ในปัจจุบัน AI เทคโนโลยี เข้ามามีบทบาทแทบจะทุกการเคลื่อนไหวของเรา ทั้งการค้นหาข้อมูล การเปิดฟังเพลงบนแอปฯ สตรีมมิ่ง หรือแม้แต่การแสกนหน้าเข้าที่ทำงาน ทั้งหมดที่กล่าวมาล้วนมีส่วนเกี่ยวข้องกับการใช้ “ข้อมูลส่วนบุคคล” ทั้งนั้น ด้วยเหตุนี้ กฎหมาย PDPA (Personal Data Protection Act) จึงเข้ามามีบทบาทมากขึ้น เพื่อควบคุมการเก็บรักษาข้อมูลส่วนบุคคลของหน่วยงานต่าง ๆ
อย่างไรก็ตาม ก็ยังมีความสับสนเกี่ยวกับตัวกฎหมายฉบับนี้โดยเฉพาะ การขอความยินยอม (Consent) ในการ “เก็บข้อมูลส่วนบุคคล” ว่ากรณีไหนบ้างที่องค์กรหรือหน่วยงานต้องร้องขอความยินยอมจากเจ้าของข้อมูล กรณีไหนบ้างที่หน่วยงานสามารถใช้ข้อมูลได้เลย โดยไม่จำเป็นต้องร้องขอ และหากเจ้าของข้อมูลพบว่า “ข้อมูลส่วนบุคคล” ของตนเองรั่วไหล พวกเขามีสิทธิ์ได้รับการเยียวยาหรือไม่ ? ในฐานะ “เจ้าของข้อมูล” ผู้มีส่วนได้ส่วนเสียโดยตรง
Thai PBS ชวนคุณมาทำความรู้จักกับกฎหมาย PDPA ให้มากขึ้น โดยเรียบเรียงข้อมูลจากงานสัมมนา “Surviving PDPA in an AI-First World” โดยอาจารย์ไพบูลย์ อมรภิญโญเกียรติ ตัวแทนจากสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคศ.) และสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.), เบญจ เบญจรงคกุล ประธานเจ้าหน้าที่บริหารร่วม (Co-CEO) และคุณภูสิทธิ์ ชีวกนิษฐ์ Head of Cybersecurity Advisory จากบริษัท ยูไนเต็ด อินฟอร์เมชั่น ไฮเวย์ จำกัด (UIH)
PDPA คืออะไร ?
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ Personal Data protection Act (PDPA) ของประเทศไทย มีวัตถุประสงค์เพื่อปกป้องความเป็นส่วนตัวของ “ข้อมูลส่วนบุคคล” ในยุคดิจิทัล
หลักการทำงานของกฎหมาย PDPA คือการให้สิทธิ์กับ “เจ้าของข้อมูล” ในการควบคุมข้อมูลของตนเอง และสามารถดำเนินการทางกฎหมายกับบุคคล หน่วยงาน หรือองค์กรได้ หากถูกนำ “ข้อมูลส่วนบุคคล” ไปใช้โดยมิชอบ
กฎหมาย PDPA ถูกพูดถึงอย่างเป็นทางการในสังคม หลังประกาศบังคับใช้กับทุกหน่วยงานที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล ไม่ว่าจะเป็นภาครัฐหรือเอกชน ตั้งแต่วันที่ 1 มิถุนายน พ.ศ. 2565 หรือเมื่อ 3 ปีที่แล้ว
แต่สิ่งที่ใครหลายคน อาจจะยังไม่รู้ก็คือ กฎหมาย PDPA ของประเทศไทย ไม่ได้ถูกร่างขึ้นมาเอง แต่ถอดแบบมาจาก ข้อบังคับว่าด้วยการคุ้มครองข้อมูล หรือ General Data Protection Regulation (GDPR) ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป เพียงแต่นำมาปรับให้เข้ากับ ‘บริบท’ ไทยมากยิ่งขึ้น
“ข้อมูลส่วนบุคคล” แบ่งออกเป็นกี่ประเภท ?
กฎหมาย PDPA แบ่งประเภทของข้อมูลส่วนบุคคล ออกเป็น 2 ประเภทใหญ่ ๆ คือ ข้อมูลส่วนบุคคลทั่วไป (Personal Data) และข้อมูลส่วนบุคคลอ่อนไหว (Sensitive Personal Data)
โดยข้อมูลส่วนบุคคลทั่วไป (Personal Data) หมายถึง ข้อมูลใด ๆ ที่สามารถระบุตัวบุคคลนั้นได้ (ระบุไปถึงเจ้าของข้อมูล) ไม่ว่าจะเป็นทางตรงหรือทางอ้อม ไม่รวมข้อมูลของผู้ที่เสียชีวิตแล้ว หรือข้อมูลของนิติบุคคล เช่น บริษัท, มูลนิธิ, สมาคม หรือองค์กร
ตัวอย่าง "ข้อมูลส่วนบุคคลทั่วไป" (Personal Data) มีอะไรบ้าง ?
- ชื่อ-นามสกุล หรือชื่อเล่น
- เลขประจำตัวประชาชน
- เลขหนังสือเดินทาง
- เลขบัตรประกันสังคม, , เลขประจำตัวผู้เสียภาษี, เลขบัญชีธนาคาร, เลขบัตรเครดิต
- ที่อยู่
- อีเมล
- เบอร์โทรศัพท์
- IP address, MAC address, Cookie ID
- ทะเบียนรถยนต์, เลขใบอนุญาตขับขี่
- โฉนดที่ดิน
- วันเกิดหรือสถานที่เกิด
- น้ำหนักหรือส่วนสูง
- ข้อมูลการแพทย์, ข้อมูลการศึกษา, ข้อมูลทางการเงิน หรือข้อมูลการจ้างงาน เป็นต้น
ในขณะที่ ข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive Personal Data) หมายถึงข้อมูลส่วนบุคคลที่เป็นเรื่องส่วนตัว แต่มีความละเอียดอ่อนและสุ่มเสี่ยงต่อการถูกใช้เป็นเครื่องมือเพื่อ ‘เลือกปฏิบัติ’ อย่างไม่เป็นธรรม จึงต้องดำเนินการด้วยความระมัดระวังเป็นพิเศษ
ตัวอย่าง "ข้อมูลส่วนบุคคลที่อ่อนไหว" มีอะไรบ้าง ?
- เชื้อชาติ
- เผ่าพันธุ์
- ความคิดเห็นทางการเมือง
- ความเชื่อในลัทธิ ศาสนาหรือปรัชญา
- พฤติกรรมทางเพศ
- ประวัติอาชญากรรม
- ข้อมูลสุขภาพ ความพิการ หรือข้อมูลสุขภาพจิต
- ข้อมูลสหภาพแรงงาน
- ข้อมูลพันธุกรรม
- ข้อมูลชีวภาพ
- ข้อมูลทางชีวมิติ (Biometric) เช่น รูปภาพใบหน้า, ลายนิ้วมือ, ฟิล์มเอกซเรย์, ข้อมูลสแกนม่านตา, ข้อมูลอัตลักษณ์เสียง, ข้อมูลพันธุกรรม
- ข้อมูลอื่น ๆ ซึ่งกระทบต่อเจ้าของข้อมูล ตามที่คณะกรรมการประกาศกำหนด
แต่ไม่ว่าจะเป็นข้อมูลส่วนบุคคลทั่วไป หรือข้อมูลส่วนบุคคลที่มีความอ่อนไหว ไม่ใช่ว่าใครอยากจะหยิบไปใช้ ก็ใช้ได้เลย เราในฐานะเจ้าของข้อมูล มีสิทธิที่จะให้ความยินยอม (Consent) หรือไม่ก็ได้ ตามมาตรา 19 ในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งระบุไว้ว่า
“ผู้ควบคุมข้อมูลส่วนบุคคลจะกระทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล ส่วนบุคคลไม่ได้ หากเจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอมไว้ก่อนหรือในขณะนั้น เว้นแต่บทบัญญัติ แห่งพระราชบัญญัตินี้หรือกฎหมายอื่นบัญญัติให้กระทำได้”
จะเห็นได้ว่า การให้ความยินยอม (Consent) เป็นเรื่องสำคัญมาก แต่คำถามที่สำคัญกว่าก็คือ แล้วกับปัญญาประดิษฐ์ (AI) ซึ่งไม่ได้มีสถานะเป็นตัวเป็นตน เหมือนบุคคล, ห้างร้าน, หน่วยงาน หรือองค์กร เราจะมั่นใจได้อย่างไรว่า ทุกความยินยอมของเรา AI สามารถรับรู้ได้จริง ๆ ? - และไม่ถูก AI นำข้อมูลไปใช้โดยปราศจากความยินยอม
ความสำคัญของกฎหมาย PDPA ในสังคมอุดม AI
อาจารย์ไพบูลย์ อมรภิญโญเกียรติ ตัวแทนจากสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคศ.) และสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) - หนึ่งในผู้ร่วมบรรยาย งานสัมมนา “Surviving PDPA in an AI-First World” ได้อธิบายไว้ว่า
“หลักการทำงานของ AI กับกฎหมาย PDPA มันขัดแย้งหรือตรงข้ามกัน หลักการของ PDPA คือใช้ข้อมูลส่วนบุคคลให้น้อยที่สุด หรือใช้เท่าที่จำเป็น ในขณะที่ AI ต้องเก็บข้อมูลส่วนบุคคลให้มากที่สุด เพื่อให้ได้ข้อมูลที่ตรงที่สุด” อาจารย์ไพบูลย์อธิบายให้ฟังสั้น ๆ
หากย้อนกลับมามองในบริบทโลกยุคปัจจุบัน ทุกการเคลื่อนไหวของเราล้วนเกี่ยวข้องกับเทคโนโลยี AI ทั้งสิ้น ไม่ว่าจะเป็นการค้นหาเส้นทางบน Google Map การฟังเพลงบนแอปฯ สตรีมมิ่ง หรือแม้แต่การแสกนหน้าเข้าที่ทำงาน - ซึ่งเป็นการใช้ “ข้อมูลส่วนบุคคล” ของเรา
AI ใช้ตำแหน่งที่เราอยู่ในปัจจุบัน เพื่อคำนวณระยะทางและระยะเวลา ที่เราจะไปถึงที่หมาย, AI จัดเพลย์ลิสต์เพลงใหม่ ๆ ที่เราน่าจะสนใจ จากประเภทเพลงที่เราเลือกฟัง และ AI ยังบันทึกเวลาเข้างานของเรา จากข้อมูลทางกายภาพ เช่น ใบหน้า ดวงตา หรือลายนิ้วมือ ทุกครั้งที่แสกน
นั่นจึงเป็นเหตุผลที่ทำให้ กฎหมาย PDPA เข้ามามีบทบาทสำคัญ ในการกำกับดูแลองค์กรหรือหน่วยงานต่าง ๆ ที่ใช้ AI เก็บข้อมูลส่วนบุคคลของเรา แถมยังให้สิทธิ์เราในฐานะเจ้าของข้อมูล เพื่อดำเนินการตามกฎหมายได้ หากข้อมูลรั่วไหล
เก็บข้อมูลส่วนบุคคลแบบไหน ผิดกฎหมาย PDPA ?
อาจารย์ไพบูลย์ได้ยกตัวอย่างของการเก็บข้อมูลที่ผิดกฎหมายคุ้มครองข้อมูลส่วนบุคคล (ซึ่งมักพบบ่อย) พร้อมเตือนเจ้าของข้อมูลอย่างเรา ๆ ว่า หากพบการกระทำผิดดังกล่าวสามารถแจ้งทาง สคศ. เพื่อจะได้ส่งคำแจ้งเตือนในการแก้ไขหรือปรับโทษต่อไป
- “การบังคับยินยอมรับข้อมูลการตลาดและแชร์ข้อมูลข้ามเครือ”
ห้างสรรพสินค้าหรือบริษัทโทรศัพท์หลาย ๆ แห่ง มักมีข้อกำหนดให้ลูกค้าต้อง "ยอมรับ" การรับข้อมูลข่าวสารหรือการตลาด หรือการแชร์ข้อมูลลูกค้าทั้งเครือบริษัท โดยไม่มีทางเลือกในการปฏิเสธ หรือมีตัวเลือกที่ซับซ้อน - อาจารย์ไพบูลย์ชี้ว่า การกระทำเช่นนี้ถือเป็นการบังคับความยินยอม ซึ่งไม่ชอบด้วยกฎหมาย และถ้าหากมีการ "แชร์ต่อทั้งเครือ" โดยไม่มีขอบเขต และไม่ได้รับความยินยอมจากเจ้าของข้อมูลที่แท้จริง ก็ถือว่าผิดกฎหมายเข้าไปอีก
- “การรูดบัตรประชาชนโดยไม่จำเป็น”
สถานบันเทิงหรือหน่วยงานบางแห่งใช้เครื่องรูดบัตรประชาชนเพื่อเก็บข้อมูลส่วนบุคคลอย่างละเอียด เช่น ข้อมูลทะเบียนสมรส โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล นี่คือการละเมิดข้อมูลที่ร้ายแรงและเป็นบ่อเกิดของปัญหาแก๊งคอลเซนเตอร์ในปัจจุบัน เพราะข้อมูลส่วนบุคคลที่เก็บไปเกินกว่าที่จำเป็น
นอกจากนี้ อาจารย์ไพบูลย์ยังกล่าวว่า “การแสกนลายนิ้วมือหรือใบหน้า” ของพนักงาน (โดยใช้ฐานความยินยอม) เป็นอันดับหนึ่งของท็อปลิสต์ ข้อมูลส่วนบุคคลที่มักถูกเข้าใจผิดว่าต้องการความยินยอม (Consent) จากเจ้าของข้อมูล แม้จะถูกจัดอยู่ในกลุ่มข้อมูลส่วนบุคคลที่มีความอ่อนไหว ต่อให้พนักงานจะเพิกถอนความยินยอมภายหลัง ก็สามารถใช้ "ฐานการปฏิบัติตามกฎหมายแรงงาน" หรือ "ประโยชน์โดยชอบด้วยกฎหมาย" (เพื่อรักษาความปลอดภัย) เพื่อเก็บข้อมูลแทนได้ โดยไม่จำเป็นต้องขอความยินยอม
5 ฐานกฎหมาย 6 ข้อยกเว้น : ข้อมูลส่วนบุคคลอะไรบ้าง ที่ไม่จำเป็นต้องขอความยินยอม ?
อาจารย์ไพบูลย์เล่าว่า กฎหมาย PDPA ได้กำหนด "5 ฐานทางกฎหมาย" ที่อนุญาตให้องค์กร หรือใครก็ตามที่เก็บข้อมูลของเรา สามารถนำข้อมูลไปประมวลผลได้โดยไม่จำเป็นต้องขอความยินยอมจากเจ้าของข้อมูล โดยทั้ง 5 ฐานมีดังนี้
ฐานที่ 1 : ฐานแห่งการทำสัญญา
เมื่อเจ้าของข้อมูลส่วนบุคคล ได้ทำการตกลงทำสัญญาหรือข้อตกลงใด ๆ กับกับองค์กร หน่วยงานหรือบุคคลทั่วไป ข้อมูลส่วนตัวของเราจะถูกนำไปใช้ เพื่อทำตามสัญญานั้นได้ทันที
ยกตัวอย่างสถานการณ์ที่เกิดขึ้นได้ในชีวิตประจำวัน เช่น การสั่งซื้อสินค้าออนไลน์ เจ้าของข้อมูลซึ่งเป็นผู้ซื้อ ต้องให้ชื่อ ที่อยู่ หรือเบอร์โทรศัพท์ กับตัวร้านค้า เพื่อให้ร้านค้าสามารถจัดส่งสินค้าได้, การสมัครเป็นพนักงานหรือลูกจ้างของหน่วยงานหรือองค์กร ซึ่งบริษัทสามารถเก็บข้อมูลส่วนบุคคล เช่น เลขบัตรประชาชนหรือฐานเงินเดือนของเจ้าของข้อมูล เพื่อทำเรื่องจ่ายเงินเดือนและจัดสวัสดิการให้ได้
ไม่เว้นแม้กระทั่ง ในวงการสื่อมวลชน การเชิญแหล่งข่าวมาออกรายการทีวี เมื่อแหล่งข่าว ซึ่งถือเป็นเจ้าของข้อมูล ได้รับค่าตัวจากการไปออกรายการแล้ว แสดงว่าข้อมูลที่ปรากฏในรายการสามารถถูกนำไปใช้ได้ทันที เพราะถือเป็นส่วนหนึ่งของสัญญาที่ตกลงกันแหล่งข่าวจะมาบอกให้ลบเทปในภายหลังไม่ได้
ฐานที่ 2 : ฐานแห่งการช่วยชีวิตเจ้าของข้อมูล
เมื่อเกิดสถานการณ์ฉุกเฉิน ที่เป็นอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของเจ้าของข้อมูล เจ้าหน้าที่หรือหน่วยงานที่เกี่ยวข้อง สามารถนำข้อมูลส่วนบุคคลของเจ้าของข้อมูลไปใช้ได้ทันที
ยกตัวอย่างเช่น เมื่อเจ้าของข้อมูลหมดสติ และถูกนำส่งตัวไปที่โรงพยาบาล แพทย์สามารถใช้ข้อมูลสุขภาพของเจ้าของข้อมูล นำมาประกอบการรักษา เพื่อช่วยชีวิตได้ทันที โดยไม่ต้องรอขออนุญาตจากเจ้าตัวหรือญาติก่อน
หรือการทำงานในโรงงานอุตสาหกรรม ข้อมูลสุขภาพของพนักงานอาจถูกตรวจสอบ เพื่อป้องกันโรคระบาด หรือเพื่อความปลอดภัยตามกฎหมายแรงงานได้
ฐานที่ 3 : เพื่อผลประโยชน์ที่ถูกต้องและสมเหตุสมผล โดยชอบด้วยกฎหมาย
องค์กร, หน่วยงาน หรือบุคคลที่เกี่ยวข้อง สามารถนำข้อมูลส่วนบุคคลไปใช้เพื่อประโยชน์อันชอบธรรมขององค์กรหรือบุคคลอื่น โดยไม่ละเมิดสิทธิขั้นพื้นฐานของเจ้าของข้อมูลมากเกินไป
ตัวอย่างที่พบเห็นได้บ่อย คือการที่อาคาร, ห้างสรรพสินค้า หรือถนนบางสาย ติดกล้องวงจรปิด (CCTV) บันทึกภาพเหตุการณ์ที่เกิดขึ้น เพื่อรักษาความปลอดภัย โดยไม่ต้องขออนุญาตจากทุกคนที่เดินผ่าน แต่ต้องติดป้ายบอกว่า "มีกล้องวงจรปิด” หรือการที่บริษัทอาจเก็บข้อมูลการเข้าใช้งานระบบของพนักงานเพื่อตรวจสอบความปลอดภัย และป้องกันการรั่วไหลของข้อมูล เป็นต้น
ฐานที่ 4 : เพื่อธำรงหน้าที่ตามกฎหมายกำหนด
ข้อมูลส่วนตัวของเจ้าของข้อมูล สามารถถูกนำไปใช้ได้ หากมีกฎหมายบังคับให้ต้องทำ เช่น การที่บริษัทหรือองค์กร ต้องส่งข้อมูลเงินเดือนของลูกจ้าง ให้กรมสรรพากรตรวจสอบตามกฎหมาย หรือการส่งหมายศาลไปหาเจ้าของข้อมูลตามที่อยู่ในทะเบียนบ้าน เพื่อดำเนินคดี
ฐานที่ 5 : เพื่อประโยชน์ส่วนรวม, ประโยชน์สาธารณะ หรือการใช้อำนาจรัฐ
หน่วยงานภาครัฐสามารถใช้ข้อมูลของเจ้าของข้อมูลเพื่อดำเนินภารกิจที่เป็นประโยชน์ต่อสาธารณะได้ เช่น การที่สำนักงานเขตเก็บข้อมูลเพื่อทำบัตรประชาชน หรือการนำข้อมูลส่วนบุคคลของประชาชนบางส่วน เพื่อลงทะเบียนโครงการรัฐ
ซึ่งทั้ง 5 ฐานกฎหมายที่กล่าวไปข้างต้น มีความสอดคล้องกับกับมาตรา 4 ของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้ระบุไว้ว่า กฎหมายนี้ไม่ใช้บังคับแก่ (หรือยกเว้นในกรณี ดังนี้)
- การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบุคคลที่ทำการเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อประโยชน์ส่วนตนหรือเพื่อกิจกรรมในครอบครัวของบุคคลนั้นเท่านั้น
- การดำเนินการของหน่วยงานของรัฐที่มีหน้าที่ในการรักษาความมั่นคงของรัฐ ซึ่งรวมถึง ความมั่นคงทางการคลังของรัฐ หรือการรักษาความปลอดภัยของประชาชน รวมทั้งหน้าที่เกี่ยวกับ การป้องกันและปราบปรามการฟอกเงิน นิติวิทยาศาสตร์ หรือการรักษาความมั่นคงปลอดภัยไซเบอร์
- บุคคลหรือนิติบุคคลซึ่งใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่ทำการเก็บรวบรวมไว้เฉพาะ เพื่อกิจการสื่อมวลชน งานศิลปกรรม หรืองานวรรณกรรมอันเป็นไปตามจริยธรรมแห่งการประกอบวิชาชีพ หรือเป็นประโยชน์สาธารณะเท่านั้น
- สภาผู้แทนราษฎร วุฒิสภา และรัฐสภา รวมถึงคณะกรรมาธิการที่แต่งตั้งโดยสภาดังกล่าว ซึ่งเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลในการพิจารณาตามหน้าที่และอำนาจของสภาผู้แทนราษฎร วุฒิสภา รัฐสภา หรือคณะกรรมาธิการ แล้วแต่กรณี
- การพิจารณาพิพากษาคดีของศาลและการดำเนินงานของเจ้าหน้าที่ในกระบวนการพิจารณาคดี การบังคับคดี และการวางทรัพย์ รวมทั้งการดำเนินงานตามกระบวนการยุติธรรมทางอาญา
- การดำเนินการกับข้อมูลของบริษัทข้อมูลเครดิตและสมาชิกตามกฎหมายว่าด้วย การประกอบธุรกิจข้อมูลเครดิต
เมื่อข้อมูลส่วนบุคคลรั่วไหล เจ้าของข้อมูลมีสิทธิ์อะไรบ้าง ?
อาจารย์ไพบูลย์ อมรภิญโญเกียรติ กล่าวว่าเป้าหมายของ PDPA ไม่ได้มีไว้เพื่อปรับบริษัท แต่เพื่อคุ้มครองประชาชน ในฐานะ “เจ้าของข้อมูล” ให้ได้รับความเป็นธรรม หากข้อมูลส่วนบุคคลของประชาชนอย่างเรารั่วไหล เรามีสิทธิ์ที่จะ
- มีสิทธิ์ที่จะรู้ว่าข้อมูลหลุดจากที่ไหน
เจ้าของข้อมูลมีสิทธิ์สอบถามบริษัทที่โทรมาหาว่า "เอาข้อมูลของฉันมาจากไหน?" หากตอบไม่ได้ หรือตอบไม่ชัดเจน บริษัทนั้นมีโอกาสถูกปรับ
- มีสิทธิ์ขอแก้ไขหรือลบข้อมูล
เจ้าของข้อมูลมีสิทธิ์ที่จะขอแก้ไขข้อมูลให้ถูกต้อง หรือขอให้ลบข้อมูลของตัวเองออกจากระบบได้ (แต่ต้องอยู่ภายใต้เงื่อนไขตาม 5 ฐานทางกฎหมายข้างต้น)
- มีสิทธิ์ได้รับการเยียวยา
หากข้อมูลของเจ้าของข้อมูลรั่วไหล และทำให้เกิดความเสียหาย บริษัทมีหน้าที่ต้อง "เยียวยา" เจ้าของข้อมูลอย่างเหมาะสม และ สคส. ให้ความสำคัญกับเรื่องนี้ หากบริษัทแสดงความพยายามในการเยียวยา ก็อาจได้รับการลดโทษ
เมื่อหนีจาก AI ไม่ได้ ก็ต้อง ‘ใช้’ ให้เป็น
เบญจ เบญจรงคกุล ประธานเจ้าหน้าที่บริหารร่วม (Co-CEO) ของ UIH พูดถึงการเปลี่ยนแปลงของโลกธุรกิจ ในยุคที่ AI กลายเป็นส่วนสำคัญในการใช้ชีวิตของมนุษย์ โดยเน้นย้ำว่า “AI ไม่ได้เป็นเพียงเครื่องมือในการขับเคลื่อนองค์กร แต่ยังนำมาซึ่งความเสี่ยงด้านความเป็นส่วนตัว (Privacy) ที่ต้องบริหารจัดการอย่างรอบคอบ” องค์กรจึงต้องปรับแนวทางการคุ้มครองข้อมูลให้สอดรับกับการใช้งาน AI ตั้งแต่ระดับกลยุทธ์ไปจนถึงการปฏิบัติจริง
ข้อมูลอ้างอิง
- สำนักงานเลขาธิการคณะรัฐมนตรี
- กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม
