเกิดข้อมูลรั่ว
    • ในแง่ของ data security คือ หน้าที่ในการทำให้ข้อมูลมีความมั่งคงปลอดภัย จะเน้นในด้าน system ในลักษณะมาตรการเชิงองค์กร, สัญญา, เทคโนโลยี ในการทำให้ข้อมูลปลอดภัย
  • ผู้ใช้ข้อมูลส่วนบุคคล ( ผู้ประมวลผลข้อมูล และ ผู้ควบคุมข้อมูล ) มีหน้าที่ตามกฎหมาย ได้แก่
    • หน้าที่ก่อนเกิดเหตุการณ์ข้อมูลรั่วไหล คือ แจ้งวัตถุประสงค์ + ขอความยินยอม
    • หน้าที่หลังเกิดเหตุการณ์ข้อมูลรั่วไหล คือ แจ้งเจ้าของข้อมูลให้ทราบ และแจ้งสาเหตุที่ข้อมูลรั่วไหล รวมถึงแจ้งสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ( สคส. ) 
  • Data Privacy กับ Data Security
    • อันไหนสำคัญกว่ากัน ต้องพิจารณาจากสถานการณ์
    • การจัดการอันไหนยากกว่ากัน
      • คุณมานิตา ให้ความเห็นว่า การจัดการกับ Data Privacy ยากกว่า ในขณะที่ Data Security แค่ทำตามระบบ ก็ไม่มีปัญหาอะไรแล้ว
  • สรุปหลักของการทำ PDPA คือ What, Why และ How
    • What = เก็บข้อมูลอะไร
    • Why = เก็บข้อมูลทำไม เพื่ออะไร
    • How = เก็บข้อมูลอย่างไร
  • คำถามประเด็นต่างๆ
    • หากเก็บข้อมูลไว้ก่อน แต่ยังไม่รู้ว่าจะเก็บไปทำไม สามารถเก็บข้อมูลได้ไหม
      • คำตอบ การเก็บข้อมูลโดยยังไม่รู้ว่าจะเก็บไปทำอะไร เป็นการขัดกับหลักกฎหมาย PDPA ที่ระบุว่า ต้องแจ้งวัตถุประสงค์ก่อนเก็บข้อมูล ( มาตรา 23 )
    • การนำเสนอสินค้าให้ตรงกับที่ลูกค้าชอบ เป็นการทำผิดกฎหมาย PDPA ไหม
      • คำตอบ ในเรื่องนี้ยังไม่มีคำตอบ เนื่องจากกฎหมาย PDPA ยังไม่ได้ระบุชัดเจน
    • สมมติว่า บริษัท ก. อยากรู้ว่าคู่แข่งย่านสุขุมวิทเป็นใคร จึงไปเก็บข้อมูลจากกรมการค้า โดยเอาแค่ชื่อบริษัท กับ ทุนจดทะเบียน แบบนี้จะเป็นการทำผิดกฎหมาย PDPA ไหม
      • คำตอบ ถึงแม้ว่าตัวข้อมูลที่ไปเก็บมา จะไม่ได้เป็นข้อมูลส่วนบุคคลก็จริง แต่เมื่อเอาไปใช้ร่วมกับข้อมูลอื่นจนบ่งชี้ถึงตัวบุคคลได้ (บ่งชี้ถึงเจ้าของบริษัทได้) ก็เป็นการทำผิดกฎหมาย PDPA ( มาตรา 6 ข้อมูลที่สามารถระบุถึงตัวบุคคลได้ทั้งทางตรงหรือทางอ้อม )
    • เรื่อง กลุ่มเป้าหมายที่คล้ายกัน หรือ Lookalike Audience
      • คำตอบ ในแง่ของกฎหมาย PDPA ยังไม่ได้มีข้อบังคับเรื่องนี้
    • สมมติว่า การใช้งานแอพพลิเคชันบางแอพ ที่มีการขอ consent เช่น จะได้แต้ม/ได้โปรโมชั่นเมื่อติ๊ก consent ภายในเวลา 1 ชม. เป็นการทำผิดกฎหมาย PDPA ไหม
      • คำตอบ การล่อลวงใจโดยให้ผลประโยชน์บางอย่าง เป็นการขอ consent ที่ไม่ชอบด้วยกฎหมาย ( มาตรา 19 วรรค 3-4, มาตรา 83) โดย มาตรา 19 วรรค 4 บอกว่า “ต้องคำนึงอย่างถึงที่สุดในความเป็นอิสระของเจ้าของข้อมูลส่วนบุคคลในการให้ความยินยอม” แต่กรณีนี้ใช้เวลามาบังคับให้ลูกค้าตัดสินใจยินยอมให้ข้อมูล ซึ่งไม่ถูกต้องตามกฎหมาย

ที่มา : https://www.facebook.com/ETDA.Thailand/photos/a.911593285520915/4480645561948985/