กรุงเทพฯ — เมื่อวันที่ 20 ตุลาคม 2568 คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลแห่งชาติ (คคส. — ชื่อหน่วยงานสมมติ) ประกาศบทลงโทษต่อบริษัทเอกชนแห่งหนึ่งหลังพบการใช้ข้อมูลลูกค้าสำหรับการวิเคราะห์เชิงพฤติกรรมโดยไม่ได้รับความยินยอมชัดแจ้ง และขาดมาตรการควบคุมข้อมูลตามหลัก Data Governance ที่เหมาะสม
คคส. ระบุในแถลงการณ์ว่า บริษัท เอ็นาไลน์ จำกัด (สำนักงานใหญ่: กรุงเทพฯ) มีการรวบรวมและเชื่อมโยงข้อมูลลูกค้าจากแพลตฟอร์มต่าง ๆ เพื่อนำไปฝึกโมเดลวิเคราะห์พฤติกรรมผู้บริโภคและส่งต่อให้พันธมิตรการตลาดภายนอกโดยไม่มีการยืนยันฐานทางกฎหมายหรือขอความยินยอมชัดเจนจากเจ้าของข้อมูล นอกจากนี้หน่วยตรวจสอบพบว่าบริษัทไม่ได้จัดทำบันทึกการประมวลผลข้อมูลและไม่มีการประเมินผลกระทบด้านความเป็นส่วนตัว (DPIA) ก่อนเริ่มโครงการ
ผลการตรวจสอบนำไปสู่คำสั่งให้บริษัทปรับปรุงแนวทางการบริหารจัดการข้อมูล (Data Governance) ภายใน 60 วัน และมีบทลงโทษทางปกครอง ได้แก่ การปรับเงินและคำสั่งให้ระงับการประมวลผลข้อมูลบางส่วนจนกว่าจะแก้ไขช่องโหว่ด้านความปลอดภัย อย่างไรก็ตาม คคส. ระบุว่าบทลงโทษในกรณีนี้อยู่ในขอบเขตของมาตรการทางปกครองและไม่ใช่การฟ้องร้องคดีอาญาต่อบุคคลที่เกี่ยวข้องในขณะนี้
คำแนะนำจากคณะกรรมการชี้ให้เห็นจุดอ่อนสำคัญ 3 ด้านที่ธุรกิจมักพลาดคือ การกำหนดฐานทางกฎหมายในการประมวลผลที่ชัดเจน การจัดทำสัญญากับผู้ประมวลผลข้อมูลที่มีเงื่อนไขคุ้มครองข้อมูล และการใช้กลไกการปกปิดข้อมูล (pseudonymization/ anonymization) ก่อนนำข้อมูลไปใช้เพื่อการวิเคราะห์
ประเด็นด้านจริยธรรมของการใช้ AI ในการวิเคราะห์ข้อมูลถูกหยิบยกขึ้นมาด้วย คคส. แนะนำให้หน่วยงานและผู้ประกอบการจัดทำแนวปฏิบัติภายใน (ethical AI guideline) ที่ครอบคลุมการตรวจสอบความเอนเอียง (bias) ของโมเดล การทดสอบความปลอดภัยของข้อมูล และการเปิดเผยต่อผู้เกี่ยวข้องเมื่อมีการตัดสินใจสำคัญที่มาจากการวิเคราะห์อัตโนมัติ
บทลงโทษและแนวปฏิบัติล่าสุดที่ธุรกิจควรรู้
สรุปแนวทางปฏิบัติและบทลงโทษเชิงปฏิบัติที่คณะกรรมการเน้นย้ำ:
- การกำหนดฐานทางกฎหมาย: ระบุอย่างชัดเจนว่าการประมวลผลข้อมูลใดอาศัยความยินยอม การปฏิบัติตามสัญญา หน้าที่ตามกฎหมาย หรือผลประโยชน์ชอบธรรม
- การขอความยินยอม: ต้องเป็นไปตามหลักชัดเจน โปร่งใส และสามารถถอนความยินยอมได้ง่าย
- Data Governance: แต่งตั้งผู้รับผิดชอบด้านข้อมูล (Data Officer/ DPO), จัดทำแผนบริหารความเสี่ยง, บันทึกการประมวลผล และนโยบายการเก็บรักษา/ทำลายข้อมูล
- การประเมินผลกระทบ (DPIA): ดำเนินการก่อนเริ่มโครงการวิเคราะห์ข้อมูลขนาดใหญ่หรือใช้เทคโนโลยีใหม่
- มาตรการด้านความปลอดภัย: เข้ารหัส เปิดใช้งานการควบคุมการเข้าถึง และตรวจสอบระบบเป็นระยะ
- การจัดการผู้ให้บริการภายนอก: ทำสัญญาระบุหน้าที่ความรับผิดชอบและมาตรการคุ้มครองข้อมูล
- จริยธรรม AI: ตรวจสอบ bias, ความโปร่งใสของอัลกอริทึม และการจัดทำช่องทางทบทวนผลการตัดสินใจอัตโนมัติ
Q&A — Data Governance คืออะไร
Data Governance คือ กรอบนโยบาย กระบวนการ และบทบาทความรับผิดชอบที่องค์กรกำหนดขึ้นมาเพื่อให้มั่นใจว่าการใช้งานข้อมูลเป็นไปอย่างถูกต้อง ปลอดภัย และสอดคล้องกับกฎหมาย รวมถึงการควบคุมคุณภาพข้อมูล การจัดหมวดหมู่ การกำหนดเจ้าของข้อมูล และมาตรการคุ้มครองข้อมูล
แนวปฏิบัติ PDPA สำหรับการทำ Data Analytics (เชิงปฏิบัติ)
- เริ่มด้วยการวิเคราะห์ความจำเป็น: ลดข้อมูลที่ไม่จำเป็น (data minimization) และกำหนดวัตถุประสงค์ชัดเจน
- เลือกฐานทางกฎหมายที่เหมาะสม: หากใช้การยินยอม ให้จัดกระบวนการขอความยินยอมที่โปร่งใส และเก็บหลักฐานการยินยอม
- ดำเนิน DPIA สำหรับโครงการวิเคราะห์ข้อมูลขนาดใหญ่หรือติดต่อกับข้อมูลอ่อนไหว
- ใช้เทคนิคการปกปิดข้อมูล: pseudonymization หรือ anonymization ก่อนนำข้อมูลไปใช้ต่อ
- กำหนด Data Retention Policy: ระบุระยะเวลาการเก็บและวิธีการทำลายข้อมูลเมื่อไม่จำเป็น
- จ้างตรวจสอบภายนอกและทดสอบโมเดล AI เพื่อตรวจหาความเอนเอียงและช่องโหว่
- อบรมพนักงานด้าน PDPA และจริยธรรมการใช้ข้อมูลเป็นประจำ
- จัดทำบันทึกการประมวลผลและรายงานความเสี่ยงต่อหน่วยงานคุ้มครองข้อมูลเมื่อจำเป็น
บทส่งท้าย
เหตุการณ์ล่าสุดสะท้อนให้เห็นว่าการใช้ข้อมูลเพื่อวิเคราะห์เชิงธุรกิจต้องมาพร้อมกับกรอบการบริหารจัดการข้อมูลที่เข้มงวดและการพิจารณาด้านจริยธรรม โดยธุรกิจที่ต้องการใช้ข้อมูลเพื่อสร้างมูลค่าควรปรับระบบ Data Governance และแนวปฏิบัติ PDPA ให้สอดคล้องและสามารถตรวจสอบได้เพื่อหลีกเลี่ยงบทลงโทษและความเสียหายต่อชื่อเสียง
